Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
Олег Лабынцев: «Процесс импортозамещения вносит определенные коррективы в проведение фишинговых атак»
4 декабря 2024
Олег Лабынцев, специалист по анализу защищенности УЦСБ, автор блога GigaHackers и лауреат премии «Киберпросвет», рассказал порталу Cyber Media о специфике фишинговых атак в рамках пентестов и редтим-проектов, наиболее чувствительных темах для пользователей и специфике атак с применением социальной инженерии в контексте импортозамещения.
Олег Лабынцев, специалист по анализу защищенности УЦСБ, автор блога GigaHackers и лауреат премии «Киберпросвет», рассказал порталу Cyber Media о специфике фишинговых атак в рамках пентестов и редтим-проектов, наиболее чувствительных темах для пользователей и специфике атак с применением социальной инженерии в контексте импортозамещения.
Что представляет собой типовая инфраструктура для проведения анализа защищенности, из каких элементов она состоит?
Олег Лабынцев: Если проводится тестирование методами социальной инженерии, то необходимо подготовить выделенный сервер и домен для развертывания инфраструктуры под тестирование. Корректно настроить почтовый сервер, DNS-сервер, подготовить фронтенд для фишинга – веб-интерфейс, который будут видеть пользователи при переходе по фишинговой ссылке, настроить логирование введенных данных и фиксацию открытий файлов во вложениях. А также опционально, если подразумевается редтим-проект, подготовить сервер и агенты С2 (command & control) для дальнейшего продвижения в сети Заказчика после успешного фишинга на старте.
К каким последствиям при проведении пентеста или редтим-проекта может привести плохая инфраструктура, насколько от нее зависит успех проекта?
Олег Лабынцев: В первую очередь может пострадать качество итогового результата проекта. Заказчик может получить не тот результат, который он ожидал.
Например, может быть некорректно собрана статистика рассылки, в результате «попавшихся» пользователей можно упустить из виду. В случае с редтим-проектами при плохой инфраструктуре этот самый redteam может вовсе не начаться, так как социальная инженерия зачастую является одним из основных способов первоначального доступа в систему. Здесь важно позаботиться о работоспособности всех составляющих инфраструктуры, предварительно отработав каждый шаг, и действовать слаженно в команде.
Например, может быть некорректно собрана статистика рассылки, в результате «попавшихся» пользователей можно упустить из виду. В случае с редтим-проектами при плохой инфраструктуре этот самый redteam может вовсе не начаться, так как социальная инженерия зачастую является одним из основных способов первоначального доступа в систему. Здесь важно позаботиться о работоспособности всех составляющих инфраструктуры, предварительно отработав каждый шаг, и действовать слаженно в команде.
Какие типовые ошибки совершает команда при развертывании, настройке и использовании инфраструктуры для проведения анализа защищенности?
Олег Лабынцев: Настройка инфраструктуры для проведения тестирования – дело тонкое. Нужно учитывать множество деталей и нюансов: позаботиться обо всех необходимых записях DNS, обеспечить логгирование, проверить работу полезной нагрузки, настроить HTTPS, убедиться, что в текстах писем нет опечаток, и так далее.
Здесь важно не торопиться, всё делать последовательно, использовать чек-листы и автоматизацию рутинных задач – это, кстати, позволяет в том числе ускорить развёртку инфраструктуры. Мы в своей работе так и поступаем, а для полной уверенности в результате привлекаем для контроля процесса опытных специалистов.
Здесь важно не торопиться, всё делать последовательно, использовать чек-листы и автоматизацию рутинных задач – это, кстати, позволяет в том числе ускорить развёртку инфраструктуры. Мы в своей работе так и поступаем, а для полной уверенности в результате привлекаем для контроля процесса опытных специалистов.
В рамках пентестов часто используется таргетированный фишинг, нацеленный на конкретную компанию или даже группу людей внутри нее. Как добывается информация для реализации такого подхода?
Олег Лабынцев: Используется самая разная информация, доступная во всемирной паутине. Здесь стоит помнить, что всё, что попало в Интернет, остаётся там навсегда.
Мы в своей работе базово начинаем с поисковых систем – при грамотном поиске с их помощью можно найти много интересного. А уже далее используем поиск по соцсетям, чтобы уточнять данные для целевых рассылок или определения подходящего отправителя.
В целом в ход идут как базовые методы OSINT, так и поиск по различным утечкам. Здесь всё ограничивается фантазией. Можно настолько углубиться, что получится узнать чуть ли не распорядок дня конкретного человека. Но на мой взгляд здесь надо искать золотую середину между временем, выделенным на реализацию проекта, и действительно важной информацией для проведения тестирования.
Мы в своей работе базово начинаем с поисковых систем – при грамотном поиске с их помощью можно найти много интересного. А уже далее используем поиск по соцсетям, чтобы уточнять данные для целевых рассылок или определения подходящего отправителя.
В целом в ход идут как базовые методы OSINT, так и поиск по различным утечкам. Здесь всё ограничивается фантазией. Можно настолько углубиться, что получится узнать чуть ли не распорядок дня конкретного человека. Но на мой взгляд здесь надо искать золотую середину между временем, выделенным на реализацию проекта, и действительно важной информацией для проведения тестирования.
Российские компании активно импортозамещаются, переходят на российские почтовые клиенты, текстовые редакторы и т.д.. Как это сказывается на проведении атак с использованием социальной инженерии в рамках анализа защищенности?
Олег Лабынцев: Кто-то скажет, что это усложняет жизнь этичным (и не очень) хакерам и будет отчасти прав. Но на мой взгляд переход на российское ПО кардинально не меняет нашей работы в «социалке», мы лишь адаптируем старые техники под новые реалии. В первую очередь меняется содержимое тех же макросов.
Например, если в случае с классическим Microsoft Word мы использовали широко известную технику с VBA-макросами, то сейчас на российском рынке можно встретить офисный пакет, использующий в качестве макросов JavaScript.
Соответственно, необходимо больше времени на проведение исследований, чтобы научиться работать с новыми отечественными офисными пакетами, но общие принципы при проведении тестирований остаются без изменений.
Например, если в случае с классическим Microsoft Word мы использовали широко известную технику с VBA-макросами, то сейчас на российском рынке можно встретить офисный пакет, использующий в качестве макросов JavaScript.
Соответственно, необходимо больше времени на проведение исследований, чтобы научиться работать с новыми отечественными офисными пакетами, но общие принципы при проведении тестирований остаются без изменений.
Поделитесь опытом, с какими интересными или необычными кейсами, в контексте инфраструктуры для проведения пентестов, вы сталкивались?
Олег Лабынцев: Не так давно мы столкнулись с активным сопротивлением со стороны одного из популярных браузеров: он определил нашу фишинговую страницу как вредоносную и не отображал её конечному пользователю. Проблему удалось решить с помощью обфускации HTML – вышло неплохо, и пока это работает.
Ещё одно интересное наблюдение – QR-коды вызывают больше доверия у людей, чем мы могли подумать ранее. Если уделить верстке буклетов достаточно времени, то можно получить хороший импакт при проведении тестирования. При этом в плане инфраструктуры работа с QR-кодами во многом похожа на обычную фишинговую рассылку: нужно создать фишинговую страницу и подобрать подходящий домен.
Ещё одно интересное наблюдение – QR-коды вызывают больше доверия у людей, чем мы могли подумать ранее. Если уделить верстке буклетов достаточно времени, то можно получить хороший импакт при проведении тестирования. При этом в плане инфраструктуры работа с QR-кодами во многом похожа на обычную фишинговую рассылку: нужно создать фишинговую страницу и подобрать подходящий домен.
По вашему опыту, какие тематики или инфоповоды эффективнее всего работают на сотрудниках компаний?
Олег Лабынцев: Люди всегда с особым трепетом относятся к своим финансам, поэтому один из самых результативных вариантов – сценарий, связанный с изменениями заработной платы.
Также отмечу сценарии, связанные с различными техническими проблемами. Например, можно сделать акцент на проблемах с доступом и вежливо попросить пользователя пройти по ссылке для разблокировки учетной записи.
Общая же тенденция, которую мы наблюдаем на наших проектах, такая: люди больше верят сценариям, направленным от имени кого-то из внутренних пользователей, службы безопасности или администраторов.
Интервью также можно прочитать на сайте портала Cyber Media.
Также отмечу сценарии, связанные с различными техническими проблемами. Например, можно сделать акцент на проблемах с доступом и вежливо попросить пользователя пройти по ссылке для разблокировки учетной записи.
Общая же тенденция, которую мы наблюдаем на наших проектах, такая: люди больше верят сценариям, направленным от имени кого-то из внутренних пользователей, службы безопасности или администраторов.
Интервью также можно прочитать на сайте портала Cyber Media.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных