Представляем на твой суд семерку докладов, которые мы выбрали из материалов прошедшей в марте 2019 года американской конференции RSA. Это одно из главных мероприятий, связанных с кибербезопасностью, так что выбирать было из чего. Техники взлома, актуальные угрозы, модные тренды и методы защиты — мы постарались сделать подборку максимально познавательной и сбалансированной.
Радиохакинг: взламываем IoT и OT через SDR
RF Exploitation: IoT and OT Hacking with Software-Defined Radio
Что общего между атакой на сирену, предупреждающую о торнадо в Далласе, взломанными электрическими скейтбордами и небезопасными умными дверными замками? Уязвимые протоколы радиосвязи! Количество IoT-устройств растет угрожающими темпами. В софте, используемом этими многочисленными устройствами, отсутствуют базовые меры безопасности, которые в обычном компьютерном софте мы считаем само собой разумеющимися.
Кроме того, для IoT практически не существует рекомендаций по обеспечению безопасности. Неудивительно, что последние годы отметились резким всплеском количества эксплоитов для радиохакинга. Причем охват этих эксплоитов не ограничивается сетями 802.11. Узкоспециализированные и проприетарные протоколы тоже оказались в зоне внимания радиохакеров. Устройства варьируются от медицинских до OT-девайсов.
Хотя радиопротоколы, отличные от Wi-Fi, для многих технарей представляют собой тайну, покрытую мраком, взламывать их намного проще, чем можно было бы ожидать. SDR плюс умелые руки, и дело в шляпе. В черной шляпе. Докладчик рассказывает о распространенных проблемах безопасности и поверхностях атак в системах беспроводной связи. Объясняет, как можно без особого труда взламывать беспроводные сети. Демонстрирует изощренные примеры. Объясняет, как обнаруживать IoT-устройства, анализировать их безопасность и конфиденциальность.
«Для этого тоже есть инструмент!»: советы, утилиты и техники для твоего профессионального арсенала
Cybersecurity Tips, Tools and Techniques for Your Professional Toolbag (PDF)
Эта насыщенная практической информацией презентация представляет собой обновленную версию чрезвычайно популярного доклада 2018 года. Тебя ждет скоростной обзор наиболее полезных для безопасника приложений и лучших практик: для тестирования защищенности, для расследований, для администрирования и для решения многих других повседневных задач безопасника.
Из доклада ты узнаешь о лучших практиках использования Kali Linux, Windows Sysinternals Suite, VMware, Wireshark, Nmap. Тебя ждут интересные хитрости и трюки, которые помогут упростить работу. Речь также пойдет об инструментах для OSInt и сбора информации на веб-сайтах; докладчик расскажет, как настроить виртуальную лабораторию в домашних условиях и какие приложения лучше всего подходят для этого, какие приложения для пентеста и DevSecOps должны обязательно быть в арсенале любого безопасника, где искать качественную информацию для проведения корпоративных тренингов, призванных повысить осведомленность сотрудников.
Рассматриваемые инструменты в основном бесплатные и ориентированы на малые и средние предприятия и на домашних пользователей. В числе прочего докладчик делится советами, которые помогут тебе избежать неприятностей при использовании рекомендуемых им программ. Ведь в неумелых руках они могут принести больше вреда, чем пользы.
Докладчик в числе прочего рассказывает о том, как посредством виртуализации (на основе VMware и VirtualBox и дистрибутивов Kali, Taro и Parrot) создать собственную лабораторию тестирования, в которой ты сможешь упражняться со всеми инструментами без риска обрушить систему.
Но не весь доклад посвящен Linux. Докладчик также демонстрирует полезные инструменты для Windows, в том числе Sysinternals Suite. Среди новшеств по сравнению с одноименным докладом за прошлый год: подсистема Windows для Linux, Open Source Intelligence (OSInt), которая используется для ответа на вопрос «какая информация о моей организации доступна в интернете».
Из доклада ты также узнаешь, как применять такие мощные инструменты тестирования, как Social Engineering Toolkit, Metasploit и OWASP ZAP, которыми пентестеры пользуются на повседневной основе. Однако на этих инструментах свет клином не сошелся. Есть множество отсылок к стандартам и другим полезным материалам, в том числе любимым читшитам докладчика. Все ссылки ты найдешь в PDF-версии доклада.
Специалисты McAfee признаются, что боятся искусственного интеллекта
Lightning in a Bottle, or Burning Down the House?
Насколько искусственный интеллект полезен в ИБ? Считается, что с его помощью можно достичь потрясающих результатов, но и вреда увлечение машинным обучением и прочими формами ИИ может наделать не меньше. В этом докладе специалист McAfee делится своими опасениями и описывает те ограничения, которые обязательно нужно учитывать при внедрении систем, основанных на ИИ.
