Представлен в рамках цикла лекций "Кибербезопасность" Сбербанка

1. ptsecurity.com
Алексей Качалин
«Лучший мировой опыт
практической безопасности»
ЦИКЛ ЛЕКЦИЙ
ПО НАПРАВЛЕНИЮ
"КИБЕРБЕЗОПАСНОСТЬ”

2. Всем привет!
Алексей Качалин
- практика
- исследования и
разработка
- менеджмент,
управление
проектами
- формирование
команд и методик
- развитие бизнеса
в практической ИБ
Positive Technologies
Информационная Безопасность:
наш подход
КАЖДЫЙГОД
200+
200+
аудитов
безопасности
обнаружений
уязвимостей
нулевого дня
MaxPatrol
MaxPatrol SIEM
PT Application
Inspector
PT Application
FirewallPT ISIM
“Offense
informs
Defense”
© Critical Security Controls
Практика
определяет
развитие

3. Цели на сегодня
• Составить представление о задачах «практической ИБ» и
подходах к их решению
• «Вооружиться» удобными терминами и полезными моделями
• «Практика» на практике: типичные сценарии и результаты
исследований
• +1 точка зрения, с которой можно «смотреть» на ситуацию в
проекте/организации

4. Сегодня в программе
• Источники реальных проблем безопасности
• Теория практики
• Несколько концепций/определений
• Рабочие модели: нападение и защита
• Контроли безопасности, возможности и ограничения
• Предотвращение инцидентов
• Анализ «поверхности атаки» - (систематический)
поиск уязвимостей
• Игра в имитацию – тест на проникновение
• Максимальная глубина анализа: исследуем
приложения
• Реагирование на инциденты: если что-то пошло
не так – ваши действия?
• Выявление и реагирование на инцидент
• Анализ и Расследование
• Развитие практик расследования инцидентов

5. Формальные требования, теория, практика
• Требования, затрагивающие ИБ, связанные с
• Лицензированием
• Сертификацией
• Аттестацией
Нужны и важны – дают основания для ИБ.
но
Достаточны? Актуальны? Интегрированы?
… применительно к любой произвольной (подпадающей под
требования) организации?
Нужны компенсирующие меры: быстрые, реалистичные, актуальные
НО

6. Источники проблем с безопасностью
• Беспорядок
• ИТ-инфраструктура
• Развитие сервисов
• Процессы, права доступа
• Хранение данных
• Уязвимости
• Конфигурации
• Устаревшее ПО, старые уязвимости
• Известные уязвимости, существуют
рекомендации по устранению
• Известные уязвимости, возможны
контрмеры (1-day)
• Зловещий zero-day
• Человеческий фактор
• Массовые угрозы (атаки, вирусы)
• Злоумышленники, целевые атаки

7. Практика анализа защищенности: объекты анализа
20%
13%
27%
40%
Банки
IT компании
Телеком
Промышленность
 Территориально распределенная инфраструктура
 Множество дочерних компаний и филиалов
 Сотни узлов на сетевом периметре
Крупнейшие российские и зарубежные компании:
 Тысячи устройств ЛВС (серверы, рабочие
станции, сетевое оборудование)

8. Уязвимости сетевого периметра
• Масштабы сетевого
беспорядка
• … и уязвимостей
• Почему нельзя (просто)
взять и всё запатчить
• Возвращение уязвимостей

9. Пример: Исследования Positive Technologies
• Более 150 000
промышленных систем
оказались
подключенными к
Интернет
• Около 15 000 из них
имеют критические
уязвимости
https://www.ptsecurity.com/upload/ptru/analytics/ICS-Vulnerability-2016-rus.pdf

10. АСУ ТП: доступность через Интернет
Компонент АСУ ТП
Найденное
количество
ЧМИ/SCADA + ПЛК/ТУД (RTU) 25 264
ТУД/ПЛК 18 233
Электроизмерительный прибор 17 979
ЧМИ/SCADA 13 485
Сетевое устройство 5 016
Сенсор 907
Компонент АСУ ТП
Найденное
количество
Конвертер интерфейсов 408
Автоматический выключатель 361
Электронное устройство 179
Инвертор 17
РЗА 9
Другие 76 229

11. Состояние информационной безопасности современных АСУ
Более 150 000 АСУ доступны через интернет
Более 10% из них содержат критически опасные уязвимости*
Число кибератак на индустриальные системы за два года увеличилось на 636%**
Некоторые уязвимости
исправить нельзя
Вечно уязвимый ESC Model 8832
*Доклад Positive Technologies 2016
**Доклад IBM X-Force 2016
10%22%20%34%14%
Устранены
в течение
3 месяцев
Устранены
более чем через
3 месяца
Вендор
готовит патч
к выпуску
Статус неизвестен,
связались
с вендором
Не устранены

