Кибербезопасность: стратегии атак и обороны

Юрий Диогенес, Эрдаль Озкайя

Кибербезопасность:  
стратегии атак и обороны

Yuri Diogenes, Erdal Ozkaya

Cybersecurity – Attack 
and Defense Strategies

Infrastructure security with Red Team and Blue Team tactics

BIRMINGHAM – MUMBAI

Юрий Диогенес, Эрдаль Озкайя

Кибербезопасность:  
стратегии атак и обороны

Безопасность инфраструктуры  
с использованием тактик Красной и Синей команд

Москва, 2020

УДК 004.56
ББК 32.973, 018.2
Д44

Диогенес Ю., Озкайя Э.
Д44 
Кибербезопасность: стратегии атак и обороны / пер. с анг. Д. А. Беликова. – 
М.: ДМК Пресс, 2020. – 326 с.: ил. 

ISBN 978-5-97060-709-1

Книга посвящена многим аспектам компьютерной безопасности - начиная от стратегии 
защиты до управления уязвимостями. В ней рассматриваются различные отраслевые 
стандарты и передовые методы реагирования, процессы взлома данных и политики 
безопасности, базовые средства контроля безопасности.
Предполагается, что читатели этой книги знакомы с основными понятиями информационной 
безопасности и операционными системами Windows и Linux.
Издание будет полезно специалистам по информационной безопасности и всем IT-
специалистам, которые хотят узнать больше о кибербезопасности.

УДК 004.56
ББК 32.973, 018.2

Authorized Russian translation of the English edition of Cybersecurity – Attack and Defense 
Strategies ISBN 9781788475297 © 2018 Packt Publishing.
This translation is published and sold by permission of Packt Publishing, which owns or 
controls all rights to publish and sell the same.

Все права защищены. Любая часть этой книги не может быть воспроизведена в какой 
бы то ни было форме и какими бы то ни было средствами без письменного разрешения 
владельцев авторских прав.

ISBN 978-1-78847-529-7 (анг.) 
© 2018 Packt Publishing
ISBN 978-5-97060-709-1 (рус.) 
© Оформление, издание, перевод, ДМК Пресс, 2020

Содержание

Об авторах ..........................................................................................................11

О рецензентах ..............................................................................................12

Предисловие ......................................................................................................13

Глава 1. Стратегия безопасности ...............................................................17
Текущий ландшафт киберугроз ...........................................................................17
Учетные данные – аутентификация и авторизация ......................................20
Приложения ......................................................................................................21
Данные ..............................................................................................................23
Проблемы кибербезопасности ............................................................................24
Старые методы и более широкие результаты ................................................24
Изменение ландшафта угроз ...........................................................................25
Улучшение стратегии безопасности ...................................................................26
Красная и Синяя команды ...................................................................................27
Подразумеваем взлом ......................................................................................30
Справочные материалы .......................................................................................31
Резюме ...................................................................................................................33

Глава 2. Процесс реагирования на компьютерные инциденты ...........34
Процесс реагирования на компьютерные инциденты ......................................34
Причины иметь в своем распоряжении процесс реагирования  
на компьютерные инциденты .........................................................................35
Создание процесса реагирования на компьютерные инциденты ................37
Команда реагирования на компьютерные инциденты .....................................39
Жизненный цикл компьютерного инцидента ...............................................40
Обработка инцидента ..........................................................................................40
Передовые методы оптимизации обработки компьютерных  
инцидентов .......................................................................................................43
Деятельность после инцидента ...........................................................................44
Реальный сценарий ..........................................................................................44
Выводы ..............................................................................................................45
Реагирование на компьютерные инциденты в облаке ......................................46
Обновление процесса реагирования, чтобы включить облако .....................47
Справочные материалы .......................................................................................48
Резюме ...................................................................................................................48

 Содержание

Глава 3. Жизненный цикл атаки ................................................................50

Внешняя разведка.................................................................................................50
Сканирование ...................................................................................................51
Доступ и повышение привилегий .......................................................................61
Вертикальное повышение привилегий ..........................................................62
Горизонтальное повышение привилегий .......................................................63
Проникновение и утечки .....................................................................................63
Тыловое обеспечение ...........................................................................................64
Штурм ....................................................................................................................65
Обфускация ...........................................................................................................66
Управление жизненным циклом угроз ...............................................................67
Справочные материалы .......................................................................................70
Резюме ...................................................................................................................72

Глава 4. Разведка и сбор данных ..................................................................73

Внешняя разведка.................................................................................................73
Копание в мусоре ..............................................................................................73
Социальные сети ..............................................................................................74
Социальная инженерия ....................................................................................75
Внутренняя разведка ............................................................................................82
Анализ трафика и сканирование .....................................................................83
Вардрайвинг ......................................................................................................89
Завершая эту главу ...............................................................................................91
Справочные материалы .......................................................................................92
Резюме ...................................................................................................................93

Глава 5. Компрометация системы .............................................................94

Анализ современных тенденций.........................................................................94
Вымогательство ................................................................................................95
Манипулирование данными ............................................................................96
Атаки на IoT-устройства ...................................................................................97
Бэкдоры .............................................................................................................98
Атаки на мобильные устройства .....................................................................99
Взлом повседневных устройств .......................................................................99
Взлом облака ...................................................................................................100
Фишинг ................................................................................................................102
Эксплуатация уязвимостей ................................................................................104
Уязвимость нулевого дня ...................................................................................104
Фаззинг ............................................................................................................105
Анализ исходного кода...................................................................................105
Типы эксплойтов нулевого дня .....................................................................106
Перезапись структурированного обработчика исключений .......................107

Содержание  7

Выполнение шагов, направленных на компрометацию системы ..................107
Развертывание полезных нагрузок ...............................................................108
Компрометация операционных систем ........................................................111
Компрометация удаленной системы ............................................................114
Компрометация веб-приложений .................................................................116
Справочные материалы .....................................................................................118
Резюме .................................................................................................................120

Глава 6. Охота на пользовательские реквизиты ...................................121

Реквизиты доступа – новый периметр .............................................................121
Стратегии компрометации реквизитов доступа пользователя ......................124
Получение доступа к сети ..............................................................................125
Сбор учетных данных .....................................................................................126
Взлом реквизитов доступа пользователя .........................................................128
Полный перебор .............................................................................................128
Социальная инженерия ..................................................................................130
Атака Pass-the-hash ........................................................................................136
Другие способы взлома реквизитов доступа ................................................139
Справочные материалы .....................................................................................139
Резюме .................................................................................................................139

Глава 7. Дальнейшее распространение по сети ......................................141

Инфильтрация ....................................................................................................142
Построение карты сети ..................................................................................142
Избежать оповещений ...................................................................................143
Дальнейшее распространение ...........................................................................144
Сканирование портов ....................................................................................144
Sysinternals ......................................................................................................145
Общие файловые ресурсы..............................................................................147
Удаленный доступ к рабочему столу .............................................................148
PowerShell ........................................................................................................150
Инструментарий управления Windows .........................................................150
Запланированные задачи ..............................................................................151
Кража авторизационных токенов .................................................................153
Атака Pass-the-hash ........................................................................................153
Active Directory ................................................................................................154
Удаленный доступ к реестру ..........................................................................155
Анализ взломанных хостов ...........................................................................155
Консоли центрального администратора .......................................................156
Кража сообщений электронной почты .........................................................156
Справочные материалы .....................................................................................156
Резюме .................................................................................................................157

 Содержание

Глава 8. Повышение привилегий ................................................................158
Инфильтрация ....................................................................................................158
Горизонтальное повышение привилегий .....................................................159
Вертикальное повышение привилегий ........................................................159
Как избежать оповещений .................................................................................160
Выполнение повышения привилегий ...............................................................161
Эксплуатация неисправленных операционных систем ..............................162
Манипулирование маркерами доступа ........................................................163
Эксплуатация специальных возможностей ..................................................164
Application  Shimming .....................................................................................165
Обход контроля над учетной записью пользователя ...................................169
Внедрение DLL-библиотек .............................................................................170
Перехват порядка поиска DLL .......................................................................172
Перехват поиска dylib .....................................................................................172
Исследование уязвимостей ............................................................................173
Запускаемые демоны .....................................................................................174
Практический пример повышения привилегий в Windows 8 .....................175
Выводы ................................................................................................................176
Справочные материалы .....................................................................................177
Резюме .................................................................................................................178

Глава 9. Политика безопасности .................................................................179
Проверка политики безопасности .....................................................................179
Обучение конечного пользователя ...................................................................181
Рекомендации по безопасности для пользователей социальных сетей ....182
Тренинг по безопасности ...............................................................................183
Использование политики ...................................................................................183
Белый список приложений ............................................................................185
Усиление защиты ............................................................................................187
Мониторинг на предмет соответствия..............................................................191
Справочные материалы .....................................................................................195
Резюме .................................................................................................................195

Глава 10. Сегментация сети ......................................................................197
Глубоко эшелонированная защита ....................................................................197
Инфраструктура и службы .............................................................................198
Документы в процессе передачи ...................................................................199
Конечные точки ..............................................................................................201
Сегментация физической сети ..........................................................................201
Открывая схему сети ......................................................................................203
Обеспечение удаленного доступа к сети ..........................................................206
VPN типа «сеть–сеть» .....................................................................................207
Сегментация виртуальной сети .........................................................................208

Содержание  9

Безопасность гибридной облачной сети ...........................................................210
Справочные материалы .....................................................................................212
Резюме .................................................................................................................213

Глава 11. Активные сенсоры ....................................................................214
Возможности обнаружения................................................................................214
Индикаторы компрометации ........................................................................216
Системы обнаружения вторжений ....................................................................218
Система предотвращения вторжений ...............................................................219
Обнаружение на основе правил ....................................................................220
Обнаружение на основе аномалий ................................................................221
Поведенческая аналитика внутри организации ..............................................221
Размещение устройств ...................................................................................226
Поведенческая аналитика в гибридном облаке ...............................................226
Центр безопасности Azure .............................................................................226
Справочные материалы .....................................................................................232
Резюме .................................................................................................................232

Глава 12. Киберразведка ..........................................................................233
Введение в киберразведку .................................................................................233
Инструментальные средства киберразведки с открытым исходным  
кодом ...................................................................................................................237
Средства киберразведки компании Microsoft ..................................................242
Центр безопасности Azure .............................................................................242
Использование киберразведки для расследования подозрительной  
деятельности .......................................................................................................245
Справочные материалы .....................................................................................248
Резюме .................................................................................................................248

Глава 13. Расследование инцидента ......................................................249
Масштаб проблемы ............................................................................................249
Ключевые артефакты .....................................................................................250
Исследование скомпрометированной системы внутри организации ...........255
Исследование скомпрометированной системы в гибридном облаке ............259
Ищите и обрящете ..........................................................................................266
Выводы ................................................................................................................267
Справочные материалы .....................................................................................268
Резюме .................................................................................................................268

Глава 14. Процесс восстановления .............................................................269
План послеаварийного восстановления ...........................................................269
Процесс планирования послеаварийного восстановления .........................270
Вызовы ............................................................................................................274

 Содержание

Восстановление без перерыва в обслуживании ...............................................274
Планирование на случай непредвиденных обстоятельств..............................276
Процесс планирования на случай непредвиденных обстоятельств  
в сфере IT.........................................................................................................277
Передовые методы восстановления ..................................................................282
Справочные материалы .....................................................................................283
Резюме .................................................................................................................283

Глава 15. Управление уязвимостями ..........................................................285
Создание стратегии управления уязвимостями ..............................................285
Инвентаризация ресурсов .............................................................................286
Управление информацией .............................................................................286
Оценка рисков ................................................................................................288
Оценка уязвимостей .......................................................................................290
Отчеты и отслеживание исправлений ..........................................................291
Планирование реагирования .........................................................................292
Инструменты управления уязвимостями .....................................................293
Реализация управления уязвимостями ............................................................300
Передовые методы управления уязвимостями ................................................302
Реализация управления уязвимостями с помощью Nessus ............................304
Flexera (Secunia) Personal Software Inspecto ......................................................310
Заключение .........................................................................................................312
Справочные материалы .....................................................................................313
Резюме .................................................................................................................314

Глава 16. Анализ журналов ...........................................................................315
Сопоставление данных .......................................................................................315
Журналы операционной системы .....................................................................316
Журналы Windows ..........................................................................................317
Журналы Linux ................................................................................................320
Журналы брандмауэра .......................................................................................320
Журналы веб-сервера .........................................................................................322
Справочные материалы .....................................................................................323
Резюме .................................................................................................................323

Предметный указатель .............................................................................324

Об авторах

Юрий Диогенес – профессор Университета EC-Council. Получил степень ма-
гистра по кибербезопасности в колледже UTICA и степень магистра делового 
администрирования в FGV, Бразилия. В настоящее время имеет сертификаты 
CISSP, CyberSec First Responder, CompTIA CSA+, E|CEH, E|CSA, E|CHFI, E|CND, Cy-
berSec First Responder, CompTIA, Security+, CompTIA Cloud Essentials, Network+, 
Mobility+, CASP, CSA+, MCSE, MCTS и Microsoft Specialist – Azure.

Прежде всего я хотел бы поблагодарить Бога за предоставленную мне воз-
можность написать еще одну книгу. Я также хотел бы поблагодарить 
свою жену Александру и дочерей Янн и Айсис за их безоговорочную под-
держку. Выражаю благодарность своему соавтору и другу Эрдалю Озкайе 
за прекрасное партнерство и Амрите Норонье за ее удивительную поддержку 
на протяжении всего этого проекта.

Эрдаль Озкайя – доктор философии в области кибербезопасности, магистр 
безопасности информационных систем и компьютерных исследований. Имеет 
сертификаты CEI, MCT, MCSE, E|CEH, E|CSA, E|CISO, CFR и CISSP. Он работает 
в компании Microsoft архитектором по кибербезопасности и консультантом по 
вопросам ИБ, а по совместительству преподает в Университете Чарльза Стерта 
в Австралии. Является соавтором множества учебных материалов по сертификации 
безопасности для различных поставщиков и выступает на международных 
конференциях, имеет множество наград в своей области. Он много работает 
над тем, чтобы сделать кибермир безопасным.

Я бы хотел поблагодарить свою жену Арзу и моих детей Джемре и Азру 
за их поддержку и любовь и выразить особую благодарность моим родителям 
и братьям, которые помогли мне стать тем, кто я есть. Я также 
хотел бы поблагодарить своего руководителя, доктора Рафикула Ислама, 
за его помощь всякий раз, когда она была мне нужна.

О рецензентах 

Виджай Кумар Велу – специалист по информационной безопасности, автор, 
докладчик и блогер.  В настоящее время он живет в Малайзии. Имеет более чем 
11-летний опыт работы в IT-индустрии. Является лицензированным специали-
стом по тестированиям на проникновения и специализируется на предостав-
лении технических решений различных киберпроблем. Автор книг Mastering 
Kali Linux for Advanced Penetration Testing (второе издание) и Mobile Application 
Penetration Testing.
Паскаль Акерман – опытный профессионал в области промышленной 
безопас ности. Имеет степень по электротехнике и более чем 15-летний опыт 
в проектировании, поиске, устранении неисправностей и защите крупных 
промышленных систем управления и различных типов сетевых технологий. 
После более чем десятилетнего практического опыта работы в полевых усло-
виях в 2015 г. он стал работать в компании Rockwell Automation. В настоящее 
время является старшим консультантом по промышленной кибербезопасно-
сти в Network and Security Services Group, а недавно стал цифровым кочевни-
ком и теперь путешествует по миру со своей семьей, сражаясь с киберпротив-
никами.

