Cisco Connect Москва, 2017

Цифровизация: здесь и сейчас

Практика исследования защищенности российских компаний. Информация к размышлению

Алексей Качалин

© 2017 Cisco and/or its affiliates. All rights reserved.

Компетенции, реализованные в

продуктах и сервисах

Сервисы Тест на проникновение

Анализ защищенности

Анализ угроз и

расследование инцидентов

Выявление атак

на критически важные

системы телекомов

и промышленных

предприятий

Выявление вредоносных

файлов, полученных по почте

и хранящихся в

корпоративных базах,

десятками антивирусов

PT Multiscanner

PT ISIM

PT SS7 Attack

Discovery

MaxPatrol

MaxPatrol SIEM

Мониторинг безопасности на

всех уровнях

информационной системы, а

также сбор событий и анализ

состояния системы

Защита веб-порталов

и бизнес-приложений

на этапе разработки

и эксплуатации

PT Application

Inspector

PT Application Firewall

Российская компания,

международный опыт

Москва

Санкт-Петербург

Новосибирск

Томск

Самара

Нижний Новгород

Лондон

Бостон

Рим

Тунис

Сеул

Брно

Представители

Владивосток

Казань

Санкт-Петербург

Новосибирск

Екатеринбург

Ростов-на-Дону

Более 100 партнеров в России

Тесты на проникновение: реальность угроз ИБ ИТ

Периметр 87%

корпоративных локальных

сетей не останавливает

проникновение

61% компаний может

взломать атакующий с

базовыми навыками

Взлом

компании

занимает

3-5 дней

Действия пентестеров

обнаруживают только

в 2 из 100 тестов на

проникновение

87% 61% 2%

1 неделя

Последствия уязвимостей: в ожидании инцидентов Более 3-х лет - время присутствия злоумышленников в информационной системе

Одновременно – несколько групп

Признаки присутствия

Аномальные потоки данных

Фоновая активность вредоносов

Криптолокер

Получен доступ к системам ИТ защиты

Реконфигурация домена

Реконфигурация сетевых устройств и правил доступа

Злоумышленники контролируют действия по расследованию инцидента

Успевают восстановить доступ при обнаружении

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6

Злоумышленники • Разбираются в технологических и орг. процессах • Проявляют активный интерес к бизнес-сценариям

• Внедрение в продаваемые фирмы для «попадания» в инфраструктуру крупной компании

Объекты исследования: крупные российские и международные компании

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7

20%

13%

27%

40%

Банки

IT компании

Телеком

Территориально распределенная инфраструктура

Множество дочерних компаний и филиалов

Сотни узлов на сетевом периметре

Тысячи устройств ЛВС (серверы, рабочие станции, сетевое оборудование)

ИБ-фактор цифровизации: Вчера, Сегодня, Завтра

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8

IT OpSec

AppSec

ОТ

Тест на проникновение Подход, типовой сценарий и эффективность методов

Internet

Internet

Доступ к

внутренней сети

Уязвимости: что буем искать (и найдём)

• Недостатки управления учетными записями и паролями

• Уязвимости веб-приложений

• Недостатки фильтрации трафика

• Недостатки управления уязвимостями и обновлениями

• Плохая осведомленность пользователей в вопросах информационной безопасности

• Недостатки конфигурации и разграничения доступа

??? 1

4

7

Internet

Доступ к

внутренней сети

Атака из внешней сети

подбор 1 1

2

3

4

7

91% Системы с доступными из

Интернета интерфейсами управления

Internet

Доступ к

внутренней сети

Атака из внешней сети

подбор 1 1

2

91% Словарные пароли для доступа к веб-приложениям

Internet

Доступ к

внутренней сети

Атака из внешней сети

подбор 1 1

2

73% Чувствительные данные хранятся

в открытом виде

учетки в открытом виде

Internet

Доступ к

внутренней сети

Атака из внешней сети

подбор 1 1

2

27% Словарный пароль к СУБД

учетки в открытом виде

3 СУБД

45% Доступ к интерфейсам СУБД

Internet

Доступ к

внутренней сети

Атака из внешней сети

подбор 1 1

2

учетки в открытом виде

3 СУБД

27% Возможность доступа к

корпоративными сервисами

выход из песочницы

4

Internet

Доступ к

внутренней сети

Атака из внешней сети

подбор 1 1

2

учетки в открытом виде

3 СУБД

80% Уязвимые веб-приложения

выход из песочницы

4

веб-уязвимости 5

Internet

Доступ к

внутренней сети

Атака из внешней сети

подбор 1 1

2

учетки в открытом виде

3 СУБД

91% Системы с уязвимым ПО

выход из песочницы

4

веб-уязвимости 5

уязвимости ПО

6

Internet

Доступ к

внутренней сети

Атака из внешней сети

подбор 1 1

2

учетки в открытом виде

3 СУБД

100% Методы

социальной

инженерии

выход из песочницы

4

веб-уязвимости 5

уязвимости ПО

6

7 социальная инженерия

Internet

Доступ к

внутренней сети

Атака из внешней сети: WiFi

подбор

веб-уязвимости

уязвимости ПО

учетки в открытом виде

социальная инженерия

выход из песочницы

СУБД

1 1

2 5

3

4

6

7

8

100%

Успешность

атак через

WiFi сети

Недостатки защиты беспроводной сети

3/4 Несанкционированные точки доступа

Доступность корпоративных WiFi за пределами КЗ

Не проверяется сертификат сети Слабые ключи 1/2

систем

систем

Подключение ресурсов ЛВС к беспроводной сети

Подмена точки доступа

Отсутствие защиты беспроводной сети

Использование гостевой сети сотрудниками

Отсутствие изоляции пользователей

10%

1%

10%

Перешли по ссылке

Вступили в диалог

Ввели учетные данные либо

запустили файл

Социальная инженерия (целевой фишинг, …)

max

24,5%

Доля сотрудников (в среднем по компаниям)

Первый шаг при целевой атаке

Фишинг сегодня это:

Основной способ распространения ВПО

Развитие атаки в ЛВС

Развитие атаки в ЛВС: охота на админа

Словарные

пароли

90% Обход

антивирусной

защиты

100% 1

2

_

Развитие атаки в ЛВС: охота на админа

90%

100% 1

Перехват хеша в сети и его использование (брут)

Развитие атаки в ЛВС: охота на админа

90%

100%

Атаки на протоколы

60%

1

2

Перехват хеша в сети и его использование (брут)

Развитие атаки в ЛВС: охота на админа

90%

100%

60%

Хранение важных

данных в

открытом виде 60%

1

2

Развитие атаки в ЛВС: охота на админа

90%

100%

60%

Двухфакторная

аутентификация

9%

60%

1

2

Развитие атаки в ЛВС: охота на админа

100% Полный контроль

над инфраструктурой

Атака в 4 шага

Словарные пароли

90%

Обход

антивирусной защиты

100%

Атаки на протоколы

60%

Двухфакторная

аутентификация 9%

Хранение важных

данных в открытом

виде

60%

систем

1

2

Независимо от типа нарушителя

Демонстрация возможностей атакующего: прогноз последствий

Нарушитель получает возможность:

контролировать потоки информации в компаниях

вывести всю инфраструктуру из строя

проводить атаки на клиентов компаний

проводить атаки, угрожающие деловой репутации (deface сайтов, рассылка писем с заведомо ложной информацией партнерам, срыв сделок и т.д.)

похищать конфиденциальную информацию

выполнять мошеннические операции

Проведенные исследования демонстрируют

возможность получения полного

контроля инфраструктуры группы компаний

Positive Technologies: решение обязательных задач безопасности

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 30

• Инвентаризация • Управление уязвимостями • Сбор событий

безопасности • Анализ защищенности

IT OpSec

MaxPatrol*

MaxPatrol

SIEM*

*Поддержка оборудования CISCO

Безопасность приложений: уязвимости и атаки на приложения

AppSec

Приложение – и цель и средство атакующего - Веб-приложения

- Веб-порталы

- Бизнес-

приложения, SAP

- Мобильные

приложения

- Электронная

коммерция

- ДБО

• Подвержены атакам – возможность доступа из Интернет

• Содержат критические данные

• Возможность доступа во внутреннюю сеть через

приложение

Приложение – уязвимая цель

Наше виденье безопасности приложений: + Безопасность по построению: СЗИ + Цикл безопасной разработки

+ СЗИ: адаптивный контроль

+ Исследование уязвимостей

+ Интегрированная возможность расследования инцидентов

• Рост динамики обновлений приложений

• Сложная структура приложений – сторонние компоненты

• Итеративная разработка, зависимость от внешнего исполнителя

Приложения: цель №1

AppSec

11%

11%

16%

21%

32%

58%

74%

84%

84%

0% 20% 40% 60% 80% 100%

Подделка межсайтовых запросов

Загрузка произвольных файлов

Внедрение внешних сущностей XML

Подключение локальных файлов

Отказ в обслуживании

Межсайтовое выполнение сценариев

Выход за пределы назначенной директории (Path Traversal)

Выполнение команд ОС

Внедрение операторов SQL

Атаки на веб-приложения

• Лидируют простые атаки: SQLi,

Path Traversal, XSS, выполнение

команд OC

• Высокая автоматизация, особенно

при атаках на сайты промышленных

компаний

(98% атак – сканеры)

• Интернет-магазины и

государственные

сайты чаще атакуют вручную

Специфика атак => Специфика защиты

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34

2%15%

35%

37%

41%

82%

99%

98%

85%

65%

63%

59%

18%

1%

0% 20% 40% 60% 80% 100%

Промышленность

Образование

Транспорт

Финансы

IT

Государственные учреждения

Интернет-магазины

Атаки, выполняемые вручную Автоматизированный поиск уязвимостей

Совместное решение PT & CISCO:

