Мастер-класс risspa «Пентесты, сбор информации из...
Post on 16-Apr-2017
395 views
TRANSCRIPT
THREAT INTELLIGENCE, OSINT, И ВСЁ-ВСЁ-ВСЁ
Денис ГорчаковСтарший аналитикSecurity Services
2
Разрабатывал сканеры безопасности MaxPatrol, SurfPatrol, проводил различные исследования ИБ.
Боролся с мошенничеством в области контент-услуг, мобильной коммерции, расследовал инциденты, связанные с банковским мошенничеством и вредоносным ПО.
Расследовал хищения в ДБО и инциденты ИБ, как внешние, так и внутренние. Участвовал в развитии SIEM-системы, системы противодействия целевым атакам, создании процесса управления инцидентами.
О СЕБЕ
3
KASPERSKY SECURITY SERVICES
Тестирования на проникновениеАнализ защищённости приложенийРасследование инцидентовПротиводействие целевым атакамАналитические отчёты об угрозах для организаций, стран, отраслей индустрии
4
PENETRATION TESTING
Black-boxGrey-boxWhite-boxInternal PentestExternal PentestApplication AnalysisOn-site / Off-site
SECURITY INTELLIGENCE
Threat IntelligenceOSINT (Open Source Intelligence)… NAME IT
Чем это отличается от деловой разведки?В чём разница с мониторингоммедиаресурсов?
Знают двое – знает и свинья
5
ДЕЛОВАЯ РАЗВЕДКА
Ближе к экономической безопасности и розыску:проверка надёжности контрагентовпоиск информации о физических и юридических лицах, автотранспорте, недвижимости и пр.проверки ПОД/ФТпроверки по налоговым базам, КРОНОС, Спарк
Не совсем то, что нужно специалистам по ИБ …
6
МОНИТОРИНГ МЕДИАРЕСУРСОВ
Ближе к работе PR-службы и маркетингу:поиск отзывов, негатива, жалоб в соцсетях и блогахпоиск информации, распространяемой сотрудникамиКрибрум, YouScan, Лавина-Пульс
Специалисты по ИБ могут использовать инструменты мониторинга медиапространства совместно с PR-службой, но все они слабо ориентированы на задачи информационной безопасности.
7
OSINT
Поиск информации о компании в открытых источниках и на различных ресурсах:
Поможет понять, сколько известно об организации тому, кто хочет её атаковатьНайти угрозы безопасности даже там, где их не ожидаютНайти потенциальные утечки информацииВзломанные и украденные учётные записи сотрудниковИнсайдеры – поиск услуг и предложения услуг
БЕЗ РЕГИСТРАЦИИ И SMS. Хотя иногда с регистрацией…
8
ИНСТРУМЕНТЫ
Публичные:Базы WHOIS, RIPEShodan.io, Censys.io, DNSdumpster, Robtex и другие специализированные поисковикиGHDB (Google Hacks) – дорки поисковых системСкрипты и фреймворки: самописные, etc. … и многое другое
Форумы:Мониторинг андеграунд-ресурсов и не только
9
ПРОСТО ЗАПУСТИЛ СКРИПТ?
10
ПРИМЕРЫ
Неконтролируемый сетевой периметр: из сети доступны интерфейсы веб-камер, маршрутизаторов, принтеров, консоли администрирования, подключения по протоколам RDP, VNC, telnet и многое другоеНа сайтах компаний доступны файлы с ограниченным доступом (вспомните, когда Яндекс проиндексировал ресурсы Мегафона)В Германии злоумышленники профилировали компанию через LinkedIn, собрали досье на её сотрудников, а затем (успешно) искали жертв для шантажа и получения важной информации
11
КАЗАЛОСЬ БЫ …
12
МОЖЕТ ПРИГОДИТЬСЯ ВСЁ
Схема именования учётных записей, почтовых ящиков
Версии используемого ПО для таргетирования эксплойтов
Информация о сотрудниках для социальной инженерии
Случайно открытый поддомен или узел сети
13
ЗАЧЕМ ЭТО НУЖНО?
Цель исследования (компания, отрасль) узнаёт об уровне угроз и трендах, т.к. на самостоятельное исследование нередко не хватает ресурсов и времени.Лучше понять приоритеты в защите, какие направления уязвимы и более интересны злоумышленникамОперативно отреагировать на утечки и взломанные учётные записи, защитившись, например, от кросс-чекингаУлучшить защиту периметра и качественнее обеспечить безопасность собственных клиентов
14
KASPERSKY POWER!
Не только OSINTKaspersky Security NetworkВыявление, мониторинг и анализ образцов вредоносного ПО, ориентированного на конкретную цель, исторических данныхИнформация о целевых атаках и APT-кампанияхИнформация о фишинговых кампанияхСтатистика DDoS-атак
15
И ЧТО В ИТОГЕ?
16
ЧТО МОЖНО УЛУЧШИТЬ?
Многие публично доступные инструменты для сбора данных заброшены после версии 0.1-alpha-demo
Пишите свои инструменты!Многие инструменты несовершенны
Дорабатывайте ихНет качественных сервисов для поиска по андерграунд-ресурсам
Создавайте свои сервисы
17