Как обнаруживаются атаки?

[HakJob]

Прошу тапками не швыряться, но вот чем больше изучаю тему пентеста и иже с ним , тем больше вопросов возникает ( причем дурацкого характера )

Итак, кто может популярно обьяснить, каким образом безопасность крупной корпоративной сети (к примеру 100-150 компьютеров) может выявить попытки проникновения в сеть и утечку данных из нее? Все сводится тупо к сигналам поведенческих серверов ? Какие-то программно -аппаратные комплексы (если да, то какие и за что отвечают?)
Каковы методы оперативного противодействия, локализации угрозы и разработки объекта совершения преступления?

Спасибо

 

[pr0phet]

Прошу тапками не швыряться, но вот чем больше изучаю тему пентеста и иже с ним , тем больше вопросов возникает ( причем дурацкого характера )

Итак, кто может популярно обьяснить, каким образом безопасность крупной корпоративной сети (к примеру 100-150 компьютеров) может выявить попытки проникновения в сеть и утечку данных из нее? Все сводится тупо к сигналам поведенческих серверов ? Какие-то программно -аппаратные комплексы (если да, то какие и за что отвечают?)
Каковы методы оперативного противодействия, локализации угрозы и разработки объекта совершения преступления?

Спасибо

100-150 машин - это совсем не крупная корпоративная сеть.
Выявить попытки проникновения можно, очевидно, анализируя логи в реалтайме с оповещением (SIEM, ELK+logstash+kibana, прочие магические штуки, требующие массу человекочасов по настройке). Так же, имея сенсоры на сети. IPS на проходящем трафике. Песочницы. Ханипоты. Да чего только нет в наше время. Было бы желание (читай как финансирование) это все собрать в кучу, отличить инцидент от фалза и должным образом отреагировать (в т.ч. настроить вышеперечисленное на авто-превент, не мешая легитимному трафику)

 

[HakJob]

Хорошо, пример ( маловиртуальный )
Есть некая корп сетка, как раз на 100-150 машин в неком офисе.
Поставлена задача - получить переписку топов (задача со стороны внутренней СБ) Основная задача - остаться незамеченным,
из сведений : Exchange + физ токены для топов, по непроверенным данным IronPort, все на сертификатах.
Проведена работа в работниками, многие работают в нарушении регламента и доступ к корп компам возможен.....

Отказаться сразу ? )))

 

[pr0phet]

Хорошо, пример ( маловиртуальный )
Есть некая корп сетка, как раз на 100-150 машин в неком офисе.
Поставлена задача - получить переписку топов (задача со стороны внутренней СБ) Основная задача - остаться незамеченным,
из сведений : Exchange + физ токены для топов, по непроверенным данным IronPort, все на сертификатах.
Проведена работа в работниками, многие работают в нарушении регламента и доступ к корп компам возможен.....

Отказаться сразу ? )))

Внутренняя СБ идет к админам - они ставят кейлогер/DLP-агент на любую машину - профит.
Так же про SSL трафик - контролируется сертом.
Сдается мне, не от лица внутренней СБ задан вопрос.

 

[HakJob]

Довольно рядовой запрос на предмет проверки возможности утечки информации. По сути, не понял ответа, в случае если пытаться скомпрометировать сеть через работника предприятия - какие варианты обнаружения и каким образом обходить?

 

[System32]

И еще не забываем про скрытй шпион.
Который при проникновении в систему.
Начинает вести запись вашей деятельности и отправлять ваш экран ваших действий в зашифрованном виде.
На хост или сервер. В дальнейшем служба безопасности найдет повашим записям ту самую дыру и закроет ее.
А на счет того что вас вычислят. Врятле у них что получится хотя не исключено. Все зависит от подготовки ваших возможностей.
Так как этот шпион создан не для вычисления действий, а для слежки за теми кто взламывает их систему и каким образом.
Все это записывается. И кстати эти данные передаются в режиме реального времени.

К примеру ты админ.
К тебе захожу я без разницы каким способом.
У тебя сразуприходит оповещение. И ты сидишь смотришь к примеру что я делаю.

 

[8bit]

DLP предназначена для внутренней утечки. Для внешнего вторжения ставится система обнаружения атак, либо система предотвращения атак. Так и называется ведь. IDS/IPS. Сниму видео на канал по этому вопросу!

 

[HakJob]

Насколько я понял DLP не может к примеру контролировать активность по USB портам и периферии ( тут кстати в помощь Bash Bunny )
а атака через периферию как раз вроде как более чем уместна для корп сеток

 

[zakrush]

Насколько я понял DLP не может к примеру контролировать активность по USB портам и периферии ( тут кстати в помощь Bash Bunny )

Ой вы не изучали рынок DLP. Это базовые возможности DLP систем. DLP на уровне хоста очень много умеет. Можно разместить еще DLP на уровне сети (шлюза) и там снифать трафик по паттернам. Но это с точки зрения внутренних ИБ служб. (CheckPoin, Fortigate).

Я вот из вашей темы не понимаю с какой стороны вы зайти хотите, со стороны потенциального нарушителя, или со стороны легитимного пользователя все таки (СБ) которые имеют на это право по внутренним регламентам?

И еще не забываем про скрытй шпион.
Который при проникновении в систему.
Начинает вести запись вашей деятельности и отправлять ваш экран ваших действий в зашифрованном виде.

Если я не ошибаюсь речь про систему мониторинга действий привелигированных пользователей? (Wallix и подобные)? Очень дорогая система которую могут позволить организации с большими важными данными. Где реально это оправдано с рисковой модели. Для 100-150 человек это редко экономически целесообразно. Кучу недостатков у них есть при более детальном соприкосновении.