12. АСУ ТП: уязвимости в цифрах
Высокую степень риска имеют 47%
среди выявленных уязвимостей АСУ ТП
Лишь 14% исправлены в течение
трех месяцев
Около 1/3 доступных через Интернет
систем управления не защищены:
лидируют системы автоматизации зданий
и управления электроэнергией
47%
14%
1/3

13. Источник угроз: люди
Внешние злоумышленники получают доступ к управлению технологическим процессом (ТП)
с помощью социальной инженерии, вредоносного ПО и через эксплуатацию уязвимостей внешнего
периметра
Пример: отключение электроснабжения части украинских электросетей в декабре 2015
Низкая квалификация сотрудников, халатность, несоблюдение регламентов и правил доступа.
Сотрудники предприятия вносят несанкционированные изменения в ТП и не документируют их,
используют слабые пароли, записанные на бумаге, подключают к АРМ оператора USB-накопители
и смартфоны.
Пример: несанкционированное подключение модемов
Подрядчики имеют максимальные привилегии в системе, физический или удаленный доступ
на время сервисного обслуживания.
Пример: подрядчик для обновления контроллеров использовал USB-диск с вредоносным ПО
и заразил контроллеры

14. Теория для практиков

15. До, во время и после инцидента ИБ
• Предотвращение
• Предупредить, предсказать
• Снизить вероятность инцидента
• Снизить потенциальный ущерб
• Во время
• Выявить инцидент
• Анализ инцидента – границы инцидента,
сценарий реагирования
• Минимизация ущерба
• После
• Восстановление
• Ограничение ущерба
• Предотвратить аналогичные инциденты в
будущем

16. Defensive POV: Инцидент ИБ
Attackers
Hackers
Spies
Terrorists
Corporate
Raiders
Professional
Criminals
Vandals
Voyeurs
Tool
Physical
Attack
Information
Exchange
User
Command
Script or
Program
Autonomous
Agent
Toolkit
Distributed
Tool
Data Tap
Vulnerability
Design
Implementation
Configuration
Action
Probe
Scan
Flood
Authenticate
Bypass
Spoof
Read
Copy
Steal
Modify
Delete
Target
Account
Process
Data
Component
Computer
Network
Internetwork
Unauthorized
Results
Increased
Access
Disclosure of
Information
Corruption of
Information
Denial of
Service
Theft of
Resources
Objectives
Challenge,
Status, Thrill
Political
Gain
Financial
Gain
Damage
Event
Attack(s)
Incident
• Источник угрозы
• Угрозы
• Целостность, Доступность,
Конфденциальность
• + Аутентичность, Отказуемость,
Авторизация (модель STRIDE)
• + кража ресурсов
• Уязвимость
• Поверхность атаки
• Временное окно уязвимости
• Атака
• Вектор атаки
• Ущерб (Умысел атакующего)

17. Offensive POV: Модель действий атакующего (killchain)
Initial
Compromise
Establish
Foothold
Escalate
Privileges
Internal
Recon
Move
Laterally
Complete
Mission
Maintain
Presence
Clean up &
Exfiltrate
Passive
Recon (OSINT)
Active
Recon
• Тактика атакующего
• Стратегия
• Кампания
• Дилемма:
• Обнаружение на ранних этапах снижает (нивелирует) ущерб
• Реагирование – раскрывает факт обнаружения, риск ухода от
наблюдения

18. Предотвращение угроз ИБ

19. Оценка защищенности (NIST SP 800-115)
Набор исследований, используемых для выявления уязвимостей (прикладных,
системных, сетевых), проводимых преимущественно в ручном режиме
Включает в себя анализ:
• нормативной документации
• логов и журналов событий
• правил СЗИ, коммутационного
оборудования
• системных конфигураций
• трафика
19

20. NIST. Содержание методики
• Обзор различных видов работ по анализу ИБ;
• Обзор техник аналитического исследования (анализ нормативной документации, анализ
логов и журналов событий, анализ правил СЗИ, анализ системных конфигураций, анализ
трафика, контроль целостности файлов);
• Обзор техник инструментального анализа (сетевое сканирование; идентификация открытых
портов, запущенных приложений; идентификация уязвимостей; сканирование беспроводных
сетей);
• Обзор техник эксплуатации выявленных уязвимостей;
• Описание планирования процесса аудита ИБ;
• Обзор ключевых факторов, влияющих на выполнение аудита ИБ (координация работ, анализ
и обработка полученных результатов);
• Интерпретация полученных результатов, выработка рекомендаций
по устранению выявленных недостатков;
20

