KASPERSKY ANTI TARGETED ATTACK PLATFORM - СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ ДЛЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕНАПРАВЛЕННЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 2016

1% атакТРАДИЦИОННЫЕ СРЕДСТВА ЗАЩИТЫ

Антивирус

Межсетевые экраны

IDS/IPS

Защита данных

Почтовые и веб-шлюзы

Требуют нового подхода

Целевые атаки

Неизвестные угрозы

«Случайные» атаки 99%

1%

Enterprise Security. Powered by Kaspersky Lab.

Дело«ОБ УПАВШЕМ БАНКОМАТЕ»

РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ

Скомпрометирован контроллер домена сети банкоматов

На банкоматы установлены «USB-сниферы»

Сниферы собирают информацию о карточках клиентов

Информация монетизируются через другие банки

Основная IT-сеть и сетевой периметр не содержит следов атаки

РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ

Анализ инструментов: загрузка на VirusTotal из нескольких сетей

Один из источников: крупный телеком-провайдер

Анализ OSINT: незащищенные маршрутизаторы телекома на периметре банка

Совместный анализ инцидента

Источник атаки – магистраль MPLS подрядчика-телекома

ТЕХНИКИ ТАКТИКИ И ПРОЦЕДУРЫ

Не обязательно быть целью, чтобы быть жертвой

Атаки на подрядчиков

Атаки на инфраструктуры банковВ дополнение к атакам на клиентов

Сложная монетизацияMetelCarbanakи другие…

Дело«О ЗАШИФРОВАННОМ ДИСКЕ»

8

РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ

Более 500 станций под контролем злоумышленников

Проникновение произошло более 6 месяцев назад

Доступ был перепродан на черном рынке

Шифрование – ошибка оператора

ТЕХНИКИ ТАКТИКИ И ПРОЦЕДУРЫ

Обработка результатов массовых атакВыбор «вкусных» целей

Черный рынок Несанкционированный доступИнсайдерыПароли

Уничтожение данных и блокирование доступаBlack Energy Saudi Aramcoи другие…

11

Дело«О ПОЖАРНОМ КРАНЕ»

АНАЛИЗ ЗАЩИЩЕННОСТИ

Резервная копия web-сервера на ftp-сервере подрядчика

Пароли web-сервера подходят к VPN

Сенсоры системы пожаротушения в корпоративной сети

Система управления пожаротушением в технологической сети

Полный доступ к SCADA и PLC из Интернета за 3 дня

ЦЕЛЕВЫЕ АТАКИ: УЖЕ ПОВСЕДНЕВНОСТЬ

DuquStuxnet

miniFlame

Flame

Gauss

Icefog

Winnti

NetTraveler

Miniduke

Epic Turla

Energetic Bear / Crouching Yeti

RedOctober

CosmicDuke

Darkhotel

Careto / The Mask

Regin

2010 2011 2012 2013 2014

CozyDuke

Carbanak

Desert Falcons

Equation

Naikon

Hellsing

2015

TeamSpy

Duqu 2.0

Animal Farm

Kimsuky

ЦЕЛЕВЫЕ АТАКИ: УЖЕ ПОВСЕДНЕВНОСТЬ

Криминальные группы и государственные организацииРегиональные и нишевые атаки:Банки

Кража денег, персональных данныхГосударственные органы

ШпионажПроизводство

Промышленный шпионажТелеком

Доступ к биллингу, системам самообслуживанияМедиа

Электронная почта, новостные порталы

ПОДХОД ЛАБОРАТОРИИ КАСПЕРСКОГО

НА ОСНОВЕ ЭСКПЕРТНЫХ

ЗНАНИЙ О КИБЕРУГРОЗАХ

ПРОГНОЗИРОВАТЬ

ЛИКВИДИРОВАТЬ ПОСЛЕДСТВИЯ

• Расследование инцидентов• Цифровая криминалистика• Анализ вредоносного ПО

• Разведка киберугроз• Отчеты о киберугрозах• Анализ защищенности• Анализ кибербезопасности

индустриальных систем

• Выявление целенаправленных атак

• Потоки данных об угрозах• Экспертный мониторинг

ОБНАРУЖИВАТЬ

ПРЕДОТВРАЩАТЬ

• Устранение уязвимостей• Средства защиты узла и

сети• Обучение сотрудников

«ЗНАЙ СВОЕГО ВРАГА, ЗНАЙ САМОГО СЕБЯ, И ПОБЕДА БУДЕТ НЕИЗБЕЖНА»

Разведка киберугроз, это знания о противниках, их мотивации, намереньях, которые собраны, проанализированы и распространены способами, помогающими сотрудниками ИБ и бизнес-подразделений на всех уровнях защищать критически важные активы предприятия.*

https://www.gartner.com/doc/2487216/definition-threat-intelligence*www.isightpartners.com

Threat Intelligence: Разведка киберугроз

ОТЧЕТЫ О УГРОЗАХ APT

Раннее предупреждение целевых атаках Детальное описание атакИспользуемые техники и процедуры

Дополнительные артефактыИндикаторы компрометации Open IOC/yara/STIX

Month ReportFeb Animal farm private reportMarch EquationDrug IOC’sMarch Hawkeye

March Gloog waterholering campaign

April Dyre private report

May Sofacy 0-day

June Naikon private report

June Sofacy AZZY backdoor

June Duqu 2 private reportJuly WildJuly BlueAugust

ОБУЧЕНИЕ В ОБЛАСТИ ИБ

Интерактивная платформаЭкспертные курсы

Цифровая криминалистикаАнализ ВПОРасследование инцидентов

АНАЛИЗ ЗАЩИЩЕННОСТИ

Анализ защищенности инфраструктурТехнологический аудитТест на проникновение

Анализ защищенности приложенийВеб-порталыШлюзы интеграцииПриложения собственной разработки

АСУ ТП: SCADA/PLC/MESТехнологические сети телеком: Core telecom networkПлатежные системы: ATM/POS/eBank/Core Banking Systems

ВЫЯВЛЕНИЕ АТАК

Потоки данных об угрозахMalicious, Phishing, C&C URLsMobile/Desktop malware hashes

Интеграция со средствами защиты• ArcSight• QRadar• Splunk

KASPERSKY ANTI TARGETED ATTACK PLATFORM

Песочница

SB Activity LogsPcaps, Sys-log

Консоль администрат

Инцидент

Офицер ИБ

Группа реагировани

я

Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз

SIEM SOC

Verdicts DB

СЕРВИСЫ РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ

Анализ вредоносного ПОЦифровая криминалистикаРеагирование на инцидентыВыявление целевых атак

СПАСИБО!

Стратегические решения в сфере IT-безопасности

СПАСИБО!