SlideShare ist ein Scribd-Unternehmen logo
1 von 22
Downloaden Sie, um offline zu lesen
Сыграем в игру …
Подход QIWI к проведению тестирования на
проникновение
Ермаков Кирилл,
директор по информационной
безопасности Группы QIWI
О себе
• Кирилл Ермаков, CTO/CISO Группы QIWI
• Эксперт по безопасности WEB-приложений
• Также известен под псевдонимом ‘isox’
• Участник “Зала славы” Yandex, Mail.ru, Apple и других компаний
Тестирование на проникновение или «анализ защищенности»
• Способ проверки контролей ИБ
• Fast and dirty assessment («Быстрый способ оценки защищенности»)
• Выполняется квалифицированными специалистами
• Обязательная/рекомендованная часть регламентирующих
документов:
 ФЗ-152 (пункт 8.8)
 СТО БР ИБСС-1.0-2014 (пункт 7.3.1)
 Положение 382-П (пункты 2.5.1, 2.5.3)
 PCIDSS (пункты 11.2 и 11.3)
• Независимая оценка защищенности компании от угроз ИБ
Классический подход
• Выделенная команда (2-5 человек)
• Сценарии: внешний нарушитель, внутренний нарушитель,
социальная инженерия методом рассылки писем
• Множество запрещенных техник и подходов (DOS, кража техники
и т.д.)
• «Белый список» адресов атакующих в системах ИБ
• Отсутствие информации об устройстве компании «изнутри»
• Запрет на полноценную «социальную инженерию»
• Атаки производятся в рабочее время
Взгляд со стороны специалиста
• Подход не меняется в зависимости от заказчика
• По ⅓ времени
• Запрет на нарушение физических границ предприятия
• Ограниченные возможности по получению данных
нетехническими способами
• «Поставленный на поток» процесс
эксплуатация известных векторов атак
поиск новых уязвимостей
сканирование автоматическими средствами
Red Team Exercise: учения по противодействию угрозам ИБ
• Зарубежное название данного подхода – Red Team Exercise
• Подразделение ИБ не оповещается о проводимых учениях
• Попытка симулировать «настоящую атаку»
• Выполняется одной командой «атакующих»
• «Внутренняя кухня» компании по-прежнему не разглашается
• «Слепые зоны»
• Ограничения по времени
• Не используются многие сценарии, применяющиеся в реальных
атаках
• Слишком этичный и аккуратный подход
• Реальный злоумышленник атакует по другому
• Недостаточные ресурсы одиночной команды
Недостатки данного подхода
• Объединим лучших профессионалов в «сборную»
• Не будем придерживаться «методологий проведения
тестирований на проникновение»
• Никаких «секретных технологий взлома»
• Снимаем ограничения по времени проведения атак
• Для атак доступны любые системы
• Никакой подготовки со стороны подразделения ИБ
Нарушим классические подходы
• Любые нетехнические способы получения информации
• Вредоносное программное обеспечение
• Перебор паролей учетных записей
• Атаки по ночам и в выходные дни
• Физическое проникновение на территорию компании
• Атаки, направленные на отказ в обслуживании
• Несанкционированные подключения в сеть предприятия
• Кража персонального оборудования сотрудников
• «Подкуп» специалистов компании
Разрешим «запретный плод»
• Сотрудник компании, играющий за команду атакующих
• Разглашает приватную информацию
• Обладает компетенцией по системам ИБ и особенностям их
работы
• Предоставляет карту сети
• Дает советы и подсказки
Добавим «крота»
• Проверка контролей физической безопасности
• Манипуляции с сетью предприятия:
Врезка в кабель
Атаки на беспроводные сети
Подброшенные USB-накопители с вредоносным ПО
• «Социальная инженерия» в реальной жизни
• Использование информации с «украденных» ноутбуков,
телефонов, планшетов
Глубокий анализ защищенности
