17 способов проникновения во внутреннюю сеть компании

Aleksey Lukatskiy
Aleksey LukatskiySecurity Business Development Manager at Cisco Systems um Cisco
Алексей Лукацкий
Бизнес-консультант по безопасности
17 способов
проникновения во
внутреннюю сеть
компании
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как мы защищаем себя… ISP
Оператор
связи
ЛВС
Внутренняя сеть
DMZ
Периметр
Интернет
МСЭ в HA
Ключевые
функции
Надежность (масштабирование)
Продвинутый контроль доступа
Блокирование доступа к
вредоносным IP, URL, DNS
NAT/PAT (динамика ) NAT
(статика)
Remote Access VPN
Site to Site VPN
Обнаружение вредоносного
сетевого трафика
Контроль передачи файлов,
блокирование вредоносных
Динамический анализ
неизвестных файлов
Ключевые
возможности
HA или кластеризация
Приложения, URL, пользователи,
и TrustSec Policy с SGT
Talos Security Intelligence
Carrier Grade NAT
Cisco AnyConnect
Point to Point, Hub and Spoke,
Full mesh
NG IPS
Advanced Malware Protection
Интеграция Threat Grid
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сеть
Пользователи
Головной офис
ЦОД
Администратор
Филиал
Посмотрите на современную, вашу, сеть
Мобильные пользователи
Облако
Какие варианты проникновения в нее существуют?
Взлом Equifax
Пострадало 148 миллионов человек
Штраф в 700 миллионов долларов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что случилось с Equifax
• Equifax – американское бюро
кредитных историй
• 7 сентября 2017 стало известно о
взломе Equifax и утечке
персональных данных 148 миллионов
человек из США, Канады и других
стран
• 14 сентября Equifax подтвердил
взлом
• В августе 2018 года GAO выпустил
детальный отчет о взломе
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 1. Обнаружение уязвимости
• 10 марта 2017 года злоумышленники нашли
известную уязвимость на портале Equifax
(Apache Struts), позволившую получить
доступ к Web-порталу и выполнять на нем
команды
• Информация об уязвимости была разослана
US CERT двумя днями ранее
• После идентификации уязвимости
злоумышленники запустили эксплойт и
получили доступ к системе, проверив
возможность запуска команд
• Никаких данных украдено еще не было
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 2. Эксплуатация уязвимости
• 13 мая 2017 года
злоумышленники
эксплуатировали эту
уязвимость и проникли во
внутренние системы, выполнив
ряд маскирующих процедур
• Например, использовалось
существующее
зашифрованное соединение
для генерации
запросов/получения ответов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 3. Скрытие активности и обнаружение
логинов/паролей администратора
• Шифрованный канал позволял
долго оставаться незамеченным
• Злоумышленники проникли на
внутренние сервера баз данных
и в течение 76 дней
осуществляли кражу и выкачку
данных (9000 запросов)
• Также злоумышленники смогли
узнать незашифрованные
логины и пароли к 51 другим БД
Equifax
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 4. Обнаружение инцидента
• 29 июля Equifax обнаружил
инцидент в рамках обычной
процедуру проверки ОС и
конфигураций ИТ-систем
• Equifax использовала решение
FireEye по обнаружению
вредоносного трафика, которое
не смогло анализировать
зашифрованный трафик из-за
просроченного сертификата,
позволяющего реализовать
MitM
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 5. Расследование инцидента
• После обновления сертификата
администратор Equifax смог обнаружить
признаки взлома в зашифрованном
трафике
• Equifax заблокировал ряд IP-адресов, с
которыми взаимодействовала вредоносная
программа
• 30 июля CISO информировал CEO об атаке
• Расследование длилось с 2 августа по 2
октября
Это была не одноходовка!
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Причины инцидента
• Невыстроенный процесс управления уязвимостями
Список лиц, которым направлялось уведомление US CERT, был устаревшим
Сканер уязвимостей не смог обнаружить уязвимостей на Web-портале
• Скрытие активности в шифрованном канале
• Отсутствие сегментации в сети
• Логины и пароли в открытом виде
• Ненастроенное средство инспекции сетевого трафика с просроченным
сертификатом
И при это защита периметра была выстроена!
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
На что надо было
обратить
внимание?!
Индикаторы
компрометации
q Превышение объема
исходящего трафика
q Соединение с редко
используемыми доменами
q Необычный доступ с Web-
сервера к оконечным
устройствам внутри сети
q Необычные взаимодействия
родительского и дочернего
процессов на узле
q Редкий процесс на узле
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Выстроить процесс устранения уязвимостей и установки патчей
q Тесно контактировать с ИТ-командой, отвечающей за процесс
управления патчами и иметь актуальный список лиц, которые
занимаются устранением дыр
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Поддерживать актуальную конфигурацию как сетевого
оборудования, так и средств защиты
q Отслеживать изменения на Web-серверах и серверах БД
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Сегментировать сеть для предотвращения несанкционированного
доступа
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Понимать риски использования злоумышленниками шифрования для
скрытия своей активности и использования решений, которые
борются с этим (EDR на оконечных устройствах, устройства для SSL
Offload, инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников, использование технологий
машинного обучения для обнаружения вредоносной активности
внутри зашифрованного трафика без его расшифрования)
А у вас выполнены эти рекомендации?
Взлом British Airways
Пострадало 0,5 миллиона человек
Штраф в 230 миллионов долларов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Взлом British Airways
• Между 21 августа и 5
сентября 2018 года
хакерская группа Magecart
(или маскирующаяся под
нее), взломав сервер
авиакомпании British Airways,
похитила данные 380 тысяч
клиентов, включая их ПДн и
финансовую информацию
• Позже BA сообщила, что
могли пострадать еще 185
тысяч клиентов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Начало сценария схоже с Equifax
• Отличие в том, что в случае с BA
был взломан сайт авиакомпании и
подменен JavaScript, собирающий
данные клиентов, с последующей
пересылкой данных на
вредоносный ресурс baways.com
• Также есть предположение, что
взломан мог быть не сайт BA, а
CDN, используемый провайдерами
связи для кеширования
популярных ресурсов или сервер
третьей стороны
И вновь это не одноходовка
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Контролировать ПО, полученное из третьих рук
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Отслеживать изменения на Web-серверах и серверах БД и
выстроить процесс контроля целостности используемого ПО и
скриптов
Обратите внимание – рекомендации
повторяются, хотя кейс совсем иной!
Атака на MAERSK
Ущерб 250-300 миллионов долларов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как MAERSK попал под раздачу?
• В июне 2017-го года MAERSK
случайно попал под раздачу
вредоносного кода Nyetya
• На момент атаки 100%
установленных патчей
• 7 минут после начала
заражения – большая часть
сети «легла»
• 1 час после начала заражения –
нанесен основной ущерб
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Nyetya
Presentation ID
Инструменты
Тактики
• Цепочка поставок и от жертвы к жертве
• Быстрое распространение
• Разрушение систем / сетей
Процессы
• Разработан для максимально быстрого и
эффективного нанесения ущерба
• Похож на вымогателя, но является
деструктивным по сути
• Ransomware с тактикой червя
• Спроектирован для распространения внутри,
не снаружи
• Использование Eternal Blue / Eternal Romance
и Admin Tools (WMI/PSExec)
• Продвинутый актор, ассоциированный с
государством
• Деструктивная атака маскировалась под
Ransomware
• Наиболее дорогой инцидент в истории
Описание
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что произошло в MAERSK за 7 минут
• 49000 лептопов уничтожено
• Все сервисы печати неработоспособны
• Файлшары недоступны
• DHCP и AD неработоспособны (47 копий AD из 48)
• Корпоративная сервисная шина неработоспособна
• vCenter неработоспособен
• 1200 приложений недоступно; 1000 – неработоспособно
• 3500 из 6200 серверов неработоспособно
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Восстановление MAERSK
• 9 дней – восстановлен AD и первые
2000 лэптопов
• 2 недели с начала атаки –
восстановлены все глобальные
приложения
• 4 недели – восстановлены все
лэптопы
Восстановление из резервной копии
приводило к повторному заражению
А вы доверяете своим поставщикам ПО?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
CCleaner Инструменты
Тактики
• Цепочка поставок и от жертвы к жертве
• Медленная внутренняя разведка
• Сложная многоходовая атака
Процессы
• Высокоточная идентификация жертв
через датамайнинг
• Ориентирован на скрытность, рассчитан
на долгую «игру»
• Целевой фишинг
• Комплексная разведка и профилирование
цели
• Кейлогер и вор пользовательских учетных
данных
• Продвинутый актор, ассоциированный с
государством
• Возможность выполнять сложные и
длинные операции, фокусированные на
краже интеллектуальной собственности
Описание
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Атака «водопой» (water hole)
Взлом ASUS, Avast,
поставщиков
промышленного ПО и
др.
