Сценарий атаки информационная безопасность

В проектах по верификации компании в среднем обозначали шесть недопустимых событий, которые необходимо было реализовать. По мнению наших клиентов, наибольшую опасность для них представляют события, связанные с нарушением технологических процессов, процессов оказания услуг, кражей денежных средств и важной информации. Всего удалось подтвердить возможность реализации 71% обозначенных событий ⁴. Примечательно, что на атаку, которая приведет к реализации недопустимого события, злоумышленнику потребуется не больше месяца. Развитие атак на некоторые системы и вовсе может произойти за считанные дни. Так, в одной компании спустя всего два дня после проникновения в корпоративную сеть эксперты Positive Technologies продемонстрировали возможность кражи персональных данных миллионов пользователей. Несмотря на то, что финансовые организации считаются одними из наиболее защищенных, в рамках верификации недопустимых событий в каждом банке удалось выполнить действия, нарушающие бизнес-процессы и влияющие на качество оказываемых услуг. Например, был получен доступ к системе управления банкоматами с возможностью кражи денежных средств.

Шаг 1. Преодоление сетевого периметра

Путь злоумышленника из внешних сетей до целевых систем начинается с преодоления сетевого периметра. В среднем на проникновение во внутреннюю сеть компании уходит два дня.

Во время работ по анализу защищенности со стороны внешнего злоумышленника, проведенных во второй половине 2020 — первой половине 2021 года, экспертам Positive Technologies удалось преодолеть сетевой периметр в 93% проектов даже без использования методов социальной инженерии. Этот показатель уже многие годы остается на высоком уровне и подтверждает, что практически для любой корпоративной инфраструктуры преступники смогут подобрать ключ и проникнуть внутрь. В ходе таких работ эксперты Positive Technologies используют социотехнические техники редко, только в случае моделирования целенаправленных атак. Однако согласно нашей статистике киберугроз, атаки с использованием методов социальной инженерии в реальной жизни занимают первое место среди методов проникновения в корпоративную сеть и составляют 57% всех атак на организации.

Если же говорить про атаки, в которых производится взлом систем на сетевом периметре, то основным способом проникновения в корпоративную инфраструктуру является подбор учетных данных. И в первую очередь это связано с тем, что сотрудники любят устанавливать простые пароли, в том числе для учетных записей, используемых для администрирования систем.

Использование устаревших версий ПО и небезопасных протоколов позволяет злоумышленникам воспользоваться известными уязвимостями для преодоления сетевого периметра. Мы уже делились результатами инструментального анализа защищенности, где отмечали, какие уязвимости встречаются в сервисах компаний, доступных из сети Интернет.

По итогам работ по анализу защищенности со стороны внешнего злоумышленника в 60% проектов именно эксплуатация известных уязвимостей в ПО, а в 43% — в коде веб-приложений позволила нашим специалистам проникнуть в корпоративную сеть. Среди использованных уязвимостей были:

• «Удаленное выполнение произвольного кода» (CVE-2020-0688) в доступном из интернета сервере Microsoft Exchange;
• «Чтение произвольных файлов» (CVE-2020-3452) и «Разглашение информации» (CVE-2020-3259) в веб-интерфейсе управления устройствами Cisco ASA ⁵;
• «Удаленное выполнение произвольного кода» (CVE-2020-1147) в программном обеспечении Microsoft SharePoint;
• «Удаленное выполнение команд ОС» (CVE-2019-19781) в программном обеспечении Citrix NetScaler ⁶;
• «Удаленное выполнение произвольного кода» (CVE-2015-8562) в CMS Joomla.

В рамках одного проекта могло применяться одновременно несколько способов проникновения в локальную сеть из интернета. Среднее количество векторов проникновения в локальную сеть на один проект — 3, максимальное — 19.

Шаг 2. Получение максимальных привилегий

В 100% компаний внутренний злоумышленник может получить полный контроль над инфраструктурой, причем в 81% компаний существует простой способ получить привилегии администратора домена, который под силу даже низкоквалифицированному злоумышленнику. Стоит отметить, что эта тенденция сохраняется из года в год: в 2019 году получить полный контроль над инфраструктурой также удалось во всех компаниях. Привилегии администратора домена не всегда необходимы для реализации недопустимого события, однако их наличие существенно упрощает развитие атаки. Наше исследование показало, что максимальные привилегии в домене позволяют получить доступ к другим ключевым системам в 100% случаев.

Злоумышленник, обладающий учетными данными с привилегиями администратора домена, может получить множество других учетных данных для горизонтального перемещения по корпоративной сети и доступа к компьютерам и серверам. В большинстве компаний отсутствует сегментация сети по бизнес-процессам, что позволяет развивать несколько векторов атак вплоть до реализации нескольких недопустимых событий одновременно. Если же в компании выстроены доверительные отношения между доменами либо используются одни и те же учетные данные администраторов, то злоумышленник может получить контроль и над другими корпоративными доменами и продолжить развитие атаки в них. Максимальное число подконтрольных доменов внутри одной компании, полученное в рамках проведения работ по анализу защищенности со стороны внутреннего злоумышленника, — 10.

Мы уже рассказывали о сценариях развития атак внутри корпоративной инфраструктуры и давали рекомендации по выявлению злоумышленника на разных стадиях продвижения по сети, поэтому не будем подробно останавливаться на этом.

В ходе большинства атак на внутреннюю сеть злоумышленники предпочитают использовать архитектурные особенности ОС и протоколов аутентификации и выполнять другие легитимные действия, не отличающиеся от обычной деятельности пользователей или администраторов, чтобы остаться незамеченными.

В 41% компаний экспертами были использованы уязвимости в ПО ⁷, большинство из которых позволяло повысить привилегии в системе, например:

• критически опасная уязвимость в протоколе Netlogon (CVE-2020-1472), позволяющая повысить привилегии до администратора домена, вошедшая в список самых эксплуатируемых уязвимостей 2020 года по версии Американского агентства кибербезопасности CISA;
• уязвимость PrintNightmare в диспетчере очереди печати Windows (CVE-2021-34527), позволяющая удаленно выполнить произвольный код, а также просматривать, изменять или удалять данные, создавать новые учетные записи с пользовательскими правами.

Шаг 3. Получение доступа к ключевым системам

Прежде чем добраться до целевой системы, злоумышленнику приходится сделать несколько последовательных шагов. В одних компаниях необходимый доступ обеспечат привилегии администратора домена (и в этом случае контроллер домена будет ключевой системой на пути к реализации недопустимого события), в других цепочка атаки будет длиннее и потребует компрометации ряда других ключевых систем.

Получить доступ в изолированные сегменты сети, к ключевым компьютерам и серверам нарушителю зачастую помогают средства администрирования, виртуализации, защиты или мониторинга. Эти системы важны злоумышленникам еще и потому, что позволяют действовать незаметно от имени легитимных пользователей, не создавая дополнительные подозрительные подключения, и выполнять команды с высоким уровнем привилегий. Основная проблема заключается в том, что такие системы:

• хранят информацию об инфраструктуре (устройствах, IP-адресах, активных сервисах, используемом ПО);
• позволяют удаленно контролировать устройства (есть возможность удаленно выполнить код на агентах);
• имеют распределенную архитектуру (веб-интерфейс, базы данных, сервер, агенты);
• имеют предустановленные учетные записи и используют определенные порты для подключения;
• при отсутствии своевременных обновлений могут содержать уязвимости.

Шаги 4 и 5. Развитие атаки на целевые системы и реализация недопустимых событий

После того как злоумышленник проник в технологическую сеть и, к примеру, получил доступ к компьютеру оператора АСУ ТП, ему остается один шаг до целевой системы, где может быть реализовано недопустимое событие, например нарушение технологического процесса или вывод из строя оборудования. Примерами целевых систем, в зависимости от сферы деятельности компании, могут быть АСУ ТП, ГИС, система управления банкоматами, система межбанковских переводов SWIFT, 1С, интерфейс администрирования сайта, среда разработки и контроля версий программного кода и другие. В сфере промышленности и топливной энергетики в рамках проектов по верификации было подтверждено 87% недопустимых событий. Возможность выполнить этот последний шаг и довести атаку до конца отчасти связана с тем, что сотрудники не соблюдают политики информационной безопасности. У 9 из 10 инженеров на компьютере в открытом виде хранится документ с перечнем используемых систем, кратким описанием, IP-адресами и учетными данными для входа.

В банковской сфере в число ключевых систем входят рабочие станции сотрудников, обеспечивающих администрирование платежных систем и банкоматов. В рамках работ по верификации недопустимых событий в таких организациях экспертам удалось продемонстрировать доступ к целевым системам банка с привилегиями, позволяющими проводить банковские операции в двух из трех компаний, при этом выполнить действия, нарушающие бизнес-процессы банка и влияющие на качество оказываемых услуг, можно было в каждом банке. Всего в рамках проведения верификации за ограниченный условиями договора период времени экспертам Positive Technologies удалось реализовать 62% недопустимых событий в банках.

Если говорить о произвольной коммерческой организации, то для того чтобы украсть денежные средства, злоумышленнику необходимо добраться до счетов компании. И тогда к ключевым системам можно отнести компьютеры сотрудников, отвечающих за финансы. Если же преступника интересуют базы данных и бизнес-приложения компании, тогда его действия будут направлены на получение доступа к серверам и развитие атак в их адрес.

Из-за переплетения бизнес-процессов в компании шаги злоумышленника, направленные на, казалось бы, разные целевые системы, на самом деле происходят параллельно. Получение доступа к одной ключевой системе автоматически влечет за собой доступ к нескольким целевым. Так, злоумышленник, получивший максимальные привилегии в доменной инфраструктуре, сможет получить доступ и к компьютерам бухгалтеров, и к ноутбукам топ-руководителей, и к любым другим корпоративным системам. В рамках работ по верификации в одной из компаний доступ к системе «1С:Предприятие» был получен с компьютеров разработчиков ПО.

Как вовремя обнаружить и остановить атаку

Для того чтобы выстроить эффективную систему защиты компании, необходимо понимать, какие недопустимые события существуют. Спускаясь по пути бизнес-процесса от недопустимых событий к целевым и ключевым системам, можно отследить взаимосвязи и определить последовательность применяемых мер по защите. Чтобы затруднить продвижение злоумышленника внутри корпоративной сети по направлению к целевым системам, мы предлагаем ряд взаимозаменяемых и взаимодополняемых мер. Выбор тех или иных решений должен основываться на возможностях компании и ее инфраструктуре.