21. Пример: Анализ логов и журналов событий (NIST SP 800-115)
Позволяет определить функционирует ли система безопасности в соответствии с
требованиями принятой политики ИБ.
Объекты исследования:
• Системные логи (события запуска, перезагрузки системы, аутентификации, доступа к ресурсам
системы, изменений настроек аккаунтов ОС, установки ПО и т.д.) ;
• Логи IDS, IPS (обнаружение попыток НСД, компьютерных атак);
• Логи коммутационного оборудования (история входящих/исходящих соединений);
• Логи МЭ (попытки неавторизованного доступа, нецелевое использование сетевых ресурсов);
• Логи прикладных приложений (события доступа, внесение конфигурационных изменений);
• Логи антивируса (обнаружение вредоносной активности);
21

22. Пример: Анализ трафика
Пассивный механизм анализа сетевой активности, позволяющий:
• Обнаружить активные сетевые узлы, построить карту сетевой активности;
• Идентифицировать используемые ОС, службы, приложения, протоколы (в т.ч.
небезопасные, а также те, использование которых не регламентировано);
• Выявить нерегламентированную или небезопасную сетевую активность (передача
конфиденциальной информации в незашифрованном виде);
• Осуществить сбор и анализ передаваемых данных (незашифрованные логины,
пароли);
22

23. Анализ и моделирование
угроз
Детализация общих угроз – как целеполагание для потенциального
злоумышленника и постановки целей для пентестеров

24. PT Security Research: Oil Pumping Typical Infrastructure*
• OT Field Devices
• PLC’s, RTU’s, Wireless gateways, etc.
• Process Network Devices
• Industrial switches, routers, etc.
• SCADA Components
• HMI’s, Historian, OPC-tunnels, etc.
• Industrial safety systems
• Fire, leak detection
• Physical security systems
• CCTV network
• Intrusion detection
* http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_pipeline.htm

25. PT Security Research: Oil Pumping Cyber Security Threats
Protocol analysis
(Modbus, S7,
Profinet etc)
Kiosk mode
escape
Unauthorized
access
Firmware
download
Password
cracking
Access
controllers
Command/data
sending
Pipeline accident
Fire protection
system
SCADA/HMI
Pumping
Infrastructure
DMZ
Firmware
modification
Denial of service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Pipeline Idle time
Pumping
station
Fire
protection
system
Workstations
DMZ
Connection breach
Control over DMZ server
Damage to Environment
Internal
Attacker
Penetration vectors Target Systems Threats
Disposition

26. PT Security Research: Oil Refinery Typical Infrastructure*
• OT Field Devices
• PLC’s, RTU’s, Wireless gateways, etc.
• Process Network Devices
• Industrial switches, routers, etc.
• SCADA Components
• HMI’s, Historian, OPC-tunnels, etc.
• Integration with MES & ERP
• Industrial safety systems
• Fire, leak detection
• Physical security systems
• CCTV network
• Intrusion detection
* http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_refinery.htm

27. Пример: Моделирование угроз (PTES)
27

28. «Практические» методики
Примеры методик проведения работ по практической безопасности

29. NIST. Technical Guide To Information Security Testing and Assessment
Цель методики:
Описание рекомендаций для тестирования и оценки ИБ, интерпретации
полученных результатов и планирования дальнейших улучшений системы
ИБ.
Используется:
• для выявления уязвимостей в исследуемой системе
• для проверки соответствия требованиям принятой политики ИБ и других
стандартов в области обеспечения ИБ.
29

30. PTES
Цель методики:
Описание процесса проведения тестов на проникновение
Содержание:
1. Планирование работ, определение области покрытия;
2. Сбор информации;
3. Разработка модели угроз;
4. Выявление и анализ уязвимостей;
5. Эксплуатация уязвимостей;
6. Постэксплуатация выявленных уязвимостей;
7. Формирование отчета по проделанной работе
30

31. OWASP. Содержание методики
1. Сбор информации
2. Анализ конфигураций
3. Идентификации пользователей
4. Аутентификации пользователей
5. Авторизации пользователей
6. Управление сессиями
7. Фильтрация переданных данных
8. Обработка ошибок
9. Анализ используемых криптографических алгоритмов
10. Анализ бизнес-логики приложения
11. Анализ клиентской части приложения
31

32. OSSTMM
Цель методики:
• Создание фундаментальной понятийной и концептуальной базы, основы для
проектирования методик для разных типов исследований
• Описание рекомендаций по проведению комплексного аудита ИБ (тестирование на
проникновение, аналитическое исследование, инструментальный анализ)
• Определение количественных метрик, посредством которых можно оценить
текущий уровень защищенности тестируемой системы
32

33. Тест на проникновение
Подход, типовой сценарий и эффективность методов
Internet

34. PTES – Penetration Testing Execution Standard
Цель методики:
Описание процесса проведения тестов на проникновение
Содержание:
1. Планирование работ, определение области покрытия;
2. Сбор информации;
3. Разработка модели угроз;
4. Выявление и анализ уязвимостей;
5. Эксплуатация уязвимостей;
6. Постэксплуатация выявленных уязвимостей;
7. Формирование отчета по проделанной работе
34

