Upload
expolink
View
78
Download
1
Embed Size (px)
Citation preview
KASPERSKY ANTI TARGETED ATTACKСТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ
Виталий Федоров
Инженер предпродажной поддержки#CODEIB
>200 дней
ПодготовкаПоиск целиСоздание стратегииПодготовка инструментов
Расширение влиянияПолучение полномочий
Кража паролейРаспространение заражения
Kaspersky Anti Targeted Attack 2
ЦЕЛЕВАЯ АТАКА КАК ПРОЦЕСС
ПроникновениеИспользование уязвимостейПроникновение за периметр
ЭксплуатацияКража данных
Сокрытие следовУдаление улик
Создание черного хода
#CODEIB
НОВЫЕ ВЫЗОВЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Kaspersky Anti Targeted Attack
Усложнение ИТ-инфраструктуры
Защита периметра – не панацея
Снижение стоимости атак
Рост нетехнических способов атак
Атаки на SMB-компании и через 3-ью сторону
Атака остается необнаруженной долгое время
#CODEIB
ЛАНДШАФТ УГРОЗ ГЛАЗАМИ ЗАКАЗЧИКА
Kaspersky Anti Targeted Attack
Классические решения
Endpoint Protection
Firewall, IDS/IPS
Access Control
Data Leakage Prevention
Web/mail gateway
Нужна новая защита?
APT: непонятно, но очень опасно
Неизвестныеугрозы
Известные угрозы
99%
Менее1% Зачем инвестировать,
если компания может никогда не стать целью?
…
#CODEIB
Kaspersky Anti Targeted Attack
РЕАЛЬНАЯ СИТУАЦИЯ*
Традиционные киберугрозы
Целевые атакина организации
Кибероружие
90%
9,9%
0,1% 53%
$2M
$112K
организаций потеряли конфиденциальные данные
средняя стоимость утечки данных для SMB-компании
средняя стоимость утечки в Enterprise-секторе
* Источник: Global IT Security Risks Survey 2015, B2B International
#CODEIB
УЩЕРБ В СЛУЧАЕ РЕАЛИЗАЦИИ УГРОЗЫ
Простои
Прямыепотери
Последующиетраты
Упущенные возможности
Восстановление
ИТ/ИБ-консалтингPR-активностьСудебные издержки
Потеря прибыли во время простоя
Потеря данныхПотеря репутации
Обучение
Персонал
Системы
Чтобы инцидент не повторился
Закрытие уязвимостейПереконфигурирование системПокупка решений по безопасности
Наём специалистовПересмотр бизнес-процессов
Повышение осведомленности сотрудниковПовышение экспертизы службы ИБ
Kaspersky Anti Targeted Attack 6#CODEIB
ЭТАПЫ РЕАЛИЗАЦИИ ЦЕЛЕВОЙ АТАКИ (CYBER KILL CHAIN)
Kaspersky Anti Targeted Attack
Сбор информации о цели в открытых источниках, социальных сетях и другими способами
Подготовка и создание инструментов, необходимых для атаки. Например, эксплойта и трояна для удаленного доступа
Отправка вредоносного пакета будущей жертве по почте или другим способом. Использование социальной инженерии
Эксплуатация уязвимости, т.е. фактическое исполнение эксплойта
Установка вредоносного ПО (RAT трояна)
Создание канала для дистанционного управления внутренними активами
Выполнение шагов для достижения целей атаки: кражи данных, саботажа и т.д.
Reconnaissanc
e
Actions on
Objectives
Comm
and &
Control
Installation
Weaponizatio
n
Delivery
Exploitation
Перед компрометацией Компрометация После компрометации
Растет вероятность успешной атаки, увеличиваются затраты на восстановление
#CODEIB
МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ ПЕРЕДОВЫМ УГРОЗАМ
Kaspersky Anti Targeted Attack
РЕАГИРОВАНИЕ
ПРОГНОЗИРОВАНИЕ
ПРЕДОТВРАЩЕНИЕ
ОБНАРУЖЕНИЕ
Управление уязвимостями
Анализ потенциальных целей атакующего
Планирование развития стратегии защиты
Оперативное реагирование наинциденты
Расследование:• реконструкция атак• поиск затронутых активов
Выявление попыток и фактов существующего проникновения
Подтверждение и приоритезация событий
Снижение рисков проникновения
Повышение безопасности систем и процессов
#CODEIB
KASPERSKY ANTI TARGETED ATTACK
9Kaspersky Anti Targeted Attack
I nt er net
Lapt op PC
PC
Ser ver
Net wor k Sensor s
Endpoi nt
Sensor s
Advanced Sandbox
SB Act i vi t y LogsPcaps, Sys-l og
Anal yst consol e
I nci dent
al er ts
Secur i t y Of f i cer
I nci dent s For ensi c
Team
Anal ysi s Cent er
SIEM SOC
network trafficsuspicious objects
host network activityVer di ct s DB
#CODEIB
НАШИ ИССЛЕДОВАНИЯ
Kaspersky Anti Targeted Attack
• Лаборатория Касперского ежедневно обрабатывает 310 тысяч новых вредоносных файлов
• Наиболее редкие, сложные и опасные киберугрозы попадают в зону пристального внимания экспертов из Глобального центра исследований и анализа угроз (GReAT)
• Если появляется информация о новой вредоносной кампании, то организация, которая ее раскрыла, скорее всего будет Лабораторией Касперского
#CODEIB
TROJAN-SPY.WIN32.LURK
Запускается из памяти
Не оставляет следов исполняемого кода на диске
60 тыс ботов
Цели: СМИ, Телекомы, Банки
Похищено более 1.7 млрд руб
Kaspersky Anti Targeted Attack #CODEIB
ЗАДЕРЖАНИЕ БАНДЫ LURK
Спецоперация в 15 субъектах РФ
Одновременно 86 обысков
Задержано 50 участников группировки
Кражу более 2,2 млрд удалось предотвратить
Kaspersky Anti Targeted Attack #CODEIB