Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 10 лет назад пользователемЛариса Шушмина
1 Защита наиболее значимых компонентов – Реагирование на инциденты при долговременных атаках. Ваш советник по информационной безопасности Версия:1.2 Автор:A. Kravitz Ответственный:A. Kravitz Дата:09/2013 Конфиденциальность: Общедоступный
2 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 2 Обо мне Avi Kravitz Работаю в сфере информационной безопасности с 1999 IT / Information Security in St. Pölten В компании SEC-Consult с 02/2009 Ведущий консультант по безопасности Менеджер по реагированию на инциденты Опыт работы в роли CISO Фокус в сфере реагирования на инциденты и управления безопасностью …и многое другое
3 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved SEC Consult – о нас Canada Singapore SEC Consult офис SEC Consult Головной офис Клиенты Lithuania Germany Austria Central and Easter Europe Лидер в сфере услуг и консультаций в области информационной безопасности Основаны в 2002 Головной офис в Вене, Австрия Центры разработки в Австрии, Германии, Литве, Сингапуре и России. Глобальная лаборатория уязвимостей SEC Consult Обширная клиентская база в Европе и Азии Сертифицированы по стандарту ISO/IEC Свыше 60 лучших экспертов по безопасности Планируемый офис Moscow Qatar 3 Представитель в России -
4 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 4 Source: The Wall Street Journal
5 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 5 Китайские хакеры подозреваются в длительной атаке на Nortel Точка вторжения: 7 аккаунтов менеджмента Злоумышленники проявляли активность в течении 10 лет Взлом обнаружен в 2004 (странное поведение) Им не удалось справиться с этим инцидентом Nortel обанкротился в 2009 (финансовый кризис...) …У Nortel не было секретов в течении 10 лет
6 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved … еще немного? Stuxnet SCADA атакует объекты атомной энергетики Супер вирус? … безопасное ПО? … приобрести акции BBC… Иранский след The и ии наконец
7 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Что же у них общего? 7
8 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 8 Растет количество прицельных долговременных атак … так что же это? Прицельность: Злоумышленники намеренно выбрали вашу компанию Продвинутые техники: Злоумышленники используют различные методики для достижения своих целей Постоянство: медленно и незаметно злоумышленники ведут себя максимально осторожно чтобы остаться незамеченными как можно дольше (к примеру, используют высокоспециализированные зловредные приложения) Угроза: У преступников есть конкретная цель, они хорошо подготовлены, мотивированы, организованы, располагают хорошим финансированием. Основное требование к прицельной долговременной атаке: оставаться незамеченной как можно дольше.
9 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Сбор информации! будем идти от одной системы к другой пока не найдем что ищем 9 Жизненный цикл прицельной атаки Сбор сведений Начальное проникновение Захват плацдарма Повышение привилегий Достижение целей Сбор внутренней информации Круговое движение Сохранение присутствия соберем информацию Критические уязвимости в веб приложениях Направленный фишинг Непреднамеренны загрузки … Найдем уязвимость Слабые пароли Ошибки конфигурации Плохое управление обновлениями … внедрим удаленно управляемые вирусы у нас есть нужная информация! доставим ее заказчику создадим новые бэкдоры Сбор информации
10 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 10 Как обычно распознаются атаки...(Verizon) Тут что-то не так (33%) Технические системы обнаружения (к примеру, IPS) (5%) Просмотр журналов событий (8%) Информация от третьих лиц (к примеру, правоохранительных органов или партнеров) (50%) «Мы обнаружили их данные в процессе расследования. «Они поражены, и во многих случаях, они были взломаны в течении многих месяцев, а иногда- лет (Shawn Henry, бывший исполнительный директор ФБР) … обнаруживали взломы в процессе аудита информационной безопасности Чтобы увеличить вероятность обнаружения, должен быть организован Центр Управления Безопасностью.
