Корпоративные лаборатории PENTESTIT: современные угрозы ИБ

Актуальность кибергуроз

В последнее время участились случаи т.н. целенаправленных хакерских атак (APT), основной целью которых являются финансовый, промышленный и государственный сектор. Такие атаки характеризуются своей молниеносностью (от нескольких минут до нескольких часов) и высоким профессионализмом нападающих.

Зачастую ИБ-специалисты, сталкиваясь с несколькими попытками вторжений (в том числе и с отвлекающими), не успевают вовремя отреагировать на реальную атаку. Более того, большинство подобных попыток вторжений оказываются выявленными уже постфактум – после утечки критичных данных. Уровень осведомленности сотрудников ИБ-подразделений о современных угрозах обычно не ставится под сомнение, но, тем не менее, количество атак и их масштабность растет год от года. Например, здесь собраны атаки начиная с 2008 года. Как можно заметить, их количество и вариации увеличивается с каждым годом. А здесь представлена эволюция и наглядная инфографика таких атак. Даже такие крупные вендоры ИБ, как «Лаборатория Касперского», подвергаются подобным атакам:

Ранней весной 2015 года «Лаборатория Касперского» зафиксировала кибервторжение в свою корпоративную сеть. В ходе последовавшего за этим расследования была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа – Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.

Как защитить ИТ-инфраструктуру компании перед лицом киберугроз?

Три фактора готовности

Важно определить три фактора готовности отдела информационной безопасности, позволяющих бороться с APT:

• уровень знаний современных угроз;
• умение думать как злоумышленник и предугадывать его действия;
• навыки обеспечения безопасности инфраструктуры и минимизации рисков.

В программе профессиональной подготовки «Корпоративные лаборатории PENTESTIT» основной упор сделан именно на практику в реализации современных сценариях атаки и выработку адекватных защитных мер, в том числе при защите от инсайдерских атак — попытки сотрудником компании изнутри атаковать корпоративную сеть, хорошо защищенную снаружи.

Разведка и сбор информации

Первым этапом APT-атак является сбор информации об атакуемой системе. Такие действия включают в себя:

• Разведку и сбор информации;
• Сканирование сетевого периметра;
• Поиск и эксплуатацию ошибок конфигурации.

(Не)безопасность веб-сайтов

Одной из самых популярных «точек входа» в корпоративную сеть является веб-сайт компании. Каждый пятый сайт содержит критичные уязвимости, позволяющие злоумышленнику произвести его компрометацию. К таким уязвимостям, в первую очередь, относят:

• SQL-инъекции;
• RCE (удаленное исполнение кода);
• XSS;
• RFI/LFI;
• Race-condition.

(Не)безопасность внутреннего периметра

Зачастую внутреннему периметру компании не уделяется должного внимания. Попадая тем или иным способов во внутрь корпоративной сети, злоумышленник с большей долей вероятности становится ее полноправным хозяином, используя техники:

• повышения привилегий (эксплоиты, SUID и т.д.);
• сбора учётных данных и закрепления в системе;
• сокрытия следов.

Расследование киберпреступлений и сбор доказательной базы

Помимо предотвращения атак, явным преимуществом для специалистов ИБ будет являться практический опыт:

• реконструкции действий злоумышленника;
• сбора доказательной базы, в том числе сбор данных для передачи в правоохранительные органы;
• снятия дампа оперативной памяти и анализа с использованием специализированных утилит;
• анализа файловых систем;
• определения возможных последствий и оценка ущерба.

Корпоративные лаборатории PENTESTIT

Широкое распространением методов, техник и инструментов работы злоумышленников, многочисленные «громкие» уязвимости, обнаруженные в недавнем времени, а также постоянные утечки данных и взломы крупных компаний говорит о фактической их незащищенности перед угрозами информационной безопасности. Профессиональная подготовка отдела ИБ является ключевым фактором при решении подобных проблем. В чем особенность программ обучения «Корпоративные лаборатории»?

Уникальность «Корпоративных лабораторий» заключается в симбиозе формата обучения (полностью дистанционное, не требующее отрыва от работы и учебы), качества материала и специализированных ресурсов, на которых производится обучение. Помимо сильнейшей практической подготовки, «Корпоративные лаборатории» включают интересные курсы-вебинары, по уровню сравнимые с материалом профессиональных конференций по практической безопасности.

Актуальность материала

Одной из отличительных особенностей «Корпоративных лабораторий» является актуальность материала. Отсутствие длительного процесса согласования программы обучения с различными инстанциями позволяет нам с каждым набором (раз в 1,5 месяца) производить актуализацию курса.

В «Корпоративных лабораториях» мы стараемся оценить и объективно проанализировать последние «громкие» уязвимости и атаки: прошлогодние Heartbleed и POODLE, недавние атаки на Hackerteam и вымогательство в одном из российских банков:

Злоумышленники потребовали выкуп в размере 29 млн руб., в противном случае они опубликуют похищенную клиентскую информацию.

Как сообщает издание «Фонтанка», Банк «Санкт-Петербург» стал жертвой хакеров. Крупнейшая атака за всю историю петербургских финансовых организаций началась еще в апреле нынешнего года. Злоумышленники похитили конфиденциальную информацию клиентов компании и потребовали от ее руководства выплатить 29 млн руб., в противном случае клиентские данные будут опубликованы в общественном доступе.

По словам сотрудников банка, им удалось вовремя обнаружить «нетипичную для клиентов» активность в информационной базе. Изучив ситуацию, эксперты финорганизации пришли к выводу, что получаемая злоумышленниками информация не является критической и не может использоваться с целью мошенничества. В связи с этим было принято решение не блокировать хакерам доступ к ней, а дать время правоохранительным органам собрать достаточно улик для того, чтобы найти преступников. В течение двух недель хакерам «было разрешено» похитить несколько тысяч реквизитов, непригодных для осуществления операций от имени клиентов.

Помимо основной, платной программы, мы приглашаем экспертов из ИТ и ИБ областей, которые делятся своим опытом, а также рассказывают о лучших практиках:

• «Арес», Intercepter-ng;
• Григорий Земсков, Revizium;
• Сергей «Rebz», Antichat, Rebz.net;
• Максим Лагутин, SiteSecure;
• Олег Михальский, Acronis;
• Олег Бондаренко, Qrator;
• Иван Новиков, Wallarm.

«Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы защиты, а что — нет». Более подробную информацию о программе обучения можно получить по ссылке.

ссылка на оригинал статьи http://habrahabr.ru/post/263665/