2. ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
ptsecurity.ru
5. ptsecurity.ru
Тесты на проникновение: реальность угроз ИБ ИТ
Периметр 87%
корпоративных
локальных сетей не
останавливает
проникновение
61% компаний
может взломать
атакующий с
базовыми
навыками
Взлом
компании
занимает
3-5 дней
Действия
пентестеров
обнаруживают
только
в 2 из 100 тестов
на проникновение
87% 61% 2%
1
неделя
9. ptsecurity.ru
Границы инцидента: больше чем «событие безопасности»
Attackers
Hackers
Spies
Terrorists
Corporate
Raiders
Professional
Criminals
Vandals
Voyeurs
Tool
Physical
Attack
Information
Exchange
User
Command
Script or
Program
Autonomous
Agent
Toolkit
Distributed
Tool
Data Tap
Vulnerability
Design
Implementation
Configuration
Action
Probe
Scan
Flood
Authenticate
Bypass
Spoof
Read
Copy
Steal
Modify
Delete
Target
Account
Process
Data
Component
Computer
Network
Internetwork
Unauthorized
Results
Increased
Access
Disclosure of
Information
Corruption of
Information
Denial of
Service
Theft of
Resources
Objectives
Challenge,
Status, Thrill
Political
Gain
Financial
Gain
Damage
Event
Attack(s)
Incident
• Инцидент
рассматривается как
событие
• Анализ целей
• Атрибуция атакующего
• Расследовать
«событие» или
инцидент?
10. ptsecurity.ruptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость и
контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Знание об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфичность
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
11. ptsecurity.ruptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость и
контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Знание об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфичность
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
ДИНАМИКА
12. ptsecurity.ru
• Утечка данных
• Промышленный шпионаж
• Потеря контроля над системой
• Плацдарм для дальнейших атак
• Формирование счетов на оплату
• Нарушение бизнес процессов
• Отсутствие гарантий взлома
• Непрозрачность процессов управления
• Потери времени на восстановление
• Большие трудозатраты на поддержку
ptsecurity.ru
Чем это грозит?
Нарушение
конфиденциальности
Проникновение
в систему
Потеря денег
Потеря управления
Нарушение
работоспособности
!
!
!
!
!
15. ptsecurity.ru
Internet
Доступ к
внутренней
сети
Атаки из внешней сети
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
91%
73%
45%
27%
80%
91%
100%
16. ptsecurity.ru
Подбор паролей
BlackBox и WhiteBox
Атаки
на Web
Атаки
на СУБД
Повышение
привилегий
Перехват
паролей
Внедрение
кода
Атаки на тестовую
инфраструктуру
Атаки на ОС
Механика атак
SAP
17. ptsecurity.ru
Типовой сценарий атаки: SAP
Сложность реализации
атаки: низкая
Сложность реализации
атаки: средняя
Сложность реализации
атаки: высокая
Вектор атакиуязвимости
или недостатки в
конфигурации данного
ресурса приводят к
реализации атаки с
индикацией критичности
Получен ограниченный
доступ к ресурсу
(права пользователя)
Получен расширенный
доступ к ресурсу
(права
привилегированного
пользователя)
Получен полный доступ
к ресурсу
Возможно успешное
развитие атаки при
дополнительных условиях
наличие сетевого
трафика между клиентом
и сервером для
перехвата
18. ptsecurity.ru
• Используем уязвимость для получения учетной записи к БД SAP
• Подключаемся к БД от имени SAP системы
• Копируем конфиденциальные данные
• Подбираем пароли пользователей SAP
• Входим в систему
• Повышаем привилегии
• Заметаем следы
Базовый сценарий
19. ptsecurity.ru
Обнаруженные уязвимости:
•1844202 (June 2013) SUIM| RSUSR002 User '............'
