- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Проблемы кибербезопасности 25to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Однаизсамыхбольшихпроблемвэтойобласти–идентификациязлоумыш- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
ленника, когда он уже находится в сети. Традиционных систем обнаружения, таких как системы обнаружения вторжений (IDS), может быть недостаточ- но для оповещения о подозрительных действиях, особенно при шифровании трафика. Многие специалисты уже отмечали, что между проникновением и обнаружением может пройти до 229 дней (15). Сокращение этого разрыва, безусловно, является одной из важнейших задач для специалистов в области кибербезопасности.
Программы-вымогатели – это новые и растущие угрозы, которые создают совершенно новый уровень проблем для организаций и специалистов по ки- бербезопасности.Вмае2017г.мирбылпотрясенкрупнейшейвисторииатакой сиспользованиемпрограммы-вымогателяподназваниемWannacry.Вирусэкс- плуатировал известную уязвимость в Windows, SMBv1, исправление для кото- рой было выпущено в марте 2017 г.(за 59днейдо атаки) в бюллетене MS17-010 (16). Злоумышленники использовали эксплойт EternalBlue, выпущенный в ап реле 2017 г.хакерской группой Shadow Brokers.Согласно MalwareTech (18),этот вымогатель заразил свыше 400 000 компьютеров по всему миру. Это гигант- ская цифра,которой никогда не наблюдалось в подобных атаках.Один из уро- ков,извлеченныхвходеэтойатаки,заключалсявтом,чтокомпаниямповсему миру по-прежнему не удается внедрить эффективную программу управления уязвимостями, о чем мы более подробно расскажем в главе 15 «Управление уязвимостями».
Очень важно отметить, что фишинговые письма по-прежнему являются средством доставки номер один для программ-вымогателей, а это означает, что мы снова возвращаемся к тому же циклу обучения пользователя, чтобы снизить вероятность успешной эксплуатации человеческого фактора с по мощью социальной инженерии и иметь жесткие технические средства конт роля безопасности для защиты от угроз и их обнаружения.
Изменение ландшафта угроз
В 2016 г. также получила широкую известность новая волна атак, когда ком- пания «CrowdStrike» сообщила, что идентифицировала двух отдельных про- тивников, связанных с российской разведкой, присутствующих в сети Демо-
кратического национального комитета США (DNC) (19). Согласно отчету,
компания обнаружила доказательства того, что в сети DNC были две русские хакерские группы: Cozy Bear (также классифицированная как APT29) и Fancy Bear (APT28).Cozy Bear не был новым субъектом в этомтипе атаки,т.к.доказа- тельства показали,что в 2015 г.(20) они стояли за атакой на систему электрон- ной почты Пентагона посредством фишинговых атак.
Этот тип сценария называется кибератаками, спонсируемыми правитель- ством, но некоторые специалисты предпочитают изъясняться более общими терминами и называют их данными, используемыми в качестве оружия, по-
скольку их цель состоит в том, чтобы украсть информацию, которая может
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
26 Стратегия безопасности |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
быть использована против скомпрометированной стороны. Частный сектор |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
не должен игнорировать эти признаки.
Внастоящеевремянепрерывныймониторингбезопасностидолженисполь- зовать как минимум три метода, показанных на рис. 1.4.
Традиционные системы оповещения
|
Поведенческий анализ |
Непрерывный |
|
мониторинг |
|
безопасности |
Машинное обучение |
|
Рис.1.4
Это только одна из причин, по которой организации начинают вкладывать больше средств в анализ угроз, машинное обучение и аналитику для защиты своихресурсов.Мырассмотримэтоболееподробновглаве12«Киберразведка».
Улучшение стратегии безопасности
Если вы внимательно прочитаете всю эту главу, то совершенно четко пойме- те, что нельзя использовать старый подход к безопасности в противостоянии сегодняшним вызовам и угрозам. По этой причине важно убедиться, что ваша система безопасности готова справиться с этими проблемами. Для этого вы должны укрепить текущую систему защиты на разных устройствах независи- мо от форм-фактора.
Также важно, чтобы IT-отделы и службы безопасности могли быстро иден- тифицироватьатаку,улучшивсистемуобнаружения.Ипоследнее,нонеменее важное: необходимо сократить время между заражением и сдерживанием, быстро реагируя на атаку путем повышения эффективности процесса реаги- рования.
Исходя из этого,можно с уверенностью сказать,что стратегия безопасности состоит из трех основных столпов, как показано на рис. 1.5.
Эти столпы нужно укреплять, и если в прошлом большая часть бюджета на- правлялась на защиту, то теперь существует еще большая необходимость рас- пределять эти инвестиции и объем работпо другим областям.Эти инвестиции не относятся исключительно ктехническому контролю безопасности,онитак-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Красная и Синяя команды 27to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
же должны осуществляться в других сферах бизнеса,включая административ- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
ный контроль.
СТРАТЕГИЯ БЕЗОПАСНОСТИ
Защита Обнаружение Реагирование
Рис.1.5
Рекомендуется выполнить самопроверку,чтобы определить пробелы в каж- дом столпе с инструментальной точки зрения. Многие компании развивались с течением времени и никогда не обновляли свои средства безопасности, что- бы приспособиться к новой среде угроз и тому,как злоумышленники эксплуа тируют уязвимости.
