Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Что означает быть в
курсе современных
угроз? Threat Intelligence
от лидера рынка
Булат Сираев,
Deputy Head of Global Enterprise Sales
Определение 2
Threat intelligence - это основанные на
фактических данных знания, включая контекст,
механизмы, индикаторы, последствия и
действенные рекомендации, о существующей или
возникающей угрозе или угрозе активам, которые
могут использоваться для принятия решений
относительно реакции субъекта на эту угрозу или
опасность.
Gartner
История рынка 3
«Intelligence – модное
слово, которое может Класс решений Threat
Первый отчёт о означать все, что вы Intelligence Platform
кибершпионаже, APT1, хотите, чтобы оно становится более
опубликован Mandiant значило» массовым
Stuxnet. Первое Многомиллиардный
кибероружие, способное Активный рост рынка, рынок, тема
причинять физический Gartner описывает термин стандартизация кибератак во всех
ущерб Threat Intelligence предложений СМИ
2010 2012 2013 2014 2015 2018 2021
2021 4
Роль в security operations 5
Lessons
Operations learned
Monitoring
& maintenance
& detection
management
IOCs
TTPs
IOCs
Vulnerability
Incident response
management Kaspersky
Priority
Context
Threat
Intelligence
Trends, threat landscape, etc.
Statistics,
detects Incident statistics
Vulnerability and KPIs
assessment reports
Reporting
Типы данных об угрозах: Threat Intelligence 6
Технические Операционные
#Feeds #Расследования
#MRTI #Исследования
#Correlation
Тактические Стратегические
#TTPs #Тренды
#Actors #Целевая информация
Контекст 7
Почему Принятие решений за счет
понимания действий
Threat Intelligence злоумышленников
это важно?
Детектирование угроз,
выявление техник, тактик и
процедур (TTP’s)
Управление рисками
Сценарии использования 8
Расследование Устранение
• Инструменты для ускорения • Мониторинг бренда
расследований • Takedown и блокировка
• Threat Hunting ресурсов
Driven by
GLOBAL THREAT
INTELLIGENCE
Реагирование Детектирование
• Валидация событий и обогащение • Обнаружение инцидентов
• Приотиризация уязвимостей • Отслеживание источников
• Security Enrichment
Kaspersky Threat Intelligence 9
Аналитик Threat Управление
Intelligence уязвимостями
Роли и
SOC Аналитики Threat Hunting
функции
Расследование Лица принимающие
инцидентов решения
Threat intelligence - источники 10
KSN
Kaspersky
Web crawlers APT Research
team
BotFarms
Kaspersky
Spam traps SOC
Kaspersky
Sensors
Threat
Kaspersky Intelligence
Passive DNS Red Team
Заказчик
Partners
Kaspersky
ICS CERT
OSINTИсследования – публичные анонсы ЛК 11
2016 2017 2018 2019 2020
Metel Saguaro StoneDrill WhiteBear Zebrocy Topinambour Cycldek MosaicRegressor
SixLittle
Adwind StrongPity BlueNoroff Silence DarkTequila ShadowHammer Monkeys VHD Ransomware
(aka Microcin)
ExPetr/
Lazarus Ghoul MuddyWater SneakyPastes CactusPete WildPressure
NotPetya
Lurk Fruity Armor ATMitch Skygofree FinSpy DeathStalker PhantomLance
Olympic
GCMan ScarCruft ShadowPad DarkUniverse MATA
Destroyer
Poseidon BlackOasis ZooPark COMpfun TransparentTribe
Danti Shamoon 2.0 Hades Titanium WellMess
Dropping
WannaCry Octopus TwoSail Junk
Elephant
Moonlight
ProjectSauron AppleJeus MontysThree
MazeПортфолио Kaspersky Threat Intelligence 12
CyberTrace Threat Lookup
Kaspersky
Threat
Потоки данных об
Intelligence Cloud Sandbox
угрозах
Типы данных о киберугрозах
ТЕХНИЧЕСКИЕ ОПЕРАЦИОННЫЕ
Аналитические отчеты Digital Footprint
об APT-угрозах Intelligence
СТРАТЕГИЧЕСКИЕ ТАКТИЧЕСКИЕ
Отчёты об угрозах для
Отчеты об угрозах для
промышленных предприятий
финансовых организаций13 Kaspersky Threat Data Feeds
Потоки данных об угрозах 14
Постоянное обновление данных Информативный контекст Разнообразные форматы и
об угрозах минимизирует число позволяет оперативно механизмы предоставления
ложноположительных реагировать на угрозы сведений упрощают интеграцию
срабатываний с существующими средствами
защитыПотоки данных об угрозах 15
IP REPUTATION FEED
HASH FEED (WIN / *nix / Сетевой
экран
MacOS / AndroidOS / iOS)
Прокси- Облачный
URL FEEDS (Malicious, Phishing серверы сервер
and C&C)
RANSOMWARE URL FEED
APT IOC FEEDS
VULNERABILITY FEED Рабочие
SIEM / SOAR / места
Kaspersky
PASSIVE DNS (pDNS) FEED платформа TI
Threat
IoT URL FEED Data Feeds
WHITELISTING FEED
ЦОД
ICS HASH FEED Защита от
потери
данных
И ДРУГОЕ Почтовые
серверы16 Kaspersky CyberTrace
Платформа Threat Intelligence: Kaspersky CyberTrace 17
Kaspersky CyberTrace объединяет
аналитические данные из разных источников
с решениями для обнаружения угроз и
защиты от них. В результате пользователь
может оперативно использовать аналитику
угроз для мониторинга безопасности, защиты
и реагирования на инциденты в рамках
привычных процессов.Kaspersky CyberTrace — платформа для управления данными о киберугрозах 18
SIEM-система собирает журналы с различных CyberTrace быстро сопоставляет поступающие события
устройств и IT-систем и отправляет данные о событиях с потоками данных об угрозах и отправляет данные об
с URL и IP-адресами и хэшами в CyberTrace на анализ обнаруженных угрозах в SIEM и CyberTrace Web
Пересланные
события
2
1 Потоки данных об угрозах
Источники логов Необработанные
3 «Лаборатории Касперского»,
коммерческие и кастомизированные
логи Обнаруженные пользовательские потоки, данные из
SIEM угрозы CyberTrace открытых источников (OSINT)
Внутренние источники
данных
• Получает оповещения об
Дашборды CyberTrace Web обнаруженных угрозах с
дополнительным контекстом
Аналитик
безопасности 4 • Проводит первоначальное
КОРПОРАТИВНАЯ расследование и инициирует
СЕТЬ процесс реагирования на
основе контекстаCyberTrace 19
База данных для хранения и поиска
по данным (+ retroscan)
Агрегация, дедупликация,
нормализация и обмен данными
Статистика обнаружений и матрица
пересечений по потокам даных
Публичный API (для интеграции
и автоматизации)
Мультитенантность для MSSP
и крупных предприятийБаза данных об индикаторах с полнотекстовым поиском 20
Подробная информация о каждом добавленном индикаторе для более глубокого анализа 21
Хранилище данных об обнаружении: упрощает мониторинг безопасности и 22 приоритизацию оповещений
23 Kaspersky Threat Lookup
Kaspersky Threat Lookup 24
Объекты Источники
для анализа
Kaspersky Security
Network
Файлы Kaspersky Автоматическое
Threat Lookup сопоставление Поисковые роботы
URL-адреса
Ловушки для спама
Поиск Контекстуальная
информации Данные
аналитика
Мониторинг
Домены ботнет-угроз
Пассивная
IP-адреса поиска угроз репликация DNS
• Объект вредоносный?