1. Разделение бизнес-процессов

Построение бизнес-процессов в компании — задача сложная и ресурсоемкая, как и изменение уже внедренных процессов. Но, как показало наше исследование, когда одна и та же ключевая система задействована сразу во множестве бизнес-процессов, злоумышленнику становится намного проще достигать своих целей, ведь ему достаточно скомпрометировать одну систему, чтобы затем добраться до нескольких целевых. Мы рекомендуем обратить особое внимание на те компоненты инфраструктуры, которые вовлечены одновременно в несколько бизнес-процессов, и проверить, нет ли среди них тех, через которые могут быть реализованы недопустимые для компании события. Отделение наиболее критичных для компании процессов от других может стать эффективным инструментом для защиты от реализации недопустимых событий наравне с другими мерами по защите.

2. Контроль безопасности конфигурации

Чтобы исключить возможность реализации недопустимого события в результате кибератаки, необходимо максимально усложнить злоумышленнику продвижение к цели. Чем сложнее будет цепочка атаки до целевой системы, тем меньше вероятность успешной компрометации и выше вероятность ошибки преступника. Мы рекомендуем особое внимание уделять защите точек проникновения в инфраструктуру из внешних сетей, минимизировать их количество, а также обеспечивать высокий уровень защищенности ключевых и целевых систем.

3. Усиленный мониторинг

Важным инструментом в защите является мониторинг событий ИБ не только для конечных точек, но и в сетевом трафике. Необходимо учитывать, что злоумышленник будет стремиться упростить свой вектор атаки, искать быстрые пути достижения цели, подстраиваться под бизнес-процессы для сокрытия своих действий, а значит он будет атаковать ключевые системы. Усиленный харденинг и расширенный мониторинг событий ИБ в точках проникновения, на ключевых и целевых системах — это эффективные способы защиты от реализации недопустимых событий. Расширенный мониторинг позволит повысить вероятность обнаружения преступника даже на тех системах, на которых по каким-либо причинам не были обеспечены усиленные меры защиты или не были установлены обновления. Особенно важно включать расширенный мониторинг событий ИБ на ключевых системах, задействованных одновременно в нескольких критически важных бизнес-процессах.

4. Удлинение цепочки атаки

Успеет ли служба ИБ принять меры по реагированию в случае выявления атаки зависит от того, насколько длинный путь необходимо проделать злоумышленнику для реализации недопустимых событий. Чем короче цепочка, тем меньше возможностей у защищающейся стороны. Чтобы остановить атаку вовремя, до того, как будет реализовано недопустимое событие, необходимо устранить все самые короткие пути злоумышленника от точек проникновения до целевой системы. Удлинение цепочки атаки происходит за счет корректной сегментации сетей, добавления ключевых систем на пути злоумышленника, отдаления точек проникновения от целевой системы на расстояние как минимум нескольких шагов атаки.

Инфраструктура каждой организации уникальна. Где-то в результате одной атаки злоумышленник может реализовать одновременно несколько недопустимых событий, а в каких-то компаниях для достижения цели атакующему придется постараться. Выбирая подходящий баланс предложенных мер, каждая организация может с разумными затратами своевременно обнаружить и остановить злоумышленника и тем самым исключить реализацию недопустимых для бизнеса событий.

1. В исследование вошли 45 проектов, для которых клиенты дали согласие на анализ результатов и публикацию в обезличенном виде.
2. Недопустимые события формулировались индивидуально для каждой организации с указанием значений недопустимого ущерба. В рамках исследования мы объединили такие события в перечисленные категории.
3. Оценка дана на основании проектов по верификации недопустимых событий.
4. Верификация недопустимых событий происходит согласно заранее обозначенным критериям. Работы производятся в реальной инфраструктуре компании и прекращаются за один шаг до наступления недопустимого события без нанесения вреда бизнес-процессам.
5. Уязвимости обнаружены экспертами Positive Technologies.
6. Уязвимость обнаружена экспертами Positive Technologies.
7. Так как работы по тестированию на проникновение и имитации целенаправленных кибератак проводятся методом «черного ящика», уязвимости ПО могут не использоваться в атаках при существовании более простого или более скрытного варианта компрометации, но при этом присутствовать во всех исследованных системах.

Смотрим на технологическую сеть глазами злоумышленников

Могут ли злоумышленники проникнуть в АСУ ТП^[1]? Как они это делают и какие инструменты используют? А главное, обязательно ли атакующие должны что-то понимать в АСУ ТП и технологических системах, чтобы нанести ущерб промышленным предприятиям?

Дмитрий Федосов, специалист отдела экспертных сервисов и развития SOC в Positive Technologies, и Дмитрий Даренский, руководитель направления по развитию продуктов промышленной безопасности Positive Technologies, рассказывают, как злоумышленники видят технологическую сеть и что объективно необходимо для защиты промышленных инфраструктур. Их статья будет полезна специалистам SOC, инженерам промышленных компаний и тем, кто интересуется безопасностью АСУ ТП.

Атаки на АСУ ТП

Как злоумышленники атакуют АСУ ТП? Чтобы ответить на этот вопрос, рассмотрим упрощенную структуру технологической сети и ее связь с корпоративной сетью. Наша схема^[2] не заточена под конкретную отрасль производства или направление деятельности предприятия, а просто показывает, какие в сети есть узлы и как они взаимодействуют друг с другом. Будем двигаться слева направо.

В сегменте «Интернет» расположен внешний сервер. Доступ в интернет из корпоративной сети есть всегда, и это неудивительно. Иногда встречаются случаи, когда из технологического сегмента сети также есть неограниченный доступ к всемирной паутине.

Следующий элемент — корпоративная сеть передачи данных (КСПД). Вместо нее может быть демилитаризованная зона (ДМЗ), которая находится между корпоративным сегментом и технологической сетью. В этом сегменте расположена смежная система. Стандартом де-факто считается ERP-система или MES. 

Корпоративную и технологические сети разделяет шлюз.

АСУ ТП, как правило, состоит из трех уровней технологической сети. На верхнем уровне располагается SCADA-система, включая сервер SCADA, автоматизированные рабочие места операторов, инженеров и начальника. Там же находятся различные серверы, в том числе серверы единого времени, сообщений и тревог, исторических данных и иногда веб-серверы. Кроме того, следует учитывать не только те ресурсы, которые появились при развертывании АСУ ТП, но и те, что были добавлены в сеть позже. Сервер SCADA обычно имеет доступ в верхний уровень технологической сети через один интерфейс, а через другой — в средний уровень, где расположены программируемые логические контроллеры (ПЛК). В ПЛК закладывается основная логика технологических процессов.

На нижнем уровне технологической сети располагаются два типа устройств: датчики (например, давления или температуры) и исполнительные устройства (двигатели, роутеры, заслонки).

Сценарий № 1. Атака на технологический сегмент через смежные системы

Как видно на схеме, в сегменте «Интернет» вместо внешнего сервера появился командный центр атакующего. Рассмотрим варианты компрометации смежной системы в корпоративной сети.

Как правило, любая атака на корпоративную сеть включает две основные стадии:

1. Перемещение атакующего от узла к узлу для повышения привилегий. Классический пример — получение учетных данных администратора домена или предприятия в Active Directory.

2. Перемещение атакующего по сети в попытке реализовать собственные задачи. Проводя разведку на узлах, анализируя, какие системы есть и как их выгодно можно использовать, повышая в них привилегии, злоумышленник может атаковать технологический сегмент через корпоративную систему, которая имеет туда доступ, то есть является смежной.

Классы средств защиты, которые выявят компрометацию смежной системы

EDR-система. Выявляет целевые атаки и, если допустимо, сразу реагирует на них.

Сетевая песочница. Если EDR-система обнаружит артефакт деятельности атакующего, то она передаст его на анализ в песочницу. Песочница проведет сетевой или поведенческий анализ артефакта и вынесет вердикт. На его основе оператор SOC определит, действительно ли происходит атака.

Система класса SIEM. Выявляет подозрительную активность пользователей и приложений внутри каждого актива. Является ядром любого SOC.

Система управления уязвимостями (vulnerability management). Правильнее говорить «процесс управления уязвимостями». Он позволяет выявлять критически опасные уязвимости в инфраструктуре (в нашем случае — в смежной системе) и устранять их.

Закрепившись в смежной системе и проведя разведку, атакующий обнаружит, что у него есть доступ в другую подсеть или сегмент. Возможно, он еще даже не поймет, что может попасть в технологический сегмент. В этом случае среднестатистический злоумышленник просканирует обнаруженную сеть (по меньшей мере те узлы, которые доступны ему через шлюз), чтобы определить возможные векторы для перемещения. Для этого он может использовать классический набор инструментов, включающий SOCKS-прокси, Chisel, SOCKS4a, Autoroute (модуль Metasploit) и ProxyChains. Через них атакующий пробросит трафик во внутреннюю сеть (верхний уровень технологической сети), опять просканирует ее и выберет следующую цель для бокового перемещения (lateral movement). На представленной выше схеме следующей целью атакующего будет АРМ оператора. Чаще всего злоумышленник выбирает один из следующих вариантов:

• использовать штатный удаленный доступ (через jump host по RDP подключиться к АРМ оператора);

• побрутфорсить учетные записи с нужными ему правами;

• эксплуатировать RCE-уязвимость (удаленное выполнение кода). Технологический сегмент не отличается актуальными операционными системами и, как правило, имеет проблемы с патч-менеджментом.

Переместившись на рабочую станцию оператора, атакующий может:

• Повысить привилегии и начать деструктивную деятельность на захваченном АРМ.

С точки зрения технологического процесса это нам не очень интересно, так как все АРМ задублированы.

• Влиять на технологический процесс.

В зависимости от используемой SCADA и схемы ее развертывания злоумышленник может подменить мнемосхему, на которую смотрит оператор. Так, например, оператор увидит, что температура в котле выше нормы (хотя на самом деле все в порядке), предпримет меры для «стабилизации» ситуации, и они в итоге негативно повлияют на технологический процесс.

• Без ограничений сканировать весь верхний уровень технологической сети и начать боковое перемещение. Таким образом, большая часть узлов в скором времени будет скомпрометирована.

Особое значение имеет компрометация сервера SCADA, так как это основной узел, отвечающий за мониторинг и управление технологическим процессом.

Как будет дальше действовать атакующий? Есть три варианта развития событий:

1. Атакующий не захочет разбираться, что такое SCADA-системы и как они работают. Ему они могут показаться слишком сложными и непонятными. Вместе с тем у атакующего может быть достаточно привилегий, чтобы запустить банальный шифровальщик и тем самым нарушить технологический процесс. Свежий пример — атака на американскую трубопроводную систему Colonial Pipeline. Шифровальщик повредил ИТ-инфраструктуру, операторы не могли отслеживать состояние технологического процесса и сами остановили его. Трубопровод не функционировал в течение пяти дней, что спровоцировало дефицит бензина и дизельного топлива на Восточном побережье США.