35. Тесты на проникновение: реальность
угроз ИБ ИТ
• Инвентаризация
• Управление уязвимостями
• Эффективность мониторинга ИБ?
Периметр 87%
корпоративных локальных
сетей не останавливает
проникновение
61% компаний может
взломать атакующий с
базовыми навыками
Взлом
компании
занимает
3-5 дней
Действия пентестеров
обнаруживают только
в 2 из 100 тестов на
проникновение
87% 61%
2%
1
неделя

36. Границы возможного в проведении тестов на проникновение
• Внешний и внутренний периметр сети;
• Web сайты;
• Базы данных;
• Специализированные приложения;
• Конфигурации (системные, сетевых
устройств, приложений);
• Тестирование сотрудников на
устойчивость к методам социальной
инженерии;
• Физическая безопасность;
• Беспроводные сети;
• Код приложений
36
Всё что может сделать реальный атакующий. В рамках разумного. Не навредить
1) Сетевая разведка (Анализ трафика, Сканирование портов,
Fingerprinting, Google dorks, DNS, whois);
2) MiTM («человек посередине»):
• ARP /DNS /DHCP Spoofing
• DNS Cache poisoning
• ICMP Redirect
• SSL MiTM/Stripping, SSH MiTM
• SMB Relay
3) Подбор паролей (bruteforce)
4) Удаленное выполнение кода (buffer overflow, heap spray)
5) DoS / DDoS (SYN flood, DNS Amplification, NTP Amplification,
TCP Sockstress, HTTP SlowPost, HTTP Slowloris, HTTP
SlowRead)
6) Атаки на приложения (веб-сервисы)
7) Социальная инженерия

37. Internet
Доступ к
внутренней
сети
До тестирования: границы исследования
???1
3
4
7

38. Internet
Доступ к
внутренней
сети
В реальных условиях: поиск объектов атак
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
Успешность атак
через WiFi сети

39. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
3
4
7
91%
Системы с доступными из Интернета
интерфейсами управления

40. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
91%
Системы со словарными паролями
для доступа к веб-приложениям

41. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
73%
Системы, где чувствительные
данные хранятся в открытом виде
учетки в открытом виде

42. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
27%
Системы со словарным паролем
к СУБД
учетки в открытом виде
3
СУБД
45%
Системы с доступными для
подключения интерфейсами СУБД

43. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
учетки в открытом виде
3
СУБД
27%
Системы с доступными для подключения
корпоративными сервисами
выход из
песочницы
4

44. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
учетки в открытом виде
3
СУБД
80% Системы с уязвимыми веб-приложениями
выход из
песочницы
4
веб-уязвимости 5

45. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
учетки в открытом виде
3
СУБД
91%
Системы с
уязвимым ПО
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6

46. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
учетки в открытом виде
3
СУБД
100%
Успешность атак
методами
социальной
инженерии
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
7социальная
инженерия

47. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор1
1
2
учетки в открытом виде
3
СУБД
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
7социальная
инженерия

48. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7

49. Internet
Доступ к
внутренней
сети
Векторы проникновения
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
Успешность атак
через WiFi сети

50. Недостатки защиты беспроводной сети
3/4  Несанкционированные точки доступа
 Доступность корпоративных WiFi за
пределами КЗ
 Не проверяется сертификат сети
 Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей

51. Выводы: возможности нарушителя
Нарушитель получает возможность:
 контролировать потоки информации в компаниях
 вывести всю инфраструктуру из строя
 проводить атаки на клиентов компаний
 проводить атаки, угрожающие деловой репутации
(deface сайтов, рассылка писем с заведомо ложной
информацией партнерам, срыв сделок и т.д.)
 похищать конфиденциальную информацию
 выполнять мошеннические операции
Проведенные исследования демонстрируют
возможность получения полного контроля
инфраструктуры группы компаний

52. 10%
1%
10%
Перешли по ссылке Вступили в диалог Ввели учетные
данные либо
запустили файл
Социальная инженерия (целевой фишинг, …)
max
24,5%
Доля сотрудников
(в среднем по компаниям)
 Первый шаг при целевой атаке
Фишинг сегодня это:
 Основной способ
распространения ВПО

53. Развитие атаки в ЛВС

54. Векторы атаки на ресурсы ЛВС: охота на админа
Словарные
пароли
90%
Обход
антивирусной
защиты
100%1
2
_

55. Векторы атаки на ресурсы ЛВС
Словарные
пароли
90%
Обход
антивирусной
защиты
100%1
Перехват хеша в сети и его использование (брут)

56. Векторы атаки на ресурсы ЛВС
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
1
2
Перехват хеша в сети и его использование (брут)

