SlideShare une entreprise Scribd logo

IDC security day 2016 Kiev

Vlad Styran
Vlad Styran

A few slides I've prepared for the panel discussion at IDC Security that I moderated. https://www.facebook.com/events/1708172062785597/permalink/1718415485094588/

Technologie
1  sur  11
IDC DAY KYIV SECURITY FORUM 2016 CRITICAL INFRASTRUCTURE CRITICAL CONSIDERATIONS Защита объектов критической инфраструктуры от современных кибер-атак Панельная дискуссия
Участники дискуссии • Алексей Томашук • Заместитель начальника службы ИТ по ИБ, Международный аэропорт «Борисполь» • Александр Карпенко • Заместитель начальника САТиОДП АУ НЭК «Укрэнерго» • Алексей Ясинский • Chief Information Security Officer, StarLight Media • Андрей Рыбальченко • Директор по исследованиям Киевского отделения ISACA • Алексей Мисик • Руководитель группы быстрого реагирования CERT-UA • Александр Иллюша • Руководитель службы технической поддержки ESET в Украине
Агенда 1. Какова сложность осуществленных атак? 2. Почему такие атаки оказались возможны? 3. Каковы их реальные последствия? 4. Как защитить объекты критической инфраструктуры? 5. Актуально ли государственное регулирование КИ в области ИБ? 6. Все, что вам хотелось узнать, но было не у кого спросить.
Хронология событий • 12 мая 2014 г. • BlackEnergy – атака на предприятия Укрзалізниці и… Прикарпаттяобленерго. Почтовая рассылка “Рекомендації з безпеки” якобы от Министерства промышленной политики. • 13 августа 2014 г. • BlackEnergy + 0-day в MS Office (CVE- 2014-4114) –атака на широкий спектр адресатов: органы государственной власти и другие учреждения в Украине. Предлог: письмо от Олега Тягнибока о причастности ряда депутатов к сотрудничеству с террористами. • Март 2015 г. • BlackEnergy – рассылка при помощи макроса в MS Excel медиа компаниям, государственным учреждениям и одному из западных облэнерго. • 25 октября 2015 г. • BlackEnergy – атака на СТБ и ТРК “Украина”. Уничтожение видеоматериалов, вывод из строя рабочих мест операторов эфира. • 23 декабря 2015 г. • BlackEnergy – атака на Прикарпаття- и Київ-обленерго (официально сообщили об атаке). Вывод из строя АСУТП электрических подстанций, обесточивание значительной территории на 3-8 часов. Существенный урон компьютерной технике жертв. • 16 января 2016 г. • Атака на АП Борисполь при помощи BlackEnergy. • 19-20 января 2016 г. • Атака на энергетические объекты при помощи Gcat. https://www.cys-centrum.com/ru/news/black_energy_2_3
Аттрибуция: кто виноват? • Sandworm Team – iSight Parners (основываясь на использовании CVE-2014-4114 0-day) • «Російські спецслужби» – Прес-центр СБУ • Моя версия…
Тактика современной кибер- атаки 1. Разведка (Intelligence Gathering) • Сбор информации из открытых источников (OSINT) • Общение с сотрудниками в свободной обстановке 2. Проработка предлога (Pretexting) • Коллега по работе • Клиент компании • Бизнес-партнер 3. Подготовка технических средств • Создание/клонирование веб-сайтов • Создание и отлаживание «полезного груза» (payload: Троянец, сборщик паролей, RAT) • Настройка и запуск сервера управления (С&C) 4. Выполнение атаки • Отправка зараженного email (Spear Phishing) • Передача ссылки на веб-сайт по почте или в мгновенном сообщении • Выманивание информации по телефону или при личном общении (Elicitation) • Физическая доставка: на CD, флешке, бумажном флаере или даже устно http://www.zdnet.com/article/it-security-and-risk-management-an-overview/
Анатомия атаки Sandworm vs укр. облэнерго https://habrahabr.ru/company/eset/blog/276325/
Анатомия атаки Sandworm vs укр. облэнерго Действия хакера 1. Проводит разведку: собирает адреса email, изучает корпоративный жаргон, ищет стили оформления переписки 2. Готовит предлог: письмо от Укрэнерго 3. Готовит полезный груз: бекдор BlackEnergy или GCat 4. Готовит сервер управления 5. Отправляет email жертвам https://www.virustotal.com/en/file/052ebc9a518e5ae02bbd1bd3a5a86c3560aefc9313c18d81f6670c3430f1d4d4/analysis/
Анатомия атаки Sandworm vs укр. облэнерго Действия жертвы 1. Получает эл. письмо вполне легитимного содержания 2. Запускает вложение, подчиняясь инструкции в письме 3. Одобряет выполнение макросов в Excel, получив этому логичное пояснение Почему это сработало? 1. Блестящая подготовка хакером предлога, текста письма и вложения 2. Доверие и подчинение авторитету регулятора отрасли со стороны жертвы («родители плохого не посоветуют») 3. Отвлечение внимания ИТ- подразделения: атака сопровождалась диверсией – телефоны облэнерго постоянно звонили
Анатомия атаки Sandworm vs укр. облэнерго Действия хакера 6. Получает удаленный доступ к компьютеру жертвы 7. Собирает информацию, повышает привилегии 8. Продолжает атаку по корпоративной сети, получает контроль над другими компьютерами 9. Наносит урон 10.Заметает следы http://news.finance.ua/ua/news/-/366136/hakery-atakuvaly-prykarpattyaoblenergo-znestrumyvshy-polovynu-regionu-na-6-godyn
Агенда 1. Какова сложность осуществленных атак? 2. Почему такие атаки оказались возможны? 3. Каковы их реальные последствия? 4. Как защитить объекты критической инфраструктуры? 5. Актуально ли государственное регулирование КИ в области ИБ? 6. Все, что вам хотелось узнать, но было не у кого спросить.

