2. НОВЫЕ ВЫЗОВЫ И УГРОЗЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Усложнение ИТ-инфраструктуры
Защита периметра – не панацея
Снижение стоимости атак
Рост нетехнических способов атак
Атаки на SMB-компании и через 3-ю сторону
Атака остается необнаруженной долгое
время
#CODEIB
3. 53% организаций потеряли
конфиденциальные данные
$112K - средняя стоимость
утечки данных в SMB секторе
$2M - средняя стоимость
утечки в Enterprise секторе
ВНЕШНИЕ
УГРОЗЫ
#CODEIB
4. ЛАНДШАФТ УГРОЗ ГЛАЗАМИ ЗАКАЗЧИКА
Классические решения
Endpoint Protection
Firewall, IDS/IPS
Access Control
DLP
Web/mail gateway
Нужна новая защита?
APT: непонятно,
но очень опасно
Неизвестные
угрозы
Известные угрозы
99%
Менее
1% Зачем инвестировать,
если компания может никогда не стать целью?
…
#CODEIB
5. >200 дней
Подготовка
Поиск цели
Создание стратегии
Подготовка инструментов
Расширение влияния
Получение полномочий
Кража паролей
Распространение заражения
ЦЕЛЕВАЯ АТАКА КАК ПРОЦЕСС
Проникновение
Использование уязвимостей
Проникновение за периметр
Эксплуатация
Кража данных
Сокрытие следов
Удаление улик
Создание черного хода
#CODEIB
6. УЩЕРБ В СЛУЧАЕ РЕАЛИЗАЦИИ УГРОЗЫ
Простои
Прямые
потери
Последующие
траты
Упущенные
возможности
-Восстановле
ние
ИТ/ИБ-консалтинг
PR-активность
Судебные издержки
Потеря прибыли во
время простоя
Потеря данных
Потеря репутации
Обучение
Персонал
Системы
Чтобы инцидент
не повторился
Закрытие уязвимостей
Переконфигурирование систем
Покупка решений по
безопасности
Наём специалистов
Пересмотр бизнес-процессов
Повышение осведомленности
сотрудников
Повышение экспертизы службы
ИБ
#CODEIB
7. ЭТАПЫ РЕАЛИЗАЦИИ ЦЕЛЕВОЙ АТАКИ
Сбор
информации
о цели в
открытых
,источниках
социальных
сетях и
другими
способами
Подготовка и
создание
инструменто
,в
необходимы
.х для атаки
,Например
эксплойта и
трояна для
удаленного
доступа
Отправка
вредоносног
о пакета
будущей
жертве по
почте или
другим
.способом
Использован
ие
социальной
инженерии
Эксплуатаци
я
,уязвимости
. .т е
фактическое
исполнение
эксплойта
Установка
вредоносног
(о ПО RAT
)трояна
Создание
канала для
дистанционн
ого
управления
внутренними
активами
Выполнение
шагов для
достижения
целей атаки:
кражи
,данных
саботажа и
. .т д
Reconnaissance
Actionson
Objectives
Command&
Control
Installation
W
eaponization
Delivery
Exploitation
Перед компрометацией Компрометация После компрометации
Растет вероятность успешной атаки, увеличиваются затраты на восстановление
#CODEIB
8. МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ
РЕАГИРОВАНИЕ
ПРОГНОЗИРОВАНИ
Е
ПРЕДОТВРАЩЕНИЕ
ОБНАРУЖЕНИЕ
Управление уязвимостями
Анализ потенциальных целей
атакующего
Планирование развития
стратегии защиты
Оперативное реагирование на
инциденты
Расследование:
•реконструкция атак
•поиск затронутых активов
Выявление попыток и фактов
существующего проникновения
Подтверждение и приоритезация
событий
Снижение рисков проникновения
Повышение безопасности систем
и процессов
#CODEIB
9. KASPERSKY ANTI TARGETED ATTACK
СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ
АТАКАМ
Виталий Федоров
Инженер предпродажной поддержки
#CODEIB
10. KASPERSKY ANTI TARGETED ATTACK
10Kaspersky Anti Targeted Attack
Internet
Laptop PC
PC
Server
Email
Network
Sensors
Endpoint
Sensors
Advanced
Sandbox
SB Activity Logs
Pcaps, Sys-log
Analyst console
Inciden
t alerts
Security
Officer
Incidents
Forensic
Team
Analysis Center
SIEM SOC
network traffic
suspicious objects
host network activity
Verdicts DB
#CODEIB
20. Сетевые сенсоры
Интеграция с сетевым оборудованием
Интеграция с прокси серверами
Почтовые сенсоры
Сбор почты с серверов
Мониторинг конечных станций
СБОР ИНФОРМАЦИИ
Kaspersky Anti Targeted Attack 20#CODEIB
21. Поиск аномалий
Статистическая модель
Машинное обучение
Репутационная информация
Корреляция данных с агентов