Предисловие

Когда ландшафт угроз постоянно расширяется, возникает необходимость 
иметь надежную стратегию в области безопасности, что в действительности 
означает усиление защиты, обнаружения и реагирования. На протяжении этой 
книги вы будете изучать методы атак и шаблоны, позволяющие распознавать 
аномальное поведение в вашей организации, с помощью тактических при-
емов Синей команды. Вы также научитесь методам сбора данных об эксплуа-
тации, выявления рисков и продемонстрируете влияние на стратегии Красной 
и Синей команд.

Для кого эта книга

Эта книга предназначена для специалистов по информационной безопасно-
сти и IT-специалистов, которые хотят узнать больше о кибербезопасности.

о чем иДет речь в этой книге

Глава 1 «Стратегия безопасности» определяет, что представляет собой данная 
стратегия и насколько важно наличие хорошей стратегии защиты и атаки.
Глава 2 «Процесс реагирования на компьютерные инциденты» знакомит с про-
цессом реагирования на компьютерные инциденты и его значением. В ней 
рассматриваются различные отраслевые стандарты и передовые методы ре-
агирования.
Глава 3 «Жизненный цикл атаки» готовит читателя к пониманию того, как 
мыслит злоумышленник, знакомит с различными этапами атаки и тем, что 
обычно происходит на каждом из этих этапов.
Глава 4 «Разведка и сбор данных» рассказывает о различных стратегиях про-
ведения разведки и о том, как собирать данные для получения информации 
о цели, чтобы спланировать атаку.
Глава 5 «Компрометация системы» демонстрирует текущие тенденции 
в стратегии по взлому системы и объясняет, как скомпрометировать ее.
Глава 6 «Охота на пользовательские реквизиты» объясняет важность защиты 
реквизитов доступа пользователя во избежание кражи учетных данных, а так-
же рассматривает процесс взлома данных реквизитов.
В главе 7 «Дальнейшее распространение по сети» описывается, как злоумыш-
ленники выполняют дальнейшее распространение по сети, после того как за-
разили систему.
Глава 8 «Повышение привилегий» показывает, как злоумышленники могут по-
высить привилегии, чтобы получить доступ к сетевой системе с правами адми-
нистратора.

 Предисловие

Глава 9 «Политика безопасности» фокусируется на различных аспектах началь-
ной стратегии защиты, которая начинается с важности хорошо продуманной по-
литики безопасности и охватывает передовые методы безопасности, стандарты, 
тренинги по безопасности и базовые средства контроля безопасности.
В главе 10 «Сегментация сети» подробно рассматриваются различные аспек-
ты защиты, включая физическую сегментацию сети, а также виртуальное 
и гиб ридное облака.
Глава 11 «Активные сенсоры» подробно описывает различные типы сетевых 
сенсоров, которые помогают организациям обнаруживать атаки.
В главе 12 «Киберразведка» рассказывается о различных аспектах киберраз-
ведки, включая сообщество и основных поставщиков.
В главе 13 «Расследование инцидента» рассматриваются два тематических ис-
следования для локальной скомпрометированной системы и облачной ском-
прометированной системы, а также показываются все этапы, связанные с рас-
следованием безопасности.
Глава 14 «Процесс восстановления» фокусируется на процессе восстановле-
ния взломанной системы и объясняет, насколько важно знать, какие парамет-
ры доступны, поскольку моментальное восстановление системы невозможно 
при определенных обстоятельствах.
В главе 15 «Управление уязвимостями» описывается важность управления 
уязвимостями для нейтрализации процесса эксплуатации уязвимостей. В ней 
показываются текущая картина угроз и растущее число программ-вымогате-
лей, эксплуатирующих известные уязвимости.
В главе 16 «Анализ журналов» рассматриваются различные методы ручно-
го анализа журналов, поскольку читателю важно получить знания о том, как 
подробно анализировать различные типы журналов для обнаружения подо-
зрительных действий.

чтобы получить максимальную отДачу от этой книги

1.  Мы предполагаем, что читатели этой книги знакомы с основными понятия-
ми информационной безопасности и операционными системами Windows 
и Linux.
2.  Некоторые демонстрации из этой книги также могут быть проведены в ла-
бораторной среде, поэтому мы рекомендуем вам создать виртуальную лабо-
раторию, используя виртуальные машины Windows Server 2012, Windows 10 
и Kali Linux.

Скачать цветные изображения 
Мы также предоставляем PDF-файл с цветными изображениями скриншотов/
диаграмм, используемых в этой книге. Вы можете скачать его здесь: http://
www.packtpub.com/sites/default/files/downloads/CybersecurityAttackandDefenseS-
trategies_ColorImages.pdf.

Список опечаток  15

Используемые условные обозначения
В этой книге используется ряд текстовых обозначений.
КодВТексте: указывает кодовые слова в тексте, имена таблиц базы данных, папок 
и файлов, расширения файлов, пути, фиктивные URL-адреса, ввод данных 
пользователем и имена пользователей в Twitter. Например: «Смонтируйте загруженный 
файл образа диска WebStorm-10 * .dmg в качестве еще одного диска 
в вашей системе».
Жирный шрифт: обозначает новый термин, важное слово или слова, которые 
вы видите на экране. Например, слова в меню или диалоговых окнах 
выглядят в тексте следующим образом: «Выберите раздел Системная информация 
на панели Администрирование».

 Так будут оформляться советы и подсказки.

 Так будут оформляться предупреждения и важные примечания.

отзывы и пожелания

Мы всегда рады отзывам наших читателей. Расскажите нам, что вы думаете об 
этой книге – что понравилось или, может быть, не понравилось. Отзывы важны 
для нас, чтобы выпус кать книги, которые будут для вас максимально полезны.
Вы можете написать отзыв на нашем сайте www.dmkpress.com, зайдя на 
страницу книги и оставив комментарий в разделе «Отзывы и рецензии». Также 
можно послать письмо главному редактору по адресу dmkpress@gmail.com; 
при этом укажите название книги в теме письма. 
Если вы являетесь экспертом в какой-либо области и заинтересованы в написании 
новой книги, заполните форму на нашем сайте по адресу http://dm-
kpress.com/authors/publish_book/ или напишите в издательство по адресу dmk-
press@gmail.com.

скачивание исхоДного коДа примеров

Скачать файлы с дополнительной информацией для книг издательства «ДМК 
Пресс» можно на сайте www.dmkpress.com или www.дмк.рф на странице с описанием 
соответствующей книги. 

список опечаток

Хотя мы приняли все возможные меры для того, чтобы обеспечить высокое 
качество наших текстов, ошибки все равно случаются. Если вы найдете ошибку 
в одной из наших книг – возможно, ошибку в основном тексте или программном 
коде, – мы будем очень благодарны, если вы сообщите нам о ней. Сделав 
это, вы избавите других читателей от недопонимания и поможете нам улучшить 
последующие издания этой книги. 

 Предисловие

Если вы найдете какие-либо ошибки в коде, пожалуйста, сообщите о них 
главному редактору по адресу dmkpress@gmail.com, и мы исправим это в следующих 
тиражах.

нарушение авторских прав

Пиратство в интернете по-прежнему остается насущной проблемой. Издатель-
ства «ДМК Пресс» и Packt очень серь езно относятся к вопросам защиты автор-
ских прав и лицензирования. Если вы столкнетесь в интернете с незаконной 
публикацией какой-либо из наших книг, пожалуйста, пришлите нам ссылку на 
интернет-ресурс, чтобы мы могли применить санкции.
Ссылку на подозрительные материалы можно прислать по адресу электрон-
ной поч ты dmkpress@gmail.com.
Мы высоко ценим любую помощь по защите наших авторов, благодаря кото-
рой мы можем предоставлять вам качественные материалы.