УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия противодействия целевым атакам"
1. Тренды, проблематика и стратегия
противодействия целевым атакам
Борис Шалопин
Региональный представитель по УрФО, Пермскому краю, Омской
области и Удмуртской Республике
Лаборатория Касперского
3. Иденчиные тактики и методы могут повлечь за собой абсолютно разный
результат в зависимости от отрасли
4. ROI: “1” инцидент может покрыть внедрение анти-APT
Классические решения
Antivirus, Endpoint Security
Firewall, Access control
IDS/IPS
Data leakage protection
Web/mail gateway
Нужна новая защита?
Непонятно,
но ОЧЕНЬ страшно и
ОПАСНО
Unknown Threats
Known Threats
99%
1%
… зачем инвестировать, если компания может никогда не
стать целью?
…
5. Оценить масштаб угрозы
Прямые
потери
Последующие
траты
IT-консалтинг
Аудиторы
PR-активности
Судебные траты
Потеря
прибыли во
время
простоя
Потеря данных,
обман и тд.
Чтобы не
повторилось
вновь
Закрытие уязвимостей
Покупка решений безопасности (DB protection,
Endpoint, PIM, SIEM..)
Замена «плохой» системы
Наём специалистов (ручное обнаружение)
Пересмотр бизнес процессов (новые роли)
Повышение осведомленности сотрудников
Повышение экспертизы службы ИБ
Простои
Возможности
Восстановление
Training
Staffing
Systems
+
+
+
+
ERROR
6. Статистика потерь за 2016 год от инцидентов ИБ
$126K
$116K
$106K
$92K
$91K
$86K
$119K
$79K
$77K
Дополнительные траты к ЗП
Ущерб рейтингам
Потерянный возможности
Компенсации
Пиар коммуникации
Аутсорс квалифицированных экспертов
Развитие ИТ систем и защиты
Обучения
Привлечение новых сотрудников
$14K
$13K
$11K
$9K
$8K
$8K
$10K
$7K
$7K
Дополнительные траты к ЗП
Потерянный возможности
Аутсорс квалифицированных экспертов
Ущерб рейтингам
Пиар коммуникации
Компенсации
Развитие ИТ систем и защиты
Обучения
Привлечение новых сотрудников
SMB
Крупные
компании
Перераспредленеие трудозатрат ИТ и ИБ служб крупнейшая
часть затрат по результату выявленного инцидента
Base: 926 SMBs/ 590 Enterprises
Suffering At Least One Data Breach
Средний
ущерб:
$86.5k
Средний
ущерб:
$891k
Results from Kaspersky Lab’s Corporate IT Security Risks
Survey 2016, conducted worldwide by Kaspersky Lab
7. ROI: “1” инцидент может покрыть внедрение анти-APT
Enterprises
SMBs
Средний размер потерь от целевых атак
$1,54M
$84к
Enterprises
SMBs
Средний размер проекта анти-APT
~$300 - 500k
$50-100к
9. Типовое развитие целенаправленной атаки
НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ
РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ
ПОДГОТОВКА
ЦЕЛЕВАЯ АТАКА МОЖЕТ
ДЛИТЬСЯ МЕСЯЦЫ… И
ГОДАМИ
ОСТАВАТЬТСЯ
НЕОБНАРУЖЕННОЙ
• кража идентификационных данных
• повышение привилегий
• налаживание связей
• легитимизация действий
• получение контроля
• использование слабых мест
• проникновение внутрь
инфраструктуры
• анализ цели
• подготовка стратегии
• создание/покупка тулсета
• доступ к информации
• воздействие на бизнес процессы
• сокрытие следов
• тихий уход
10. В теории… довольно линейное развитие:
Развитие целенаправленной атаки:
Теория и Реальность
Тестирование Проникновение Закрепление Исполнение Инцидент
11. Тестирование
Инцидент
Распространение 1 –
Email
Проникновение 2 – Зараженная ссылка
В реальности… сложно и нелинейно:
Распространение 2 – По сети
Проникновение 1 – Эксплойт
во вложении почты Исполнение – Локальное
Удаленное – Исполнение
Развитие целенаправленной атаки:
Теория и Реальность
12. Выводы при построении передовой корпоративной безопасности
Большинство «передовых» атак основаны на базовых уязвимостях
Возможности обнаружить и отреагировать гораздо важнее блокирования и
предотвращения
«Реагирование на скоррелированные инциденты" даёт ложное чувство безопасности
Защита от передовых угроз должна быть эшелонированно интегрированной, а не
«кусочной»
Мониторинг данных и аналитика должны быть базисом для любого next-gen решения по
обеспечению ИБ
Автоматизация – это «порочный путь» при защите от ручных действий злоумышленников.
