КОРПОРАТИВНЫЕ УГРОЗЫ

Содержание

Слайд 2

АГЕНДА

АГЕНДА

Слайд 3

Векторы заражений


Векторы заражений

Слайд 4

Как может проникнуть вредоносное ПО

Снаружи

Изнутри

Через Броузер
Через интернет-сервисы (email, instant messenger, etc)
С помощью

Как может проникнуть вредоносное ПО Снаружи Изнутри Через Броузер Через интернет-сервисы (email,
уязвимостей в ПО
С помощью социальной инженерии

Инфицированные устройства (removable disks, cd/dvd, floppies)
Социальная инженерия
Инсайдеры

Слайд 5

Векторы заражений

Загрузки
Основные проблемы:
Новые уязвимости в ПО обнаруживаются каждый день
Исправления выходят слишком медленно
Пользователи

Векторы заражений Загрузки Основные проблемы: Новые уязвимости в ПО обнаруживаются каждый день
не заботятся об обновлениях
Вредоносные скрипты внедряются HTML и PHP коды:
Перенаправление пользователя на вредоносный URLs
Использование уязвимостей в ПО на пользовательском ПК
Кража учетных данных FTP
Обфускация усложняет обнаружение зловредного ПО

Никакая веб-страница не может быть полностью доверенной!

Слайд 6

Векторы заражений

Загрузки

Векторы заражений Загрузки

Слайд 7

Векторы заражений

Социальные сети
Один из наиболее общих векторов атак!
зловреды & спам
фишинг

Векторы заражений Социальные сети Один из наиболее общих векторов атак! зловреды &
& социальная инженерия
сбор информации

Слайд 8

Векторы заражений

Почта, IM
Большое кол-во заражение этим способом
инфицированные приложения
инфицированные ссылк

Векторы заражений Почта, IM Большое кол-во заражение этим способом инфицированные приложения инфицированные
социальная инженерия
Спуфинг email-адресов, например
[email protected]
[email protected]
Правдоподобно выглядящие темы, например
«Пожалуйста, проверьте документ"
«Важное обновление безопасности"

Слайд 9

Векторы заражений

Внешние устройства
Автозапуск вирусов и червей
само-распространение, авто-репликация
использование функции Windows автозапуска

Векторы заражений Внешние устройства Автозапуск вирусов и червей само-распространение, авто-репликация использование функции

инфицирование файлов на диске
обычно полиморфы
процесс инфицирования незаметен для пользователя

Слайд 10

Продвинутые технологии

Rootkits, bootkits
Высоко-интеллектуальные угрозы
Чрезвычайно сложно выявить и обезвредить
Могут скрывать другие вредоносные приложения
Могут

Продвинутые технологии Rootkits, bootkits Высоко-интеллектуальные угрозы Чрезвычайно сложно выявить и обезвредить Могут
создавать обширные бот-сети
Новые идеи и технологии появляются постоянно
MBR инфекции
Использование собственных файловых систем
Использование продвинутых методов
шифрования
Первые атаки на 64-битные платформы

Слайд 11


Продвинутые технологии

Зловреды с цифровой подписью
Цифровая подпись
Дает гарантию подлинности ПО
Не предрасположена к

Продвинутые технологии Зловреды с цифровой подписью Цифровая подпись Дает гарантию подлинности ПО
фальсификации без приватного ключа
Требуется некоторыми операционными системами
Подписанные доверенным сертификатом файлы часто помещаются в «белые списки» вендорами антивирусного ПО
Кибер-криминал может украсть сертификаты
Зловреды с действительными
цифровыми подписями:
Zeus, Stuxnet, Worm.SymbOS.Yxe...

Слайд 12

Направленные атаки


Направленные атаки

Слайд 13

Направленные атаки

Lethal injection vs. hail of bullets

Направленные атаки Lethal injection vs. hail of bullets

Слайд 14

Направленные атаки

Рекогносцировка и подготовка
выбор наиболее уязвимой цели e.g. YourCompany Inc.
сбор публично доступной

Направленные атаки Рекогносцировка и подготовка выбор наиболее уязвимой цели e.g. YourCompany Inc.
информации касательно YourCompany
сбор информации об инфраструктуре и решениях ИБ - YourCompany
проникновение, социальная инженерия

ШАГ 1

ШАГ 2

Подготовка персонализированной атаки:
Подготовка уникальной вредоносной программы
Использование уязвимостей в ПО - YourCompany
Использование сотрудников YourCompany как вектор атаки
Социальная инженерия, оплошность, небрежность, коррупция...

Слайд 15

Направленные атаки

Компрометация и использование уязвимостей
Получение доступа к ресурсам - YourCompany
Контроль систем -

Направленные атаки Компрометация и использование уязвимостей Получение доступа к ресурсам - YourCompany
YourCompany
Коммуникация с центром управления как правило зашифрованы
Шифрованный трафик не может быть «прочитан»

ШАГ 4

Копирование всех интересующих данных в одном месте в LAN
Загрузка данных на внешний сервер
Контроль или «освобождение» цели

ШАГ 3

Слайд 16

Пример 1: Aurora

Более недели!
В то время как достаточно 1 часа...

Пример 1: Aurora Более недели! В то время как достаточно 1 часа...

Слайд 17

Пример 2: Stuxnet
Направленность: 32-bit Windows системы
Выявлен в средине Июля 2010
Возможность слежки and

Пример 2: Stuxnet Направленность: 32-bit Windows системы Выявлен в средине Июля 2010
перепрограммирования промышленных систем контроля
Siemens Simatic WinCC SCADA
Один из наиболее профессиональных и специализированных зловредов в истории вредоносов:
Продвинутые rootkit-технологии позволили скрыть следы присутствия в системе и замаскировать коммуникацию с системой контроля, а также PLC-модификации
Оригинальные цифровые сигратуры усложняют детектирование с помощью AV
Инфицирование использует 0-day уязвимость

Слайд 18

Пример 2: Stuxnet

Методы распространения
LNK exploit, zero-day
Vuln: MS10-046
Вектор атаки: съемные устройства
Spool server

Пример 2: Stuxnet Методы распространения LNK exploit, zero-day Vuln: MS10-046 Вектор атаки:
exploit,
zero-day,
Vuln: MS10-061
Вектор атаки: сетевые принтеры
RPC exploit
Vuln: MS08-047
Вектор атаки: сетевые папки
2 x zero-day EoP exploit (повышение привилегий)

Слайд 19

Пример 2: Stuxnet

Сертификаты

Пример 2: Stuxnet Сертификаты

Слайд 20

Пример 2: Stuxnet

PLC заражение

s7otbxdx.dll
Использовался файл WinCC Step 7 ПО для коммуникации

Пример 2: Stuxnet PLC заражение s7otbxdx.dll Использовался файл WinCC Step 7 ПО
с устройством PLC
Содержит набор инструкций включая функции отвечающие за чтение / запись данных на устройство
Stuxnet записывает собственный файл с тем же именем, содержащий собственные определения ключевых функций, с целью:
Перехвата всех коммуникаций с PLC
Изменения кода PLC
Выполнения собственного кода на PLC
Скрытия модификаций

Слайд 21

Пример 2: Stuxnet

География

12 Sep 2010

7 Feb 2011

Пример 2: Stuxnet География 12 Sep 2010 7 Feb 2011

Слайд 22

Пример 3: Anonymous vs. HBGary

Интернет-группа активистов сформирована в 2003
Хакинг-активности с 2008 (в

Пример 3: Anonymous vs. HBGary Интернет-группа активистов сформирована в 2003 Хакинг-активности с
основном DDoS атаки)
Связаны с WikiLeaks
Атака на HBGary Federal

Anonymous

Слайд 23

Пример 3: Anonymous vs. HBGary

Пример 3: Anonymous vs. HBGary

Слайд 24

Пример 3: Anonymous vs. HBGary

Компания ИБ, сотрудничает с правительством США
Вовлечена в расследование

Пример 3: Anonymous vs. HBGary Компания ИБ, сотрудничает с правительством США Вовлечена
деятельности Anonymous

HBGary Federal

Слайд 25

Пример 3: Anonymous vs. HBGary

Компрометированы - Anonymous в Феврале 2011
SQL injection +

Пример 3: Anonymous vs. HBGary Компрометированы - Anonymous в Феврале 2011 SQL
social engineering
Вывод из строя телефонной системы компании
Доступ к конфиденциальным данным
Компрометация Twitter-учетки CEO компании
Результаты:
Более 50,000 конфиденциальных писем украдены опубликованы
Серьезный публичный урон
Привело к отставке CEO

HBGary Federal

Слайд 26

Пример 4: LulzSec

Хакерская группа, активность май-июнь 2011
Направленные атаки:
Sony Pictures, MediaFire
Bethesda Game Studios
American

Пример 4: LulzSec Хакерская группа, активность май-июнь 2011 Направленные атаки: Sony Pictures,
Public Broadcasting System
United States Senate
United States Central Intelligence Agency
Опубликовано большое кол-во персональных данных и конфиденциальной информации
26 June 2011 – группа выпустила финальное заявление

LulzSec

Слайд 27

Пример 4: LulzSec

Пример 4: LulzSec

Слайд 28

От виртуальных к физическим

Угрозы производству, здоровью и жизни

От виртуальных к физическим Угрозы производству, здоровью и жизни

Слайд 29

Промышленные системы

Почему уязвимы к атакам

Внедрение популярных сетевых протоколов (напримерEthernet)
Непрямой или прямой доступ

