![Page 1: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/1.jpg)
31 мая 2016Бизнес-консультант по безопасности
Типичные болевые точки и методы проникновения в корпоративные сетиАлексей Лукацкий
![Page 2: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/2.jpg)
2
Высокая мотивациякиберкриминала
Изменениебизнес-моделей
Динамичностьландшафта угроз
Думать как хакер
© 2015 Cisco and/or its affiliates. All rights reserved. 2
![Page 3: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/3.jpg)
3
Точечные и
статичныерешения
© 2015 Cisco and/or its affiliates. All rights reserved. 3
Фрагментация
Сложность
Требуют лишнего управления
![Page 4: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/4.jpg)
4
Что такое убийственная цепочка?
![Page 5: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/5.jpg)
5
Из чего состоит убийственная цепочка?Разведка Сбор e-mail Социальные
сетиПассивный поиск
Определение IP
Сканирование портов
ВооружениеСоздание
вредоносного кода
Система доставки Приманка
Доставка Фишинг Заражение сайта
Операторы связи
Проникновение Активация Исполнение кода
Определение плацдарма
Проникновение на 3rd ресурсы
Инсталляция Троян или backdoor
Повышение привилегий Руткит Обеспечение
незаметности
Управление Канал управления
Расширение плацдарма
Внутреннее сканирование
Поддержка незаметности
Реализация Расширение заражения Утечка данных Перехват
управления Вывод из строя
Уничтожение следов
Поддержка незаметности Зачистка логов
![Page 6: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/6.jpg)
6
Как хакер проводит разведку вашей сети?
![Page 7: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/7.jpg)
7
Красивая приманка
Персональные данные
Персональные данные
Персональные данные
![Page 8: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/8.jpg)
8
OSINT: Maltego
![Page 9: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/9.jpg)
9
OSINT: Shodan
![Page 10: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/10.jpg)
10
OSINT: Metagoofil
![Page 11: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/11.jpg)
11
OSINT: GHDB
![Page 12: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/12.jpg)
12
OSINT: FOCA
![Page 13: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/13.jpg)
13
OSINT: EXIF
![Page 14: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/14.jpg)
14
OSINT: Nessus
![Page 15: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/15.jpg)
15
OSINT: множество других инструментов
![Page 16: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/16.jpg)
16
Угрозы ОкружениеПериметр
Email-вектор
Web-вектор
3Жертвкликает на резюме
Инсталляция бота, установка соединения с сервером C2
4 5Сканирование LAN & альтернативный бэкдори поиск привилегированных пользователей
Система скомпрометирована и данные утекли. Бэкдорсохранен
8Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS
7
Посылка фальшивогорезюме([email protected])
2
Админ
Изучение жертвы (SNS)
1
Привилегированные пользователи найдены.6
Админ ЦОДПК
ЕленаИванова
Елена Иванова• HR-координатор• Нужны инженеры• Под давлением времени
Анатомия современной атаки
![Page 17: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/17.jpg)
17
Проверьте себя
![Page 18: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/18.jpg)
18
А вы проверяете заголовки e-mail?
Видео-демонстрация
![Page 19: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/19.jpg)
19
Заражения браузера: чума, которая не проходит
Более чем
85% опрошенных компанийстрадают каждый месяц
![Page 20: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/20.jpg)
20
Уязвимая инфраструктура используется оперативно и широкоРост атак на 221 процент на WordPress
![Page 21: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/21.jpg)
21
Аппетит к Flash
Платформа Flash – популярный вектор атак для киберпреступности
![Page 22: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/22.jpg)
22
Идет спад использования Flash, Java и Silverlight
Но общедоступных эксплойтов для Flash больше, чем для других производителей
![Page 23: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/23.jpg)
23
Хакер не обязательно идет через периметр
![Page 24: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/24.jpg)
24
Хакер не обязательно идет через периметр
![Page 25: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/25.jpg)
25
Подмена точки доступа и перехват паролей
Видео-демонстрация
![Page 26: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/26.jpg)
26
Что вы будете делать, если найдете флешку у дверей офиса?
Любопытство возьмет верх или нет?
![Page 27: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/27.jpg)
27
Многие подбирают J
![Page 28: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/28.jpg)
28
Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…Вы их контролируете?
![Page 29: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/29.jpg)
29
Вы думаете это шутка?
