Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев

Страница создана Доброслав Терехов
 
ПРОДОЛЖИТЬ ЧТЕНИЕ
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
Что означает быть в
курсе современных
угроз? Threat Intelligence
от лидера рынка
                        Булат Сираев,
                        Deputy Head of Global Enterprise Sales
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
Определение                                             2

      Threat intelligence - это основанные на
      фактических данных знания, включая контекст,
      механизмы, индикаторы, последствия и
      действенные рекомендации, о существующей или
      возникающей угрозе или угрозе активам, которые
      могут использоваться для принятия решений
      относительно реакции субъекта на эту угрозу или
      опасность.

      Gartner
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
История рынка                                                                                                    3

                                                 «Intelligence – модное
                                                 слово, которое может            Класс решений Threat
                  Первый отчёт о                  означать все, что вы            Intelligence Platform
               кибершпионаже, APT1,                хотите, чтобы оно                становится более
               опубликован Mandiant                      значило»                        массовым

    Stuxnet. Первое                                                                               Многомиллиардный
кибероружие, способное                                            Активный рост рынка,               рынок, тема
 причинять физический           Gartner описывает термин            стандартизация                кибератак во всех
        ущерб                       Threat Intelligence              предложений                        СМИ

        2010             2012            2013              2014           2015           2018             2021
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
2021   4
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
Роль в security operations                                                                                                                          5

                                                                                                                                             Lessons
        Operations                                                                                                                            learned
                                                             Monitoring
      & maintenance
                                                             & detection
       management
                                                                     IOCs
                                                                     TTPs

                                                                                         IOCs

       Vulnerability
                                                                                                                         Incident response
       management                                             Kaspersky
                                    Priority
                                                                                                      Context
                                                                Threat
                                                             Intelligence

                                                                     Trends, threat landscape, etc.
                                               Statistics,
                                               detects                                                          Incident statistics
               Vulnerability                                                                                              and KPIs
               assessment reports
                                                              Reporting
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
Типы данных об угрозах: Threat Intelligence                               6

         Технические                           Операционные

                 #Feeds                             #Расследования
                 #MRTI                              #Исследования
                 #Correlation

         Тактические                          Стратегические

                 #TTPs                              #Тренды
                 #Actors                            #Целевая информация
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
Контекст                                              7

   Почему                Принятие решений за счет
                         понимания действий

   Threat Intelligence   злоумышленников

   это важно?
                         Детектирование угроз,
                         выявление техник, тактик и
                         процедур (TTP’s)

                         Управление рисками
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
Сценарии использования                                                             8

     Расследование                                      Устранение
    • Инструменты для ускорения                        • Мониторинг бренда
      расследований                                    • Takedown и блокировка
    • Threat Hunting                                     ресурсов

                                           Driven by
                                       GLOBAL THREAT
                                        INTELLIGENCE

     Реагирование                                       Детектирование
    • Валидация событий и обогащение                   • Обнаружение инцидентов
    • Приотиризация уязвимостей                        • Отслеживание источников
                                                       • Security Enrichment
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
Kaspersky Threat Intelligence                                9

        Аналитик Threat                      Управление
          Intelligence                      уязвимостями

                                 Роли и
        SOC Аналитики                       Threat Hunting
                                функции

        Расследование                     Лица принимающие
         инцидентов                            решения
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
Threat intelligence - источники                                            10

        KSN

                                   Kaspersky
    Web crawlers                  APT Research
                                     team

      BotFarms

                                   Kaspersky
     Spam traps                      SOC

                                                  Kaspersky
      Sensors
                                                    Threat
                                   Kaspersky     Intelligence
     Passive DNS                   Red Team
                                                                Заказчик

      Partners
                                   Kaspersky
                                   ICS CERT
       OSINT
Исследования – публичные анонсы ЛК                                                                                                        11

2016                              2017                         2018             2019              2020

   Metel           Saguaro           StoneDrill    WhiteBear      Zebrocy          Topinambour       Cycldek            MosaicRegressor