Компания, где большое внимание уделяется вопросам безопасности, не должна быть частью ранее упомянутой статистики (229 дней между проник- новением и обнаружением).Этот разрыв должен быть резко сокращен,а ответ должен быть немедленным. Чтобы достичь этого, нужно разработать процесс реагирования на инциденты с использованием передовых и современных ин- струментальных средств, которые могут помочь инженерам по безопасности исследовать связанные с безопасностью проблемы. В главе 2 «Процесс реа- гирования на компьютерные инциденты» будет более подробно рассказано о реагировании на компьютерные инциденты, а глава 13 «Расследование ин- цидента» расскажет о тематических исследованиях, связанных с текущими расследованиями в области безопасности.
Красная и Синяя команды
Понятие «Красная/Синяя команда» (Red/Blue Team) не является чем-то новым. Первоначальная концепция была введена во время Первой мировой войны и, как и многие термины, используемые в информационной безопасности, по- явилась в армии. Общая идея заключалась в том, чтобы продемонстрировать эффективность нападения посредством симуляции.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
28 Стратегия безопасности |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Например, в 1932 г. контр-адмирал Гарри Э. Ярнелл продемонстрировал |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
эффективность нападения на Перл-Харбор. Девять лет спустя, когда японцы напали на Перл-Харбор, можно было сравнить оба нападения и увидеть, на- сколько похожая тактика использовалась (22).
Эффективностьсимуляций,основанныхнареальнойтактике,котораяможет быть использована противником, хорошо известна и применяется в армии. Университетиностранных военных и культурных исследований проводитспе- циализированные курсы только для подготовки участников и руководителей Красной команды (23). Хотя концепция чтения электронных сообщений в ар- мии шире, интеллектуальная поддержка посредством эмуляции угроз похожа на то, что пытается сделать Красная команда. Программа учений и оценки национальной безопасности (HSEEP) (24)также используетКрасные коман- ды во время упражнений по предотвращению, чтобы отслеживать, как дви- жутся противники,и создавать контрмеры на основе результатов этих учений.
Вобластикибербезопасностипринятиеподхода«Краснаякоманда»такжепо- могло организациям обеспечитьбезопасностьсвоих ресурсов.Красная команда должна состоять из высококвалифицированных специалистов с разными набо- рами навыков,причем они должны быть полностью осведомлены о существую- щем ландшафте угроз для отрасли организации. Команда должна быть в курсе тенденций, а также ей необходимо понимать, как происходят текущие атаки. В некоторых обстоятельствах и в зависимости от требований организации чле- ны Красной команды должны обладать навыками кодирования, чтобы создать свой собственный эксплойт и настроить его для более эффективной эксплуата- ции соответствующих уязвимостей,которые могут затронуть организацию.
Основной рабочий процесс Красной команды осуществляется с использова- нием подхода, показанного на рис. 1.6.
Красная команда осуществит атаку и проникнет в среду, пытаясь прорвать текущие средства контроля безопасности, известные как тестирование про- никновения. Цель миссии – найти уязвимости и эксплуатировать их для по- лучения доступа к ресурсам компании. Фаза атаки и проникновения обычно следует подходу корпорации «Lockheed Martin», опубликованному в докла-
де Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (25). Мы обсудим kill chain более подробно в главе 3 «Жизненный цикл атаки».
Красная команда также несет ответственность за регистрацию своих основ- ныхпоказателей,которыеоченьважныдлябизнеса.Основныепоказателивы- глядяттак:
среднее время компрометации (отсчет начинается с минуты, когда Краснаякоманданачалаатаку,дотогомомента,когдаонасмоглауспеш- но скомпрометировать объект);
среднее время повышения привилегий (начинается в той же точке,
что и предыдущий показатель,но идетдо момента полной компромета- ции,иименновэтотмоментКраснаякомандаполучаетадминистратив- ные привилегии для цели).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Красная команда
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Красная и Синяя команды 29to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Атака и проникновение
Контроль безопасности
Ресурсы
Рис.1.6
До сих пор мы обсуждали возможности Красной команды, но упражнение считается выполненным не до конца без встречного партнера, Синей коман- ды.Синейкоманденеобходимообеспечитьбезопасностьресурсов,ивтомслу- чае, если Красная команда обнаружит уязвимость и будет ее эксплуатировать, ей нужно быстро исправить сей факт и задокументировать как часть выводов.
Ниже приведены примеры задач,выполняемых Синей командой,когда зло- умышленник (в данном случае Красная команда) может скомпрометировать систему:
сохранение улик (обязательно сохраняйте свидетельства этих инци- дентов, чтобы у вас была реальная информация для анализа, рациона- лизации и принятия мер по нейтрализации угроз в будущем);
проверка улик (не каждое отдельное оповещение, или в данном слу- чае улика,приведетвас кдействительной попытке взломатьсистему.Но если это произойдет, необходимо каталогизировать это как индикатор компрометации);
привлекайте тех, кого необходимо (на данном этапе Синяя команда должна знать, что делать с этим индикатором и какая команда долж- на быть в курсе этой компрометации. Привлеките все соответствующие команды,которые могут варьироваться в зависимости от организации);сортировка по инциденту (иногда Синей команде можетпотребовать- ся содействие правоохранительных органов или ордер для проведения дальнейшего расследования, правильная сортировка поможет в этом
процессе);охват нарушения (на данный момент у Синей команды достаточно ин-
формации, чтобы охватить нарушение);