Защита наиболее значимых компонентов – Реагирование на инциденты при долговременных атаках. Ваш советник по информационной безопасности Версия:1.2 Автор:A. Kravitz Ответственный:A. Kravitz Дата:09/2013 Конфиденциальность: Общедоступный

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 2 Обо мне Avi Kravitz Работаю в сфере информационной безопасности с 1999 IT / Information Security in St. Pölten В компании SEC-Consult с 02/2009 Ведущий консультант по безопасности Менеджер по реагированию на инциденты Опыт работы в роли CISO Фокус в сфере реагирования на инциденты и управления безопасностью …и многое другое

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved SEC Consult – о нас Canada Singapore SEC Consult офис SEC Consult Головной офис Клиенты Lithuania Germany Austria Central and Easter Europe Лидер в сфере услуг и консультаций в области информационной безопасности Основаны в 2002 Головной офис в Вене, Австрия Центры разработки в Австрии, Германии, Литве, Сингапуре и России. Глобальная лаборатория уязвимостей SEC Consult Обширная клиентская база в Европе и Азии Сертифицированы по стандарту ISO/IEC Свыше 60 лучших экспертов по безопасности Планируемый офис Moscow Qatar 3 Представитель в России -

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 4 Source: The Wall Street Journal

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 5 Китайские хакеры подозреваются в длительной атаке на Nortel Точка вторжения: 7 аккаунтов менеджмента Злоумышленники проявляли активность в течении 10 лет Взлом обнаружен в 2004 (странное поведение) Им не удалось справиться с этим инцидентом Nortel обанкротился в 2009 (финансовый кризис...) …У Nortel не было секретов в течении 10 лет

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved … еще немного? Stuxnet SCADA атакует объекты атомной энергетики Супер вирус? … безопасное ПО? … приобрести акции BBC… Иранский след The и ии наконец

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Что же у них общего? 7

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 8 Растет количество прицельных долговременных атак … так что же это? Прицельность: Злоумышленники намеренно выбрали вашу компанию Продвинутые техники: Злоумышленники используют различные методики для достижения своих целей Постоянство: медленно и незаметно злоумышленники ведут себя максимально осторожно чтобы остаться незамеченными как можно дольше (к примеру, используют высокоспециализированные зловредные приложения) Угроза: У преступников есть конкретная цель, они хорошо подготовлены, мотивированы, организованы, располагают хорошим финансированием. Основное требование к прицельной долговременной атаке: оставаться незамеченной как можно дольше.

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Сбор информации! будем идти от одной системы к другой пока не найдем что ищем 9 Жизненный цикл прицельной атаки Сбор сведений Начальное проникновение Захват плацдарма Повышение привилегий Достижение целей Сбор внутренней информации Круговое движение Сохранение присутствия соберем информацию Критические уязвимости в веб приложениях Направленный фишинг Непреднамеренны загрузки … Найдем уязвимость Слабые пароли Ошибки конфигурации Плохое управление обновлениями … внедрим удаленно управляемые вирусы у нас есть нужная информация! доставим ее заказчику создадим новые бэкдоры Сбор информации

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 10 Как обычно распознаются атаки...(Verizon) Тут что-то не так (33%) Технические системы обнаружения (к примеру, IPS) (5%) Просмотр журналов событий (8%) Информация от третьих лиц (к примеру, правоохранительных органов или партнеров) (50%) «Мы обнаружили их данные в процессе расследования. «Они поражены, и во многих случаях, они были взломаны в течении многих месяцев, а иногда- лет (Shawn Henry, бывший исполнительный директор ФБР) … обнаруживали взломы в процессе аудита информационной безопасности Чтобы увеличить вероятность обнаружения, должен быть организован Центр Управления Безопасностью.

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 11 Наш подход 1.Сформировать группу быстрого реагирования 2.Сформировать полную картину 3.Локализовать вторжение и закрыть начальные точки вторжения 4.Обнаружить и закрыть вновь созданные точки вторжения 5.Укрепить защиту критических систем 6.Внедрить стратегические изменения Составление корректной документации крайне важно на всех этапах

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 12 Группа быстрого реагирования – шаг первый Сформировать команду быстрого реагирования (со стороны клиента) Собрать ключевых сотрудников из (как минимум) следующих департаментов: Инцидент менеджер (и/или менеджер по информационной безопасности) Сетевой департамент (Firewall, Мониторинг, Proxy,…) Администратор Компании (Администратор домена) Администратор клиента …кто-либо обладающий большим объемом информации Наша группа быстрого реагирования Менеджер по реагированию на инфиденты(Лидер) Специалист по вредоносному ПО Специалист по расследованию инцидентов Специалист по анализу сетевой и WEB безопасности Удаленно: Команда экспертов для углубленного анализа и вспомагательных задач Ключевые сотрудники должны обладать полномочиями для принятия немедленных решений