                                                                                                     SixLittle
   Adwind          StrongPity        BlueNoroff    Silence        DarkTequila      ShadowHammer      Monkeys            VHD Ransomware
                                                                                                     (aka Microcin)

                                     ExPetr/
   Lazarus         Ghoul                                          MuddyWater       SneakyPastes      CactusPete         WildPressure
                                     NotPetya

   Lurk            Fruity Armor      ATMitch                      Skygofree        FinSpy            DeathStalker       PhantomLance

                                                                  Olympic
   GCMan           ScarCruft         ShadowPad                                     DarkUniverse      MATA
                                                                  Destroyer

   Poseidon                          BlackOasis                   ZooPark          COMpfun           TransparentTribe

   Danti                             Shamoon 2.0                  Hades            Titanium          WellMess

   Dropping
                                     WannaCry                     Octopus                            TwoSail Junk
   Elephant

                                     Moonlight
   ProjectSauron                                                  AppleJeus                          MontysThree
                                     Maze
Портфолио Kaspersky Threat Intelligence                                                        12

                   CyberTrace                                       Threat Lookup

                                                    Kaspersky
                                                    Threat
         Потоки данных об
                                                    Intelligence        Cloud Sandbox
                  угрозах
                                    Типы данных о киберугрозах

                                   ТЕХНИЧЕСКИЕ       ОПЕРАЦИОННЫЕ
     Аналитические отчеты                                               Digital Footprint
           об APT-угрозах                                               Intelligence
                                   СТРАТЕГИЧЕСКИЕ    ТАКТИЧЕСКИЕ

                                                                    Отчёты об угрозах для
         Отчеты об угрозах для
                                                                    промышленных предприятий
       финансовых организаций
13

Kaspersky
Threat Data
Feeds
Потоки данных об угрозах                                                            14

  Постоянное обновление данных    Информативный контекст   Разнообразные форматы и
  об угрозах минимизирует число   позволяет оперативно     механизмы предоставления
  ложноположительных              реагировать на угрозы    сведений упрощают интеграцию
  срабатываний                                             с существующими средствами
                                                           защиты
Потоки данных об угрозах                                                                  15

 IP REPUTATION FEED

 HASH FEED (WIN / *nix /                                    Сетевой
                                                             экран
 MacOS / AndroidOS / iOS)
                                               Прокси-                   Облачный
 URL FEEDS (Malicious, Phishing                серверы                    сервер
 and C&C)

 RANSOMWARE URL FEED

 APT IOC FEEDS

 VULNERABILITY FEED                                                             Рабочие
                                                         SIEM / SOAR /           места
                                  Kaspersky
 PASSIVE DNS (pDNS) FEED                                 платформа TI
                                    Threat
 IoT URL FEED                     Data Feeds
 WHITELISTING FEED
                                                ЦОД
 ICS HASH FEED                                                           Защита от
                                                                          потери
                                                                          данных
 И ДРУГОЕ                                                   Почтовые
                                                            серверы
16

Kaspersky
CyberTrace
Платформа Threat Intelligence: Kaspersky CyberTrace   17

         Kaspersky CyberTrace объединяет
         аналитические данные из разных источников
         с решениями для обнаружения угроз и
         защиты от них. В результате пользователь
         может оперативно использовать аналитику
         угроз для мониторинга безопасности, защиты
         и реагирования на инциденты в рамках
         привычных процессов.
Kaspersky CyberTrace — платформа для управления данными о киберугрозах                                                                                     18

   SIEM-система собирает журналы с различных                   CyberTrace быстро сопоставляет поступающие события
   устройств и IT-систем и отправляет данные о событиях        с потоками данных об угрозах и отправляет данные об
   с URL и IP-адресами и хэшами в CyberTrace на анализ         обнаруженных угрозах в SIEM и CyberTrace Web

                                                               Пересланные
                                                                 события

