Upload
expolink
View
92
Download
1
Embed Size (px)
Citation preview
KASPERSKY ANTI TARGETED ATTACK PLATFORM - СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ ДЛЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕНАПРАВЛЕННЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 2016
1% атакТРАДИЦИОННЫЕ СРЕДСТВА ЗАЩИТЫ
Антивирус
Межсетевые экраны
IDS/IPS
Защита данных
Почтовые и веб-шлюзы
Требуют нового подхода
Целевые атаки
Неизвестные угрозы
«Случайные» атаки 99%
1%
Enterprise Security. Powered by Kaspersky Lab.
РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Скомпрометирован контроллер домена сети банкоматов
На банкоматы установлены «USB-сниферы»
Сниферы собирают информацию о карточках клиентов
Информация монетизируются через другие банки
Основная IT-сеть и сетевой периметр не содержит следов атаки
РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Анализ инструментов: загрузка на VirusTotal из нескольких сетей
Один из источников: крупный телеком-провайдер
Анализ OSINT: незащищенные маршрутизаторы телекома на периметре банка
Совместный анализ инцидента
Источник атаки – магистраль MPLS подрядчика-телекома
ТЕХНИКИ ТАКТИКИ И ПРОЦЕДУРЫ
Не обязательно быть целью, чтобы быть жертвой
Атаки на подрядчиков
Атаки на инфраструктуры банковВ дополнение к атакам на клиентов
Сложная монетизацияMetelCarbanakи другие…
РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Более 500 станций под контролем злоумышленников
Проникновение произошло более 6 месяцев назад
Доступ был перепродан на черном рынке
Шифрование – ошибка оператора
ТЕХНИКИ ТАКТИКИ И ПРОЦЕДУРЫ
Обработка результатов массовых атакВыбор «вкусных» целей
Черный рынок Несанкционированный доступИнсайдерыПароли
Уничтожение данных и блокирование доступаBlack Energy Saudi Aramcoи другие…
АНАЛИЗ ЗАЩИЩЕННОСТИ
Резервная копия web-сервера на ftp-сервере подрядчика
Пароли web-сервера подходят к VPN
Сенсоры системы пожаротушения в корпоративной сети
Система управления пожаротушением в технологической сети
Полный доступ к SCADA и PLC из Интернета за 3 дня
ЦЕЛЕВЫЕ АТАКИ: УЖЕ ПОВСЕДНЕВНОСТЬ
DuquStuxnet
miniFlame
Flame
Gauss
Icefog
Winnti
NetTraveler
Miniduke
Epic Turla
Energetic Bear / Crouching Yeti
RedOctober
CosmicDuke
Darkhotel
Careto / The Mask
Regin
2010 2011 2012 2013 2014
CozyDuke
Carbanak
Desert Falcons
Equation
Naikon
Hellsing
2015
TeamSpy
Duqu 2.0
Animal Farm
Kimsuky
ЦЕЛЕВЫЕ АТАКИ: УЖЕ ПОВСЕДНЕВНОСТЬ
Криминальные группы и государственные организацииРегиональные и нишевые атаки:Банки
Кража денег, персональных данныхГосударственные органы
ШпионажПроизводство
Промышленный шпионажТелеком
Доступ к биллингу, системам самообслуживанияМедиа
Электронная почта, новостные порталы
ПОДХОД ЛАБОРАТОРИИ КАСПЕРСКОГО
НА ОСНОВЕ ЭСКПЕРТНЫХ
ЗНАНИЙ О КИБЕРУГРОЗАХ
ПРОГНОЗИРОВАТЬ
ЛИКВИДИРОВАТЬ ПОСЛЕДСТВИЯ
• Расследование инцидентов• Цифровая криминалистика• Анализ вредоносного ПО
• Разведка киберугроз• Отчеты о киберугрозах• Анализ защищенности• Анализ кибербезопасности
индустриальных систем
• Выявление целенаправленных атак
• Потоки данных об угрозах• Экспертный мониторинг
ОБНАРУЖИВАТЬ
ПРЕДОТВРАЩАТЬ
• Устранение уязвимостей• Средства защиты узла и
сети• Обучение сотрудников
«ЗНАЙ СВОЕГО ВРАГА, ЗНАЙ САМОГО СЕБЯ, И ПОБЕДА БУДЕТ НЕИЗБЕЖНА»
Разведка киберугроз, это знания о противниках, их мотивации, намереньях, которые собраны, проанализированы и распространены способами, помогающими сотрудниками ИБ и бизнес-подразделений на всех уровнях защищать критически важные активы предприятия.*
https://www.gartner.com/doc/2487216/definition-threat-intelligence*www.isightpartners.com
Threat Intelligence: Разведка киберугроз
ОТЧЕТЫ О УГРОЗАХ APT
Раннее предупреждение целевых атаках Детальное описание атакИспользуемые техники и процедуры
Дополнительные артефактыИндикаторы компрометации Open IOC/yara/STIX
Month ReportFeb Animal farm private reportMarch EquationDrug IOC’sMarch Hawkeye
March Gloog waterholering campaign
April Dyre private report
May Sofacy 0-day
June Naikon private report
June Sofacy AZZY backdoor
June Duqu 2 private reportJuly WildJuly BlueAugust
ОБУЧЕНИЕ В ОБЛАСТИ ИБ
Интерактивная платформаЭкспертные курсы
Цифровая криминалистикаАнализ ВПОРасследование инцидентов
АНАЛИЗ ЗАЩИЩЕННОСТИ
Анализ защищенности инфраструктурТехнологический аудитТест на проникновение
Анализ защищенности приложенийВеб-порталыШлюзы интеграцииПриложения собственной разработки
АСУ ТП: SCADA/PLC/MESТехнологические сети телеком: Core telecom networkПлатежные системы: ATM/POS/eBank/Core Banking Systems
ВЫЯВЛЕНИЕ АТАК
Потоки данных об угрозахMalicious, Phishing, C&C URLsMobile/Desktop malware hashes
Интеграция со средствами защиты• ArcSight• QRadar• Splunk
KASPERSKY ANTI TARGETED ATTACK PLATFORM
Песочница
SB Activity LogsPcaps, Sys-log
Консоль администрат
Инцидент
Офицер ИБ
Группа реагировани
я
Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз
SIEM SOC
Verdicts DB
СЕРВИСЫ РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ
Анализ вредоносного ПОЦифровая криминалистикаРеагирование на инцидентыВыявление целевых атак