is not found
•1902611 (November 2013) Potential information
disclosure relating to BC-SEC
•1997455 (May 2014) Potential information disclosure in
BC-SEC-USR-ADM
•2191290 (January 2016) Potential information disclosure
relating to AS Java
Публикации:
•SAP Unknown Default Password for TMSADM
http://scn.sap.com/people/dmitry.gutsko/blog/2013/02/25/
sap-unknown-default-password-for-tmsadm
•SAP's Backdoor
http://scn.sap.com/people/dmitry.gutsko/blog/2013/08/08/
saps-backdoor
Выступления:
•PHD2013 SAP attack methodology
•PHD2014 SAP CUA as an SAP Attack Vector
Исследования:
•Алгоритмы хеширования паролей
•Хранение ABAP кода
•Анализ Java Secure Storage
•Хранение учетных данных в RFC соединениях
PT: Исследования безопасности SAP
20. ptsecurity.ru
2008 - поддержка сканирования систем на базе SAP AS ABAP
2012 - добавлены новые коннекторы RFC, Oracle
2012 - обнаружение не установленных SAP Security note
2013 - поддержка сканирования систем на базе SAP AS JAVA
2014 - сертификация МП8 в SAP (SAP Certified Integration with SAP NetWeaver)
2014 - поддержка SAP HCM, SAP MM
2014 - Segregation of duties
2015 - поддержка анализа событий безопасности SAP в MaxPatrol SIEM
2015 - поддержка SAP в Application Firewall
2016 - поддержка SAP FICO
История сотрудничества PT и SAP
21. ptsecurity.ru
Персонал ИБ
Проблемы
безопасности
Ландшафт SAP
• ~3000 известных
уязвимостей
• ~20 новых уязвимостей
каждый месяц
• ~1000 настроек
конфигурации
• от 500 пользователей
в каждой инсталляции
• постоянные доработки
системы
Средняя инсталляция
~30 SAP систем *
количество серверов в одном
ландшафте (до 10) *
количество мандантов (от 4 до 10).
Итого: ~ 300 серверов
~ 120-300 мандантов
Как правило, 1 – 2 человека
Задачи:
• Контроль уязвимостей
• Контроль прав доступа
• Контроль действий
пользователей/администраторов
• Контроль настроек безопасности
• Контроль парольной политики
• * анализ ABAP кода
0
200
400
600
800
2009 2010 2011 2012 2013 2014 2015 2016
SAP SECURITY
NOTES
Масштаб проблемы
Персонал ИБ
Проблемы
безопасности
Ландшафт SAP
Реально?
23. ptsecurity.ru
1
Pentest
Анализ инфраструктуры
Аудит безопасности
Анализ ролевой
модели
Анализ ABAP кода
Аудит
2
Анализ конфигурации
Соответствие стандартам
Парольная политика
Изменение настроек
по умолчанию
Разграничение
полномочий
Регулярная
проверка
3
Мониторинг
действий пользователей и
администраторов
Отслеживание изменений
и оперативное
оповещение
Формирование
инцидентов
4
Постоянный контроль
настроек
Контроль
изменений
и мониторинг
Защита
Рекомендуемый процесс
Расследование
инцидентов
Защита Web
24. ptsecurity.ru
Пентест
Анализ безопасности инфраструктуры (сеть, ОС, БД в т.ч. HANA)
Аудит безопасности и соответствия стандартам прикладной части SAP систем
Анализ ролевой модели и проверка на соответствие матрице разграничения полномочий
Поиск уязвимостей в ABAP коде
Анализ событий ИБ и выявление мошеннических действий
Аудит ИБ SAP систем: возможности Positive Technologies
25. ptsecurity.ru
MaxPatrol
SAP
Контроль прав доступа SAP
Обнаружение уязвимостей:
активное сканирование по методам
черного и белого ящиков
Подбор паролей
(все алгоритмы)
Анализ настроек
шифрования каналов связи
Анализ конфигурации
и контроль изменений в SAP
системе и инфраструктуре
Анализ связей с другими
SAP системами
ptsecurity.ru
MaxPatrol 8. Возможности
29. ptsecurity.ru
Application Firewall
Автоматическое обучение
Виртуальный патчинг
Интеграция с антивирусами
Application
Firewall
Интеграция
с антивирусами
Автоматическое
обучение
Виртуальный
патчинг
Защита от DDoS атак на
уровне приложений
ptsecurity.ru
Application Firewall для SAP. Возможности
30. ptsecurity.ru
PT Application Firewall для SAP
• Подбор паролей для доступа к UI и
SOAP
• Популярные методы атак (Invoker
Servlet, Verb Tampering)
• Утечки данных (например,
SecStore.properties и hdbuserstore)
• «Белый список» значений параметров
(по рекомендациям SAP)
• Обнаружение сканеров уязвимостей
SAP (например, Bizploit)
• “Пассивный сканер”:
• использование паролей по умолчанию
• открытый доступ к консолям управления
31. ptsecurity.ru
Тренды развития киберугроз
Инциденты в пром.секторе США
•295 крупных инцидентов (15% рост) в промышленных компаниях
• 46 – энергетика
• 97 инцидентов c «участием» поставщиков оборудования и сервисов
• В 106 случаях - использовались вредоносы и целевой фишинг
• В 12% были затронуты компоненты АСУ ТП
•Специфика «кибер» угроз
• Тиражируемость
• Управляемость по времени
• Повторяемость
• Взаимозависимость и объединение ИТ и АСУ ТП - ОТ
• Новые возможности/мотивация атакующих
http://www.darkreading.com/attacks-bre
32. ptsecurity.ru
Киберугрозы: из ИТ через ОТ в реальность
• Нарушение физической безопасности (взлом умных замков)
• Нарушение работы предприятия (ложные срабатывания
пожарной сигнализации, повторяющиеся)
• Утечки информации (съем данных с систем видеонаблюдения)
• Фрод (модификация показаний датчиков (весов))
• Локеры устройств
SmartThings app that’s meant to check a lock’s battery
shouldn’t be able to steal its PIN or set off a fire alarm, they
argue. In fact, they analyzed 499 SmartThings and found that
more than half of them had at least some level of privilege they
considered overbroad, and that 68 actually used capabilities
they weren’t meant to possess.
33. ptsecurity.ru
Наш подход: анализ специфики угроз АСУ ТП
Protocol analysis
(Modbus, S7,
Profinet etc)
Kiosk mode
escape
Unauthorized
access
Firmware
download
Password
cracking
Access
controllers
Command/data
sending
Pipeline accident
Fire protection
system
SCADA/HMI
Pumping
Infrastructure
DMZ
Firmware
modification
Denial of
service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Pipeline Idle
time
Pumping
station
Fire
protection
system
Workstations
DMZ
Connection
breach
Control over DMZ server
Damage to Environment
Internal
Attacker
Penetration vectors Target Systems Threats
Disposition
35. ptsecurity.ru
PT: подход к решению
задач безопасности ОТ
39
• Анализ угроз ОТ
• Невмешательство в «работу» ОТ
• Мониторинг инцидентов и интерпретация
событий
• Тиражируемость и
масштабируемость
PT ISIM = «SIEM для АСУ ТП»
38. ptsecurity.ru
Управление рисками и соблюдение требований
Управление рисками
Контроль метрик
Соответствие требованиям
SAP Risk Management
MaxPatrol Reporting Portal
MaxPatrol 8
39. ptsecurity.ru
Контроль и анализ защищенности
Приложения
Доступ
Инфраструктура
PT Application Inspector*
SAP Access Control
MaxPatrol 8
43. ptsecurity.ru
Комплексная защита SAP
Защита от атак
Выявление инцидентов
Расследование инцидентов
Контроль защищённости
Управление рисками
SAP Application Inspector*
SAP Application Firewall**
SAP Network Attack Discovery***
SAP Access Control
SAP Single Sign-On
SAP Identity Management
SAP Enterprise Threat Detection
SAP Fraud Management
SAP Risk Management
MaxPatrol 8
MaxPatrol Reporting Portal
MaxPatrol SIEM
45. ptsecurity.ru
Путь к Безопасности
1. Наши продукты, наши компетенции
https://www.ptsecurity.com
2. Анализ уязвимостей и/или пилот,
мониторинг событий ИБ
pt@ptsecurity.com
3. Решение актуальных ИБ-задач
- Инфраструктура: Maxpatrol & Maxpatrol SIEM
- AppSec: PT AF & AI
- Индустриальная безопасность: PT ISIM
4. Осведомленность об угрозах и методах атак
- PHDays
- SecurityLab.ru
- PT Research
49
48. ptsecurity.ru
ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
Positive Technologies researchers have simulated what an internal attacker could achieve. Here’s major findings in a Oil Pumping infrastructure:
Communication chain
Protocol analyzed / dissection.
Identification of data in transit.
Identification of specific crafted package to send to affect pump functioning, general systems functioning
SCADA ecosystem variation
Identification of method to download equipment’s firmware and upload a crafted one
Kiosk invalidation
Identification on how to get access to the kiosk mode
Performed unauthorized operation over kiosk operating system
Exiting from Kiosk mode
Implement network and application attacks
Security measures / breaking availability
Local and remote ability to authenticate in OT infrastructure
Ability to manipulate business and security processes