- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Справочные материалы |
Резюме
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
195to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
1.Security and Privacy Controls for Federal Information Systems and Organizations. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf.
2.NIST 800-53 Written Information Security Program (WISP) (пример по-
литики безопасности). http://examples.complianceforge.com/example-nist- 800-53-written-information-security-program-it-security-policy-example.pdf.
3.Internet Security Threat Report Volume 22. https://s1.q4cdn.com/585930769/ files/doc_downloads/lifelock/ISTR22_Main-FINAL-APR24.pdf.
4.Uncovering a persistent diet spam operation on Twitter.https://www.symantec. com/content/en/us/enterprise/media/security_response/whitepapers/uncover- ing-a-persistent-diet-spam-operation-on-twitter.pdf.
5.Social Media Security. https://blogs.technet.microsoft.com/yuridiogenes/2016/ 07/08/social-media-security/.
6.CBS fires vice president who said Vegas victims didn’t deserve sympathy be- cause country music fans «often are Republican». http://www.foxnews.com/en- tertainment/2017/10/02/top-cbs-lawyer-no-sympathy-for-vegas-vics-probably- republicans.html.
7.Florida professor fired for suggesting Texas deserved Harvey after voting for Trump. https://www.independent.co.uk/news/world/americas/us-politics/florida- professor-fired-trump-harvey-comments-texas-deserved-hurricane-storm- a7919286.html.
8.Microsoft Security Compliance Manager. https://www.microsoft.com/en-us/ download/details.aspx?id=53353.
9.Red Hat Enterprise Linux 6 Security Guide. https://access.redhat.com/documen- tation/en-US/Red_Hat_Enterprise_Linux/6/pdf/Security_Guide/Red_Hat_Enter- prise_Linux-6-Security_Guide-en-US.pdf.
10.AppLocker – Another Layer in the Defense in Depth Against Malware. https:// blogs.technet.microsoft.com/askpfeplat/2016/06/27/applocker-another-layer- in-the-defense-in-depth-against-malware/.
11.Enhanced Mitigation Experience Toolkit (EMET) 5.52. https://www.micro- soft.com/en-us/download/details.aspx?id=54264&751be11f-ede8-5a0c-058c- 2ee190a24fa6=True.
12.Social Media Security. https://blogs.technet.microsoft.com/yuridiogenes/2016/ 07/08/social-media-security/.
Резюме
Вэтойглавевыузналиоважностиналичияполитикибезопасностииеереали- зации посредством программы безопасности.Вы поняли значимость наличия четкого и устоявшегося набора основных принципов при работе в социальных сетях, которые дают сотруднику точное представление о видении компании относительно публичных постов и последствиях нарушения этих принципов.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
196 Политика безопасности |
|
|
|
|
to |
|
|
|
|
|
|
|||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Часть программы безопасности включает в себя тренинг по повышению |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
безопасности |
, который обучает конечного пользователя темам, связанным |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
с вопросами безопасности. Это очень важный шаг, поскольку конечный поль- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
зователь всегда является самым слабым звеном в цепи безопасности. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
Позже в этой главе вы узнали, как компании должны применять полити- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
ки безопасности с использованием различных наборов инструментов. Частью |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
применения этой политики являются белые списки приложений и усиление |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
защиты системы. Наконец, вы узнали о важности мониторинга этих политик |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
на предмет соответствия и научились использовать инструменты, предназна- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ченные для этого. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
В следующей главе мы продолжим разговор о стратегиях защиты, и на этот |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
развыузнаетебольшеосегментациисетииотом,какиспользоватьэтотметод |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
для усиления защиты. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 10 |
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Сегментация сети
В предыдущей главе мы начали оборонительную стратегию, подчеркнув важ- ность наличия сильной и эффективной политики безопасности. Теперь при- шло время продолжить реализацию этого видения, обеспечив безопасность сетевой инфраструктуры. Первое, что мы должны сделать, – это убедиться, что сеть сегментирована, изолирована и обеспечивает механизмы для ней- трализации вторжений. Синяя команда должна быть полностью осведомлена о различных аспектах сегментации сети: от физической сети до виртуальной и удаленногодоступа.Даже если компании не полностью основаны на исполь- зовании облачных вычислений, им все равно нужно подумать о возможности подключения к облаку в гибридном сценарии. Это означает, что для повыше- ния общей безопасности среды должны бытьтакже предусмотрены отдельные меры,абезопасностьсетевой инфраструктурыявляется основаниемдляэтого.
В этой главе мы рассмотрим следующие темы:концепция глубоко эшелонированной защиты;сегментация физической сети;обеспечение удаленного доступа к сети;сегментация виртуальной сети;
безопасность гибридной облачной сети.
Глубоко эшелонированная защита
Хотя вы, вероятно, подумаете, что это старый метод, не относящийся к сегод- няшним требованиям, реальность такова, что он все еще действует, хотя вы и не будете использоватьте же технологии,которые использовали в прошлом. Вся идея подхода глубоко эшелонированной защиты заключается втом,чтобы гарантировать вам наличие нескольких уровней защиты, а также свой набор элементов управления безопасностью для каждого уровня. В итоге это будет задерживать атаку,а датчики,доступные на каждом уровне,будут предупреж- дать вас, происходит что-то или нет. Другими словами, речь идет о разрыве жизненного цикла атаки до того, как миссия будет полностью выполнена.
Но для реализации подхода с использованием глубоко эшелонированной защиты для современных нужд необходимо абстрагироваться от физическо-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
198 Сегментация сети |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
го уровня и думать только об уровнях защиты в зависимости от точки входа. |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
Давайте используем приведенную нижедиаграмму в качестве примера,чтобы продемонстрировать, как сегодня реализуется этот подход (рис. 10.1).
Инфраструктура и службы
Локальные ресурсы
Документы |
IPhone Телефон |
в процессе передачи |
на базе ОС |
|
Android |
|
Конечные точки |
Рис.10.1
Злоумышленники обладают обширным доступом к различным ресурсам. Они могутатаковатьинфраструктуру и службы,документы в процессе переда- чи и конечные точки, а это означает, что вам нужно увеличивать «стоимость» злоумышленника в каждом возможном сценарии. Давайте разберем эту диа- грамму в следующих разделах.
Инфраструктура и службы
Злоумышленники могут нарушить производительность вашей компании, ата- ковав ее инфраструктуру и службы. Важно понимать, что даже в локальном сценарии у вас все еще есть службы, но они контролируются локальной ITкомандой.Ваш сервер базыданных–это служба:тутхранятся критически важ- ные данные, используемые пользователями, и если они станут недоступными, тоэтонапрямуюповлияетнапроизводительностьпользователя,чтоокажетне- гативноефинансовоевлияниенавашуорганизацию.Вэтомслучаевамнеобхо- димо перечислить все службы, предлагаемые вашей организацией для конеч- ных пользователей и партнеров,и определить возможные направления атаки.
Послетого как вы определили векторы атаки,необходимодобавитьэлемен- ты управления безопасностью, которые нейтрализуют эти уязвимости (на- пример, обеспечить соблюдение требований с помощью управления исправ- лениями, защиту сервера с помощью политик безопасности, изоляцию сети,