ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ. ПЕРЕДОВЫЕ МЕТОДЫ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ - Бондаренко Александр - Softline
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ.
ПЕРЕДОВЫЕ МЕТОДЫ
ОБНАРУЖЕНИЯ И
ПРЕДОТВРАЩЕНИЯ
Бондаренко Александр
Региональный представитель в СФО и ДФО
Лаборатория Касперского
ТЕЛЕФОН: +7 (913) 912-28-68
EMAIL: Alexander.Bondarenko@kaspersky.com
ЛАНДШАФТ УГРОЗ
ЭКСПЕРТИЗА «ЛАБОРАТОРИИ КАСПЕРСКОГО»
1/3 310 000 42
сотрудников новых образцов вредоносных эксперта высочайшего
работают в R&D файлов обнаруживаются каждый мирового класса: наше
день элитное подразделение
Наш глобальный центр исследований и анализа угроз (GReAT) постоянно изучает новейшие киберугрозы и ищет
средства защиты от них
ГЛОБАЛЬНЫЕ ТРЕНДЫ
Мы понимаем глобальные IT-тренды и связанные с ними угрозы
Большие объемы данных Консьюмеризация
Интернет вещей
и мобильность
Рост онлайн-торговли Облака и виртуализация
Критическая инфраструктура под ударом Фрагментация Интернета
Угроза конфиденциальности
частной жизни и личных данных
Слияние киберпреступности
Мобильные угрозы
и целевых атак Вредоносное ПО Кибернаемники
для банкоматов
Коммерциализация
Атаки на поставщиков
Снижение стоимости целевых атак Целевые атаки целевых атак
Онлайн-банкинг Массивные утечки данных
Хактивизм
Интернет вещей
в зоне риска
Атаки на
гостиничные сети
Программы-стиратели и
Программы- Угрозы для
вымогатели
киберсаботаж
Финансовый фишинг Атаки на терминалы
самообслуживания умных городов
НАШИ ГЛАВНЫЕ ОТКРЫТИЯ
Мы находим и пристально изучаем самые сложные в мире угрозы Duqu 2.0
TeamSpy Darkhotel - part 2.
Duqu 2.0
Darkhotel Naikon
TeamSpy Darkhotel
Miniduke Darkhotel Naikon MsnMM Campaigns
2010
2010 Stuxnet MsnMM
Miniduke CosmicDuke Hellsing
Campaigns
Gaus RedOctober Satellite Turla
CosmicDuke Hellsing Metel
s
Regin Sofacy
Gaus RedOctober Satellite Turla
s
2010 Stuxnet 2011 Duqu 2012 Flame 2013 Icefog 2014 2015
Regin Sofacy Adwind
2011
2011 Duqu 2012
2012 Flame 2013
2013 Icefog 2014
2014 2015Careto /
2015 Carbanak 2016
2016
The Mask
miniFlame Winnti Careto / Wild Neutron
Carbanak Lazarus
The Mask
Epic Turla Desert
miniFlame Winnti Falcons Wild Neutron
NetTraveler Desert Blue Termite
Epic Turla Lurk
Falcons
Energetic Bear /
Equation
NetTraveler Crouching Yeti Blue Termite
Kimsuky Energetic Bear / Spring Dragon
Equation
Crouching Yeti
Animal Farm
Kimsuky Spring Dragon
Animal Farm
Единичные тактики и методы могут повлечь за собой абсолютно разный результат в зависимости от отрасли
Ландшафт угроз и соответствующие технологии защиты
Машинное обучение, Threat Intelligence,
динамический анализ «песочница» $$$ 1% - уникальные
Эвристика и поведенческий
анализ, глобальная облачная $++ 9% - передовые угрозы
репутация и статистика угроз
90% - распространенные
Сигнатуры и Низкая цена $ угрозы
правила1 инцидент может покрыть внедрение анти-APT
Классические решения
Antivirus, Endpoint Security
Known Threats
Firewall, Access control
99%
IDS/IPS
Data leakage protection
Unknown Threats
Web/mail gateway
…
Нужна новая защита?
