Естехин the soc - внутренние угрозы

ПО МОТИВАМ ПРЕЗЕНТАЦИИ ЭЛЬМАНА БЕЙБУТОВА “КТО ПРИСМОТРИТ ЗА СМОТРЯЩИМ?”

КТО ПРИСМОТРИТ ЗА ШТИРЛИЦЕМ? КАК TheSOC ВЫЯВЛЯЛ ИНЦИДЕНТЫ

СРЕДИ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ ЦЕНТРАЛЬНОГО

АППАРАТА СД

Все совпадения с реальными событиями случайны. Имена, фамилии, географические названия не соотвествуют именам, фамилиям, географическим названиям реальных людей и объектов.

“Штирлиц послал ping по имени сайта. Сайт не ответил. Штирлиц послал ping по IP-адресу сайта. Сайт не ответил. Штирлиц, не поленился, и поехал в офис компании, подошел к двери и ударил её ногой. Дверь не открылась. Штирлиц разбежался и бросился на дверь всем телом. С тем же успехом. “Файервол”, — догадался Штирлиц”

Анекдот:

Случай первый: Как быстро парализовать прием входящих звонковв центральном аппарате СД?

Штирлиц Главное имперское ведомство безопасностиПротестировать новый вид DDoS-атаки

Кто:Где:Зачем:

Точки контроля:-голосовое меню (IVR), фильтрация роботов автодозвонов-использование Black-list для определенных номеров (AOHы)-фильтрация звонков по заданным критериямИнструментарий:

Автоматический массовый дозвон (DDoS-атака) на номера ведомства, при ответе вызывающий кладет трубку

ИБ.Взгляд_снизу

Источники:АТС

Г. БЕРЛИН31 ДЕКАБРЯ 1942

Случай второй : Как быстро взломать сеть изнутри?

Штирлиц VI управление РСХА (политическая разведка)Получить контроль над целевой системой

Кто:Где:Зачем:Точки контроля:Часто повторяющиеся команды с IP-адреса 127.0.0.1:-mount/unmount device-запуск/остановка процессов-исполнение команд типа “su borman” и “su muller”-сканирования портов, перебор стандартных учеток: “schellenberg”, “tabakov”, “sharapov”, “pronin”-случайно оставленные следы (Феликс Эдмундович)

Инструментарий:Фишинговые письма по email, VBScript, обфускаторы VBS, Ammyy Admin, GiGa LoGGer V2ИБ.Взгляд_снизу

Источники:Shtrltz.Scanner, Local logs, AV (модуль контроля запускаприложений)

Г. БЕРЛИН7 НОЯБРЯ 1943

Случай третий: Хакер с ZverCD в корпоративной сети  центральногобанка Германской империи (Reichsbank)Штирлиц

РейхсбанкПоставить на электронном табло с курсами валютРейхсбанка заставку с портретом СталинаРазвернуть образ ОС с ZverCD на компьютереЦентрального банка с курсами валют

Кто:Где:Зачем:Как:

Точки контроля:Вредоносная сетевая активностьВирусные заражения на хосте

Источники:FW, IPS, AV, ОС, AD

Г. БЕРЛИН9 МАЯ 1945ИБ.Взгляд_снизу

Инструментарий:CuteFTP, Ammyy Admin,GiGa LoGGer V2

Случай четвертый : Применение социальной инженерии в отношениикассиров банковШтирлиц

Банки БерлинаПредставляясь сотрудником IT-подразделения, под предлогомтестирования сервиса обнулить карточный счет кассираИз объяснений кассира: “я оказалась слишком доверчивой, а оноказался слишком наглым”

Кто:Где:Зачем:

Как:

Точки контроля:

Источники:FinCERT, Антидроп-клуб

Г. БЕРЛИН14 ФЕВРАЛЯ 1942ИБ.Взгляд_снизу

Человеческий фактор (spear phishing)Повышение осведомлённости

Случай пятый: Как обрушить компьютерную сетьцентрального аппарата СД?Штирлиц

Центральный аппарат СДВызвать панику в стане врагаПросто дружить с администратором сети

Кто:Где:Зачем:Как:

Точки контроля:-входы одной учетки с разных IP/hostname-подключения из “чужих” провайдерских сетей (например,“Ростелеком”)-входы в системы из-под учеток, заблокированных в AD-входы пользователей, находящихся в отпуске/на фронте-проверка отчетов сканеров уязвимостей Источники:

FW, IPS, AD, Application/WAF

Г. БЕРЛИН23 ФЕВРАЛЯ 1943ИБ.Взгляд_снизу

Случай шестой: Как быстро парализовать работу телеком-провайдера?