57. Векторы атаки на ресурсы ЛВС
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Хранение важных
данных в открытом виде 60%
1
2

58. Векторы атаки на ресурсы ЛВС
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Двухфакторная
аутентификация
9%
Хранение важных
данных в открытом виде 60%
1
2

59. Векторы атаки на ресурсы ЛВС
100%
Полный контроль
над инфраструктурой
Ничего не
изменяется
Атака в 4 шага
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Двухфакторная
аутентификация
9%
Хранение важных
данных в открытом виде 60%
систем
1
2
Независимо от типа
нарушителя

60. Анализ уязвимостей приложений

61. Атаки на веб-приложения
Лидируют простые атаки: SQLi,
Path Traversal, XSS, выполнение команд OC
Высокая автоматизация, особенно
при атаках на сайты промышленных компаний
(98% атак – сканеры)
Интернет-магазины и государственные
сайты чаще атакуют вручную

62. Отраслевой интерес
Атаки на:
государственные сайты
(более 3000 в день)
интернет-магазины
(2200 в день)
банковские онлайн-сервисы
(1400 в день)

63. Приложение – и цель и средство атакующего
- Веб-приложения
- Веб-порталы
- Бизнес-
приложения, SAP
- Мобильные
приложения
- Электронная
коммерция
- ДБО
• Подвержены атакам – возможность доступа из Интернет
• Содержат критические данные
• Возможность доступа во внутреннюю сеть через
приложение
Приложение – уязвимая цель
Наше виденье безопасности приложений:
+ Безопасность по построению: СЗИ + Цикл безопасной разработки
+ СЗИ: адаптивный контроль
+ Исследование уязвимостей
+ Интегрированная возможность расследования инцидентов
• Рост динамики обновлений приложений
• Сложная структура приложений – сторонние компоненты
• Итеративная разработка, зависимость от внешнего исполнителя
Ваши Приложения: цель №1

64. Уязвимость мобильного банкинга
Решение:
безопасная разработка

65. Зачем искать уязвимости в приложениях?
• Часто – самый короткий путь к цели атакующего
• Иногда - единственный
• «Козырь» в арсенале атакующего
• Не нужно подбирать пароли, применять соц.инженерию
• Возможность тиражирования атаки
• Возможные результаты:
• Нарушение работы приложения – отключение средств защиты
• Извлечение конфиденциальных данных – «зашитые» пароли
• Нарушение логики работы программы – обход проверки прав
• Внедрение кода в приложение
• …

66. OWASP. Содержание методики
1. Сбор информации
2. Анализ конфигураций
3. Идентификации пользователей
4. Аутентификации пользователей
5. Авторизации пользователей
6. Управление сессиями
7. Фильтрация переданных данных
8. Обработка ошибок
9. Анализ используемых криптографических алгоритмов
10. Анализ бизнес-логики приложения
11. Анализ клиентской части приложения
66

67. Что пригодится для исследования
• Доступ к исходному коду
• Бэкап/тестовая версия тоже подойдет
• Доступ к бинарникам/процессу и/или хранимым данным
• Потребуется отладка/реверс
• Возможность модификации
• Интерфейсы доступа к приложению
• Локальные или сетевые
• Возможность повторять и модифицировать вводимую информацию
• Пользовательский интерфейс

68. Подходы к поиску уязвимостей в приложении
Методы поиска уязвимостей в ПО:
• Статические
• Аудит исходного кода
• Реверс-инжиниринг
• Динамические
• Отладка
• Фаззинг
• Анализ архитектуры (Логические ошибки)
• Публичные источники(CVE/exploit-db/etc)
68
Используемые подходы и инструменты (bin):
• Отладка (Ollydbg, Softice, Windbg, gdb)
• Дизассемблирование (IDA Pro)
• Декомпиляция (Hex-Rays Decompiler, DeDe)
• Анализ трафика (Wireshark)
• Возможности по отладке кода, предоставляемые
процессором
• Отладочные регистры и Last Branch
Recording в IA-32 и Intel 64
• Отладчики и отладочный API
• ptrace(), Debugging Tools for Windows
• Dynamic Binary Instrumentation (DBI,
динамическое инструментирование бинарного
кода)
• PIN, DynamoRIO, Valgrind
• Intermediate Representation (IR, промежуточное
представление кода)
• Valgrind, LLVM и инструменты на их базе
(Fuzzgrind, KLEE, S²E)
• Эмуляция
• BitBlaze, Ether, S²E

69. Анализ кода – whitebox/статика+динамика
• Потенциально
• Полное покрытие
• По факту
• Каждый язык
программирования
– отдельная история
• Нужны эффективные
инструменты (иначе
проще «смотреть
руками»)
• Ложные
срабатывания
• Warnings warnings