                                                                    2
                                        1                                                                                  Потоки данных об угрозах
       Источники логов          Необработанные
                                                                                  3                                      «Лаборатории Касперского»,
                                                                                                                      коммерческие и кастомизированные
                                     логи                                 Обнаруженные                                пользовательские потоки, данные из
                                                      SIEM                   угрозы           CyberTrace                 открытых источников (OSINT)

                                                                                      Внутренние источники
                                                                                            данных

                                                                                                                     • Получает оповещения об
                              Дашборды                       CyberTrace Web                                            обнаруженных угрозах с
                                                                                                                       дополнительным контекстом
                                              Аналитик
                                            безопасности      4                                                      • Проводит первоначальное
   КОРПОРАТИВНАЯ                                                                                                       расследование и инициирует
   СЕТЬ                                                                                                                процесс реагирования на
                                                                                                                       основе контекста
CyberTrace                                       19

             База данных для хранения и поиска
             по данным (+ retroscan)

             Агрегация, дедупликация,
             нормализация и обмен данными

             Статистика обнаружений и матрица
             пересечений по потокам даных

             Публичный API (для интеграции
             и автоматизации)

             Мультитенантность для MSSP
             и крупных предприятий
База данных об индикаторах с полнотекстовым поиском   20
Подробная информация о каждом добавленном индикаторе для более глубокого анализа   21
Хранилище данных об обнаружении: упрощает мониторинг безопасности и   22
приоритизацию оповещений
23

Kaspersky
Threat Lookup
Kaspersky Threat Lookup                                                                                          24

   Объекты                                                                                    Источники
  для анализа
                                                                                            Kaspersky Security
                                                                                            Network
      Файлы                       Kaspersky                       Автоматическое
                                Threat Lookup                      сопоставление            Поисковые роботы

      URL-адреса
                                                                                            Ловушки для спама
                   Поиск                        Контекстуальная
                   информации                                                      Данные
                                                аналитика
                                                                                            Мониторинг
      Домены                                                                                ботнет-угроз

                                                                                            Пассивная
      IP-адреса                 поиска угроз                                                репликация DNS
                                                • Объект вредоносный?
                                 РЕАГИРОВАНИЕ   • Компания под угрозой?                     Сенсоры
                                 НА ИНЦИДЕНТ
      Хеши
                                                                                            Партнеры
Kaspersky Threat Lookup: результат по запросу   25
Kaspersky Threat Lookup: контекстная информация   26
Kaspersky Threat Lookup: взаимосвязанные индикаторы   27
28

Kaspersky
Cloud Sandbox
Kaspersky Cloud Sandbox                                                                              29

                                                                        Эффективное обнаружение
                                                                        APT-, целевых и
                                                Стандартные и           комплексных угроз
                          Расширенный анализ
                          файлов различных      расширенные настройки
                          форматов              для оптимизации
                                                производительности

                                                                        Рабочий процесс,
                                                                        позволяющий проводить
    Веб-                                                                действенное и всестороннее
 интерфейс                                                              расследование инцидентов

                                    Kaspersky                           Масштабирование без
                                  Cloud Sandbox                         необходимости покупать
                                                                        дорогостоящие устройства

  REST API

                                                Методы обнаружения
                          Визуализация и        обхода защиты и
                          интуитивно понятная   моделирование
                          отчетность            поведения человека      Безупречная интеграция и
                                                                        автоматизация процессов
                                                                        безопасности
Kaspersky Cloud Sandbox: информационная панель   30
Kaspersky Cloud Sandbox: карта выполнения   31
Kaspersky Cloud Sandbox: отслеживание подозрительного поведения и снимки экрана   32
33

Аналитические
отчеты об
APT-угрозах
Аналитические отчеты об APT-угрозах                                                34

                                      Профили злоумышленников

                                      Сопоставление с базой знаний ATT&CK

                                      Общие сведения
                                       • Информация, предназначенная для высшего
                                         руководства

