3. Компетенции, реализованные в
продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
5. Тесты на проникновение:
реальность угроз ИБ ИТ
Периметр 87%
корпоративных локальных
сетей не останавливает
проникновение
61% компаний может
взломать атакующий с
базовыми навыками
Взлом
компании
занимает
3-5 дней
Действия пентестеров
обнаруживают только
в 2 из 100 тестов на
проникновение
87% 61%
2%
1
неделя
10. Internet
Доступ к
внутренней
сети
Уязвимости: что буем искать (и найдём)
• Недостатки управления учетными
записями и паролями
• Уязвимости веб-приложений
• Недостатки фильтрации трафика
• Недостатки управления уязвимостями и
обновлениями
• Плохая осведомленность пользователей в
вопросах информационной безопасности
• Недостатки конфигурации и разграничения
доступа
???1
4
7
15. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
27% Возможность доступа к
корпоративными сервисами
выход из
песочницы
4
17. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
91% Системы с
уязвимым ПО
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
18. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
100%
Методы
социальной
инженерии
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
7социальная
инженерия
19. Internet
Доступ к
внутренней
сети
Атака из внешней сети: WiFi
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
Успешность
атак через
WiFi сети
20. Недостатки защиты беспроводной сети
3/4 Несанкционированные точки доступа
Доступность корпоративных WiFi за
пределами КЗ
Не проверяется сертификат сети
Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей
21. 10%
1%
10%
Перешли по
ссылке
Вступили в
диалог
Ввели учетные
данные либо
запустили файл
Социальная инженерия (целевой фишинг, …)
max
24,5%
Доля сотрудников
(в среднем по компаниям)
Первый шаг при целевой атаке
Фишинг сегодня это:
Основной способ
распространения ВПО
23. Развитие атаки в ЛВС: охота на админа
Словарные
пароли
90% Обход
антивирусной
защиты
100%1
2
_
24. Развитие атаки в ЛВС: охота на админа
90%
100%1
Перехват хеша в сети и его использование (брут)
25. Развитие атаки в ЛВС: охота на админа
90%
100%
Атаки на
протоколы
60%
1
2
Перехват хеша в сети и его использование (брут)
26. Развитие атаки в ЛВС: охота на админа
90%
100%
60%
Хранение важных
данных в
открытом виде
60%
1
2
27. Развитие атаки в ЛВС: охота на админа
90%
100%
60%
Двухфакторная
аутентификация
9%
60%
1
2
28. Развитие атаки в ЛВС: охота на админа
100%
Полный контроль
над инфраструктурой
Атака в 4 шага
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Двухфакторная
аутентификация
9%
Хранение важных
данных в открытом
виде
60%
систем
1
2
Независимо от типа
нарушителя
29. Демонстрация возможностей атакующего:
прогноз последствий
Нарушитель получает возможность:
контролировать потоки информации в компаниях
вывести всю инфраструктуру из строя
проводить атаки на клиентов компаний
проводить атаки, угрожающие деловой репутации
(deface сайтов, рассылка писем с заведомо ложной
информацией партнерам, срыв сделок и т.д.)
похищать конфиденциальную информацию
выполнять мошеннические операции
Проведенные исследования демонстрируют
возможность получения полного
контроля инфраструктуры группы компаний
32. Приложение – и цель и средство атакующего
- Веб-приложения
- Веб-порталы
- Бизнес-
приложения, SAP
- Мобильные
приложения
- Электронная
коммерция
- ДБО
• Подвержены атакам – возможность доступа из Интернет
• Содержат критические данные
• Возможность доступа во внутреннюю сеть через
приложение
Приложение – уязвимая цель
Наше виденье безопасности приложений:
+ Безопасность по построению: СЗИ + Цикл безопасной разработки
+ СЗИ: адаптивный контроль
+ Исследование уязвимостей
+ Интегрированная возможность расследования инцидентов
• Рост динамики обновлений приложений
• Сложная структура приложений – сторонние компоненты
• Итеративная разработка, зависимость от внешнего исполнителя
Приложения: цель №1
AppSec
33. 11%
11%
16%
21%
32%
58%
74%
84%
84%
0% 20% 40% 60% 80% 100%
Подделка межсайтовых запросов
Загрузка произвольных файлов
Внедрение внешних сущностей XML
Подключение локальных файлов
Отказ в обслуживании
Межсайтовое выполнение сценариев
Выход за пределы назначенной директории
(Path Traversal)
Выполнение команд ОС
Внедрение операторов SQL
Атаки на веб-приложения
• Лидируют простые атаки: SQLi,
Path Traversal, XSS, выполнение
команд OC
• Высокая автоматизация, особенно
при атаках на сайты промышленных
компаний
(98% атак – сканеры)
• Интернет-магазины и
государственные
сайты чаще атакуют вручную
36. Прогноз на «Завтра»:
Угрозы Операционным Технологиям
АСУ ТП, ИВ и ИТ, которые их объединяют
ОТ
100
500
Evolving
A P T
37. Их опыт. Инциденты в пром.секторе США
295 крупных инцидентов (15% рост) в промышленных компаниях
46 – энергетика
97 инцидентов c «участием» поставщиков оборудования и сервисов
В 106 случаях - использовались вредоносы и целевой фишинг
В 12% были затронуты компоненты АСУ ТП
Специфика «кибер» угроз
Тиражируемость
Управляемость по времени
Повторяемость
Взаимозависимость и объединение ИТ и АСУ ТП - ОТ
Новые возможности/мотивация атакующих
http://www.darkreading.com/attacks-bre
38. Киберугрозы: из ИТ через ОТ в реальность
• Нарушение физической безопасности (взлом умных замков)
• Нарушение работы предприятия (ложные срабатывания
пожарной сигнализации, повторяющиеся)
• Утечки информации (съем данных с систем
видеонаблюдения)
• Фрод (модификация показаний датчиков (весов))
• Локеры устройств
SmartThings app that’s meant to check a lock’s battery shouldn’t be able to
steal its PIN or set off a fire alarm, they argue. In fact, they analyzed 499
SmartThings and found that more than half of them had at least some level of
privilege they considered overbroad, and that 68 actually used capabilities
they weren’t meant to possess.
39. Моделирование угроз для АСУ ТП
Protocol analysis
(Modbus, S7,
Profinet etc)
Kiosk mode
escape
Unauthorized
access
Firmware
download
Password
cracking
Access
controllers
Command/data
sending
Pipeline accident
Fire protection
system
SCADA/HMI
Pumping
Infrastructure
DMZ
Firmware
modification
Denial of
service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Pipeline Idle
time
Pumping
station
Fire
protection
system
Workstations
DMZ
Connection breach
Control over DMZ server
Damage to Environment
Internal
Attacker
Penetration vectors Target Systems Threats
Disposition
47. ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall