Похожие презентации:
Подготовка устройств самообслуживания к установке банковского ПО
Подготовка устройств самообслуживания к установке банковского ПО
Проектирование цифровых устройств
Проектирование цифровых устройств
Планирование структуры локальной сети и подключение устройств
Планирование структуры локальной сети и подключение устройств
Модуль 1. Базовая настройка устройств
Модуль 1. Базовая настройка устройств
Базовая настройка устройств. Модуль 1
Базовая настройка устройств. Модуль 1
Операционные системы для мобильных устройств
Операционные системы для мобильных устройств
Обеспечение безопасности критичных бизнес-приложений ООО «СолидЛаб»
Обеспечение безопасности критичных бизнес-приложений ООО «СолидЛаб»
Huawei VRP и обновление устройств
Huawei VRP и обновление устройств
Компьютерные технологии и системы автоматизированного проектирования цифровых устройств
Компьютерные технологии и системы автоматизированного проектирования цифровых устройств
Устройство телекоммуникационного оборудования
Устройство телекоммуникационного оборудования

Защита корпоративных ресурсов в эпоху недоверенных клиентских устройств

1.

Защита корпоративных ресурсов в эпоху
недоверенных клиентских устройств
Андрей Петухов
CEO @ SolidLab
7 июня 2017

2.

ПРЕАМБУЛА
Мы занимаемся практической безопасностью
Основная специализация – анализ защищенности
пентесты
«боевые учения» в режиме red team vs blue team
анализ кода
Видим варианты реализации ИТ и ИБ в крупных
организациях в финансовой сфере и не только
Данный рассказ – итог аналитической обработки опыта,
полученного за последние 5 лет
www.solidlab.ru
2 из 9

3.

ТЕНДЕНЦИИ И СЛЕДСТВИЯ
Мобильность
Интеграция систем
Было
• ЛВС-DMZ-Интернет
Централизация управления
Виртуализация и облака
Стало
• Явного периметра нет
www.solidlab.ru
облака и SaaS
внешние хостинги
VPN-связность
MDM
WiFi
LTE2Ethernet на Ali
3 из 9

4.

НАЧАЛЬНЫЕ ШАГИ АТАКИ НА КОМПАНИЮ
Первый шаг – получение доступа в корпоративную сеть
Второй шаг – повышение прав в AD
Третий шаг – начало пути по доступу к цели
социальная инженерия с вредоносным вложением
личные и/или мобильные устройства сотрудников
ethernet-гость, взлом корпоративной WiFi
пробив периметра через публичные приложения
доступ к серверам, интегрированным в домен
доступ к рабочим станциям администраторов и разработчиков
Наша статистика:
www.solidlab.ru
при получении прав пользователя домена дойти до доменного
администратора удавалось в 100% случаях
4 из 9

5.

РАЗВИТИЕ АТАКИ - УДОБНЫЕ РЕШЕНИЯ
Single Sign On
Централизованное управление ресурсами ИТ/ИБ
антивирусами на узлах
сетевыми устройствами и учетными данными
агентами сканирования/мониторинга
ERP-системы, с которыми интегрируются другие бизнесприложения
без второго фактора на критичных системах – конец игры
захват системы => контроль бизнес-процессов
Виртуализация
www.solidlab.ru
захват платформы => захват гостевых машин
5 из 9

6.

ПРИМЕР ВЕКТОРОВ АТАК НА КРИТИЧНЫЙ СЕГМЕНТ
www.solidlab.ru
6 из 9

7.

ВЫВОДЫ
Любое пользовательское устройство в сети в любой
момент может оказаться недоверенным
При поглощениях и слияниях недоверенные – целые
инфраструктуры
Сегментация не так эффективна, как раньше
централизация управления/интеграция систем
поддерживать строгий least privilege на уровне сети нереально
Рациональная стратегия: перестать наводить порядок в
хаосе и сосредоточиться на защите самого ценного
www.solidlab.ru
7 из 9

8.

ЗАЩИТА САМОГО ЦЕННОГО
Повышение стоимости атаки на защищаемый сегмент
Мониторинг
правильный второй фактор
контроль публикации и исполнения собственного кода
мониторинг в эпоху миллиона событий и фокусы
«Боевые учения» или read team vs blue team
www.solidlab.ru
как узнать, что мониторинг работает
8 из 9

9.

Спасибо за внимание!
Пожалуйста, вопросы!
Андрей Петухов
[email protected]
mob: +7 916 360-52-49
tel: +7 499 705-76-57
English     Русский Правила