1% Непонятно,
но ОЧЕНЬ страшно и
ОПАСНО … зачем инвестировать, если компания может никогда не
стать целью?Оценка масштаба угрозы
Прямые Последующие
потери траты
IT-консалтинг Закрытие уязвимостей
Аудиторы Покупка решений безопасности (DB
PR-активности protection, Endpoint, PIM, SIEM..)
Судебные траты Восстановление Systems Замена «плохой» системы
+ +
Потеря данных,
обман и тд. Наём специалистов (ручное обнаружение)
Возможности Пересмотр бизнес процессов (новые роли)
Staffing
+ +
Потеря
прибыли во ERROR Повышение осведомленности сотрудников
время Повышение экспертизы службы ИБ
простоя Простои Training
Чтобы не
повторилось
вновьСтатистика потерь за 2016 год от инцидентов ИБ
Дополнительные траты к ЗП $14K
Средний
Потерянный возможности $13K
Аутсорс квалифицированных экспертов $11K
SMB
Ущерб рейтингам $9K
Пиар коммуникации
Компенсации $8K
$8K
ущерб:
Развитие ИТ систем и защиты
Обучения $7K
$10K
$86.5k
Привлечение новых сотрудников $7K
Дополнительные траты к ЗП $126K
Ущерб рейтингам $116K
Крупные Потерянный возможности
Компенсации $92K
$106K
Средний
компании ущерб:
Пиар коммуникации $91K
Аутсорс квалифицированных экспертов $86K
Развитие ИТ систем и защиты $119K
Обучения
Привлечение новых сотрудников
$79K
$77K
$891k
Перераспредленеие трудозатрат ИТ и ИБ служб крупнейшая
часть затрат по результату выявленного инцидента
Results from Kaspersky Lab’s Corporate IT Security Risks Base: 926 SMBs/ 590 Enterprises
Survey 2016, conducted worldwide by Kaspersky Lab Suffering At Least One Data Breach1 инцидент может покрыть внедрение анти-APT
Средний размер потерь от целевых атак
Enterprises $1,54M
SMBs $84кЦеленаправленные атаки Что это…
Типовое развитие целенаправленной атаки
НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ ПОДГОТОВКА
• доступ к информации • анализ цели
• воздействие на бизнес процессы • подготовка стратегии
• сокрытие следов • создание/покупка тулсета
• тихий уход
ЦЕЛЕВАЯ АТАКА МОЖЕТ
ДЛИТЬСЯ МЕСЯЦЫ… И
ГОДАМИ
ОСТАВАТЬТСЯ
НЕОБНАРУЖЕННОЙ
РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ
• кража идентификационных данных • использование слабых мест
• повышение привилегий • проникновение внутрь
• налаживание связей инфраструктуры
• легитимизация действий
• получение контроляРазвитие целенаправленной атаки: Теория и Реальность В теории… довольно линейное развитие: Тестирование Проникновение Закрепление Исполнение Инцидент
Развитие целенаправленной атаки:
Теория и Реальность
В реальности… сложно и нелинейно:
Проникновение 1 – Эксплойт во
вложении почты Исполнение – Локальное
Тестирование Удаленное – Исполнение
Распространение 1 – Инцидент
Email
Проникновение 2 – Зараженная ссылка Распространение 2 – По сетиВыявление целенаправленных атак традиционными
методами
PREPARATION
EXFILTRATION
INDICATORS
ALERTS
• DLP • логи межсетевого экрана
• поведенческий анализ Обнаружение – не только • логи web-сервера
исходящего трафика анализ внутренних данных, • web-firewall
• прокси (MITM) но и сопоставление с
• NIDS данными внешними.
BREACHES EVENTS
ABNORMAL Threat Intelligence – это
ACTIVITIES краеугольный камень • IoC
INCIDENTS
современной ИБ • mail прокси
• межсетевой экран
• PIM • сенсоры трафика
• защита баз данных • HIDS, EPP
• контроль доверенной среды • логи доступа…ОСОБЕННО С УЧЕТОМ НАЛИЧИЯ
ЗАДАЧА – ОБЬЕДИНИТЬ СОБЫТИЯ ПОСТОЯННОЙ
РАЗНОРОДНЫХЗАГРУЗКИ
СЛУЖБЫ
СИСТЕМ ВИБ И БЕЗ ЭТОГО.
ЕДИНУЮ КАРТИНУ… ВРУЧНУЮ НЕ РЕШАЕМА!Адаптивная стратегия корпоративной безопасности Подход «Лаборатории Касперского»
В РЕЗУЛЬТАТЕ ОРГАНИЗАЦИИ ПРИХОДЯТ К ИДЕОЛОГИИ
ПОСТРОЕНИЯ ЦЕНТРА МОНИТОРИНГА ИБ
(Security Operation Center, SOC)
ВЫЯВЛЕНИЕ
19С ВЫДЕЛЕННОЙ СЛУЖБОЙ МОНИТОРИНГА И АНАЛИЗА
КОРРЕЛЯЦИЯ
20Адпативная модель организации ИБ от Gartner
Эволюция ожиданий бизнеса
Текущий размер инвестиций:
80% на превентивные технологии / 20% на
обнаружение, реагирование и
прогнозирование 40 60
(Крупные компании: 90%/10%) 80 20
Планы опрошенных заказчиков В СЕГОДНЯ
БУДУЩЕМ
на ближайшие 3 года: 40% / 60%
Основано на опросе, проведенном
«Лабораторией Касперского» в ноябре 2015
года среди свыше 6700 компаний по всему
мируKaspersky Anti Targeted Attack platform Обзор решения
Интегрированное решение Kaspersky Anti Targeted Attack
Глобальная Корреляция событий и данных
статистика угроз и на основе машинного обучения Анализ поведения
репутационная база рабочих станций
Threat Intelligence Process/configuration
monitoring
Анализ сетевого трафика Передовая песочница
HTTP/HTTPS/Mail/FTP/DNS sensors,
endpoint agentsПроцесс
Сетевые
сенсоры
Интернет
SIEM SOC
• мета-данные
• подозрительные Аналитический центр
объекты SB Activity Logs
Почта Pcaps, Sys-log
Группа
• Сетевая активность Консоль администратора реагирования
Сервера рабочего места
Verdicts DB
Офицер
ИБ
ПК
Сенсоры Песочница Инцидент
рабочих
Ноутбуки мест
Вектора угроз Сбор данных Анализ данных Приоритезация Реагирование
252017: KASPERSKY ANTI TARGETED ATTACK (KATA v.2) PLATFORM
Kaspersky Контроль детонации Kaspersky
Endpoint Security обьектов Security Network
как сенсор КАТА
Kaspersky
SPAN Endpoint Security IoC Scanning Threat Intelligence TARGETED
ATTACK Forensic Data
ANALYZER:
ICAP Endpiont Sensor Network Traffic Analysis Behavioral Analysis
Machine learning
Correlation Dashboards
SMTP POP3S Endpiont Sensors IDS Anti-Malware & analysis
engine
Notification
Network Sensors Sandbox 1
Kaspersky Secure Анализ ссылок в почте
Sandbox X Reporting
Mail Gateway
SMTP + SMTP Блокирование почты Анализ архивов в почте Кластеризация Пересканирование Улучшенный
из SPAN песочниц обьектов веб-интерфейс
Сбор данных Интеллектуальный анализ Приоритезация и визуализацияKaspersky Private Security Network – приватная инсталляция базы репутаций и статистики угроз
Соответствие требованиям регуляторов и стандартам ИБ
Kaspersky Private
Security Network
Локально размещаемая версия базы KSN
Основные преимущества KPSN:
•размещение репутационной базы ЛК (полный дамп данных) внутри
защищаемой инфраструктуры
Соответствие регуляторам
•исключение передачи информации вне контролируемой сети
Стандарты безопасности •одностороннее получение оперативных обновлений от KSN
•высокая производительность (сотни тысяч запросов)
Бизнес необходимость •осведомленность в режиме реального времени
ИТ-требованияПреимущества решения Kaspersky Anti Targeted Attack
Гибкость установки и масштабируемость, нет привязки к аппаратному исполнению, простое
лицензирование
Встроенный сервис KMP
Сертификация ICSA, последний отчет Radicati Group 2017
Совместимость с конкурентными и классическими решениями по ИБ
Многоуровневый анализ целенаправленных атак комплексным взаимодействием разнородных
детектирующих механизмов
Сертификат ФСБ (АВ), наличие в реестре российского ПО
сертификат ФСТЭК (СОВ, анти-APT), скоро сертификат ФСБ (СОВ)«ЛАБОРАТОРИЯ КАСПЕРСКОГО» НА РЫНКЕ
МЕЖДУНАРОДНЫЕ НАГРАДЫ И ПРИЗНАНИЕ
В 2016 году продукты «Лаборатории Касперского» приняли
Процент попаданий в ТОП-3
участие в 78 независимых тестах и обзорах. В 55 случаях они
заняли первое место и 70 раз вошли в тройку лучших (ТОП-3)
«Лаборатория
Касперского»
1-е места – 55
Участие в 78
тестах/обзорах
Symantec
ТОП-3 = 90%
ESET BitDefender
Avira
VIPRE
Sophos
Quick Heal
* Примечания.
• Включает тесты продуктов для бизнеса, домашних
BullGuard Avast пользователей и мобильных приложений за 2016 год.
AVG Trend Micro • В обзор вошли тесты, проведенные следующими
независимыми лабораториями: AV-Comparatives, AV-Test,
G DATA SELabs, MRG Effitas, VirusBulletin, ICSA Labs.
• Тестировались все доступные технологии защиты против
F-Secure известных, неизвестных и комплексных угроз.
• Диаметр круга соответствует числу занятых первых мест.
Intel Security (McAfee)
Microsoft
Число тестов/обзоров6 ЛЕТ ПОДРЯД В КАТЕГОРИИ «ЛИДЕРЫ»
CHALLENGERS LEADERS
Sophos Trend Micro
В 2017 году «Лаборатория Касперского» в шестой раз подряд
Intel Security попала в число «Лидеров» в Магическом квадранте компании
Microsoft
Symantec Kaspersky Lab Gartner в категории Endpoint Protection Platforms (решения для
защиты конечных устройств).
Eset Cylance
SentinelOne
Эксперты высоко оценили деятельность компании по обоим
360 Enterprise Security Group
Carbon Black направлениям аттестации: «стратегическое видение» и
F-Secure
CrowdStrike «эффективность реализации».
Panda Security Invincea
Webroot
ABILITY TO EXECUTE
AhnLab Malwarebytes
Palo Alto Networks
Bitdefender
Comodo
G Data Software
NICHE PLAYERS VISIONARIES
COMPLETENESS OF VISION As of January 2017
Magic Quadrant for Endpoint Protection Platforms, 30 January 2017
Данные, публикуемые компанией Gartner, не являются рекомендацией в отношении каких бы то ни было производителей, продуктов или услуг и не могут рассматриваться в качестве совета выбирать поставщиков с наибольшим рейтингом. Аналитические публикации Gartner основаны на мнениях экспертов
компании и не могут считаться констатацией фактов. Gartner не дает никаких гарантий, выраженных в явной или подразумеваемой форме, в отношении публикуемых данных, в том числе гарантий коммерческого качества или пригодности для определенных целей..НАШИ КЛИЕНТЫ
Мы работаем с компаниями из самых разных отраслей. Наши решения и сервисы
успешно защищают 270 000 компаний по всему миру.
Общественные Образование Госучреждения Здравоохранение
организации
~ 40 000 ~ 7500 ~ 5000
клиентов в клиентов в клиентов в
105 81 82
странах стране странах
∞∞∞∞∞
~ 2000
клиентов в
123
странах
Частные Строительство Нефть Медиа Телеком Финансы Технологии Транспорт
компании и газТЕХНОЛОГИЧЕСКИЕ ПАРТНЕРЫ
~ 120
— Интеграция технологий
ведущих компаний — Собственные марки / Кобрендинг
доверяют нам защиту — Предустановка / Набор продуктов
своих клиентов — Предзагрузка35
СПАСИБО!
Бондаренко Александр Региональный представитель в СФО и ДФО Лаборатория Касперского ТЕЛЕФОН: +7 (913) 912-28-68 EMAIL: Alexander.Bondarenko@kaspersky.com
Вы также можете почитать
