Наша почта:
В Москве:
РФ (звонок бесплатный):
BDSM - Безопасность для самых маленьких
{ DevOps инженер, Mikrotik Ninja }
Дмитрий Бубнов
Видео доклада
Презентация спикера
BDSM: Безопасность для самых маленьких. Как защитить инфраструктуру в современных реалиях
Многие ошибочно полагают, что информационная безопасность — это скучные технические регламенты или недоступные пониманию высокие технологии. На самом деле, современная кибербезопасность (или, если угодно, BSM — Security для самых маленьких) — это увлекательный, хоть и временами пугающий мир. Страшные картинки сегодня — это не те, что скрывает Google, а те, что возникают в консоли при виде работающего шифровальщика или удаленных данных.
Важно понимать: в ИТ-сфере границы между сетевым администрированием, DevOps и безопасностью давно стерлись. Сегодня невозможно грамотно настраивать Kubernetes или GitLab, игнорируя вопросы защиты. Кибератаки стали обыденностью, и их количество растет ежегодно. Причем атакуют не только гигантов, но и малый бизнес, который привык считать себя «неуловимым Джо».
Важно понимать: в ИТ-сфере границы между сетевым администрированием, DevOps и безопасностью давно стерлись. Сегодня невозможно грамотно настраивать Kubernetes или GitLab, игнорируя вопросы защиты. Кибератаки стали обыденностью, и их количество растет ежегодно. Причем атакуют не только гигантов, но и малый бизнес, который привык считать себя «неуловимым Джо».
Основная терминология: тактика, техника, процедура
Чтобы говорить о защите, нужно разобраться в том, как мыслят и действуют атакующие. В Cyber Security вся терминология пришла из военной сферы, и это не случайно.
- Тактикаэто глобальная цель злоумышленника в рамках конкретной атаки (например, получение учетных данных — credential access).
- Техникаконкретный метод достижения этой цели. Для получения доступа могут использоваться брутфорс, атаки типа MITM (человек посередине), поиск по открытым файлам или перехват MFA-сообщений.
- Процедурадетальный вид техники с применением конкретного софта. Например, использование сканера Nmap с конкретным флагом для TCP-SYN сканирования.
Жизненный цикл атаки: Cyber Kill Chain
Атака — это не разовое событие, а замкнутый цикл. Она развивается по шагам, и если злоумышленник достигает цели, он может начать новый цикл, используя полученные данные для атаки на партнеров компании.
Этапы типичной кибератаки:
Этапы типичной кибератаки:
- 1.Разведка. Сбор данных из открытых источников (Google, соцсети), покупка баз в Даркнете, сканирование портов.
- 2.Вооружение. Подбор инструментов под конкретные версии софта жертвы (например, поиск эксплойтов под старую версию CMS).
- 3.Доставка. Пересылка вредоносного кода через фишинг или эксплуатацию найденных дыр.
- 4.Эксплуатация. Непосредственное применение эксплойта для пробива защиты.
- 5.Инсталляция. Установка бэкдора или вируса в систему.
- 6.Управление (Command & Control). Установление связи зараженной машины с сервером хакера.
- 7.Действия над целью. Кража денег, шифрование дисков, уничтожение инфраструктуры или скрытый майнинг.
Матрица MITRE ATT&CK: стандарт де-факто
Для структурирования знаний об атаках существуют специальные матрицы. Самая популярная из них — MITRE ATT&CK. Это огромная база знаний, в которой расписаны все возможные тактики и техники для разных сред: мобильных устройств, корпоративных сетей и облачных инфраструктур.
В этой матрице каждый столбец — это тактика, а строки — конкретные техники. Проваливаясь в каждую из них, можно узнать, какие инструменты используют хакеры и как от этого защититься. Это незаменимый инструмент для любого системного администратора.
В этой матрице каждый столбец — это тактика, а строки — конкретные техники. Проваливаясь в каждую из них, можно узнать, какие инструменты используют хакеры и как от этого защититься. Это незаменимый инструмент для любого системного администратора.
Реальный кейс: серия атак Shadow
Последние пару лет российские организации сталкиваются с деятельностью группировок, работающих под именами Shadow, 12 и Кэта. Анализ их поведения показывает, что за разными названиями стоит один заказчик и одни и те же люди.
Их работа — отличный пример того, что хакинг сегодня превратился в профессиональную индустрию. Они используют не только самописный софт, но и вполне легитимные инструменты, которые есть в арсенале любого админа.
Их работа — отличный пример того, что хакинг сегодня превратился в профессиональную индустрию. Они используют не только самописный софт, но и вполне легитимные инструменты, которые есть в арсенале любого админа.
Точки входа: как они попадают внутрь?
Ошибочно думать, что хакеры всегда используют магические «уязвимости нулевого дня». В случае с группировкой Shadow вход осуществлялся максимально приземленно:
- Фишинговые рассылки.Самый популярный метод. Письма приходят от имени реальных коллег с корпоративных адресов.
- Уязвимости публичных сервисов.Плохо настроенные или старые версии корпоративного софта.
- Данные из Даркнета.Покупка готовых логинов и паролей сотрудников, которые «утекли» ранее.
Чтобы фишинг сработал «на ура», злоумышленники проводят разведку: выясняют, какие темы обсуждаются в компании, как зовут сотрудников и какие почтовые сервисы используются.
Инфраструктура хакеров: Red Team на стероидах
Современные хакеры — это не одиночки в капюшонах, а команды с выстроенными процессами. У них есть своя инфраструктура, которая мало чем отличается от продвинутого DevOps-департамента:
- Автоматизация.Использование Terraform и Ansible для быстрого развертывания серверов атаки.
- Облака.Использование Cloud-сервисов для анонимности и масштабируемости.
- Профессиональный софт.Наборы эксплойтов для популярных систем: Confluence, Zimbra, Exchange (Proxy Shell), JetBrains.
Проблема «древних» уязвимостей
Анализ атак показывает шокирующую деталь: многие успешно эксплуатируемые уязвимости датированы 2020 годом и даже раньше. Это говорит о двух проблемах:
- 1.Патч-менеджмент. В компаниях годами не обновляют критически важные сервера.
- 2.Страх обновления. Боязнь, что после обновления прод «упадет», заставляет админов игнорировать дыры в безопасности.
Если систему невозможно обновить по техническим причинам, она должна быть обнесена дополнительными уровнями защиты, а не «торчать» голым портом в интернет.
Управление через веб-интерфейс: Darkgate
После того как хакеры закрепились в системе, они устанавливают командный центр. Один из часто используемых инструментов — Darkgate.
Это не просто консольная утилита, а полноценная система управления с современным и удобным веб-интерфейсом. Там по кнопочкам можно:
Это не просто консольная утилита, а полноценная система управления с современным и удобным веб-интерфейсом. Там по кнопочкам можно:
- Видеть все зараженные машины.
- Скачивать файлы.
- Включать запись экрана.
- Пробрасывать туннели.
Не нужно быть богом метасплойта, чтобы управлять такой атакой. Достаточно иметь поверхностные инструкции и уметь нажимать кнопки в красивом интерфейсе. Документация к такому софту зачастую лучше, чем у легитимных админских систем.
Горизонтальное перемещение: охота на админа
Попав на один компьютер (например, рядового бухгалтера), хакеры не останавливаются. Они начинают сканировать диски на предмет файлов с паролями. Используются как автоматизированные скрипты, так и софт для восстановления удаленных данных — вдруг пользователь недавно удалил текстовик с паролями?
Самая желанная цель — рабочая станция администратора. Хакеры заходят на контроллер домена и смотрят логи RDP-подключений. Зачем? Чтобы увидеть, с каких именно компьютеров заходили админы. На их станциях всегда есть:
Самая желанная цель — рабочая станция администратора. Хакеры заходят на контроллер домена и смотрят логи RDP-подключений. Зачем? Чтобы увидеть, с каких именно компьютеров заходили админы. На их станциях всегда есть:
- Сохраненные пароли в браузерах и SSH-клиентах.
- Конфигурационные файлы ко всей инфраструктуре.
- «Дырочки», которые админы оставляют сами себе для быстрого доступа.
Инструменты-предатели: Ngrok и AnyDesk
Злоумышленники обожают легитимный софт. Например, Ngrok — прекрасная утилита для разработчиков, позволяющая пробросить туннель из локальной сети наружу без белого IP. Хакеры используют её для тех же целей: создания стабильного канала связи с зараженной машиной, который не блокируется стандартными правилами фаервола, так как трафик выглядит как обычный веб-серфинг.
То же самое касается систем удаленного рабочего стола типа AnyDesk. Если в компании разрешено использование таких утилит, злоумышленнику даже не нужно ломать систему — он просто подключается через легитимный софт под видом «техподдержки».
То же самое касается систем удаленного рабочего стола типа AnyDesk. Если в компании разрешено использование таких утилит, злоумышленнику даже не нужно ломать систему — он просто подключается через легитимный софт под видом «техподдержки».
Почему «мы слишком маленькие» — это миф
Главная ошибка малого бизнеса — уверенность в собственной неинтересности для хакеров. Но вы нужны злоумышленникам, даже если у вас нет секретных чертежей или миллионов на счетах.
Вас взломают, чтобы:
Вас взломают, чтобы:
- Сделать из ваших серверов ботов для DDoS-атак на другие цели.
- Использовать ваши мощности для майнинга криптовалют.
- Просто уничтожить инфраструктуру ради забавы или по заказу конкурентов.
- Сделать вас плацдармом для атаки на ваших более крупных партнеров.
Цена взлома вашей компании должна быть выше, чем ценность полученных данных. Только тогда вы станете «невыгодной» целью.
Стратегия эшелонированной защиты
Защита не может состоять из одной «серебряной пули». Недостаточно просто поставить фаервол. Защита должна быть многослойной (эшелонированной).
Обновления, обновления и еще раз обновления.
Это база. Нет ничего хуже, чем быть взломанным через дыру пятилетней давности.
Сегментация сети.
VLAN’ы и фаерволы внутри сети обязательны. Бухгалтер не должен иметь возможности даже «пингнуть» контроллер домена или сервер разработки.
Принцип минимальных привилегий.
Юзеру нужно только чтение одной таблицы в БД? Дайте доступ только на чтение этой таблицы, а не права администратора на всю базу.
Мультифакторная аутентификация (MFA).
Она должна быть везде: на почте, на RDP, на входе в CRM. Это отсекает 99% атак по купленным паролям.
Человеческий фактор и Cyber Security Awareness
Самая большая уязвимость любой системы — это не софт, а человек. Люди делают глупости: переходят по ссылкам, вставляют найденные флешки в компьютеры, вводят пароли на фейковых страницах.
Что с этим делать?
Что с этим делать?
- Обучение.Сотрудники должны уметь отличать фишинговое письмо от реального.
- Проверки.Иногда полезно «проверить своих» — прийти под видом мастера по ремонту или прислать тестовое фишинговое письмо.
- Гигиена.Запрет на использование личных флешек и сторонних мессенджеров для передачи рабочих паролей.
Где учиться и как практиковаться
Безопасность — это процесс постоянного обучения. Чтобы понимать, как вас могут сломать, нужно пробовать «ломать» самому (в легальных условиях).
Рекомендуемые платформы:
Рекомендуемые платформы:
Чтение отчетов ИБ-компаний о реальных атаках — лучший способ понять актуальные тренды.
Финал
Безопасность инфраструктуры — это не результат, а постоянное движение. Невозможно один раз настроить фаервол и считать, что задача решена. Мир угроз меняется ежедневно: появляются новые инструменты управления взломанными системами, а старые, казалось бы, надежные программы внезапно оказываются уязвимыми. Главная задача инженера — создать такую среду, где цена взлома для злоумышленника будет кратно превышать потенциальную выгоду.
В Москве:
РФ (звонок бесплатный):
Наша почта:
GetNet
Остались вопросы?
Группа компаний VoxLink © 2011-2026