Необходима комплексная стратегия защиты
14. ЗАДАЧА – ОБЬЕДИНИТЬ СОБЫТИЯ РАЗНОРОДНЫХ
СИСТЕМ В ЕДИНУЮ КАРТИНУ… ВРУЧНУЮ НЕ РЕШАЕМА!
…ОСОБЕННО С УЧЕТОМ НАЛИЧИЯ ПОСТОЯННОЙ ЗАГРУЗКИ
СЛУЖБЫ ИБ И БЕЗ ЭТОГО.
17. 17
НЕДОСТАТКИ ТРАДИЦИОННОГО ПОДХОДА ДЛЯ
ЦЕНТРА МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC)
ТРАДИЦИОННЫЙ
РЕАКТИВНЫЙ
ПОДХОД
НЕТ СТРАТЕГИЧЕСКОГО
ПЛАНИРОВАНИЯ
НЕЭФФЕКТИВНАЯ
ПРИОРИТЕЗАЦИЯ
ИНЦИДЕНТОВ
НЕХВАТКА
ЭКСПЕРТИЗЫ
Сбор Логов
Агрегация и
корреляция событий
Процесс на
базе задач (тикетинг)
Отчетнось
ЦЕНТР МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC)
Неструктурированные/неунифицированные процессы
19. ЗРЕЛЫЙ ПРОЦЕСС РЕАГИРОВАНИЯ НА ОСНОВЕ
УПРАВЛЕНИЯ РИСКАМИ И РАССЛЕДОВАНИЯ
Решение ИБ
Threat Hunting Расследование
Внешний источник информации
об угрозах (Threat Intelligence)
Дополнительные данные
для анализа
Уровень
риска?
Инцидент Реагирование Actionable
Intelligence
ВЫСОКИЙ
НИЗКИЙ
Security Policies
Improvement
Быстрое
восстановление
Full Incident
Response
RemediationForensics
20. Адаптивная стратегия ИБ для развития
процессов и повышения эффективности
традиционных центров мониторинга (SOC)
21. 21
Развитый центр мониторинга ИБ должен быть
интеллектуальным
INTELLIGENCE-DRIVEN
АНАЛИТИКА ИБ ПЛАНЫ И ПРОЦЕССЫ
РЕАГИРОВАНИЯ
ПОСТОЯННОЕ
РАЗВИТИЕ
АВТОМАТИЗАЦИЯ
СКВОЗНЫХ
ОПЕРАЦИЙ
Threat Intelligence
Сбор даных и контекста Тикетинг Отчетность
КОМПЛЕКСНЫЕ ЗАДАЧИ РАЗВИТОГО SOC
ПРОГНОЗИРОВАНИЕ
Threat Hunting Управление знаниями Исследования угроз
Корреляция логов
ПРЕДОТВРАЩЕНИЕ ОБНАРУЖЕНИЕ РЕАГИРОВАНИЕ
23. Эволюция ожиданий бизнеса
Текущий размер инвестиций:
80% на превентивные технологии / 20% на
обнаружение, реагирование и
прогнозирование
(Крупные компании: 90%/10%)
Планы опрошенных заказчиков
на ближайшие 3 года: 40% / 60%
Основано на опросе, проведенном
«Лабораторией Касперского» в ноябре 2015
года среди свыше 6700 компаний по всему
миру
80 20
СЕГОДНЯ
40 60
В БУДУЩЕМ
24. Вот уже два года на самом дне интернета расцветает необычный вид черного рынка.
25. В мае 2016 г. мы насчитали
на площадке 70 624
серверов, выставленных на
продажу, от 416 разных
продавцов из 173 стран.