ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ. ПЕРЕДОВЫЕ МЕТОДЫ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ - Бондаренко Александр - Softline
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ. ПЕРЕДОВЫЕ МЕТОДЫ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ Бондаренко Александр Региональный представитель в СФО и ДФО Лаборатория Касперского ТЕЛЕФОН: +7 (913) 912-28-68 EMAIL: Alexander.Bondarenko@kaspersky.com
ЭКСПЕРТИЗА «ЛАБОРАТОРИИ КАСПЕРСКОГО» 1/3 310 000 42 сотрудников новых образцов вредоносных эксперта высочайшего работают в R&D файлов обнаруживаются каждый мирового класса: наше день элитное подразделение Наш глобальный центр исследований и анализа угроз (GReAT) постоянно изучает новейшие киберугрозы и ищет средства защиты от них
ГЛОБАЛЬНЫЕ ТРЕНДЫ Мы понимаем глобальные IT-тренды и связанные с ними угрозы Большие объемы данных Консьюмеризация Интернет вещей и мобильность Рост онлайн-торговли Облака и виртуализация Критическая инфраструктура под ударом Фрагментация Интернета Угроза конфиденциальности частной жизни и личных данных Слияние киберпреступности Мобильные угрозы и целевых атак Вредоносное ПО Кибернаемники для банкоматов Коммерциализация Атаки на поставщиков Снижение стоимости целевых атак Целевые атаки целевых атак Онлайн-банкинг Массивные утечки данных Хактивизм Интернет вещей в зоне риска Атаки на гостиничные сети Программы-стиратели и Программы- Угрозы для вымогатели киберсаботаж Финансовый фишинг Атаки на терминалы самообслуживания умных городов
НАШИ ГЛАВНЫЕ ОТКРЫТИЯ Мы находим и пристально изучаем самые сложные в мире угрозы Duqu 2.0 TeamSpy Darkhotel - part 2. Duqu 2.0 Darkhotel Naikon TeamSpy Darkhotel Miniduke Darkhotel Naikon MsnMM Campaigns 2010 2010 Stuxnet MsnMM Miniduke CosmicDuke Hellsing Campaigns Gaus RedOctober Satellite Turla CosmicDuke Hellsing Metel s Regin Sofacy Gaus RedOctober Satellite Turla s 2010 Stuxnet 2011 Duqu 2012 Flame 2013 Icefog 2014 2015 Regin Sofacy Adwind 2011 2011 Duqu 2012 2012 Flame 2013 2013 Icefog 2014 2014 2015Careto / 2015 Carbanak 2016 2016 The Mask miniFlame Winnti Careto / Wild Neutron Carbanak Lazarus The Mask Epic Turla Desert miniFlame Winnti Falcons Wild Neutron NetTraveler Desert Blue Termite Epic Turla Lurk Falcons Energetic Bear / Equation NetTraveler Crouching Yeti Blue Termite Kimsuky Energetic Bear / Spring Dragon Equation Crouching Yeti Animal Farm Kimsuky Spring Dragon Animal Farm
Единичные тактики и методы могут повлечь за собой абсолютно разный результат в зависимости от отрасли
Ландшафт угроз и соответствующие технологии защиты Машинное обучение, Threat Intelligence, динамический анализ «песочница» $$$ 1% - уникальные Эвристика и поведенческий анализ, глобальная облачная $++ 9% - передовые угрозы репутация и статистика угроз 90% - распространенные Сигнатуры и Низкая цена $ угрозы правила
1 инцидент может покрыть внедрение анти-APT Классические решения Antivirus, Endpoint Security Known Threats Firewall, Access control 99% IDS/IPS Data leakage protection Unknown Threats Web/mail gateway … Нужна новая защита? 1% Непонятно, но ОЧЕНЬ страшно и ОПАСНО … зачем инвестировать, если компания может никогда не стать целью?
Оценка масштаба угрозы Прямые Последующие потери траты IT-консалтинг Закрытие уязвимостей Аудиторы Покупка решений безопасности (DB PR-активности protection, Endpoint, PIM, SIEM..) Судебные траты Восстановление Systems Замена «плохой» системы + + Потеря данных, обман и тд. Наём специалистов (ручное обнаружение) Возможности Пересмотр бизнес процессов (новые роли) Staffing + + Потеря прибыли во ERROR Повышение осведомленности сотрудников время Повышение экспертизы службы ИБ простоя Простои Training Чтобы не повторилось вновь
Статистика потерь за 2016 год от инцидентов ИБ Дополнительные траты к ЗП $14K Средний Потерянный возможности $13K Аутсорс квалифицированных экспертов $11K SMB Ущерб рейтингам $9K Пиар коммуникации Компенсации $8K $8K ущерб: Развитие ИТ систем и защиты Обучения $7K $10K $86.5k Привлечение новых сотрудников $7K Дополнительные траты к ЗП $126K Ущерб рейтингам $116K Крупные Потерянный возможности Компенсации $92K $106K Средний компании ущерб: Пиар коммуникации $91K Аутсорс квалифицированных экспертов $86K Развитие ИТ систем и защиты $119K Обучения Привлечение новых сотрудников $79K $77K $891k Перераспредленеие трудозатрат ИТ и ИБ служб крупнейшая часть затрат по результату выявленного инцидента Results from Kaspersky Lab’s Corporate IT Security Risks Base: 926 SMBs/ 590 Enterprises Survey 2016, conducted worldwide by Kaspersky Lab Suffering At Least One Data Breach
1 инцидент может покрыть внедрение анти-APT Средний размер потерь от целевых атак Enterprises $1,54M SMBs $84к
Целенаправленные атаки Что это…
Типовое развитие целенаправленной атаки НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ ПОДГОТОВКА • доступ к информации • анализ цели • воздействие на бизнес процессы • подготовка стратегии • сокрытие следов • создание/покупка тулсета • тихий уход ЦЕЛЕВАЯ АТАКА МОЖЕТ ДЛИТЬСЯ МЕСЯЦЫ… И ГОДАМИ ОСТАВАТЬТСЯ НЕОБНАРУЖЕННОЙ РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ • кража идентификационных данных • использование слабых мест • повышение привилегий • проникновение внутрь • налаживание связей инфраструктуры • легитимизация действий • получение контроля
Развитие целенаправленной атаки: Теория и Реальность В теории… довольно линейное развитие: Тестирование Проникновение Закрепление Исполнение Инцидент
Развитие целенаправленной атаки: Теория и Реальность В реальности… сложно и нелинейно: Проникновение 1 – Эксплойт во вложении почты Исполнение – Локальное Тестирование Удаленное – Исполнение Распространение 1 – Инцидент Email Проникновение 2 – Зараженная ссылка Распространение 2 – По сети
Выявление целенаправленных атак традиционными методами PREPARATION EXFILTRATION INDICATORS ALERTS • DLP • логи межсетевого экрана • поведенческий анализ Обнаружение – не только • логи web-сервера исходящего трафика анализ внутренних данных, • web-firewall • прокси (MITM) но и сопоставление с • NIDS данными внешними. BREACHES EVENTS ABNORMAL Threat Intelligence – это ACTIVITIES краеугольный камень • IoC INCIDENTS современной ИБ • mail прокси • межсетевой экран • PIM • сенсоры трафика • защита баз данных • HIDS, EPP • контроль доверенной среды • логи доступа
…ОСОБЕННО С УЧЕТОМ НАЛИЧИЯ ЗАДАЧА – ОБЬЕДИНИТЬ СОБЫТИЯ ПОСТОЯННОЙ РАЗНОРОДНЫХЗАГРУЗКИ СЛУЖБЫ СИСТЕМ ВИБ И БЕЗ ЭТОГО. ЕДИНУЮ КАРТИНУ… ВРУЧНУЮ НЕ РЕШАЕМА!
Адаптивная стратегия корпоративной безопасности Подход «Лаборатории Касперского»
В РЕЗУЛЬТАТЕ ОРГАНИЗАЦИИ ПРИХОДЯТ К ИДЕОЛОГИИ ПОСТРОЕНИЯ ЦЕНТРА МОНИТОРИНГА ИБ (Security Operation Center, SOC) ВЫЯВЛЕНИЕ 19
С ВЫДЕЛЕННОЙ СЛУЖБОЙ МОНИТОРИНГА И АНАЛИЗА КОРРЕЛЯЦИЯ 20
Адпативная модель организации ИБ от Gartner
Эволюция ожиданий бизнеса Текущий размер инвестиций: 80% на превентивные технологии / 20% на обнаружение, реагирование и прогнозирование 40 60 (Крупные компании: 90%/10%) 80 20 Планы опрошенных заказчиков В СЕГОДНЯ БУДУЩЕМ на ближайшие 3 года: 40% / 60% Основано на опросе, проведенном «Лабораторией Касперского» в ноябре 2015 года среди свыше 6700 компаний по всему миру
Kaspersky Anti Targeted Attack platform Обзор решения
Интегрированное решение Kaspersky Anti Targeted Attack Глобальная Корреляция событий и данных статистика угроз и на основе машинного обучения Анализ поведения репутационная база рабочих станций Threat Intelligence Process/configuration monitoring Анализ сетевого трафика Передовая песочница HTTP/HTTPS/Mail/FTP/DNS sensors, endpoint agents
Процесс Сетевые сенсоры Интернет SIEM SOC • мета-данные • подозрительные Аналитический центр объекты SB Activity Logs Почта Pcaps, Sys-log Группа • Сетевая активность Консоль администратора реагирования Сервера рабочего места Verdicts DB Офицер ИБ ПК Сенсоры Песочница Инцидент рабочих Ноутбуки мест Вектора угроз Сбор данных Анализ данных Приоритезация Реагирование 25
2017: KASPERSKY ANTI TARGETED ATTACK (KATA v.2) PLATFORM Kaspersky Контроль детонации Kaspersky Endpoint Security обьектов Security Network как сенсор КАТА Kaspersky SPAN Endpoint Security IoC Scanning Threat Intelligence TARGETED ATTACK Forensic Data ANALYZER: ICAP Endpiont Sensor Network Traffic Analysis Behavioral Analysis Machine learning Correlation Dashboards SMTP POP3S Endpiont Sensors IDS Anti-Malware & analysis engine Notification Network Sensors Sandbox 1 Kaspersky Secure Анализ ссылок в почте Sandbox X Reporting Mail Gateway SMTP + SMTP Блокирование почты Анализ архивов в почте Кластеризация Пересканирование Улучшенный из SPAN песочниц обьектов веб-интерфейс Сбор данных Интеллектуальный анализ Приоритезация и визуализация
Kaspersky Private Security Network – приватная инсталляция базы репутаций и статистики угроз Соответствие требованиям регуляторов и стандартам ИБ Kaspersky Private Security Network Локально размещаемая версия базы KSN Основные преимущества KPSN: •размещение репутационной базы ЛК (полный дамп данных) внутри защищаемой инфраструктуры Соответствие регуляторам •исключение передачи информации вне контролируемой сети Стандарты безопасности •одностороннее получение оперативных обновлений от KSN •высокая производительность (сотни тысяч запросов) Бизнес необходимость •осведомленность в режиме реального времени ИТ-требования
Преимущества решения Kaspersky Anti Targeted Attack Гибкость установки и масштабируемость, нет привязки к аппаратному исполнению, простое лицензирование Встроенный сервис KMP Сертификация ICSA, последний отчет Radicati Group 2017 Совместимость с конкурентными и классическими решениями по ИБ Многоуровневый анализ целенаправленных атак комплексным взаимодействием разнородных детектирующих механизмов Сертификат ФСБ (АВ), наличие в реестре российского ПО сертификат ФСТЭК (СОВ, анти-APT), скоро сертификат ФСБ (СОВ)
