Embed Size (px)
Citation preview
Kaspersky Anti Targeted Attack platform
СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ
ТРЕНДЫ И ПРОБЛЕМАТИКА
ТЕНДЕНЦИИ КОРПОРАТИВНОЙ ИБ НА 2016
Большинство передовых угроз строятся на базовых техниках и методах социальной инженерии
Существенное снижение затрат и массовый рост предложений (Кибератака-Как-Сервис)
Недостаток оперативной информации в виду динамического усложнения ИТ инфраструктуры
Резкий спад эффективности периметровой защиты
Рост количества атак на поставщиков, 3-их лиц и небольшие компании (SMB)
В среднем целевая атака с момента её появления остается необнаруженной более 214 дней
#CODEIB
КАК МНОГИЕ ВИДЯТ ЛАНДШАФТ УГРОЗ ДЛЯ СЕБЯ…
4
Классические решения
Antivirus, Endpoint Security
Firewall, Access control
IDS/IPS
Data leakage protection
Web/mail gateway
Нужна новая защита?
Непонятно,но ОЧЕНЬ страшно и ОПАСНО
Unknown Threats
Known Threats
99%
1%… зачем инвестировать, если компания может никогда не стать целью?
…
#CODEIB
РИСК ОТ ЦЕЛЕВЫХ АТАК И ВОЗВРАТ ИНВЕСТИЦИЙ
5
29%70%
1%
Know
n Th
reat
s
Unkn
own
Thre
ats
Adva
nced
Thre
ats
Targ
eted
At
tack
s
APT
EnterprisesSMBs
Средний размер потерь от целевых атак
$2,54M$84к
#CODEIB
ОТ ЧЕГО ЖЕ ЗАЩИЩАТЬСЯ…
6
APT – это комбинация утилит, передового вредоносного ПО, уязвимостей нулевого дня и тд.
Целевая атака – это непрерывный процесс
несанкционированной активности в
инфраструктуре «цели» удаленно управляемый в
реальном времени вручную
#CODEIB
ТИПОВОЕ РАЗВИТИЕ ЦЕЛЕВОЙ АТАКИ
7
НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ
РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ
ПОДГОТОВКА
ЦЕЛЕВАЯ АТАКА МОЖЕТ ДЛИТЬСЯ
МЕСЯЦЫ… И ГОДАМИ
ОСТАВАТЬТСЯ НЕОБНАРУЖЕННОЙ
• кража идентификационных данных
• повышение привилегий• налаживание связей• легитимизация действий• получение контроля
• использование слабых мест
• проникновение внутрь инфраструктуры
• анализ цели• подготовка стратегии• создание/покупка тулсета
• доступ к информации• воздействие на бизнес
процессы• сокрытие следов• тихий уход
#CODEIB
КАК ПРАВИЛЬНО ОЦЕНИТЬ МАСШТАБ УГРОЗЫ
8
Простои
Прямыепотери
Последующиетраты
Потерянные возможности
Восстановле-ние
IT-консалтингАудиторы
PR-активностиСудебные траты
Потеря прибыли во
время простоя
Потеря данных, обман и тд.
Обучение
Персонал
Системы
Чтобы не повторилось
вновь
Закрытие уязвимостейПокупка решений безопасности (DB protection, Endpoint, PIM, SIEM..)Замена «плохой» системы
Наём специалистов (ручное обнаружение)Пересмотр бизнес процессов (новые роли)
Повышение осведомленности сотрудниковПовышение экспертизы службы ИБ
#CODEIB
ОЖИДАНИЯ БИЗНЕСА: РАСШИРЕНИЕ ИНВЕСТИЦИЙ ВНЕ ПРОТИВОДЕЙСТВИЯ• Текущий размер инвестиций: 80%
на превентивные технологии / 20% на обнаружение, реагирование и прогнозирование (Крупные компании: 90%/10%)
• Планы опрошенных заказчиков на ближайшие 3 года: 40% / 60%
• Основано на опросе проведенном Лабораторией Касперского в ноябре 2015 года. Более 6700 компаний опрошенных по миру.
80 20
СЕГОДНЯ
40 60
В БУДУЩЕМ
#CODEIB
СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕНАПРАВЛЕННЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ
11
ПРЕДОТВРАЩЕНИЕ
ОБНАРУЖЕНИЕРЕАГИРОВАНИЕ
ПРОГНОЗИРОВАНИЕ
АДАПТИВНАЯ МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ ПЕРЕДОВЫМ УГРОЗАМ ИБ
Управление уязвимостями
Анализ потенциальных целей атакующего
Планирование развития стратегии защиты
Оперативное реагирование на инциденты
Расследование:•реконструкция атак•поиск затронутых активов
Выявление попыток и фактов существующего проникновения
Подтверждение и приоритезация событий
Снижение рисков проникновения
Повышение безопасности систем и процессов
#CODEIB
ПРЕДОТВРАЩЕНИЕ ПРОДВИНУТЫХ УГРОЗ И СНИЖЕНИЕ РИСКА ЦЕЛЕНАПРАВЛЕННЫХ АТАК
ЦЕЛЕВЫЕ РЕШЕНИЯ ЛК
13
Защита рабочих мест
Защита мобильных устройств
Защита сред виртуализации
Защита встроенных
систем
Защита от DDoS-атак
Защита Дата Центров
Защита промышленных сетей
Противодействие мошенничеству
#CODEIB
ОБУЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
14
Базовый курс обучения вопросам ИБ
•Понимание проблематики и базовые навыки обеспечения защиты
Практический курс обучения вопросам ИБ
•Понимание тенденций и развитие ландшафта обеспечения информационной безопасности
Создать
Работать
#CODEIB
ПРЕДОТВРАЩЕНИЕ
15
• Cybersecurity training
• Kaspersky Lab Enterprise security solutions
• Cyber safety Games• Threat simulation
ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
#CODEIB
ПОСТОЯННЫЙ МОНИТОРИНГ ДЛЯ ОБНАРУЖЕНИЯ ПЕРЕДОВЫХ УГРОЗ И ЦЕЛЕНАПРАВЛЕННЫХ АТАК
ОБНАРУЖЕНИЕ ЦЕЛЕВЫХ АТАК ИМЕЮЩИМИСЯ СРЕДСТВАМИ
17
• PIM• DB protection• Access control
• DLP• Outbound traffic
behavior• proxy (MITM)• NIDS
• IoC• Mail-proxy• firewall• Traffic sensors• HIDS, EPP• access logs
• Firewall logs• Web server logs• Web-firewall logs• Brand monitoring
services• Недостаток компетенции
для корреляции разнородных событий
• Недостаток знаний о существующих угрозах
ПОДОЗРИТЕЛЬНЫЕ АКТИВНОСТИ
ИНЦИДЕНТЫ ПРОНИКНОВЕНИЙ
ОПОВЕЩЕНИЯ РЕШЕНИЙ ИБ
ИНДИКАТОРЫ ПОДГОТОВКИ
#CODEIB
ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ СУЩЕСТВУЮЩИХ РЕШЕНИЙ
18
Оперативная информация о новых
целевых атаках
Повышение эффективности существующей SIEM-системы
• Malicious URLs• Phishing URLs• Botnet C&C URLs• Malware Hashes• Mobile Malware Hashes• P-SMS Trojan Feed• Mobile Botnet C&C URLs
Проактивное оповещение об угрозах безопасности
• Детальная информация как обнаружить угрозу внутри сети
• Обновление новой информацией по угрозе со временем
• Подписка на все выявленные целевые атаки ЛК (Global Targeted Attacks)
#CODEIB
KASPERSKY ANTI TARGETED ATTACK PLATFORM
АРХИТЕКТУРА РЕШЕНИЯ
20
• Сенсоры• Сетево
й• Web • Email• Рабочи
х мест
• Processing engines
• AV engine• Risk Engine• Targeted Attack
Analyzer• Advanced
Sandbox
• Визуализация• Логи
активностей• Записи
трафика (Pcaps)
• Syslog
• Сервисы оперативного реагирования экспертами ЛК
• Обучение
Вердикт РеагированиеАнализСбор данных
#CODEIB
• Задача: мониторинг активности корпоративной среды и сбор объектов для анализа
• Решение: специализированные сенсоры сбора данных:• Сетевой трафик • Сессии пользователей (прокси)• Почтовые сообщения• Сетевая активность рабочих станций и
серверов
СБОР ДАННЫХ: РАБОЧИЕ МЕСТА, СЕТЕВЫЕ АКТИВНОСТИ, WEB И MAIL
#CODEIB
• Задача: корреляция событий и вердиктов ИБ связанных с целевыми атаками
• Подход:• Обнаружение аномалий путем анализа
мета-данных• Корреляция данных сетевого уровня,
рабочих станций и серверов• Связка разноплановых событий в
единый инцидент или в привязке к пользователю
АНАЛИЗ ДАННЫХ: АНАЛИЗАТОР ЦЕЛЕВЫХ АТАК
#CODEIB
• Задача: выявление вредоносной активности объектов на основе поведения
• Решения: Передовая Песочница• На основе внутреннего решения ЛК• 10-лет разработки и развития
• Поддерживаемые среды• Windows XP, 7 (32/64)• Android
АНАЛИЗ ДАННЫХ: ПЕРЕДОВАЯ ПЕСОЧНИЦА
#CODEIB
• Задача: получение данных об угрозе из разнородных источников анализа
• Решение:• Получение вердиктов анти-вирусного
движка• Шаблоны детектирования на основе
настраиваемых правил (YARA)• Обнаружение попыток соединения с
известными вредоносными хостами• Репутационные данные для
обнаружения подозрительного вредоносного ПО и соединений
АНАЛИЗ ДАННЫХ: ПОЛУЧЕНИЕ РАСШИРЕННОЙ КАРТИНКИ
#CODEIB
ВЫНЕСЕНИЕ ВЕРДИКТОВ: ВИЗУАЛИЗАЦИЯ И РАССЛЕДОВАНИЕ
• Задача: представление результатов для удобства реагирования
• Решение: Консоль визуализации и администрирования• Мониторинг в реальном-времени• Поиск по событиям• Интеграция с SIEM-системами (Event log, Syslog)
#CODEIB
ПРОЦЕСС
26
Интернет
Ноутбуки
ПК
Сервера
Почта
Сетевые сенсоры
Сенсоры рабочих
местПесочниц
а
SB Activity LogsPcaps, Sys-log
Консоль администратора
Инцидент
Офицер ИБ
Группа реагировани
я
Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз
Аналитический центр
SIEM SOC• мета-данные• подозрительные
объекты
• Сетевая активность рабочего места Verdicts DB
#CODEIB
KASPERSKY ANTI TARGETED ATTACK PLATFORMОбнаружение целенаправленных атак и передовых угроз невидимых для традиционных решений корпоративной безопасности
Мультиуровневый мониторинг корпоративной инфраструктуры
Передовое обнаружение с использованием «песочницы»
Глобальная статистика угроз и экспертиза ЛК
Повышенная видимость для оперативного обнаружения
Оперативное обнаружение целевых атак и передовых угроз
Ретроспективный анализ и расследование
Гибкость установки в сложных и динамических ИТ-инфраструктурах
#CODEIB
ОБУЧЕНИЕ РЕАГИРОВАНИЮ НА ИНЦИДЕНТЫ
28
Incident response training
Обучение правильному построению процесса реагирования – это ключевая задача эффективного использования ЛЮБОГО
анти-APT решения
Расследовать как инцидент произошел
Быстро восстановить системы
#CODEIB
ОБНАРУЖЕНИЕ
29
• Cybersecurity training
• Kaspersky Lab Enterprise security solutions
• Cyber safety Games• Threat simulation
ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
• Targeted AttackInvestigation Training
• APT reporting• Botnet tracking• Threat data feeds
• Kaspersky Anti Targeted Attack Platform
РЕШЕНИЕ:
ЛАНДШАФТУГРОЗ:
ЭКСПЕРТИЗА:
ОБНАРУЖЕНИЕ
#CODEIB
ОПЕРАТИВНОЕ РЕАГИРОВАНИЕ НА ВЫЯВЛЕННЫЕ ИНЦИДЕНТЫ ЦЕЛЕНАПРАВЛЕННЫХ АТАК
31
ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ ВЫХОДЯТ НА НОВЫЙ УРОВЕНЬ
Атака целевая или широконаправленная? Сталкивался в мире кто-то с аналогичным вредоносом или аномалией?
Как противодействовать заражению пока не выпущена сигнатура?
Как оперативно выявлять неизвестные ранее угрозы?Как оценить степень опасности аномального ПО?Как выявить источник заражения и предотвратить повторение?
Как минимизировать ущерб в случае заражения?
Комплексный подход к обеспечению корпоративной защиты требует глобального мониторинга и глубокой компетенции в киберугрозах для ответа на ключевые вопросы служб ИБ:
#CODEIB
ЭКСПЕРТНАЯ ПОМОЩЬ В РЕАГИРОВАНИИ НА ИНЦИДЕНТЫ
Фазы реагирования Анализ вредоносного ПО
Цифровое расследование
Реагирование на инциденты
Incident assessment X
Collecting evidence X
Performing forensic analysis X X
Performing malware analysis X X X
Creating a remediation plan X X X
Creating an investigation report
X X X
#CODEIB
РЕАГИРОВАНИЕ
33
• Cybersecurity training
• Kaspersky Lab Enterprise security solutions
• Cyber safety Games• Threat simulation
ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
• Targeted AttackInvestigation Training
• APT reporting• Botnet tracking• Threat data feeds
• Kaspersky Anti Targeted Attack Platform
РЕШЕНИЕ:
ЛАНДШАФТУГРОЗ:
ЭКСПЕРТИЗА:
ОБНАРУЖЕНИЕРЕАГИРОВАНИЕ
• Incident response service
• Malware analysis service• Digital forensics services
РАССЛЕДОВАНИЕ:
#CODEIB
ПОНЯТЬ ТЕКУЩЕЕ СОСТОЯНИИ И СПРОГНОЗИРОВАТЬ ОТКУДА МОЖЕТ ПРИЙТИ АТАКА И КУДА НАЦЕЛЕНА
ПРЕДУГАДАТЬ И ОЦЕНИТЬ СТОЙКОСТЬ ВОЗМОЖНЫХ ЦЕЛЕЙ ЗЛОУМЫШЛЕННИКОВ
35
Application
• Эмуляция реальных действий злоумышленников
• Мы анализируем:– Various web applications (including
online banking), taking into account business logic
– Mobile applications– Applications having fat clients– Developing tools and software developing
process– Web applications with an enabled WAF
(to assess its effectiveness)
Проприетарые бизнес приложения –самая частая цель злоумышленников
Business process automation, data access, business controls,security controls, data creation, etc
#CODEIB
ВЫЯВИТЬ УЯЗВИМЫЕ СЛАБЫЕ МЕСТА
36
…• Penetration testing Service– Black/gray box security assessment of internal/external network, system and application
infrastructure*• Преимущества для заказчиков:– оценка собственной защиты с позиции
злоумышленника
– достижение е соответствия требованиям стандартов безопасности (например PCI DSS)
• Сервис дополнительно может включать:– Анализ поведения и осведомленности сотрудников в
социальных сетях
– оценка беспроводных соединений и точек доступа
– Аудит (white-box) систем с полученными высокими привилегиями
#CODEIB
ПРОАКТИВНОЕ ОБНАРУЖЕНИЕ ЦЕЛЕВОЙ АТАКИ В СЛУЧАЕ КОГДА НЕТ ИНЦИДЕНТОВ ИБ
37
…
KL Targeted Attack Discovery Service
•Анализ угроз и потенциальных вариантов атак•Анализ сетевой активности и системных артефактов (IoC)•Сбор доказательств на стороне заказчика и раннее реагирование•Анализ доказательств •Подготовка экспертного отчета
ЦЕЛЕВАЯ АТАКА МОЖЕТ ЗАНИМАТЬ ГОДЫ И ВООБЩЕ НИКОГДА НЕ БЫТЬ
ОБНАРУЖЕННОЙ
#CODEIB
СТРАТЕГИЯ АДАПТИВНОЙ КОРПОРАТИВНОЙ ИБ
38
• Cybersecurity training
• Kaspersky Lab Enterprise security solutions
• Cyber safety Games• Threat simulation
ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
• Targeted AttackInvestigation Training
• APT reporting• Botnet tracking• Threat data feeds
• Kaspersky Anti Targeted Attack Platform
РЕШЕНИЕ:
ЛАНДШАФТУГРОЗ:
ЭКСПЕРТИЗА:
ОБНАРУЖЕНИЕРЕАГИРОВАНИЕ
• Incident response service
• Malware analysis service• Digital forensics services
РАССЛЕДОВАНИЕ:
ПРОГНОЗИРОВАНИЕ
• Penetration testing service
• Security assessment service
• Targeted Attack Discovery Service
САМОАНАЛИЗ:
#CODEIB
КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА
ПРИВАТНАЯ ИНСТАЛЛЯЦИЯ РЕШЕНИЯ
40
Соответствие требованиям регуляторов и стандартам ИБ
Соответствие регуляторам
Стандарты безопасности
Бизнес необходимость
ИТ-требования
Kaspersky PrivateSecurity Network
Основные преимущества KPSN:•размещение репутационной базы ЛК (полный дамп данных) внутри защищаемой инфраструктуры•исключение передачи информации вне контролируемой сети•одностороннее получение оперативных обновлений от KSN•высокая производительность (сотни тысяч запросов)•осведомленность в режиме реального времени
Локально размещаемая версия базы KSN
#CODEIB
КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА
41 #CODEIB
42
В ДОЛГОСРОЧНОЙ ПЕРСПЕКТИВЕ
• Интеграция с существующими решениями Лаборатории Касперского
• Автоматизация реагирования на выявленные инциденты
• Новый модуль решения (EDR) разработанный для автоматизации расследований и сбора электронных доказательств
• Аналитическая платформа для выявления угроз и глубокого расследования
Интеграция Реагирование Аналитика
#CODEIB
СПАСИБО!
Kaspersky Labwww.kaspersky.com
