Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия противодействия целевым

Стратегия противодействия целевым атакам

Катаев ИванРегиональный менеджер

#CODEIB

НОВЫЕ ВЫЗОВЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИУсложнение ИТ-инфраструктуры

Защита периметра – не панацея

Снижение стоимости атак

Рост нетехнических способов атакАтаки на SMB-компании и через 3-ю сторонуАтака остается необнаруженной долгое время

#CODEIB

53% организаций потеряли конфиденциальные данные

$112K - средняя стоимость утечки данных в SMB секторе

$2M - средняя стоимость утечки в Enterprise секторе

ВНЕШНИЕ УГРОЗЫ

#CODEIB

ЛАНДШАФТ УГРОЗ ГЛАЗАМИ ЗАКАЗЧИКАКлассические

решенияEndpoint Protection

Firewall, IDS/IPS

Access Control

DLP

Web/mail gateway

Нужна новая защита?

APT: непонятно, но очень опасно

Неизвестныеугрозы

Известные угрозы

99%

Менее1% Зачем инвестировать,

если компания может никогда не стать целью?

…

#CODEIB

>200 дней

ПодготовкаПоиск целиСоздание стратегииПодготовка инструментов

Расширение влиянияПолучение полномочий

Кража паролейРаспространение заражения

ЦЕЛЕВАЯ АТАКА КАК ПРОЦЕСС

ПроникновениеИспользование уязвимостейПроникновение за периметр

ЭксплуатацияКража данных

Сокрытие следовУдаление улик

Создание черного хода

#CODEIB

УЩЕРБ В СЛУЧАЕ РЕАЛИЗАЦИИ УГРОЗЫ

Простои

Прямыепотери

Последующие

траты

Упущенные возможност

и

Восстановле-ние

ИТ/ИБ-консалтингPR-активностьСудебные издержки

Потеря прибыли во время простоя

Потеря данныхПотеря репутации

Обучение

Персонал

Системы

Чтобы инцидент не повторился

Закрытие уязвимостейПереконфигурирование системПокупка решений по безопасностиНаём специалистовПересмотр бизнес-процессов

Повышение осведомленности сотрудниковПовышение экспертизы службы ИБ

#CODEIB

ЭТАПЫ РЕАЛИЗАЦИИ ЦЕЛЕВОЙ АТАКИ

Сбор информации о цели в открытых источниках, социальных сетях и другими способами

Подготовка и создание инструментов, необходимых для атаки. Например, эксплойта и трояна для удаленного доступа

Отправка вредоносного пакета будущей жертве по почте или другим способом. Использование социальной инженерии

Эксплуатация уязвимости, т.е. фактическое исполнение эксплойта

Установка вредоносного ПО (RAT трояна)

Создание канала для дистанционного управления внутренними активами

Выполнение шагов для достижения целей атаки: кражи данных, саботажа и т.д.

Reconnaissa

nce

Actions on

Objectives

Comm

and &

Control

Installation

Weaponizati

on

Delivery

Exploitation

Перед компрометацией Компрометация После компрометации

Растет вероятность успешной атаки, увеличиваются затраты на восстановление

#CODEIB

МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ

РЕАГИРОВАНИЕ

ПРОГНОЗИРОВАНИЕ

ПРЕДОТВРАЩЕНИЕ

ОБНАРУЖЕНИЕ

Управление уязвимостямиАнализ потенциальных целей атакующегоПланирование развития стратегии защиты

Оперативное реагирование наинцидентыРасследование:•реконструкция атак•поиск затронутых активов

Выявление попыток и фактов существующего проникновенияПодтверждение и приоритезация событий

Снижение рисков проникновенияПовышение безопасности систем и процессов

#CODEIB

KASPERSKY ANTI TARGETED ATTACKСТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ

Виталий Федоров

Инженер предпродажной поддержки

#CODEIB

KASPERSKY ANTI TARGETED ATTACK

10Kaspersky Anti Targeted Attack

Internet

Laptop PC

PC

Server

Email

Network Sensors

Endpoint

Sensors

Advanced

Sandbox

SB Activity LogsPcaps, Sys-log

Analyst console

Incident

alerts

Security Officer

Incidents Forensic

Team

Analysis Center

SIEM SOCnetwork traffic

suspicious objects

host network activityVerdicts DB

#CODEIB

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack #CODEIB




Kaspersky Anti Targeted Attack













Сетевые сенсоры Интеграция с сетевым оборудованием Интеграция с прокси серверами

Почтовые сенсоры Сбор почты с серверов

Мониторинг конечных станций

СБОР ИНФОРМАЦИИ

Kaspersky Anti Targeted Attack 20#CODEIB

Поиск аномалий Статистическая модель Машинное обучение Репутационная информация

Корреляция данных с агентов Сопоставление различных событий Использование экспертизы

АНАЛИЗ ДАННЫХ: СТАТИСТИКА


Технологическая основа Основана на внутреннем проекте компании Больше 10 лет успешного использования

Поддержка платформ Windows XP Windows 7 x32 Windows 7 x64

Технология защиты от обхода Sandbox

АНАЛИЗ ДАННЫХ: ОБЪЕКТЫ


Поддержка KSN/KPSN Репутация файлов Репутация сайтов/доменов Известные центры управления История доменов Шаблоны поведения

АНАЛИЗ ДАННЫХ: МНЕНИЕ БОЛЬШИНСТВА


Мониторинг в реальном времени Настраиваемые фильтры Цепочки событий Интеграция с SIEM -> SOC

ВЕРДИКТ: ПРЕДСТАВЛЕНИЕ И РАССЛЕДОВАНИЕ


Экспертные сервисы Объединенные с продуктом: поиск

целевых атак; расследование инцидентов

Дополнительно: анализ защищенности, информирование об угрозах, тренинги по безопасности

РЕАГИРОВАНИЕ: НЕОБХОДИМА ЭКСПЕРТИЗА


НАШИ ИССЛЕДОВАНИЯ


• Лаборатория Касперского ежедневно обрабатывает 310 тысяч новых вредоносных файлов

• Наиболее редкие, сложные и опасные киберугрозы попадают в зону пристального внимания экспертов из Глобального центра исследований и анализа угроз (GReAT)

• Если появляется информация о новой вредоносной кампании, то организация, которая ее раскрыла, скорее всего будет Лабораторией Касперского

#CODEIB

TROJAN-SPY.WIN32.LURK

Запускается из памяти Не оставляет следов исполняемого кода на диске 60 тыс ботов Цели: СМИ, Телекомы, Банки Похищено более 1.7 млрд руб


КАК РАСПРОСТРАНЯЛСЯ LURK


ЗАДЕРЖАНИЕ БАНДЫ LURK

Спецоперация в 15 субъектах РФ Одновременно 86 обысков Задержано 50 участников группировки Кражу более 2,2 млрд удалось предотвратить


Виталий Федоров[email protected]+7(495)797-87-00 х4974+7(922)188-34-34

СПАСИБО!

#CODEIB

mailto:[email protected]

Software

Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия противодействия целевым