Лаборатория Касперского: импортозамещение в действии - Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Лаборатория Касперского: импортозамещение в действии Александр Тищенко инженер предпродажной поддержки в ЮФО и СКФО
А нужна ли в 2019 году защита рабочих мест и серверов?
Успешных атак на конечные
84%
точки затрагивали более 1
устройства
Несанкционированный доступ даже к одному устройству может
нанести огромный вред для организации
o Уязвимы к большому числу атак
o Их много и они все разные
Рабочие места – первичная цель любой
o Есть AV ну и бог с ним
кибератаки
o Хранят идентификационные данные
o Начальная точка развития целевой атаки
*Endpoint Protection and Response: A SANS Survey, 2018
Чем больше угроз будет автоматически заблокировано, тем дешевле
Роль решений с максимальной эффективностью блокирования угроз
Кибероружие и APT
Решения для Ручное обнаружение и
обнаружения реагирование требуют ресурсов
0.1 %
сложных угроз и выстроенных процессов
Целенаправленные
Более эффективное предотвращение
9.9 % уникальные атаки
угроз экономит время и деньги
Передовые
автоматизированные
превентивные
технологии
90 %
Распространённые
угрозы
4/42
Немного статистики
360 000 угроз ежедневно
55/42
Kaspersky Lab ICS CERT зафиксировал атаку
В 2018 г. которой подверглись не менее 400 промышленных компаний России, относящихся к
следующим индустриям:
• производство • энергетика
• нефть и газ • добыча полезных
ископаемых
• металлургия
• логистика
• инжиниринг
СУБЪЕКТЫ КИИ
6/42
Сотрудники – самое слабое звено
52% считают, что наибольшую угрозу 60% сотрудников хранят на своих
рабочих устройствах конфиденциальные
системе корпоративной безопасности данные (финансовая информация, базы e-mail
представляют сами сотрудники*. и т.д.)**
30% сотрудников 23% организаций не создают для своих
признались, что делились логином
сотрудников правила безопасности относительно
и паролем от рабочего компа с
хранения рабочих данных**
коллегами**.
Цепочка поражения целевой атаки: ожидание и
реальность
В действительности атака развивается нелинейно:
Проникновение 1 – прикрепленный эксплойт
Исполнение – локальное
Разведка
и тестирование Исполнение –
Инцидент
удаленное
Распространение 1 –
эл. почта
Проникновение 2 – Распространение 2 – сеть
«рассадник» (watering hole)
8/42
8
9/42
10/42
Ситуация на местах Отсутствие модели угроз Должен быть проведен полноценный анализ: выявлены векторы атаки и сформирован перечень методов противодействия Личные отношения сотрудников Возникают проблемы взаимодействия между подразделениями, негативно влияющие на процессы Занятость несвойственными задачами В случае возникновения проблем у сотрудников нет возможности быстрого реагирования Разграничение полномочий Негативно влияет на решение вопросов Отсутствие компетенции В случае серьезного инцидента вынуждены прибегать к помощи сторонних компаний Внедрение для “галочки” Решение не настроено должным образом 11/42
12
Что делать?Адаптивная стратегия корпоративной безопасности
ПРОГНОЗИРОВАНИЕ ПРЕДОТВРАЩЕНИЕ
Security Assessment Custom Reports Penetration Testing Security Awareness Cybersecurity Training Professional Services
Kaspersky Threat Lookup APT Portal Targeted Solutions Embedded Security
ПОИСК УГРОЗ УПРАВЛЕНИЕ РИСКАМИ
Центр
мониторинга
ИБ
УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ПОСТОЯННЫЙ МОНИТОРИНГ
