Модели и сценарии преднамеренных угроз информационной безопасности
Основы информационной безопасности
Захарчук Иван Илларионович
Лекция 1
· В. Олифер, Н. Олифер «Компьютерные сети»
· Девянин П.Н. Модели безопасности компьютерных систем
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Может существовать в различных формах и на различных носителях.
Характеристики обеспечения защиты информации:
· Конфиденциальность – свойство, характеризующее доступность информации для ее владельца, который контролирует распространение информации среди членов общества.
· Доступность – простота законного получения информации.
· Целостность – информация не искажается какими-либо средствами.
Идентификация – присвоение пользователям идентификаторов (уникальных имен), под которым система «знает» пользователя.
Аутентификация – установление подлинности, проверка принадлежности пользователь предъявленного им идентификатора.
Авторизация – предоставлении идентифицированному лицу или группе лиц прав на выполнение определенных действий.
Угроза безопасности – потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности.
Виды угроз:
· Случайные
o стихийные бедствия и аварии
o сбои и отказы техники
o ошибки при разработке информационных и автоматизированных систем
|
|
|
o алгоритмические и программные ошибки
o ошибки эксплуатации
· Преднамеренные
o внутренние – с использованием физического доступа или служебного положения
o внешние
ARP протокол служит, чтобы связывать МАС и IP адрес устройства. Не организована проверка, кто посылает и отправляет пакеты. Популярная атака – ARP-пуфинг, человек посередине.
Уязвимость – свойство информационной системы, обуславливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
Уязвимости: проектирования, реализации, конфигурирования.
Эксплоит – программа, фрагмент программного кода или последовательность команд, использующие уязвимости в ПО и применяемые для проведения атаки на вычислительную систему.
Виды эксплоитов:
По актуальности уязвимости:
· 0-day exploit – эксплоит на ту информацию, о которой никто еще не знает.
· 1-day exploit – уязвимости известна, но патча (исправления) еще нет.
По выполняемым функциям:
· Удаленное выполнение кода – Remote Code Execution (RCE)
· Локальное повышение привилегий – Local Privilege Escalation (LPE)
· Выход из песочницы – Sandbox Escape
· Атака на файловые обработчики (Выполнение кода)
Типы нарушителей:
· Сотрудники компании
· Script kiddy – люди, которые не знают, что и как происходит
|
|
|
· Исследователи – проверяют систему на возможность ее взлома
· Злоумышленники
· Advanced Persistent Threat (APT) – группировки, за действиями которых стоит государство.
o APT -1, -3, -10, -30 – Китай
o АРТ -37, -38 – Северная Корея
o АРТ -33, -34 – Иран
o Unit-8200 – Израиль
o TAO (Tailored Access Operations) – США
Практика 1:
1. Kali Linux
pentest, Metasploit – тестирование на проникновение
2. Metasploitable2
Установка из файла .iso .ova (Для virtualbox) .vmdk –образ диска
Делаем из двух виртуальных машин сеть
Сетевой адаптер NAT Network
| Kali |
| M2 |
Есть динамические и статические IP адреса. Динамические получаются через DHCP сервер.
Статические адреса назначаются через ifconfig или ip. При ifconfig будет вывод всех сервисов с информаицей о них (IP, маска, адрес шлюза по умолчанию)
Сетевой сканер nmap –sP <IP> выдает список видимых хостов.
Утилита ping (ping + ip)
Лекция 2. 20.03.2019
Модели и сценарии преднамеренных угроз информационной безопасности
Модели внешних преднамеренных угроз
· MITRE ATT&CK (Adversarial Tactics. Techniques and Common Knowledge base). Бизнес процессы завязаны на Энтерпрайзе, любые неполадки несут убытки. МИТРО-атака – большая таблица, по вертикали – этапы, по горизонтали – техники. Таблица представляет собой совокупность знаний об атаках.
|
|
|
· PITES (Penetration Testing Execution Standard) -
А – атакующий. Ниже – логическая схема атаки на предприятие. Проводится пентест предприятия преступником. Сервер обычно подключен и к сети интернет, и к внутренней сети. Преступник сначала завладевает сервером, а затем уже остальной инфраструктурой.
| А |
| Сервер |
| ПК |
| ПК |
| ПК |
MITRE ATT & CK . Возможные этапы:
1. Initial Access – получение первоначального доступа
2. Execution – выполнение программного кода
3. Persistence – закрепление. Этап, на котором появляется возможность нивелировать действия пользователя/администратора, необходимые для сохранения доступа.
4. Privilege Escalation – повышение привилегий. Для полного контроля нужны права супер-пользователя/администратора.
5. Defense Evasion – обход защиты
6. Credential Access – получение доступа к данным авторизации
7. Discovery – исследование
8. Later Movement – горизонтальное распространение
9. Collection – сбор информационных активов
10. Exfiltration – вывод информационных активов
11. Command and Control – управление и контроль
|
|
|
Подход PTES :
1. Intelligence Gathering – сбор информации
2. Vulnerability Analysis – анализ уязвимостей
3. Exploitation
4. Post exploitation
5. Reporting – отчет об уязвимостях
OSINT – Open Source Intelligence – сбор информации из открытых источников. При анализе корпоративной сети в первую очередь рассматриваются:
· корпоративная информация (Метаданные – сопроводительная информация, присутствующая в документах; marketing communication – документооборот, посвящённый закупкам)
· информация о сотрудниках (история, профили в соцсетях и прочие данные о них)
Поисковые машины (техники сбора информации)
· Google (Google Dorqs)
· Shodan берет все адреса в интернете и последовательно, непрерывно всеми серверами проверяет пространство, проверяя открытые порты/уязвимости.
· Censys аналогично
техники сбора информации об инфраструктуре
Пассивные
WHOIS – служба, где по IP можно узнать, какой организации он принадлежит
BGP looking glasses – протокол пограничного шлюза (реализован в больших маршрутизаторах). При неверном построении сети специальный запрос позволяет узнать информацию о сети
Активные
Port Scanner
Banner Grabbing
SNMP Sweeps
Zone Transfers
DNS Discovery
Forward/Reverce DNS
DNS Bruteforse
MITR ATT&CK: Initial Access
Spearfishing – целевой фишинг (фишинговый сайт – ложный сайт)
Spearfishing Attachment/Link/via Service (Вложение, ссылка, что-то в мессенджере или соцсети)
Supply Chain Compromise – получение доступа через производителя ПО
Trusted Relationship – предоставление доступа к своим репозиториям другим людям, которых могут взломать и попасть к нам
Hardware Additions (например, флешка-вредитель)
Exploit Public-Facing Application
MITR ATT&CK:Execution ( Возможные уязвимости )
Про лабы: Метасплоит фрэймворк – фрэймворк в кали для пентеста
Практика 2
Bash Bourne Shell
Средствами bash реализуем nmap –sP, nmap –p (номер порта)
busybox – набор утилит, позволяющих делать некоторые элементарные вещи
вместо # вертикальные палочки |
17.04.2019 Лекция 3
Уязвимости веб-приложений
· Веб-технологии
· Уязвимости веб-приложений
· Методология поиска уязвимостей в веб-приложениях
HTML – hyper text markup language – язык гипертекстовой разметки документа. При появлении этой технологии появились гипер-ссылки.
Клиент-серверная архитектура: Запрос (request) – ответ(response)
Сервер ----> клиент
Заголовки http -запроса:
· http method
· get
· post – все запросы передаются в теле самого запроса
· put
· head
· trace
· options
· requested URL
· http version
· referrer
· user-agent
· host
· cookie
Заголовки http- ответа :
· http version
· Status Code
o 1xx: informational
o 2xx: Success
o 3xx: redirection
o 4xx: client error
o 5xx: server error
· server
· set-cookie
· pragma/expired
· content type
o text
o multipart
o message
o image
o audio
o video
o application
o font
o example
o model
· content length
OWASP Top 10-Open Web Application Security Project:
1. Injection (инъекция)
2. Broken Authentication (Неправильная аутентификация)
3. Sensitive Data Exposure (Утечка конфиденциальной информации)
4. XML External Entities (XXE) (Внешние сущности xml)
5. Broken Access Control (неправильный контроль доступа)
6. Security Misconfiguration (ошибки конфигурации)
7. Cross-Site Scripting (XSS) (межсайтовое взаимодействие)
8. Insecure Deserialization (ошибки десериализации)
9. Using Components with Known Vulnerabilities (Использование уязвимых программных компонентов)
10. Insufficient Logging & Monitoring (Недостаточное журналирование и мониторинг)
Дата добавления: 2019-07-15; просмотров: 286; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!