Да, с помощью искусственного интеллекта можно классифицировать малварь и делать другие полезные вещи, но нужно помнить, насколько эти системы хрупкие. Злоумышленник может использовать их недостатки в качестве нового вектора атаки и использовать особенности софта, основанного на ИИ, против систем, которые он был призван защищать.
Эксперты института SANS перечисляют наиболее опасные методы кибератак
The Five Most Dangerous New Attack Techniques and How to Counter Them
Какие кибератаки на сегодняшний день самые опасные? Как они работают? Как их отразить? Что будет дальше и как подготовиться? Доклад сотрудников института SANS отвечает на все эти вопросы. Для SANS стало ежегодной традицией озвучивать горячую пятерку кибератак. Вот три из них (остальные найдешь в презентации):
Изощренную С&C-малварь можно отлавливать бесплатными инструментами
Hunt Advanced Attackers on a Budget Less than the GDP of a Small Country (PDF)
Идентифицировать трафик, генерируемый малварью, весьма непросто. Современные вредоносы умеют неплохо прятаться, шифроваться и скрывать свое C&C-ядро. Поэтому защитные механизмы, построенные на основе поиска сигнатур, сегодня уже неспособны отлавливать их. Результаты пентестов показывают, что уязвимыми оказываются даже те предприятия, в которых вопросу кибербезопасности уделяется серьезное внимание.
Однако отлавливать малварь, имеющую командный центр, все-таки можно. Обычно вредоносный код связывается с C&C через одинаковые промежутки времени и при этом генерирует характерный трафик, в котором можно выявить закономерные шаблоны. Докладчик рекомендует бесплатный инструмент RITA собственной разработки. Он эффективно анализирует трафик исходящих соединений, и, используя его в комплексе с Bro/Zeek, можно гораздо легче обнаруживать следы, оставленные C&C-малварью.
Как безопаснику подтолкнуть пользователя к нужному поведению
The Art of the Nudge: Cheap Ways to Steer User Behavior (PDF)
Тебе доводилось бывать в кафе, где в меню подсчитаны калории, чтобы помочь тебе сделать осознанный выбор в пользу здоровой пищи? Это хороший пример техники, которая не пытается манипулировать пользователем, а взывает к его здравому смыслу и ненавязчиво подталкивает к правильному решению. Нечто подобное можно делать и для улучшения информационной гигиены! Конкретные приемы зависят от времени, места и обстоятельств, но есть три ключевых фактора, которые играют решающую роль в успехе каждого из них:
Какие приемы можно придумать для решения этих проблем? Чтобы побудить пользователей перестать распечатывать страницы с конфиденциальной информацией, можно, к примеру, сделать такой психологический барьер: документ отправляется на печать только после того, как пользователь вводит в всплывающем окне обоснование — зачем его распечатать.
Для электронной почты можно подключить модуль, который будет искать по ключевым словам и показывать пользователю, какая в его письме содержится конфиденциальная информация.
Прослушав выступление, ты научишься самостоятельно придумывать такие приемы по алгоритму, который представил докладчик.
Уроки, извлеченные за тридцать лет проведения тренингов на повышение осведомленности
Lessons Learned from 30+ Years of Security Awareness Efforts
Докладчик делится опытом из своей тридцатилетней практики: рассказывает, какие образовательные подходы срабатывают чаще всего, а какие даже и пробовать нет смысла, развеивает многие распространенные заблуждения об «осведомленности о безопасности». Вот ключевые тезисы доклада.
Полный каталог материалов с RSAC 2019 ты найдешь на сайте конференции. Если тебе приглянулось что-то интересное, что мы упустили в этом списке, не забудь поделиться находкой в комментариях!
Радиохакинг: взламываем IoT и OT через SDR
RF Exploitation: IoT and OT Hacking with Software-Defined Radio
Что общего между атакой на сирену, предупреждающую о торнадо в Далласе, взломанными электрическими скейтбордами и небезопасными умными дверными замками? Уязвимые протоколы радиосвязи! Количество IoT-устройств растет угрожающими темпами. В софте, используемом этими многочисленными устройствами, отсутствуют базовые меры безопасности, которые в обычном компьютерном софте мы считаем само собой разумеющимися.
Кроме того, для IoT практически не существует рекомендаций по обеспечению безопасности. Неудивительно, что последние годы отметились резким всплеском количества эксплоитов для радиохакинга. Причем охват этих эксплоитов не ограничивается сетями 802.11. Узкоспециализированные и проприетарные протоколы тоже оказались в зоне внимания радиохакеров. Устройства варьируются от медицинских до OT-девайсов.