Recommandé

Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженераVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 

Recommandé

Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженераVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеровVlad Styran
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...UISGCON
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-ШміберVlad Styran
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...HackIT Ukraine
 
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...HackIT Ukraine
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Vlad Styran
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too lateVlad Styran
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...Vlad Styran
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security WebcastVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecurityVlad Styran
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunitiesVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckVlad Styran
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюVlad Styran
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themVlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Vlad Styran
 

Contenu connexe

En vedette

Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеровVlad Styran
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...UISGCON
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-ШміберVlad Styran
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...HackIT Ukraine
 
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...HackIT Ukraine
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 

En vedette (9)

Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеров
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buy
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-Шмібер
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle
 
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...
Алексей Барановский - Обучение специальности КиберБезопасность в Украине: про...
 
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
 
#root это только начало
#root это только начало#root это только начало
#root это только начало
 

Plus de Vlad Styran

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Vlad Styran
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too lateVlad Styran
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...Vlad Styran
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security WebcastVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecurityVlad Styran
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunitiesVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckVlad Styran
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюVlad Styran
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themVlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Vlad Styran
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 

Plus de Vlad Styran (14)

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too late
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security Webcast
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software Security
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunities
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't Suck
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностью
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from them
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 

Dernier

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 

Dernier (9)

Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 

IDC security day 2016 Kiev

  • 2. Участники дискуссии • Алексей Томашук • Заместитель начальника службы ИТ по ИБ, Международный аэропорт «Борисполь» • Александр Карпенко • Заместитель начальника САТиОДП АУ НЭК «Укрэнерго» • Алексей Ясинский • Chief Information Security Officer, StarLight Media • Андрей Рыбальченко • Директор по исследованиям Киевского отделения ISACA • Алексей Мисик • Руководитель группы быстрого реагирования CERT-UA • Александр Иллюша • Руководитель службы технической поддержки ESET в Украине
  • 3. Агенда 1. Какова сложность осуществленных атак? 2. Почему такие атаки оказались возможны? 3. Каковы их реальные последствия? 4. Как защитить объекты критической инфраструктуры? 5. Актуально ли государственное регулирование КИ в области ИБ? 6. Все, что вам хотелось узнать, но было не у кого спросить.
  • 4. Хронология событий • 12 мая 2014 г. • BlackEnergy – атака на предприятия Укрзалізниці и… Прикарпаттяобленерго. Почтовая рассылка “Рекомендації з безпеки” якобы от Министерства промышленной политики. • 13 августа 2014 г. • BlackEnergy + 0-day в MS Office (CVE- 2014-4114) –атака на широкий спектр адресатов: органы государственной власти и другие учреждения в Украине. Предлог: письмо от Олега Тягнибока о причастности ряда депутатов к сотрудничеству с террористами. • Март 2015 г. • BlackEnergy – рассылка при помощи макроса в MS Excel медиа компаниям, государственным учреждениям и одному из западных облэнерго. • 25 октября 2015 г. • BlackEnergy – атака на СТБ и ТРК “Украина”. Уничтожение видеоматериалов, вывод из строя рабочих мест операторов эфира. • 23 декабря 2015 г. • BlackEnergy – атака на Прикарпаття- и Київ-обленерго (официально сообщили об атаке). Вывод из строя АСУТП электрических подстанций, обесточивание значительной территории на 3-8 часов. Существенный урон компьютерной технике жертв. • 16 января 2016 г. • Атака на АП Борисполь при помощи BlackEnergy. • 19-20 января 2016 г. • Атака на энергетические объекты при помощи Gcat. https://www.cys-centrum.com/ru/news/black_energy_2_3
  • 5. Аттрибуция: кто виноват? • Sandworm Team – iSight Parners (основываясь на использовании CVE-2014-4114 0-day) • «Російські спецслужби» – Прес-центр СБУ • Моя версия…
  • 6. Тактика современной кибер- атаки 1. Разведка (Intelligence Gathering) • Сбор информации из открытых источников (OSINT) • Общение с сотрудниками в свободной обстановке 2. Проработка предлога (Pretexting) • Коллега по работе • Клиент компании • Бизнес-партнер 3. Подготовка технических средств • Создание/клонирование веб-сайтов • Создание и отлаживание «полезного груза» (payload: Троянец, сборщик паролей, RAT) • Настройка и запуск сервера управления (С&C) 4. Выполнение атаки • Отправка зараженного email (Spear Phishing) • Передача ссылки на веб-сайт по почте или в мгновенном сообщении • Выманивание информации по телефону или при личном общении (Elicitation) • Физическая доставка: на CD, флешке, бумажном флаере или даже устно http://www.zdnet.com/article/it-security-and-risk-management-an-overview/
  • 8. Анатомия атаки Sandworm vs укр. облэнерго Действия хакера 1. Проводит разведку: собирает адреса email, изучает корпоративный жаргон, ищет стили оформления переписки 2. Готовит предлог: письмо от Укрэнерго 3. Готовит полезный груз: бекдор BlackEnergy или GCat 4. Готовит сервер управления 5. Отправляет email жертвам https://www.virustotal.com/en/file/052ebc9a518e5ae02bbd1bd3a5a86c3560aefc9313c18d81f6670c3430f1d4d4/analysis/
  • 9. Анатомия атаки Sandworm vs укр. облэнерго Действия жертвы 1. Получает эл. письмо вполне легитимного содержания 2. Запускает вложение, подчиняясь инструкции в письме 3. Одобряет выполнение макросов в Excel, получив этому логичное пояснение Почему это сработало? 1. Блестящая подготовка хакером предлога, текста письма и вложения 2. Доверие и подчинение авторитету регулятора отрасли со стороны жертвы («родители плохого не посоветуют») 3. Отвлечение внимания ИТ- подразделения: атака сопровождалась диверсией – телефоны облэнерго постоянно звонили
  • 10. Анатомия атаки Sandworm vs укр. облэнерго Действия хакера 6. Получает удаленный доступ к компьютеру жертвы 7. Собирает информацию, повышает привилегии 8. Продолжает атаку по корпоративной сети, получает контроль над другими компьютерами 9. Наносит урон 10.Заметает следы http://news.finance.ua/ua/news/-/366136/hakery-atakuvaly-prykarpattyaoblenergo-znestrumyvshy-polovynu-regionu-na-6-godyn
  • 11. Агенда 1. Какова сложность осуществленных атак? 2. Почему такие атаки оказались возможны? 3. Каковы их реальные последствия? 4. Как защитить объекты критической инфраструктуры? 5. Актуально ли государственное регулирование КИ в области ИБ? 6. Все, что вам хотелось узнать, но было не у кого спросить.