70. Blackbox/динамика - Фаззинг
Технология тестирования программного обеспечения,
когда вместо ожидаемых входных данных программе
передаются случайные или специально
сформированные данные. В большинстве своем это
некорректно составленные данные.
Данные передаются на вход программным
интерфейсам, включающим:
– Файлы
– Сетевые порты
– API
70
- Легко автоматизируется
- Вызывает выполнения большинства проверок в приложении
- Находит очень много ошибок
- Большой объем тестирования с множеством вариаций
- Находит множество проблем связанных с надежностью (многие из н
являются и потенциальными проблемами безопасности)

71. Фаззинг: процесс исследования
1. Анализ исследуемого приложения
2. Подготовка фаззера
1. Настройка фреймворка
2. Разработка (библиотеки, с нуля)
3. Генерация данных и/или мутации
4. Фаззинг – многократный прогон тестов
5. Анализ результатов
1. Фильтрация однотипных результатов
2. Поиск «интересных» сочетаний
параметров
6. Разработка эксплойтов

72. Аварийный дамп. Тысячи их. Что дальше?
The stored exception information can be accessed via .ecxr.
(26dc.178c): Access violation - code c0000005 (first/second chance not available)
eax=00000700 ebx=02bf0d78 ecx=002590c4 edx=02bf0d38 esi=02bf0d38 edi=002593d8
eip=773270b4 esp=00259098 ebp=002590a8 iopl=0 nv up ei pl zr na pe nc
*** ERROR: Symbol file could not be found. Defaulted to export symbols for VISLIB.DLL -
VISLIB!Ordinal1+0xb18e2:
565cf57d 8b4111 mov eax,dword ptr [ecx+11h] ds:0023:00000011=????????
ntdll!KiFastSystemCallRet:
773270b4 c3 ret
773270b5 8da42400000000 lea esp,[esp]
773270bc 8d642400 lea esp,[esp]
ntdll!KiIntSystemCall:
773270c0 8d542408 lea edx,[esp+8]
773270c4 cd2e int 2Eh
773270c6 c3 ret
773270c7 90 nop
ntdll!RtlRaiseException:
773270c8 55 push ebp
*** Stack trace for last set context - .thread/.cxr resets it
ChildEBP RetAddr Args to Child
WARNING: Stack unwind information not available. Following frames may be wrong.
0025a01c 565cf608 00000001 00000000 00000000 VISLIB!Ordinal1+0xb18e2
- Уязвимости в архитектуре
Сложно предугадать, где найдёшь следующую
- Проблемы полноты покрытия
Где мы и когда остановиться?
- В результате фаззинга не всегда
происходит падение
Особенно при pool corruption
- Не все найденные уязвимости
эксплуатабельны
А ведь уникальных воспроизводимых падений
может насчитываться сотни и тысячи!

73. Инструменты и выявляемые фаззингом уязвимости
• Memory corruptions
• Buffer overflow
• Integer overflow
• Heap overflow
• Using un-owned memory
• Using uninitialized memory
• Memory leak
• Arbitrary file reading
• Arbitrary command execution
• Web application vulnerabilities
• Local file inclusion
• Remote file inclusion
• SQL injections
• XSS, CSRF
• Susceptible to flooding
• Business logic vulnerability (отклонения о
заявленного/ожидаемого поведения)
73
• Scapy - интерактивное средство манипуляции сетевыми пакетами с
функцией smart-фаззинга. Позволяет описывать форматы сетевых
сообщений и на основании описанных форматов проводить
интеллектуальное фазз-тестирование. Используемые способы
манипуляции данными - генерация.
• Sulley - фаззинг-фреймворк, позволяющий описывать
сложных структуры данных, …для фаззинга несложных
полнотекстовых протоколов, к примеру, MFTP
• FuzzDB - база данных готовых векторов атак. Интеллектуальны
генерационный фаззинг. Количество векторов 35845 в 23-х
категориях.
• Zzuf - многоцелевой прозрачный мутирующий фаззер.
Библиотеки данного инструмента используем при слепом
(black-box) фаззинге - мутация набора собранных с помощью
сетевого сниффера сообщений
• Burp Intruder - утилита входящая в набор Burp
Suite использующийся для пентеста веб-приложений

74. Цикл безопасной разработки (SDLC)

75. 400
10000+
100
500
300
Targeted
Immune
Persistent
Resistant
Camouflaged
Multilayered
Novel
Controllable
Complex
Sophisticated
Interdisciplinary
Evolving
A P T
Реагирование на инциденты ИБ
Грустная история о том почему предотвращение временная мера и инциденты
неизбежны и что с этим делать.