2. С сервера SCADA у атакующего есть возможность подменить информацию о технологическом процессе большим количеством способов. Например, он может заменить мнемосхему на всех автоматизированных рабочих местах.

3. Атакующий может развить атаку вглубь технологической сети для получения доступа к ПЛК.

Классы решений ИБ, которые выявляют атаки на верхнем уровне технологической сети

EDR-система. Анализирует и выявляет целевые атаки на узлы. Если допустимо (все-таки идет речь о технологическом сегменте), она может осуществлять реагирование на обнаруженные киберугрозы.

Сетевая песочница. Анализирует подозрительные артефакты и предоставляет оператору SOC объективную информацию о том, что происходит на верхнем уровне технологической сети.

NTA-решение. Выявляет сканирование узлов на предмет уязвимостей и эксплойты, которые злоумышленники используют для эксплуатации уязвимостей.

SIEM-система. Выявляет подозрительную активность пользователей и приложений внутри каждого актива. Является ядром любого SOC. Если атакующий установит хакерский софт, система этого класса сможет выявить запуск вредоносного ПО с определенными параметрами.

Система (процесс) управления уязвимостями. Поскольку на автоматизированных рабочих местах и серверах, как правило, установлены не последние версии ПО, следует тщательно проверять их на наличие уязвимостей. При этом не всегда обязательно устанавливать патчи. В бюллетенях безопасности есть раздел Mitigations c рекомендациями, следуя которым можно исключить или снизить вероятность успешной эксплуатации уязвимости. Например, с помощью файрвола можно ограничить доступ к уязвимому сервису или полностью отключить такой сервис.

Как учесть рекомендации НКЦКИ в работе с уязвимостями, в каких ситуациях следует обновлять ПО, а когда все же не стоит, читайте в руководстве, составленном экспертами Positive Technologies.

Затем атакующий может переместиться на средний уровень технологической сети, где расположены ПЛК. У SCADA-сервера есть множество встроенных утилит, которые позволяют управлять ПЛК: передавать им команды, такие как «Стоп» и «Старт», или иным образом влиять на их работу.

Злоумышленник также может установить на сервере SCADA собственное ПО, которое позволит ему делать с ПЛК то же самое, что делают штатные средства. В одном из последних отчетов команды Dragos описан вредонос Pipedream, фантастический набор функций которого позволяет влиять на контроллеры разных вендоров: проводить разведку, подбирать учетные данные для авторизации на узлах и отправлять команды.

Еще один интересный и по сей день актуальный пример — Stuxnet. Червь позволяет атакующему выгрузить проект и его логику, модифицировать их, а затем загрузить обратно. Таким способом можно подменить информацию о состоянии технологического процесса и лишить инженеров и диспетчеров возможности видеть, что на самом деле происходит на производстве.

Продукты ИБ, выявляющие атаки на среднем уровне технологической сети

Система класса SIEM. Ничто лучше самого ПЛК не сможет рассказать, что творится у него внутри. Не стоит забывать, что ПЛК уже давно умеют писать логи сами, поэтому хорошая SIEM-система обязана уметь получать логи с ПЛК, нормализовывать и коррелировать события, причем с событиями не только из технологической сети, но и из корпоративной.

NTA-решение. Анализирует трафик между SCADA-сервером и ПЛК, глубоко его разбирает и определяет, какие команды авторизованы, а какие нет. Если работающая система отправляет странные команды, например, такие как перевод ПЛК в состояние форсирования ввода — вывода, то это должно насторожить специалистов по мониторингу технологической сети. Их последующие действия должны соответствовать принятому на промышленном предприятии плану реагирования.

Система vulnerability management. Оценивает состояние защищенности технологических систем и выявляет, какие проблемы могут возникнуть у ПЛК определенных серий и прошивок.

Сценарий № 2. Атака из технологической сети

Казалось бы, технологическая сеть — это самый изолированный сегмент, и проблем с ним быть не должно. Однако практические кейсы свидетельствуют об обратном. «Корень зла» лежит в человеческом факторе. В качестве примера рассмотрим вариант с оператором АРМ. Ему приходится круглосуточно дежурить и не спускать глаз с мнемосхемы. Неудивительно, что иногда ему бывает скучно и хочется развлечься. Легким движением руки оператор вставляет носитель, например флешку, и копирует на АРМ фильм и набор кодеков для его просмотра. Скопированный дистрибутив может быть заражен вирусом, и атака из технологической сети, по сути, превращается в атаку через смежные системы. Объединяет их то, что у атакующего появляется возможность сразу выполнять команды внутри технологического сегмента.

Другой вариант (напоминаем, что доступ в интернет из технологического сегмента у нас по-прежнему закрыт): оператор подключает модем 3G или 4G или раздает интернет со смартфона, заходит на сомнительный ресурс, выигрывает (неожиданно!) в лотерее, а затем скачивает и запускает на своем рабочем месте исполняемый файл. Злоумышленники могут преподносить это как способ перевести деньги на свой счет в банке. Фактически происходит то же, что и в предыдущем случае: после подключения к командному центру атакующий, находясь в технологической сети, может выполнять код на АРМ оператора. Дальнейшее движение хакера по сети аналогично сценарию № 1: компрометация узлов верхнего уровня технологической сети, компрометация сервера SCADA, развитие атаки внутрь технологической инфраструктуры. Классы средств защиты для верхнего уровня технологической сети полностью аналогичны описанным в первом кейсе.

Типичные для корпоративной сети решения ИБ в большинстве случае справляются со своими задачами. Однако, как только атакующий пересекает границу корпоративной и технологической сети, средства мониторинга теряют его из виду — и в этом кроется главная проблема.

Что нужно для защиты

Если резюмировать первую часть статьи, то хакерские атаки необходимо выявлять на трех уровнях ИТ-инфраструктуры: на конечных узлах, в сетях передачи данных и на специализированных для индустриального сегмента устройствах.

Защита промышленного предприятия, во-первых, должна основываться на инструментах, знакомых и понятных специалистам по ИБ. Сетевые песочницы, системы SIEM, NTA и EDR, без сомнения, известны и привычны любому безопаснику. Во-вторых, чтобы обеспечивать безопасность технологического объекта, все продукты должны «дружить» с АСУ ТП и видеть происходящее в них.

В апреле этого года мы представили платформу для защиты промышленности от киберугроз — PT Industrial Cybersecurity Suite (PT ICS). Платформа позволяет обнаруживать злоумышленника на всех этапах развития атаки в промышленных средах и своевременно реагировать на атаки. PT ICS обеспечивает комплексную безопасность всего промышленного предприятия, включая сегмент АСУ ТП (начиная от сетевых узлов и заканчивая технологическими устройствами). В состав PT ICS входят:

1.      Ключевые продукты Positive Technologies и их компоненты, отвечающие за безопасность технологических систем:

·        новые промышленные агенты MaxPatrol SIEM собирают информацию с узлов технологической сети, а специализированные правила нормализации и корреляции событий для популярных АСУ ТП иностранных и отечественных производителей доступны «из коробки»;

·        сенсоры PT ISIM, адаптированные под АСУ ТП, отвечают за глубокий анализ трафика технологических сетей, выявление в них аномалий и помогают осуществлять проактивный поиск угроз (threat hunting);

·        новые промышленные агенты MaxPatrol VM позволяют безопасно сканировать технологическую сеть, проводить аудит ПО и аппаратных средств популярных зарубежных и отечественных производителей;

·        специализированные возможности PT Sandbox помогают динамически выявлять в файлах, общих сетевых папках и ссылках вредоносное ПО, нацеленное на компоненты АСУ ТП различных производителей. Песочница проводит статический и динамический анализ объектов как с узлов, так и из других источников.

2.      Сервисы Positive Technologies:

·        анализ защищенности промышленных систем — глубокое практическое исследование безопасности систем автоматизации в комплексе и их компонентов по отдельности (аппаратных и программных);

·        услуги PT Expert Security Center по обнаружению, реагированию и расследованию сложных инцидентов, связанных с АСУ ТП, ретроспективному анализу. Доступны сертификаты на расследования в промышленных инфраструктурах.

Высококвалифицированных ИБ-экспертов всегда будет недостаточно. С помощью экспертных сервисов мы предлагаем решить проблему острой нехватки кадров на рынке и помочь предприятиям промышленности, у которых зачастую нет необходимых ресурсов, расследовать киберинциденты на профессиональном уровне.

Как работает PT ICS

За счет новых возможностей, учитывающих особенности автоматизированных систем управления, продукты Positive Technologies, положенные в основу платформы PT ICS, эффективно обнаруживают действия хакеров в промышленных сегментах и обеспечивают сквозную защиту всей технологической инфраструктуры. А EDR-агенты PT XDR дают возможность выборочного реагирования на конечных узлах в АСУ ТП.

Компоненты и продукты платформы PT ICS разворачиваются как в производственном сегменте компании, так и за его пределами. Все они располагают кросс-продуктовой экспертизой в АСУ ТП и регулярно накачиваются ей. Она необходима, чтобы выявлять специфичные для этой области киберугрозы, и это ключевое преимущество платформы. Проще говоря, знания, которые получают MaxPatrol SIEM, MaxPatrol VM или PT Sandbox, ориентированы на платформы автоматизации и продукты конкретных производителей компонентов АСУ ТП (Siemens, AVEVA, АдАстра и других). Экспертизу постоянно обогащают новыми возможностями, правилами корреляции, транспортами к уникальным устройствам и прикладному ПО, которые встречаются только в технологических сегментах промышленных компаний. Таким образом, предприятие получает возможность на одной платформе и в едином продуктовом портфеле построить единый SOC, равнозначно работающий как с корпоративной, так и технологической инфраструктурой.

Это настоящий on-premise: все собранные данные анализируются внутри компании и не покидают ее периметр.

Если в компании уже есть корпоративный SOC на базе наших продуктов, можно распространить защиту на технологические сегменты, а также подключить функции безопасности по отдельности или все сразу: в частности, начать анализировать вредоносное ПО из технологического трафика или собирать логи с ПЛК и SCADA-серверов.

Все продукты, входящие в PT ICS, расширяются промышленными компонентами или сенсорами^[3]. PT Sandbox расширяется за счет лицензии Industrial Entrypoint Traffic, а EDR-агент адаптирован для применения в OT и ICS.