«ЛАБОРАТОРИЯ КАСПЕРСКОГО» НА РЫНКЕ
МЕЖДУНАРОДНЫЕ НАГРАДЫ И ПРИЗНАНИЕ В 2016 году продукты «Лаборатории Касперского» приняли Процент попаданий в ТОП-3 участие в 78 независимых тестах и обзорах. В 55 случаях они заняли первое место и 70 раз вошли в тройку лучших (ТОП-3) «Лаборатория Касперского» 1-е места – 55 Участие в 78 тестах/обзорах Symantec ТОП-3 = 90% ESET BitDefender Avira VIPRE Sophos Quick Heal * Примечания. • Включает тесты продуктов для бизнеса, домашних BullGuard Avast пользователей и мобильных приложений за 2016 год. AVG Trend Micro • В обзор вошли тесты, проведенные следующими независимыми лабораториями: AV-Comparatives, AV-Test, G DATA SELabs, MRG Effitas, VirusBulletin, ICSA Labs. • Тестировались все доступные технологии защиты против F-Secure известных, неизвестных и комплексных угроз. • Диаметр круга соответствует числу занятых первых мест. Intel Security (McAfee) Microsoft Число тестов/обзоров
6 ЛЕТ ПОДРЯД В КАТЕГОРИИ «ЛИДЕРЫ» CHALLENGERS LEADERS Sophos Trend Micro В 2017 году «Лаборатория Касперского» в шестой раз подряд Intel Security попала в число «Лидеров» в Магическом квадранте компании Microsoft Symantec Kaspersky Lab Gartner в категории Endpoint Protection Platforms (решения для защиты конечных устройств). Eset Cylance SentinelOne Эксперты высоко оценили деятельность компании по обоим 360 Enterprise Security Group Carbon Black направлениям аттестации: «стратегическое видение» и F-Secure CrowdStrike «эффективность реализации». Panda Security Invincea Webroot ABILITY TO EXECUTE AhnLab Malwarebytes Palo Alto Networks Bitdefender Comodo G Data Software NICHE PLAYERS VISIONARIES COMPLETENESS OF VISION As of January 2017 Magic Quadrant for Endpoint Protection Platforms, 30 January 2017 Данные, публикуемые компанией Gartner, не являются рекомендацией в отношении каких бы то ни было производителей, продуктов или услуг и не могут рассматриваться в качестве совета выбирать поставщиков с наибольшим рейтингом. Аналитические публикации Gartner основаны на мнениях экспертов компании и не могут считаться констатацией фактов. Gartner не дает никаких гарантий, выраженных в явной или подразумеваемой форме, в отношении публикуемых данных, в том числе гарантий коммерческого качества или пригодности для определенных целей..
НАШИ КЛИЕНТЫ Мы работаем с компаниями из самых разных отраслей. Наши решения и сервисы успешно защищают 270 000 компаний по всему миру. Общественные Образование Госучреждения Здравоохранение организации ~ 40 000 ~ 7500 ~ 5000 клиентов в клиентов в клиентов в 105 81 82 странах стране странах ∞∞∞∞∞ ~ 2000 клиентов в 123 странах Частные Строительство Нефть Медиа Телеком Финансы Технологии Транспорт компании и газ
ТЕХНОЛОГИЧЕСКИЕ ПАРТНЕРЫ ~ 120 — Интеграция технологий ведущих компаний — Собственные марки / Кобрендинг доверяют нам защиту — Предустановка / Набор продуктов своих клиентов — Предзагрузка
35
СПАСИБО!
Бондаренко Александр Региональный представитель в СФО и ДФО Лаборатория Касперского ТЕЛЕФОН: +7 (913) 912-28-68 EMAIL: Alexander.Bondarenko@kaspersky.com
Вы также можете почитать