                                      Подробный технический анализ
                                       • Методы проведения атак
                                       • Используемые эксплойты
                                       • Описание вредоносного ПО
                                       • Инфраструктура командных серверов и
                                         описание протоколов
                                       • Анализ жертв атак
                                       • Анализ эксфильтрации данных
                                       • Атрибуция кибератак

                                      Выводы и рекомендации

                                      Индикаторы компрометации и YARA-правила
Сопоставление с базой знаний MITRE ATT&CK в аналитических отчетах об APT-угрозах   35
36

Отчеты об
угрозах для
финансовых
организаций
Отчеты об угрозах для финансовых организаций                                            37

                                           Профили злоумышленников

                                           Сопоставление с базой знаний ATT&CK

                                           Общие сведения
                                            • Информация, предназначенная для высшего
                                              руководства

                                           Подробный технический анализ
                                            • Методы проведения атак
                                            • Используемые эксплойты
                                            • Описание вредоносного ПО
                                            • Инфраструктура командных серверов и
                                              описание протоколов
                                            • Анализ жертв атак
                                            • Анализ эксфильтрации данных
                                            • Атрибуция кибератак

                                           Выводы и рекомендации

                                           Индикаторы компрометации и YARA-правила
Кибератаки, наносящие финансовый ущерб                38

    Prilex, Silence, Fin7, Deathstalker, HydraPOS –
    это преступные группировки, которые
    фокусируются на финансовых организациях и
    их крупных клиентах, таких как
    государственные структуры, а также на
    компаниях, участвующих в сделках слияния и
    поглощения. Кибернаемники и вымогатели
    также выбирают эти цели.

    Массовые атаки проводятся с использованием
    вредоносного ПО для мобильного банкинга,
    банкоматов и платежных терминалов.

    Что может помочь:
     • Отчеты об угрозах для финансовых организаций
     • Потоки данных об угрозах
     • Kaspersky Digital Footprint Intelligence
39

Kaspersky
Digital
Footprint
Intelligence
Kaspersky Digital Footprint Intelligence                                                     40

                                                                           Мгновенные
                                                                           уведомления
                                                                            об угрозах

 Различные
 данные
  • IP-адреса
  • Домены                                                                Аналитические
                        Инвентаризация   Поверхностный,   База знаний        отчеты
    компании
                        периметра сети   глубокий и       «Лаборатории
  • Бренды                               даркнет          Касперского»
  • Ключевые
    слова

                                                                         Машиночитаемые
                                                                           аналитические
                                                                         данные об угрозах
Kaspersky Digital Footprint Intelligence                                                                              41

      Источники

       Инвентаризация                       Поверхностный,                    База знаний
       периметра сети                       глубокий и даркнет                «Лаборатории
        •   Цифровые отпечатки в сервисах                                     Касперского»
                                             • Активность киберпреступников
        •   Выявление уязвимостей            • Утечки информации и учетных
        •   Анализ эксплойтов                                                 • Анализ экземпляров вредоносных
                                               данных
        •   Оценка и анализ рисков                                              программ
                                             • Инсайдеры
                                             • Поведение сотрудников в        • Отслеживание ботнетов и фишинга
                                               социальных сетях               • Sinkhole-серверы и серверы с ВПО
                                             • Утечки метаданных              • Аналитические отчеты об APT-угрозах
                                                                              • Потоки данных об угрозах
42

Отчеты об
угрозах для
АСУ ТП
Kaspersky ICS CERT: Аналитика угроз для АСУ ТП                                                                      43

                                                                                 Все исследования,
                                                                                 связанные с аналитикой
                                                                                 угроз для АСУ ТП,
  Отчеты об угрозах для                   Потоки данных о ВПО
                                                                                 проводятся командой
  АСУ ТП                                  для АСУ ТП                             Kaspersky ICS CERT
  Доступ по подписке к порталу с          Индикаторы компрометации (IoC) и       • Подразделение основано в 2016
  регулярными отчетами об атаках,         метаданные для интеграции со
                                                                                   году
  угрозах и уязвимостях, характерных      сторонними SIEM-системами
  для АСУ ТП
                                                                                 • Первая команда CERT
                                                                                   создавалась
                                                                                   для обслуживания коммерческой
                                                                                   организации

                                                                                 • Порядка 20
                                                                                   высококвалифицированных
                                                                                   экспертов по угрозам для АСУ
  Персонализированные                     Потоки данных об                         ТП, поиску уязвимостей в таких
                                                                                   системах, реагированию на
  отчеты                                  уязвимостях АСУ ТП                       инциденты и анализу
  Персонализированные аналитические       Точная и актуальная информация для       защищенности
  отчеты (квартал, год) для конкретного   выявления уязвимостей в сетях АСУ ТП
  региона или отрасли
Возможности, доступные подписчикам сервиса                                                             44

         Исследование уязвимостей                       Ландшафт угроз
         Отчеты об анализе уязвимостей самых            Отчеты о важных изменениях в ландшафте угроз
         популярных продуктов, используемых в АСУ ТП,   для АСУ ТП, критических факторах, влияющих
         интернета вещей и инфраструктур в разных       на безопасность и уязвимость систем
         отраслях промышленности

         Отчеты об APT-атаках                           Помощь экспертов
         Отчеты о новых APT-атаках и масштабных         Эксперты «Лаборатории Касперского» дают
         кампаниях против промышленных организаций и    обоснованные практические советы по
         обновленные данные об активных угрозах         выявлению и минимизации уязвимостей в IT-
                                                        инфраструктуре предприятия
Threat Intelligence Portal   45
Дорожная карта                                                                              46

        Объединение технологий                Унификация
        - Threat Analysis Lab                 - Эволюция экосистемы, единая строка поиска

        Развитие решений                      Защита бренда
        - Новые продукты и развитие текущих   - Усиление позиций Digital Risk Management
Технологические партнеры   47

 SIEM/SOAR/IRP

 Платформы Threat
 Intelligence

 Средства
 управления сетевой
 безопасностью
Стратегические партнеры                                                         48

  > 100                   > 20              > 10             69
  каналов продаж и        технологических   MSSP-партнеров   промышленных,
  партнеров –             партнёров         в Европе, на     государственных,
  системных                                 Ближнем          национальных
  интеграторов                              Востоке и в      групп CERT и
                                            Азиатско-        CSIRT и
                                            Тихоокеанском    правоохрани-
                                            регионе          тельных структур
Доказанная эффективность Kaspersky Threat Intelligence                                                                            49

                                                                «Лаборатория Касперского» имеет самый высокий рейтинг и
      «Лаборатория Касперского» помогает Интерполу              наибольшее число рекомендаций среди поставщиков продуктов
      эффективнее бороться с киберпреступностью                 и сервисов для аналитики угроз

      Сервисы Kaspersky Threat Intelligence работают при        «Лаборатория Касперского» предоставила информацию о
      поддержке команды экспертов мирового уровня – Kaspersky   CozyDuke и Carbanak для тестов MITRE в рауде 2 и 3. Это помогло
      GREAT. На их счету множество успешных расследований по    улучшить базу знаний MITRE ATT&CK
      раннему обнаружению APT- угроз

                                                                «Лаборатория Касперского» признана лидером по результатам
      Качество нашей аналитики подкрепляют технологии защиты,   исследования Forrester New Wave: External Threat Intelligence
      прошедшие множество испытаний и удостоенные множества     Services (Внешние услуги по анализу угроз), 2021 г.
      наград
Лидер рынка Threat Intelligence                                          50

                                  The Forrester Wave™: External Threat
                                      Intelligence Services Q1, 2021.

                                       признана         в
                                       области сервисов
                                       оперативного
                                       информирования о
                                       киберугрозах.
Мнение                                                                51

         The biggest intelligence bodies in
         the cyberworld are private entities
         – FireEye and Kaspersky have more
         information than any state
         intelligence body.

     Dr. Mohamed al-Kuwaiti, Head of Cyber Security, UAE Government
Спасибо!
Вы также можете почитать