76. 10 000+
О том что мы пропустили: мониторинг и выявление инцидентов
Ежедневный
шум:
Массовые вирусные
рассылки
Попытки сканирования
Перебор паролей
…
Немного
серьезней:
• Файлсервер заражен
криптором
• Троян на сервере печати
Действительно важно
99
3
Предотвращение  …  Реагирование на инцидент

77. «Большая картина» – теперь ещё больше
Advanced:
Акторы с максимальными
возможностями
…и их комбинациями
Persistent:
Миссия, цели
Подход «Медленно и тихо»
«Настойчивость» - удержание
контроля, доступа к системе
Threat:
Возможность + Намерение =
угроза
APT – «Кто», а не «что»
A P T
События ИБ  Атаки  Инциденты  Кампании
Как противостоять угрозе «с человеческим лицом»?

78. Комплексные сценарии – обычная практика

79. Угрозы – от ИТ к ОТ
295 крупных инцидентов (15% рост) в промышленных компаниях
• 46 – энергетика
• 97 инцидентов c «участием» поставщиков оборудования и сервисов
• В 106 случаях - использовались вредоносы и целевой фишинг
• В 12% были затронуты компоненты АСУ ТП
Специфика «кибер» угроз
• Тиражируемость
• Управляемость по времени
• Повторяемость
• Взаимозависимость и объединение ИТ и АСУ ТП - ОТ
• Новые возможности/мотивация атакующих
http://www.darkreading.com/attacks-bre

80. С начала:, но всё же Компания
• Предотвращение атак и инцидентов
• Инвентаризация
• Уязвимости, управление уязвимостями
• Выявление уязвимостей, безопасная разработка
• Осведомленность сотрудников
• Мониторинг безопасности и выявление инцидентов
• Анализ событий безопасности
• Расследование инцидентов и восстановление после инцидентов
• Борьба с причиной, а не с симптомами
• ИБ как часть бизнес-стратегии
• Защита (от) 3-х лиц
• Поставщики
• Клиенты
• Безопасность компонентов
• Закупаемых
• Разрабатываемых
«В 12% атак на
промышленные компании были
затронуты элементы АСУ ТП»
(отчет по инцидентам ICS в
США за 2015 год)

81. Кейс: (обычный) запущенный случай
• Время присутствия злоумышленников в информационной системе –
более 3-х лет
• Одновременно – несколько групп
• Признаки присутствия
• Аномальные потоки данных
• Фоновая активность вредоносов
• Криптолокер
• Получен доступ к системам ИТ защиты
• Реконфигурация домена
• Реконфигурация сетевых устройств и правил доступа
• Злоумышленники контролируют действия по расследованию
инцидента
• Успевают восстановить доступ при обнаружении
Злоумышленники
• Разбираются в технологических и орг. процессах
• Проявляют активный интерес к бизнес-сценариям
• Внедрение в продаваемые фирмы для
«попадания» в инфраструктуру крупной
компании

82. Финансы: хакеры становятся увереннее
Реактивный подход к ИБ
Прогнозируемый рост атак:
минимум +30% в 2017 г.
(сами банки, юр. лица, физ. лица)
Простые технологии атак
(характерно для атак и на банки,
и на клиентов) и серьезная подготовка
(в случае с атаками на банки)

83. Финансы: хакеры становятся увереннее
Атакуют все системы банков (SWIFT, АРМ КБР,
процессинг, АБС, ДБО)
Разнообразие способов атаки:
• АТМ и POS (Plotus-D, Suceful, Alice, Black Box)
• Проникновение в сеть, заражение процессинга
или систем межбанковских переводов
(трехкратный рост)
• Apple Pay, Samsung Pay, мобильное вредоносное
ПО, фишинг (пятикратный рост)

84. Логические атаки на банкоматы
Физический доступ
Доступ к сетевому соединению
• из сети банка
• физически
• по воздуху
• из смежного банкомата
Windows 7 (SP1) защищен не более, чем Windows XP
Режим киоска обходится в 90% случаев
Средства Application Control уязвимы

85. AdHoc Анализ и Расследование инцидентов
• Реагирование на инцидент
• Анализ инцидента
• Выявление связанных событий безопасностей и их
анализ
• Анализ атак (совокупности событий, результатов,
достигнутых атакующим)
• Фиксация границ инцидента (системы, время)
• АЗ по инциденту и первичные рекомендации
• Расследование инцидента
• Исследование артефактов инцидента
• Анализ средств и тактики атакующего
• Атрибуция атакующего (категория нарушителя,
конечные цели)
• Прогноз возможностей атакующего
• Рекомендации
• По прекращению инцидента
• По минимизации последствий
• По профилактике аналогичных инцидентов
!!!
$$$

86. Diamond: Модель инцидента
ЗЛОУМЫШЛЕННИК
ЖЕРТВА
ВОЗМОЖНОСТИ ИНФРАСТРУКТУРА

87. Diamond: Модель инцидента
ЗЛОУМЫШЛЕННИК
ЖЕРТВА
ВОЗМОЖНОСТИ ИНФРАСТРУКТУРА
• Эксплойты
• Вредоносы
• Инструменты
• Персона
• E-mail
• Сетевой адрес
• Персона,
• E-mail, Сетевой адрес
• Сетевые активы
Ресурсы З.
• IP
• Доменное имя
• …

