Incident Response w środowisku produkcyjnym
INCIDENT RESPONSE IN PRODUCTION ENVIRONMENTS
Najbardziej efektywna metoda nauki reagowania na cyberincydenty to wykonane rzeczywistych cyberataków w środowisku produkcyjnym firmy i zaangażowanie ludzi odpowiedzialnych za zarządzanie cyberbezpieczeństwem w ich obsługę. Żadne szkolenia w środowiskach testowych nie dają tej bezcennej wiedzy. Nie warto czekać na rzeczywiste włamanie do organizacji - aplikacja Cyber Soldier Project* umożliwia bezpieczne, kontrolowane wykonanie realnych scenariuszy cyberataków w sieciach produkcyjnych i naukę reagowania na cyberincydenty z użyciem dostępnych w firmie narzędzi EDR, NGFW, SIEM, itd.
Dlaczego ćwiczenia Incident Response wykonujemy w środowisku produkcyjnym?
1. Użycie narzędzi Cyber Soldier Project umożliwia bezpieczne, kontrolowane wykonanie realnych scenariuszy cyberataków (opartych na Threat Intelligence) w sieci produkcyjnej firmy i efektywne doskonalenie kompetencji ludzi odpowiedzialnych za zarządzanie cyberbezpieczeństwem w zakresie wczesnego wykrywania działań cyberprzestępców z użyciem dostępnych w firmie narzędzi cyberbezpieczeństwa. Wiele technik cyberataków jest wykrywanych, ale nie blokowanych przez zabezpieczenia (m.in. rekonesans, brute force, ataki na Kerberos) – od wczesnej i poprawnej reakcji ludzi zależy, czy cyberprzestępcy zostaną usunięci z sieci organizacji zanim spowodują straty.
2. Wykonanie realnych scenariuszy cyberataków w środowisku produkcyjnym pomaga firmom w przygotowaniach do spełnienia rygorystycznych wymagań nowej Ustawy o Krajowym Systemie Cyberbezpieczeństwa (adaptacja NIS2) oraz w sektorze finansowym wymagań DORA w odniesieniu do testów red team w środowiskach produkcyjnych zgodnie z TIBER-EU, Threat Intelligence-based Ethical Red Teaming.
3. Wykonanie realnych scenariuszy cyberataków w środowisku produkcyjnym umożliwia wykrycie podatności wykorzystywanych przez cyberprzestępców w czasie rzeczywistych włamań do firm, których nie ma możliwości wykryć za pomocą skanerów podatności, m.in. nadmiarowe przywileje Active Directory, słabe hasła kont serwisowych (Kerberoasting), pliki konfiguracyjne w hasłami w katalogach SMB, łatwy dostęp do baz MS SQL, Oracle i MySQL, błędy w konfiguracji Microsoft CA, łatwe do przejęcia konta serwisowe z przywilejami Constrained Delegation, łatwe do przejęcia starsze wersji Windows i dostępne w nich poświadczenia (NTLM hash, tokeny Kerberos) kont o wysokich przywilejach w domenie Windows (np. Account Operators, Backup Operators), serwery Web z możliwością umieszczenia Web Shell i włamania do systemu operacyjnego, systemy podatne na uruchomienie narzędzi Command and Control, itd.
4. Wykonanie realnych scenariuszy cyberataków w środowisku produkcyjnym umożliwia firmom w identyfikacji braków w systemie cyberbezpieczeństwa (np. niewykrywalnych scenariuszy włamań, których wykrycie wymaga użycia specjalistycznych narzędzi) i dzięki temu wydatki na cyberbezpieczeństwo są w pełni uzasadnione.
Ćwiczenia zaawansowanych scenariuszy cyberataków odbywają się z użyciem aplikacji Cyber Soldier. Jest to aplikacja edukacyjna, która pomaga specjalistom IT nie posiadającym głębokiej wiedzy ofensywnej (red team, hacking) w wykonaniu realnych scenariuszy włamań do systemów informatycznych. Wszystkie scenariusze włamań są oparte na wiarygodnych źródłach z wywiadu cybernetycznego (Threat Intelligence) - scenariusze cyberataków są realistyczne, aplikacja Cyber Soldier Project zachowuje się jak prawdziwi cyberprzestępcy. Przy tym nie jest to "automat black box" - aplikacja Cyber Soldier Project pokazuje i tłumaczy ludziom jak przebiegają rzeczywiste scenariusze włamań.
Program szkolenia:
Scenariusz 1. Rozpoznanie Active Directory
Scenariusz 2. Rozpoznanie sieci (serwisy SSH, katalogi SMB, Web, bazy danych)
Scenariusz 3. Łamanie haseł kont serwisowych w domenie Windows (Kerberoasting)
Scenariusz 4. (opcja powolna) Łamanie haseł kont serwisowych w domenie Windows (Kerberoasting)
Scenariusz 5. Wyszukiwanie poświadczeń i innych wrażliwych danych w katalogach sieciowych SMB
Scenariusz 6. Wykorzystanie podatności usługi SMB na starszych serwerach Windows - MS17-010 Eternal
Scenariusz 7. Password spraying na kontach domenowych
Scenariusz 8. Password spraying na kontach lokalnych administratorów
Scenariusz 9. Password spraying na systemach Linux, dostęp do SSH
Scenariusz 10. Password spraying na bazach danych MS SQL, wykonywanie poleceń systemu operacyjnego
Scenariusz 11. Password spraying na bazach danych MySQL, łamanie hashy haseł kont bazy danych
Scenariusz 12. Web Shell przy użyciu edytowalnego udziału SMB na serwerze Web, wykonanie polecenia na systemie Windows
Scenariusz 13. Zaślepienie AV/EDR przy użyciu konta lokalnego administratora
Scenariusz 14. Zrzut poświadczeń SAM za pomocą hasła administratora lub NTLM hash
Scenariusz 15. Zrzut poświadczeń LSASS za pomocą hasła administratora lub NTLM hash
Scenariusz 16. Wykorzystanie Microsoft Certificate Authority (MSCA) do uzyskania uprawnień administratora domeny
Scenariusz 17. Przechwytywanie poświadczeń Net-NTLMv2 w sieci i relaying SMB
Scenariusz 18. Lateral movement do systemów Windows z użyciem różnych protokołów (SMB, WinRM, WMI, RDP)
Scenariusz 19. Wykorzystanie podatności Active Directory do eskalacji uprawnień i odczytu poświadczeń (DCSync)
Scenariusz 20. Wykorzystanie uprawnień Backup Operators do zrzutu poświadczeń kont domenowych
Scenariusz 21. Wykorzystanie uprawnień Constrained Delegation do uzyskania dostępu administratora systemu Windows
Scenariusz 22. Wykorzystanie uprawnień grupy Account Operators do odczytu LAPS (konta administratora lokalnego)
Scenariusz 23. Wykorzystanie uprawnień grupy Account Operators do odczytu gMSA (konta serwisowe)
Scenariusz 24. Kradzież tokenów Kerberos i lateral movement z użyciem tokenów kont uprzywilejowanych
Scenariusz 25. Zaślepienie AV/EDR i eskalacja konta serwisowego do administratora Windows (poziom SYSTEM)
Scenariusz 26. Command and Control - tunelowanie ataków na wewnętrzną sieć przez SOCKS Proxy
Scenariusz 27. Rekonesans usług Web w sieci
Scenariusz 28. Wykorzystanie WordPress do załadowania Web Shell, wykonywanie poleceń systemu operacyjnego
Scenariusz 29. Atak Password spraying i dostęp do baz danych Postgres
Scenariusz 30. Atak Password spraying i dostęp do baz danych ORACLE
Inne scenariusze cyberataku wynikające z specyfiki i istniejących podatności systemu informatycznego
Okres realizacji ćwiczeń 30 DNI CENA 45 000 PLN Warunek udziału w ćwiczeniach:
Osoby odpowiedzialne za zarządzanie cyberbezpieczeństwem odbyły podstawowe szkolenie Incident Response w Cyber Range.
Organizacja ćwiczeń:
Zespół Blue Team / SOC okresowo otrzymuje raporty z wykonanych scenariuszy cyberataków. W przypadku wykrycia krytycznych podatności informacje na ten temat są niezwłocznie przekazywane wraz z rekomendacjami naprawy.
Zasady bezpieczeństwa w trakcie realizacji ćwiczeń:
- Maszyna Cyber Soldier Project (image Linux dla VMware) jest podłączona do segmentu sieci użytkowników i posiada adres IP z tej sieci (scenariusz Assume Breach).
- Dostęp do maszyny Cyber Soldier Project odbywa się poprzez VPN za pomocą protokołów SSH i VNC.
- Maszyna Cyber Soldier Project nie ma dostępu do sieci Internet - adres IP maszyny jest zablokowany na firewallu internetowym i Web Proxy (gdy jest używane).
- Maszyna Cyber Soldier Project po zakończeniu testów jest na trwałe usuwana (maszyna w trakcie testów bezpieczeństwa przetwarza dane wrażliwe).
Programy szkoleniowe „Incident Response” oraz „Red Teaming” zostały opracowane przez zespół ekspertów posiadających najwyższe kompetencje w obszarze ofensywnym i defensywnym, potwierdzone uznanymi certyfikacjami, takimi jak:
- OffSec Experienced Penetration Tester (OSEP)
- OffSec Web Expert (OSWE)
- OffSec Certified Professional (OSCP)
- (ISC)² Certified Information Systems Security Professional (CISSP)
- EC-Council Certified Ethical Hacker (CEH) Master
- EC-Council Certified Chief Information Security Officer (CCISO)
- Certified SCADA Security Architect
- Certyfikowani inżynierowie bezpieczeństwa dla rozwiązań: Check Point, CyberArk, Palo Alto Networks, SentinelOne, Trend Micro i innych.