Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (18)
Similar a Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия противодействия целевым атакам"
Similar a Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия противодействия целевым атакам" (20)
Más de Expolink
Más de Expolink (20)
Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия противодействия целевым атакам"
- 1. Стратегия противодействия целевым атакам Катаев Иван Региональный менеджер #CODEIB
- 2. НОВЫЕ ВЫЗОВЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Усложнение ИТ-инфраструктуры Защита периметра – не панацея Снижение стоимости атак Рост нетехнических способов атак Атаки на SMB-компании и через 3-ю сторону Атака остается необнаруженной долгое время #CODEIB
- 3. 53% организаций потеряли конфиденциальные данные $112K - средняя стоимость утечки данных в SMB секторе $2M - средняя стоимость утечки в Enterprise секторе ВНЕШНИЕ УГРОЗЫ #CODEIB
- 4. ЛАНДШАФТ УГРОЗ ГЛАЗАМИ ЗАКАЗЧИКА Классические решения Endpoint Protection Firewall, IDS/IPS Access Control DLP Web/mail gateway Нужна новая защита? APT: непонятно, но очень опасно Неизвестные угрозы Известные угрозы 99% Менее 1% Зачем инвестировать, если компания может никогда не стать целью? … #CODEIB
- 5. >200 дней Подготовка Поиск цели Создание стратегии Подготовка инструментов Расширение влияния Получение полномочий Кража паролей Распространение заражения ЦЕЛЕВАЯ АТАКА КАК ПРОЦЕСС Проникновение Использование уязвимостей Проникновение за периметр Эксплуатация Кража данных Сокрытие следов Удаление улик Создание черного хода #CODEIB
- 6. УЩЕРБ В СЛУЧАЕ РЕАЛИЗАЦИИ УГРОЗЫ Простои Прямые потери Последующие траты Упущенные возможности -Восстановле ние ИТ/ИБ-консалтинг PR-активность Судебные издержки Потеря прибыли во время простоя Потеря данных Потеря репутации Обучение Персонал Системы Чтобы инцидент не повторился Закрытие уязвимостей Переконфигурирование систем Покупка решений по безопасности Наём специалистов Пересмотр бизнес-процессов Повышение осведомленности сотрудников Повышение экспертизы службы ИБ #CODEIB
- 7. ЭТАПЫ РЕАЛИЗАЦИИ ЦЕЛЕВОЙ АТАКИ Сбор информации о цели в открытых ,источниках социальных сетях и другими способами Подготовка и создание инструменто ,в необходимы .х для атаки ,Например эксплойта и трояна для удаленного доступа Отправка вредоносног о пакета будущей жертве по почте или другим .способом Использован ие социальной инженерии Эксплуатаци я ,уязвимости . .т е фактическое исполнение эксплойта Установка вредоносног (о ПО RAT )трояна Создание канала для дистанционн ого управления внутренними активами Выполнение шагов для достижения целей атаки: кражи ,данных саботажа и . .т д Reconnaissance Actionson Objectives Command& Control Installation W eaponization Delivery Exploitation Перед компрометацией Компрометация После компрометации Растет вероятность успешной атаки, увеличиваются затраты на восстановление #CODEIB
- 8. МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ РЕАГИРОВАНИЕ ПРОГНОЗИРОВАНИ Е ПРЕДОТВРАЩЕНИЕ ОБНАРУЖЕНИЕ Управление уязвимостями Анализ потенциальных целей атакующего Планирование развития стратегии защиты Оперативное реагирование на инциденты Расследование: •реконструкция атак •поиск затронутых активов Выявление попыток и фактов существующего проникновения Подтверждение и приоритезация событий Снижение рисков проникновения Повышение безопасности систем и процессов #CODEIB
- 9. KASPERSKY ANTI TARGETED ATTACK СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ Виталий Федоров Инженер предпродажной поддержки #CODEIB
- 10. KASPERSKY ANTI TARGETED ATTACK 10Kaspersky Anti Targeted Attack Internet Laptop PC PC Server Email Network Sensors Endpoint Sensors Advanced Sandbox SB Activity Logs Pcaps, Sys-log Analyst console Inciden t alerts Security Officer Incidents Forensic Team Analysis Center SIEM SOC network traffic suspicious objects host network activity Verdicts DB #CODEIB
- 11. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack #CODEIB
- 12. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack #CODEIB
- 13. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack
- 14. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack #CODEIB
- 15. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack #CODEIB
- 16. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack
- 17. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack
- 18. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack
- 19. ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK Kaspersky Anti Targeted Attack
- 20. Сетевые сенсоры Интеграция с сетевым оборудованием Интеграция с прокси серверами Почтовые сенсоры Сбор почты с серверов Мониторинг конечных станций СБОР ИНФОРМАЦИИ Kaspersky Anti Targeted Attack 20#CODEIB
- 21. Поиск аномалий Статистическая модель Машинное обучение Репутационная информация Корреляция данных с агентов Сопоставление различных событий Использование экспертизы :АНАЛИЗ ДАННЫХ СТАТИСТИКА Kaspersky Anti Targeted Attack 21#CODEIB