Хотя радиопротоколы, отличные от Wi-Fi, для многих технарей представляют собой тайну, покрытую мраком, взламывать их намного проще, чем можно было бы ожидать. SDR плюс умелые руки, и дело в шляпе. В черной шляпе. Докладчик рассказывает о распространенных проблемах безопасности и поверхностях атак в системах беспроводной связи. Объясняет, как можно без особого труда взламывать беспроводные сети. Демонстрирует изощренные примеры. Объясняет, как обнаруживать IoT-устройства, анализировать их безопасность и конфиденциальность.
«Для этого тоже есть инструмент!»: советы, утилиты и техники для твоего профессионального арсенала
Cybersecurity Tips, Tools and Techniques for Your Professional Toolbag (PDF)
Эта насыщенная практической информацией презентация представляет собой обновленную версию чрезвычайно популярного доклада 2018 года. Тебя ждет скоростной обзор наиболее полезных для безопасника приложений и лучших практик: для тестирования защищенности, для расследований, для администрирования и для решения многих других повседневных задач безопасника.
Из доклада ты узнаешь о лучших практиках использования Kali Linux, Windows Sysinternals Suite, VMware, Wireshark, Nmap. Тебя ждут интересные хитрости и трюки, которые помогут упростить работу. Речь также пойдет об инструментах для OSInt и сбора информации на веб-сайтах; докладчик расскажет, как настроить виртуальную лабораторию в домашних условиях и какие приложения лучше всего подходят для этого, какие приложения для пентеста и DevSecOps должны обязательно быть в арсенале любого безопасника, где искать качественную информацию для проведения корпоративных тренингов, призванных повысить осведомленность сотрудников.
Рассматриваемые инструменты в основном бесплатные и ориентированы на малые и средние предприятия и на домашних пользователей. В числе прочего докладчик делится советами, которые помогут тебе избежать неприятностей при использовании рекомендуемых им программ. Ведь в неумелых руках они могут принести больше вреда, чем пользы.
Докладчик в числе прочего рассказывает о том, как посредством виртуализации (на основе VMware и VirtualBox и дистрибутивов Kali, Taro и Parrot) создать собственную лабораторию тестирования, в которой ты сможешь упражняться со всеми инструментами без риска обрушить систему.
Но не весь доклад посвящен Linux. Докладчик также демонстрирует полезные инструменты для Windows, в том числе Sysinternals Suite. Среди новшеств по сравнению с одноименным докладом за прошлый год: подсистема Windows для Linux, Open Source Intelligence (OSInt), которая используется для ответа на вопрос «какая информация о моей организации доступна в интернете».
Из доклада ты также узнаешь, как применять такие мощные инструменты тестирования, как Social Engineering Toolkit, Metasploit и OWASP ZAP, которыми пентестеры пользуются на повседневной основе. Однако на этих инструментах свет клином не сошелся. Есть множество отсылок к стандартам и другим полезным материалам, в том числе любимым читшитам докладчика. Все ссылки ты найдешь в PDF-версии доклада.
Специалисты McAfee признаются, что боятся искусственного интеллекта
Lightning in a Bottle, or Burning Down the House?
Насколько искусственный интеллект полезен в ИБ? Считается, что с его помощью можно достичь потрясающих результатов, но и вреда увлечение машинным обучением и прочими формами ИИ может наделать не меньше. В этом докладе специалист McAfee делится своими опасениями и описывает те ограничения, которые обязательно нужно учитывать при внедрении систем, основанных на ИИ.
Да, с помощью искусственного интеллекта можно классифицировать малварь и делать другие полезные вещи, но нужно помнить, насколько эти системы хрупкие. Злоумышленник может использовать их недостатки в качестве нового вектора атаки и использовать особенности софта, основанного на ИИ, против систем, которые он был призван защищать.
Эксперты института SANS перечисляют наиболее опасные методы кибератак
The Five Most Dangerous New Attack Techniques and How to Counter Them
Какие кибератаки на сегодняшний день самые опасные? Как они работают? Как их отразить? Что будет дальше и как подготовиться? Доклад сотрудников института SANS отвечает на все эти вопросы. Для SANS стало ежегодной традицией озвучивать горячую пятерку кибератак. Вот три из них (остальные найдешь в презентации):
- Манипулирование DNS-инфраструктурой целевых предприятий. Хакеры пользуются логинами и паролями, добытыми на ранней стадии кибератаки, — логинятся в DNS и в регистраторы имен и манипулируют оттуда DNS-записями. В итоге электронная почта, которая направляется на предприятие, фактически доставляется злодею, а не предприятию.
- Domain Fronting — техника, которая скрывает местоположение атакующего.
