Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка - Булат Сираев
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Что означает быть в курсе современных угроз? Threat Intelligence от лидера рынка Булат Сираев, Deputy Head of Global Enterprise Sales
Определение 2 Threat intelligence - это основанные на фактических данных знания, включая контекст, механизмы, индикаторы, последствия и действенные рекомендации, о существующей или возникающей угрозе или угрозе активам, которые могут использоваться для принятия решений относительно реакции субъекта на эту угрозу или опасность. Gartner
История рынка 3 «Intelligence – модное слово, которое может Класс решений Threat Первый отчёт о означать все, что вы Intelligence Platform кибершпионаже, APT1, хотите, чтобы оно становится более опубликован Mandiant значило» массовым Stuxnet. Первое Многомиллиардный кибероружие, способное Активный рост рынка, рынок, тема причинять физический Gartner описывает термин стандартизация кибератак во всех ущерб Threat Intelligence предложений СМИ 2010 2012 2013 2014 2015 2018 2021
Роль в security operations 5 Lessons Operations learned Monitoring & maintenance & detection management IOCs TTPs IOCs Vulnerability Incident response management Kaspersky Priority Context Threat Intelligence Trends, threat landscape, etc. Statistics, detects Incident statistics Vulnerability and KPIs assessment reports Reporting
Типы данных об угрозах: Threat Intelligence 6 Технические Операционные #Feeds #Расследования #MRTI #Исследования #Correlation Тактические Стратегические #TTPs #Тренды #Actors #Целевая информация
Контекст 7 Почему Принятие решений за счет понимания действий Threat Intelligence злоумышленников это важно? Детектирование угроз, выявление техник, тактик и процедур (TTP’s) Управление рисками
Сценарии использования 8 Расследование Устранение • Инструменты для ускорения • Мониторинг бренда расследований • Takedown и блокировка • Threat Hunting ресурсов Driven by GLOBAL THREAT INTELLIGENCE Реагирование Детектирование • Валидация событий и обогащение • Обнаружение инцидентов • Приотиризация уязвимостей • Отслеживание источников • Security Enrichment
Kaspersky Threat Intelligence 9 Аналитик Threat Управление Intelligence уязвимостями Роли и SOC Аналитики Threat Hunting функции Расследование Лица принимающие инцидентов решения
Threat intelligence - источники 10 KSN Kaspersky Web crawlers APT Research team BotFarms Kaspersky Spam traps SOC Kaspersky Sensors Threat Kaspersky Intelligence Passive DNS Red Team Заказчик Partners Kaspersky ICS CERT OSINT
Исследования – публичные анонсы ЛК 11 2016 2017 2018 2019 2020 Metel Saguaro StoneDrill WhiteBear Zebrocy Topinambour Cycldek MosaicRegressor SixLittle Adwind StrongPity BlueNoroff Silence DarkTequila ShadowHammer Monkeys VHD Ransomware (aka Microcin) ExPetr/ Lazarus Ghoul MuddyWater SneakyPastes CactusPete WildPressure NotPetya Lurk Fruity Armor ATMitch Skygofree FinSpy DeathStalker PhantomLance Olympic GCMan ScarCruft ShadowPad DarkUniverse MATA Destroyer Poseidon BlackOasis ZooPark COMpfun TransparentTribe Danti Shamoon 2.0 Hades Titanium WellMess Dropping WannaCry Octopus TwoSail Junk Elephant Moonlight ProjectSauron AppleJeus MontysThree Maze
Портфолио Kaspersky Threat Intelligence 12 CyberTrace Threat Lookup Kaspersky Threat Потоки данных об Intelligence Cloud Sandbox угрозах Типы данных о киберугрозах ТЕХНИЧЕСКИЕ ОПЕРАЦИОННЫЕ Аналитические отчеты Digital Footprint об APT-угрозах Intelligence СТРАТЕГИЧЕСКИЕ ТАКТИЧЕСКИЕ Отчёты об угрозах для Отчеты об угрозах для промышленных предприятий финансовых организаций
13 Kaspersky Threat Data Feeds
Потоки данных об угрозах 14 Постоянное обновление данных Информативный контекст Разнообразные форматы и об угрозах минимизирует число позволяет оперативно механизмы предоставления ложноположительных реагировать на угрозы сведений упрощают интеграцию срабатываний с существующими средствами защиты
Потоки данных об угрозах 15 IP REPUTATION FEED HASH FEED (WIN / *nix / Сетевой экран MacOS / AndroidOS / iOS) Прокси- Облачный URL FEEDS (Malicious, Phishing серверы сервер and C&C) RANSOMWARE URL FEED APT IOC FEEDS VULNERABILITY FEED Рабочие SIEM / SOAR / места Kaspersky PASSIVE DNS (pDNS) FEED платформа TI Threat IoT URL FEED Data Feeds WHITELISTING FEED ЦОД ICS HASH FEED Защита от потери данных И ДРУГОЕ Почтовые серверы
16 Kaspersky CyberTrace
Платформа Threat Intelligence: Kaspersky CyberTrace 17 Kaspersky CyberTrace объединяет аналитические данные из разных источников с решениями для обнаружения угроз и защиты от них. В результате пользователь может оперативно использовать аналитику угроз для мониторинга безопасности, защиты и реагирования на инциденты в рамках привычных процессов.
Kaspersky CyberTrace — платформа для управления данными о киберугрозах 18 SIEM-система собирает журналы с различных CyberTrace быстро сопоставляет поступающие события устройств и IT-систем и отправляет данные о событиях с потоками данных об угрозах и отправляет данные об с URL и IP-адресами и хэшами в CyberTrace на анализ обнаруженных угрозах в SIEM и CyberTrace Web Пересланные события 2 1 Потоки данных об угрозах Источники логов Необработанные 3 «Лаборатории Касперского», коммерческие и кастомизированные логи Обнаруженные пользовательские потоки, данные из SIEM угрозы CyberTrace открытых источников (OSINT) Внутренние источники данных • Получает оповещения об Дашборды CyberTrace Web обнаруженных угрозах с дополнительным контекстом Аналитик безопасности 4 • Проводит первоначальное КОРПОРАТИВНАЯ расследование и инициирует СЕТЬ процесс реагирования на основе контекста
CyberTrace 19 База данных для хранения и поиска по данным (+ retroscan) Агрегация, дедупликация, нормализация и обмен данными Статистика обнаружений и матрица пересечений по потокам даных Публичный API (для интеграции и автоматизации) Мультитенантность для MSSP и крупных предприятий
База данных об индикаторах с полнотекстовым поиском 20
Подробная информация о каждом добавленном индикаторе для более глубокого анализа 21
Хранилище данных об обнаружении: упрощает мониторинг безопасности и 22 приоритизацию оповещений
23 Kaspersky Threat Lookup
Kaspersky Threat Lookup 24 Объекты Источники для анализа Kaspersky Security Network Файлы Kaspersky Автоматическое Threat Lookup сопоставление Поисковые роботы URL-адреса Ловушки для спама Поиск Контекстуальная информации Данные аналитика Мониторинг Домены ботнет-угроз Пассивная IP-адреса поиска угроз репликация DNS • Объект вредоносный? РЕАГИРОВАНИЕ • Компания под угрозой? Сенсоры НА ИНЦИДЕНТ Хеши Партнеры
Kaspersky Threat Lookup: результат по запросу 25
Kaspersky Threat Lookup: контекстная информация 26
Kaspersky Threat Lookup: взаимосвязанные индикаторы 27
28 Kaspersky Cloud Sandbox
Kaspersky Cloud Sandbox 29 Эффективное обнаружение APT-, целевых и Стандартные и комплексных угроз Расширенный анализ файлов различных расширенные настройки форматов для оптимизации производительности Рабочий процесс, позволяющий проводить Веб- действенное и всестороннее интерфейс расследование инцидентов Kaspersky Масштабирование без Cloud Sandbox необходимости покупать дорогостоящие устройства REST API Методы обнаружения Визуализация и обхода защиты и интуитивно понятная моделирование отчетность поведения человека Безупречная интеграция и автоматизация процессов безопасности
Kaspersky Cloud Sandbox: информационная панель 30
Kaspersky Cloud Sandbox: карта выполнения 31
Kaspersky Cloud Sandbox: отслеживание подозрительного поведения и снимки экрана 32
33 Аналитические отчеты об APT-угрозах
Аналитические отчеты об APT-угрозах 34 Профили злоумышленников Сопоставление с базой знаний ATT&CK Общие сведения • Информация, предназначенная для высшего руководства Подробный технический анализ • Методы проведения атак • Используемые эксплойты • Описание вредоносного ПО • Инфраструктура командных серверов и описание протоколов • Анализ жертв атак • Анализ эксфильтрации данных • Атрибуция кибератак Выводы и рекомендации Индикаторы компрометации и YARA-правила
Сопоставление с базой знаний MITRE ATT&CK в аналитических отчетах об APT-угрозах 35
36 Отчеты об угрозах для финансовых организаций
Отчеты об угрозах для финансовых организаций 37 Профили злоумышленников Сопоставление с базой знаний ATT&CK Общие сведения • Информация, предназначенная для высшего руководства Подробный технический анализ • Методы проведения атак • Используемые эксплойты • Описание вредоносного ПО • Инфраструктура командных серверов и описание протоколов • Анализ жертв атак • Анализ эксфильтрации данных • Атрибуция кибератак Выводы и рекомендации Индикаторы компрометации и YARA-правила
Кибератаки, наносящие финансовый ущерб 38 Prilex, Silence, Fin7, Deathstalker, HydraPOS – это преступные группировки, которые фокусируются на финансовых организациях и их крупных клиентах, таких как государственные структуры, а также на компаниях, участвующих в сделках слияния и поглощения. Кибернаемники и вымогатели также выбирают эти цели. Массовые атаки проводятся с использованием вредоносного ПО для мобильного банкинга, банкоматов и платежных терминалов. Что может помочь: • Отчеты об угрозах для финансовых организаций • Потоки данных об угрозах • Kaspersky Digital Footprint Intelligence
39 Kaspersky Digital Footprint Intelligence
