Актуальность кибергуроз


В последнее время участились случаи т.н. целенаправленных хакерских атак (APT), основной целью которых являются финансовый, промышленный и государственный сектор. Такие атаки характеризуются своей молниеносностью (от нескольких минут до нескольких часов) и высоким профессионализмом нападающих.

Зачастую ИБ-специалисты, сталкиваясь с несколькими попытками вторжений (в том числе и с отвлекающими), не успевают вовремя отреагировать на реальную атаку. Более того, большинство подобных попыток вторжений оказываются выявленными уже постфактум – после утечки критичных данных. Уровень осведомленности сотрудников ИБ-подразделений о современных угрозах обычно не ставится под сомнение, но, тем не менее, количество атак и их масштабность растет год от года. Даже такие крупные вендоры ИБ, как «Лаборатория Касперского», подвергаются подобным атакам:
Ранней весной 2015 года «Лаборатория Касперского» зафиксировала кибервторжение в свою корпоративную сеть. В ходе последовавшего за этим расследования была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа – Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.
Как защитить ИТ-инфраструктуру компании перед лицом киберугроз?

Три фактора готовности


Важно определить три фактора готовности отдела информационной безопасности, позволяющих бороться с APT:
  • уровень знаний современных угроз;
  • умение думать как злоумышленник и предугадывать его действия;
  • навыки обеспечения безопасности инфраструктуры и минимизации рисков.

В программе профессиональной подготовки «Корпоративные лаборатории PENTESTIT» основной упор сделан именно на практику в реализации современных сценариях атаки и выработку адекватных защитных мер, в том числе при защите от инсайдерских атак — попытки сотрудником компании изнутри атаковать корпоративную сеть, хорошо защищенную снаружи.

Разведка и сбор информации


Первым этапом APT-атак является сбор информации об атакуемой системе. Такие действия включают в себя:
  • Разведку и сбор информации;
  • Сканирование сетевого периметра;
  • Поиск и эксплуатацию ошибок конфигурации.

(Не)безопасность веб-сайтов


Одной из самых популярных «точек входа» в корпоративную сеть является веб-сайт компании. Каждый пятый сайт содержит критичные уязвимости, позволяющие злоумышленнику произвести его компрометацию. К таким уязвимостям, в первую очередь, относят:
  • SQL-инъекции;
  • RCE (удаленное исполнение кода);
  • XSS;
  • RFI/LFI;
  • Race-condition.

(Не)безопасность внутреннего периметра


Зачастую внутреннему периметру компании не уделяется должного внимания. Попадая тем или иным способов во внутрь корпоративной сети, злоумышленник с большей долей вероятности становится ее полноправным хозяином, используя техники:
  • повышения привилегий (эксплоиты, SUID и т.д.);
  • сбора учётных данных и закрепления в системе;
  • сокрытия следов.

Расследование киберпреступлений и сбор доказательной базы


Помимо предотвращения атак, явным преимуществом для специалистов ИБ будет являться практический опыт:
  • реконструкции действий злоумышленника;
  • сбора доказательной базы, в том числе сбор данных для передачи в правоохранительные органы;
  • снятия дампа оперативной памяти и анализа с использованием специализированных утилит;
  • анализа файловых систем;
  • определения возможных последствий и оценка ущерба.

Корпоративные лаборатории PENTESTIT


Широкое распространением методов, техник и инструментов работы злоумышленников, многочисленные «громкие» уязвимости, обнаруженные в недавнем времени, а также постоянные утечки данных и взломы крупных компаний говорит о фактической их незащищенности перед угрозами информационной безопасности. Профессиональная подготовка отдела ИБ является ключевым фактором при решении подобных проблем. В чем особенность программ обучения «Корпоративные лаборатории»?

Уникальность «Корпоративных лабораторий» заключается в симбиозе формата обучения (полностью дистанционное, не требующее отрыва от работы и учебы), качества материала и специализированных ресурсов, на которых производится обучение. Помимо сильнейшей практической подготовки, «Корпоративные лаборатории» включают интересные курсы-вебинары, по уровню сравнимые с материалом профессиональных конференций по практической безопасности.

Актуальность материала


Одной из отличительных особенностей «Корпоративных лабораторий» является актуальность материала. Отсутствие длительного процесса согласования программы обучения с различными инстанциями позволяет нам с каждым набором (раз в 1,5 месяца) производить актуализацию курса.

В «Корпоративных лабораториях» мы стараемся оценить и объективно проанализировать последние «громкие» уязвимости и атаки: прошлогодние Heartbleed и POODLE, недавние атаки на Hackerteam и вымогательство в одном из российских банков:
Злоумышленники потребовали выкуп в размере 29 млн руб., в противном случае они опубликуют похищенную клиентскую информацию.

Как сообщает издание «Фонтанка», Банк «Санкт-Петербург» стал жертвой хакеров. Крупнейшая атака за всю историю петербургских финансовых организаций началась еще в апреле нынешнего года. Злоумышленники похитили конфиденциальную информацию клиентов компании и потребовали от ее руководства выплатить 29 млн руб., в противном случае клиентские данные будут опубликованы в общественном доступе.

По словам сотрудников банка, им удалось вовремя обнаружить «нетипичную для клиентов» активность в информационной базе. Изучив ситуацию, эксперты финорганизации пришли к выводу, что получаемая злоумышленниками информация не является критической и не может использоваться с целью мошенничества. В связи с этим было принято решение не блокировать хакерам доступ к ней, а дать время правоохранительным органам собрать достаточно улик для того, чтобы найти преступников. В течение двух недель хакерам «было разрешено» похитить несколько тысяч реквизитов, непригодных для осуществления операций от имени клиентов.

Более подробно ознакомиться с «Корпоративными лабораториями».

Помимо основной, платной программы, мы приглашаем экспертов из ИТ и ИБ областей, которые делятся своим опытом, а также рассказывают о лучших практиках:

«Чтобы защититься от хакеров, нужно уметь думать и действовать, как хакер. Иначе невозможно понять, что является уязвимостью, которая сможет помочь злоумышленнику преодолеть ваши системы защиты, а что — нет»

Комментарии (6)


  1. gezakht
    29.07.2015 17:08
    +3

    А что за лаборатории, в которых проходит практика?


    1. rodionovs Автор
      29.07.2015 17:14
      +4

      Лаборатории (т.е. практическая часть обучения) реализована на базе корпоративных сетей реальных компаний. Обнаруженные коллегами из отдела анализа защищенности уязвимости переносятся в лабораторию в «обезличенном виде». Это придает лабораториям реалистичность.


  1. BlackTears
    29.07.2015 17:31
    +3

    Этот курс только для безопасников? Админам стоит обучаться?


    1. rodionovs Автор
      29.07.2015 18:26
      +3

      Да, ИТ-инфраструктура должна быть не только стабильной в работе, но и защищенной от внешних и внутренних угроз. Конечно, программа обучения будет крайне полезна системным администраторам.


  1. Ramen
    30.07.2015 11:39

    В связи с этим было принято решение не блокировать хакерам доступ к ней, а дать время правоохранительным органам собрать достаточно улик для того, чтобы найти преступников.



    1. rodionovs Автор
      30.07.2015 11:44
      +3

      Да, действительно, вопрос информационной безопасности (пусть и не в самом правдоподобном виде) сейчас активно поднимается на телевидение (к примеру, во многих современных фильмах) и прочих СМИ — это тоже, своего рода, маячок.