Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО

Страница создана Алан Булатов
 
ПРОДОЛЖИТЬ ЧТЕНИЕ
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
Лаборатория Касперского:
импортозамещение в действии

Александр Тищенко
инженер предпродажной поддержки в ЮФО и СКФО
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
А нужна ли в 2019 году защита рабочих мест и серверов?

                                                    Успешных атак на конечные
                    84%
                                                    точки затрагивали более 1
                                                    устройства
                             Несанкционированный доступ даже к одному устройству может
                                      нанести огромный вред для организации

                                                             o   Уязвимы к большому числу атак
                                                             o   Их много и они все разные
       Рабочие места – первичная цель любой
                                                             o   Есть AV ну и бог с ним
                    кибератаки
                                                             o   Хранят идентификационные данные
                                                             o   Начальная точка развития целевой атаки

*Endpoint Protection and Response: A SANS Survey, 2018
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
Чем больше угроз будет автоматически заблокировано, тем дешевле
Роль решений с максимальной эффективностью блокирования угроз

                                                                   Кибероружие и APT
        Решения для      Ручное обнаружение и
        обнаружения      реагирование требуют ресурсов
                                                           0.1 %
       сложных угроз     и выстроенных процессов

                                                                        Целенаправленные
                        Более эффективное предотвращение
                                                           9.9 %        уникальные атаки
                        угроз экономит время и деньги

       Передовые
   автоматизированные
      превентивные
       технологии
                                                           90      %
                                                                                   Распространённые
                                                                                   угрозы

4/42
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
Немного статистики

                     360 000 угроз ежедневно

55/42
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
Kaspersky Lab ICS CERT зафиксировал атаку

В 2018 г. которой подверглись не менее 400 промышленных компаний России, относящихся к
следующим индустриям:

  • производство             • энергетика

  • нефть и газ              • добыча полезных
                               ископаемых
  • металлургия
                             • логистика
  • инжиниринг

                    СУБЪЕКТЫ КИИ

6/42
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
Сотрудники – самое слабое звено

52% считают, что наибольшую угрозу            60% сотрудников хранят на своих
                                              рабочих устройствах конфиденциальные
системе корпоративной безопасности            данные (финансовая информация, базы e-mail
представляют сами сотрудники*.                и т.д.)**

30% сотрудников                      23% организаций не создают для своих
признались, что делились логином
                                     сотрудников правила безопасности относительно
и паролем от рабочего компа с
                                     хранения рабочих данных**
коллегами**.
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
Цепочка поражения целевой атаки: ожидание и
 реальность

    В действительности атака развивается нелинейно:
                                         Проникновение 1 – прикрепленный эксплойт
                                                                                    Исполнение – локальное

Разведка
и тестирование                                                                          Исполнение –
                                                                                                             Инцидент
                                                                                        удаленное

                                    Распространение 1 –
                                    эл. почта

                 Проникновение 2 –                           Распространение 2 – сеть
                 «рассадник» (watering hole)

  8/42
    8
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
9/42
Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
10/42
Ситуация на местах

Отсутствие модели угроз
Должен быть проведен полноценный анализ: выявлены векторы атаки и сформирован перечень методов
противодействия

Личные отношения сотрудников
Возникают проблемы взаимодействия между подразделениями, негативно влияющие на процессы

Занятость несвойственными задачами
В случае возникновения проблем у сотрудников нет возможности быстрого реагирования

Разграничение полномочий
Негативно влияет на решение вопросов

Отсутствие компетенции
В случае серьезного инцидента вынуждены прибегать к помощи сторонних компаний

Внедрение для “галочки”
Решение не настроено должным образом
11/42
12

     Что делать?
Адаптивная стратегия корпоративной безопасности

ПРОГНОЗИРОВАНИЕ                                                                                                                  ПРЕДОТВРАЩЕНИЕ
  Security Assessment          Custom Reports        Penetration Testing        Security Awareness      Cybersecurity Training       Professional Services