Kaspersky Digital Footprint Intelligence 40 Мгновенные уведомления об угрозах Различные данные • IP-адреса • Домены Аналитические Инвентаризация Поверхностный, База знаний отчеты компании периметра сети глубокий и «Лаборатории • Бренды даркнет Касперского» • Ключевые слова Машиночитаемые аналитические данные об угрозах
Kaspersky Digital Footprint Intelligence 41 Источники Инвентаризация Поверхностный, База знаний периметра сети глубокий и даркнет «Лаборатории • Цифровые отпечатки в сервисах Касперского» • Активность киберпреступников • Выявление уязвимостей • Утечки информации и учетных • Анализ эксплойтов • Анализ экземпляров вредоносных данных • Оценка и анализ рисков программ • Инсайдеры • Поведение сотрудников в • Отслеживание ботнетов и фишинга социальных сетях • Sinkhole-серверы и серверы с ВПО • Утечки метаданных • Аналитические отчеты об APT-угрозах • Потоки данных об угрозах
42 Отчеты об угрозах для АСУ ТП
Kaspersky ICS CERT: Аналитика угроз для АСУ ТП 43 Все исследования, связанные с аналитикой угроз для АСУ ТП, Отчеты об угрозах для Потоки данных о ВПО проводятся командой АСУ ТП для АСУ ТП Kaspersky ICS CERT Доступ по подписке к порталу с Индикаторы компрометации (IoC) и • Подразделение основано в 2016 регулярными отчетами об атаках, метаданные для интеграции со году угрозах и уязвимостях, характерных сторонними SIEM-системами для АСУ ТП • Первая команда CERT создавалась для обслуживания коммерческой организации • Порядка 20 высококвалифицированных экспертов по угрозам для АСУ Персонализированные Потоки данных об ТП, поиску уязвимостей в таких системах, реагированию на отчеты уязвимостях АСУ ТП инциденты и анализу Персонализированные аналитические Точная и актуальная информация для защищенности отчеты (квартал, год) для конкретного выявления уязвимостей в сетях АСУ ТП региона или отрасли
Возможности, доступные подписчикам сервиса 44 Исследование уязвимостей Ландшафт угроз Отчеты об анализе уязвимостей самых Отчеты о важных изменениях в ландшафте угроз популярных продуктов, используемых в АСУ ТП, для АСУ ТП, критических факторах, влияющих интернета вещей и инфраструктур в разных на безопасность и уязвимость систем отраслях промышленности Отчеты об APT-атаках Помощь экспертов Отчеты о новых APT-атаках и масштабных Эксперты «Лаборатории Касперского» дают кампаниях против промышленных организаций и обоснованные практические советы по обновленные данные об активных угрозах выявлению и минимизации уязвимостей в IT- инфраструктуре предприятия
Threat Intelligence Portal 45
Дорожная карта 46 Объединение технологий Унификация - Threat Analysis Lab - Эволюция экосистемы, единая строка поиска Развитие решений Защита бренда - Новые продукты и развитие текущих - Усиление позиций Digital Risk Management
Технологические партнеры 47 SIEM/SOAR/IRP Платформы Threat Intelligence Средства управления сетевой безопасностью
Стратегические партнеры 48 > 100 > 20 > 10 69 каналов продаж и технологических MSSP-партнеров промышленных, партнеров – партнёров в Европе, на государственных, системных Ближнем национальных интеграторов Востоке и в групп CERT и Азиатско- CSIRT и Тихоокеанском правоохрани- регионе тельных структур
Доказанная эффективность Kaspersky Threat Intelligence 49 «Лаборатория Касперского» имеет самый высокий рейтинг и «Лаборатория Касперского» помогает Интерполу наибольшее число рекомендаций среди поставщиков продуктов эффективнее бороться с киберпреступностью и сервисов для аналитики угроз Сервисы Kaspersky Threat Intelligence работают при «Лаборатория Касперского» предоставила информацию о поддержке команды экспертов мирового уровня – Kaspersky CozyDuke и Carbanak для тестов MITRE в рауде 2 и 3. Это помогло GREAT. На их счету множество успешных расследований по улучшить базу знаний MITRE ATT&CK раннему обнаружению APT- угроз «Лаборатория Касперского» признана лидером по результатам Качество нашей аналитики подкрепляют технологии защиты, исследования Forrester New Wave: External Threat Intelligence прошедшие множество испытаний и удостоенные множества Services (Внешние услуги по анализу угроз), 2021 г. наград
Лидер рынка Threat Intelligence 50 The Forrester Wave™: External Threat Intelligence Services Q1, 2021. признана в области сервисов оперативного информирования о киберугрозах.
Мнение 51 The biggest intelligence bodies in the cyberworld are private entities – FireEye and Kaspersky have more information than any state intelligence body. Dr. Mohamed al-Kuwaiti, Head of Cyber Security, UAE Government
Спасибо!
Вы также можете почитать