Академический Документы
Профессиональный Документы
Культура Документы
Процессы
Защита – система ЗИ, спроектированная в соответствии с требованиями НПА,
обеспечивает фильтрацию трафика по предопределенным правилам.
Обнаружение – система ЗИ обеспечивает протоколирование событий ИБ реализуя
контроль доступа к активам организации. Специалист по ЗИ используя средства
автоматизации выполняет анализ событий ИБ и осуществляет обнаружение нарушителя.
Реагирование – специалист по ЗИ обнаружив нарушителя, используя инструкцию по
реагированию и средства ЗИ реагирует на киберинцидент для минимизации его
последствий.
База знаний MITRE ENGANGE
Назначение – интерактивная база знаний, включающая этапы, цели, задачи, методы и
способы, позволяющие обеспечить стратегическое планирование мероприятий для
противодействия нарушителю и обеспечить оценку эффективности такой деятельности.
Способы достижения цели на этапе "оценка": пример - after action rewiews (анализ
реализации мероприятий SAC0006) – анализ информация о деятельности подразделения
по ЗИ (сокращение времени реагирования на киберинциденты, организация более
эффективного его взаимодействия с другими подразделениями организации и
сотрудников подразделения между собой).
Виды троянских ВП
Бэкдор – способны загружать другие типы ВП, исполняя роль шлюза и выполнять
загружаемую ВП. Примеряются для создания ботнетов (сети подчиненных хостов для
проведения DDoS и тд);
Загрузчик (дроппер) – обеспечивает загрузку других типов ВП;
Эксплойт – ВП позволяющая использовать уязвимость на хосте для выполнения
некоторых действий;
Руткит – обеспечивает сокрытие определённых объектов или действий нарушителя на
хосте;
Банковский троян – обеспечивает получение учётных данных пользователя для доступа к
его банковскому счету;
Шпионы и сборщики – отслеживают вводимые с клавиатуры данные, делают снимки
экрана и получают данные (списки запущенных приложений, адресов электронной почты)
Виды ВП (ransomware)
Шифровальщик – шифрует дисковый накопитель хоста для получения выкупа за его
расшифровку;
Вайпер – шифрует дисковый накопитель (иногда загрузочный сектор накопителя) без
возможности восстановления зашифрованных данных;
Блокировщик – блокируют доступ к хосту, показывая поверх его графического
интерфейса некоторую информацию, в том числе о выкупе.
Распространение по e-mail
1. а) В письме содержится ссылка (гипертекст или изображения) на ВП;
б) Загрузчик упакован в контейнер, например, макрос в документах .doc, .xls, java
script, .pdf и тд
2. Загрузчик соединяется с сервером С2 и загружает тело ВП, которая прописывается
в автозагрузку или создаёт задачу на запуск в планировщике задач.
3. Запуск загруженной ВП может выполняться с дискового накопителя и из
оперативной памяти хоста (бестелесная ВП).
Распространение on line
Межсайтовый скриптинг (XSS) – используются возможности браузера для запуска на
целевом хосте активных компонентов и загрузки тела ВП.
Web-сайты – используется тот факт, что браузер способен выполнять код JS для запуска
на целевом хосте активных компонентов и загрузки тела ВП.
Локальная сеть – посредством внедрения тела ВП в файлы размещённые на сервере для
обновлений ПО и открытые на общий доступ ресурсы.
+ –
Особенности ВМ
Функционирование песочницы
Цель – создание копии данных на выделенном для этого носителе для их последующего
восстановления в случае реализации угроз безопасности информации.
Особенности:
1. Надежность;
2. Восстановление выполняется из одной копии и как следствие выше скорость
восстановления;
3. Создание копии данных занимает много времени и ведет к большому расходу
емкости накопителя.
Особенности:
1. Полная резервная копия – раз в месяц для всех хостов. Выполняется первого числа
месяца. Время хранения – 3 месяца;
2. Декрементная резервная копия - раз в неделю в субботу. Время хранения – 1 месяц;
3. Инкрементная резервная копия - раз в день. Время хранения – 1 месяц;
4. Перед обновлением ПО создаётся инкрементная резервная копия. Время хранения
– 1 месяц;
5. Последнего числа месяца - репликация полных копий в облачное хранилище
(отчуждаемый носитель). Время хранения – 6 месяцев.
