- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
232 Активные сенсоры |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Справочные материалы |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
1.Правила Snort. https://www.snort.org/rules_explanation.
2.Введение в индикаторы компрометации. http://openioc.org/resources/An_Introduction_to_OpenIOC.pdf.
3.IoC Editor. https://www.fireeye.com/content/dam/fireeye-www/services/freeware/ sdl-ioc-editor.zip.
4.DUQU использует STUXNET-подобные методы для кражи информации. https://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/90/duqu- uses-stuxnetlike-techniques-to-conduct-information-theft.
5.Как выбрать систему предотвращения вторжений.https://www.icsalabs.com/ sites/default/files/HowToSelectANetworkIPS.pdf.
6.Как распознать нарушения безопасности на раннем этапе, анализируя по-
ведение. https://www.gartner.com/smarterwithgartner/detect-security-breaches- early-by-analyzing-behavior/.
7.Advanced Threat Analytics attack simulation playbook. https://gallery.technet. microsoft.com/ATA-Playbook-ef0a8e38.
8.Вы и IaaS – Истории успеха первых последователей. https://www.oracle.com/ assets/pulse-survey-mini-report-3764078.pdf.
Резюме
Вэтойглавевыузналиоразличныхтипахмеханизмовобнаруженияипреиму- ществахихиспользованиядляулучшениявашейстратегиизащиты.Выузнали
опризнакахкомпрометациииотом,какзапрашиватьтекущиеугрозы.Вытак- жеузналиоСОВ,принципахееработы,различныхтипахэтойсистемыиотом, где лучше всего установить ее, основываясь на вашей сети. Далее вы узнали
опреимуществах использования СПВ и о том, как работает обнаружение на основе правил и аномалий. Стратегия защиты была бы не полной без хоро- шейповеденческойаналитики,ивэтомразделевыузнали,какСиняякоманда может использовать эту возможность. В качестве локального примера данной реализации мы использовали Microsoft ATA, а Центр безопасности Azure был использован в качестве гибридного решения для поведенческого анализа.
Вследующей главе мы продолжим говорить о стратегиях защиты. На этот раз вы подробнее узнаете о киберразведке и о том, как Синяя команда может
использовать ее для повышения общей безопасности систем защиты.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 12 |
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Киберразведка
К настоящему времени вы прошли различные этапы на пути к более совер- шенной модели защиты. В предыдущей главе вы узнали о важности хоро- шей системы обнаружения, и теперь пришло время перейти на следующий уровень. Использование киберразведки для лучшего понимания противника и получения информации о текущих угрозах является ценным инструментом для Синей команды. Хотя киберразведка – относительно новая область, ее ис- пользованиедля изучениядействий противника является старой концепцией. Привнесение киберразведки в область кибербезопасности было естественным переходом, главным образом потому, что в настоящее время масштабы угроз велики,а противники могутбытьсамыми разными: отспонсируемых государ- ством субъектов до киберпреступников, вымогающих деньги у своих жертв.
В этой главе мы рассмотрим следующие темы:введение в киберразведку;
инструментальные средства киберразведки с открытым исходным ко- дом;
средства киберразведки компании Microsoft;
использование киберразведки для расследования подозрительной дея- тельности.
Введение в киберразведку
В предыдущей главе было ясно, что наличие надежной системы обнаружения крайне важно для обеспечения безопасности вашей организации. Однако эту систему можно улучшить, если уменьшить количество ложных срабатываний и помех. Одна из основных проблем, с которыми вы сталкиваетесь, при нали- чии большого количества предупреждений и файлов журналов для просмотра, состоитвтом,чтовывыбираетеслучайныеприоритеты,авнекоторыхслучаях даже игнорируете будущие предупреждения, потому что считаете, что их не стоит рассматривать.
Согласно отчету компании Microsoft Lean on the Machine, среднестатистиче- ской крупной организации приходится просматривать 17 000 предупрежде-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
234 |
Киберразведка |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
ний о вредоносных программах каждую неделю,а в среднемтребуется 99дней |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
на обнаружение нарушения безопасности. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Сортировка оповещений обычно происходит на уровне центра управле- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
ния сетью,и задержки при сортировке могутпривести к эффекту домино,по- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
тому что если на этом уровне происходит сбой, операция также завершится |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
неудачей, и в этом случае она будет выполняться группой реагирования на |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
компьютерные инциденты. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Давайте сделаем шаг назад и подумаем об угрозе за пределами киберпро- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
странства. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Как, по вашему мнению, Министерство внутренней безопасности США со- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
вершенствует процесс борьбы с угрозами безопасности границ? |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
У него есть Управление разведки и анализа, которое использует развед- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
данные для укрепления безопасности границ. Это достигается за счет обмена |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
информацией между различными учреждениями и предоставления прогноз- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ных сведенийлицам,принимающим решения на всех уровнях.Теперьисполь- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
зуйте то же самое объяснение по отношению к киберразведке, и вы поймете, |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
насколько она эффективна и важна. Это показывает, что вы можете улучшить |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
процесс обнаружения,узнав больше о своих противниках,их мотивации и ме- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
тодах, которые они используют. Использование киберразведки в отношении |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
собираемых вами данных может принести более значимые результаты и вы- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
явить действия, которые невозможно обнаружить с помощью традиционных |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
сенсоров. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Важно отметить, что профиль злоумышленника будет напрямую связан |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
с его мотивацией. Вот несколько примеров: |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
киберпреступник – основной мотивацией является получение финан- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
совых результатов; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
хактивист–у этой группы более широкий спектр мотивации (он может |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
варьироваться от выражения политических пристрастий до выражения |
|
|
|
|
|
|
|
по какой-либо конкретной причине);
кибершпионаж (поддерживаемый на государственном уровне) –
хотя вы и можете сталкиваться с кибершпионажем, не имеющим госу- дарственной поддержки (обычно в частном секторе),число таких случа- еврастет,потомучтоониявляютсячастьюболеекрупныхспонсируемых государством кампаний.
Теперь возникает вопрос: какой профиль атаки наиболее вероятен для ва- шей организации? Бывает по-разному. Если ваша организация спонсирует определенную политическую партию, а эта партия делает что-то, против чего категорически выступает хактивистская группа, вы можете стать мишенью. Если вы идентифицируете себя как мишень для атаки, возникает следующий вопрос: какие имеющиеся у меня ресурсы с наибольшей долей вероятности привлекают эту группу? Опять же по-разному. Если вы являетесь финансовой группой, киберпреступники будут вашей главной угрозой. Обычно им нужна информация о кредитных картах, финансовые данные и т.д.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
|
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
Введение в киберразведку 235to |
BUY |
|
|
||||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
w Click |
|
|
|
|
|
|
|
|
m |
|
|
|
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Еще одним преимуществом использования киберразведки как части вашей |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
системызащитыявляетсявозможностьизученияданныхоконкретныхкатего- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
рияхпротивников.Например,есливыотвечаетезазащитуфинансовогоучреж- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
дения, вам нужно получить информацию об угрозах, исходящих от злоумыш- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