Штирлиц Крупный немецкий телеком-провайдерПротестировать новый вид DDoS-атаки

Кто:Где:Зачем: Точки

контроля:-обработка логов-фильтрация вредоносного трафика-блокирование определенных портов, адресов или протоколовИнструментарий:

Дарить на праздники сослуживцам кофемолки с вшитым производителем паролем, который невозможно поменять. Подготовить бот-сеть, состоящую из множества кофемолок со взломанным паролем, использовать устройства как боевые роботы для проведения DDoS-атаки на телеком-провайдера

ИБ.Взгляд_снизу

Источники:FW, AV, Local logs, WAF, IPS

Г. БЕРЛИНежегодно, 20 октября

Случай седьмой: Нестандартные методы работы службы безопасности

ШтирлицVI управление РСХАУлучшить KPIС помощью Яндекс Браузера

Кто:Где:Зачем:Как:

Точки контроля:-проверка паспортов офицеров VI управления с помощью ресурса www.egrul.ru/pasports.html-взаимодецствие с ГосСОПКА и НКЦКИ-использование только сертифицированной криптографии (например, КриптоПро CSP)

Источники:DLP, SaffCop

Г. БЕРЛИН5 МАЯ 1943ИБ.Взгляд_снизу

Название Доля, %Chrome 46.77Firefox 9.45Safari 9.13Opera 6.89Microsoft Internet Explorer

3.68

Android Browser 2.21Internet Explorer Mobile

1.98

Opera Mini 1.36

Yandex Browser 0.00001

OpenStatVI-го управления

РСХА

Инструментарий:Yandex Browser, КриптоПро CSP

Случай восьмой: Cбор информации из открытых источников спомощью специализированных средств

Служба безопасностиВ сети InternetВыявление нелояльных сотрудников, отклоненийот профиля истинного арийцаС помощью Аваланч

Кто:Где:Зачем:

Как:Индикаторы компрометации:-ping kremlin.ru (проверка связи)-уплата налогов на gosuslugi.ru-выкладывание фотографий после корпоратива ведомствана ok.ru и fotostrana.ru-Дайджест новостей по ИБ за 01-31 мая 1945г.:Макс Отто фон Штирлиц советует не верить на слово немецкому командованию;тезисно поделился впечатлениями о бизнес-завтраке у Бормана

Источники:Аваланч, SaffCop, блоги по ИБГ. БЕРЛИН31 МАЯ 1945ИБ.Взгляд_снизу

Случай девятый: Сломать кадровую систему (а заодно и СКУД) и скрыться…

Штирлиц IV управление РСХА (гестапо)Парализовать работу управления

Кто:Где:Зачем:

Точки контроля:Запросы в СУБД кадровой системыИзменение файлов в критичных директорияхИзменеие фотографий в личных делах сотрудниковИзменение нумерации кабинетов IV управления (гестапо)Запуск/остановка турникета на проходной управленияСрабатывание пожарной сигнализации

Источники:

Г. БЕРЛИН2 АВГУСТА 1944ИБ.Взгляд_снизу

Инструментарий:FTP Password Dump, CuteFTP, Extension Spoofer, iBrute

HR, AD, AV (модуль контроля запуска приложений)

Случай десятый: Взломать Wi-Fi за… 3 секунды

ШтирлицПивная “Грубый Готлиб”Случайно…Штирлиц случайно узнал, что во всех моделях роутеров Главного управления дефолтный пароль — это 8 последних символов MAC-адреса устройства

Кто:Где:Зачем:Как:

Точки контроля:

-контроль Wi-Fi сети

Источники:Wireless Statistics, Wireless Network Watcher

Г. БЕРЛИН7 МАЯ 1942ИБ.Взгляд_снизу

“You have been pwned”

Кто найдёт управу на Штирлица? Только TheSOC

Г. МОСКВА16 НОЯБРЯ 2016ИБ.Взгляд_снизу

TheSOC–это централизованная корпоративная команда мониторинга безопасности, созданная в целях снижения рисков организации путем использования технологий и процессов для обнаружения инцидентов, их локализации, анализа и снижения ущерба

SOLAR SECURITY,РОССИЯ, МОСКВА

Как устроен TheSOC?

Г. МОСКВА16 НОЯБРЯ 2016ИБ.Взгляд_снизу

Специализированное ПО(SIEM-продукты)

Группа быстрого реагирования (SIEM-процессы)

Поддержка 24х7(персонал)

#muller

#shtirlitz

#schellenberg

#borman#holthoff #kaltenbrunner #himmler#wolf

#goering#eismann#rolf

СПАСИБО ЗА ВНИМАНИЕ! МАКС ОТТО ФОН ШТИРЛИЦ

SKYPEEMAIL

VON_SHTIRLITZ

CISA ЭКСПЕРТ,СЛУЖБА БЕЗОПАСНОСТИ

VON_SHTIRLITZ@YANDEX.RU