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Контролировать ПО, полученное из третьих рук
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Сегментировать сеть для предотвращения несанкционированного
доступа
Обратите внимание – рекомендации
повторяются, хотя и этот кейс совсем
иной! И они снова не связаны с
классической защитой периметра!
Кампания DNSpionage
и Sea Turtle
Невидимость в течение двух лет
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как работает DNS?
DNS-сервер
“Где находится web-сайт?"
“Вот IP-
адрес web-
сайта.”
Web-сайт
Иди по IP-
адресу, чтобы
увидеть этот
сайт.
www.example.com
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Где DNS-сервер
сайта?
02
Какой IP-адрес
сайта?
03
Web-сайт находится
по IP-адресу.
04
Где TLD-сервер
сайта?
01
Как работает DNS… в деталях
DNS Resolver
Корневой DNS-сервер
“Где находится web-сайт?”
02
03
Web-сайт
www.example.com
TLD DNS-сервер
DNS-сервер
01
04
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Атака DNS redirection
“Где находится web-
сайт?"
“Вот IP-адрес web-сайта.”
Web-сайт
Скомпрометированный
DNS-сервер
Вредоносный сайт
www.example.com
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
“Где находится web-
сайт?”
Где DNS-сервер
сайта?
02
Записи DNS-сервера
подменены.
03
IP-адрес
возвращается для
фальшивого сайта.
04
Где TLD-сервер
сайта?
01
Кампания DNSpionage
DNS Resolver
Корневой DNS-сервер
02
TLD DNS-сервер
Скомпрометированный
DNS-сервер
01
03
Web-сайт
04
Сайт «посередине»
www.example.com
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Кампания DNSpionage
• Фальшивый сайт для поиска работы,
разрекламированный через LinkedIn
• Файл MS Word с внедренными
макросами (при открытии и закрытии)
• Запуск RAT на жертве,
взаимодействующем с C2-сервером
• Команды и результаты работы
отправлялись по HTTP или DNS
Фальшивая вакансия с внедренными
макросами
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Кампания DNSpionage
Клиент ⇒ RoyNGBDVIAA0[.]0ffice36o[.]com
0GTx00
base32 Возврат IP-адреса 100.105.114.0 ⇒ клиент
dirx00
ASCII
gLtAGJDVIAJAKZXWY000[.]0ffice36o[.]com -> GJDVIAJAKZXWY000 -> “2GTx01 Vol»
TwGHGJDVIATVNVSSA000[.]0ffice36o[.]com -> GJDVIATVNVSSA000 -> «2GTx02 ume»
1QMUGJDVIA3JNYQGI000[.]0ffice36o[.]com -> GJDVIA3JNYQGI000 -> «2GTx03 in d»
iucCGJDVIBDSNF3GK000[.]0ffice36o[.]com -> GJDVIBDSNF3GK000 -> «2GTx04 rive»
viLxGJDVIBJAIMQGQ000[.]0ffice36o[.]com -> GJDVIBJAIMQGQ000 -> «2GTx05 C h»
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Нормальное распределение длин поддоменов Аномалии в названии поддоменов
log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com
log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com
Что скрывается в этой строке на 231 символ?
Утечка номеров кредитных карт через DNS
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
DNS как API – он есть, но его не мониторят
NAME DNS IP NO C2 TOR PAYMENT
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNS
Ключи шифрования Payment MSG
Ваш МСЭ (даже NGFW) умеет
инспектировать DNS не только на
уровне доступа к доменам, но и на
уровне анализа запросов/ответоы
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Инспекция DNS – на уровне доменов
q Инспекция DNS – на уровне объема запросов и ответов
q Инспекция DNS – на уровне анализа имен/энтропии/длин доменов
q Инспекция DNS – на уровне содержимого запросов и ответов DNS
q Инспекция DNS – …
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Сегментировать сеть для предотвращения несанкционированного
доступа
Вы следите за своим
сетевым
оборудованием?
Слепая зона
История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др.
• 44-ФЗ как угроза информационной безопасности…
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод
заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
Начало 2000-х годов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
VPNFilter Инструменты
Тактики
• Направлена на периметровые устройства
• Перенаправляет и изменяет сетевой трафик
Процессы
• Брать все, искать интересующее
• Заразить и закрепиться
• Фреймворк для построения собственных
ботнетов
• Модульная архитектура для обновления
• Сложная C2 & многоходовая платформа
• Ботнет из периметровых сетевых
устройств и систем хранения
• Инфицировано свыше 500K
уязвимых устройств (не Cisco)
Описание
DNS
мониторинг
NGFW, NGIPS
NTA
Немного кино
Помните кино «Хакеры»?
Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…
Вы их контролируете?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Взлом NASA
• В апреле 2018 хакеры проникли во
внутреннюю сеть NASA и украли 500
МБ данных по миссии на Марс
• В качестве точки входа использовался
портативный компьютер Raspberry Pi,
установленный в сети NASA
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Контролировать купленное сетевое оборудование
q Выстроить процесс устранения уязвимостей и установки патчей
q Поддерживать актуальную конфигурацию сетевого оборудования
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Сегментировать сеть для предотвращения несанкционированного
доступа
Опять рекомендации повторяются! И они
снова не связаны с классической
защитой периметра!
Вспомним про
вредоносный код
Выбросьте антивирусы на помойку
Жизненный цикл уязвимости
tv te td t0 ts tp ta
Уязвимость
появилась
Эксплойт выпущен
в
мир
Уязвимость
известна
вендору
Уязвимость
публично
раскрыта
Выпущена
сигнатура
для
AV/IDS
Выпущен
патч
Патч
внедрен
Окно незащищенности
Атака 0day
Биржи скупки уязвимостей
И даже прямо ищут
• 0-Day для Adobe – 30000$
• 0-Day для Apple – 250000$
• Эксплойт-кит – 200-600$
• Blackhole эксплойт-кит – 700$
в месяц (лизинг) или 1500$ в
год
• Шпионское ПО – 200$
Разработка на заказ
Примечание: цены могут постоянно меняться в ту или иную сторону
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несколько фактов о 0day
• Средняя длительность 0day-атаки
составляет 312 дней (медиана – 8
месяцев)
• После раскрытия 0day-уязвимости
число использующего ее ВПО
возрастает в 183-85000 раз, а число
атак с ней возрастает на 5 (!) порядков
• Эксплойты для 0day уязвимостей
появляются в течение 30 дней после
даты раскрытия уязвимости в 42%
случаев
Длительность 0day-атак
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Доверяете антивирусу? А зря!
Источник: Group-IB
Нет антивируса
14%
Kaspersky
44%
Microsoft
16%
Symantec
7%
Dr.Web
8%
Другие
11%
Почему антивируса недостаточно?
Канал заражения
• Интернет: E-mail
• Интернет: Web
• Внутри: Wi-Fi
• Физический доступ:
USB, цепочка поставок,
обновление ПО,
подрядчики
Техника заражения
• Старое ВПО
• Известный эксплойт
• Новый эксплойт к
недавней уязвимости
• 0day
Сам вредонос
• Старое ВПО – известный
хэш
• Известное тело –
простые модификации
• Новое тело +
обфускация
• Нет повторного
использования прежних
атак
• Различные техники
обхода на разных
уровнях
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Endpoint
Network
Dropper
C2 Callbacks
Payloads
Command and
Control
Dropper
Executes
Email
Opened
File
Encryption
Delete
Shadow
Copies
Payload
Download
Succeeds
Key
Exchange
Email
Payload Download
Attempts
18
26 Ложных
Блокировок
Dropper
Arrives
Пользователь
звонит в
поддержку и
спрашивает
почему ИТ
зашифровала
ПК
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Борьба с вирусами – удел не антивирусов, а целого комплекса
защитных средств
q Сегментировать сеть для локализации развития атаки
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к C2-серверами
q EDR на оконечных устройствах
q Инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников
q Использование технологий машинного обучения для обнаружения
вредоносной активности внутри зашифрованного трафика без его
расшифрования
q Использование расширений традиционных средств защиты
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
Всесторонняя
инфраструктура
защиты
NGIPS
NGFW
Анализ
аномалий
Network
Anti-
Malware
NGIPS
NGFW
Host
Anti-
Malware
DNSЗащита
DNS
Защита
Web
Защита
Email
NGIPS
DNSЗащита
DNS
Защита
Web
NGIPS
Threat
Intelligence
Тайпсквоттинг
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мы часто ошибаемся, нажимая на клавиши
• Что произойдет, если мы наберем «w» вместо «s» или «x» вместо «c»?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Куда вы попадете, набрав sbirbank.ru или
sberbamk.ru?
Это «безобидная» угроза, в отличие от злоумышленного
использования доменов, похожих по написанию на «sberbank»
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Реальные примеры «опасных» доменов
Уже существующие
домены
• sberbank.us
• sberbank.org
• sbervank.ru
• zberbank.ru
• wberbank.ru
• sberbunk.ru
Еще не
задействованные
домены
• sberbani.ru
• sberbanl.ru
• sberrank.ru
• 5berbank.ru
• sberb4nk.ru
• и сотни других
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Домены, найденные утилитой URLcrazy
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Тайпсквотинговый домен связан с
вредоносным кодом
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Locky – скандинавский бог обмана
• Через вложение Email в
фишинговой рассылке
• Шифрует и
переименовывает файлы с
.locky расширением
• Примерно 90,000 жертв в
день
• Выкуп порядка 0.5 – 1.0
BTC (1 BTC ~ $601 US)
• Связан с операторами
Dridex
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Locky: обнаружение инфраструктуры
злоумышленника
СЕНТЯБРЬ 12-26 ДНЕЙ
Umbrella
АВГУСТ 17
LOCKY
*.7asel7[.]top
?
