Настройка фидов
Задачи:
Круглосуточный мониторинг корпоративной IT-инфраструктуры
Эффективное противодействие и устранение последствий
Обеспечение непрерывности бизнес-процессов
Сокращение времени обнаружения продвинутых атак
Расследование инцидентов ИБ любого типа сложности
Процессы SOC
Этапы подключения
1 Этап
1. Определение перечня угроз первичных сценариев для запуска
2. Формирование списка подключаемых источников
2 Этап
1. Согласование оборудования и параметров соединения
2. Построение соединения site-to-site между площадками
3 Этап
1. Настройка систем сбора/передачи
2. Настроение доступов
3. Предоставление доступа к дашбордам, настройкам оповещений
4 Этап
1. Контроль работы системы
2. Адаптация к событиям в инфраструктуре заказчика, выявление типичных инцидентов и исключений
5 Этап
1. Запуск мониторинга и реагирования на инциденты
2. Уведомление заказчика об обнаруженных инцидентах с нашими рекомендациями
Тестирование на проникновение
Результаты внешнего тестирования (+ комплексного)
Прошли внешний периметр, попали в локальную сеть
Захватили ресурсы, но не прошли во внутреннюю сеть
Получили наивысшие привилегии в ЛВС
Не захватили ни одного ресурса
Социальная инженерия 10/15 — успешно получен Reverse Shell
Самые популярные векторы атак
- Получение конфигурационных файлов
- Создание пользователя с правами администратора
- Проксирование трафика во внутреннюю сеть
Устаревшее ПО (RCE)
- Создание пользователя с правами администратора
- Проксирование трафика в локальную сеть
Ошибки в исходном коде web-приложения (SQLInjection, LFI, RCE)
- Получение конфигурационных файлов
- Создание пользователя с правами администратора
- Проксирование трафика во внутреннюю сеть
Социальная инженерия
- Получение учетной записи пользователя, получение Reverse Shell
Самые популярные уязвимости
CVE-2022-27228 (Bitrix vote module RCE), CVE-2021-34473 (MS Exchange RCE ProxyShell)
CVE-2022-41040 + CVE-2022-41082 (MS Exchange RCE ProxyNotShell)
Современные тенденции
Эксплуатация уязвимостей: Microsoft Exchange (ProxyNotShell - CVE - 2022-41040) Apache Tomcat (Log4Shell - CVE-2021-44228) Microsoft Outlook Elevation of Privilege (CVE-2023-23397) Vmware Spring Frameword (Spring4Shell - CVE-2022-22965)
Самые популярные уязвимости: CVE-2022-27228 (Bitrix vote module RCE) CVE-2021-34473 (MS Exchange RCE ProxyShell) CVE-2022-41040, CVE-2022-41082 (MS Exchange RCE ProxyNotShell)
Статистика активного реагирования на конечных точках
Возможности OSS Protect EASM
EDR блокирует опасные действия, пропущенные антивирусом
Увеличение вклада сработок антивируса в общее число инцидентов после подключения новых заказчиков
Protect SOC ведёт круглосуточный мониторинг IT-инфраструктуры, сокращает время обнаружения атак, помогает расследовать инциденты и поддерживает непрерывность бизнес-процессов.