               Kaspersky Threat Lookup               APT Portal                       Targeted Solutions           Embedded Security

                                 ПОИСК УГРОЗ                                               УПРАВЛЕНИЕ РИСКАМИ
                                                                         Центр
                                                                      мониторинга
                                                                          ИБ

              УПРАВЛЕНИЕ ИНЦИДЕНТАМИ                                                      ПОСТОЯННЫЙ МОНИТОРИНГ

                              Endpoint Detect & Response                            Kaspersky Anti Targeted Attack          Private Security Network

          Malware Analysis       Incident Response     Premium Support         Threat Data Feeds     Targeted Attack   APT Reports    Kaspersky
          Digital Forensics                                                                          Discovery                        Managed Protection

 РЕАГИРОВАНИЕ                                                                                                                        ОБНАРУЖЕНИЕ
13/42
3
Поэтапная стратегия развития кибербезопасности

                           Единая долгосрочная стратегия развития
                       кибербезопасности с учетом уровня и темпов роста
                                  компетенций в области ИБ
      Блокирование
                                               Автоматизация передовых                            Развитие передовой
максимального количества
                                                средств обнаружения и                               экспертизы для
 угроз в автоматическом
                                                       защиты                                     комплексной защиты
         режиме

       Этап 1                 Минимизировать
                                                      Этап 2                                           Этап 3
                                                                        Автоматизировать ручные
                           необходимость ручного                       операциии службы ИБ для
                                  анализа                              повышения эффективности
                                                                                                       Внедрение
       Оценить и                                       Выстроить                                    концепции SOC,
      максимально                                     максимально                                     постоянного
         усилить                                     эффективную и                                   мониторинга и
     существующие                                  удобную защиту от                                 максимальной
     превентивные                                   передовых угроз                                осведомленности о
       технологии                                                                                   происходящем в
                                                                                                          сети
Типовой пример действий по централизованному реагированию
                                                                                                                     Закрытие
                                                                                             Восстановление          инцидента
                          • Анализ инцидента
                          • Определение уровня критичности инцидента
                          • Назначение исполнителя для расследования инцидента

                                                        Расследование
                                                          инцидента
                                                                                                                  • Восстановление файла из
                                                                                                                    карантина
                                                                                                                  • Включение в сеть
                                                                                                                    изолированных рабочих мест
                                                                                                                  • Другие действия по
                                                                                                                    восстановлению

                                                                                             Предотвращение
                                 Этап принятия                             Этап принятия
Оповещение     Классификация                                                                     угрозы
                                   решения                                   решения                               • Завершение процесса
об инциденте   и приоритизация
                                 по инциденту                              по инциденту                            • Удаление вредоносного
                  инцидента                                                                                          файла, объекта
                                                             Локализация
                                                                                                                   • Выполнение произвольных
                                                             угрозы                                                  команд на хосте
                                                                                                                   • Автоматическое обновление
                                                                                                                     локальной базы вердиктов в
                                                                                                                     KPSN
                                  • Сетевая изоляция рабочих мест                    Не
                                  • Запрет запуска исполняемого файла,            выявлено                    Проверка инфраструктуры
                                    документа или скрипта                                                     на наличие IoC, найденных
                                  • Карантин подозрительного файла                                            в ходе расследования
                                  • Анализ артефактов
15/42                                                                             Выявлено
ФЗ №187 «О безопасности критической информационной…

16/42
Кого это касается?