Endpoint Detect & Response Kaspersky Anti Targeted Attack Private Security Network
Malware Analysis Incident Response Premium Support Threat Data Feeds Targeted Attack APT Reports Kaspersky
Digital Forensics Discovery Managed Protection
РЕАГИРОВАНИЕ ОБНАРУЖЕНИЕ
13/423
Поэтапная стратегия развития кибербезопасности
Единая долгосрочная стратегия развития
кибербезопасности с учетом уровня и темпов роста
компетенций в области ИБ
Блокирование
Автоматизация передовых Развитие передовой
максимального количества
средств обнаружения и экспертизы для
угроз в автоматическом
защиты комплексной защиты
режиме
Этап 1 Минимизировать
Этап 2 Этап 3
Автоматизировать ручные
необходимость ручного операциии службы ИБ для
анализа повышения эффективности
Внедрение
Оценить и Выстроить концепции SOC,
максимально максимально постоянного
усилить эффективную и мониторинга и
существующие удобную защиту от максимальной
превентивные передовых угроз осведомленности о
технологии происходящем в
сетиТиповой пример действий по централизованному реагированию
Закрытие
Восстановление инцидента
• Анализ инцидента
• Определение уровня критичности инцидента
• Назначение исполнителя для расследования инцидента
Расследование
инцидента
• Восстановление файла из
карантина
• Включение в сеть
изолированных рабочих мест
• Другие действия по
восстановлению
Предотвращение
Этап принятия Этап принятия
Оповещение Классификация угрозы
решения решения • Завершение процесса
об инциденте и приоритизация
по инциденту по инциденту • Удаление вредоносного
инцидента файла, объекта
Локализация
• Выполнение произвольных
угрозы команд на хосте
• Автоматическое обновление
локальной базы вердиктов в
KPSN
• Сетевая изоляция рабочих мест Не
• Запрет запуска исполняемого файла, выявлено Проверка инфраструктуры
документа или скрипта на наличие IoC, найденных
• Карантин подозрительного файла в ходе расследования
• Анализ артефактов
15/42 ВыявленоФЗ №187 «О безопасности критической информационной… 16/42
Кого это касается?
Оборонная Здравоохранение Наука
Ракетно-космическая
ПРОМЫШЛЕННОСТЬ
Атомная энергетика
Банки и
Горно-добывающая финансовая
сфера
ТЭК
Металлургическая
Химическая Cвязь Транспорт
Обеспечивающие взаимодействие
17/42ФЗ-187: драйвер перехода от защиты по остаточному принципу к
построению комплексной стратегии
От продуктов защиты К построению зрелых
• средства обнаружения и процессов
предотвращения вторжений, в том числе • инвентаризация информационных ресурсов;
обнаружения целевых атак; • выявление уязвимостей ИТ ресурсов;
• специализированные решения по • анализ угроз информационной безопасности;
защите информации для • повышение квалификации персонала;
индустриальных сетей, финансового • прием сообщений о возможных инцидентах от
сектора; ФЗ-187 персонала и пользователей ИТ ресурсов;
• средства выявления и устранения • обеспечение процесса обнаружения
DDoS-атак; компьютерных атак;
• средства сбора, анализа и корреляции • анализ данных о событиях безопасности;
событий; • регистрация инцидентов;
• средства анализа защищенности; • реагирование на инциденты и ликвидация их
• средства антивирусной защиты; последствий;
• средства межсетевого экранирования; • установление причин инцидентов;
• средства криптографической защиты • анализ результатов устранения последствий
информации и защищенного обмена инцидентов.
данными.