Видео-демонстрация
![Page 30: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/30.jpg)
30
Но есть и более сложные варианты
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод заражения Статический Статический В процессе исполнения
В процессе исполнения
В процессе исполнения Статический
Цель IOS IOS IOS IOS, linecards
IOS, ROMMON IOS
Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленноеобнаружение
Черезкриптоанализ
Черезкриптоанализ
Используя протокол C2
Используя протокол C2
Не напрямую Да
![Page 31: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/31.jpg)
31
А что у вас с внутренней сетью?
Android Apple
МаршрутизаторыКоммутаторы
Принтер
Интернет вещейТелефоны
Linux
На многие из этих устройств нельзяпоставить агентов контроля, мониторинга и защиты!
Точки доступа3G/4G-модемы
![Page 32: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/32.jpg)
32
И не сможете использовать почту без защиты
? ??? ?
????
? ?
Вы должны защитить их
Вы не сможете работать без электронной почты
Когда вы внедряете облачные приложения
Каждый раз, внедряя новую технологию, необходимо обеспечивать ее защиту
![Page 33: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/33.jpg)
33
Облачные приложения становятся неотъемлемой частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных данных
Риски несоответствия правовым нормам
Риск инсайдерских действий
Вредоносное ПО и вирусы
![Page 34: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/34.jpg)
34
Понимание рисков, связанных с облачными приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-отдел:• Не видит, какие используются приложения• Не может идентифицировать опасные приложения• Не может настроить необходимые средства управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72%ИТ-отделов используют 6 и более неутвержденных приложений2
26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов
35%
«Теневые» ИТИспользование несанкционированных приложений
Источник: 1CIO Insight;; 2,3Gartner
![Page 35: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/35.jpg)
35
Понимание рисков использования данных в облачных приложениях
Это проблема, так как ваш ИТ-отдел:• Не может остановить утечку данных и устранить риски несоблюдения нормативных требований• Не в состоянии заблокировать входящий опасный контент • Не в силах остановить рискованные действия пользователей
организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1
90% приложений могут стать опасными при неправильном использовании2
72% файлов на каждого пользователя открыто используется в организациях3
185
«Теневые» данныеИспользование санкционированных приложения для неправомерных целей
Источник: 1Ponemon, 2013 Cost of Data Breach Study;;2CIO Insight;; 3Elastica
![Page 36: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/36.jpg)
36
Payroll.docx
Пользователи свободно обмениваются информацией и это может привести к нарушениям безопасности
Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных приложений и «теневых» данных
При использовании облачных приложений ИТ-отдел не может контролировать все разрешения на совместное использование
20% совместно используемых файлов
содержит данные, связанные с соблюдением
нормативов
![Page 37: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/37.jpg)
37
DNS: слепая зона для безопасности
91,3% ВредоносногоПОиспользует DNS
68% Организаций немониторят его
Популярный протокол, который используют злоумышленники для управления, утечки данных и перенаправления трафика
![Page 38: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/38.jpg)
38
К чему это все приводит?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из самых длинных незамеченных вторжений
Ponemon
206
HP
416Symantec
305
![Page 39: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/39.jpg)
39
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводнаясеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленныеустройства
Доступ
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭБеспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
На что обращает вниманиесовременный хакер?
![Page 40: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/40.jpg)
40
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
![Page 41: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/41.jpg)
41
Как Cisco ловит все эти атаки в своей сети?
Нейтрализовать и реагировать
Метрики иотчеты
Управление конфигурацией
Инспекция
Регистрация
Идентификация
Телеметрия
IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPNVuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1xAddress, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB
ExecsAuditorsInfosecIT Orgs
HR-LegalLine of Biz
AdminsEnd UsersPartnersBusiness Functions
Информирование Реагирование
РасследованиеОбнаружение
DBs
Внешние фиды об угрозах
Сканы Конфиги Логи Потоки События
4TB в день
Сист. управления
Incident Mgt System
Compliance Tracker
Incident Response TeamPlaybook
![Page 42: Болевые точки корпоративной сети: взгляд не со стороны службы ИБ](https://reader034.vdocuments.net/reader034/viewer/2022050613/589e36dc1a28ab07478b4a8d/html5/thumbnails/42.jpg)
Спасибо!