                                 Оборонная                Здравоохранение           Наука

                         Ракетно-космическая
        ПРОМЫШЛЕННОСТЬ

                                                        Атомная энергетика
                                                                                  Банки и
                          Горно-добывающая                                     финансовая
                                                                                   сфера
                                                                      ТЭК
                           Металлургическая

                                 Химическая                         Cвязь       Транспорт

                                               Обеспечивающие взаимодействие

17/42
ФЗ-187: драйвер перехода от защиты по остаточному принципу к
построению комплексной стратегии
     От продуктов защиты                                К построению зрелых
 • средства обнаружения и                                    процессов
 предотвращения вторжений, в том числе             • инвентаризация информационных ресурсов;
 обнаружения целевых атак;                         • выявление уязвимостей ИТ ресурсов;
 • специализированные решения по                   • анализ угроз информационной безопасности;
 защите информации для                             • повышение квалификации персонала;
 индустриальных сетей, финансового                 • прием сообщений о возможных инцидентах от
 сектора;                                 ФЗ-187   персонала и пользователей ИТ ресурсов;
 • средства выявления и устранения                 • обеспечение процесса обнаружения
 DDoS-атак;                                        компьютерных атак;
 • средства сбора, анализа и корреляции            • анализ данных о событиях безопасности;
 событий;                                          • регистрация инцидентов;
 • средства анализа защищенности;                  • реагирование на инциденты и ликвидация их
 • средства антивирусной защиты;                   последствий;
 • средства межсетевого экранирования;             • установление причин инцидентов;
 • средства криптографической защиты               • анализ результатов устранения последствий
 информации и защищенного обмена                   инцидентов.
 данными.

 18/42
                    https://gossopka.kaspersky.ru/
Состав мер по обеспечению безопасности для
значимого объекта соответствующей категории
значимости
Ограничение программной среды (ОПС)

        Контроль и защита
        рабочих мест

                            • Управление запуском программ
                            • Управление установкой программ

20/42
Защита машинных носителей информации (ЗНИ)

        Контроль и защита
        рабочих мест

                            • Учет
                            • Ограничение доступа (шифрование)
                            • Контроль использования интерфейсов
                            • Контроль подключения носителей

21/42
Аудит безопасности (АУД)

               Контроль и защита
               рабочих мест

                                   • Обнаружение уязвимостей

          Kaspersky
                                   • Устранение уязвимостей
        Security Center
                                   • Анализ действий пользователей

22/42
Аудит безопасности (АУД)

                        • Регистрация событий
         Защита от
         целевых атак   • Контроль и анализ сетевого трафика
                        • Защита информации о событиях
                          безопасности
                        • Мониторинг безопасности

23/42
Антивирусная защита (АВЗ)

              Контроль и защита
                                  • Реализация антивирусной защиты
              рабочих мест
                                  • Антивирусная защита электронной почты и
                                    иных сервисов
              Защита от
              целевых атак        • Контроль использования архивных,
                                    исполняемых и зашифрованных файлов
          Kaspersky
        Security Center           • Обновление базы данных признаков
                                    вредоносных компьютерных программ
                                  • Использование средств антивирусной защиты
                                    различных производителей
24/42
Предотвращение вторжений (компьютерных атак)
   (СОВ)

              Контроль и защита
                                  • Обнаружение и предотвращение компьютерных
              рабочих мест
                                   атак (автоматизация)
                                  • Обновление базы решающих правил
              Защита от
              целевых атак

          Kaspersky
        Security Center

25/42
Обеспечение целостности (ОЦЛ)

              Контроль и защита
                                  • Контроль целостности программного
              рабочих мест
                                   обеспечения
                                  • Контроль целостности информации

          Kaspersky
        Security Center

26/42
Защита информационной (автоматизированной)
   системы и ее компонентов (ЗИС)

              Контроль и защита
                                  • Разделение функций по управлению системой
              рабочих мест
                                  •   Защита периметра информационной системы
                                  • Эшелонированная защита информационной
              Защита от
              целевых атак            системы
                                  • Использование эмулятора среды
          Kaspersky
        Security Center               функционирования программного обеспечения
                                      ("песочница")

27/42
Защита информационной (автоматизированной)
   системы и ее компонентов (ЗИС)