Варианты реализации платформы PT ICS на промышленном предприятии

Задача № 1: необходимо обеспечить мониторинг всей инфраструктуры предприятия, нет центра оперативного реагирования на киберугрозы.

Решение: устанавливаются сервер, стандартные и промышленные агенты MaxPatrol SIEM и MaxPatrol VM. Пользователям промышленных агентов становятся доступны пакеты экспертизы АСУ ТП.

Задача № 2: на предприятии уже есть MaxPatrol SIEM либо MaxPatrol VM, дополнительно требуется обеспечить мониторинг технологической сети.

Решение: поставляются промышленные агенты MaxPatrol SIEM или MaxPatrol VM. При необходимости расширяется лицензия для SIEM или VM server. Пользователям промышленных агентов становятся доступны пакеты экспертизы АСУ ТП.

Задача № 3: у компании уже есть PT Sandbox, для анализа файлов из трафика АСУ ТП к песочнице требуется подключить технологическую cеть.

Решение: устанавливаются сенсоры PT ISIM для извлечения файлов из технологического трафика и отправки в сетевую песочницу. Кроме того, устанавливается дополнительная лицензия Industrial Entrypoint Traffic для PT Sandbox, чтобы анализировать файлы из промышленного сегмента.

PT ICS подходит для любой отрасли промышленности: энергетики, транспорта, металлургии, машиностроения, медицины, ЖКХ, судоходных и железнодорожных компаний. Платформа легко масштабируется от одной производственной площадки до размеров промышленного холдинга или отрасли производства.

Все продукты в составе PT ICS полностью российского производства и входят в реестр отечественного ПО. Если в компании уже установлена часть наших продуктов для корпоративной сети, достаточно расширить существующие лицензии для поддержки технологического сегмента. Специалисты продолжат работать с привычными им инструментами, дополненными экспертизой в АСУ ТП. Это повысит эффективность работы служб ИБ и снизит затраты на эксплуатацию систем безопасности.

[1] Автоматизированная система управления технологическим процессом.

[2] Для простоты изложения представлена упрощенная схема сети.

[3] Либо можно приобрести решение All-in-One с индустриальными агентами на борту.

В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные векторы атак, оценим их риски и возможные последствия.

К сожалению, от атак не застрахован ни один веб-проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого-либо, а монетизация возможной атаки ничтожна по прибыльности, то это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.

Мотивация атакующих

• Вымогательство — требуют деньги за прекращение атаки, за возврат зашифрованных / удаленных данных или за сохранение конфиденциальности полученных данных
• Охота за данными — ворованная информация может быть продана или иным образом монетизирована
• Перехват пользовательского трафика — этот тип атаки направлен на посещаемые сайты, трафик с которых выгодно перенаправлять на иные ресурсы с целью монетизации. 
• Захват вычислительных ресурсов — атакованная система встраивается в ботнет, нацеленный на осуществление спам-рассылок или DDoS-атак на другие ресурсы, а также в последние годы стало актуальным использование «угнанных» серверных мощностей для майнинга криптовалют.
• Недоброжелатели — мотивация атаки крайне проста: владелец системы чем-то обидел злоумышленника, примеры: «бан на форуме», «блокировка аккаунта в копьютерной игре» и т.д.
• Идеологические противники — похожи на недоброжелателей, но обычно это группа лиц, действующих против 
• Just for fun — мотивация атакующего может быть и просто в получении удовольствия от процесса взлома системы.

Виды атакующих

С прикладной точки зранее вполне достаточно наиболее простой и грубой классификации:

• Роботы — полностью автоматический, массовый и обычно простой сценарий атаки, вероятность контакта около 100%
• Скрипт-кидди — простой неадаптивный сценарий атаки с использованием готового инструментария, вероятность контакта высокая для относительно популярных публичных ресурсов
• Профи — адаптивный сценарии атаки с индивидуальным подходом к атакуемой системе. Вероятность контакта зависит от многих факторов: для популярных ресурсов и финансовых приложений — очень высокая, для остальных — зависит по большей части от тематики проекта.

Профи часто разделяют «по цвету шляпы», что отражает их мотивацию.

• White Hat Hacker — это обычно специалисты по информационной безопасности, изучающие уязвимости или атакующие систему с явного разрешения владельца (по должностным обязанностям, по контракту или по баг-баунти программе)
• Black Hat Hacker — злоумышленники, целью которых является нажива или нанесение вреда атакуемой системе по другим соображениям.
• Gray Hat Hacker — весьма сомнительная категория, в которую входят специалисты по информационной безопасности, взламывающие системы, а затем (при успешном взломе) продающие свои услуги жертве. От блэк-хэтов отличаются наличием декларируемой этики, не позволяющей им продавать данные или каким-то другим образом монетизировать полученную ими информацию.

Иногда отдельно выделяют дополнительные группы:

• Script kiddie / Newbie — «недохакеры», освоившие пару программ для нагрузочного тестирования или пентестинга
• Criminal gangs — криминал, обычно охотятся за деньгами и данными на продажу
• Hacktivist — хактивисты, идеологические противники
• Cyberwarfare — кибер-войска

Возможные последствия для проекта

• Снижение производительности / неработоспособность — атаки типа «отказ в обслуживании» могут вывести веб-приложения из строя либо только на момент их проведения, либо проект может сам и не восстановиться после сильной атаки. 
• Заражение пользователей вирусами — взломанный сайт может служить площадкой для распространения вредоносного ПО / фишинга или иных 
• Перенаправление трафика — пользователи взломанной системы могут быть перенаправлены на другие сайты (обычно, казино, фарма, финансовые услуги и т.д.)
• Присоединение к ботнету — вычислительные мощности могут использоваться для спама, атак на другие системы или для майнинга
• Кража данных и шпионаж — из взломанной системы могут быть украдены данные и может быть установлен бэкдор, позволяющий получать данные из системы и в последующем.
• Взлом учетных записей — учетные записи могут быть скомпрометиованы как в атакованной системе, так и в других системах — к сожалению, у пользователей очень часто одинаковые пароли для нескольких разных систем
• Дефейс — на веб-страницах может быть размещена информация, наносящая репутационный ущерб

Основные методы атак на веб-проекты

• (D)DoS-атаки — атаки типа «отказ в обслуживании»
• Различные инъекции — внедрение произвольного исполняемого кода, загрузка shell / бэкдора, SQL-инъекции…
• Атаки на систему аутентификации и управления сессиями — взлом учетных записей, перехват учетных записей
• Межсайтовые скриптинг и подделка запроса — XSS & CSRF
• Атаки на экспозицию чувствительных данных — получение данных, которые хоть и недоступны из графического интерфейса, но по каким-то причинам всё же могут быть получены без должной авторизации
• Атаки на неверную конфигурацию ПО — поиск «открытых портов», «дефолтных паролей» и т.д.
• MITM и сниффинг — перехват пользовательского трафика, подмена получаемых и отправляемых данных
• Социальная инженерия — большой набор методов, использующих человеческий фактор

Ни один проект не застрахован от кибер-атак. Для оценки рисков важно понимать, что в вашем проекте может быть интересно злоумышленникам и с какими угрозами в результате можно столкнуться.

Red Teaming — это про обучение и подготовку защитников организации к отражению реальной атаки, а еще, конечно, про оценку общего уровня безопасности в компании. В предыдущем посте мы писали о мифах, которые сложились вокруг Red Teaming. Сегодня я хотел бы рассказать о том, как его правильно планировать и какая нужна начальная подготовка. Не стоит недооценивать этот этап – ведь в ходе планирования определяется главное: тип работ, модель нарушителя, существенные особенности проекта и общий сценарий Red Teaming.

Типы работ

Red Teaming имеет множество разных форм, но можно выделить три основных типа.

• «Настольные упражнения». Это теоретические поиски без проведения каких-либо активных атак, так сказать, размышления

о вечном

на тему «а что будет, если» или, как это официально именуют, «штабные киберучения». Такие упражнения требуют некоторых вводных данных: это могут быть предположения, основанные на реальных угрозах или результатах работы утилит по сбору информации, например, Bloodhound . Сегодня к такому типу работ интерес весьма нишевый, но он может появиться в рамках Purple Team, т.е. при совместных действиях команды атакующих и защитников.

• Военные игры (War Games). Данный вид Red Teaming проводится в искусственной среде полигона. Как пример можно привести «Standoff» конференции Positive Hack Days. В таких упражнениях есть ряд преимуществ: можно выполнять почти любые действия без реального вреда инфраструктуре. Но есть и недостаток – он заключается в искусственности среды, а именно в отсутствии живых людей и человеческого фактора, при этом сами недостатки и уязвимости закладываются организаторами и разработчиками такого полигона.

• Атака на инфраструктуру организации. Это самый популярный тип работ и, на мой взгляд, наиболее полезный для команды защитников. Все действия приближены к реальным, и нельзя предсказать, как поступит команда атакующих в следующий момент. В данном типе работ защитники организации должны продемонстрировать свою способность реагировать и противостоять реальному противнику и, конечно, получить полезные знания и новый опыт.

Симуляция или имитация

Сообщество «offensive и defensive security» спорит на предмет того, чем является Red Teaming — имитацией или симуляцией.

Имитация — это уподобление, подражание кому-то или чему-то. При имитации действий нарушителя команда Red Team воспроизводит, повторяет атаки какого-либо нарушителя, например, APT-группы, и делает это

без импровизаций

.

Если организация желает провести имитацию атак какой-нибудь APT-группировки, она сообщает об этом на первой встрече. Далее команда Red Team изучает TTP (тактики, техники и процедуры) этой группировки (если, конечно, есть такая аналитика) и пошагово «выполняет» все действия. Плюсом таких работ является отсутствие необходимости в долгой подготовке и планировании: команда Red Team не будет ничего менять в сценарии и использует те же инструменты и утилиты, что и APT-группировка. А большим минусом является то, что IoC (индикаторы компрометации) этой группировки уже известны, а значит, сценарий работ нужно корректировать (например, атакующие могут использовать те же утилиты, но изменить тактику, пойти другими путями). Если в такой ситуации Red Team останется незамеченной, то возникает вопрос, почему команда защиты просмотрела известные IoC и не настроила реагирование систем безопасности на такие события.

Симуляция – это воспроизведение атаки так, чтобы все выглядело по-настоящему, но опять же без реального ущерба для организации. При симуляции команда атакующих действует по своему усмотрению, основываясь на собственном опыте проведения Red Teaming или на показателях эффективности самых популярных в мире техник. Могут использоваться собственные разработки или TTP, которые позволят достигнуть целей, независимо от того, какая APT-группировка их применяет.