Domain → IP
Ассоциация
?
IP → Sample
Ассоциация
?
IP → Network
Ассоциация
?
IP → Domain
Ассоциация
?
WHOIS
Ассоциация
?
Network → IP
Ассоциация
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
91.223.89.201185.101.218.206
600+
Threat Grid files
SHA256:0c9c328eb66672e
f1b84475258b4999d6df008
*.7asel7[.]top LOCKY
Domain → IP
Ассоциация
AS 197569IP → Network
Ассоциация
1,000+
DGA domains
ccerberhhyed5frqa[.]8211fr[.]top
IP → Domain
Ассоциация
IP → Sample
Ассоциация
CERBER
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
-26 DAYS AUG 21
Umbrella
JUL 18
JUL 21
Umbrella
JUL 14
jbrktqnxklmuf[.]info
mhrbuvcvhjakbisd[.]xyz
LOCKY
LOCKY
DGA
Network → Domain
Ассоциация
DGA
Угроза обнаружена в
день регистрации домена
Угроза обнаружена до
регистрации домена.
ДОМЕН
ЗАРЕГИСТРИРОВАН
JUL 22
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Визуализация инфраструктуры трояна Tinba
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Bы мoжeтe найти oтличия?
* - в названии слайда тоже есть ошибки J
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы можете найти отличия?
a а≠
U+0061
латиница
U+0430
кириллица
* - в названии слайда уже нет ошибок J
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вы можете найти отличия?
Проблема – не внутри вашей сети, а снаружи
Жертва
Оператор
связи
Сайт клонХакер
• Вы можете убрать жертву?
• Вы можете устранить хакера?
• Вы можете переложить это на оператора?
Остается
только
Интернет
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рекомендации для данного кейса
q Инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников
q Использования источников Threat Intelligence с данными о
фишинговых доменах
q Регулярный мониторинг Интернет в поисках сайтов-клонов
q Повышение осведомленности пользователей
q Выстраивание системы защиты от фишинга
А что с фишингом?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проверим вашу наблюдательность
katherinelangford.net
kyt6ea4ak4bvo35lrw.net
vs
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Да, вы правы в 100% случаев! Наверное J
Rovnix Malware DGA-домен
katherinelangford.net kyt6ea4ak4bvo35lrw.net
vs
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проверим вашу наблюдательность
christinepatterson.net
christinekirkpatrick.net
vs
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Человеческий мозг дает сбой!
Suppobox Malware DGA-домен
christinekirkpatrick.net christinepatterson.net
vs
Почему фишинг?
• 80% успешных атак начинается с
фишинга (а кто-то считает, что и вовсе
95%)
• 10% сигналов тревоги в SOC связано с
фишинговыми атаками
• Рейтинг успешных кликов на фишинговые
ссылки - 21%
• Рейтинг загрузки/запуска вредоносных
вложений – 11%
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Рост фишинговых доменов
64% рост новых фишинговых доменов в Q1 2019
Источник: Cisco Umbrella
Ежеквартально появляется около 500 тысяч новых фишинговых доменов
• Голос
• SMS
• MMS
• Блоги
• Соцсети
• Мессенджеры
Только e-mail / Web?
Как меня атаковали через соцсети
Spear Phishing набирает обороты
Snapchat - CEO GCI - CFO
Spear Phishing набирает обороты
Seagate - CEO Джон Подеста, глава избирательной кампании
Хиллари Клинтон
Вспомним 12 апостолов сотрудников ГРУ
Психологи на службе хакеров
Поисковые системы vs пиратское программное
обеспечение
В 27 раз большая вероятность
доставки вредоносного контента
Интернет-реклама vs порнография
В 182 раза большая вероятность
доставки вредоносного контента
Интернет-торговля vs пиратское программное
обеспечение
В 21 раз большая вероятность
доставки вредоносного контента
Но это не все
Злоумышленники могут попасть
внутрь вашей сети и другими
способами
Взлом через Wi-Fi в контролируемой зоне
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Olympic Destroyer Инструменты
Тактики
• Цепочка поставок
• Расширение плацдарма через WMI и PSEXEC
• Автоматическое расширение плацдарма с
украденными учетными данными
Процессы
• Кража учетных данных и расширение
плацдарма
• Фокусированная атака, направленная на
получение политической выгоды
• PSEXEC / WMI / Creds stealer / Browser stealer
• Использование легальных системных утилит
• Mimikatz и воровство учетных данных
• Направлен на Олимпийские игры в Ю.Корее
• Авторство приписывают Северной Корее
Описание
Борьба
с ВПО
Email
Security
DNS
мониторинг
NGFW, NGIPS
NTA EDR
Подводим итоги
Постоянно следите за тактиками,
техниками и процедура (TTP)
злоумышленников
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
1. E-mail
2. Web
3. Site-to-Site VPN
4. Remote Access
VPN
5. Sharing resources
6. USB
7. Wi-Fi
8. Warez
9. BYOD
10. Embedded
11. Клиент-сервер с
шифрованием
12. DevOps
13. Подрядчики
14. Уязвимость на
портале
15. «Водопой»
(Waterhole)
16. DNS
17. Облако
17 каналов проникновения плохих парней в
вашу организацию
Атаки многоходовы и требуют комплексной
защиты
Доставка
Эксплойт
Инсталляция
C&C
Действие
Анализ
Расширение
плацдарма
Инсталляция /
исполнение
Запуск
Захват Сбор Утечка Удаление
Разведка
Вооружение Определение цели
Подготовка
Планирование
Вторжение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Анализ потока
Сеть
L2/L3
МСЭАнтивре-
доносное
ПО
Аналитика
угроз
к внешним зонам
Управление
доступом +
TrustSec
к комплексу
зданий
к облаку
Межсетевой экран нового поколения
Зоны
обще-
доступ-
ных
серверов Сеть
L2/L3
Мониторинг
и контроль
приложений
(AVC)
Безопасность
веб-трафика
Защита
электронной
почты
Система
предотвра-
щения
вторжений
нового
поколения
Отказ
в обслужи-
вании
(DDoS)VPN-
концентратор
Безопасность
хоста
МСЭ
веб-
приложений
Баланси-
ровщик
нагрузки
Транспорти-
ровка
Разгрузка
функций
безопасности
транспортного
уровня
Интернет
Защита периметра – это не только МСЭ и IPS
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Безопасность
хоста
Беспроводная
сеть
Предотвра-
щение
вторжений
в беспроводной
сети
Оценка
состояния
Управление
доступом +
TrustSec
Анализ потока
Сеть
L2/L3
Сеть L2/L3Безопасность
хоста
Идентификация Оценка
состояния
МСЭ Система
предотвра-
щения
вторжений
нового
поколения
Антивре-
доносное ПО
Анализ потокаАналитика
угроз
VPN
Председатель правления,
отправляющий электронные сообщения акционерам
Менеджер по работе с
клиентами,
анализирующий базу
данных клиентов
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения
к ЦОД
WAN
Иденти-
фикация
Управление
мобильными
устройствами
Анализ потокаУправление
доступом +
TrustSec
Управление
доступом +
TrustSec
Управление
доступом +
TrustSec
Маршрутизатор
Локальная сеть тоже должна защищаться
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сеть
L2/L3
Управление
доступом +
TrustSec
к комплексу
зданий
Зона общих
сервисов
Система
предотвра-
щения
вторжений
нового
поколения
Зона сервера
приложений
Зона
соответствия
стандартам PCI
Зона базы
данных
Анализ
потока
Безопасность
хоста
Баланси-
ровщик
нагрузки
Анализ
потока
МСЭ
Антивре-
доносное
ПО
Анали-
тика
угроз
Управление
доступом +
TrustSec
Система
предотвра-
щения
вторжений
нового
поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-
тор
МСЭ веб-
приложений
Централизованное управление
Политики/
Конфигурация
Мониторинг/
контекст
Анализ/
корреляция
Аналитика
Регистрация
в журнале/
отчетность
Аналитика
угроз
Управление
уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
И ЦОД с облаками тоже
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сегментация и мониторинг внутренней сети
Сегментация
сети
Обнаружение и
классификация активов
Понимание поведения
Моделирование и
разработка политик
Применение
политик
Мониторинг активности
ISE
Software Defined
Access
StealthWatch
Tetration
q Начать пересмотр стратегии кибербезопасности
q Понять мотивацию злоумышленников для вашего предприятия
q Учесть тактику, техники и процедуры (TTP), используемые
злоумышленниками
q Идентифицировать слабые звенья в организации, в сети, в
системе защиты
q Думать как злоумышленники – действовать как безопасники
(применяйте Red Team / Blue Team)
q Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ»
q Внедрить сегментацию инфраструктуры – 50% успеха
q Внедрить мониторинг всей инфраструктуры – вторые 50%
успеха
Что надо делать компаниям?
q Сбалансировать технологии защиты (предотвращение,
обнаружение и реагирование) – вместо соотношения 80-15-5
перейдите к 33-33-34
q Задуматься о безопасности внутренней сети также, как
защищается периметр. А также о безопасности облаков
(включая доступ к ним) и мобильных устройств
q Мониторить даже то, чего якобы нет (Wi-Fi, мобильные
устройства, 3G/4G-модемы, облака и т.п.)
q Внедрить систему Threat Intelligence для раннего
предупреждения об угрозах
q Повышение осведомленности персонала
Что надо делать компаниям?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
CISCO CYBERSECURITY SERIES 2019 Consumer Privacy Survey
1
CISCO CYBERSECURITY SERIES 2019 • DATA PRIVACY
NOVEMBER 2019
Consumer
Privacy Survey
The growing imperative of getting
data privacy right
Cisco Cybersecurity Report Series 2020
CISO Benchmark Study
Securing What's Now
and What's Next
20 Cybersecurity Considerations for 2020
CISCO CYBERSECURITY SERIES 2020 • DATA PRIVACY
JANUARY 2020
From Privacy to Profit:
Achieving Positive Returns
on Privacy Investments
Cisco Data Privacy Benchmark Study 2020
Отчеты по безопасности на cisco.com/go/securityreports
Дополнительная информация
Спасибо
за
внимание!
security-request@cisco.com
1 von 107