18/42
https://gossopka.kaspersky.ru/Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
Ограничение программной среды (ОПС)
Контроль и защита
рабочих мест
• Управление запуском программ
• Управление установкой программ
20/42Защита машинных носителей информации (ЗНИ)
Контроль и защита
рабочих мест
• Учет
• Ограничение доступа (шифрование)
• Контроль использования интерфейсов
• Контроль подключения носителей
21/42Аудит безопасности (АУД)
Контроль и защита
рабочих мест
• Обнаружение уязвимостей
Kaspersky
• Устранение уязвимостей
Security Center
• Анализ действий пользователей
22/42Аудит безопасности (АУД)
• Регистрация событий
Защита от
целевых атак • Контроль и анализ сетевого трафика
• Защита информации о событиях
безопасности
• Мониторинг безопасности
23/42Антивирусная защита (АВЗ)
Контроль и защита
• Реализация антивирусной защиты
рабочих мест
• Антивирусная защита электронной почты и
иных сервисов
Защита от
целевых атак • Контроль использования архивных,
исполняемых и зашифрованных файлов
Kaspersky
Security Center • Обновление базы данных признаков
вредоносных компьютерных программ
• Использование средств антивирусной защиты
различных производителей
24/42Предотвращение вторжений (компьютерных атак)
(СОВ)
Контроль и защита
• Обнаружение и предотвращение компьютерных
рабочих мест
атак (автоматизация)
• Обновление базы решающих правил
Защита от
целевых атак
Kaspersky
Security Center
25/42Обеспечение целостности (ОЦЛ)
Контроль и защита
• Контроль целостности программного
рабочих мест
обеспечения
• Контроль целостности информации
Kaspersky
Security Center
26/42Защита информационной (автоматизированной)
системы и ее компонентов (ЗИС)
Контроль и защита
• Разделение функций по управлению системой
рабочих мест
• Защита периметра информационной системы
• Эшелонированная защита информационной
Защита от
целевых атак системы
• Использование эмулятора среды
Kaspersky
Security Center функционирования программного обеспечения
("песочница")
27/42Защита информационной (автоматизированной)
системы и ее компонентов (ЗИС)
Контроль и защита
• Использование ПО, функционирующего в
рабочих мест
средах различных операционных систем
• Защита от спама
• Блокировка доступа к сайтам
• Запрет несанкционированной удаленной
Kaspersky
Security Center активации периферийных устройств
• Обеспечение подлинности сетевых соединений
• Защита информации при использовании
мобильных устройств
28/42Прочие требования • Реагирование на компьютерные инциденты (ИНЦ) • Управление конфигурацией (УКФ) • Управление обновлениями программного обеспечения (ОПО) • Обеспечение действий в нештатных ситуациях (ДНС) • Информирование и обучение персонала (ИПО) 29/42
ЗАЩИТА БИЗНЕСА ЛЮБОГО МАСШТАБА
Решения «Лаборатории Касперского» защищают крупные IT-инфраструктуры от актуальных киберугроз.
Контроль и защита Защита виртуальных Безопасность мобильных
рабочих мест сред устройств
Защита от целевых Защита от DDoS-атак Экспертные сервисы
атак
Защита центров Защита мобильного Защита критических
обработки данных и онлайн-банкинга инфраструктур
30/42Объект КИИ
Корпоративная ИТ инфраструктура Закрытый сегмент
Kaspersky
Security Network
Kaspersky Kaspersky Kaspersky Kaspersky
Endpoint Security Security for Storage Mobile Security Hybrid Cloud
Security
Корпоративный центр ГосСОПКА Kaspersky
Private Security
Network
Kaspersky
Embedded
System Security
IRP SIEM АСУ ТП
ГосСОПКА Kaspersky
(НКЦКИ) Security Center
Kaspersky
Fraud Prevention
Kaspersky
Industrial