Таким образом, Red Teaming может проводиться как в виде симуляции (и проверять готовность команды защиты к обнаружению новых атак и новых TTP), так и в виде имитации (здесь проверяется готовность отражать атаки известных APT-групп). Выбор зависит от целей и желания заказчика. От этого же зависит ход выполняемых работ.

Модели нарушителя

Можно подумать, что модель нарушителя — это термин из области так называемой бумажной безопасности. Однако для Red Team это действительно важная информация, т.к. она влияет на создание сценария. В Red Teaming существует три модели нарушителя:

• Удаленный – это может быть любой человек или группа людей. Основная особенность – нарушитель не имеет законного физического доступа и доступа к внутренним системам и сетям организации, но может действовать по любому сценарию: проникновение через интернет, использование методов социальной инженерии, попытки получения физического доступа или получения доступа с помощью беспроводных сетей.

• Приближенный – это может быть сотрудник вспомогательных служб (клининг, охрана, обслуживающий персонал офисного здания). Основная особенность – нарушитель имеет законный физический доступ, но не имеет законного доступа к внутренним системам и сетям.

• Внутренний – сотрудник организации, подвергшийся социальной инженерии или инсайдер, решивший украсть информацию организации. В качестве внутреннего нарушителя могут рассматриваться не только сотрудники организации, но и подрядчики, обладающие определенными полномочиями. Основная особенность – нарушитель имеет законный физический доступ и законный технический доступ к внутренним системам и сетям.

Выбранная модель нарушителя будет определять начальную точку проекта Red Teaming и весь дальнейший сценарий.

Сценарии

Сценарии управляют

миром

проведением Red Teaming. В некотором смысле сценарий определяется моделью нарушителя и целью, которая дает начальный толчок к старту проекта.
Можно выделить следующие типы сценариев, различающиеся отправными точками и векторами проводимых атак:

• Сценарии с использованием беспроводных технологий, в которых в качестве отправной точки берется модель удаленного или приближенного нарушителя, а в качестве вектора атаки – беспроводная сеть.

• Сценарии с применением социальной инженерии, в которых для проникновения используется человеческий фактор. Могут быть произведены фишинговая рассылка или телефонные звонки, побуждающие пользователей выполнить определенные действия, которые позволят атакующим получить первоначальный уровень доступа во внутреннюю сеть организации.

• Сценарии с применением физического доступа, которые используют любой физический доступ как точку начала работ. Это может быть, например, проникновение в офис под видом соискателя (и установка там физического «импланта» для дальнейшего получения доступа во внутреннюю сеть извне или проведение атаки на беспроводные сети). Но важно помнить, что за незаконное и не согласованное с заказчиком проникновение на территорию организации можно

присесть

огрести немало проблем с правоохранительными органами. И в этот момент важно, чтобы у оперативника Red Team с собой были документы удостоверяющие, что он может проводить подобные действия (например, авторизационное письмо).

• Сценарий полномасштабных работ – этот тип сценариев объединяет в себе все вышеперечисленные и реализуется с применением комплексной модели нарушителя. Начинается все с внешнего для организации нарушителя, который может собрать данные из открытых источников и поискать уязвимости, открывающие пути во внутреннюю сеть. Большая часть работ в таком сценарии будет выглядеть как обычное тестирование на проникновение. Но основное отличие заключается в том, что внимание исполнителей будет фокусироваться на глубине, а не на ширине: команда атакующих, обнаружив один путь получения доступа во внутреннюю сеть, будет использовать его как средство достижения своих целей.
Эта типология помогает не только разрабатывать сценарии, но и более тщательно планировать сами работы. Кроме того, реализация уже утвержденного сценария может быть скорректирована по ходу проекта в зависимости от ситуации и получения новых данных. Способность команды атакующих быть гибкой критически важна для Red Teaming.

В некоторых случаях отправные точки сценариев могут быть реализованы в виде предполагаемого нарушения. Это означает, что организация допускает, что злоумышленник уже успешно выполнил некоторые шаги и способен получить доступ в какой-либо сегмент внутренней сети, DMZ или сегмент беспроводной сети.

Например, команде атакующих могут быть предоставлены:

• доступ к удаленной машине (якобы полученный с помощью запуска «вредоносного» документа, содержащего полезную нагрузку для подключения к командному центру С2);
• пароль для подключения к беспроводной сети;
• рабочее место для имитации действий инсайдера.

Предполагаемое нарушение позволяет сэкономить время и деньги. Но при таком подходе остаётся определенное недоверие к команде атакующих, потому что первоначальный доступ к внутренней инфраструктуре был предоставлен организацией и нет доказательств, что в реальных условиях команда Red Team действительно смогла бы получить его самостоятельно.

Поэтому особенно важно обсуждение и согласование всех этих моментов на первоначальных встречах, связанных с планированием Red Teaming.

Примеры сценариев

Сценарий для компании, производящей программное обеспечение
Сценарий предполагает, что команда Red Team является группой хакеров государства X. Группе поручено получить доступ и внести изменения в исходный код ПО, разрабатываемого организацией Z, для получения возможности несанкционированного доступа к компьютерам пользователей этого ПО и осуществления слежки. Главным разработчиком компании Z является Иванов Иван. В ходе Red Teaming идет поиск потенциальных векторов атак на компьютер Иванова Ивана, собирается вся информация о нем, данные о сервисах, которые он использует. Далее «злоумышленники» пытаются пробраться на его компьютер, чтобы потом скомпрометировать исходный код ПО.

Сценарий для банка
Сценарий основывается на предполагаемом нарушении с использованием методов социальной инженерии. Команда Red Team имитирует действия неизвестной группы киберпреступников, которые рассылают фишинговые письма компаниям финансового сектора. Цель злоумышленников – получить доступ к финансовой информации организации и возможность переводить денежные средства на другие счета, а также доступ к информации по кредитным картам клиентов. В ходе предполагаемого нарушения сотрудник организации открывает вложение с исполняемой нагрузкой, которая предоставляет злоумышленникам доступ к внутренней сети.

Вместо заключения

В целом Red Teaming – весьма «творческая» услуга в части не только сценариев, но и форматов обучения Blue Team и оценки общего уровня защищенности. Однако, повторюсь, все это требует определенной подготовительной работы со стороны заказчика – ведь для составления правильного сценария атак Red Team должна понимать, какие риски организация рассматривает, и проверить, как на их реализацию отреагируют защитники. Например, в модели рисков может быть прописана угроза от подрядчиков, и тогда потребуется не только задействовать этот вектор в ходе Red Teaming, но и заблаговременно согласовывать такие работы с самим подрядчиком. И подобные «рутинные детали», которые нужно продумать и учесть еще «на берегу», есть фактически в каждом сценарии. Поэтому качественный Red Teaming – всегда совместная заслуга заказчика и исполнителя.

Дмитрий Неверов, эксперт по анализу защищенности, «Ростелеком-Солар»

Могут ли злоумышленники проникнуть в АСУ ТП^[1]? Как они это делают и какие инструменты используют? А главное, обязательно ли атакующие должны что-то понимать в АСУ ТП и технологических системах, чтобы нанести ущерб промышленным предприятиям?

Дмитрий Федосов, специалист отдела экспертных сервисов и развития SOC в Positive Technologies, и Дмитрий Даренский, руководитель направления по развитию продуктов промышленной безопасности Positive Technologies, рассказывают, как злоумышленники видят технологическую сеть и что объективно необходимо для защиты промышленных инфраструктур. Их статья будет полезна специалистам SOC, инженерам промышленных компаний и тем, кто интересуется безопасностью АСУ ТП.

Атаки на АСУ ТП

Как злоумышленники атакуют АСУ ТП? Чтобы ответить на этот вопрос, рассмотрим упрощенную структуру технологической сети и ее связь с корпоративной сетью. Наша схема^[2] не заточена под конкретную отрасль производства или направление деятельности предприятия, а просто показывает, какие в сети есть узлы и как они взаимодействуют друг с другом. Будем двигаться слева направо.

В сегменте «Интернет» расположен внешний сервер. Доступ в интернет из корпоративной сети есть всегда, и это неудивительно. Иногда встречаются случаи, когда из технологического сегмента сети также есть неограниченный доступ к всемирной паутине.

Следующий элемент — корпоративная сеть передачи данных (КСПД). Вместо нее может быть демилитаризованная зона (ДМЗ), которая находится между корпоративным сегментом и технологической сетью. В этом сегменте расположена смежная система. Стандартом де-факто считается ERP-система или MES. 

Корпоративную и технологические сети разделяет шлюз.

АСУ ТП, как правило, состоит из трех уровней технологической сети. На верхнем уровне располагается SCADA-система, включая сервер SCADA, автоматизированные рабочие места операторов, инженеров и начальника. Там же находятся различные серверы, в том числе серверы единого времени, сообщений и тревог, исторических данных и иногда веб-серверы. Кроме того, следует учитывать не только те ресурсы, которые появились при развертывании АСУ ТП, но и те, что были добавлены в сеть позже. Сервер SCADA обычно имеет доступ в верхний уровень технологической сети через один интерфейс, а через другой — в средний уровень, где расположены программируемые логические контроллеры (ПЛК). В ПЛК закладывается основная логика технологических процессов.

На нижнем уровне технологической сети располагаются два типа устройств: датчики (например, давления или температуры) и исполнительные устройства (двигатели, роутеры, заслонки).

Сценарий № 1. Атака на технологический сегмент через смежные системы

Как видно на схеме, в сегменте «Интернет» вместо внешнего сервера появился командный центр атакующего. Рассмотрим варианты компрометации смежной системы в корпоративной сети.

Как правило, любая атака на корпоративную сеть включает две основные стадии:

1. Перемещение атакующего от узла к узлу для повышения привилегий. Классический пример — получение учетных данных администратора домена или предприятия в Active Directory.

2. Перемещение атакующего по сети в попытке реализовать собственные задачи. Проводя разведку на узлах, анализируя, какие системы есть и как их выгодно можно использовать, повышая в них привилегии, злоумышленник может атаковать технологический сегмент через корпоративную систему, которая имеет туда доступ, то есть является смежной.

Классы средств защиты, которые выявят компрометацию смежной системы

EDR-система. Выявляет целевые атаки и, если допустимо, сразу реагирует на них.

Сетевая песочница. Если EDR-система обнаружит артефакт деятельности атакующего, то она передаст его на анализ в песочницу. Песочница проведет сетевой или поведенческий анализ артефакта и вынесет вердикт. На его основе оператор SOC определит, действительно ли происходит атака.