• Оценка скорости реакции сотрудников, ответственных за
информационную безопасность
• Анализ настоящих инцидентов ИБ
• Проблемы отработавших защитных механизмов (блокировки и
недоступность учетных записей)
• Подстройка систем ИБ «на лету»
• Взаимодействие с подразделениями, ответственными за
физическую безопасность
• Анализ журналов, записей камер видеонаблюдения, событий
ИБ
Проверка работоспособности отдела ИБ
• Для команды атакующих:
Получение доступа к учетной записи администратора
приложений или баз данных
Захват контроллера домена компании
Компрометация учетной записи администратора *nix систем
Несанкционированный доступ к любой критичной системе
• Для отдела ИБ предприятия:
Обеспечение безопасности активов компании
Условия победы
• Команда атакующих: Digital Security и ONSEC
• Команда защиты: отдел ИБ группы компаний QIWI
• «Крот»: Руководитель подразделения ИБ
• Продолжительности атаки: 2,5 месяца
• Цель атакующих:
 Компрометация чувствительной информации
• Цель обороняющихся:
 Зарегистрировать в системе мониторинга инцидентов ИБ не
менее 90% действий нарушителей
 Не допустить получения доступа к системам компании
Тестирование на проникновение: подход QIWI
• 7 социальных атак за 2 недели
• Несколько «критичных» инцидентов
• Вывод из строя ПО компании (отказ в обслуживании)
• Серьезные нарушения работоспособности предприятия:
Заблокированные учетные записи
Рассылки вредоносных писем
Заражения вредоносным ПО
• Вынужденное проведение анализа вредоносного кода
Недели «осады»
• Удачное проникновение злоумышленников в здание компании
• Компрометация сети предприятия через взлом компьютеров,
находящихся в гостевой беспроводной сети
• Множественные уязвимости реализации подключения ПО
Apple MaсOS к контроллеру домена Microsoft
• Взлом «умного дома»
• Захват системы управления источником бесперебойного
питания
• Компиляция утилиты dsniff для операционной системы системы
видеонаблюдения
Найдены серьезные уязвимости
Несколько фотографий процесса
• Учетная запись с повышенными привилегиями была
скомпрометирована
• «Социальная инженерия» – лучший вектор для атаки
• Был получен удаленный SSH-доступ к ноутбуку сотрудника
информационной безопасности
• Несанкционированный доступ к архиву конфигураций сетевого
оборудования
• Множественные удачные атаки методом перебора
Результат: команда «защиты» проиграла
• Получение пароля учетной записи методом социальной
инженерии
• Эксплуатация отсутствия изоляции в гостевой беспроводной сети
• Ноутбуки, подключенные одновременно к проводной и
беспроводной сети
• Ошибка конфигурирования подключения Apple MacOS к домену
Microsoft, разрешавшая подключение любого существующего
пользователя к любому ПК
• Хранение чувствительной информации без ограничения на ее
просмотр на жестком диске ПК
• Недостаточный контроль каналов передачи данных в офисной сети
Удачный сценарий атаки
• Данный подход эффективнее классического
• Атака была близка к методам, используемым реальными
злоумышленниками
• Прекрасное покрытие ресурсов компании
• Оценка реальной защищенности, а не того, как ее показывают
руководители ИБ
• Вы разочаруетесь в эффективности ваших технических средств
противодействия угрозам ИБ
• Данный подход дороже классических
• Необходимо быть готовым к непредсказуемым последствиям
(недоступность систем)
Анализ результатов проведенной работы
Команде ИБ Группы QIWI за терпение
Специалистам Digital Security и ONSEC
за прекрасную работу
Благодарности
Вопросы?
isox@qiwi.com
Благодарности