 

[HakJob]

Я вот из вашей темы не понимаю с какой стороны вы зайти хотите, со стороны потенциального нарушителя, или со стороны легитимного пользователя все таки (СБ) которые имеют на это право по внутренним регламентам?

со стороны нарушителя конечно

 

[SearcherSlava]

Прошу тапками не швыряться, но вот чем больше изучаю тему пентеста и иже с ним , тем больше вопросов возникает ( причем дурацкого характера )

Итак, кто может популярно обьяснить, каким образом безопасность крупной корпоративной сети (к примеру 100-150 компьютеров) может выявить попытки проникновения в сеть и утечку данных из нее? Все сводится тупо к сигналам поведенческих серверов ? Какие-то программно -аппаратные комплексы (если да, то какие и за что отвечают?)
Каковы методы оперативного противодействия, локализации угрозы и разработки объекта совершения преступления?

Спасибо

G or DDG:
DLP системы pdf
DLP system pdf
ddos атаки pdf
ddos attacks theses pdf
сетевые атаки pdf
network attacks pdf
сетевые атаки диссертация pdf
network attacks theses pdf
безопасность корпоративной сети pdf
enterprise network security pdf
технические каналы утечки информации pdf
channel information leakage pdf
изучение личности преступника pdf
typologies of criminal behavior pdf
оперативно розыскная деятельность pdf
operational-search activity pdf

 

[zakrush]

Изучай топологию сети, узнавай в каком сегменте сидят топы. (если ты изнутри), какие средства защиты имеются (придумать как их обходить). Смотри как можно к топам/либо серверам пробиться из пользовательских сегментов. Как можно пробиться к админам. Есть ли AD, если есть пробовать топологию пробить, посмотреть на кого можно похотиться, смотреть уязвимости, применять фишинг. В общем надо трогать со всех сторон и смотреть откуда можно зайти. ИМХО это и есть самое сложное. Найти уязвимость, найти путь (очень вряд ли, что он будет прямым). В общем все будет зависить от квалификации ИБ, админов и как они все настроили имея то, что имеют.

 

[HakJob]

Благодарю всех ответивших !
Я не внутри, я размышляю над принятием предложения о проведениии такого теста по инициативе СБ
Уровень явно не мой, но есть кого привлекать для проведения таких работ

Безопасность, поидее, должна быть на уровне, тк консультантами по безопасности по непроверенным данным были ИБ-Групп
Топология сети СБ не раскрывается. Выявить достоверно - тоже думаю будет сложно.
Предварительно не отказался и не согласился, провел свою работу лишь в отношении сотрудников - и да, сотрудники вполне себе люди, со своими уязвимостями и проблемами.

 

[SearcherSlava]

Благодарю всех ответивших !
Я не внутри, я размышляю над принятием предложения о проведениии такого теста по инициативе СБ
Уровень явно не мой, но есть кого привлекать для проведения таких работ

Безопасность, поидее, должна быть на уровне, тк консультантами по безопасности по непроверенным данным были ИБ-Групп
Топология сети СБ не раскрывается. Выявить достоверно - тоже думаю будет сложно.
Предварительно не отказался и не согласился, провел свою работу лишь в отношении сотрудников - и да, сотрудники вполне себе люди, со своими уязвимостями и проблемами.

Размышляешь над принятием коммерческого предложения, но чуешь, что пока среди ровных есть те, кто ровнее
Хочешь чего-то добиться, всегда выходи на первое лицо, в твоем случае, на IB-group, если конечно, подпустят к себе, и поднатаскают со своего уровня, и т.д по нарастающей. Сотрудники вполне себе люди, со своими уязвимостями и проблемами - к сожалению для одних, и к счастью для других, это самая большая уязвимость, перманентно неустранимая

 

[HakJob]

Сниму видео на канал по этому вопросу!

Отличная идея !
Вообще мне кажется, любые курсы по пентесту надо начинать с ознакомления с ПАК по защите и их возможностями

 

[zakrush]

IB-Group и Group-IB это одни и те же или разные лица? Вторые известные, первых не знаю.

P.S: Именитые компании порой за счет имени и выезжают, когда начинаешь смотреть что они сделали, нередко получается что сделали на "****" т.к. сроки заказы, не до конца обследуется и т.п. человеческие и бизнес факторы.

 

[HakJob]

Неправильно написал, да Group-IB

 

[SearcherSlava]

IB-Group и Group-IB это одни и те же или разные лица? Вторые известные, первых не знаю.

P.S: Именитые компании порой за счет имени и выезжают, когда начинаешь смотреть что они сделали, нередко получается что сделали на "****" т.к. сроки заказы, не до конца обследуется и т.п. человеческие и бизнес факторы.

@zakrush, здрав будь! Насчет имени ты прав. Бренд – это нематериальный актив, ценность которого заключается в узнавании его потребителями и формировании позитивных ассоциаций, связанных с ним. Раскрутка и маркетинг делают свое дело, разница лишь в том, что у одних имеются жирные котики в лице спонсоров из определенных структур и организаций, у других - нет, а уровень компетенций сотрудников примерно равен и может варьировать в ту или иную сторону. Аналогичная ситуация с AV компаниями, где маркетинг выстроен по принципу общения врача и пациента: "Доктор, у меня комп бо-бо, наверное, заразился. Что посоветуете? Рекомендую антивирус. Поможет? Безусловно, особенно, после приобретения лицензии". Естественно, никому нет никакого дела, выздоровеет комп или нет, т.к система поточная. Каждый в силу собственного понимания работает на себя, а в силу собственного непонимания на того, кто понимает больше. Прошу, по возможности, никого не обижаться, т.к каждый по своему понимает, как устроен земной шар, устраиваясь на работу а кушать хочется всегда.