'

КОРПОРАТИВНЫЕ УГРОЗЫ

Понравилась презентация – покажи это...





Слайд 0

КОРПОРАТИВНЫЕ УГРОЗЫ Алексей Денисюк, Инженер предпродажной подготовки в Восточной Европе alexey.denisyuk@kaspersky.com


Слайд 1

АГЕНДА


Слайд 2

Векторы заражений


Слайд 3

Как может проникнуть вредоносное ПО Снаружи Изнутри Через Броузер Через интернет-сервисы (email, instant messenger, etc) С помощью уязвимостей в ПО С помощью социальной инженерии Инфицированные устройства (removable disks, cd/dvd, floppies) Социальная инженерия Инсайдеры


Слайд 4

Векторы заражений Загрузки Основные проблемы: Новые уязвимости в ПО обнаруживаются каждый день Исправления выходят слишком медленно Пользователи не заботятся об обновлениях Вредоносные скрипты внедряются HTML и PHP коды: Перенаправление пользователя на вредоносный URLs Использование уязвимостей в ПО на пользовательском ПК Кража учетных данных FTP Обфускация усложняет обнаружение зловредного ПО Никакая веб-страница не может быть полностью доверенной!


Слайд 5

Векторы заражений Загрузки


Слайд 6

Векторы заражений Социальные сети Один из наиболее общих векторов атак! зловреды & спам фишинг & социальная инженерия сбор информации


Слайд 7

Векторы заражений Почта, IM Большое кол-во заражение этим способом инфицированные приложения инфицированные ссылк социальная инженерия Спуфинг email-адресов, например administrators@yourcompany.com your.boss@yourcompany.com Правдоподобно выглядящие темы, например «Пожалуйста, проверьте документ" «Важное обновление безопасности"


Слайд 8

Векторы заражений Внешние устройства Автозапуск вирусов и червей само-распространение, авто-репликация использование функции Windows автозапуска инфицирование файлов на диске обычно полиморфы процесс инфицирования незаметен для пользователя


Слайд 9

Продвинутые технологии Rootkits, bootkits Высоко-интеллектуальные угрозы Чрезвычайно сложно выявить и обезвредить Могут скрывать другие вредоносные приложения Могут создавать обширные бот-сети Новые идеи и технологии появляются постоянно MBR инфекции Использование собственных файловых систем Использование продвинутых методов шифрования Первые атаки на 64-битные платформы


Слайд 10

Продвинутые технологии Зловреды с цифровой подписью Цифровая подпись Дает гарантию подлинности ПО Не предрасположена к фальсификации без приватного ключа Требуется некоторыми операционными системами Подписанные доверенным сертификатом файлы часто помещаются в «белые списки» вендорами антивирусного ПО Кибер-криминал может украсть сертификаты Зловреды с действительными цифровыми подписями: Zeus, Stuxnet, Worm.SymbOS.Yxe...


Слайд 11

Направленные атаки


Слайд 12

Направленные атаки Lethal injection vs. hail of bullets


Слайд 13

Направленные атаки Рекогносцировка и подготовка выбор наиболее уязвимой цели e.g. YourCompany Inc. сбор публично доступной информации касательно YourCompany сбор информации об инфраструктуре и решениях ИБ - YourCompany проникновение, социальная инженерия ШАГ 1 ШАГ 2 Подготовка персонализированной атаки: Подготовка уникальной вредоносной программы Использование уязвимостей в ПО - YourCompany Использование сотрудников YourCompany как вектор атаки Социальная инженерия, оплошность, небрежность, коррупция...


Слайд 14

Направленные атаки Компрометация и использование уязвимостей Получение доступа к ресурсам - YourCompany Контроль систем - YourCompany Коммуникация с центром управления как правило зашифрованы Шифрованный трафик не может быть «прочитан» ШАГ 4 Копирование всех интересующих данных в одном месте в LAN Загрузка данных на внешний сервер Контроль или «освобождение» цели ШАГ 3


Слайд 15

Пример 1: Aurora Более недели! В то время как достаточно 1 часа...


Слайд 16

Пример 2: Stuxnet Направленность: 32-bit Windows системы Выявлен в средине Июля 2010 Возможность слежки and перепрограммирования промышленных систем контроля Siemens Simatic WinCC SCADA Один из наиболее профессиональных и специализированных зловредов в истории вредоносов: Продвинутые rootkit-технологии позволили скрыть следы присутствия в системе и замаскировать коммуникацию с системой контроля, а также PLC-модификации Оригинальные цифровые сигратуры усложняют детектирование с помощью AV Инфицирование использует 0-day уязвимость


Слайд 17

Пример 2: Stuxnet Методы распространения LNK exploit, zero-day Vuln: MS10-046 Вектор атаки: съемные устройства Spool server exploit, zero-day, Vuln: MS10-061 Вектор атаки: сетевые принтеры RPC exploit Vuln: MS08-047 Вектор атаки: сетевые папки 2 x zero-day EoP exploit (повышение привилегий)


Слайд 18

Пример 2: Stuxnet Сертификаты


Слайд 19

Пример 2: Stuxnet PLC заражение s7otbxdx.dll Использовался файл WinCC Step 7 ПО для коммуникации с устройством PLC Содержит набор инструкций включая функции отвечающие за чтение / запись данных на устройство Stuxnet записывает собственный файл с тем же именем, содержащий собственные определения ключевых функций, с целью: Перехвата всех коммуникаций с PLC Изменения кода PLC Выполнения собственного кода на PLC Скрытия модификаций