88. Diamond: Модель инцидента
ЗЛОУМЫШЛЕННИК
ЖЕРТВА
ВОЗМОЖНОСТИ ИНФРАСТРУКТУРА

89. Diamond: расследование цепочек инцидентов
• Взаимосвязи между
несколькими инцидентами
• Визуализация с учетом этапа
атаки (killchain)
• Наглядная модель
• Возможность анализа
комплексных/apt атак

90. Diamond: анализ инцидентов
• Возможные цели анализа
• Тренды: изменение поведение
злоумышленника со временем
• Дедукция намерений
• Обобщение возможностей злоумышленника
• Кросс-идентификация по возможностям –
какие возможности использовались
несколькими З.
• Выявление пробелов в понимании развития
кампании З.
• Выявление общих свойств возможностей
(авторов инструментов)
• Поиск «центра притяжения» З.

91. Ретроспективный анализ: выявление инцидентов
• Оценка готовности
• Периодические проверки
• Ежеквартально
• По критическим системам
• По подозрениям на инциденты
• Поиск следов компрометации
• Анализ событий безопасности
• Сбор и первичный анализ артефактов
• Анализ журналов. Backward Anomaly
Rollout
• Отложенный автоматизированный анализ
потенциально-вредоносного ПО
• Отчет - сводка попыток компрометации и
событий безопасности
$$$
Проверить подозрения, выявить упущенные
инциденты: возможно ещё не поздно
минимизировать ущерб?!

92. Threat Intelligence
• Обмен информацией между
• Равноправными организациями (peer-to-peer)
• Получение информации от поставщика
• Автоматизированный процесс (платформа)
• Массивы данных и/или структурированные
отчеты
• Машино-читаемый формат
• Фильтрация раскрытия информации
• Генерация, разбор, передача в СЗИ
• Срок жизни информации
• Адреса – могут устаревать
• Применение
• Действия на основе TI, выбор тактики
• Нулевой пациент

93. Признаки компрометации – где искать?
• Аномальный исходящий трафик
• Аномальные активности
привилегированных пользователей
• Географические аномалии
• Аномальные заходы в систему
(время, устаревшие учетки)
• Всплески чтения БД
• Большие HTML-ответы
• Многократные запросы одного и
того же файла
• «Схроны» с данными (файлы,
архивы в странных местах)
• Манипуляции с реестром и
системными файлами
• DNS-аномалии (похожие всплески
на разных узлах – поиск C&C)
• Внезапный патчинг (З. не хочет
шумных «соседей»)
• Модификация профилей
мобильных устройств
• Веб-трафик с «нечеловеческим»
поведением
• DDoS – как «завеса» для реальных
целей атакующих
Indicators of Compromise – признаки, характерные
актуальной угрозе/инструменту для автоматической проверки
https://www.iocbucket.com/ - примеры

94. Ретроспективный анализ «подозреваемого». Неделей позже

95. Threat Hunting – «пентест наоборот»
• Ищем «уязвимости» в действиях
атакующего
• Детективная работа
• Сопоставление наборов данных
• «Переключение» между версиями
• Не (полностью)
автоматизируемая задача
• Автоматизация возможна с
BigData/MachineLearning
• Высокоуровневые семантики
(TTP – Tactics, tools & procedures)
важнее базовых - аномалий
• Расширение спектра
возможностей – вплоть до
контратаки

96. Практическая безопасность – обязаны знатьПРАКТИЧЕСКАЯ БЕЗОПАСНОСТЬ – ЗНАТЬ ОБЯЗАН

97. PT: эксперты по информационной безопасности
2017

98. Positive Technologies
Products & Services
Positive Research &
Security Announcements
Positive Hack Days
Security Conference
POSITIVE TECHNOLOGIES: EXPERTS IN SECURITY OFFENSE & DEFENSE
http://securitylab.ru
https://www.ptsecurity.com/
PHDays.com AKachalin@ptsecurity.com
Alexey
Kachalin
PHDays 7. 2017 May, 23-24th

99. ptsecurity.com

100. ptsecurity.ru
Продукты и Сервисы Информационной Безопасности
Экспертные
сервисы
Анализ защищённости,
тестирование на
проникновение, мониторинг ИБ
и расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в корпоративных
базах, десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях информационной
системы, а также сбор событий
и анализ состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall

101. Контроли, ограничения
• Дано: дверь
• Требуется
• обеспечить контроль – кто может пользоваться
• исследовать ограничения предложенного контроля
?!

102. Контроли, ограничения