Recomendados

Ландшафт технологий кибербезопасности 2025 von
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
2.9K views73 Folien
Принцип Парето в информационной безопасности von
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
3.8K views88 Folien
Зарисовки о том, как устроена кибербезопасность в Cisco von
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
1.7K views71 Folien
Почему аналитики L1 в SOC бесполезны? von
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
2.5K views35 Folien
13 советов, от которых зависит успешность вашего SOC von
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
2K views97 Folien
Какими функциями должен обладать современный NGFW? von
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
1.5K views53 Folien

Más contenido relacionado

Was ist angesagt?

От SOC v0.1 к SOC v2.0 von
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0Aleksey Lukatskiy
1.8K views43 Folien
5 советов, от которых зависит успешность вашего SOC von
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
1.8K views34 Folien
Тенденции мирового рынка кибербезопасности 2018 von
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
1.7K views23 Folien
Как правильно выборать аутсорсингового партнера von
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
1.2K views26 Folien
Борьба с вредоносным кодом: от базовых мер к целостной стратегии von
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
1.7K views61 Folien
От разрозненных фидов к целостной программе Threat intelligence von
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
1.8K views170 Folien

Was ist angesagt?(20)

5 советов, от которых зависит успешность вашего SOC von Aleksey Lukatskiy
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy1.8K views
Тенденции мирового рынка кибербезопасности 2018 von Aleksey Lukatskiy
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy1.7K views
Как правильно выборать аутсорсингового партнера von Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy1.2K views
Борьба с вредоносным кодом: от базовых мер к целостной стратегии von Aleksey Lukatskiy
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy1.7K views
От разрозненных фидов к целостной программе Threat intelligence von Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy1.8K views
Защита облаков в условиях комбинирования частных и публичных облачных инфраст... von Aleksey Lukatskiy
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Aleksey Lukatskiy3.5K views
Аутсорсинг. Управление рисками информационной безопасности von Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy1.7K views
4 сценария мониторинга ИБ изолированных промышленных площадок von Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy560 views
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа von Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy2.2K views
Тенденции киберугроз. Что необходимо знать? von Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy680 views
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть von Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy2.8K views
Обнаружение атак - из конца 90-х в 2018-й von Aleksey Lukatskiy
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy2.2K views
Безопасность мобильного доступа: пошаговое руководство von Aleksey Lukatskiy
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy6.8K views
Проблемы безопасной разработки и поддержки импортных средств защиты информации von Aleksey Lukatskiy
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy3.8K views
Измерение эффективности ИБ промышленных систем von Aleksey Lukatskiy
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy1.8K views
Уральский форум по банковской ИБ за 15 минут von Aleksey Lukatskiy
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy1.7K views
Кибербезопасность прорывных технологий von Aleksey Lukatskiy
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy841 views
Применение блокчейна в кибербезопасности von Aleksey Lukatskiy
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy1.7K views

Similar a 17 способов проникновения во внутреннюю сеть компании

Сеть как средство защиты и реагирования на угрозы von
Сеть как средство защиты и реагирования на угрозыСеть как средство защиты и реагирования на угрозы
Сеть как средство защиты и реагирования на угрозыCisco Russia
742 views53 Folien
Как превратить свою сеть в систему информационной безопасности von
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Cisco Russia
1.5K views53 Folien
Визуализация взломов в собственной сети PAN von
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
1.5K views49 Folien
История одного взлома. Как решения Cisco могли бы предотвратить его? von
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
3.3K views51 Folien
Анатомия внешней атаки von
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
5.5K views52 Folien
Методы современных кибепреступников von
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
439 views52 Folien

Similar a 17 способов проникновения во внутреннюю сеть компании(20)

Сеть как средство защиты и реагирования на угрозы von Cisco Russia
Сеть как средство защиты и реагирования на угрозыСеть как средство защиты и реагирования на угрозы
Сеть как средство защиты и реагирования на угрозы
Cisco Russia 742 views
Как превратить свою сеть в систему информационной безопасности von Cisco Russia
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности
Cisco Russia 1.5K views
История одного взлома. Как решения Cisco могли бы предотвратить его? von Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia 3.3K views
Анатомия внешней атаки von Aleksey Lukatskiy
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy5.5K views
Методы современных кибепреступников von Cisco Russia
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
Cisco Russia 439 views
Архитектура защищенного периметра von Cisco Russia
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia 734 views
Один зеродей и тысяча ночей без сна von Aleksey Lukatskiy
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy1.3K views
Какие вопросы чаще всего задают вендору при выборе решения по информационной ... von Denis Batrankov, CISSP
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ... von Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia 864 views
Cognitive Threat Analytics von Cisco Russia
Cognitive Threat AnalyticsCognitive Threat Analytics
Cognitive Threat Analytics
Cisco Russia 738 views
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях... von Expolink
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Expolink306 views
Penetration testing (AS IS) von Dmitry Evteev
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev1.1K views
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ von Aleksey Lukatskiy
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy10K views
Архитектура защищенного периметра von Cisco Russia
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia 727 views
FireEye - система защиты от целенаправленных атак von DialogueScience
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атак
DialogueScience1.2K views
Expose the underground - Разоблачить невидимое von Denis Batrankov, CISSP
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
Обеспечение доступности инфраструктуры корпоративных сетей von Cisco Russia
Обеспечение доступности инфраструктуры корпоративных сетейОбеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
Cisco Russia 629 views
Защита и контроль приложений von Cisco Russia
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
Cisco Russia 289 views

Más de Aleksey Lukatskiy

Как ловить кибермафию с помощью DNS von
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
1.8K views26 Folien
Презентация по ИБ для руководства компании von
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
4K views73 Folien
Дашборды по ИБ АСУ ТП von
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
1.7K views51 Folien
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152 von
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
3.8K views53 Folien
Бизнес-метрики ИБ для руководства финансовой организации von
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
1.2K views33 Folien
Уральский форум 2020 за 15 минут von
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
1.4K views35 Folien

Más de Aleksey Lukatskiy(14)

Как ловить кибермафию с помощью DNS von Aleksey Lukatskiy
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy1.8K views
Презентация по ИБ для руководства компании von Aleksey Lukatskiy
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152 von Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy3.8K views
Бизнес-метрики ИБ для руководства финансовой организации von Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy1.2K views
Уральский форум 2020 за 15 минут von Aleksey Lukatskiy
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy1.4K views
Новая концепция кибербезопасности Zero Trust von Aleksey Lukatskiy
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy2.1K views
Измерение эффективности SOC. 3 года спустя von Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy1.2K views
ICS Cyber Security Effectiveness Measurement von Aleksey Lukatskiy
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy698 views
Новинки нормотворчества по ИБ от Банка России von Aleksey Lukatskiy
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy6.5K views
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152 von Aleksey Lukatskiy
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy2.9K views
Майндкарта по 239-му приказу ФСТЭК von Aleksey Lukatskiy
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Машинное обучение в кибербезопасности von Aleksey Lukatskiy
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy2.8K views

17 способов проникновения во внутреннюю сеть компании

  • 1. Алексей Лукацкий Бизнес-консультант по безопасности 17 способов проникновения во внутреннюю сеть компании
  • 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Как мы защищаем себя… ISP Оператор связи ЛВС Внутренняя сеть DMZ Периметр Интернет МСЭ в HA Ключевые функции Надежность (масштабирование) Продвинутый контроль доступа Блокирование доступа к вредоносным IP, URL, DNS NAT/PAT (динамика ) NAT (статика) Remote Access VPN Site to Site VPN Обнаружение вредоносного сетевого трафика Контроль передачи файлов, блокирование вредоносных Динамический анализ неизвестных файлов Ключевые возможности HA или кластеризация Приложения, URL, пользователи, и TrustSec Policy с SGT Talos Security Intelligence Carrier Grade NAT Cisco AnyConnect Point to Point, Hub and Spoke, Full mesh NG IPS Advanced Malware Protection Интеграция Threat Grid
  • 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сеть Пользователи Головной офис ЦОД Администратор Филиал Посмотрите на современную, вашу, сеть Мобильные пользователи Облако Какие варианты проникновения в нее существуют?
  • 4. Взлом Equifax Пострадало 148 миллионов человек Штраф в 700 миллионов долларов
  • 5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что случилось с Equifax • Equifax – американское бюро кредитных историй • 7 сентября 2017 стало известно о взломе Equifax и утечке персональных данных 148 миллионов человек из США, Канады и других стран • 14 сентября Equifax подтвердил взлом • В августе 2018 года GAO выпустил детальный отчет о взломе
  • 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 1. Обнаружение уязвимости • 10 марта 2017 года злоумышленники нашли известную уязвимость на портале Equifax (Apache Struts), позволившую получить доступ к Web-порталу и выполнять на нем команды • Информация об уязвимости была разослана US CERT двумя днями ранее • После идентификации уязвимости злоумышленники запустили эксплойт и получили доступ к системе, проверив возможность запуска команд • Никаких данных украдено еще не было
  • 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 2. Эксплуатация уязвимости • 13 мая 2017 года злоумышленники эксплуатировали эту уязвимость и проникли во внутренние системы, выполнив ряд маскирующих процедур • Например, использовалось существующее зашифрованное соединение для генерации запросов/получения ответов
  • 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 3. Скрытие активности и обнаружение логинов/паролей администратора • Шифрованный канал позволял долго оставаться незамеченным • Злоумышленники проникли на внутренние сервера баз данных и в течение 76 дней осуществляли кражу и выкачку данных (9000 запросов) • Также злоумышленники смогли узнать незашифрованные логины и пароли к 51 другим БД Equifax
  • 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 4. Обнаружение инцидента • 29 июля Equifax обнаружил инцидент в рамках обычной процедуру проверки ОС и конфигураций ИТ-систем • Equifax использовала решение FireEye по обнаружению вредоносного трафика, которое не смогло анализировать зашифрованный трафик из-за просроченного сертификата, позволяющего реализовать MitM
  • 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 5. Расследование инцидента • После обновления сертификата администратор Equifax смог обнаружить признаки взлома в зашифрованном трафике • Equifax заблокировал ряд IP-адресов, с которыми взаимодействовала вредоносная программа • 30 июля CISO информировал CEO об атаке • Расследование длилось с 2 августа по 2 октября
  • 11. Это была не одноходовка! Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  • 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Причины инцидента • Невыстроенный процесс управления уязвимостями Список лиц, которым направлялось уведомление US CERT, был устаревшим Сканер уязвимостей не смог обнаружить уязвимостей на Web-портале • Скрытие активности в шифрованном канале • Отсутствие сегментации в сети • Логины и пароли в открытом виде • Ненастроенное средство инспекции сетевого трафика с просроченным сертификатом И при это защита периметра была выстроена!
  • 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На что надо было обратить внимание?! Индикаторы компрометации q Превышение объема исходящего трафика q Соединение с редко используемыми доменами q Необычный доступ с Web- сервера к оконечным устройствам внутри сети q Необычные взаимодействия родительского и дочернего процессов на узле q Редкий процесс на узле
  • 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Выстроить процесс устранения уязвимостей и установки патчей q Тесно контактировать с ИТ-командой, отвечающей за процесс управления патчами и иметь актуальный список лиц, которые занимаются устранением дыр q Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри, в том числе и в зашифрованном трафике q Поддерживать актуальную конфигурацию как сетевого оборудования, так и средств защиты q Отслеживать изменения на Web-серверах и серверах БД
  • 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Сегментировать сеть для предотвращения несанкционированного доступа q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Понимать риски использования злоумышленниками шифрования для скрытия своей активности и использования решений, которые борются с этим (EDR на оконечных устройствах, устройства для SSL Offload, инспекция DNS-трафика для обнаружения взаимодействия с инфраструктурой злоумышленников, использование технологий машинного обучения для обнаружения вредоносной активности внутри зашифрованного трафика без его расшифрования)
  • 16. А у вас выполнены эти рекомендации?
  • 17. Взлом British Airways Пострадало 0,5 миллиона человек Штраф в 230 миллионов долларов
  • 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлом British Airways • Между 21 августа и 5 сентября 2018 года хакерская группа Magecart (или маскирующаяся под нее), взломав сервер авиакомпании British Airways, похитила данные 380 тысяч клиентов, включая их ПДн и финансовую информацию • Позже BA сообщила, что могли пострадать еще 185 тысяч клиентов
  • 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начало сценария схоже с Equifax • Отличие в том, что в случае с BA был взломан сайт авиакомпании и подменен JavaScript, собирающий данные клиентов, с последующей пересылкой данных на вредоносный ресурс baways.com • Также есть предположение, что взломан мог быть не сайт BA, а CDN, используемый провайдерами связи для кеширования популярных ресурсов или сервер третьей стороны
  • 20. И вновь это не одноходовка Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  • 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Контролировать ПО, полученное из третьих рук q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Отслеживать изменения на Web-серверах и серверах БД и выстроить процесс контроля целостности используемого ПО и скриптов
  • 22. Обратите внимание – рекомендации повторяются, хотя кейс совсем иной!
  • 23. Атака на MAERSK Ущерб 250-300 миллионов долларов
  • 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Как MAERSK попал под раздачу? • В июне 2017-го года MAERSK случайно попал под раздачу вредоносного кода Nyetya • На момент атаки 100% установленных патчей • 7 минут после начала заражения – большая часть сети «легла» • 1 час после начала заражения – нанесен основной ущерб
  • 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Nyetya Presentation ID Инструменты Тактики • Цепочка поставок и от жертвы к жертве • Быстрое распространение • Разрушение систем / сетей Процессы • Разработан для максимально быстрого и эффективного нанесения ущерба • Похож на вымогателя, но является деструктивным по сути • Ransomware с тактикой червя • Спроектирован для распространения внутри, не снаружи • Использование Eternal Blue / Eternal Romance и Admin Tools (WMI/PSExec) • Продвинутый актор, ассоциированный с государством • Деструктивная атака маскировалась под Ransomware • Наиболее дорогой инцидент в истории Описание
  • 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что произошло в MAERSK за 7 минут • 49000 лептопов уничтожено • Все сервисы печати неработоспособны • Файлшары недоступны • DHCP и AD неработоспособны (47 копий AD из 48) • Корпоративная сервисная шина неработоспособна • vCenter неработоспособен • 1200 приложений недоступно; 1000 – неработоспособно • 3500 из 6200 серверов неработоспособно
  • 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Восстановление MAERSK • 9 дней – восстановлен AD и первые 2000 лэптопов • 2 недели с начала атаки – восстановлены все глобальные приложения • 4 недели – восстановлены все лэптопы Восстановление из резервной копии приводило к повторному заражению
  • 28. А вы доверяете своим поставщикам ПО?
  • 29. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public CCleaner Инструменты Тактики • Цепочка поставок и от жертвы к жертве • Медленная внутренняя разведка • Сложная многоходовая атака Процессы • Высокоточная идентификация жертв через датамайнинг • Ориентирован на скрытность, рассчитан на долгую «игру» • Целевой фишинг • Комплексная разведка и профилирование цели • Кейлогер и вор пользовательских учетных данных • Продвинутый актор, ассоциированный с государством • Возможность выполнять сложные и длинные операции, фокусированные на краже интеллектуальной собственности Описание
  • 30. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Атака «водопой» (water hole) Взлом ASUS, Avast, поставщиков промышленного ПО и др.