Weitere ähnliche Inhalte

Was ist angesagt?

Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application FirewallPositive Hack Days
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Cisco Russia
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейAleksey Lukatskiy
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиExpolink
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Expolink
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииExpolink
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 

Was ist angesagt? (20)

Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информации
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазамиIBM - SIEM 2.0: Информационая безопасность с открытыми глазами
IBM - SIEM 2.0: Информационая безопасность с открытыми глазами
 
Атаки на банкоматы
Атаки на банкоматыАтаки на банкоматы
Атаки на банкоматы
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 

Ähnlich wie Подход QIWI к проведению тестирования на проникновение

Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инцидентыPositive Hack Days
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаPositive Hack Days
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...Expolink
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиAvivi Academy
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".Expolink
 
Защита информации при удаленной идентификации клиентов с помощью информационн...
Защита информации при удаленной идентификации клиентов с помощью информационн...Защита информации при удаленной идентификации клиентов с помощью информационн...
Защита информации при удаленной идентификации клиентов с помощью информационн...DjLucefer
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 

Ähnlich wie Подход QIWI к проведению тестирования на проникновение (20)

Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инциденты
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защита
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схеми
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
 
Защита информации при удаленной идентификации клиентов с помощью информационн...
Защита информации при удаленной идентификации клиентов с помощью информационн...Защита информации при удаленной идентификации клиентов с помощью информационн...
Защита информации при удаленной идентификации клиентов с помощью информационн...
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 

Mehr von Kirill Ermakov

Vulners report: comparing vulnerability world 2016 to 2017
Vulners report: comparing vulnerability world 2016 to 2017Vulners report: comparing vulnerability world 2016 to 2017
Vulners report: comparing vulnerability world 2016 to 2017Kirill Ermakov
 
How to get a well done penetration test
How to get a well done penetration testHow to get a well done penetration test
How to get a well done penetration testKirill Ermakov
 
Security awareness for information security team
Security awareness for information security teamSecurity awareness for information security team
Security awareness for information security teamKirill Ermakov
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом VulnersKirill Ermakov
 
Vulnerability Funalitics with vulners.com
Vulnerability Funalitics with vulners.comVulnerability Funalitics with vulners.com
Vulnerability Funalitics with vulners.comKirill Ermakov
 
Vulners: Google for hackers
Vulners: Google for hackersVulners: Google for hackers
Vulners: Google for hackersKirill Ermakov
 
Why vulners? Short story about reinventing a wheel
Why vulners? Short story about reinventing a wheelWhy vulners? Short story about reinventing a wheel
Why vulners? Short story about reinventing a wheelKirill Ermakov
 
Let’s play the game. Yet another way to perform penetration test. Russian “re...
Let’s play the game. Yet another way to perform penetration test. Russian “re...Let’s play the game. Yet another way to perform penetration test. Russian “re...
Let’s play the game. Yet another way to perform penetration test. Russian “re...Kirill Ermakov
 
Lets talk about bug hunting
Lets talk about bug huntingLets talk about bug hunting
Lets talk about bug huntingKirill Ermakov
 

Mehr von Kirill Ermakov (10)

Vulners report: comparing vulnerability world 2016 to 2017
Vulners report: comparing vulnerability world 2016 to 2017Vulners report: comparing vulnerability world 2016 to 2017
Vulners report: comparing vulnerability world 2016 to 2017
 
How to get a well done penetration test
How to get a well done penetration testHow to get a well done penetration test
How to get a well done penetration test
 
Security awareness for information security team
Security awareness for information security teamSecurity awareness for information security team
Security awareness for information security team
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом Vulners
 
Vulnerability Funalitics with vulners.com
Vulnerability Funalitics with vulners.comVulnerability Funalitics with vulners.com
Vulnerability Funalitics with vulners.com
 
Vulners: Google for hackers
Vulners: Google for hackersVulners: Google for hackers
Vulners: Google for hackers
 
Why vulners? Short story about reinventing a wheel
Why vulners? Short story about reinventing a wheelWhy vulners? Short story about reinventing a wheel
Why vulners? Short story about reinventing a wheel
 
SOC training
SOC trainingSOC training
SOC training
 
Let’s play the game. Yet another way to perform penetration test. Russian “re...
Let’s play the game. Yet another way to perform penetration test. Russian “re...Let’s play the game. Yet another way to perform penetration test. Russian “re...
Let’s play the game. Yet another way to perform penetration test. Russian “re...
 