Система класса SIEM. Выявляет подозрительную активность пользователей и приложений внутри каждого актива. Является ядром любого SOC.

Система управления уязвимостями (vulnerability management). Правильнее говорить «процесс управления уязвимостями». Он позволяет выявлять критически опасные уязвимости в инфраструктуре (в нашем случае — в смежной системе) и устранять их.

Закрепившись в смежной системе и проведя разведку, атакующий обнаружит, что у него есть доступ в другую подсеть или сегмент. Возможно, он еще даже не поймет, что может попасть в технологический сегмент. В этом случае среднестатистический злоумышленник просканирует обнаруженную сеть (по меньшей мере те узлы, которые доступны ему через шлюз), чтобы определить возможные векторы для перемещения. Для этого он может использовать классический набор инструментов, включающий SOCKS-прокси, Chisel, SOCKS4a, Autoroute (модуль Metasploit) и ProxyChains. Через них атакующий пробросит трафик во внутреннюю сеть (верхний уровень технологической сети), опять просканирует ее и выберет следующую цель для бокового перемещения (lateral movement). На представленной выше схеме следующей целью атакующего будет АРМ оператора. Чаще всего злоумышленник выбирает один из следующих вариантов:

• использовать штатный удаленный доступ (через jump host по RDP подключиться к АРМ оператора);

• побрутфорсить учетные записи с нужными ему правами;

• эксплуатировать RCE-уязвимость (удаленное выполнение кода). Технологический сегмент не отличается актуальными операционными системами и, как правило, имеет проблемы с патч-менеджментом.

Переместившись на рабочую станцию оператора, атакующий может:

• Повысить привилегии и начать деструктивную деятельность на захваченном АРМ.

С точки зрения технологического процесса это нам не очень интересно, так как все АРМ задублированы.

• Влиять на технологический процесс.

В зависимости от используемой SCADA и схемы ее развертывания злоумышленник может подменить мнемосхему, на которую смотрит оператор. Так, например, оператор увидит, что температура в котле выше нормы (хотя на самом деле все в порядке), предпримет меры для «стабилизации» ситуации, и они в итоге негативно повлияют на технологический процесс.

• Без ограничений сканировать весь верхний уровень технологической сети и начать боковое перемещение. Таким образом, большая часть узлов в скором времени будет скомпрометирована.

Особое значение имеет компрометация сервера SCADA, так как это основной узел, отвечающий за мониторинг и управление технологическим процессом.

Как будет дальше действовать атакующий? Есть три варианта развития событий:

1. Атакующий не захочет разбираться, что такое SCADA-системы и как они работают. Ему они могут показаться слишком сложными и непонятными. Вместе с тем у атакующего может быть достаточно привилегий, чтобы запустить банальный шифровальщик и тем самым нарушить технологический процесс. Свежий пример — атака на американскую трубопроводную систему Colonial Pipeline. Шифровальщик повредил ИТ-инфраструктуру, операторы не могли отслеживать состояние технологического процесса и сами остановили его. Трубопровод не функционировал в течение пяти дней, что спровоцировало дефицит бензина и дизельного топлива на Восточном побережье США.

2. С сервера SCADA у атакующего есть возможность подменить информацию о технологическом процессе большим количеством способов. Например, он может заменить мнемосхему на всех автоматизированных рабочих местах.

3. Атакующий может развить атаку вглубь технологической сети для получения доступа к ПЛК.

Классы решений ИБ, которые выявляют атаки на верхнем уровне технологической сети

EDR-система. Анализирует и выявляет целевые атаки на узлы. Если допустимо (все-таки идет речь о технологическом сегменте), она может осуществлять реагирование на обнаруженные киберугрозы.

Сетевая песочница. Анализирует подозрительные артефакты и предоставляет оператору SOC объективную информацию о том, что происходит на верхнем уровне технологической сети.

NTA-решение. Выявляет сканирование узлов на предмет уязвимостей и эксплойты, которые злоумышленники используют для эксплуатации уязвимостей.

SIEM-система. Выявляет подозрительную активность пользователей и приложений внутри каждого актива. Является ядром любого SOC. Если атакующий установит хакерский софт, система этого класса сможет выявить запуск вредоносного ПО с определенными параметрами.

Система (процесс) управления уязвимостями. Поскольку на автоматизированных рабочих местах и серверах, как правило, установлены не последние версии ПО, следует тщательно проверять их на наличие уязвимостей. При этом не всегда обязательно устанавливать патчи. В бюллетенях безопасности есть раздел Mitigations c рекомендациями, следуя которым можно исключить или снизить вероятность успешной эксплуатации уязвимости. Например, с помощью файрвола можно ограничить доступ к уязвимому сервису или полностью отключить такой сервис.

Как учесть рекомендации НКЦКИ в работе с уязвимостями, в каких ситуациях следует обновлять ПО, а когда все же не стоит, читайте в руководстве, составленном экспертами Positive Technologies.

Затем атакующий может переместиться на средний уровень технологической сети, где расположены ПЛК. У SCADA-сервера есть множество встроенных утилит, которые позволяют управлять ПЛК: передавать им команды, такие как «Стоп» и «Старт», или иным образом влиять на их работу.

Злоумышленник также может установить на сервере SCADA собственное ПО, которое позволит ему делать с ПЛК то же самое, что делают штатные средства. В одном из последних отчетов команды Dragos описан вредонос Pipedream, фантастический набор функций которого позволяет влиять на контроллеры разных вендоров: проводить разведку, подбирать учетные данные для авторизации на узлах и отправлять команды.

Еще один интересный и по сей день актуальный пример — Stuxnet. Червь позволяет атакующему выгрузить проект и его логику, модифицировать их, а затем загрузить обратно. Таким способом можно подменить информацию о состоянии технологического процесса и лишить инженеров и диспетчеров возможности видеть, что на самом деле происходит на производстве.

Продукты ИБ, выявляющие атаки на среднем уровне технологической сети

Система класса SIEM. Ничто лучше самого ПЛК не сможет рассказать, что творится у него внутри. Не стоит забывать, что ПЛК уже давно умеют писать логи сами, поэтому хорошая SIEM-система обязана уметь получать логи с ПЛК, нормализовывать и коррелировать события, причем с событиями не только из технологической сети, но и из корпоративной.

NTA-решение. Анализирует трафик между SCADA-сервером и ПЛК, глубоко его разбирает и определяет, какие команды авторизованы, а какие нет. Если работающая система отправляет странные команды, например, такие как перевод ПЛК в состояние форсирования ввода — вывода, то это должно насторожить специалистов по мониторингу технологической сети. Их последующие действия должны соответствовать принятому на промышленном предприятии плану реагирования.

Система vulnerability management. Оценивает состояние защищенности технологических систем и выявляет, какие проблемы могут возникнуть у ПЛК определенных серий и прошивок.

Сценарий № 2. Атака из технологической сети

Казалось бы, технологическая сеть — это самый изолированный сегмент, и проблем с ним быть не должно. Однако практические кейсы свидетельствуют об обратном. «Корень зла» лежит в человеческом факторе. В качестве примера рассмотрим вариант с оператором АРМ. Ему приходится круглосуточно дежурить и не спускать глаз с мнемосхемы. Неудивительно, что иногда ему бывает скучно и хочется развлечься. Легким движением руки оператор вставляет носитель, например флешку, и копирует на АРМ фильм и набор кодеков для его просмотра. Скопированный дистрибутив может быть заражен вирусом, и атака из технологической сети, по сути, превращается в атаку через смежные системы. Объединяет их то, что у атакующего появляется возможность сразу выполнять команды внутри технологического сегмента.

Другой вариант (напоминаем, что доступ в интернет из технологического сегмента у нас по-прежнему закрыт): оператор подключает модем 3G или 4G или раздает интернет со смартфона, заходит на сомнительный ресурс, выигрывает (неожиданно!) в лотерее, а затем скачивает и запускает на своем рабочем месте исполняемый файл. Злоумышленники могут преподносить это как способ перевести деньги на свой счет в банке. Фактически происходит то же, что и в предыдущем случае: после подключения к командному центру атакующий, находясь в технологической сети, может выполнять код на АРМ оператора. Дальнейшее движение хакера по сети аналогично сценарию № 1: компрометация узлов верхнего уровня технологической сети, компрометация сервера SCADA, развитие атаки внутрь технологической инфраструктуры. Классы средств защиты для верхнего уровня технологической сети полностью аналогичны описанным в первом кейсе.

Типичные для корпоративной сети решения ИБ в большинстве случае справляются со своими задачами. Однако, как только атакующий пересекает границу корпоративной и технологической сети, средства мониторинга теряют его из виду — и в этом кроется главная проблема.

Что нужно для защиты

Если резюмировать первую часть статьи, то хакерские атаки необходимо выявлять на трех уровнях ИТ-инфраструктуры: на конечных узлах, в сетях передачи данных и на специализированных для индустриального сегмента устройствах.

Защита промышленного предприятия, во-первых, должна основываться на инструментах, знакомых и понятных специалистам по ИБ. Сетевые песочницы, системы SIEM, NTA и EDR, без сомнения, известны и привычны любому безопаснику. Во-вторых, чтобы обеспечивать безопасность технологического объекта, все продукты должны «дружить» с АСУ ТП и видеть происходящее в них.

В апреле этого года мы представили платформу для защиты промышленности от киберугроз — PT Industrial Cybersecurity Suite (PT ICS). Платформа позволяет обнаруживать злоумышленника на всех этапах развития атаки в промышленных средах и своевременно реагировать на атаки. PT ICS обеспечивает комплексную безопасность всего промышленного предприятия, включая сегмент АСУ ТП (начиная от сетевых узлов и заканчивая технологическими устройствами). В состав PT ICS входят:

1.      Ключевые продукты Positive Technologies и их компоненты, отвечающие за безопасность технологических систем:

·        новые промышленные агенты MaxPatrol SIEM собирают информацию с узлов технологической сети, а специализированные правила нормализации и корреляции событий для популярных АСУ ТП иностранных и отечественных производителей доступны «из коробки»;

·        сенсоры PT ISIM, адаптированные под АСУ ТП, отвечают за глубокий анализ трафика технологических сетей, выявление в них аномалий и помогают осуществлять проактивный поиск угроз (threat hunting);

·        новые промышленные агенты MaxPatrol VM позволяют безопасно сканировать технологическую сеть, проводить аудит ПО и аппаратных средств популярных зарубежных и отечественных производителей;

·        специализированные возможности PT Sandbox помогают динамически выявлять в файлах, общих сетевых папках и ссылках вредоносное ПО, нацеленное на компоненты АСУ ТП различных производителей. Песочница проводит статический и динамический анализ объектов как с узлов, так и из других источников.

2.      Сервисы Positive Technologies:

·        анализ защищенности промышленных систем — глубокое практическое исследование безопасности систем автоматизации в комплексе и их компонентов по отдельности (аппаратных и программных);

·        услуги PT Expert Security Center по обнаружению, реагированию и расследованию сложных инцидентов, связанных с АСУ ТП, ретроспективному анализу. Доступны сертификаты на расследования в промышленных инфраструктурах.

Высококвалифицированных ИБ-экспертов всегда будет недостаточно. С помощью экспертных сервисов мы предлагаем решить проблему острой нехватки кадров на рынке и помочь предприятиям промышленности, у которых зачастую нет необходимых ресурсов, расследовать киберинциденты на профессиональном уровне.

Как работает PT ICS

За счет новых возможностей, учитывающих особенности автоматизированных систем управления, продукты Positive Technologies, положенные в основу платформы PT ICS, эффективно обнаруживают действия хакеров в промышленных сегментах и обеспечивают сквозную защиту всей технологической инфраструктуры. А EDR-агенты PT XDR дают возможность выборочного реагирования на конечных узлах в АСУ ТП.

Компоненты и продукты платформы PT ICS разворачиваются как в производственном сегменте компании, так и за его пределами. Все они располагают кросс-продуктовой экспертизой в АСУ ТП и регулярно накачиваются ей. Она необходима, чтобы выявлять специфичные для этой области киберугрозы, и это ключевое преимущество платформы. Проще говоря, знания, которые получают MaxPatrol SIEM, MaxPatrol VM или PT Sandbox, ориентированы на платформы автоматизации и продукты конкретных производителей компонентов АСУ ТП (Siemens, AVEVA, АдАстра и других). Экспертизу постоянно обогащают новыми возможностями, правилами корреляции, транспортами к уникальным устройствам и прикладному ПО, которые встречаются только в технологических сегментах промышленных компаний. Таким образом, предприятие получает возможность на одной платформе и в едином продуктовом портфеле построить единый SOC, равнозначно работающий как с корпоративной, так и технологической инфраструктурой.

Это настоящий on-premise: все собранные данные анализируются внутри компании и не покидают ее периметр.

Если в компании уже есть корпоративный SOC на базе наших продуктов, можно распространить защиту на технологические сегменты, а также подключить функции безопасности по отдельности или все сразу: в частности, начать анализировать вредоносное ПО из технологического трафика или собирать логи с ПЛК и SCADA-серверов.

Все продукты, входящие в PT ICS, расширяются промышленными компонентами или сенсорами^[3]. PT Sandbox расширяется за счет лицензии Industrial Entrypoint Traffic, а EDR-агент адаптирован для применения в OT и ICS.

Варианты реализации платформы PT ICS на промышленном предприятии

Задача № 1: необходимо обеспечить мониторинг всей инфраструктуры предприятия, нет центра оперативного реагирования на киберугрозы.

Решение: устанавливаются сервер, стандартные и промышленные агенты MaxPatrol SIEM и MaxPatrol VM. Пользователям промышленных агентов становятся доступны пакеты экспертизы АСУ ТП.

Задача № 2: на предприятии уже есть MaxPatrol SIEM либо MaxPatrol VM, дополнительно требуется обеспечить мониторинг технологической сети.

Решение: поставляются промышленные агенты MaxPatrol SIEM или MaxPatrol VM. При необходимости расширяется лицензия для SIEM или VM server. Пользователям промышленных агентов становятся доступны пакеты экспертизы АСУ ТП.

Задача № 3: у компании уже есть PT Sandbox, для анализа файлов из трафика АСУ ТП к песочнице требуется подключить технологическую cеть.

Решение: устанавливаются сенсоры PT ISIM для извлечения файлов из технологического трафика и отправки в сетевую песочницу. Кроме того, устанавливается дополнительная лицензия Industrial Entrypoint Traffic для PT Sandbox, чтобы анализировать файлы из промышленного сегмента.

PT ICS подходит для любой отрасли промышленности: энергетики, транспорта, металлургии, машиностроения, медицины, ЖКХ, судоходных и железнодорожных компаний. Платформа легко масштабируется от одной производственной площадки до размеров промышленного холдинга или отрасли производства.

Все продукты в составе PT ICS полностью российского производства и входят в реестр отечественного ПО. Если в компании уже установлена часть наших продуктов для корпоративной сети, достаточно расширить существующие лицензии для поддержки технологического сегмента. Специалисты продолжат работать с привычными им инструментами, дополненными экспертизой в АСУ ТП. Это повысит эффективность работы служб ИБ и снизит затраты на эксплуатацию систем безопасности.

[1] Автоматизированная система управления технологическим процессом.

[2] Для простоты изложения представлена упрощенная схема сети.

[3] Либо можно приобрести решение All-in-One с индустриальными агентами на борту.

Нашим экспертам часто приходится оказывать компаниям экстренную помощь: их вызывают для реагирования на инциденты, они помогают проводить (или полностью берут на себя) расследования или анализируют инструменты злоумышленников. По итогам работы в 2020 году эксперты собрали множество данных, позволяющих посмотреть на современный ландшафт угроз, спрогнозировать наиболее вероятные сценарии атак и выбрать адекватные защитные тактики. В числе прочего они проанализировали и самые распространенные начальные векторы проникновения злоумышленников в корпоративные сети.

При изучении киберинцидента начальному вектору атаки всегда уделяется особое внимание: чтобы избежать повторения инцидента, важно выявить слабое место в защитных системах. К сожалению, сделать это удается не всегда. В некоторых случаях это невозможно из-за времени, прошедшего между инцидентом и его обнаружением, а иногда жертва просто не хранит логи, плюс следы часто уничтожаются (как случайно, так и намеренно). Кроме того, в последнее время злоумышленники все чаще атакуют через цепочку поставок, так что начальный вектор в принципе следует искать не у конечной жертвы, а у какого-нибудь разработчика сторонней программы или поставщика сервиса. Однако более чем в половине инцидентов начальный вектор атаки удалось определить достаточно точно.

Первое и второе места: брутфорс и эксплуатация публично-доступных приложений

Первое и второе места делят два вектора атаки — брутфорс (то есть перебор паролей) и эксплуатация уязвимостей в приложениях и системах, доступных вне периметра компании. Каждый из них становился начальным вектором проникновения в 31,58% случаев.

Как и в прошлые годы, эксплуатация уязвимостей продолжает оставаться наиболее эффективным методом начала атаки. А более детальный анализ используемых уязвимостей позволяет говорить о том, что это прежде всего связано с несвоевременной установкой обновлений, так как на момент атаки все используемые уязвимости имели соответствующие исправления, и их установка позволила бы избежать последствий этих атак.

Всплеск популярности атак с применением брутфорса можно объяснить массовым переходом компаний на удаленную работу и использованием сервисов удаленного доступа. Но при этом многие организации не уделили вопросам безопасности должного внимания. В связи с этим количество атак на механизмы таких подключений мгновенно выросло. Например, с марта по декабрь 2020 года количество брутфорс-атак на протокол RDP увеличилось на 242%.

Третье место: вредоносная почта

В 23,68% случаев начальным вектором атаки стали вредоносные письма: как рассылки, непосредственно содержащие зловреды, так и фишинговые послания. Оба метода давно используются и операторами целевых атак, и авторами массовых рассылок.

Четвертое место: компрометация сторонних веб-сайтов (drive-by compromise)

Иногда злоумышленники пытаются получить доступ к системе, используя сторонний веб-сайт, на который жертва заходит периодически или попадает случайно. Сайт снабжается скриптами, которые используют какую-либо уязвимость в браузере пользователя, чтобы выполнить вредоносный код на его машине, или же через него злоумышленники обманом заставляют жертву скачать и установить зловред. Такую тактику иногда применяют в достаточно сложных APT-атаках. В 2020 году данная тактика стала начальным вектором атаки в 7,89% случаев.

Пятое и шестое место: переносные накопители и инсайдеры

Зловред, проникающий в системы компании через USB-диск — сейчас редко встречающийся вариант. Вирусы, которые могли случайно заразить флеш-накопитель, практически ушли в прошлое, а сценарий с целевым подбрасыванием вредеоносной флешки не слишком надежен. Тем не менее, такой метод в ответе за 2,63% начальных проникновений в сеть.

Столько же (2,63%) инцидентов произошло из-за действий инсайдеров — сотрудников, которые по тем или иным причинам решили причинить вред собственной компании.

Разумеется, это далеко не вся полезная информация, которую можно найти в отчете наших экспертов. Полный текст «Реагирование на инциденты: аналитический отчет 2021 г.» доступен вот здесь.

Как минимизировать вероятность киберинцидента и его последствия

Согласно выводам наших экспертов, большинства этих инцидентов можно было избежать. По итогам изучения первопричин они рекомендуют:

• Установить и контролировать жесткую парольную политику и внедрить методы многофакторной аутентификации.
• Исключить использование сервисов удаленного управления из общего доступа.
• Своевременно устанавливать обновления ПО.
• Снабдить почтовые серверы средствами выявления фишинга и зловредов.
• Периодически повышать осведомленность сотрудников о современных киберугрозах.

Кроме того, не стоит забывать о важности правильной настройки систем аудита и логирования, а также применения систем резервного копирования данных — это не только облегчит расследование, но и, возможно, позволит минимизировать ущерб при оперативном реагировании на инцидент.

Основные
(классические) типы
атак:

1. «летучая
   смерть».
   Результатом данной атаки является
   зависание атакуемого узла. Для
   осуществления данного типа атаки нужно
   знать IP-адрес
   атакуемого узла. Суть атаки основана
   на том факте, что максимальный размер
   IP-пакета
   ограничен и равен он 65535 байта.

Для
хранения такого максимального размера
пакета в IP-заголовке
отведено 16 бит и на такую максимальную
длину рассчитано существующее ПО. Дело
в том, что более нижний, чем сетевой
уровень IP
, уровень соединения инкапсулирует
IP-детаграммы
в кадры собственной спецификации
(например, Интернет). При этом сетевой
уровень IP
фрагментирует IP-детаграмму
на несколько пакетов соответствующих
максимальному размеру пакета уровня
соединения.

В
поле заголовка пакета имеется
флаг-фрагмент, обозначающий продолжение
во время фрагментации (установка
единицы). В последнем фрагменте
устанавливается в «0», что означает
конец фрагментации. Кроме того заголовки
фрагмента IP
размещает в поле смещения фрагмента
(смещение данного фрагмента от начала
исходного IP-пакета).
Максимальное смещение при этом равно
65528 байт.