+ –
Off-site
1) Копирование на носитель;
2) Использование «облачных сервисов».
Параметры СРКД, влияющие на её выбор.
1. Время копирования - восстановления (производительность);
2. Нагрузка на канал;
3. Нагрузка на дисковую систему сервера;
4. Производительность сервера.
5. Атаки на уровне приложений SQL инъекция
SQL инъекция
SQL – язык программирования, применяемый для создания, модификации и управления
информацией в базах данных.
Цель – атака на базу данных, которая позволяет выполнить некоторые действия за счет
использования внедряемой программы (скрипта).
Скрипт – программа, предназначенная для распознавания кода "на лету" и немедленного
его выполнения.
Захват сессии
Ситуация – юзер прошел аутентификацию в веб приложении, ему в чате написал
знакомый и присылает изображение, просит его посмотреть. – Загружается пароль с
помощью cookie
Цель – защита web ресурсов путем проверки HTTP/HTTPS (XML/SOAP) трафика с целью
выявления различных атак на уровне приложений.
Способы реализаций:
1. Программный агент
2. аппаратное устройство в составе NGFW
3. "облачный" сервис (cloud WAF)
Способы анализа трафика
Регулярные выражения – на основании методологии проведения атаки составляется
ключевая синтаксическая конструкция.
Пример (?i) (<script [^>]*>. *? Поиск HTML инъекции типа XSS в теле запроса:
Первая часть обеспечивает не чувствительность второй части к регистру; 2) поиск тега
<script с произвольными параметрами внутри тега и произвольный текст после символа>.
Способы анализа
Scorebuilding – скоринговая оценка, позволяет дополнить обнаружение по
регулярным выражениям в случае возникновения неоднозначного результата. По всем
сработавшим правилам – суммируется из критичность и сравнивается с порогом.
Токенайзеры – для обнаружения SQL injection
1. Http запрос приводят к набору токенов;
2. Сравнивают набор с «черным списком».
Анализ поведения – обнаружение НТТР запросов, генерируемых
автоматизированными средствами и ограничение их количества в минуту
Репутационный анализ – список IP адресов, подлежащих блокировке
(анонимайзеры, торренты).
Виды Honeypot
* Слабого взаимодействия – имеют простую структуру и базовую
функциональность. Основная задача – обнаружить сканирование и подключение
представляет собой приложение.
Предоставляемая информация:
1) Время и дата события;
2) IP адрес и порт источника;
3) IP адрес и порт назначения.
* Среднего взаимодействия – имеют расширенную функциональность и
представляют собой виртуальную среду (ОС и прикладное ПО) с которой может
взаимодействовать нарушитель.
* Сильного взаимодействия – представляют собой отдельный хост с ОС и рядом
сервисов.
Honeytoken
Назначение – скрипт, внедренный в файл (pdf, doc), позволяющий при чтении файла
сформировать сообщение (в тч с передачей на e-mail).
Цель – обнаружение нарушителя.
Примеры
1. Ложная учётная запись пользователя службы с определённым SPN (первичное имя
сервиса) и атрибутами adminCount=1 для обнаружения Kerberoastating.
2. Ложные учётные данные в памяти, которые могут быть извлечены, например с
помощью Mimikatz.
3. Ложные учётные записи в контроллере домена без привязки к хостам.
4. Ложные учётные записи администраторов доменов.
5. Ложные общие ресурсы.
6. Ложные записи DNS.
Индикаторы Honeytoken
1. Objects ID – формат не соответствующей настоящей учетной записи;
2. Last Logon – наличие пользователей, которые никогда не входили в систему, но
имеют привилегии.
3. Logon Count – если у большинства учётных записей средний показатель logonCount
= 50, а у другой 3 или 4, то что-то не так.
4. Bad Pwd Count – нет такого пользователя, который в течение длительного времени
ни разу не ввел бы неправильный пароль.
8. Deception
Типы сообщений
Ошибка – событие указывает на существенные проблемы, обычно приводящие к потере
функциональности или данных;
Предупреждение – события указывают на проблемы, которые не требуют немедленного
вмешательства, но могут привести к ошибкам в будущем;
Сведения – события указывают на успешные действия приложением, службой или
драйвером;
Аудит успеха – событие, соответствующее успешно завершенному действию, вязанному с
поддержкой безопасности системы;
Аудит отказа – событие, соответствующее неудачно завершённому действию, связанному
с поддержкой безопасности системы.
Запись о событии включает в себя: тип, дату и время, источник, код
(идентификатор), категорию задачи.
Примеры идентификаторов:
1102: журнал событий был очищен.
4720: создана учетная запись пользователя;
4732: добавлен пользователь в локальную группу с включенной безопасностью.
Примеры событий в ОС требующих записи в журнал:
Вх/вых пользователей: успешный вход, неудачный вход, выход;
Изменения в уч записях: создание, разблокирование, изменение, блокирование, удаление;
Изменения пароля: для своей уч записи, для другой уч записи;
Запуск/остановка сервисов: запуск, остановка, сбой;
Отказ в доступе к объекту.
Power Shell: 1. Обнаружение (4732) 2. Расследование (1102, 4702).
Примеры событий на коммутационном оборудовании, требующих записи в журнал
Административный доступ: доступ пользователя, неудачная попытка входа, пользователь
заблокирован.
Изменения в учетных записях: добавление, удаление, повышение привилегий польз.
Блокировка/пропуск трафика: блокирование в соответствии с ACL, установление
соединений.
11. SIEM
Концепция SIEM
Цель: обнаружение инцидентов ИБ по предопределённым правилам за счёт анализа
событий безопасности, получаемых из системных журналов различных источников
Архитектура в SIEM:
● Коннектор (агент) – ПО, устанавливаемое на оборудование, с которого необходимо
скопировать содержимое системного журнала (лог файла);
● Компонент сбора событий – программно-технический комплекс, обеспечивающий
нормализацию информации, полученной из системных журналов, и её агрегацию в
БД;
● Компонент корреляции событий – программно-технический комплекс,
обеспечивающий корреляцию событий, выполняемую на основе
предопределённых правил;
● Компонент управления и анализа – программно-технический комплекс для
настройки, визуализации результатов анализа событий и оповещения об их
возникновении
Примеры SIEM:
– Alien Vault OSSIM; – Wazuh; – ArightSight; – KUMA (Kaspersky); – MaxPatro
(PositiveTechnology).
Методы корреляций:
– по правилам: создание правил, содержащих параметры условия. временного интервала и
реакции;
– эвристический: обнаружение событий по заданным шаблонам;
– нейронные сети: динамически адаптируется к изменяющейся среде.
Задачи и их решения.
Задача 1: реализовать контроль за повышением привилегий учётных записей на
хостах пользователей.
Решение: Правило корреляции отслеживает все случаи повышения привилегий, и если
учётная запись, запросившая повышение привилегий, отсутствует в табличном списке
допущенных – формируется сообщение об инциденте.
Задача 2: контролировать несанкционированное подключение ноутбуков к
сетевому оборудованию организации.
Решение: Реализован мониторинг МАС-адресов на портах сетевых устройств. В случае
добавления или удаления МАС-адреса формируется сообщение об инциденте
Задача 3: контролировать несанкционированное использование программ
удалённого доступа.
Решение: Сформирован список рабочих станций, к которых запрещено подключаться с
использованием программы, применяемой в компании для удалённой техподдержки. При
удалённом подключении к рабочим станциям из этого списка формируется сообщение об
инциденте.
Применение SIEM:
1) автоматизация мониторинга событий безопасности;
2) предоставление информации для проведения расследования;
3) проведение аудита ИБ;
События ИБ, подлежащие регистрации для систем управление базами данных (СУБД):
1) контроль сессий (успешные/неуспешные попытки авторизации, регистрации
пользователей, попытки использования незарегистрированных учётных записей);
2) все действия пользователей, имеющих административные привилегии (включая
команды “select”, “create”, “alter”, “drop”, “truncate”, “rename”, “insert”, “update”,
“delete”, “call (execute)”, “lock”);
3) все действия пользователей, имеющих права на присвоение привилегий другим
пользователям (команды “grant”, “revoke”, “deny”).
Запись события ИБ для СУБД должна включать поля:
– дата и время возникновения события;
– наименование учётной записи пользователя, которым инициировано событие;
– IP-адрес хоста/устройства;
– IP-адрес источника;
– наименование устройства (при наличии);
– описание события ИБ.
Элементы системы:
● ОАЦ при Президенте РБ
– координирует деятельность других гос.органов и организаций по созданию и
функционированию национальной системы кибербезопасности (КБ);
● Национальный центр кибербезопасности
– (создан на базе ОАЦ) обеспечивает деятельность по противодействию кибератакам (КА)
и реагированию на киберинциденты;
● Авторизованный оператор электростали
– обеспечивает взаимодействие Национального центра кибербезопасности (НЦКБ),
центров кибербезопасности (ЦКБ), а также государственных органов и других
организаций;
● Объекты ИИ
– КВОИ, информационные сети, информационные системы, информационные ресурсы и
иные совокупности технических средств, систем и технологий создания, преобразования,
передачи, использования и хранения информации;
● Сеть передачи данных
– обеспечивает взаимодействие НЦКБ и объектов ИИ.
Функции НЦКБ
1) Осуществляет сбор, обработку, анализ и обобщение информации, поступающей из ЦКБ,
формирование и ведение общереспубликанской БД о КИ;
2) Координирует и реализует мероприятия по выявлению, предупреждению и исследованию
КА и вызванных ими КИ на объектах ИИ, реагированию на такие КИ;
3) Осуществляет автоматизированных сбор, обработку, накопление, систематизацию и
хранение данных о КБ объектов ИИ, направленные на обнаружение, предотвращение и
минимизацию последствий КА и вызванных ими КИ на указанных объектах, реагирование
на такие КИ;
4) Оказывает методическую и практическую помощь государственным органам и иным
организациям в вопросах обеспечения КБ принадлежащих им объектов КИ;
5) Проводит учения по действиям при возникновении КИ на объектах ИИ, разрабатывает
программы и методики проведения этих учений, сценарии реагирования на КА;
6) Организует проведение аналитических и научных исследований в области обеспечения
КБ, при необходимости распространяет результаты таких исследований, в т.ч. в средствах
массовой информации.
Функции ЦКБ
1) Осуществляет автоматизированных сбор, обработку, накопление, систематизацию и
хранение данных о КБ объектов ИИ, направленные на обнаружение, предотвращение и
минимизацию последствий КА, а также мероприятия по выявлению, предупреждению и
исследованию КА и вызванных ими КИ на объектах ИИ, реагированию на такие КИ;
2) Проводят оценку степени защищённости объектов ИИ, мероприятия по установлению
причин КИ, вызванных КА на объекты ИИ;
3) Осуществляет сбор, обработку, анализ и обобщение информации о состоянии КБ на
объектах ИИ;
4) Информируют НЦКБ о выявленных КИ не позднее одного часа с момента их выявления, а
также предоставляют иные сведения, в т.ч. о результатах реагирования и ликвидации
последствий КИ в порядке, объёме и сроки, определяемые ОАЦ;
5) Обеспечивают функционирование в своём составе команд реагирования на КИ.
Структура ЦКБ
Руководитель – организует и контролирует проведение мероприятий по
противодействию КА и расследованию КИ, обеспечивает управление ЦКБ.
Лицо, обеспечивающее сбор информации о КИ – обеспечивает информационное
взаимодействие с НЦКБ, определяет уровень КИ (высокий/низкий), осуществляет сбор
технических параметров КИ, координирует деятельность команды по реагированию на
КИ.
Лицо, выполняющее функции по администрированию, АС взаимодействия –
выявление и анализ событий ИБ, администрирование и настройку автоматизированной
системы взаимодействия, участие в разработке и ведение базы правил корреляции
событий ИБ. Член команды реагирования на КИ – реагирование на КИ, поддержка при
реагировании на КИ, администрирование технических, программно-аппаратных,
программных средств, в т.ч. СЗИ.
Лицо, ответственное за обеспечение КБ – анализ и обобщение информации о
состоянии КБ на объектах ИИ, оценку эффективности защищённости объектов ИИ на
предмет соответствия требованиям по КБ.
Лицо, выполняющее функции по анализу ВП – анализ данных о КИ с применением
методов форензики и реверс-инжиниринга, установление причин возникновения КИ с
использованием ВП.
Лицо, выполняющее функции по оценке защищённости объектов ИИ –
(тестирование на проникновение) оценку эффективности защищённости объектов ИИ и
ЦКБ на предмет наличия уязвимости, проверку возможностей их эксплуатации,
моделирование КА на объекты ИИ.
КИ высокого уровня:
1 Внедрение функционирование ВП на объектах ИИ;
2 НСД к объектам ИИ с использованием ИКТ;
3 Использование объектов ИИ для осуществления КА и(или) распространения ВП;
4 Прослушивание, захват, перенаправление сетевого трафика объектов ИИ;
5 Рассылка незапрашиваемой информации(спама) с объектов ИИ;
6 Эксплуатация уязвимостей на объектах ИИ;
7 Прекращение функционирования объектов ИИ, вызывание КА типа «отказ в
обслуживании»;
КИ низкого уровня:
1 Попытка внедрения ВП на объектах ИИ;
2 Проведение КА типа «отказ в обслуживании», направленной на объекты ИИ, не
вызвавшей негативных последствий;
3 Попытка эксплуатации уязвимостей на объектах ИИ;
4 Сканирование объектов ИИ в целях поиска уязвимостей;
5 Попытка НСД к объектам ИИ;
6 Прекращение функционирования объектов ИИ, не связанное с КИ высокого уровня;
7 Попытка использования объектов ИИ для распространения ВП;
8 Попытка проведения КА на веб-приложения и иные сетевые протоколы и службы;
9 Использование вычислительных мощностей объектов ИИ для проведения КА.
Анализ пакетов:
1) SPI (Поверхностный анализ пакетов) – анализ исключительно заголовков пакета
уровней L2-L4 модели OSI;
2) MPI (Средний анализ пакетов) – анализ сессий и сеансов связи, инициированных
приложением, но установленный шлюзом-посредником;
3) DPI (Глубокий анализ пакетов – анализ содержимого пакетов и их косвенных
признаков, присущих определенным программам и протоколам;
4) DCI (Глубокий анализ содержимого) – анализ передаваемой информации (файлов,
объектов), включая метаданные;
Метаданные – информация относящаяся к дополнительным сведениям (признаки
и свойства, характеризующие какие либо сущности, позволяющие автоматически искать и
управлять данными в больших информационных потоках).
Функции NTA:
1) Анализ трафика как на периметре сети, так и внутри инфраструктуры;
2) Выявление атак с помощью комбинации технологий обнаружения;
3) Помощь в расследовании инцидентов.
Архитектура NTA:
1) Сетевой сенсор, который собирает «сырой» трафик;
2) Сервера централизованного управления и анализа собранного трафика;
3) Консоль мониторинга (дашборд) и управления- визуализация результатов работы
системы и настройка.
Этапы реагирования:
–> Подготовка –> Обнаружение <–> Сдерживание –> Удаление –> Восстановление –>
Выводы –>
Подготовка – реализация организационно-технических мероприятий по поддержанию
уровня безопасности ИС.
1. Создание системы ЗИ;
2. Обучение специалистов по ИБ реагированию на инциденты;
3. Обучение пользователей ИС;
4. Разработать процедур реагирования
Обнаружение – специалисты по реагированию на инциденты ИБ, должны определить,
является ли обнаруженное ими с помощью различных систем обеспечения ИБ событие
КИ или нет.
Индикаторы компрометации (IoC) – наблюдаемая в сети или на хосте аномалия,
которая с большей долей вероятности указывает на НСД к системе (ее компрометацию).
Пирамида Дэвида Бьянко (IoC): чем выше к вершине IoC, тем сложнее нарушителю его
изменить.
Функции SOAR:
1) Агрегирование и обработка событий ИБ из различных источников (SIEM, DLP,
AVP, UEBA, FW, AD)
2) Дополнение информации об КИ данными из внешних баз, записей об аналогичных
событиях и других источников;
3) Оценка состояния инфраструктуры, выделение.
4) Выполнение предопределенных действий (сценариев), необходимых для
устранения угрозы или минимизации ее последствий.
5) Предоставление информации об КИ.
Расследование КИ:
1. Определить начальный вектор КА (Mitre attack);
2. ПО, которое было использовании в процессе КА;
3. Системы, которые были затронуты в процессе КА;
4. Размер ущерба;
5. Определить достиг ли нарушитель цели;
6. Временные рамки атаки.