Lets talk about bug hunting
Lets talk about bug huntingLets talk about bug hunting
Lets talk about bug hunting
 

Подход QIWI к проведению тестирования на проникновение

  • 1. Сыграем в игру … Подход QIWI к проведению тестирования на проникновение Ермаков Кирилл, директор по информационной безопасности Группы QIWI
  • 2. О себе • Кирилл Ермаков, CTO/CISO Группы QIWI • Эксперт по безопасности WEB-приложений • Также известен под псевдонимом ‘isox’ • Участник “Зала славы” Yandex, Mail.ru, Apple и других компаний
  • 3. Тестирование на проникновение или «анализ защищенности» • Способ проверки контролей ИБ • Fast and dirty assessment («Быстрый способ оценки защищенности») • Выполняется квалифицированными специалистами • Обязательная/рекомендованная часть регламентирующих документов:  ФЗ-152 (пункт 8.8)  СТО БР ИБСС-1.0-2014 (пункт 7.3.1)  Положение 382-П (пункты 2.5.1, 2.5.3)  PCIDSS (пункты 11.2 и 11.3) • Независимая оценка защищенности компании от угроз ИБ
  • 4. Классический подход • Выделенная команда (2-5 человек) • Сценарии: внешний нарушитель, внутренний нарушитель, социальная инженерия методом рассылки писем • Множество запрещенных техник и подходов (DOS, кража техники и т.д.) • «Белый список» адресов атакующих в системах ИБ • Отсутствие информации об устройстве компании «изнутри» • Запрет на полноценную «социальную инженерию» • Атаки производятся в рабочее время
  • 5. Взгляд со стороны специалиста • Подход не меняется в зависимости от заказчика • По ⅓ времени • Запрет на нарушение физических границ предприятия • Ограниченные возможности по получению данных нетехническими способами • «Поставленный на поток» процесс эксплуатация известных векторов атак поиск новых уязвимостей сканирование автоматическими средствами
  • 6. Red Team Exercise: учения по противодействию угрозам ИБ • Зарубежное название данного подхода – Red Team Exercise • Подразделение ИБ не оповещается о проводимых учениях • Попытка симулировать «настоящую атаку» • Выполняется одной командой «атакующих» • «Внутренняя кухня» компании по-прежнему не разглашается
  • 7. • «Слепые зоны» • Ограничения по времени • Не используются многие сценарии, применяющиеся в реальных атаках • Слишком этичный и аккуратный подход • Реальный злоумышленник атакует по другому • Недостаточные ресурсы одиночной команды Недостатки данного подхода
  • 8. • Объединим лучших профессионалов в «сборную» • Не будем придерживаться «методологий проведения тестирований на проникновение» • Никаких «секретных технологий взлома» • Снимаем ограничения по времени проведения атак • Для атак доступны любые системы • Никакой подготовки со стороны подразделения ИБ Нарушим классические подходы
  • 9. • Любые нетехнические способы получения информации • Вредоносное программное обеспечение • Перебор паролей учетных записей • Атаки по ночам и в выходные дни • Физическое проникновение на территорию компании • Атаки, направленные на отказ в обслуживании • Несанкционированные подключения в сеть предприятия • Кража персонального оборудования сотрудников • «Подкуп» специалистов компании Разрешим «запретный плод»
  • 10. • Сотрудник компании, играющий за команду атакующих • Разглашает приватную информацию • Обладает компетенцией по системам ИБ и особенностям их работы • Предоставляет карту сети • Дает советы и подсказки Добавим «крота»
  • 11. • Проверка контролей физической безопасности • Манипуляции с сетью предприятия: Врезка в кабель Атаки на беспроводные сети Подброшенные USB-накопители с вредоносным ПО • «Социальная инженерия» в реальной жизни • Использование информации с «украденных» ноутбуков, телефонов, планшетов Глубокий анализ защищенности
