O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 28 Anúncio

17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть

Baixar para ler offline

Презентация с обзором 17 способов проникновения в корпоративную сеть, минуя межсетевой экран. В качестве примера решения для борьбы с многими из них описывается Cisco Stealthwatch и Cisco ISE.

Презентация с обзором 17 способов проникновения в корпоративную сеть, минуя межсетевой экран. В качестве примера решения для борьбы с многими из них описывается Cisco Stealthwatch и Cisco ISE.

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a 17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть (20)

Anúncio

Mais de Aleksey Lukatskiy (7)

Mais recentes (20)

Anúncio

17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть

  1. 1. Алексей Лукацкий Бизнес-консультант по безопасности 17 способов проникновения во внутреннюю сеть компании
  2. 2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сеть Пользователи Головной офис ЦОД Администратор Филиал Посмотрите на современную, вашу, сеть Мобильные пользователи Облако Какие варианты проникновения в нее существуют?
  3. 3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Нормальное распределение длин поддоменов Аномалии в названии поддоменов log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com Что скрывается в этой строке на 231 символ? Утечка номеров кредитных карт через DNS
  4. 4. Взлом через Wi-Fi в контролируемой зоне
  5. 5. История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. • 44-ФЗ как угроза информационной безопасности… Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да Начало 2000-х годов
  6. 6. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлома Web-портала Equifax • 10 марта 2017 года злоумышленники нашли известную уязвимость на портале Equifax, позволившую получить доступ к Web- порталу и выполнять на нем команды • Информация об уязвимости была разослана US CERT двумя днями ранее • После идентификации уязвимости злоумышленники запустили эксплойт и получили доступ к системе, проверив возможность запуска команд • Никаких данных украдено еще не было
  7. 7. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 2 в атаке на Equifax: эксплуатация уязвимости • 13 мая 2017 года злоумышленники эксплуатировали эту уязвимость и проникли во внутренние системы, выполнив ряд маскирующих процедур • Например, использовалось существующее зашифрованное соединение для генерации запросов/получения ответов
  8. 8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлом British Airways • Между 21 августа и 5 сентября 2018 года хакерская группа Magecart (или маскирующаяся под нее), взломав сервер авиакомпании British Airways, похитила данные 380 тысяч клиентов, включая их ПДн и финансовую информацию • Позже BA сообщила, что могли пострадать еще 185 тысяч клиентов
  9. 9. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начало сценария схоже с Equifax • Отличие в том, что в случае с BA был взломан сайт авиакомпании и подменен JavaScript, собирающий данные клиентов, с последующей пересылкой данных на вредоносный ресурс baways.com • Также есть предположение, что взломан мог быть не сайт BA, а CDN, используемый провайдерами связи для кеширования популярных ресурсов или сервер третьей стороны
  10. 10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Атака «водопой» (water hole) А также взлом ASUS
  11. 11. 17 каналов проникновения плохих парней в вашу организацию? 1. E-mail 2. Web 3. Site-to-Site VPN 4. Remote Access VPN 5. Sharing resources 6. USB 7. Wi-Fi 8. Warez 9. BYOD 10. Embedded 11. Клиент-сервер с шифрованием 12. DevOps 13. Подрядчики 14. Уязвимость на портале 15. «Водопой» (Waterhole) 16. DNS 17. Облако
  12. 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что объединяет эти варианты? 12 Кто КтоЧто Когда Как Где Больше контекста • Кто/что, куда, когда и как • География • Web-логи • Active Directory • Приложения на узле
  13. 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Stealthwatch Enterprise Простая сегментация Расширенная защита Ускоренное реагирование Cisco Stealthwatch Осведомленность в реальном времени на ПК, филиалах, ЦОДах и облаках Stealthwatch Cloud Корпоративная сеть Частное облако Публичное облако
  14. 14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Proxy Data Security Packet Analyzer Packet Data & Storage Система Cisco Stealthwatch Комплексная безопасность и сетевой мониторинг Stealthwatch Cloud Endpoint License UDP Director Other Traffic Analysis Software Flow Sensor Hypervisor with Flow Sensor VE Non-NetFlow enabled equipment VMVM ISE Flow Collector Management Console Threat Feed License NetFlow enabled routers, switches, firewalls Cognitive Analytics
  15. 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Внутренний нарушитель
  16. 16. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Внутренний нарушитель крадет данные из ЦОДа Дай мне все ассоциированные соединения?
  17. 17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Внутренний нарушитель использует SSH
  18. 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public … а потом сливает все через HTTPS
  19. 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Анализ соединений – пример размножения сетевого червя…
  20. 20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public …или визуально Prioritized Threats
  21. 21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Обнаружение вредоносного кода, использующего шифрование, с помощью сетевой телеметрии – без расшифровки трафика 21
  22. 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Эффективность обнаружения ВПО в шифрованном трафике 22 Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD
  23. 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Cognitive Analytics Обнаружение зашифрованного вредоноса Expanded CTA dashboard view Cognitive Analytics
  24. 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco Stealthwatch ETA ROIАнализ зашифрованного трафика во внутренней корпоративной сети Защита сделанных инвестиций в сетевую инфраструктуру и возможность использования решения для ИТ и ИБ Не требует перестройки сети для мониторинга внутренних угроз Мониторинг инфраструктуры Cisco и не только (IPFIX, cFlow, jFlow, sFlow)
  25. 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public От мониторинга к предотвращению 25 Отсутствие контекста Богатый контекст РЕЗУЛЬТАТ РЕЗУЛЬТАТ IP ADDRESS: 192.168.2.101 НЕИЗВЕСТНО НЕИЗВЕСТНО НЕИЗВЕСТНО НЕИЗВЕСТНО НЕИЗВЕСТНО Дмитрий Казаков (СОТРУДНИК) WINDOWS WORKSTATION ЗДАНИЕ-А-ЭТАЖ-13 10:30 AM MSK APR 27 БЕСПРОВОДНАЯ СЕТЬ НЕТ УГРОЗ / УЯЗВИМОСТЕЙ НЕИЗВЕСТНО ИЗВЕСТНО РОЛЕВОЙ ДОСТУПДОСТУП К IP (ЛЮБОЕ УСТРОЙСТВО / ПОЛЬЗОВАТЕЛЬ) ? ? ?
  26. 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public На периметре вы обычно ставите МСЭ (FW) и СОВ (IDS)! • Если Cisco Stealthwatch – это система обнаружения атак во внутренней инфраструктуре, то есть ли у Cisco внутренний межсетевой экран? • И чтобы он задействовал внутреннюю инфраструктуру! • И чтобы он был прост в управлении! • И чтобы он интегрировался с периметром!
  27. 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сетевые ресурсы Ролевой доступ Да! Это - Cisco Identity Services Engine! 27 Централизованное решение для автоматизации контекстно-задаваемых политик доступа к сетевым ресурсам и обмена контекстом Сетевая дверь Профилирование и оценка состояния Кто Что Когда Где Как ОценкаP Контекст Традиционно Cisco TrustSec® Политика ролевого доступаФизический или VM Гостевой доступ BYOD доступ Безопасный доступ ISE pxGrid Контроллер
  28. 28. Спасибо за внимание! security-request@cisco.com

×