- 22. Технологическая основа Основана на внутреннем проекте компании Больше 10 лет успешного использования Поддержка платформ Windows XP Windows 7 x32 Windows 7 x64 Технология защиты от обхода Sandbox :АНАЛИЗ ДАННЫХ ОБЪЕКТЫ Kaspersky Anti Targeted Attack 22#CODEIB
- 23. Поддержка KSN/KPSN Репутация файлов Репутация сайтов/доменов Известные центры управления История доменов Шаблоны поведения :АНАЛИЗ ДАННЫХ МНЕНИЕ БОЛЬШИНСТВА Kaspersky Anti Targeted Attack 23#CODEIB
- 24. Мониторинг в реальном времени Настраиваемые фильтры Цепочки событий Интеграция с SIEM -> SOC :ВЕРДИКТ ПРЕДСТАВЛЕНИЕ И РАССЛЕДОВАНИЕ Kaspersky Anti Targeted Attack 24#CODEIB
- 25. Экспертные сервисы Объединенные с продуктом: поиск целевых атак; расследование инцидентов Дополнительно: анализ защищенности, информирование об угрозах, тренинги по безопасности :РЕАГИРОВАНИЕ НЕОБХОДИМА ЭКСПЕРТИЗА Kaspersky Anti Targeted Attack 25#CODEIB
- 26. НАШИ ИССЛЕДОВАНИЯ Kaspersky Anti Targeted Attack • Лаборатория Касперского ежедневно обрабатывает 310 тысяч новых вредоносных файлов • Наиболее редкие, сложные и опасные киберугрозы попадают в зону пристального внимания экспертов из Глобального центра исследований и анализа угроз (GReAT) • Если появляется информация о новой вредоносной кампании, то организация, которая ее раскрыла, скорее всего будет Лабораторией Касперского #CODEIB
- 27. TROJAN-SPY.WIN32.LURK Запускается из памяти Не оставляет следов исполняемого кода на диске 60 тыс ботов Цели: СМИ, Телекомы, Банки Похищено более 1.7 млрд руб Kaspersky Anti Targeted Attack #CODEIB
- 28. КАК РАСПРОСТРАНЯЛСЯ LURK Kaspersky Anti Targeted Attack #CODEIB
- 29. ЗАДЕРЖАНИЕ БАНДЫ LURK Спецоперация в 15 субъектах РФ Одновременно 86 обысков Задержано 50 участников группировки Кражу более 2,2 млрд удалось предотвратить Kaspersky Anti Targeted Attack #CODEIB
Notas del editor
- В соврем. Мире непрерывно разв. Инф. Технологий необходимо пониматьБ что усложн. Инф. Системы подвержены самым разнообразным рискам для их безопасности.
- К внешним угрозам обобщенно мы можем назвать традиционные киберугрозы (вредоносные программы и эксплоиты). Основной тенденцией последних лет называют смещение акцента с массовых атак на таргетированные, или целевые, направленные против конкретной компании, организации или государственного органа. И противостоять им оказывается не слишком просто, хотя и возможно. Тут средства кибернападения используются или для прямой кражи денежных средств, или информации, которую легко монетизировать, например, реквизиты платежных карт или персональные данные, черный рынок которых весьма развит. Также за таргетированными атаками могут стоять конкуренты. Их целью могут быть всевозможные ноу-хау, информация о готовящихся проектах и новых продуктах, другая информация, критичная для бизнеса. Впрочем, такого рода информацию можно похитить и другими способами, например, с помощью нелояльных сотрудников. Однако использование целевых атак часто менее хлопотно с организационной точки зрения и занимает меньше времени, да и материальные затраты могут быть ниже. Тут можно дезорганизовать работу организации, нарушить ее деятельнос ть. Также целью хактивистов и кибершпионов может быть не только информация, но и разного рода диспетчерские системы и управляющие комплексы, атака на которые может привести к огромному ущербу. Так что данные объекты могут стать мишенью и для террористических атак.
- Если посмотреть на ситуацию привычным нам взглядом … Известные угрозы «закрываются» известными продуктами (антивирусы, МЭ, DLP и т.д.). Для защиты же от АРТ атак нужны принципиально новые решения, т.к. необходимо анализировать цепочки событий, прогнозировать последствия тех или иных действий злоумышленника.
- For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System) Web sensors, which survey web and ftp traffic using ICAP protocol - and Mail sensor processing incoming emails
- For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System) Web sensors, which survey web and ftp traffic using ICAP protocol - and Mail sensor processing incoming emails
- For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System) Web sensors, which survey web and ftp traffic using ICAP protocol - and Mail sensor processing incoming emails
- For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System) Web sensors, which survey web and ftp traffic using ICAP protocol - and Mail sensor processing incoming emails
- For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System) Web sensors, which survey web and ftp traffic using ICAP protocol - and Mail sensor processing incoming emails
- For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System) Web sensors, which survey web and ftp traffic using ICAP protocol - and Mail sensor processing incoming emails