РЕАГИРОВАНИЕ • Компания под угрозой? Сенсоры
НА ИНЦИДЕНТ
Хеши
ПартнерыKaspersky Threat Lookup: результат по запросу 25
Kaspersky Threat Lookup: контекстная информация 26
Kaspersky Threat Lookup: взаимосвязанные индикаторы 27
28 Kaspersky Cloud Sandbox
Kaspersky Cloud Sandbox 29
Эффективное обнаружение
APT-, целевых и
Стандартные и комплексных угроз
Расширенный анализ
файлов различных расширенные настройки
форматов для оптимизации
производительности
Рабочий процесс,
позволяющий проводить
Веб- действенное и всестороннее
интерфейс расследование инцидентов
Kaspersky Масштабирование без
Cloud Sandbox необходимости покупать
дорогостоящие устройства
REST API
Методы обнаружения
Визуализация и обхода защиты и
интуитивно понятная моделирование
отчетность поведения человека Безупречная интеграция и
автоматизация процессов
безопасностиKaspersky Cloud Sandbox: информационная панель 30
Kaspersky Cloud Sandbox: карта выполнения 31
Kaspersky Cloud Sandbox: отслеживание подозрительного поведения и снимки экрана 32
33 Аналитические отчеты об APT-угрозах
Аналитические отчеты об APT-угрозах 34
Профили злоумышленников
Сопоставление с базой знаний ATT&CK
Общие сведения
• Информация, предназначенная для высшего
руководства
Подробный технический анализ
• Методы проведения атак
• Используемые эксплойты
• Описание вредоносного ПО
• Инфраструктура командных серверов и
описание протоколов
• Анализ жертв атак
• Анализ эксфильтрации данных
• Атрибуция кибератак
Выводы и рекомендации
Индикаторы компрометации и YARA-правилаСопоставление с базой знаний MITRE ATT&CK в аналитических отчетах об APT-угрозах 35
36 Отчеты об угрозах для финансовых организаций
Отчеты об угрозах для финансовых организаций 37
Профили злоумышленников
Сопоставление с базой знаний ATT&CK
Общие сведения
• Информация, предназначенная для высшего
руководства
Подробный технический анализ
• Методы проведения атак
• Используемые эксплойты
• Описание вредоносного ПО
• Инфраструктура командных серверов и
описание протоколов
• Анализ жертв атак
• Анализ эксфильтрации данных
• Атрибуция кибератак
Выводы и рекомендации
Индикаторы компрометации и YARA-правилаКибератаки, наносящие финансовый ущерб 38
Prilex, Silence, Fin7, Deathstalker, HydraPOS –
это преступные группировки, которые
фокусируются на финансовых организациях и
их крупных клиентах, таких как
государственные структуры, а также на
компаниях, участвующих в сделках слияния и
поглощения. Кибернаемники и вымогатели
также выбирают эти цели.
Массовые атаки проводятся с использованием
вредоносного ПО для мобильного банкинга,
банкоматов и платежных терминалов.
Что может помочь:
• Отчеты об угрозах для финансовых организаций
• Потоки данных об угрозах
• Kaspersky Digital Footprint Intelligence39 Kaspersky Digital Footprint Intelligence
Kaspersky Digital Footprint Intelligence 40
Мгновенные
уведомления
об угрозах
Различные
данные
• IP-адреса
• Домены Аналитические
Инвентаризация Поверхностный, База знаний отчеты
компании
периметра сети глубокий и «Лаборатории
• Бренды даркнет Касперского»
• Ключевые
слова
Машиночитаемые
аналитические
данные об угрозахKaspersky Digital Footprint Intelligence 41
Источники
Инвентаризация Поверхностный, База знаний
периметра сети глубокий и даркнет «Лаборатории
• Цифровые отпечатки в сервисах Касперского»
• Активность киберпреступников
• Выявление уязвимостей • Утечки информации и учетных
• Анализ эксплойтов • Анализ экземпляров вредоносных
данных
• Оценка и анализ рисков программ
• Инсайдеры
• Поведение сотрудников в • Отслеживание ботнетов и фишинга
социальных сетях • Sinkhole-серверы и серверы с ВПО
• Утечки метаданных • Аналитические отчеты об APT-угрозах
• Потоки данных об угрозах42 Отчеты об угрозах для АСУ ТП
Kaspersky ICS CERT: Аналитика угроз для АСУ ТП 43
Все исследования,
связанные с аналитикой
угроз для АСУ ТП,
Отчеты об угрозах для Потоки данных о ВПО
проводятся командой
АСУ ТП для АСУ ТП Kaspersky ICS CERT
Доступ по подписке к порталу с Индикаторы компрометации (IoC) и • Подразделение основано в 2016
регулярными отчетами об атаках, метаданные для интеграции со
году
угрозах и уязвимостях, характерных сторонними SIEM-системами
для АСУ ТП
• Первая команда CERT
создавалась
для обслуживания коммерческой
организации
• Порядка 20
высококвалифицированных
экспертов по угрозам для АСУ
Персонализированные Потоки данных об ТП, поиску уязвимостей в таких
системах, реагированию на
отчеты уязвимостях АСУ ТП инциденты и анализу
Персонализированные аналитические Точная и актуальная информация для защищенности
отчеты (квартал, год) для конкретного выявления уязвимостей в сетях АСУ ТП
региона или отраслиВозможности, доступные подписчикам сервиса 44
Исследование уязвимостей Ландшафт угроз
Отчеты об анализе уязвимостей самых Отчеты о важных изменениях в ландшафте угроз
популярных продуктов, используемых в АСУ ТП, для АСУ ТП, критических факторах, влияющих
интернета вещей и инфраструктур в разных на безопасность и уязвимость систем
отраслях промышленности
Отчеты об APT-атаках Помощь экспертов
Отчеты о новых APT-атаках и масштабных Эксперты «Лаборатории Касперского» дают
кампаниях против промышленных организаций и обоснованные практические советы по
обновленные данные об активных угрозах выявлению и минимизации уязвимостей в IT-
инфраструктуре предприятияThreat Intelligence Portal 45
Дорожная карта 46
Объединение технологий Унификация
- Threat Analysis Lab - Эволюция экосистемы, единая строка поиска
Развитие решений Защита бренда
- Новые продукты и развитие текущих - Усиление позиций Digital Risk ManagementТехнологические партнеры 47 SIEM/SOAR/IRP Платформы Threat Intelligence Средства управления сетевой безопасностью
Стратегические партнеры 48
> 100 > 20 > 10 69
каналов продаж и технологических MSSP-партнеров промышленных,
партнеров – партнёров в Европе, на государственных,
системных Ближнем национальных
интеграторов Востоке и в групп CERT и
Азиатско- CSIRT и
Тихоокеанском правоохрани-
регионе тельных структурДоказанная эффективность Kaspersky Threat Intelligence 49
«Лаборатория Касперского» имеет самый высокий рейтинг и
«Лаборатория Касперского» помогает Интерполу наибольшее число рекомендаций среди поставщиков продуктов
эффективнее бороться с киберпреступностью и сервисов для аналитики угроз
Сервисы Kaspersky Threat Intelligence работают при «Лаборатория Касперского» предоставила информацию о
поддержке команды экспертов мирового уровня – Kaspersky CozyDuke и Carbanak для тестов MITRE в рауде 2 и 3. Это помогло
GREAT. На их счету множество успешных расследований по улучшить базу знаний MITRE ATT&CK
раннему обнаружению APT- угроз
«Лаборатория Касперского» признана лидером по результатам
Качество нашей аналитики подкрепляют технологии защиты, исследования Forrester New Wave: External Threat Intelligence
прошедшие множество испытаний и удостоенные множества Services (Внешние услуги по анализу угроз), 2021 г.
наградЛидер рынка Threat Intelligence 50
The Forrester Wave™: External Threat
Intelligence Services Q1, 2021.
признана в
области сервисов
оперативного
информирования о
киберугрозах.Мнение 51
The biggest intelligence bodies in
the cyberworld are private entities
– FireEye and Kaspersky have more
information than any state
intelligence body.
Dr. Mohamed al-Kuwaiti, Head of Cyber Security, UAE GovernmentСпасибо!
Вы также можете почитать