              Контроль и защита
                                  • Использование ПО, функционирующего в
              рабочих мест
                                    средах различных операционных систем
                                  • Защита от спама
                                  • Блокировка доступа к сайтам
                                  • Запрет несанкционированной удаленной
          Kaspersky
        Security Center             активации периферийных устройств
                                  • Обеспечение подлинности сетевых соединений
                                  • Защита информации при использовании
                                    мобильных устройств
28/42
Прочие требования

• Реагирование на компьютерные инциденты (ИНЦ)
• Управление конфигурацией (УКФ)
• Управление обновлениями программного обеспечения (ОПО)
• Обеспечение действий в нештатных ситуациях (ДНС)
• Информирование и обучение персонала (ИПО)

29/42
ЗАЩИТА БИЗНЕСА ЛЮБОГО МАСШТАБА
   Решения «Лаборатории Касперского» защищают крупные IT-инфраструктуры от актуальных киберугроз.

               Контроль и защита                      Защита виртуальных                Безопасность мобильных
               рабочих мест                           сред                              устройств

               Защита от целевых                      Защита от DDoS-атак              Экспертные сервисы
               атак

               Защита центров                         Защита мобильного                Защита критических
               обработки данных                       и онлайн-банкинга                инфраструктур

30/42
Объект КИИ

                                                                       Корпоративная ИТ инфраструктура          Закрытый сегмент

          Kaspersky
        Security Network
                             Kaspersky              Kaspersky           Kaspersky           Kaspersky
                           Endpoint Security    Security for Storage   Mobile Security     Hybrid Cloud
                                                                                             Security
                                                    Корпоративный центр ГосСОПКА                                Kaspersky
                                                                                                             Private Security
                                                                                                                 Network

                                                                                           Kaspersky
                                                                                           Embedded
                                                                                         System Security

                                IRP                  SIEM                                                                 АСУ ТП
         ГосСОПКА                                                        Kaspersky
          (НКЦКИ)                                                      Security Center

                                                                                            Kaspersky
                                                                                         Fraud Prevention

                                                                                                              Kaspersky
                                                                                                               Industrial
                                                                                                             CyberSecurity
          Kaspersky          Kaspersky         Kaspersky     Kaspersky       Kaspersky     Kaspersky
            Threat          Anti Targeted      Web Traffic   Secure Mail       DDoS       Cybersecurity
         Intelligence      Attack Platform      Security      Gateway        Protection Awareness Training

31/42
Архитектура KATA
                                                                                            Kaspersky
                                                         KS                                 Private Secutity
                                                         N                                  Network

                                                     Интернет
                                                                                                               SIEM
        Интернет   СЕТЕВЫЕ СЕНСОРЫ
                                                                                                                           SOC
                   — Сетевой трафик
                                                ЦЕНТР АНАЛИЗА
                   — Подозрительные
                     объекты
        E-mail
                                               Объекты        Метаданные                       Журнал операций
                                                                                               «Песочницы»
                                                                                               Syslog
                                                                                               Pcaps                        Команда,
                                             Механизмы          Анализатор                                               расследующая
                                             детектирования     целевых                                                    инциденты
                                                                атак                               КОНСОЛЬ
        Сервер                                                               База данных
                                                                             вердиктов

                   СЕНСОРЫ РАБОЧИХ
                   МЕСТ
          ПК       — Активность аккаунтов
                   — Активность процессов
                                                                                                                          Офицер
                   — Сетевая                                                                   Оповещения                 безопасности
                     коммуникация               Улучшенная                                     Об инцидентах
     Ноутбуки
                                                «песочница»

   Векторы атаки   Получение данных         Анализ данных                        Приоритизация вердиктов              Реагирование

35/42
Сложности защиты объектов с КИИ

                Эксплуатация          Атака на КСПД,
       человеческого фактора          «угон» учетных данных
(Соц инженерия, Watering hole)        администраторов тех. сети

