Безопасность
- Понятие Центра мониторинга (SOC - Security Operation Center) что такое и чем занимается? Общие слова
SOC – это совокупность программных и технических средств, персонала и процессов
(сбора информации об инцидентах, анализа собранных данных и реагирования на инциденты с целью их предотвращения, либо минимизации ущерба).
Её функционирование строится на:
- SIEM (Security Information and Event Management)
- NIDS и HIDS
- Сканеры портов и уязвимостей
- Оценка рисков ИБ
- Визуализация работы и отчетность
- Понятие Incident Response/расследование инцидентов.
Расследование инцидентов включает в себя процессы направленные на определение источника инцидента, как и когда он произошел.
Дать комментарии - (?)
- Понятие уязвимости. Классификация уязвимостей (CVE).
Уязвимость это недостаток системы, её архитектуры, способа эксплуатации и тд., который создает угрозу ее безопасности.
CVE - Common Vulnerabilities and Exposures, бесплатная публичная база классификации известных уязвимостей. Каждая уязвимость имеет уникальный CVE идентификатор с указанием года, ссылки на документы по теме и кратское описание сути уязвимости.
Уязвимости:
- Проектирования
- Реализации
- Эксплуатации
Уязвимости по типам:
1. Buffer overflow (переполнение буфера)– происходит когда программа записывает данные за пределами выделенного ей в памяти буфера. Приводит к аварийному завершению\зависанию программы. Определенные виды переполнений позволяют выполнить произвольный код с правами данной программы.
2. Remote Code Execution (RCE)
RCE – удаленное выполнение произвольного кода на взламываемом сервере. Часто применяется с целью получения доступа к командной строке, ведущим к контролю над машиной.
3. Information Disclosure
Уязвимости, позволяющие получить какие либо данные пользователя. (?)
4. Privilege Escalation
Повышение привилегий – это использование уязвимостей для повышения уровня доступа злоумышленника к системе, ведущему к расширению спектра доступных полномочий.
5. Denial of Service (DoS)
DoS - “отказ в обслуживании”, данная атака направлена на доступность системы. В случае если атака производится одновременно с нескольких машин, это называется DDoS (Distributed DoS). Возможные способы эксплуатации – формирование неподъемного для сервера кол-ва запросов, переполнение буфера и тд.
Как защититься от эксплуатации уязвимостей? Что такое уязвимость нулевого дня (0day vulnerability)?
Для защиты от эксплуатации нужно обеспечить соответствующий уровень безопасности, используя программные, аппаратные и организационные средства. Убедиться в наличии последних версий установленного ПО.
Для реагирования необходимо выполнить следующие действия:
1. Идентификация АРМ в сети.
2. Изоляция АРМ от вычислительной сети.
3. Интервьюирование владельца на предмет необходимости использования уязвимого софта.
4. Установка патча, обновления или настройка системы.
5. Поиск следов компрометации системы (несанкционированно установленное ПО, запущенные процессы/службы, аномальный исходящий трафик)
6. Восстановление системы.
Уязвимость нулевого дня - это уже известная, но еще не устраненная уязвимость.
- Что такое атака? Привести примеры
Атака – практическая реализация угрозы, осуществляемая путем эксплуатации уязвимости.
Примеры:
-DdoS атака путем отправки большого кол-ва запросов и перенасыщения полосы пропускания.
- Sql инъекция в веб приложение с целью получения данных из БД.
- XSS атака веб клиента для получения его аутентификационных данных.
- Понятие эксплоита.
Эксплойтом называется программный код, использующий уязвимости для атаки на ПО.
- Как работает сканирование портов? Какую информацию может извлечь злоумышленник?
Сканирование портов – это процесс отправки на хост пакетов и анализа ответов с целью определения открытых портов и запущенных служб.
Сканирование портов является самым первым этапом активной разведки и, пожалуй, одним из основных. Данный метод позволяет выявить активные машины,работающие в сети целевой организации, а также установленное на них ПО, запущенные сетевые сервисы и, в некоторых случаях, версию операционной системы.
Типы сканирования и их различие (SYN/Connect/Ack/ и т.д).
TCP SYN
Данный тип сканирования является наиболее популярным. Вместо использования сетевых функций операционной системы, сканер портов сам генерирует IP пакеты, и отслеживает ответы на них. Эту технику часто называют сканированием с использованием полуоткрытых соединений, поскольку полное соединение TCP/IP никогда не открывается. Сканер портов генерирует пакет SYN. Если порт на целевом хосте открыт, с него придёт пакет SYN-ACK. Хост сканера отвечает пакетом RST, закрывая тем самым соединение до того, как процесс установления соединения завершился.
