3. ptsecurity.com
3
Безопасность в цифрах
• Периметр 87% корпоративных ЛВС не останавливает
проникновение
•61% корпоративных информационных систем может
взломать неквалифицированный хакер
• Взлом ЛВС компании занимает 3-5 дней
• Действия пентестеров обнаруживаются только в 2% тестов
на проникновение
•Ни разу пентестерам не оказывалось организованное
противодействие
4. ptsecurity.com
4
Какие недостатки используются
• Получение учетных записейСловарные пароли, хранение паролей
• Доступ через периметрУязвимости веб-приложений
• Использование публичных эксплойтовИзвестные уязвимости
• Перехват сетевого трафика, проблемы сегментированияОшибки сетевой инфраструктуры
• Социальная инженерияНеосведомленность пользователей
5. ptsecurity.com
5
Проблемы обнаружения
•Нет понимания собственных активов
•Нет понимания действий атакующего
•Зоопарк источников данных
•Недостаточная компетенция
персонала
•Да, есть IDS/IPS, СОА, антивирусы и
средства мониторинга. Но инциденты
все равно обнаруживаются
постфактум
10. ptsecurity.com
10
“Долог путь до Типперери”
Интернет
Офисная
сеть
Сеть АСУ ТП
Производство
HMI
TCP/IP
Modbus TCP
Wireless
RDP
Удаленное техническое
обслуживание
SCADA
Modbus
Gateway
RTU/PLC
RTU/PLC RTU/PLC
11. ptsecurity.com
11
Что мы знаем о нарушителе
•Преследует определенные цели
•Применяет определенный инструментарий
•Использует определенные
недостатки
•Оставляет определенные
следы
23. ptsecurity.com
23
Моделируем угрозы
PC – Дежурный по станции
Windows 2000 Professional
for Embedded Systems
Начальные условия:
физический доступ к АРМ
Результат: Учетная запись пользователя
1.a.1
Подбор паролей по
хешам из базы SAM
1.а.2
Результат: права локального
администратора
Повышение привилегий
(CVE-xxxx-yyyy)
Пароль доступа к FTP
В конфигурационном
файле
1.а.3
1.б.1Подключение к VLAN c
помощью STP
Результат: Обход
сегментирования
Перехват
трафика (ARP
Spoofing)
Local Area Network
Ethernet
Центральный процессор
Service Processing Unit (SPU)
DNIX
Результат: права root
1.в
Перезагрузка в single-user
mode
Простые атаки
Legend
Продвинытые атаки
1.а.3
1.б.21.б.2 Подбор словарных паролей
Обход авторизации в FTP
(CVE-xxxx-yyyy)
Результат: сетевойоступ к SPU
Начальные условия:
подключение к ЛВС
Начальные условия:
физический доступ к
ЦП
Отключение блокировок,
перевод стрелки
Повышение привилегий
(CVE-xxxx-yyyy)
Отличительная способность системы MP SIEM — объединение систем анализа защищенности, контроля соответствия стандартам, управления информационными активами организации, мониторинга и корреляции событий в рамках единой платформы MaxPatrol X, которое позволяет на порядок повысить скорость реагирования и эффективность работы системы по сравнению с аналогичными.
В конечном счете:
Полнота сведений
Актуальность
Наглядность
Оперативность (для быстрого реагирования)
Кому?
- Техническому специалисту, аналитику и руководителю.
Единая система управления активами обеспечивает в автоматическом режиме:
обнаружение активов по результатам активного сканирования в режимах черного и белого ящика
обнаружение активов по результатам анализа событий, поступающих из различных источников
обнаружение активов на основе результатов анализа сетевого трафика
импорт данных из других систем
ручной ввод данных
сбор информации о конфигурации активов (информация об ОС, установленном ПО, сервисах, открытых портах и сетевых службах, аппаратном обеспечении и т.д.)
построение связей между активами, управление группами активов
отображение событий применительно к активу или группе активов
ведение дополнительной информации по активу или группе активов (критичность актива, ответственный за актив)
Сбор и мониторинг данных об активах и их конфигурации позволяют принимать решения об изменении их состояния, наличии уязвимости, соблюдении политики безопасности и строить корреляции, что в итоге упрощает выявление угроз в режиме реального времени.