Incident Response w środowisku produkcyjnym

Najbardziej efektywna metoda nauki reagowania na cyberincydenty to wykonane rzeczywistych cyberataków w środowisku produkcyjnym firmy i zaangażowanie ludzi odpowiedzialnych za zarządzanie cyberbezpieczeństwem w ich obsługę. Żadne szkolenia w środowiskach testowych nie dają tej bezcennej wiedzy. Nie warto czekać na rzeczywiste włamanie do organizacji - aplikacja Cyber Soldier Project* umożliwia bezpieczne, kontrolowane wykonanie realnych scenariuszy cyberataków w sieciach produkcyjnych i naukę reagowania na cyberincydenty z użyciem dostępnych w firmie narzędzi EDR, NGFW, SIEM, itd.

Robot 2

Dlaczego ćwiczenia Incident Response wykonujemy w środowisku produkcyjnym?

1. Użycie narzędzi Cyber Soldier Project* umożliwia bezpieczne, kontrolowane wykonanie realnych scenariuszy cyberataków (opartych na Threat Intelligence) w sieci produkcyjnej firmy i efektywne doskonalenie kompetencji ludzi odpowiedzialnych za zarządzanie cyberbezpieczeństwem w zakresie wczesnego wykrywania działań cyberprzestępców z użyciem dostępnych w firmie narzędzi cyberbezpieczeństwa. Wiele technik cyberataków jest wykrywanych, ale nie blokowanych przez zabezpieczenia (m.in. rekonesans, brute force, ataki na Kerberos) – od wczesnej i poprawnej reakcji ludzi zależy, czy cyberprzestępcy zostaną usunięci z sieci organizacji zanim spowodują straty.

2. Wykonanie realnych scenariuszy cyberataków w środowisku produkcyjnym pomaga firmom w przygotowaniach do spełnienia rygorystycznych wymagań nowej Ustawy o Krajowym Systemie Cyberbezpieczeństwa (adaptacja NIS2) oraz w sektorze finansowym wymagań DORA w odniesieniu do testów red team w środowiskach produkcyjnych zgodnie z TIBER-EU, Threat Intelligence-based Ethical Red Teaming.  

3. Wykonanie realnych scenariuszy cyberataków w środowisku produkcyjnym umożliwia wykrycie podatności wykorzystywanych przez cyberprzestępców w czasie rzeczywistych włamań do firm, których nie ma możliwości wykryć za pomocą skanerów podatności, m.in. nadmiarowe przywileje Active Directory, słabe hasła kont serwisowych (Kerberoasting), pliki konfiguracyjne w hasłami w katalogach SMB, łatwy dostęp do baz MS SQL, Oracle i MySQL, błędy w konfiguracji Microsoft CA, łatwe do przejęcia konta serwisowe z przywilejami Constrained Delegation, łatwe do przejęcia starsze wersji Windows i dostępne w nich poświadczenia (NTLM hash, tokeny Kerberos) kont o wysokich przywilejach w domenie Windows (np. Account Operators, Backup Operators), serwery Web z możliwością umieszczenia Web Shell i włamania do systemu operacyjnego, systemy podatne na uruchomienie narzędzi Command and Control, itd.

4. Wykonanie realnych scenariuszy cyberataków w środowisku produkcyjnym umożliwia firmom w identyfikacji braków w systemie cyberbezpieczeństwa (np. niewykrywalnych scenariuszy włamań, których wykrycie wymaga użycia specjalistycznych narzędzi) i dzięki temu wydatki na cyberbezpieczeństwo są w pełni uzasadnione.

 

*Cyber Soldier Project to aplikacja edukacyjna, która pomaga specjalistom IT nie posiadającym głębokiej wiedzy ofensywnej (red team, hacking) w wykonaniu realnych scenariuszy włamań do systemów informatycznych. Wszystkie scenariusze włamań są oparte na wiarygodnych źródłach z wywiadu cybernetycznego (Threat Intelligence) - scenariusze cyberataków są realistyczne, aplikacja Cyber Soldier Project zachowuje się jak prawdziwi cyberprzestępcy. Przy tym nie jest to "automat back box" - aplikacja Cyber Soldier Project pokazuje i tłumaczy ludziom jak przebiegają rzeczywiste scenariusze włamań.