CyberSecurity
Kaspersky Kaspersky Kaspersky Kaspersky Kaspersky Kaspersky
Threat Anti Targeted Web Traffic Secure Mail DDoS Cybersecurity
Intelligence Attack Platform Security Gateway Protection Awareness Training
31/42Архитектура KATA
Kaspersky
KS Private Secutity
N Network
Интернет
SIEM
Интернет СЕТЕВЫЕ СЕНСОРЫ
SOC
— Сетевой трафик
ЦЕНТР АНАЛИЗА
— Подозрительные
объекты
E-mail
Объекты Метаданные Журнал операций
«Песочницы»
Syslog
Pcaps Команда,
Механизмы Анализатор расследующая
детектирования целевых инциденты
атак КОНСОЛЬ
Сервер База данных
вердиктов
СЕНСОРЫ РАБОЧИХ
МЕСТ
ПК — Активность аккаунтов
— Активность процессов
Офицер
— Сетевая Оповещения безопасности
коммуникация Улучшенная Об инцидентах
Ноутбуки
«песочница»
Векторы атаки Получение данных Анализ данных Приоритизация вердиктов Реагирование
35/42Сложности защиты объектов с КИИ
Эксплуатация Атака на КСПД,
человеческого фактора «угон» учетных данных
(Соц инженерия, Watering hole) администраторов тех. сети
CROUCHING YETI BLACKENERGY 2
Заражение USB,
Атака на распространение и перенос
Подрядные информации между
организации компьютерами КСПД и тех. Сети
или поставщиков
STUXNET, FLAME,
EQUATION, SAURON
36/42Комплексный
Подход Kaspersky ®
Industrial
CyberSecurity
Сервисы Продукты
Тренинги Экспертные сервисы Защита конечных Мониторинг сетей Централизованное
узлов и обнаружение управление
вторжение
Базовая Профессион- Анализ Реагирование Потоки
осведомленность альные Защищенности на данных
персонала тренинги инциденты KICS KICS Kaspersky®
for Nodes for Networks Security
Center
37/42Истории успеха https://ics.kaspersky.ru/ 3
Новая платформа обучения навыкам – Kaspersky ASAP
«Запрграммированная»
эффективность обучения
Новый навык каждый день + интервальная
тренировка + постоянное закрепление + измерение
прогресса в числе навыков
Почти нулевые трудозатраты на
управление
Полная автоматизация – настройка и запуск
обучения занимает несколько минут. Бесплатный
триал. Покупка от 5 лицензий
Онлайн-платформа
Автоматический план обучения, оценка знаний
Получить бесплатный триал: Видео-обзор:
www.k-asap.ru youtu.be/7XLYLauDRMY
39/42Профессиональные тренинги по кибербезопасности
ЦИФРОВАЯ КРИММИНАЛИСТИКА
АНАЛИЗ И ОБРАТНАЯ РАЗРАБОТКА ВРЕДОНОСНОГО ПО
ЭКСПЕРТНАЯ ЦИФРОВАЯ КРИМИНАЛИСТИКА
ЭКСПЕРТНЫЙ АНАЛИЗ И ОБРАТНАЯ РАЗРАБОТКА ВРЕДОНОСНОГО ПО
РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ
YARA ТРЕНИНГИ
АДМИНИСТРИРОВАНИЕ KATA
АНАЛИТИК БЕЗОПАСНОСТИ KATA
40/42Kaspersky Security для Linux SP1 MR1
•Альт Линукс СПТ 7.0.6 (работа с помощью
графического пользовательского интерфейса (GUI) не
• Мониторинг файловых операций поддерживается)
•Альт Линукс СПТ 8.0.0 Рабочая станция.
• Управление сетевым экраном •Альт Линукс СПТ 8.0.0 Сервер.
операционной системы •Альт Линукс 8.2 Рабочая станция.
•Альт Линукс 8.2 Рабочая станция К.
• Защита SMB / NFS от удаленного •Альт Линукс 8.2 Сервер.
вредоносного шифрования •Альт Линукс 8.2 Образование.
•Astra Linux Special Edition 1.5 (обычный режим и
• Возможность управления через KSC режим замкнутой программной среды).
•Astra Linux Special Edition 1.6 (обычный режим и
режим замкнутой программной среды).
•Циркон 36КТ
•Циркон 36СТ
•ОС РОСА «КОБАЛЬТ» 7.3 для клиентских систем.
•ОС РОСА «КОБАЛЬТ» 7.3 для серверных систем.
•ЕМИАС 1.0.
•Гослинукс 6.6.
•Лотос.
41/42 •РЕД ОС 7.242
Спасибо за внимание!
Александр Тищенко
инженер предпродажной поддержки в ЮФО и СКФО
alexander.tishenko@kaspersky.comВы также можете почитать