TCP connect
Это используемый по умолчанию тип TCP сканирования, когда недоступно SYN сканирование. Это происходит в случае, когда у пользователя нет привилегий для использования сырых пакетов или при сканировании IPv6 сетей. Вместо того, чтобы использовать сырые пакеты, как это происходит при большинстве других типов сканирования, Nmap "просит" операционную систему установить соединение с целевой машиной по указанному порту путем системного вызова connect. Это такой же высокоуровневый системный вызов, используемый браузерами, P2P клиентами и другими приложениями для установки соединения. Этот вызов является частью программируемого интерфейса, известного как Berkeley Sockets API. Вместо того, чтобы считывать ответы в форме сырых пакетов, Nmap использует этот API для получения информации о статусе каждой попытки соединения.
TCP Ack
Данное сканирование применяется для определения, фильтруется данный порт или нет, и особенно эффективен для определения наличия брандмауэров и выяснения их правил. Простая фильтрация пакетов разрешит прохождение пакетов с установленным битом ACK (используемые для уже установленных соединений), тогда как более сложные брандмауэры — нет.
TCP FIN
Некоторые серверы способны отследить попытку SYN-сканирования их портов. Например, попытка SYN-сканирования может быть распознана по поступлению «поддельных» SYN-пакетов на закрытые порты защищаемого сервера, и в случае опроса нескольких портов сервер разрывает соединение для защиты от сканирования.
Сканирование с использованием FIN-пакетов позволяет обойти подобные средства защиты. Согласно RFC 793, на прибывший FIN-пакет на закрытый порт сервер должен ответить пакетом RST. FIN-пакеты на открытые порты должны игнорироваться сервером. По этому различию становится возможным отличить закрытый порт от открытого.
Чем можно провести?
Специальной утилитой, например Nmap.
- Что такое bruteforce? На какие сетевые протоколы можно проводить, примеры. Чем защититься?
Brutefore - это подбор аутентификационных данных
Данная атака может быть направлена на множество доступных злоумышленнику сервисов и служб:
• RDP
• SSH
• Telnet
• Web-admin
• DataBases
• Почтовые службы
• И пр.
Для реагирования необходимо выполнить следующие действия:
1. Идентификация АРМ в сети.
2. Изоляция АРМ от вычислительной сети.
3. Интервьюирование владельца на предмет легальности зафиксированных попыток подключения.
4. Проверка надёжности паролей.
5. Анализ журналов подключений, на предмет несанкционированных удачных подключений.
6. Отключение/настройка доступа с использованием доступных сред (iptables, fail2ban, access list и пр.)
- DDoS атака? Понятие amplification в DDoS в чем смысл?
DDoS. Атака направленная на нарушение доступности ресурса.
Характеризуется большими объемами трафика или множественными подключениями. Может быть реализована (что в последнее время очень популярно) путём использования других ресурсов – атака с отражением (DdoS-Amplification).
Для реагирования необходимо выполнить следующие действия:
1. Идентификация АРМ в сети.
2. Изоляция АРМ от вычислительной сети.
3. Настройка атакуемого сервиса/сервисов.
4. Блокировка адресов источников.
Амплификация (усиление) — это метод, используемый для усиления полосы пропускания DDoS-атаки. Путем подмены IP-адреса в запросе злоумышленник может повысить эффективность своей атаки в 70 раз. Коэффициент усиления может варьироваться в зависимости от типа сервера.
Пример: DNS amplification
Суть атаки заключается в том, чтобы в ответ на DNS-запрос приходил ответ, в несколько раз больший, чем запрос. Поскольку протокол DNS основан на UDP, в запросе подменяется адрес отправителя на адрес жертвы, и генерируется трафик к большому количеству IP-адресов, на которых обнаружена возможность рекурсии.
Источниками вредоносного трафика могут быть:
- третьи лица;
- клиенты хостинг-провайдера;
- абоненты интернет-провайдера.
- Заражение malware. Рекомендации по устранению
Malware (malicious software) – любое ПО, созданное с целью реализации угрозы ИБ.
(трояны, черви, бэкдоры, руткиты).
Так же может быть связано с работой «нежелательного» софта (удаленное администрирование, рекламные модули в легальных программах, недоверенный софт с возможными уязвимостями).
Для реагирования необходимо выполнить следующие действия:
1. Идентификация АРМ в сети.
2. Изоляция АРМ от вычислительной сети.
3. Интервьюирование владельца на предмет легальности использования, предположительно, вредоносного ПО.
4. Антивирусная проверка и выявление ВПО.
5. Извлечение ВПО и дополнительный анализ.
6. Лечение системы.
7. Восстановление работоспособности
- Системы обнаружения вторжений (IDS). Базовый принцип работы.
Система обнаружения атак (IDS - Intrusion Detection System) — это специализированное программное или аппаратное решение, анализирующее сетевой трафик сети или определенного хоста с целью обнаружения и идентификации атаки.
