Защита корпоративных ресурсов в эпоху недоверенных клиентских устройств Андрей

SolidLab
7 июня 2017

«боевые учения» в режиме red team vs blue team
анализ кода

Видим варианты реализации ИТ и ИБ в крупных организациях в финансовой сфере и не только
Данный рассказ – итог аналитической обработки опыта, полученного за последние 5 лет

нет
облака и SaaS
внешние хостинги
VPN-связность
MDM
WiFi
LTE2Ethernet на Ali

доступа в корпоративную сеть
социальная инженерия с вредоносным вложением
личные и/или мобильные

устройства сотрудников
ethernet-гость, взлом корпоративной WiFi
пробив периметра через публичные приложения
Второй шаг – повышение прав в AD
Третий шаг – начало пути по доступу к цели
доступ к серверам, интегрированным в домен
доступ к рабочим станциям администраторов и разработчиков

Наша статистика:
при получении прав пользователя домена дойти до доменного администратора удавалось в 100% случаях

фактора на критичных системах – конец игры
Централизованное управление ресурсами ИТ/ИБ
антивирусами

на узлах
сетевыми устройствами и учетными данными
агентами сканирования/мониторинга
ERP-системы, с которыми интегрируются другие бизнес-приложения
захват системы => контроль бизнес-процессов
Виртуализация
захват платформы => захват гостевых машин

может оказаться недоверенным
При поглощениях и слияниях недоверенные – целые инфраструктуры
Сегментация

не так эффективна, как раньше
централизация управления/интеграция систем
поддерживать строгий least privilege на уровне сети нереально
Рациональная стратегия: перестать наводить порядок в хаосе и сосредоточиться на защите самого ценного

второй фактор
контроль публикации и исполнения собственного кода
Мониторинг
мониторинг в эпоху

миллиона событий и фокусы
«Боевые учения» или read team vs blue team
как узнать, что мониторинг работает

Пожалуйста, вопросы!