Общая информация

Конвертация VMWare в VirtualBox

• Загрузить OVF Tool. Также вы можете найти путь установки вашего VMware (там есть ovftool).
• Через CMD с правами администратора в каталоге установки ovftool: 

  ovftool <локатор источника> <локатор назначения>

• Открыть файл .ovf с помощью VirtualBox.

Концепты информационной безопасности

Конфиденциальность. Сохранение целостности, защиты от утечки сведений, которые не предназначены для общего использования и несут интеллектуальную, экономическую ценность для обладателя. Отвечает на следующие вопросы:

• Насколько защищена информация?
• Насколько она должна быть защищена?
  

К механизмам защиты конфиденциальности относятся шифрование, пароли, аутентификация, брандмауэры и т.д.. Также в этот раздел попадает физическая защита - двери, заборы и камеры.

Целостность. Состояние информации, при котором отсутствует любое её изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. Для определения целостности информации можно использовать:

• Насколько верна информация?
• Была ли она изменена или повреждена?

Хеширование, цифровые подписи и контрольные суммы помогают отслеживать и проверять целостность.

Доступность. Возможность своевременного и надёжного использования информации или сервисов. Отвечает на вопрос “Всегда ли данные, которые должны быть доступны пользователю, доступны?”

Избыточность систем хранения, питания и передачи данных помогает повысить доступность информации. Также относятся стратегии резервного копирования и аварийного восстановления данных в случае повреждения или утраты. 

Риски и управление ими

Риск является центральной точкой другой триады: угрозы, уязвимости и активы.

• Если у вас нет ничего, что может быть украдено, то скорее всего вы ничем не рискуете.
• Если ваша система безупречна (вспомним сервер на подводной лодке), то уязвимостей нет.
• Если никому не нужны ваши активы или у них нет способов для их кражи, вы свободны от угроз.

Активы. Ресурс, которым владеет или который контролирует бизнес, в материальной или нематериальной форме, используемый для создания экономической выгоды.

• информация или данные;
• сетевое оборудование;
• серверы/компьютеры;
• программное обеспечение;
• персонал;
• процессы.

Уязвимости. Недостаток программно-технического средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации

Это внутренниме факторы. Патчи или дополнительные меры безопасности могут устранить эти недостатки. Иногда уязвимость находится вне вашего контроля, например, при использовании закрытого программного обеспечения. Задача инженера ИБ — компенсировать эти слабости.

Угрозы. Любое состояние, которое может привести к краже, потере, повреждению или компрометации актива.

К угрозам относятся стихийные бедствия, кибератаки или вредоносное ПО. Угрозы не обязательно должны быть преднамеренными: мать-природа тоже опасна, и случаются несчастные случаи. Задача отдела ИБ — закрыть уязвимости, соответствующие вашим угрозам, а НЕ победить саму угрозу. 

Классификация угроз

Враждебные угрозы Иностранные правительства, поставщики и конкуренты.

Случайные угрозы

• Ошибки, которые наносят ущерб безопасности системы
• Опечатки или непреднамеренные действия, вредящие безопасности.
• Сотрудник случайно взял устройство домой
• Случайное нажатие кнопки питания, пожарной сигнализации и т. д.

Инфраструктурные угрозы

• Сбой оборудования, программного обеспечения или датчиков
• Сбой жесткого диска, перегрев, ошибки и сбои
•  Причина, по которой компании делают резервное копирование и обеспечивают избыточную доступность данных.

Экологические угрозы

• Природные или техногенные катастрофы
• Пожары, наводнения, ураганы, отключение электроэнергии, обрывы проводов и т. д.
• Еще одна веская причина для резервного копирования и избыточности.
• Угрозы выходят за рамки «злоумышленников». Недовольные сотрудники, несчастные случаи и ошибки могут привести к потере активов или поставить под угрозу безопасность.

Риски меняются! Квантовые компьютеры сейчас не представляют угрозы, но могут стать ею через несколько лет, и могут радикально изменить подход к определению уязвимостей.

Обзор методологий

Lockheed Martin's Cyber Kill Chain

В 2011 году Lockheed Martin's была разработана методология Lockheed Martin's Cyber Kill Chain. Она используется для определения этапов эксплуатации компьютерных сетей.

Advanced Persistent Threats (APT). APT — это группы или организации, которые, вероятно, спонсируются национальными государствами. APT хорошо подкованы в области информационной безопасности, имеют доступ к огромным ресурсам, как финансовым, так и технологическим. Цель — получить несанкционированный доступ к системам и постоянно совершенствовать методы и тактику. 

Цепочка Cyber Kill Chain

• Разведка
• Вооружение
• Доставка 
• Эксплуатация 
• Установка 
• Управление и контроль (Command and Control, C&C, C2)
• Достижение конечной цели

MITRE ATT&CK

В 2013 году MITRE создала каталог техник, используемых в успешных APT-атаках. Подобно «Cyber Kill Chain», ATT&CK MITRE описывает активности атакующих от разведки до компрометации. 

В отличие от Kill Chain, MITRE ATT&CK описывает конкретные технические детали действий, выполняемых над целью, и связывает их в общую картину или тактику. Cyber Kill Chain компании Lockheed Martin's описывает, почему злоумышленники следуют определенной серии шагов: от разведки до эксплуатации целевых машин. Методология MITRE ATT&CK описывает, как именно злоумышленники выполняют эти действия. Всего в матрице описано 14 тактик:

• разведка (Reconnaissance);
• подготовка ресурсов (Resource Development);
• первоначальный доступ (Initial Access);
• выполнение (Execution); 
• закрепление в системе (Persistence);
• повышение привилегий (Privilege Escalation);
• обход средств защиты (Defense Evasion);
• доступ к учетным данным (Credential Access);
• исследование (Discovery);
• дальнейшее перемещение (Lateral Movement);
• сбор данных (Collection);
• управление и контроль (Command and Control);
• эксфильтрация данных (Exfiltration);
• воздействие (Impact).

Каждая тактика состоит из множества техник и подтехник. В конечном итоге, MITRE описывают конкретные действия, предпринимаемые атакующими, зачастую с указанием реальных примеров обнаруженных атак. 

Ссылка на тактику “Закрепление в системе” с техниками и подтехниками: https://attack.mitre.org/techniques/T1137/

 

Отчеты об атаках 

При сравнении двух отчетов можно заметить некоторые сходства:

Фаза	Индикатор
Разведка	поиск публично доступных серверов Jenkins
Вооружение	Использование скрипта PowerShell для загрузки майнера Monero
Доставка	HTTP POST запрос в каталог CLI, содержащий код для скачивания эксплойта
Эксплуатация	Эксплойт CVE-2017-1000353 через скрипт PowerShell
Установка	C:\Windows\minerxmr.exe
Командование и контроль (C2)	222.184.79.11:5329
Достижение конечной цели	Майнинг Monero

И второй отчет:

Обратите внимание на незначительные различия между двумя таблицами. Хотя злоумышленник использовал две разные уязвимости, остальные этапы цепочки практически не изменились.

Поскольку злоумышленник использовал одно и то же имя файла, скрипт PowerShell, путь установки и IP-адрес C2, это ускоряет выявление и устранение угрозы. 

Более того, сходство показателей позволяет аналитикам определить, что атаки, вероятно, проводились одними и теми же преступниками.

 

Дополнительные материалы

• Хакеры Черные шляпы, Белые шляпы и Серые шляпы – определение и описание
• 14 типов хакеров, которых следует остерегаться
• Хакерские группировки
• Виды угроз информационной безопасности
• Управление рисками информационной безопасности
• Книга: Кибербезопасность: главные принципы.
• Цепочка Kill Chain: от моделирования до проектирования защищенного периметра
• Аналитические статьи Positive Technologies
• Материалы и исследования BI.ZONE
• MITRE ATT&CK: что это и как применять в целях кибербезопасности
• Матрица MITRE ATT&CK, переведенная на русский язык
• Инциденты информационной безопасности: выявление, расследование и реагирование