Задача IDS (Intrusion Detection System) состоит в обнаружении и регистрации атак, а также оповещении при срабатывании определенного правила. В зависимости от типа, IDS умеют выявлять различные виды сетевых атак, обнаруживать попытки неавторизованного доступа или повышения привилегий, появление вредоносного ПО, отслеживать открытие нового порта и т. д. В отличие от межсетевого экрана, контролирующего только параметры сессии (IP, номер порта и состояние связей), IDS «заглядывает» внутрь пакета (до седьмого уровня OSI), анализируя передаваемые данные.
Пример популярной IDS.
Snort.
Что такое сигнатуры IDS и как они используются?
Сетевая IDS сигнатура – набор данных, которые мы хотим найти в трафике.
Такие сигнатуры игнорируют содержание пакетов и вместо этого ищут некоторые значения поля заголовка или комбинацию таких значений
Синтаксис правил snort IDS (как строится правило).
Для чего используют ключевое слово «content”?
Ключевое слово content обеспечивает поддержку одной из важнейших функций Snort – проверку содержимого пакетов.
Эта опция позволяет пользователю создавать правила для поиска в пакетах определенной информации и выполнения тех или иных действий при ее обнаружении. Для проверки содержимого пакетов используется функция поиска по шаблону Boyer-Moore. Если заданная последовательность данных обнаружена в поле содержимого пакета, проверка считается
успешной и выполняется остальная часть правила.
Способы размещения в сети IDS (сквозное и параллельное), раскрыть подробнее реализацию.
(?)
- Прокси-сервер в локальной сети.
Прокси сервер – это промежуточный сервер в компьютерных сетях, выполняющий роль посредника между пользователем и целевым сервером, позволяющий клиентам как выполнять косвенные запросы к другим сетевым службам, так и получать ответы.
Какие задачи выполняет?
- Обеспечение доступа компьютеров локальной сети к сети Интернет.
- Кэширование данных. С развитием динамического контента кэширование утратило актуальность.
- Сжатие данных, используется для экономии трафика.
- Защита локальной сети от внешнего доступа: например, можно настроить прокси-сервер так, что локальные компьютеры будут обращаться к внешним ресурсам только через него, а внешние компьютеры не смогут обращаться к локальным вообще (они «видят» только прокси-сервер).
- Ограничение доступа из локальной сети к внешней: например, можно запрещать доступ к определённым веб-сайтам, ограничивать использование интернета каким-то локальным пользователям, устанавливать квоты на трафик или полосу пропускания, фильтровать рекламу и вирусы.
- Анонимизация доступа к различным ресурсам.
- Обход ограничений доступа. Прокси-серверы популярны среди пользователей стран, где доступ к некоторым ресурсам ограничен законодательно и фильтруется.
- Межсетевые экраны. Зачем нужны?
Межсетевой экран - это логическое отделение внутренней сети от внешней и контроль доступа к элементам своей сети.
Фаервол контролирует потоки данных благодаря набору определенных правил, он определяет, какая информация может уйти из внутренней сети во внешнюю, либо из внешней во внутреннюю, а какая — нет.
Еще одна немаловажная функция межсетевого экрана — это разграничение внутренней сети. Именно фаервол, на основе заданных политик, определяет уровень доступа различных пользователей к внутренним системам. Также он обеспечивает организацию демилитаризованной зоны. В ДМЗ находятся общедоступные серверы, например веб-сервер с размещенной домашней страницей предприятия.
- Сканеры безопасности. Nessus что можно просканировать?
Сканеры уязвимостей позволяют не только находить открытые уязвимости в установленном ПО и ОС, но и определять устаревшие протоколы шифрования, зараженные компьютеры и многое другое.
Nessus позволяет просканировать на наличие:
- Наличие уязвимых версий служб или доменов
- Ошибки в конфигурации (например, отсутствие необходимости авторизации на SMTP-сервере)
- Наличие паролей по умолчанию, пустых, или слабых паролей
Прежде всего используется для сканирования портов и определяет сервисы, использующие их. Также проводится проверка сервисов по базе уязвимостей. Для тестирования уязвимостей используются специальные плагины, написанные на языке NASL(Nessus Attack Scripting Language).
Защита конечных узлов:
- Что такое HIDS? В чем различие между NIDS?
HIDS - IDS хоста — устанавливаются на конкретный хост в сети. Они запоми-
нают первичное состояние критичных файлов, а затем сравнивают их текущее
состояние с эталонным. В случае, если система находит отличие, она оповещает
об этом администратора.
NIDS - Сетевые IDS — как правило, находятся на границе двух сетей. Они
анализируют проходящий через них сетевой трафик и сравнивают его со своей
базой данных известных атак. В случае обнаружения атаки или подозрительного трафика отправляют сообщение администратору.