2. О ЧЕМ ПОЙДЕТ РЕЧЬ
• Интернет-магазин. Вредный инсайд
• APT: случай из жизни банка
• «Полезное» ПО, в чем подвох?
• Инцидент в АСУ ТП и его последствия
• Банковские системы – защищаем кредитный конвеер
3. • Сетевые коммуникации:
Сетевой профиль исходящей активности
Подключение администраторов с неразрешенных ip
• Контроль приложения:
Контроль бизнес-процесса жизненного цикла заявки
Эксплуатация уязвимостей
• Контроль БД:
Нелегитимные подключения к БД
Неправильный механизм запроса
Изменение структуры таблиц
Интернет-магазин. Профиль JSOC
4. Интернет-магазин. Вредный инсайд
• Скомпрометированные заказы отсутствовали
в БД
• Профиль сетевой активности выявил
исходящие подключения с одной НОДы
• Сопоставление слепков сайта выявило два
JavaScript, выборочно перехватывающих
заказы (~10%)
6. APT: как все было?
1
2
3
4
1. Инициация подключения в
облачный хостинг LeaseWeb.
Локальная аутентификация
2. Подключение на терминальный
сервер под УЗ Администратора
процессинга
3. Подключение к БД банковских систем
под технологической УЗ
4. Вывод денежных средств
БД процессинга
7. APT: точки контроля
1. Изменение веток реестра и файлов system32
2. Профилировании легитимного ПО
3. Callback вируса по фидам партнеров
4. Аутентификация под разными УЗ. Локально и на терминальном сервере
5. Сетевой профиль – аномалия
6. Подключение к БД в нерабочее время и изменение ключевых таблиц
8. • 68 базовых сценариев выявления аномалии
• 10+ custom сценариев (специфичных для
инфраструктуры)
• Статистика срабатывания на Carbanak*:
• 93 – полный цикл эмуляции
• 15-20 – боевые расследования
• *http://habrahabr.ru/company/group-ib/blog/250627/
APT: точки контроля
10. «Комплект поставки» IOBIT
+ Средство удаленного
администрирования, работающее в
фоновом режиме
+ Zero-day вирус, типа
HiddenObject.Multi.Generic
+ Монетизатор трафика – bot-net клиент
11. Инцидент в АСУ ТП и его последствия
Особенности
1. Изолированный сегмент
2. Высокая критичность – значительный
экономический ущерб
Что было?
1. Подключение на рабочую станцию извне
2. Переход на терминальный сервер по RDP
3. Подключение к рабочей станции в
технологическом сегменте
Последствия
1. Заражение вирусами
2. Проникновение злоумышленников
3. Простой производства и аварии
12. Банковские системы – Спецусловия по кредиту
• Быстрый кредит на специальных условиях
• -2 % по программе «Кредит Доверия»
• Согласование – однозвенное, руководителем подразделения
• Возможность монетизации при получении доступа к согласованию
13. Банковские системы – защищаем кредитный
конвеер
Контроль изменений ключевых полей
кредитных договоров
Профилирование активностей сотрудников
и выявление аномалий
Контроль обращений к БД учетной
финансовой системы
14. ОСНОВНЫЕ ШАГИ ПО
РЕАЛИЗАЦИИ
1. Определение систем зоны риска:
• Возможность финансовых операций
• Чувствительные к публикации данные
• Интересны для конкурентов
2. Выделение критичных сотрудников:
– ИТ и ИБ - администраторы
– VIP-пользователи и их секретари
– Узел связи, расчетный центр и т.д.
– Help desk и Call-center
– С прямым доступом в Интернет
3. Приоритезация срабатываний:
– Частотность (массовый инцидент)
– Системы зоны риска
– Критичные пользователи