- Эксплуатация уязвимостей микропроцессоров.
Изощренную С&C-малварь можно отлавливать бесплатными инструментами
Hunt Advanced Attackers on a Budget Less than the GDP of a Small Country (PDF)
Идентифицировать трафик, генерируемый малварью, весьма непросто. Современные вредоносы умеют неплохо прятаться, шифроваться и скрывать свое C&C-ядро. Поэтому защитные механизмы, построенные на основе поиска сигнатур, сегодня уже неспособны отлавливать их. Результаты пентестов показывают, что уязвимыми оказываются даже те предприятия, в которых вопросу кибербезопасности уделяется серьезное внимание.
Однако отлавливать малварь, имеющую командный центр, все-таки можно. Обычно вредоносный код связывается с C&C через одинаковые промежутки времени и при этом генерирует характерный трафик, в котором можно выявить закономерные шаблоны. Докладчик рекомендует бесплатный инструмент RITA собственной разработки. Он эффективно анализирует трафик исходящих соединений, и, используя его в комплексе с Bro/Zeek, можно гораздо легче обнаруживать следы, оставленные C&C-малварью.
Как безопаснику подтолкнуть пользователя к нужному поведению
The Art of the Nudge: Cheap Ways to Steer User Behavior (PDF)
Тебе доводилось бывать в кафе, где в меню подсчитаны калории, чтобы помочь тебе сделать осознанный выбор в пользу здоровой пищи? Это хороший пример техники, которая не пытается манипулировать пользователем, а взывает к его здравому смыслу и ненавязчиво подталкивает к правильному решению. Нечто подобное можно делать и для улучшения информационной гигиены! Конкретные приемы зависят от времени, места и обстоятельств, но есть три ключевых фактора, которые играют решающую роль в успехе каждого из них:
- прием должен включать в себя вычисление понятной метрики — наподобие потребленных человеком калорий;
- прием должен способствовать выработке лучшего или более рационального решения;
- он должен опираться на когнитивные предубеждения человека.
Какие приемы можно придумать для решения этих проблем? Чтобы побудить пользователей перестать распечатывать страницы с конфиденциальной информацией, можно, к примеру, сделать такой психологический барьер: документ отправляется на печать только после того, как пользователь вводит в всплывающем окне обоснование — зачем его распечатать.
Для электронной почты можно подключить модуль, который будет искать по ключевым словам и показывать пользователю, какая в его письме содержится конфиденциальная информация.
Прослушав выступление, ты научишься самостоятельно придумывать такие приемы по алгоритму, который представил докладчик.
Уроки, извлеченные за тридцать лет проведения тренингов на повышение осведомленности
Lessons Learned from 30+ Years of Security Awareness Efforts
Докладчик делится опытом из своей тридцатилетней практики: рассказывает, какие образовательные подходы срабатывают чаще всего, а какие даже и пробовать нет смысла, развеивает многие распространенные заблуждения об «осведомленности о безопасности». Вот ключевые тезисы доклада.
- Сторителлинг не панацея. Поделиться увлекательной историей из жизни о том, как кто-то стал жертвой социальной инженерии, и затем, опираясь на этот рассказ, посоветовать что-то вроде «Вот приемы, которыми пользуются социальные инженеры. Не поддавайтесь на них!» — это один из самых распространенных и в то же время один из самых бесполезных способов защиты от социальной инженерии.
- Осведомленность о безопасности — это лишь стратегия снижения риска, а не стопроцентная защита.
- За каждым «тупым юзверем» стоит еще более тупой безопасник.
- Не упускай из виду реальные цели повышения осведомленности.
- Ища научную опору, надо сосредотачиваться на социологии, а не психологии.
- Геймификация — это не игра.
- Отталкивайся от опыта традиционной физической безопасности. В этой области изучается поведение, которое приводит к улучшению. Здесь проводится много исследований, потому что травмы на рабочем месте стоят больших денег. Специалисты в области безопасности знают, что 90% травм на рабочем месте — это результат воздействия окружающей среды. То есть условий, способствующих причинению травм. Лишь 10% — это результат небрежности и невыполнения процедур.
- Культура — лучший инструмент осведомленности. У твоей компании может быть лучшая в мире программа повышения осведомленности. Но если пользователь-новичок, выходя на работу, видит, что его собратья ведут себя неправильно, он естественным образом будет поступать так же. Аналогично — если программы повышения осведомленности нет, но все естественным образом ведут себя безопасно, то новичок тоже переймет такое поведение.
Полный каталог материалов с RSAC 2019 ты найдешь на сайте конференции. Если тебе приглянулось что-то интересное, что мы упустили в этом списке, не забудь поделиться находкой в комментариях!