            CROUCHING YETI            BLACKENERGY 2

                                  Заражение USB,
                 Атака на         распространение и перенос
              Подрядные           информации между
             организации          компьютерами КСПД и тех. Сети
         или поставщиков
                                  STUXNET, FLAME,
                                  EQUATION, SAURON

 36/42
Комплексный
 Подход                                                      Kaspersky      ®

                                                             Industrial
                                                             CyberSecurity

                         Сервисы                                                      Продукты

         Тренинги                    Экспертные сервисы           Защита конечных   Мониторинг сетей   Централизованное
                                                                       узлов         и обнаружение        управление
                                                                                       вторжение

    Базовая    Профессион-      Анализ    Реагирование   Потоки
осведомленность альные       Защищенности      на        данных
   персонала     тренинги                  инциденты                   KICS               KICS            Kaspersky®
                                                                     for Nodes        for Networks         Security
                                                                                                            Center

 37/42
Истории успеха

 https://ics.kaspersky.ru/
3
Новая платформа обучения навыкам – Kaspersky ASAP

                                                       «Запрграммированная»
                                                        эффективность обучения
                                                        Новый навык каждый день + интервальная
                                                        тренировка + постоянное закрепление + измерение
                                                        прогресса в числе навыков

                                                       Почти нулевые трудозатраты на
                                                        управление
                                                        Полная автоматизация – настройка и запуск
                                                        обучения занимает несколько минут. Бесплатный
                                                        триал. Покупка от 5 лицензий

                                                       Онлайн-платформа
                                                        Автоматический план обучения, оценка знаний
Получить бесплатный триал:   Видео-обзор:
www.k-asap.ru                youtu.be/7XLYLauDRMY

39/42
Профессиональные тренинги по кибербезопасности

        ЦИФРОВАЯ КРИММИНАЛИСТИКА

        АНАЛИЗ И ОБРАТНАЯ РАЗРАБОТКА ВРЕДОНОСНОГО ПО

        ЭКСПЕРТНАЯ ЦИФРОВАЯ КРИМИНАЛИСТИКА

        ЭКСПЕРТНЫЙ АНАЛИЗ И ОБРАТНАЯ РАЗРАБОТКА ВРЕДОНОСНОГО ПО

        РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ

        YARA ТРЕНИНГИ

        АДМИНИСТРИРОВАНИЕ KATA

        АНАЛИТИК БЕЗОПАСНОСТИ KATA

40/42
Kaspersky Security для Linux SP1 MR1
                                     •Альт Линукс СПТ 7.0.6 (работа с помощью
                                     графического пользовательского интерфейса (GUI) не
• Мониторинг файловых операций       поддерживается)
                                     •Альт Линукс СПТ 8.0.0 Рабочая станция.
• Управление сетевым экраном         •Альт Линукс СПТ 8.0.0 Сервер.
  операционной системы               •Альт Линукс 8.2 Рабочая станция.
                                     •Альт Линукс 8.2 Рабочая станция К.
• Защита SMB / NFS от удаленного     •Альт Линукс 8.2 Сервер.
  вредоносного шифрования            •Альт Линукс 8.2 Образование.
                                     •Astra Linux Special Edition 1.5 (обычный режим и
• Возможность управления через KSC   режим замкнутой программной среды).
                                     •Astra Linux Special Edition 1.6 (обычный режим и
                                     режим замкнутой программной среды).
                                     •Циркон 36КТ
                                     •Циркон 36СТ
                                     •ОС РОСА «КОБАЛЬТ» 7.3 для клиентских систем.
                                     •ОС РОСА «КОБАЛЬТ» 7.3 для серверных систем.
                                     •ЕМИАС 1.0.
                                     •Гослинукс 6.6.
                                     •Лотос.
 41/42                               •РЕД ОС 7.2
42

     Спасибо за внимание!

     Александр Тищенко
     инженер предпродажной поддержки в ЮФО и СКФО
     alexander.tishenko@kaspersky.com
Вы также можете почитать