Сопоставление различных событий
Использование экспертизы
:АНАЛИЗ ДАННЫХ СТАТИСТИКА
Kaspersky Anti Targeted Attack 21#CODEIB
22. Технологическая основа
Основана на внутреннем проекте компании
Больше 10 лет успешного использования
Поддержка платформ
Windows XP
Windows 7 x32
Windows 7 x64
Технология защиты от обхода Sandbox
:АНАЛИЗ ДАННЫХ ОБЪЕКТЫ
Kaspersky Anti Targeted Attack 22#CODEIB
23. Поддержка KSN/KPSN
Репутация файлов
Репутация сайтов/доменов
Известные центры управления
История доменов
Шаблоны поведения
:АНАЛИЗ ДАННЫХ МНЕНИЕ БОЛЬШИНСТВА
Kaspersky Anti Targeted Attack 23#CODEIB
24. Мониторинг в реальном времени
Настраиваемые фильтры
Цепочки событий
Интеграция с SIEM -> SOC
:ВЕРДИКТ ПРЕДСТАВЛЕНИЕ И
РАССЛЕДОВАНИЕ
Kaspersky Anti Targeted Attack 24#CODEIB
25. Экспертные сервисы
Объединенные с продуктом: поиск
целевых атак; расследование инцидентов
Дополнительно: анализ защищенности,
информирование об угрозах, тренинги по
безопасности
:РЕАГИРОВАНИЕ НЕОБХОДИМА ЭКСПЕРТИЗА
Kaspersky Anti Targeted Attack 25#CODEIB
26. НАШИ ИССЛЕДОВАНИЯ
Kaspersky Anti Targeted Attack
• Лаборатория Касперского ежедневно обрабатывает
310 тысяч новых вредоносных файлов
• Наиболее редкие, сложные и опасные киберугрозы
попадают в зону пристального внимания экспертов из
Глобального центра исследований и анализа угроз
(GReAT)
• Если появляется информация о новой
вредоносной кампании, то организация, которая
ее раскрыла, скорее всего будет Лабораторией
Касперского
#CODEIB
27. TROJAN-SPY.WIN32.LURK
Запускается из памяти
Не оставляет следов исполняемого кода на
диске
60 тыс ботов
Цели: СМИ, Телекомы, Банки
Похищено более 1.7 млрд руб
Kaspersky Anti Targeted Attack #CODEIB
29. ЗАДЕРЖАНИЕ БАНДЫ LURK
Спецоперация в 15 субъектах РФ
Одновременно 86 обысков
Задержано 50 участников
группировки
Кражу более 2,2 млрд удалось
предотвратить
Kaspersky Anti Targeted Attack #CODEIB
В соврем. Мире непрерывно разв. Инф. Технологий необходимо пониматьБ что усложн. Инф. Системы подвержены самым разнообразным рискам для их безопасности.
К внешним угрозам обобщенно мы можем назвать традиционные киберугрозы (вредоносные программы и эксплоиты).
Основной тенденцией последних лет называют смещение акцента с массовых атак на таргетированные, или целевые, направленные против конкретной компании, организации или государственного органа. И противостоять им оказывается не слишком просто, хотя и возможно.
Тут средства кибернападения используются или для прямой кражи денежных средств, или информации, которую легко монетизировать, например, реквизиты платежных карт или персональные данные, черный рынок которых весьма развит.
Также за таргетированными атаками могут стоять конкуренты. Их целью могут быть всевозможные ноу-хау, информация о готовящихся проектах и новых продуктах, другая информация, критичная для бизнеса. Впрочем, такого рода информацию можно похитить и другими способами, например, с помощью нелояльных сотрудников. Однако использование целевых атак часто менее хлопотно с организационной точки зрения и занимает меньше времени, да и материальные затраты могут быть ниже.
Тут можно дезорганизовать работу организации, нарушить ее деятельнос ть.
Также целью хактивистов и кибершпионов может быть не только информация, но и разного рода диспетчерские системы и управляющие комплексы, атака на которые может привести к огромному ущербу. Так что данные объекты могут стать мишенью и для террористических атак.
Если посмотреть на ситуацию привычным нам взглядом …
Известные угрозы «закрываются» известными продуктами (антивирусы, МЭ, DLP и т.д.).
Для защиты же от АРТ атак нужны принципиально новые решения, т.к. необходимо анализировать цепочки событий, прогнозировать последствия тех или иных действий злоумышленника.
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails