Уязвимости информационных · [email protected]. Title:...
Transcript of Уязвимости информационных · [email protected]. Title:...
![Page 1: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/1.jpg)
![Page 2: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/2.jpg)
Уязвимости информационных систем в 2013 г.
Как выглядит ваша сеть глазами злоумышленника?
Евгения Поцелуевская
![Page 3: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/3.jpg)
Аналитика Positive Technologies
― Статистика по результатам тестирований на проникновение за 2013 гг.
― Статистика по уязвимостям в веб-приложениях в 2013 г.
http://www.ptsecurity.ru/lab/analytics/
![Page 4: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/4.jpg)
Что такое тестирование на проникновение?
«Практическое тестирование эффективности защиты путем эмуляции действий реальных атакующих»
Глоссарий ISACA
![Page 5: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/5.jpg)
Что такое тестирование на проникновение?
«Практическое тестирование эффективности защиты путем эмуляции действий реальных атакующих» *
Глоссарий ISACA
* С учетом требований законодательства, требований по непрерывности бизнеса и в рамках установленных границ
![Page 6: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/6.jpg)
Тестирование на проникновение: исходные данные
![Page 7: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/7.jpg)
Внешний периметр
![Page 8: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/8.jpg)
Минимальный уровень привилегий нарушителя для преодоления периметра
![Page 9: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/9.jpg)
Сложность преодоления периметра
![Page 10: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/10.jpg)
Векторы преодоления периметра
![Page 11: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/11.jpg)
Уровень привилегий, полученных от лица внешнего нарушителя
![Page 12: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/12.jpg)
Самые распространенные уязвимости
![Page 13: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/13.jpg)
1-3 место – Словарные пароли
― Обнаружены в 82% систем на сетевом периметре
― Во всех этих случаях были обнаружены словарные пароли в веб-приложениях
― В 55% систем на сетевом периметре словарные пароли используются для привилегированных учетных записей
![Page 14: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/14.jpg)
1-3 место– Доступные интерфейсы управления и открытые протоколы передачи данных
![Page 15: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/15.jpg)
1-3 место– Доступные интерфейсы управления и открытые протоколы передачи данных
![Page 16: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/16.jpg)
1-3 место– Доступные интерфейсы управления и открытые протоколы передачи данных
![Page 17: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/17.jpg)
4 место – Устаревшие версии системного и прикладного ПО
No comment…
![Page 18: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/18.jpg)
5-6 места – Уязвимости веб-приложений
![Page 19: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/19.jpg)
Уязвимости веб-приложений
![Page 20: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/20.jpg)
Веб-приложения: исходные данные
![Page 21: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/21.jpg)
Веб-приложения: средства разработки
![Page 22: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/22.jpg)
Веб-приложения: веб-серверы
![Page 23: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/23.jpg)
Веб-приложения: доля уязвимых систем
![Page 24: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/24.jpg)
Веб-приложения: доля уязвимых систем
![Page 25: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/25.jpg)
Самые распространенные уязвимости
![Page 26: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/26.jpg)
Уязвимости для разных средств разработки
![Page 27: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/27.jpg)
Уязвимости для разных средств разработки
Среднее количество уязвимостей на одно приложение
![Page 28: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/28.jpg)
Уязвимости для разных средств разработки
![Page 29: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/29.jpg)
Уязвимости приложений для разных отраслей
![Page 30: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/30.jpg)
Сравнение методов тестирования
![Page 31: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/31.jpg)
Уязвимости внутренней сети
![Page 32: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/32.jpg)
Уровень привилегий, полученных от лица внутреннего нарушителя
![Page 33: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/33.jpg)
Сложность получения доступа к важным ресурсам
![Page 34: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/34.jpg)
Самые распространенные уязвимости
![Page 35: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/35.jpg)
1место – Словарные пароли
Словарные пароли администраторов
![Page 36: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/36.jpg)
1место – Словарные пароли
Пример:
При внутреннем пентесте успешно подобрано 2066 паролей из 4547 (почти половина!) в домене Active Directory, включая пароли доменных администраторов.
![Page 37: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/37.jpg)
2 место– Недостатки защиты протоколов, переводящие к перехвату и перенаправлению трафика
![Page 38: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/38.jpg)
3 место – Хранение важной информации в открытом виде
![Page 39: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/39.jpg)
Итого
![Page 40: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/40.jpg)
Минимальный уровень нарушителя для получения полного контроля над критическими ресурсами
![Page 41: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/41.jpg)
Минимальный уровень нарушителя для получения полного контроля над критическими ресурсами
![Page 42: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/42.jpg)
Уязвимые системы по максимальному уровню риска
Недостатки конфигурации Отсутствие обновлений
![Page 43: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/43.jpg)
Шаг 1. Уязвимостивеб-приложений + избыточные привилегии в ОС
Шаг 2. Недостатки конфигурирования сетевого оборудования, недостатки сегментации
Шаг 3. Прослушивание трафика, слабые пароли
Шаг 4. Хранение критических данных в открытом виде, недостатки антивирусной защиты, избыточные привилегии, недостаточная защита привилегированных учетных записей
Шаг 5. А с привилегиями, которые уже получили, дальше всё просто
Критические ресурсы
Типовой сценарий атаки
![Page 44: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/44.jpg)
Пример из жизни
![Page 45: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/45.jpg)
Немного об избыточных привилегиях
![Page 46: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/46.jpg)
Немного об избыточных привилегиях
![Page 47: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/47.jpg)
Или ещё проще
Критические ресурсы
![Page 48: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/48.jpg)
Оценка осведомленности пользователей в вопросах ИБ
![Page 49: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/49.jpg)
Оценка осведомленности пользователей в вопросах ИБ
![Page 50: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/50.jpg)
Positive Hack Days
![Page 51: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/51.jpg)
Спасибо за внимание!
Евгения Поцелуевская
CISA, CISSP
Руководитель аналитической группы
отдела анализа защищенности
![Page 52: Уязвимости информационных · epotseluevskaya@ptsecurity.ru. Title: Презентация PowerPoint Author: Evgeniya Potseluevskaya Created Date: 5/30/2014](https://reader036.fdocuments.us/reader036/viewer/2022081614/5fcedbe385490f38ec6174fd/html5/thumbnails/52.jpg)