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 13 …и…и AVOID PANIC REACTIONS

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 14 Получить полную картину шаг 2 Выяснить что произошло Определить наиболее ценные объекты компании Проанализировать и сопоставить журналы событий(Журналы Windows, Доступа, Межсетевых экранов…) Итеративный повторяющийся процесс! Изучить необычное поведение: Файловая система / службы / блокировка аккаунтов / трафик Результаты: Список подозрительных (атакующих) IP адресов(диапазонов IP)/ Доменов Список подвергшихся атаке внутренних машин Список подвергшихся атаке аккаунтов пользователей Крайне важно понимание намерений злоумышленника

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 15 Локализовать атаку…и закрыть оригинальные точки вторжения – ШАГ 3 Обнаружить оригинальные точки вторжения Отключить / изолировать пораженные системы Классифицировать внедренное вредоносное ПО Обратная разработка / Анализ ПО => ключ для расшифровки Расследование инцидентов на распознанных хостах Распознавание внедренного Вредоносного ПО повторение шага 3 Обнаружить и перенаправить каналы управления вредоносным ПО Положительный опыт: перенаправление трафика на honeypot Результат: Список скомпрометированных внутренних хостов -> изоляция/отключение Сменить пароли скомпрометированных аккаунтов Результаты: Новые образцы назад к шагу 2 Большинство действий должны выполняться параллельно

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 16 Локализовать атаку…и закрыть оригинальные точки вторжения - ШАГ 3 Отслеживать входящие и исходящие подключения к адресам из списка подозрительных IP Обнаружить вновь созданные точки вторжения ШАГ 4 (параллельно удаленная команда) Блокировать все обнаруженные IP диапазоны с которых осуществляется управление вредоносным ПО Отслеживать подозрительные IP адреса Обеспечить постоянную смену паролей высокопривилегированных пользователей. Постоянно отслеживать Скомпрометированные аккаунты Файлы журналов (доступа, proxy, DNS,…) Новые попытки подключения Разместить защитные ловушки с известными характеристиками Использовать преимущество «игры на своем поле»! Добавить сигнатуры используемого злоумышленником ПО в базы данных антивируса. Непрерывно отслеживать подозрительное поведение

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 17 Обнаружить вновь созданные точки вторжения - ШАГ 4 Отслеживать (и проводить очистку) VPN Оценка безопасности всего диапазона внешних IP адресов (выполняется удаленной командой) Учитывать опыт предыдущих инцидентов. (например, направленного фишинга) Локализовывать хосты с уязвимостями высокого и критического уровней опасности Провести исследование файлов журнала вернуться к шагу 2 Непрерывно отслеживать подозрительное поведение

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 18 Укрепление критических систем – ШАГ 5 Переустановить скомпрометированные системы (если до сих пор не проводилось) Укрепить ACLs (как минимум между ДМЗ/критическими зонами и интранетом) Усилить Web-Proxy Укрепить Mail-GW Составить белый список приложений. Укрепить доступ в VPN Оптимизировать политику паролей (в т.ч. Для групп локальных администраторов) Также необходима устойчивая двухфакторная аутентификация Установка обновлений клиентов (предотвращает скрытые загрузки) Заблокировать коммуникации между рабочими станциями Непрерывно отслеживать подозрительное поведение

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Как обезопасить свою компанию? 19

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved В безопасности главное- осведомленность! 20

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Задача 21

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 22 Поднять планку

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Сделать атаку экономически нецелесообразной 23

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 24 Внедрить стратегические изменения Извлечь опыт Навести порядок Укрепить клиент/серверную архитектуру Глубокая защита Неучтенные устройства? Периодическая оценка рисков Периодическая проверка безопасности (внешняя и внутренняя) Внедрение системы менеджмента инцидентов Изолировать критические области безопасности (внедрить сегментацию сети) Оптимизировать управление обновлениями Установить и внедрить процесс безопасной разработки (и закупки) ПО Что сделать, чтобы лучше подготовиться к следующей волне атак?

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 25 Внедрить стратегические изменения Центр управления безопасностью (создание специального департамента безопасности) Постоянное наблюдение Внедрение механизмов обнарудения Сопоставление журналов (журналы => ваши глаза и уши) [=> Система отслеживания и управления безопасностью (SIEM)] Оценка новых средств противодействия Улучшение механихмов реагирования на инциденты Выделение соответствующего бюджета на безопасность Инвестиции в повышение осведомленности персонала Что сделать, чтобы лучше подготовиться к следующей волне атак?

© 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 26 Как с нами связаться SEC Consult Unternehmensberatung GmbH Mooslackengasse 17 A-1190 Vienna Austria Tel: +43-(0) Fax: +43-(0) Austria ЗАО «Монитор безопасности» , Россия, Москва 5-й Донской проезд, 15с6 Тел./факс: +7 (495) Россия