Промышленные системы Почему уязвимы к атакам Внедрение популярных сетевых протоколов (напримерEthernet) Непрямой
к Интернет
Контроль систем на ПК с Windows OS
Наибольшее кол-во атак нацелено на эту ОС

Слайд 30

Промышленные системы

Атаки: векторы и последствия
Вирусы и черви распространяются в сети
Инфицирование съемных устройств
DoS

Промышленные системы Атаки: векторы и последствия Вирусы и черви распространяются в сети
и DDoS атаки
Доступ к инфраструктуре: удаленное управление системой

Угрозы

Последствия

Угрозы жизни и здоровью
Повреждение оборудования
Приостановка транспорта и коммуникаций
Приостановка в производстве
Приостановка подачи энергии / воды / газа
Огромные производственные и экономические потери

Слайд 31

Промышленные системы

Не только Stuxnet

2005
Червь Mytob worm провел атаку на промышленные ПК компании

Промышленные системы Не только Stuxnet 2005 Червь Mytob worm провел атаку на
по производству автомобилей
Результат: остановка на 1 час
Один из атомных заводов в США был выведен из строя благодаря перегрузке внутренней сети
Причина : неправильная работа драйвера PLC
Результат : потеря контроля над водными помпами реактора
Кибер-атака (Proof-of-concept) использующая уязвимость 0-day в ПО,ответственном за контроль электростанции
Результат : само-разрушение тестового генератора
Несколько городов отключены от электроснабжения. ЦРУ выяснило что атака проведена киберпреступниками

2008

2006

2007

Слайд 32

| December 13, 2011

Kaspersky Lab PowerPoint Template

PAGE |

| December 13, 2011 Kaspersky Lab PowerPoint Template PAGE |

Слайд 33

Меры противодействия


Меры противодействия

Слайд 34

Основные правила безопасности

Самое слабое звено

Образование

Доверие

Основные правила безопасности Самое слабое звено Образование Доверие

Слайд 35

Основные правила безопасности

Для сотрудников

Образование
«Безопасный» тип мышления
Осторожность, ответственность

Осведомленность и рисках безопасности

Внимание и предотвращение

Основные правила безопасности Для сотрудников Образование «Безопасный» тип мышления Осторожность, ответственность Осведомленность
угроз

Периодичные обновления ОС
Периодичные обновления всего используемого ПО
Комплексные решения безопасности
Включая anti-spam, firewall

Слайд 36

Основные правила безопасности

Для работодателей и сисадминов

Образование сотрудников по текущим
угрозам безопасности
Использование

Основные правила безопасности Для работодателей и сисадминов Образование сотрудников по текущим угрозам
безопасных паролей пользователями
Регулярная смена паролей
Использование безопасных протоколов для коммуникации
Ограничение прав пользователей насколько возможно
Безопасная сетевая инфраструктура
Регулярные обновления всего серверного ПО
Регулярные обновления всего ПО на рабочих станциях
Использование комплексных решений безопасности (включая файрвол и анти-спам)
Проведение регулярных пентестов всей инфраструктуры

Слайд 37

Основные правила безопасности

Работа над укреплением локальной инфраструктуры
Убедиться что приложения и ОС настроены

Основные правила безопасности Работа над укреплением локальной инфраструктуры Убедиться что приложения и
в соответствии с необходимостями и требованиями
Работа над сегментацией
Разделение сетей и функций
Ограничение сетевого доступа к / от ПК
задание ограничений / ACL для функций приложений там где это возможно
Убедиться в том что существует порядок для аудита и обновления систем (которые обычно исключены от автоматического аудита / обновления)
Убедиться в том что работающие ОС and конфигурация наиболее предназначены для приложений / сервисов которые на них работают

Промышленные системы

Слайд 38

Чего ожидать в будущем?


Чего ожидать в будущем?

Слайд 39

Тренды угроз


Spyware 2.0
Атаки с использованием сетей P2P
Угрозы для 64-битных платформ
Угрозы

Тренды угроз Spyware 2.0 Атаки с использованием сетей P2P Угрозы для 64-битных
для мобильных телефонов и других мобильных устройств
Атаки на банковские учетных записи
направленные атаки
Уходящие тренды:
игровое ПО
почтовые атаки

Слайд 40

Spyware 2.0


Наращивание технической изощренности
Лучшие методы обхода безопасности and скрытия в системе
Четко

Spyware 2.0 Наращивание технической изощренности Лучшие методы обхода безопасности and скрытия в
определенные цели

Тихо и профессионально

Кража всего

идентичности
оnline-учетки
сбор логинов к разным сервисам
кража конфиденциальных данных
сбор любой информации о личности или компании

Имя файла: КОРПОРАТИВНЫЕ-УГРОЗЫ.pptx
Количество просмотров: 95
Количество скачиваний: 0