Зачастую ИБ-специалисты, сталкиваясь с несколькими попытками вторжений (в том числе и с отвлекающими), не успевают вовремя отреагировать на реальную атаку. Более того, большинство подобных попыток вторжений оказываются выявленными уже постфактум – после утечки критичных данных. Уровень осведомленности сотрудников ИБ-подразделений о современных угрозах обычно не ставится под сомнение, но, тем не менее, количество атак и их масштабность растет год от года. Даже такие крупные вендоры ИБ, как «Лаборатория Касперского», подвергаются подобным атакам:
Ранней весной 2015 года «Лаборатория Касперского» зафиксировала кибервторжение в свою корпоративную сеть. В ходе последовавшего за этим расследования была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа – Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.Как защитить ИТ-инфраструктуру компании перед лицом киберугроз?
Три фактора готовности
Важно определить три фактора готовности отдела информационной безопасности, позволяющих бороться с APT:
уровень знаний современных угроз; умение думать как злоумышленник и предугадывать его действия; навыки обеспечения безопасности инфраструктуры и минимизации рисков.
В программе профессиональной подготовки основной упор сделан именно на практику в реализации современных сценариях атаки и выработку адекватных защитных мер, в том числе при защите от инсайдерских атак — попытки сотрудником компании изнутри атаковать корпоративную сеть, хорошо защищенную снаружи.
Разведка и сбор информации
Первым этапом APT-атак является сбор информации об атакуемой системе. Такие действия включают в себя:
Разведку и сбор информации; Сканирование сетевого периметра; Поиск и эксплуатацию ошибок конфигурации.
(Не)безопасность веб-сайтов
Одной из самых популярных «точек входа» в корпоративную сеть является веб-сайт компании. Каждый пятый сайт содержит критичные уязвимости, позволяющие злоумышленнику произвести его компрометацию. К таким уязвимостям, в первую очередь, относят:
SQL-инъекции; RCE (удаленное исполнение кода); XSS; RFI/LFI; Race-condition.
(Не)безопасность внутреннего периметра
Зачастую внутреннему периметру компании не уделяется должного внимания. Попадая тем или иным способов во внутрь корпоративной сети, злоумышленник с большей долей вероятности становится ее полноправным хозяином, используя техники:
повышения привилегий (эксплоиты, SUID и т.д.); сбора учётных данных и закрепления в системе; сокрытия следов.
Расследование киберпреступлений и сбор доказательной базы
Помимо предотвращения атак, явным преимуществом для специалистов ИБ будет являться практический опыт:
реконструкции действий злоумышленника; сбора доказательной базы, в том числе сбор данных для передачи в правоохранительные органы; снятия дампа оперативной памяти и анализа с использованием специализированных утилит; анализа файловых систем; определения возможных последствий и оценка ущерба.
Корпоративные лаборатории PENTESTIT
Широкое распространением методов, техник и инструментов работы злоумышленников, многочисленные «громкие» уязвимости, обнаруженные в недавнем времени, а также постоянные утечки данных и взломы крупных компаний говорит о фактической их незащищенности перед угрозами информационной безопасности. Профессиональная подготовка отдела ИБ является ключевым фактором при решении подобных проблем. В чем особенность программ обучения «Корпоративные лаборатории»?
Уникальность «Корпоративных лабораторий» заключается в симбиозе формата обучения (полностью дистанционное, не требующее отрыва от работы и учебы), качества материала и специализированных ресурсов, на которых производится обучение. Помимо сильнейшей практической подготовки, «Корпоративные лаборатории» включают интересные курсы-вебинары, по уровню сравнимые с материалом профессиональных конференций по практической безопасности.
Актуальность материала
Одной из отличительных особенностей «Корпоративных лабораторий» является актуальность материала. Отсутствие длительного процесса согласования программы обучения с различными инстанциями позволяет нам с каждым набором (раз в 1,5 месяца) производить актуализацию курса.
В «Корпоративных лабораториях» мы стараемся оценить и объективно проанализировать последние «громкие» уязвимости и атаки: прошлогодние Heartbleed и POODLE, недавние атаки на Hackerteam и вымогательство в одном из российских банков:
Злоумышленники потребовали выкуп в размере 29 млн руб., в противном случае они опубликуют похищенную клиентскую информацию.
Как сообщает издание «Фонтанка», Банк «Санкт-Петербург» стал жертвой хакеров. Крупнейшая атака за всю историю петербургских финансовых организаций началась еще в апреле нынешнего года. Злоумышленники похитили конфиденциальную информацию клиентов компании и потребовали от ее руководства выплатить 29 млн руб., в противном случае клиентские данные будут опубликованы в общественном доступе.
По словам сотрудников банка, им удалось вовремя обнаружить «нетипичную для клиентов» активность в информационной базе. Изучив ситуацию, эксперты финорганизации пришли к выводу, что получаемая злоумышленниками информация не является критической и не может использоваться с целью мошенничества. В связи с этим было принято решение не блокировать хакерам доступ к ней, а дать время правоохранительным органам собрать достаточно улик для того, чтобы найти преступников. В течение двух недель хакерам «было разрешено» похитить несколько тысяч реквизитов, непригодных для осуществления операций от имени клиентов.
Более подробно ознакомиться с .
Помимо основной, платной программы, мы приглашаем экспертов из ИТ и ИБ областей, которые делятся своим опытом, а также рассказывают о лучших практиках:
«Арес», ; Григорий Земсков, ; Сергей «Rebz», , ; Максим Лагутин, ; Олег Михальский, ; Олег Бондаренко, ; Иван Новиков, .
«Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы защиты, а что — нет»