  • 31. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Контролировать ПО, полученное из третьих рук q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри, в том числе и в зашифрованном трафике q Сегментировать сеть для предотвращения несанкционированного доступа
  • 32. Обратите внимание – рекомендации повторяются, хотя и этот кейс совсем иной! И они снова не связаны с классической защитой периметра!
  • 33. Кампания DNSpionage и Sea Turtle Невидимость в течение двух лет
  • 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Как работает DNS? DNS-сервер “Где находится web-сайт?" “Вот IP- адрес web- сайта.” Web-сайт Иди по IP- адресу, чтобы увидеть этот сайт. www.example.com
  • 35. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Где DNS-сервер сайта? 02 Какой IP-адрес сайта? 03 Web-сайт находится по IP-адресу. 04 Где TLD-сервер сайта? 01 Как работает DNS… в деталях DNS Resolver Корневой DNS-сервер “Где находится web-сайт?” 02 03 Web-сайт www.example.com TLD DNS-сервер DNS-сервер 01 04
  • 36. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Атака DNS redirection “Где находится web- сайт?" “Вот IP-адрес web-сайта.” Web-сайт Скомпрометированный DNS-сервер Вредоносный сайт www.example.com
  • 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public “Где находится web- сайт?” Где DNS-сервер сайта? 02 Записи DNS-сервера подменены. 03 IP-адрес возвращается для фальшивого сайта. 04 Где TLD-сервер сайта? 01 Кампания DNSpionage DNS Resolver Корневой DNS-сервер 02 TLD DNS-сервер Скомпрометированный DNS-сервер 01 03 Web-сайт 04 Сайт «посередине» www.example.com
  • 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Кампания DNSpionage • Фальшивый сайт для поиска работы, разрекламированный через LinkedIn • Файл MS Word с внедренными макросами (при открытии и закрытии) • Запуск RAT на жертве, взаимодействующем с C2-сервером • Команды и результаты работы отправлялись по HTTP или DNS Фальшивая вакансия с внедренными макросами
  • 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Кампания DNSpionage Клиент ⇒ RoyNGBDVIAA0[.]0ffice36o[.]com 0GTx00 base32 Возврат IP-адреса 100.105.114.0 ⇒ клиент dirx00 ASCII gLtAGJDVIAJAKZXWY000[.]0ffice36o[.]com -> GJDVIAJAKZXWY000 -> “2GTx01 Vol» TwGHGJDVIATVNVSSA000[.]0ffice36o[.]com -> GJDVIATVNVSSA000 -> «2GTx02 ume» 1QMUGJDVIA3JNYQGI000[.]0ffice36o[.]com -> GJDVIA3JNYQGI000 -> «2GTx03 in d» iucCGJDVIBDSNF3GK000[.]0ffice36o[.]com -> GJDVIBDSNF3GK000 -> «2GTx04 rive» viLxGJDVIBJAIMQGQ000[.]0ffice36o[.]com -> GJDVIBJAIMQGQ000 -> «2GTx05 C h»
  • 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Нормальное распределение длин поддоменов Аномалии в названии поддоменов log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com Что скрывается в этой строке на 231 символ? Утечка номеров кредитных карт через DNS
  • 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public DNS как API – он есть, но его не мониторят NAME DNS IP NO C2 TOR PAYMENT Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Ключи шифрования Payment MSG
  • 42. Ваш МСЭ (даже NGFW) умеет инспектировать DNS не только на уровне доступа к доменам, но и на уровне анализа запросов/ответоы
  • 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Инспекция DNS – на уровне доменов q Инспекция DNS – на уровне объема запросов и ответов q Инспекция DNS – на уровне анализа имен/энтропии/длин доменов q Инспекция DNS – на уровне содержимого запросов и ответов DNS q Инспекция DNS – … q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри, в том числе и в зашифрованном трафике q Сегментировать сеть для предотвращения несанкционированного доступа
  • 44. Вы следите за своим сетевым оборудованием? Слепая зона
  • 45. История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. • 44-ФЗ как угроза информационной безопасности… Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да Начало 2000-х годов
  • 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public VPNFilter Инструменты Тактики • Направлена на периметровые устройства • Перенаправляет и изменяет сетевой трафик Процессы • Брать все, искать интересующее • Заразить и закрепиться • Фреймворк для построения собственных ботнетов • Модульная архитектура для обновления • Сложная C2 & многоходовая платформа • Ботнет из периметровых сетевых устройств и систем хранения • Инфицировано свыше 500K уязвимых устройств (не Cisco) Описание DNS мониторинг NGFW, NGIPS NTA
  • 49. Аппаратные закладки на базе Raspberry Pi Лобби и переговорки… Вы их контролируете?
  • 50. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлом NASA • В апреле 2018 хакеры проникли во внутреннюю сеть NASA и украли 500 МБ данных по миссии на Марс • В качестве точки входа использовался портативный компьютер Raspberry Pi, установленный в сети NASA
  • 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Контролировать купленное сетевое оборудование q Выстроить процесс устранения уязвимостей и установки патчей q Поддерживать актуальную конфигурацию сетевого оборудования q Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам q Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри, в том числе и в зашифрованном трафике q Сегментировать сеть для предотвращения несанкционированного доступа
  • 52. Опять рекомендации повторяются! И они снова не связаны с классической защитой периметра!
  • 54. Жизненный цикл уязвимости tv te td t0 ts tp ta Уязвимость появилась Эксплойт выпущен в мир Уязвимость известна вендору Уязвимость публично раскрыта Выпущена сигнатура для AV/IDS Выпущен патч Патч внедрен Окно незащищенности Атака 0day
  • 57. • 0-Day для Adobe – 30000$ • 0-Day для Apple – 250000$ • Эксплойт-кит – 200-600$ • Blackhole эксплойт-кит – 700$ в месяц (лизинг) или 1500$ в год • Шпионское ПО – 200$ Разработка на заказ Примечание: цены могут постоянно меняться в ту или иную сторону
  • 58. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько фактов о 0day • Средняя длительность 0day-атаки составляет 312 дней (медиана – 8 месяцев) • После раскрытия 0day-уязвимости число использующего ее ВПО возрастает в 183-85000 раз, а число атак с ней возрастает на 5 (!) порядков • Эксплойты для 0day уязвимостей появляются в течение 30 дней после даты раскрытия уязвимости в 42% случаев Длительность 0day-атак
  • 59. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверяете антивирусу? А зря! Источник: Group-IB Нет антивируса 14% Kaspersky 44% Microsoft 16% Symantec 7% Dr.Web 8% Другие 11%
  • 60. Почему антивируса недостаточно? Канал заражения • Интернет: E-mail • Интернет: Web • Внутри: Wi-Fi • Физический доступ: USB, цепочка поставок, обновление ПО, подрядчики Техника заражения • Старое ВПО • Известный эксплойт • Новый эксплойт к недавней уязвимости • 0day Сам вредонос • Старое ВПО – известный хэш • Известное тело – простые модификации • Новое тело + обфускация • Нет повторного использования прежних атак • Различные техники обхода на разных уровнях
  • 61. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Endpoint Network Dropper C2 Callbacks Payloads Command and Control Dropper Executes Email Opened File Encryption Delete Shadow Copies Payload Download Succeeds Key Exchange Email Payload Download Attempts 18 26 Ложных Блокировок Dropper Arrives Пользователь звонит в поддержку и спрашивает почему ИТ зашифровала ПК
  • 62. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Борьба с вирусами – удел не антивирусов, а целого комплекса защитных средств q Сегментировать сеть для локализации развития атаки q Отслеживать коммуникации с внешними узлами для обнаружения доступа к C2-серверами q EDR на оконечных устройствах q Инспекция DNS-трафика для обнаружения взаимодействия с инфраструктурой злоумышленников q Использование технологий машинного обучения для обнаружения вредоносной активности внутри зашифрованного трафика без его расшифрования q Использование расширений традиционных средств защиты
  • 63. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ Всесторонняя инфраструктура защиты NGIPS NGFW Анализ аномалий Network Anti- Malware NGIPS NGFW Host Anti- Malware DNSЗащита DNS Защита Web Защита Email NGIPS DNSЗащита DNS Защита Web NGIPS Threat Intelligence
  • 65. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Мы часто ошибаемся, нажимая на клавиши • Что произойдет, если мы наберем «w» вместо «s» или «x» вместо «c»?
  • 66. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Куда вы попадете, набрав sbirbank.ru или sberbamk.ru? Это «безобидная» угроза, в отличие от злоумышленного использования доменов, похожих по написанию на «sberbank»
  • 67. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Реальные примеры «опасных» доменов Уже существующие домены • sberbank.us • sberbank.org • sbervank.ru • zberbank.ru • wberbank.ru • sberbunk.ru Еще не задействованные домены • sberbani.ru • sberbanl.ru • sberrank.ru • 5berbank.ru • sberb4nk.ru • и сотни других
  • 68. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Домены, найденные утилитой URLcrazy
  • 69. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Тайпсквотинговый домен связан с вредоносным кодом
  • 70. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Locky – скандинавский бог обмана • Через вложение Email в фишинговой рассылке • Шифрует и переименовывает файлы с .locky расширением • Примерно 90,000 жертв в день • Выкуп порядка 0.5 – 1.0 BTC (1 BTC ~ $601 US) • Связан с операторами Dridex
  • 71. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Locky: обнаружение инфраструктуры злоумышленника СЕНТЯБРЬ 12-26 ДНЕЙ Umbrella АВГУСТ 17 LOCKY *.7asel7[.]top ? Domain → IP Ассоциация ? IP → Sample Ассоциация ? IP → Network Ассоциация ? IP → Domain Ассоциация ? WHOIS Ассоциация ? Network → IP Ассоциация