ленников, которые активно атакуют эту отрасль. Если вы начинаете получать |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
предупреждения, связанные с атаками, которые происходят в учебных заведе- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
ниях, это не особо помогает. Знание типа ресурсов, которые вы пытаетесь за- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
щитить,можеттакжепомочьсузитькругсубъектов угроз,окоторыхвыдолжны |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
больше беспокоиться,а киберразведка можетдать вам эту информацию |
. |
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
Давайте используем в качестве примера программу-вымогатель WannaCry. |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
Ее массовое распространение произошло в пятницу 12 мая 2017 г. В то время |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
единственным доступным индикатором компрометации были хеши и имена |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
файлов образца вируса. Тем не менее еще до момента появления WannaCry |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
уже был доступен эксплойт EternalBlue, а, как вы знаете, WannaCry использо- |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
вал этот эксплойт. EternalBlue эксплуатировал уязвимости в протоколе Server |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
MessageBlock(SMB)v1(CVE-2017-0143)компании«Microsoft».Microsoftвыпус |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
тила исправление для этой уязвимости 14 марта 2017 г. (почти за два месяца |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
до распространения WannaCry). Вы следите за ходом мысли? Что ж, давайте |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
контекстуализируем это на рис. 12.1. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
КИБЕРРАЗВЕДКА |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Март 2017 |
Май 2017 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Субъекты угрозы |
Выпущено |
Синяя команда получает |
Массовое |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
обновление |
информацию об опасности |
распространение |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
MS17-010 |
Eternal Blue и важности патча |
WannaCry |
|
|
|
|
|
|
|
|
|
|
|
|
Синяя команда
Эксплойт
External Blue
Противники и мотивация
Рис.12.1
Обратите внимание, что киберразведка получает соответствующую ин- формацию об этой угрозе на ранних стадиях, даже когда эксплойт EternalBlue (первоначально обнаруженныйАНБ) просочился в сеть (апрель 2017 г.) «благо- даря» хакерской группе, называющей себя The Shadow Brokers. Члены этой
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
236 Киберразведка |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
группы не были новичками, а это означает, что была информация, связанная |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
с работой,которую ониделали в прошлом,и их прежними мотивами.Примите все это во внимание,чтобы предсказать,каким будетследующеедвижение ва- шего противника. Располагая этой информацией и зная, как работает Eternal- Blue,теперь остается лишь ждать, пока поставщик (в данном случае Microsoft) выпустит исправление, что и произошло в марте 2017 г. На данный момент у Синей команды достаточно информации для определения важности этого патча для бизнеса, который они пытаются защитить.
Многие организации не до конца осознали влияние этой проблемы и вмес то исправлений просто отключили доступ по SMB-протоколу из интернета. Хотя это был приемлемый обходной путь, он не устранил основную причину проблемы. В результате в июне 2017 г. произошло массовое распространение ещеодноговируса-вымогателя.НаэтотразэтобылPetya.Этотвирусиспользо- вал EternalBlue для дальнейшего распространения по сети. Другими словами, скомпрометироваводинкомпьютервовнутреннейсети(видите,вашеправило брандмауэрабольшенеимеетзначения),онсобиралсяэксплуатироватьуязви- мостидругихсистем,гденебылоустановленоисправлениеMS17-010.Каквид- но,здесьсуществуетопределенный уровеньпредсказуемости,поскольку часть действий Petya была успешно реализована после использования эксплойта, подобного тому, что использовался предыдущей программой-вымогателем.
Выводизвсегоэтогопрост:знаясвоихпротивников,высможетепринимать болееэффективныерешениядлязащитысвоихресурсов.Приэтомтакжеспра- ведливо отметить, что нельзя рассматривать киберразведку как инструмент IT-безопасности, ведь она выходит за рамки этого. Вы должны рассматривать киберразведку как инструмент, который помогает принимать решения отно- сительно защиты организации, помогает менеджерам решать, как им следует инвестировать средства в безопасность, и помогает руководителям отдела ITбезопасности упорядочить ситуацию с высшим руководством. Информацию, которуювыполучаетевходекиберразведки,можноиспользоватьвразличных областях (рис. 12.2).
КИБЕРРАЗВЕДКА
Организация
ТЕХНИЧЕСКАЯ |
ТАКТИЧЕСКАЯ |
ОПЕРАТИВНАЯ |
СТРАТЕГИЧЕ- |
ОБЛАСТЬ |
ОБЛАСТЬ |
ОБЛАСТЬ |
СКАЯ ОБЛАСТЬ |
Рис.12.2