Таким
образом, если во фрагменте IP-детаграммы
выставить флаг продолжения и подцепить
вторую детаграмму, то можно получить
результирующую детаграмму, размер
которой будет превышать максимально
допустимый.

Лазейка,
позволяющая осуществить данный тип
атаки, существует в самой системе
IP-протокола.
Потенциально опасными являются все
порты компьютера. Решение проблемы
лежит в разработке ПО способного
корректно обрабатывать IP-пакеты
нестандартной длины. Если сеть закрыта
межсетевым экраном и идет запрещение
трафика по протоколу ICMP,
то атака не проходит.

1. SYN-бомбардировка.
   Основана на слабости транспортного
   протокола TCP.
   Суть в том, что протокол TCP
   в отличие от IP
   является надежным и гарантирует доставку
   сегмента данных получателю. Это означает,
   что в случае отсутствия за определенный
   промежуток времени подтверждения о
   получении данных клиентом сервер будет
   отправлять их до тех пор пока не получит
   подтверждение. Данная атака активизируется
   при запросах с наполовину открытыми
   соединениями. Результатом осуществления
   атаки является аварийное завершение
   работы системы.

Все
TCP
соединения являются дуплексными
(двунаправленными). В силу этого оба
соединения модуля TCP
должны учитывать и нумеровать данные
в каждом направлении по-разному, а это
значит обрабатывать два начальных
номера последовательности использующихся
при транспортировке пакетов. Когда
начальный номер получен клиентом, клиент
в свою очередь отправляет сегмент с
флагом подтверждения и номером
подтверждения последовательности
полученной с сервера. Однако можно
достаточно легко модифицировать
стандартный файл TCP
протокола так, чтобы он постоянно
отправлял на сервер сегменты с
проставленным флагом синхронизации и
различными начальными номерами
последовательности, тогда в ответ на
каждый такой сегмент сервер открывает
отдельный канал связи и посылает ответные
сегменты. Компьютер злоумышленника не
отвечает на приходящие данные, а только
посылает все новые и новые запросы.

Решение
проблемы лежит в области создания
специальных программ, анализирующих
запросы на установленные соединения,
не допускающих большого количества
безответных запросов. Другой вариант,
настроить межсетевой экран так, чтобы
TCP/IP-соединение
устанавливает только он сам.

1. Спуффинг.
   Суть заключается в том, что как на TCP,
   так и на IP
   протоколах действие его одинаково и
   заключается в подмене адресов.

Этапы
спуффинга:

а)
злоумышленник определяет IP
адрес доверенного компьютера.

б)
злоумышленник легальным способом
устанавливает связь с сервером и получает
начальный номер последовательности.
Этот начальный номер последовательности
необходим для того, чтобы сервер определил
этот компьютер как доверенный и выделил
ему отдельный канал связи.

в)
злоумышленник временно выводит из
строя доверенный компьютер, IP-адрес
которого уже ему известен. Для того
чтобы не дать послать ответ о том, что
соединение не было запрошено. Иначе
сервер закроет канал связи.

г)
злоумышленник представляет себя в
качестве доверенного компьютера и
получает начальный номер последовательности
уже атакованного узла.

д)
зная начальный номер последовательности
этого узла, он может выдать его за себя.

4)
нападение
на основе протокола ICMP.
ICMP
является служебным протоколом, т.е.
протоколом обмена служебными сообщениями.
Одной из его функций является удаленное
управление таблицей маршрутизации.

Идея
атак состоит в том, чтобы обмануть
маршрутизаторы и заставить их работать
по своей таблице маршрутизации. Это
позволяет получить доступ к потоку
информации, модифицировать его, отправляя
далее на защищенные системы.

Простейшая
атака основана на злоупотреблении
параметров протокола и заключается в
создании дублера системы, заставляя
маршрутизатор перенаправлять все пакеты
этому дублеру.

1. ARP-спуффинг.
   ARP-протоколы
   используют для того, чтобы получить
   взаимно-однозначные соответствия IP
   и интернет адресов внутри одного
   сегмента.

Суть
заключается в том, что перехватив на
атакующем узле внутри данного сегмента
сети ARP-запрос
можно послать сложный ARP-ответ,
в котором объявить себя искомым узлом
и в дальнейшем контролировать и
воздействовать на сетевой трафик
обманутого узла. Данный тип атаки
возможен только в сети с широковещательной
средой (интернет) и является внутрисегментной.

ЛЕКЦИЯ
№3.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

Оцените недостатки безопасности своего центра обработки данных, прежде чем это сделают плохие парни!

Одной из многих новостей, которые мы слышим в современную цифровую эпоху, является кибератака.

Это мешает бизнесу, подрывает репутацию и наводит панику на конечных пользователей.

Как вы гарантируете, что ваша сетевая инфраструктура способна смягчить кибератаки?

Прошли те дни, когда вы полагаетесь на ежегодные или квартальные результаты испытаний на проникновение.

В нынешнюю эпоху вам требуется автоматическая симуляция атак на взлом (BAS), непрерывное сканирование активов и, конечно же, защита.

Благодаря следующим инструментам, которые позволяют имитировать реальную атаку на ваш центр обработки данных, вы можете просмотреть результаты и принять меры.

Самое приятное, что некоторые инструменты позволяют автоматизировать действия.

Готовы к худшему?

1 Infection Monkey

Запускаете ваше приложение в облаке?

Используйте Infection Monkey, чтобы протестировать свою инфраструктуру, работающую в Google Cloud, AWS, Azure или других площадках.

Infection Monkey – это инструмент с открытым исходным кодом, который можно установить на Windows, Debian и Docker.

Вы можете запустить автоматическую симуляцию атаки кражи учетных данных, неправильной конфигурации, скомпрометированных активов и т. д.

Некоторые из заслуживающих упоминания функций.

• Неинтрузивная симуляция атак, поэтому она не влияет на работу вашей сети
• Комплексный аудиторский отчет с практической рекомендацией по защите веб-серверов или другой инфраструктуры
• Низкая загрузка процессора и памяти
• Визуализируйте карту сети и атакующего

Если вы из CISO или из службы безопасности, тогда вам понравится отчет.

Это приложение бесплатно, так что попробуйте его уже сегодня.

2 Threatcare

Threatcare – эффективный инструмент для проверки контроля, выявления потенциальной угрозы и предоставления информации за считанные минуты.

Это кроссплатформенное приложение, которое может быть установлено в Windows или Linux в облачной или локальной среде.

Threatcare подражает тому, как хакер атакует вашу инфраструктуру, поэтому вы знаете, как расположены элементы управления безопасностью.

Некоторые функции, которые могут вас заинтересовать.

• MITER ATT & CK playbooks со всеми 11 тактиками
• Вы можете создать пользовательскую среду
• Актуальная отчетность
• Масштабируемость для удовлетворения потребностей роста бизнеса
• Вы можете начать использовать его с БЕСПЛАТНОГО плана запуска симуляции атаки.

3 NeSSi2

NeSSi2 – это инструмент с открытым исходным кодом, работающий на платформе JIAC.

NeSSi означает симулятор сетевой безопасности, чтобы вы могли догадаться, что он делает.

Основное внимание уделяется проверке алгоритмов обнаружения вторжений, сетевого анализа, автоматических атак на основе профилей и т. д.

Он требует Java SE 7 и MySQL для настройки и запуска.

4 CALDERA

Инструмент эмуляции противника.

CALDERA поддерживает только сеть Windows Domain.

Он использует модель ATT & CK для тестирования и воспроизведения поведения.

Кроме того, вы также можете попробовать Metta от Uber.

5 Foreseeti

securiCAD от foreseeti позволяет виртуально атаковать вашу инфраструктуру для оценки и управления подверженностью риску.

Он работает в трех простых концепциях.

• Создайте модель – добавьте, что все (сервер, маршрутизатор, брандмауэр, службы и т. Д.) Вы хотите проверить
• Смоделируйте атаку – чтобы узнать, когда и когда ваша система сломается
• Отчет о рисках – на основе данных моделирования будет создан действенный отчет, который вы сможете реализовать для снижения общего риска

securiCAD – это готовое к использованию решение для предприятий.

Стоит попробовать посмотреть, как это работает.

6 AttackIQ

AttackIQ – одна из популярных масштабируемых платформ для проверки безопасности, позволяющая повысить безопасность вашего центра обработки данных.

Это наступательно-оборонительная система, чтобы помочь оператору безопасности учиться как действуют “Рэд тим”.

Платформа интегрирована с жизненно важной структурой – MITER ATT & CK.

Некоторые из других функций.

• При поддержке исследовательской группы AttackIQ и лидера индустрии безопасности
• Настройте сценарий атаки, чтобы имитировать реальные угрозы
• Автоматизируйте атаки и получайте постоянный отчет о состоянии безопасности
• Легкие агенты
• Работает на основной операционной системе и хорошо интегрируется с существующей инфраструктурой
• Они предлагают две недели БЕСПЛАТНО пробную версию, чтобы попробовать свою платформу. Попробуйте посмотреть, насколько хорошее ваше состояние инфраструктуры.

7 SCYTHE

Узнайте, где ваша организация находится под угрозой безопасности.

Платформа Scythe получила мощный и простой в использовании рабочий процесс для создания и запуска реальной кампании по киберугрозам.

С помощью данных вы можете анализировать конечные точки безопасности в режиме реального времени.

Scythe предлагается как модель SaaS или локально.

Будь вы красная, синяя или фиолетовая команда – это подходит всем.

8 XM Cyber

XM Cyber предлагает автоматизированное расширенное решение для моделирования устойчивых угроз (APT).

Оставайтесь впереди атакующего.

XM Cyber предлагает автоматизированное расширенное решение для моделирования устойчивых угроз (APT). Оставайтесь впереди атакующего.

Вы можете выбрать цель для запуска и настроить текущие атаки и получить приоритетный отчет об исправлении.

Некоторые основные моменты об инструменте.

• Настройте сценарий атаки в соответствии с потребностями
• Визуализируйте путь атаки
• Современные методы атаки
• Рекомендации по передовому опыту и политике

Заключение

Управление рисками информационной безопасности организации является сложной задачей, и я надеюсь, что вышеупомянутые инструменты помогут вам внедрить средства управления мирового класса для снижения подверженности риску.

Большинство из перечисленных инструментов предлагают бесплатную пробную версию, поэтому лучше всего попробовать, как они работают, и выбрать ту, которая вам понравится больше всех.