  • 72. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 91.223.89.201185.101.218.206 600+ Threat Grid files SHA256:0c9c328eb66672e f1b84475258b4999d6df008 *.7asel7[.]top LOCKY Domain → IP Ассоциация AS 197569IP → Network Ассоциация 1,000+ DGA domains ccerberhhyed5frqa[.]8211fr[.]top IP → Domain Ассоциация IP → Sample Ассоциация CERBER
  • 73. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public -26 DAYS AUG 21 Umbrella JUL 18 JUL 21 Umbrella JUL 14 jbrktqnxklmuf[.]info mhrbuvcvhjakbisd[.]xyz LOCKY LOCKY DGA Network → Domain Ассоциация DGA Угроза обнаружена в день регистрации домена Угроза обнаружена до регистрации домена. ДОМЕН ЗАРЕГИСТРИРОВАН JUL 22
  • 74. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Визуализация инфраструктуры трояна Tinba
  • 75. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Bы мoжeтe найти oтличия? * - в названии слайда тоже есть ошибки J
  • 76. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы можете найти отличия? a а≠ U+0061 латиница U+0430 кириллица * - в названии слайда уже нет ошибок J
  • 77. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Вы можете найти отличия?
  • 78. Проблема – не внутри вашей сети, а снаружи Жертва Оператор связи Сайт клонХакер • Вы можете убрать жертву? • Вы можете устранить хакера? • Вы можете переложить это на оператора? Остается только Интернет
  • 79. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рекомендации для данного кейса q Инспекция DNS-трафика для обнаружения взаимодействия с инфраструктурой злоумышленников q Использования источников Threat Intelligence с данными о фишинговых доменах q Регулярный мониторинг Интернет в поисках сайтов-клонов q Повышение осведомленности пользователей q Выстраивание системы защиты от фишинга
  • 80. А что с фишингом?
  • 81. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проверим вашу наблюдательность katherinelangford.net kyt6ea4ak4bvo35lrw.net vs
  • 82. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Да, вы правы в 100% случаев! Наверное J Rovnix Malware DGA-домен katherinelangford.net kyt6ea4ak4bvo35lrw.net vs
  • 83. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проверим вашу наблюдательность christinepatterson.net christinekirkpatrick.net vs
  • 84. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Человеческий мозг дает сбой! Suppobox Malware DGA-домен christinekirkpatrick.net christinepatterson.net vs
  • 85. Почему фишинг? • 80% успешных атак начинается с фишинга (а кто-то считает, что и вовсе 95%) • 10% сигналов тревоги в SOC связано с фишинговыми атаками • Рейтинг успешных кликов на фишинговые ссылки - 21% • Рейтинг загрузки/запуска вредоносных вложений – 11%
  • 86. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Рост фишинговых доменов 64% рост новых фишинговых доменов в Q1 2019 Источник: Cisco Umbrella Ежеквартально появляется около 500 тысяч новых фишинговых доменов
  • 87. • Голос • SMS • MMS • Блоги • Соцсети • Мессенджеры Только e-mail / Web?
  • 88. Как меня атаковали через соцсети
  • 89. Spear Phishing набирает обороты Snapchat - CEO GCI - CFO
  • 90. Spear Phishing набирает обороты Seagate - CEO Джон Подеста, глава избирательной кампании Хиллари Клинтон
  • 91. Вспомним 12 апостолов сотрудников ГРУ
  • 92. Психологи на службе хакеров Поисковые системы vs пиратское программное обеспечение В 27 раз большая вероятность доставки вредоносного контента Интернет-реклама vs порнография В 182 раза большая вероятность доставки вредоносного контента Интернет-торговля vs пиратское программное обеспечение В 21 раз большая вероятность доставки вредоносного контента
  • 93. Но это не все Злоумышленники могут попасть внутрь вашей сети и другими способами
  • 94. Взлом через Wi-Fi в контролируемой зоне
  • 95. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Olympic Destroyer Инструменты Тактики • Цепочка поставок • Расширение плацдарма через WMI и PSEXEC • Автоматическое расширение плацдарма с украденными учетными данными Процессы • Кража учетных данных и расширение плацдарма • Фокусированная атака, направленная на получение политической выгоды • PSEXEC / WMI / Creds stealer / Browser stealer • Использование легальных системных утилит • Mimikatz и воровство учетных данных • Направлен на Олимпийские игры в Ю.Корее • Авторство приписывают Северной Корее Описание Борьба с ВПО Email Security DNS мониторинг NGFW, NGIPS NTA EDR
  • 96. Подводим итоги Постоянно следите за тактиками, техниками и процедура (TTP) злоумышленников
  • 97. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 1. E-mail 2. Web 3. Site-to-Site VPN 4. Remote Access VPN 5. Sharing resources 6. USB 7. Wi-Fi 8. Warez 9. BYOD 10. Embedded 11. Клиент-сервер с шифрованием 12. DevOps 13. Подрядчики 14. Уязвимость на портале 15. «Водопой» (Waterhole) 16. DNS 17. Облако 17 каналов проникновения плохих парней в вашу организацию
  • 98. Атаки многоходовы и требуют комплексной защиты Доставка Эксплойт Инсталляция C&C Действие Анализ Расширение плацдарма Инсталляция / исполнение Запуск Захват Сбор Утечка Удаление Разведка Вооружение Определение цели Подготовка Планирование Вторжение
  • 99. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
  • 100. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Анализ потока Сеть L2/L3 МСЭАнтивре- доносное ПО Аналитика угроз к внешним зонам Управление доступом + TrustSec к комплексу зданий к облаку Межсетевой экран нового поколения Зоны обще- доступ- ных серверов Сеть L2/L3 Мониторинг и контроль приложений (AVC) Безопасность веб-трафика Защита электронной почты Система предотвра- щения вторжений нового поколения Отказ в обслужи- вании (DDoS)VPN- концентратор Безопасность хоста МСЭ веб- приложений Баланси- ровщик нагрузки Транспорти- ровка Разгрузка функций безопасности транспортного уровня Интернет Защита периметра – это не только МСЭ и IPS
  • 101. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Безопасность хоста Беспроводная сеть Предотвра- щение вторжений в беспроводной сети Оценка состояния Управление доступом + TrustSec Анализ потока Сеть L2/L3 Сеть L2/L3Безопасность хоста Идентификация Оценка состояния МСЭ Система предотвра- щения вторжений нового поколения Антивре- доносное ПО Анализ потокаАналитика угроз VPN Председатель правления, отправляющий электронные сообщения акционерам Менеджер по работе с клиентами, анализирующий базу данных клиентов Контроллер беспроводной сети Коммутатор Межсетевой экран нового поколения к ЦОД WAN Иденти- фикация Управление мобильными устройствами Анализ потокаУправление доступом + TrustSec Управление доступом + TrustSec Управление доступом + TrustSec Маршрутизатор Локальная сеть тоже должна защищаться
  • 102. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сеть L2/L3 Управление доступом + TrustSec к комплексу зданий Зона общих сервисов Система предотвра- щения вторжений нового поколения Зона сервера приложений Зона соответствия стандартам PCI Зона базы данных Анализ потока Безопасность хоста Баланси- ровщик нагрузки Анализ потока МСЭ Антивре- доносное ПО Анали- тика угроз Управление доступом + TrustSec Система предотвра- щения вторжений нового поколения Межсетевой экран нового поколения Маршрутизатор Сеть L2/L3МСЭ VPN Коммута- тор МСЭ веб- приложений Централизованное управление Политики/ Конфигурация Мониторинг/ контекст Анализ/ корреляция Аналитика Регистрация в журнале/ отчетность Аналитика угроз Управление уязвимостями Мониторинг к периметру Виртуализированные функции WAN И ЦОД с облаками тоже
  • 103. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сегментация и мониторинг внутренней сети Сегментация сети Обнаружение и классификация активов Понимание поведения Моделирование и разработка политик Применение политик Мониторинг активности ISE Software Defined Access StealthWatch Tetration
  • 104. q Начать пересмотр стратегии кибербезопасности q Понять мотивацию злоумышленников для вашего предприятия q Учесть тактику, техники и процедуры (TTP), используемые злоумышленниками q Идентифицировать слабые звенья в организации, в сети, в системе защиты q Думать как злоумышленники – действовать как безопасники (применяйте Red Team / Blue Team) q Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ» q Внедрить сегментацию инфраструктуры – 50% успеха q Внедрить мониторинг всей инфраструктуры – вторые 50% успеха Что надо делать компаниям?
  • 105. q Сбалансировать технологии защиты (предотвращение, обнаружение и реагирование) – вместо соотношения 80-15-5 перейдите к 33-33-34 q Задуматься о безопасности внутренней сети также, как защищается периметр. А также о безопасности облаков (включая доступ к ним) и мобильных устройств q Мониторить даже то, чего якобы нет (Wi-Fi, мобильные устройства, 3G/4G-модемы, облака и т.п.) q Внедрить систему Threat Intelligence для раннего предупреждения об угрозах q Повышение осведомленности персонала Что надо делать компаниям?
  • 106. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public CISCO CYBERSECURITY SERIES 2019 Consumer Privacy Survey 1 CISCO CYBERSECURITY SERIES 2019 • DATA PRIVACY NOVEMBER 2019 Consumer Privacy Survey The growing imperative of getting data privacy right Cisco Cybersecurity Report Series 2020 CISO Benchmark Study Securing What's Now and What's Next 20 Cybersecurity Considerations for 2020 CISCO CYBERSECURITY SERIES 2020 • DATA PRIVACY JANUARY 2020 From Privacy to Profit: Achieving Positive Returns on Privacy Investments Cisco Data Privacy Benchmark Study 2020 Отчеты по безопасности на cisco.com/go/securityreports Дополнительная информация