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35

AF для ACI

AF @ C- & E- UCS

Прогноз на «Завтра»: Угрозы Операционным Технологиям АСУ ТП, ИВ и ИТ, которые их объединяют

ОТ 100

500

Evolving

A P T

Их опыт. Инциденты в пром.секторе США

295 крупных инцидентов (15% рост) в промышленных компаниях

46 – энергетика

97 инцидентов c «участием» поставщиков оборудования и сервисов

В 106 случаях - использовались вредоносы и целевой фишинг

В 12% были затронуты компоненты АСУ ТП

Специфика «кибер» угроз Тиражируемость

Управляемость по времени

Повторяемость

Взаимозависимость и объединение ИТ и АСУ ТП - ОТ

Новые возможности/мотивация атакующих

http://www.darkreading.com/attacks-breaches/ransomware-scada-access-as-a-service-emerging-threats-for-ics-operators-report-says/d/d-id/1325952

Киберугрозы: из ИТ через ОТ в реальность

• Нарушение физической безопасности (взлом умных замков)

• Нарушение работы предприятия (ложные срабатывания пожарной сигнализации, повторяющиеся)

• Утечки информации (съем данных с систем видеонаблюдения)

• Фрод (модификация показаний датчиков (весов))

• Локеры устройств

SmartThings app that’s meant to check a lock’s battery shouldn’t be able to steal its PIN or set off a fire alarm, they argue. In fact, they analyzed 499 SmartThings and found that more than half of them had at least some level of privilege they considered overbroad, and that 68 actually used capabilities they weren’t meant to possess.

Моделирование угроз для АСУ ТП

Protocol analysis

(Modbus, S7,

Profinet etc)

Kiosk mode

escape Unauthorized

access

Firmware

download

Password

cracking

Access

controllers

Command/data sending

Pipeline accident

Fire protection

system

SCADA/HMI

Pumping Infrastructure

DMZ

Firmware

modification

Denial of

service

Fire protection system enable or disable unauthorized

False data on

operators’ screens

Threat to life

Pipeline Idle

time

Pumping

station

Fire

protection

system

Workstations

DMZ

Connection breach

Control over DMZ server

Damage to Environment

Internal

Attacker

Penetration vectors Target Systems Threats

Disposition

Защита промышленных систем: реализуема, бизнес-эффективна

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 40

PT: подход к решению задач безопасности ОТ

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41

ОТ

• Анализ угроз ОТ • Невмешательство в «работу» ОТ • Мониторинг инцидентов и интерпретация

событий • Тиражируемость и

масштабируемость PT ISIM = «SIEM для АСУ ТП»

Цифровизация: здесь и сейчас

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42

Цифровизация: здесь и сейчас

s

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 43

Цифровизация: здесь и сейчас?

s

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44

Что делать?

ИБ-фактор цифровизации: Вчера, Сегодня, Завтра

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45

IT OpSec

AppSec

ОТ

Накопились серьезные «долги» Ужесточение требований регулятора: уголовная ответственность и серьезные штрафы

ИБ - «фундамент» для цифровизации

Есть путь к ИБ

Учитывать угрозы

Путь к Безопасности 1. Наши продукты, наши компетенции

https://www.ptsecurity.com

2. Анализ уязвимостей и/или пилот, мониторинг событий ИБ pt@ptsecurity.com

3. Решение актуальных ИБ-задач - Инфраструктура: Maxpatrol & Maxpatrol SIEM - AppSec: PT AF & A - Индустриальная безопасность: PT ISIM

4. Осведомленность об угрозах и методах атак - PHDays - SecurityLab.ru - PT Research

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46

ptsecurity.ru

Компетенции, реализованные в продуктах и сервисах

Сервисы Тест на проникновение

Анализ защищенности

Анализ угроз и

расследование инцидентов

Выявление атак

на критически важные

системы телекомов

и промышленных

предприятий

Выявление вредоносных

файлов, полученных по почте

и хранящихся в

корпоративных базах,

десятками антивирусов

PT Multiscanner

PT ISIM

PT SS7 Attack

Discovery

MaxPatrol

MaxPatrol SIEM

Мониторинг безопасности на

всех уровнях

информационной системы, а

также сбор событий и анализ

состояния системы

Защита веб-порталов

и бизнес-приложений

на этапе разработки

и эксплуатации

PT Application

Inspector

PT Application Firewall

Positive Research 2017

PHDays 7 – 23-24 мая

http://securitylab.ru https://www.ptsecurity.com/

PHDays.com

#CiscoConnectRu #CiscoConnectRu

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

www.ptsecurity.com 8 800 234 0144

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia