Upload
expolink
View
271
Download
4
Embed Size (px)
Citation preview
Стратегия противодействия целевым атакам
Катаев ИванРегиональный менеджер
#CODEIB
НОВЫЕ ВЫЗОВЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИУсложнение ИТ-инфраструктуры
Защита периметра – не панацея
Снижение стоимости атак
Рост нетехнических способов атакАтаки на SMB-компании и через 3-ю сторонуАтака остается необнаруженной долгое время
#CODEIB
53% организаций потеряли конфиденциальные данные
$112K - средняя стоимость утечки данных в SMB секторе
$2M - средняя стоимость утечки в Enterprise секторе
ВНЕШНИЕ УГРОЗЫ
#CODEIB
ЛАНДШАФТ УГРОЗ ГЛАЗАМИ ЗАКАЗЧИКАКлассические
решенияEndpoint Protection
Firewall, IDS/IPS
Access Control
DLP
Web/mail gateway
Нужна новая защита?
APT: непонятно, но очень опасно
Неизвестныеугрозы
Известные угрозы
99%
Менее1% Зачем инвестировать,
если компания может никогда не стать целью?
…
#CODEIB
>200 дней
ПодготовкаПоиск целиСоздание стратегииПодготовка инструментов
Расширение влиянияПолучение полномочий
Кража паролейРаспространение заражения
ЦЕЛЕВАЯ АТАКА КАК ПРОЦЕСС
ПроникновениеИспользование уязвимостейПроникновение за периметр
ЭксплуатацияКража данных
Сокрытие следовУдаление улик
Создание черного хода
#CODEIB
УЩЕРБ В СЛУЧАЕ РЕАЛИЗАЦИИ УГРОЗЫ
Простои
Прямыепотери
Последующие
траты
Упущенные возможност
и
Восстановле-ние
ИТ/ИБ-консалтингPR-активностьСудебные издержки
Потеря прибыли во время простоя
Потеря данныхПотеря репутации
Обучение
Персонал
Системы
Чтобы инцидент не повторился
Закрытие уязвимостейПереконфигурирование системПокупка решений по безопасностиНаём специалистовПересмотр бизнес-процессов
Повышение осведомленности сотрудниковПовышение экспертизы службы ИБ
#CODEIB
ЭТАПЫ РЕАЛИЗАЦИИ ЦЕЛЕВОЙ АТАКИ
Сбор информации о цели в открытых источниках, социальных сетях и другими способами
Подготовка и создание инструментов, необходимых для атаки. Например, эксплойта и трояна для удаленного доступа
Отправка вредоносного пакета будущей жертве по почте или другим способом. Использование социальной инженерии
Эксплуатация уязвимости, т.е. фактическое исполнение эксплойта
Установка вредоносного ПО (RAT трояна)
Создание канала для дистанционного управления внутренними активами
Выполнение шагов для достижения целей атаки: кражи данных, саботажа и т.д.
Reconnaissa
nce
Actions on
Objectives
Comm
and &
Control
Installation
Weaponizati
on
Delivery
Exploitation
Перед компрометацией Компрометация После компрометации
Растет вероятность успешной атаки, увеличиваются затраты на восстановление
#CODEIB
МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ
РЕАГИРОВАНИЕ
ПРОГНОЗИРОВАНИЕ
ПРЕДОТВРАЩЕНИЕ
ОБНАРУЖЕНИЕ
Управление уязвимостямиАнализ потенциальных целей атакующегоПланирование развития стратегии защиты
Оперативное реагирование наинцидентыРасследование:•реконструкция атак•поиск затронутых активов
Выявление попыток и фактов существующего проникновенияПодтверждение и приоритезация событий
Снижение рисков проникновенияПовышение безопасности систем и процессов
#CODEIB
KASPERSKY ANTI TARGETED ATTACKСТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ
Виталий Федоров
Инженер предпродажной поддержки
#CODEIB
KASPERSKY ANTI TARGETED ATTACK
10Kaspersky Anti Targeted Attack
Internet
Laptop PC
PC
Server
Network Sensors
Endpoint
Sensors
Advanced
Sandbox
SB Activity LogsPcaps, Sys-log
Analyst console
Incident
alerts
Security Officer
Incidents Forensic
Team
Analysis Center
SIEM SOCnetwork traffic
suspicious objects
host network activityVerdicts DB
#CODEIB
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack #CODEIB
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack #CODEIB
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack #CODEIB
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack #CODEIB
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack
ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK
Kaspersky Anti Targeted Attack
Сетевые сенсоры Интеграция с сетевым оборудованием Интеграция с прокси серверами
Почтовые сенсоры Сбор почты с серверов
Мониторинг конечных станций
СБОР ИНФОРМАЦИИ
Kaspersky Anti Targeted Attack 20#CODEIB
Поиск аномалий Статистическая модель Машинное обучение Репутационная информация
Корреляция данных с агентов Сопоставление различных событий Использование экспертизы
АНАЛИЗ ДАННЫХ: СТАТИСТИКА
Kaspersky Anti Targeted Attack 21#CODEIB
Технологическая основа Основана на внутреннем проекте компании Больше 10 лет успешного использования
Поддержка платформ Windows XP Windows 7 x32 Windows 7 x64
Технология защиты от обхода Sandbox
АНАЛИЗ ДАННЫХ: ОБЪЕКТЫ
Kaspersky Anti Targeted Attack 22#CODEIB
Поддержка KSN/KPSN Репутация файлов Репутация сайтов/доменов Известные центры управления История доменов Шаблоны поведения
АНАЛИЗ ДАННЫХ: МНЕНИЕ БОЛЬШИНСТВА
Kaspersky Anti Targeted Attack 23#CODEIB
Мониторинг в реальном времени Настраиваемые фильтры Цепочки событий Интеграция с SIEM -> SOC
ВЕРДИКТ: ПРЕДСТАВЛЕНИЕ И РАССЛЕДОВАНИЕ
Kaspersky Anti Targeted Attack 24#CODEIB
Экспертные сервисы Объединенные с продуктом: поиск
целевых атак; расследование инцидентов
Дополнительно: анализ защищенности, информирование об угрозах, тренинги по безопасности
РЕАГИРОВАНИЕ: НЕОБХОДИМА ЭКСПЕРТИЗА
Kaspersky Anti Targeted Attack 25#CODEIB
НАШИ ИССЛЕДОВАНИЯ
Kaspersky Anti Targeted Attack
• Лаборатория Касперского ежедневно обрабатывает 310 тысяч новых вредоносных файлов
• Наиболее редкие, сложные и опасные киберугрозы попадают в зону пристального внимания экспертов из Глобального центра исследований и анализа угроз (GReAT)
• Если появляется информация о новой вредоносной кампании, то организация, которая ее раскрыла, скорее всего будет Лабораторией Касперского
#CODEIB
TROJAN-SPY.WIN32.LURK
Запускается из памяти Не оставляет следов исполняемого кода на диске 60 тыс ботов Цели: СМИ, Телекомы, Банки Похищено более 1.7 млрд руб
Kaspersky Anti Targeted Attack #CODEIB
КАК РАСПРОСТРАНЯЛСЯ LURK
Kaspersky Anti Targeted Attack #CODEIB
ЗАДЕРЖАНИЕ БАНДЫ LURK
Спецоперация в 15 субъектах РФ Одновременно 86 обысков Задержано 50 участников группировки Кражу более 2,2 млрд удалось предотвратить
Kaspersky Anti Targeted Attack #CODEIB