3. 3
3
ptsecurity.comptsecurity.com
Просто анализируй это:
Moker RAT 6.10.2015
• Сокрытие в системе
• Создание нового пользователя и повышение привилегий
• Изменение настроек безопасности и файлов настроек
• Использование архитектурной уязвимости платформы Windows – «инновационность»
• Множественные пути доставки
• Local Access Trojan –легальный доступ по VPN, затем LAT- незаметно для сетевых СЗИ
• Предоставление удаленного доступа по RDP - RAT
• Сокрытие источника атаки CnC в Черногории, домен в Африке
• 2-шаговая инсталляция (Dropper+Payload)
• Противодействие СЗИ: обход антивируса и sandbox’a
• Противодействие обнаружению: обнаружение выполнения в
виртуальной среде
• Инжектирование в легитимные процессы
• Набор методов усложняющих анализ
• (Self-encryption, Evading debug techniques (crashes debugging process)
[1] http://breakin
[2] http://blog.ens
6. 6
6
ptsecurity.com
6
ptsecurity.com
Просто рекомендации по противодействию
Примите меры к самостоятельному
тушению пожара
«…
… cуществующие меры противодействия в ОС Windows не
могут быть использованы для противодействия Moker.
… возможности противодействия:
• Блокируйте в реальном времени весь вредоносный сетевой
трафик
• Противодействуйте в реальном времени попыткам изменить
легитимные файлы
• Наблюдайте за активностью для последующего анализа
»
http://blog.ensilo.c
7. 7
7
ptsecurity.com
Защита периметра – неактуально?!
7
• На периметре более 40%сервисов были уязвимы в течение 1
года
• Вероятность эксплуатации критической уязвимости в течение 1
месяца с момента публикации 50%
• Около 80%уязвимостей на периметре старше 1 года
• Внешний атакующий может получить доступ к внутренней сети в
80% случаев (без применения методов СИ)
• Для проведения успешных атак в 75% случаев атакующему не
требуется высокого уровня квалификации
• При проведении успешной атаки на периметр корпоративной сети,
атакующий может полностью взять под контроль инфраструктуру с
вероятностью 55%По материалам мониторинга PT ESC за 2015 год, Verizon
Более 10 организаций, 130 тысяч ip, 15 тысяч уязвимостей
Company A
HQ
9. 9
9
ptsecurity.com
Мониторинг безопасности и защита Веб-сервиса:
Экспертиза + PT AF
Потребности и решаемые задачи
• Веб-сервисы - критичны
• Доступ к хранимой информации
• Точка «входа» во внутреннюю сеть
• Лицо организации
• Высокая динамика
• Обновление сервиса - ежедневно
• Появление новых угроз
• Самый атакуемый тип сервиса
• Экспертиза и большой объем работы
• Много «шума»
• Исследователи «вебщики»
• Выявление инцидента
• Взаимосвязь Веб и ИТ – комплексная задача
• Большой объем логов для обработки
10. 10
10
ptsecurity.com
ИБ Решения 2.0, 3.0… - кто ими будет заниматься?
Песочница (Sandbox/Detonation Chamber)
Защищенная изолированная среда исполнения ПО
Контролируемое окружение
Защита от детектирования
Ловушка (Honeypot)
Эмуляция уязвимых сервисов
Отправка на анализ файлов в
песочницу
Индикаторы
компрометации
Анализ:
Статический и динамический
Файлов, веб-сайтов на наличие зловредного поведения
Собственная среда исполнения
Поведенческий анализ ПО
Статический анализ на множественных движках АВ
Black/white/репутационные списки
Артефакты: пассивный и активный сбор
Пассивный анализ передаваемых в трафике файлов, веб-ссылок с
возможностью уведомления
Активный контроль передачи опасных объектов в трафике «на лету»
Анализ почтового, веб трафика, поддержка протокола ICAP
11. 11
11
ptsecurity.com
11
Сервисы ИБ? Что останавливает?
Понимать свои угрозы и риски –
минимальная ИТ/ИБ компетенция
Необходимый набор СЗИ/aaS
решений
Принятие специфики сервисного
контракта и SLA
Готовность работать по
Отсутствие давления регулятора?
Отсутствие «штрафов» за
12. 12
12
ptsecurity.com
12
«Следующий виток противостояния:
Сервисы ИБ как ответ на новые угрозы и вызовы»
Технологические предпосылки и угрозы
Предпосылки по ресурсам, квалификации
Ограничения существующих возможностей (продуктов) и их
место в «новой картине мира»
Готовность воспринять потребность и сделать выбор
в пользу сервисов
Hinweis der Redaktion
Обеспечение информационной безопасности — непрерывный процесс, требующий своевременного внедрения эффективных средств защиты и проведения новых исследований в области ИБ параллельно с развитием компании.
Большинство организаций, имея объективно высокие требования к безопасности, тем не менее не готовы развивать внутреннюю компетенцию в проблемах ИБ. Решение дилеммы подразумевает частичный или полный аутсорсинг: организация отчасти управляет процессами мониторинга и реагирования на инциденты (с выделением внутреннего центра мониторинга (SOC) или без такового), но большинство задач передается во внешний SOC.
Коммерческие центры мониторинга обладают богатым опытом в применении различных решений для обеспечения защиты и оперативно реагируют на инциденты. Это большой шаг вперед в повышении уровня безопасности, но такой подход ограничен. Следуя типовым сценариям и строгим договоренностям с компанией, поставщики услуг по управлению ИБ ориентированы на типовые проблемы и предлагают типовые решения.
http://www.eweek.com/c/a/Security/Sony-Data-Breach-Was-Camouflaged-by-Anonymous-DDoS-Attack-807651
http://www.prosecurityzone.com/News_Detail_Ddos_attacks_being_used_to_camouflage_fraud_attacks_20690.asp
http://www.corero.com/blog/555-whats-hiding-behind-that-ddos-attack.html
http://www.darkreading.com/analytics/security-monitoring/large-attacks-hide-more-subtle-threats-in-ddos-data/d/d-id/1139783
http://www.telegraph.co.uk/finance/newsbysector/epic/cpw/11794521/Carphone-Warehouse-hackers-used-traffic-bombardment-smokescreen.html
According to The Telegraph's article, an unnamed source with knowledge of the attack claims that the company's online retail systems were bombarded with a DDoS attack "as a cover to help them infiltrate the retailer's systems and perpetrate one of Britain’s biggest ever data thefts.“
3. Проблемы с квалифицированным персоналом: реально ли Заказчику самому поддерживать достаточно квалифицированную команду. Как ИБ-сервисные компании решают эту проблему
4. Технологический цикл: скорость появления новых угроз и ускорение эволюции известных векторов атак. Как жить если инциденты неизбежны
Мониторинг безопасности
Оперативное оповещение о критических срабатываниях
Актуальная информация о новых угрозах и уязвимостях
Периодические проверки
Сводный анализ атак на ресурс
Выявление аномалий, рекомендации по расследованию
Экспертные возможности
Анализ границ инцидентов (цепочки атак)
Верификация уязвимостей (проверка эксплойтов)
PT AF как инструмент форензики
Эмуляция времени для принудительного запуска вредоноса
Сигнатура для DPI
Анализ ссылок – эмуляция пользователя
Exploit kit
2. Готовность Заказчика. Аутсорсинг и переход на сервисную модель в ИБ
5. 6. Западные MSSP vs Русский менталитет: работаем по SLA или по понятиям?
7. Обмен информацией как необходимый элемент и следствие развития служб и сервисов мониторинга. Как это будет устроено?