11 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 11 Наш подход 1.Сформировать группу быстрого реагирования 2.Сформировать полную картину 3.Локализовать вторжение и закрыть начальные точки вторжения 4.Обнаружить и закрыть вновь созданные точки вторжения 5.Укрепить защиту критических систем 6.Внедрить стратегические изменения Составление корректной документации крайне важно на всех этапах
12 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 12 Группа быстрого реагирования – шаг первый Сформировать команду быстрого реагирования (со стороны клиента) Собрать ключевых сотрудников из (как минимум) следующих департаментов: Инцидент менеджер (и/или менеджер по информационной безопасности) Сетевой департамент (Firewall, Мониторинг, Proxy,…) Администратор Компании (Администратор домена) Администратор клиента …кто-либо обладающий большим объемом информации Наша группа быстрого реагирования Менеджер по реагированию на инфиденты(Лидер) Специалист по вредоносному ПО Специалист по расследованию инцидентов Специалист по анализу сетевой и WEB безопасности Удаленно: Команда экспертов для углубленного анализа и вспомагательных задач Ключевые сотрудники должны обладать полномочиями для принятия немедленных решений
13 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 13 …и…и AVOID PANIC REACTIONS
14 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 14 Получить полную картину шаг 2 Выяснить что произошло Определить наиболее ценные объекты компании Проанализировать и сопоставить журналы событий(Журналы Windows, Доступа, Межсетевых экранов…) Итеративный повторяющийся процесс! Изучить необычное поведение: Файловая система / службы / блокировка аккаунтов / трафик Результаты: Список подозрительных (атакующих) IP адресов(диапазонов IP)/ Доменов Список подвергшихся атаке внутренних машин Список подвергшихся атаке аккаунтов пользователей Крайне важно понимание намерений злоумышленника
15 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 15 Локализовать атаку…и закрыть оригинальные точки вторжения – ШАГ 3 Обнаружить оригинальные точки вторжения Отключить / изолировать пораженные системы Классифицировать внедренное вредоносное ПО Обратная разработка / Анализ ПО => ключ для расшифровки Расследование инцидентов на распознанных хостах Распознавание внедренного Вредоносного ПО повторение шага 3 Обнаружить и перенаправить каналы управления вредоносным ПО Положительный опыт: перенаправление трафика на honeypot Результат: Список скомпрометированных внутренних хостов -> изоляция/отключение Сменить пароли скомпрометированных аккаунтов Результаты: Новые образцы назад к шагу 2 Большинство действий должны выполняться параллельно
16 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 16 Локализовать атаку…и закрыть оригинальные точки вторжения - ШАГ 3 Отслеживать входящие и исходящие подключения к адресам из списка подозрительных IP Обнаружить вновь созданные точки вторжения ШАГ 4 (параллельно удаленная команда) Блокировать все обнаруженные IP диапазоны с которых осуществляется управление вредоносным ПО Отслеживать подозрительные IP адреса Обеспечить постоянную смену паролей высокопривилегированных пользователей. Постоянно отслеживать Скомпрометированные аккаунты Файлы журналов (доступа, proxy, DNS,…) Новые попытки подключения Разместить защитные ловушки с известными характеристиками Использовать преимущество «игры на своем поле»! Добавить сигнатуры используемого злоумышленником ПО в базы данных антивируса. Непрерывно отслеживать подозрительное поведение
17 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 17 Обнаружить вновь созданные точки вторжения - ШАГ 4 Отслеживать (и проводить очистку) VPN Оценка безопасности всего диапазона внешних IP адресов (выполняется удаленной командой) Учитывать опыт предыдущих инцидентов. (например, направленного фишинга) Локализовывать хосты с уязвимостями высокого и критического уровней опасности Провести исследование файлов журнала вернуться к шагу 2 Непрерывно отслеживать подозрительное поведение
18 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 18 Укрепление критических систем – ШАГ 5 Переустановить скомпрометированные системы (если до сих пор не проводилось) Укрепить ACLs (как минимум между ДМЗ/критическими зонами и интранетом) Усилить Web-Proxy Укрепить Mail-GW Составить белый список приложений. Укрепить доступ в VPN Оптимизировать политику паролей (в т.ч. Для групп локальных администраторов) Также необходима устойчивая двухфакторная аутентификация Установка обновлений клиентов (предотвращает скрытые загрузки) Заблокировать коммуникации между рабочими станциями Непрерывно отслеживать подозрительное поведение
19 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Как обезопасить свою компанию? 19
20 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved В безопасности главное- осведомленность! 20
21 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Задача 21
22 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 22 Поднять планку
23 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved Сделать атаку экономически нецелесообразной 23
24 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 24 Внедрить стратегические изменения Извлечь опыт Навести порядок Укрепить клиент/серверную архитектуру Глубокая защита Неучтенные устройства? Периодическая оценка рисков Периодическая проверка безопасности (внешняя и внутренняя) Внедрение системы менеджмента инцидентов Изолировать критические области безопасности (внедрить сегментацию сети) Оптимизировать управление обновлениями Установить и внедрить процесс безопасной разработки (и закупки) ПО Что сделать, чтобы лучше подготовиться к следующей волне атак?
25 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 25 Внедрить стратегические изменения Центр управления безопасностью (создание специального департамента безопасности) Постоянное наблюдение Внедрение механизмов обнарудения Сопоставление журналов (журналы => ваши глаза и уши) [=> Система отслеживания и управления безопасностью (SIEM)] Оценка новых средств противодействия Улучшение механихмов реагирования на инциденты Выделение соответствующего бюджета на безопасность Инвестиции в повышение осведомленности персонала Что сделать, чтобы лучше подготовиться к следующей волне атак?
26 © 2013 SEC Consult Unternehmensberatung GmbH – All rights reserved 26 Как с нами связаться SEC Consult Unternehmensberatung GmbH Mooslackengasse 17 A-1190 Vienna Austria Tel: +43-(0) Fax: +43-(0) Austria ЗАО «Монитор безопасности» , Россия, Москва 5-й Донской проезд, 15с6 Тел./факс: +7 (495) Россия
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.