Program szkolenia:

Scenariusz 1. Rozpoznanie Active Directory

Scenariusz 2. Rozpoznanie sieci (serwisy SSH, katalogi SMB, Web, bazy danych)

Scenariusz 3. Łamanie haseł kont serwisowych w domenie Windows (Kerberoasting)

Scenariusz 4. Wyszukiwanie poświadczeń i innych wrażliwych danych w katalogach sieciowych SMB

Scenariusz 5. Wykorzystanie podatności usługi SMB na starszych serwerach Windows - MS17-010 Eternal

Scenariusz 6. Password spraying na kontach domenowych

Scenariusz 7. Password spraying na kontach lokalnych administratorów

Scenariusz 8. Password spraying na systemach Linux

Scenariusz 9. Password spraying na bazach danych MS SQL

Scenariusz 10. Password spraying na bazach danych MySQL

Scenariusz 11. Web Shell przy użyciu edytowalnego udziału SMB na serwerze Web, wykonanie polecenia na systemie Windows

Scenariusz 12. Zaślepienie AV/EDR przy użyciu konta lokalnego administratora

Scenariusz 13. Zrzut poświadczeń SAM za pomocą hasła administratora lub NTLM hash

Scenariusz 14. Zrzut poświadczeń LSASS za pomocą hasła administratora lub NTLM hash

Scenariusz 15. Wykorzystanie Microsoft Certificate Authority (MSCA) do uzyskania uprawnień administratora domeny

Scenariusz 16. Przechwytywanie poświadczeń Net-NTLMv2 w sieci i relaying SMB

Scenariusz 17. Lateral movement do systemów Windows z użyciem różnych protokołów (SMB, WinRM, WMI, RDP)

Scenariusz 18. Wykorzystanie podatności Active Directory do eskalacji uprawnień i odczytu poświadczeń (DCSync)

Scenariusz 20. Wykorzystanie uprawnień Backup Operators do zrzutu poświadczeń kont domenowych

Scenariusz 21. Wykorzystanie uprawnień Constrained Delegation do uzyskania dostępu administratora systemu Windows

Scenariusz 22. Wykorzystanie uprawnień grupy Account Operators do odczytu LAPS (konta administratora lokalnego)

Scenariusz 23. Wykorzystanie uprawnień grupy Account Operators do odczytu gMSA (konta serwisowe)

Scenariusz 24. Lateral movement z użyciem skradzionych tokenów Kerberos kont uprzywilejowanych

Scenariusz 25. Zaślepienie AV/EDR i eskalacja konta serwisowego do administratora Windows (poziom SYSTEM)

Scenariusz 26. Command and Control - tunelowanie ataków na wewnętrzną sieć przez SOCKS Proxy 

Okres realizacji ćwiczeń 30 DNI
CENA 45 000 PLN

Warunek udziału w ćwiczeniach:

Osoby odpowiedzialne za zarządzanie cyberbezpieczeństwem odbyły podstawowe szkolenie Incident Response w Cyber Range.

Szkolenia INCIDENT RESPONSE


Organizacja ćwiczeń:

Zespół Blue Team / SOC okresowo otrzymuje raporty z wykonanych scenariuszy cyberataków. W przypadku wykrycia krytycznych podatności informacje na ten temat są niezwłocznie przekazywane wraz z rekomendacjami naprawy.


Zasady bezpieczeństwa w trakcie realizacji ćwiczeń:

  1. Maszyna Cyber Soldier Project (image Linux dla VMware) jest podłączona do segmentu sieci użytkowników i posiada adres IP z tej sieci (scenariusz Assume Breach).
  2. Dostęp do maszyny Cyber Soldier Project odbywa się poprzez VPN za pomocą protokołów SSH i VNC.
  3. Maszyna Cyber Soldier Project nie ma dostępu do sieci Internet - adres IP maszyny jest zablokowany na firewallu internetowym i Web Proxy (gdy jest używane).
  4. Maszyna Cyber Soldier Project po zakończeniu testów jest na trwałe usuwana (maszyna w trakcie testów bezpieczeństwa przetwarza dane wrażliwe).