  • 12. • Оценка скорости реакции сотрудников, ответственных за информационную безопасность • Анализ настоящих инцидентов ИБ • Проблемы отработавших защитных механизмов (блокировки и недоступность учетных записей) • Подстройка систем ИБ «на лету» • Взаимодействие с подразделениями, ответственными за физическую безопасность • Анализ журналов, записей камер видеонаблюдения, событий ИБ Проверка работоспособности отдела ИБ
  • 13. • Для команды атакующих: Получение доступа к учетной записи администратора приложений или баз данных Захват контроллера домена компании Компрометация учетной записи администратора *nix систем Несанкционированный доступ к любой критичной системе • Для отдела ИБ предприятия: Обеспечение безопасности активов компании Условия победы
  • 14. • Команда атакующих: Digital Security и ONSEC • Команда защиты: отдел ИБ группы компаний QIWI • «Крот»: Руководитель подразделения ИБ • Продолжительности атаки: 2,5 месяца • Цель атакующих:  Компрометация чувствительной информации • Цель обороняющихся:  Зарегистрировать в системе мониторинга инцидентов ИБ не менее 90% действий нарушителей  Не допустить получения доступа к системам компании Тестирование на проникновение: подход QIWI
  • 15. • 7 социальных атак за 2 недели • Несколько «критичных» инцидентов • Вывод из строя ПО компании (отказ в обслуживании) • Серьезные нарушения работоспособности предприятия: Заблокированные учетные записи Рассылки вредоносных писем Заражения вредоносным ПО • Вынужденное проведение анализа вредоносного кода Недели «осады»
  • 16. • Удачное проникновение злоумышленников в здание компании • Компрометация сети предприятия через взлом компьютеров, находящихся в гостевой беспроводной сети • Множественные уязвимости реализации подключения ПО Apple MaсOS к контроллеру домена Microsoft • Взлом «умного дома» • Захват системы управления источником бесперебойного питания • Компиляция утилиты dsniff для операционной системы системы видеонаблюдения Найдены серьезные уязвимости
  • 18. • Учетная запись с повышенными привилегиями была скомпрометирована • «Социальная инженерия» – лучший вектор для атаки • Был получен удаленный SSH-доступ к ноутбуку сотрудника информационной безопасности • Несанкционированный доступ к архиву конфигураций сетевого оборудования • Множественные удачные атаки методом перебора Результат: команда «защиты» проиграла
  • 19. • Получение пароля учетной записи методом социальной инженерии • Эксплуатация отсутствия изоляции в гостевой беспроводной сети • Ноутбуки, подключенные одновременно к проводной и беспроводной сети • Ошибка конфигурирования подключения Apple MacOS к домену Microsoft, разрешавшая подключение любого существующего пользователя к любому ПК • Хранение чувствительной информации без ограничения на ее просмотр на жестком диске ПК • Недостаточный контроль каналов передачи данных в офисной сети Удачный сценарий атаки
  • 20. • Данный подход эффективнее классического • Атака была близка к методам, используемым реальными злоумышленниками • Прекрасное покрытие ресурсов компании • Оценка реальной защищенности, а не того, как ее показывают руководители ИБ • Вы разочаруетесь в эффективности ваших технических средств противодействия угрозам ИБ • Данный подход дороже классических • Необходимо быть готовым к непредсказуемым последствиям (недоступность систем) Анализ результатов проведенной работы
  • 21. Команде ИБ Группы QIWI за терпение Специалистам Digital Security и ONSEC за прекрасную работу Благодарности