Слайд 20

Пример 2: Stuxnet География 12 Sep 2010 7 Feb 2011


Слайд 21

Пример 3: Anonymous vs. HBGary Интернет-группа активистов сформирована в 2003 Хакинг-активности с 2008 (в основном DDoS атаки) Связаны с WikiLeaks Атака на HBGary Federal Anonymous


Слайд 22

Пример 3: Anonymous vs. HBGary


Слайд 23

Пример 3: Anonymous vs. HBGary Компания ИБ, сотрудничает с правительством США Вовлечена в расследование деятельности Anonymous HBGary Federal


Слайд 24

Пример 3: Anonymous vs. HBGary Компрометированы - Anonymous в Феврале 2011 SQL injection + social engineering Вывод из строя телефонной системы компании Доступ к конфиденциальным данным Компрометация Twitter-учетки CEO компании Результаты: Более 50,000 конфиденциальных писем украдены опубликованы Серьезный публичный урон Привело к отставке CEO HBGary Federal


Слайд 25

Пример 4: LulzSec Хакерская группа, активность май-июнь 2011 Направленные атаки: Sony Pictures, MediaFire Bethesda Game Studios American Public Broadcasting System United States Senate United States Central Intelligence Agency Опубликовано большое кол-во персональных данных и конфиденциальной информации 26 June 2011 – группа выпустила финальное заявление LulzSec


Слайд 26

Пример 4: LulzSec


Слайд 27

От виртуальных к физическим Угрозы производству, здоровью и жизни


Слайд 28

Промышленные системы Почему уязвимы к атакам Внедрение популярных сетевых протоколов (напримерEthernet) Непрямой или прямой доступ к Интернет Контроль систем на ПК с Windows OS Наибольшее кол-во атак нацелено на эту ОС


Слайд 29

Промышленные системы Атаки: векторы и последствия Вирусы и черви распространяются в сети Инфицирование съемных устройств DoS и DDoS атаки Доступ к инфраструктуре: удаленное управление системой Угрозы Последствия Угрозы жизни и здоровью Повреждение оборудования Приостановка транспорта и коммуникаций Приостановка в производстве Приостановка подачи энергии / воды / газа Огромные производственные и экономические потери


Слайд 30

Промышленные системы Не только Stuxnet 2005 Червь Mytob worm провел атаку на промышленные ПК компании по производству автомобилей Результат: остановка на 1 час Один из атомных заводов в США был выведен из строя благодаря перегрузке внутренней сети Причина : неправильная работа драйвера PLC Результат : потеря контроля над водными помпами реактора Кибер-атака (Proof-of-concept) использующая уязвимость 0-day в ПО,ответственном за контроль электростанции Результат : само-разрушение тестового генератора Несколько городов отключены от электроснабжения. ЦРУ выяснило что атака проведена киберпреступниками 2008 2006 2007


Слайд 31

| December 20, 2015 Kaspersky Lab PowerPoint Template PAGE 32 |


Слайд 32

Меры противодействия


Слайд 33

Основные правила безопасности Самое слабое звено Образование Доверие


Слайд 34

Основные правила безопасности Для сотрудников Образование «Безопасный» тип мышления Осторожность, ответственность Осведомленность и рисках безопасности Внимание и предотвращение угроз Периодичные обновления ОС Периодичные обновления всего используемого ПО Комплексные решения безопасности Включая anti-spam, firewall


Слайд 35

Основные правила безопасности Для работодателей и сисадминов Образование сотрудников по текущим угрозам безопасности Использование безопасных паролей пользователями Регулярная смена паролей Использование безопасных протоколов для коммуникации Ограничение прав пользователей насколько возможно Безопасная сетевая инфраструктура Регулярные обновления всего серверного ПО Регулярные обновления всего ПО на рабочих станциях Использование комплексных решений безопасности (включая файрвол и анти-спам) Проведение регулярных пентестов всей инфраструктуры


Слайд 36

Основные правила безопасности Работа над укреплением локальной инфраструктуры Убедиться что приложения и ОС настроены в соответствии с необходимостями и требованиями Работа над сегментацией Разделение сетей и функций Ограничение сетевого доступа к / от ПК задание ограничений / ACL для функций приложений там где это возможно Убедиться в том что существует порядок для аудита и обновления систем (которые обычно исключены от автоматического аудита / обновления) Убедиться в том что работающие ОС and конфигурация наиболее предназначены для приложений / сервисов которые на них работают Промышленные системы


Слайд 37

Чего ожидать в будущем?


Слайд 38

Тренды угроз Spyware 2.0 Атаки с использованием сетей P2P Угрозы для 64-битных платформ Угрозы для мобильных телефонов и других мобильных устройств Атаки на банковские учетных записи направленные атаки Уходящие тренды: игровое ПО почтовые атаки


Слайд 39

Spyware 2.0 Наращивание технической изощренности Лучшие методы обхода безопасности and скрытия в системе Четко определенные цели Тихо и профессионально Кража всего идентичности оnline-учетки сбор логинов к разным сервисам кража конфиденциальных данных сбор любой информации о личности или компании


Слайд 40

Спасибо!


×

HTML:





Ссылка: