SlideShare una empresa de Scribd logo

Борьба с вредоносным кодом: от базовых мер к целостной стратегии

Aleksey Lukatskiy
Aleksey Lukatskiy

Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов

Tecnología
1 de 61
Descargar para leer sin conexión
12 октября 2017 Бизнес-консультант по безопасности Один из аспектов технической защиты информации Борьба с вредоносным кодом Алексей Лукацкий
Проблема сознания • Ориентация на прошлый опыт • Следование принципу «здесь и сейчас» • Нежелание встать на место злоумышленника • Точечный подход • Фокус только на ПК
К чему это приводит или как мы обычно боремся с вредоносным ПО? • ИБ или ИТ-службы, которые привыкли делать «потому что так принято», не задумываясь о актуальной модели угроз • Традиционный (или даже продвинутый) антивирус на ПК • МСЭ на периметре для блокирования вредоносных коммуникаций (C&C или 139-й порт) • Настройки антивируса обычно используются по умолчанию Антивирус МСЭ
C чем может бороться данный сценарий? • Широко распространенное вредоносное ПО • Сигнатуры для него известны в течение месяцев • Если используются командные C&C-сервера, то их IP-адреса обычно известны • Вложения в e-mail, содержащие старые исполняемые файлы • Старое вредоносное ПО на флешках • Прямая загрузка вредоносного ПО из Интернет (например, бесплатные антивирусы или дефрагментаторы) Уровень обнаружения на VT – выше 80%
Почему этого сценария недостаточно? • Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки) • Высокий уровень доработки продуктов для очередной кампании • Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей • Известно, что вредоносное ПО будут искать • Известно про запуск в песочницах • Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности • Все лучшие методологии разработки и отладки
С кем вы боретесь?
Чем вам поможет антивирус в этих случаях?
Сбербанк – один из популярных мотивов
Клиенты банков – частые жертвы фишеров
Торговля страхом
Торговля страхом
Торговля страхом
Подставные Mail.ru, Gmail и Yandex
Не только через почту, но и через соцсети
Цель: Заставить что-то сделать
• TheHarvester – утилита для сбора контактной информации (e-mail, поддомены, имена сотрудников и т.п.) • Ищут в поисковых системах (включая Яндекс), серверах ключей PGP, SHODAN и т.п. Сбор контактов с помощью TheHarvester http://www.edge-security.com/theharvester.php
Пример работы утилиты TheHarvester
Сбор контактов с помощью recon-ng • Recon-ng – многофункциональный инструмент для изучения/разведки Web • Множество разных модулей, решающих различные задачи, включая и сбор контактов • Входит в состав Kali Linux https://bitbucket.org/LaNMaSteR53/recon-ng
Пример работы утилиты recon-ng
Попробуем перейти на базовый уровень • Стандартизованные и централизованно управляемые антивирусы, системы управления патчами и резервного копирования • Ограничение использования прав локальных администраторов пользователями • Защита электронной почты и фильтрация URL Email Security Web Security Антивирус МСЭ
C чем может бороться данный сценарий? • Тривиальные модификации известного вредоносного ПО • Вариации использованных IP- адресов, хешей файлов, но с повторным использованием основных компонент ПО, поведения и методов заражения • Эксплойты для известных и старых уязвимостей в пользовательском ПО (браузеры, MS Office, Acrobat Reader и т.п.) Уровень обнаружения на VT – от 40 до 80%
Мы часто ошибаемся, нажимая на клавиши • Что произойдет, если мы наберем «w» вместо «s» или «x» вместо «c»?
Куда вы попадете, набрав sbirbank.ru?
Фальшивые домены и URLcrazy • URLcrazy – утилита для изучения комбинаций возможных имен сайта, похожих на «жертву» • 8000 типичных ошибок • 15 типов вариантов доменов http://www.morningstarsecurity.com/research/urlcrazy http://tools.kali.org/information-gathering/urlcrazy
Пример работы утилиты URLcrazy
Домены, найденные URLcrazy
Фальшивые домены Сбербанка
Bы мoжeтe найти oтличия? * - в названии слайда тоже есть ошибки J
Вы можете найти отличия? a а≠ U+0061 латиница U+0430 кириллица * - в названии слайда уже нет ошибок J
Клонирование сайта
Клонирование сайта для начинающих
Клонирование сайта для начинающих
Легко ли создать фишинговое сообщение?
Попробуем всем управлять • Уход от антивируса в сторону EPP • Стандартизованные образы ПО • Несколько антивирусных движков на уровне защиты e-mail и Web • Перезапись URL в e-mail • Песочница для средств защиты e-mail и Web • Антифишинговые тренинги • Формализованный процесс управления уязвимостями • Обнаружение C&C Email Security Web Security МСЭ EPP Песочница МСЭ IPS Мониторинг DNS
C чем может бороться данный сценарий? • Использование полиморфизма в коде, но поведение повторяется • Обфускация файлов для обхода распространенных антивирусов и базовых песочниц • Безфайловые вирусы • Эксплойты для известных, но свежих уязвимостей в пользовательском ПО (браузеры, MS Office, Acrobat Reader и т.п.) Уровень обнаружения на VT – от 5 до 40%
Малый и средний бизнес, филиалы Кампус Центр обработки данных Thi s Thi s This image cannot Th is Th is Th is Th is Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности This imag e Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг Современный хакер обращает внимание не только на периметр
Хакер не обязательно идет через периметр
И даже если у вас нет Wi-Fi, вас могут через него атаковать
Подмена Wi-Fi-точки доступа и перехват паролей Видео-демонстрация
Помните кино «Хакеры»?
Аппаратные закладки на базе Raspberry Pi Лобби и переговорки… Вы их контролируете?
А еще существует взлом через переговорную комнату Видео-демонстрация
Как попасть в помещение? Видео-демонстрация
Как попасть в помещение?
Что вы будете делать, если найдете флешку у дверей офиса? Любопытство возьмет верх или нет?
Многие подбирают J
Немного кино
Продвинутая защита для большинства случаев • Threat Intelligence для всех элементов системы защиты • Расширение функционала решения за счет контроля поведения трафика и пользователей • Дополнение функционала EPP функциями обнаружения и реагирования на инциденты (EDR) и круглосуточный мониторинг и реагирование (MDR) • Интеграция хостовых и сетевых средств обнаружения и реагирования Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Мониторинг DNS ИБ IaaS/PaaS Mobile Device Management (MDM) Защита серверов CASB
C чем может бороться данный сценарий? • Отсутствие повтора поведения • Обфускация файлов для обхода продвинутых песочниц • Маскировка под нормальные файлы, удаление индикаторов заражение • 0Day в пользовательских приложениях • Модификация известных техник, адаптированных под новые приложения и ОС • Распространение по сети (например, после компрометации ПК) Уровень обнаружения на VT – менее 5%
История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да
Вот так развивалась защита сетевого оборудования Cisco 3900(E) ISR 4451-X 2000 2005 2010 2015 Anti-Counterfeiting (ACT) 39[24]5 PPC (XSPACE, ASLR) MIPs based G2 – Partial ASLR 39[24]5e Intel (XSPACE) Image Signing Common Criteria + НДВ ФСТЭК FIPs CSDL Trust Anchor Module (SUDI, Secure Storage, Entropy) Secure Boot, Image Signing, XSPACE. ASLR enabled IOSd Cisco SSL Common Criteria, FIPs ISR Anti-Counterfeiting (ACT) Common Criteria FIPs 3900 Series 1900 Series 800 Series Cisco 1800 Cisco 2800 Cisco 3800 G1 G2 G3 51
Как бороться со спецслужбами? • Фокус на обнаружении • Стратегия разрешения только хорошо известного • Белые списки приложений и изоляция сегментов сети, приложений и узлов на уровне данных, не допуская взаимодействия доверенных и недоверенных активов • Виртуализация, удаленные браузеры на уровне ПК • TPM, контроль целостности ОС, подпись всех e-mail, контроль потоков, удаленная верификация Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Контроль приложений ЛокализацияЗащита серверов Изоляция Мониторинг DNS Mobile Device Management (MDM)
C чем может бороться данный сценарий? • Разрешенные известные, подписанные или в памяти • Скрытие в firmware или других компонентах, невидимых для ОС • Продвинутые техники обхода • Отсутствие или хорошо замаскированные коммуникации с C&C • 0Day, задействующие новые техники • Экслойты в привилегированном коде • Злоупотребление разрешенными приложениями • Атака на firmware/BIOS • Атака через физический доступ Уровень обнаружения на VT – 0%
Три измерения борьбы с вредоносным ПО Конкретный семпл Инфраструктура злоумышленников ПКВся сеть ВПО Канал управления - традиционная защита - рекомендуемая защита
Решение по защите от вредоносного ПО 1Gartner Report “Office 365, Google Apps for Work and Other Cloud Office Key Initiative Overview” July 2015 Эффективное решение по защите от вредоносного ПО – это не серебряная пуля и не гарантирует 100%-й защиты. Однако оно способно помочь: • Предотвратить попадание вредоносного ПО в сеть или на ПК, когда это возможно • Остановить его до того, как оно будет управляться извне • Обнаружить, когда оно появится в сети • Локализовать его для защиты от распространения по сети • Обеспечить реагирование для устранения уязвимостей и локализации атакованных участков
Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ Всесторонняя инфраструктура защиты NGIPS NGFW Анализ аномалий Network Anti- Malware NGIPS NGFW Host Anti- Malware DNSЗащита DNS Защита Web Защита Email NGIPS DNSЗащита DNS Защита Web NGIPS Threat Intelligence
Резюмируя Старое ВПО VT >80% Известные эксплойты, ботнеты VT 40-80% Новые варианты VT 5-40% Целевое ВПО VT < 5% Новое ВПО VT =0% Зрелость защиты от вредоносного ПО СложностьвредоносногоПО СтарыйИзвестныйНовыйЦелевойПродвинутый Процесс реагирования Патчи, защита e- mail и URL- фильтрация Архитектура, осведомленность Управление уязвимостями, EPP, песочница Мониторинг 24/7 и непрерывное тестирование EDR Адаптивная архитектура Изоляция, threat hunting 60% всех вредоносных программ 95% всех вредоносных программ 99% всех вредоносных программ
Что у вас есть? Чего вам не хватает? Что вам понадобится? Идентифицируйте используемые вами технологии ИБ, используемые данные и способы их получения, не забывая про моделирование угроз Определите ваши краткосрочные, среднесрочные и долгосрочные планы и возможные угрозы для них, а затем определите данные, которые вам нужны для их обнаружения Выберите необходимые источники данных, обучите персонал и, по необходимости, внедрите новые решения по кибербезопасности и анализу информации для ИБ Что сделать после конференции?
Где вы можете узнать больше? http://www.cisco.com/c/ru_ru/about/brochures.html https://habrahabr.ru/company/cisco/ https://www.cisco.com/c/en/us/ solutions/enterprise- networks/ransomware- defense/index.html
Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
Спасибо! alukatsk@cisco.com

Recomendados

Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических системAleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 

Recomendados

Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических системAleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
DNS как улика
DNS как уликаDNS как улика
DNS как уликаAleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
Information classification
Information classificationInformation classification
Information classificationAleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 

Más contenido relacionado

La actualidad más candente

Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 

La actualidad más candente (20)

Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
Information classification
Information classificationInformation classification
Information classification
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 

Similar a Борьба с вредоносным кодом: от базовых мер к целостной стратегии

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Cisco Russia
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco Russia
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часCisco Russia
 
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFEАрхитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFECisco Russia
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVKonstantin Matyukhin
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
конфидент
конфидентконфидент
конфидентExpolink
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16DialogueScience
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication SystemsSSA KPI
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияCisco Russia
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Expolink
 

Similar a Борьба с вредоносным кодом: от базовых мер к целостной стратегии (20)

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угроз
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFEАрхитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AVЗащита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
Защита от вредоносных программ с Антивирусом Касперского для Blue Coat Proxy AV
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
конфидент
конфидентконфидент
конфидент
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication Systems
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколения
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 

Más de Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 

Más de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 

Último

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 

Último (9)

Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 

Борьба с вредоносным кодом: от базовых мер к целостной стратегии

  • 1. 12 октября 2017 Бизнес-консультант по безопасности Один из аспектов технической защиты информации Борьба с вредоносным кодом Алексей Лукацкий
  • 2. Проблема сознания • Ориентация на прошлый опыт • Следование принципу «здесь и сейчас» • Нежелание встать на место злоумышленника • Точечный подход • Фокус только на ПК
  • 3. К чему это приводит или как мы обычно боремся с вредоносным ПО? • ИБ или ИТ-службы, которые привыкли делать «потому что так принято», не задумываясь о актуальной модели угроз • Традиционный (или даже продвинутый) антивирус на ПК • МСЭ на периметре для блокирования вредоносных коммуникаций (C&C или 139-й порт) • Настройки антивируса обычно используются по умолчанию Антивирус МСЭ
  • 4. C чем может бороться данный сценарий? • Широко распространенное вредоносное ПО • Сигнатуры для него известны в течение месяцев • Если используются командные C&C-сервера, то их IP-адреса обычно известны • Вложения в e-mail, содержащие старые исполняемые файлы • Старое вредоносное ПО на флешках • Прямая загрузка вредоносного ПО из Интернет (например, бесплатные антивирусы или дефрагментаторы) Уровень обнаружения на VT – выше 80%
  • 5. Почему этого сценария недостаточно? • Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки) • Высокий уровень доработки продуктов для очередной кампании • Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей • Известно, что вредоносное ПО будут искать • Известно про запуск в песочницах • Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности • Все лучшие методологии разработки и отладки
  • 6. С кем вы боретесь?
  • 7. Чем вам поможет антивирус в этих случаях?
  • 8. Сбербанк – один из популярных мотивов
  • 9. Клиенты банков – частые жертвы фишеров
  • 14. Не только через почту, но и через соцсети
  • 16. • TheHarvester – утилита для сбора контактной информации (e-mail, поддомены, имена сотрудников и т.п.) • Ищут в поисковых системах (включая Яндекс), серверах ключей PGP, SHODAN и т.п. Сбор контактов с помощью TheHarvester http://www.edge-security.com/theharvester.php
  • 18. Сбор контактов с помощью recon-ng • Recon-ng – многофункциональный инструмент для изучения/разведки Web • Множество разных модулей, решающих различные задачи, включая и сбор контактов • Входит в состав Kali Linux https://bitbucket.org/LaNMaSteR53/recon-ng
  • 20. Попробуем перейти на базовый уровень • Стандартизованные и централизованно управляемые антивирусы, системы управления патчами и резервного копирования • Ограничение использования прав локальных администраторов пользователями • Защита электронной почты и фильтрация URL Email Security Web Security Антивирус МСЭ
  • 21. C чем может бороться данный сценарий? • Тривиальные модификации известного вредоносного ПО • Вариации использованных IP- адресов, хешей файлов, но с повторным использованием основных компонент ПО, поведения и методов заражения • Эксплойты для известных и старых уязвимостей в пользовательском ПО (браузеры, MS Office, Acrobat Reader и т.п.) Уровень обнаружения на VT – от 40 до 80%
  • 22. Мы часто ошибаемся, нажимая на клавиши • Что произойдет, если мы наберем «w» вместо «s» или «x» вместо «c»?
  • 23. Куда вы попадете, набрав sbirbank.ru?
  • 24. Фальшивые домены и URLcrazy • URLcrazy – утилита для изучения комбинаций возможных имен сайта, похожих на «жертву» • 8000 типичных ошибок • 15 типов вариантов доменов http://www.morningstarsecurity.com/research/urlcrazy http://tools.kali.org/information-gathering/urlcrazy
  • 28. Bы мoжeтe найти oтличия? * - в названии слайда тоже есть ошибки J
  • 29. Вы можете найти отличия? a а≠ U+0061 латиница U+0430 кириллица * - в названии слайда уже нет ошибок J
  • 33. Легко ли создать фишинговое сообщение?
  • 34. Попробуем всем управлять • Уход от антивируса в сторону EPP • Стандартизованные образы ПО • Несколько антивирусных движков на уровне защиты e-mail и Web • Перезапись URL в e-mail • Песочница для средств защиты e-mail и Web • Антифишинговые тренинги • Формализованный процесс управления уязвимостями • Обнаружение C&C Email Security Web Security МСЭ EPP Песочница МСЭ IPS Мониторинг DNS
  • 35. C чем может бороться данный сценарий? • Использование полиморфизма в коде, но поведение повторяется • Обфускация файлов для обхода распространенных антивирусов и базовых песочниц • Безфайловые вирусы • Эксплойты для известных, но свежих уязвимостей в пользовательском ПО (браузеры, MS Office, Acrobat Reader и т.п.) Уровень обнаружения на VT – от 5 до 40%
  • 36. Малый и средний бизнес, филиалы Кампус Центр обработки данных Thi s Thi s This image cannot Th is Th is Th is Th is Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности This imag e Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг Современный хакер обращает внимание не только на периметр
  • 37. Хакер не обязательно идет через периметр
  • 38. И даже если у вас нет Wi-Fi, вас могут через него атаковать
  • 39. Подмена Wi-Fi-точки доступа и перехват паролей Видео-демонстрация
  • 41. Аппаратные закладки на базе Raspberry Pi Лобби и переговорки… Вы их контролируете?
  • 42. А еще существует взлом через переговорную комнату Видео-демонстрация
  • 43. Как попасть в помещение? Видео-демонстрация
  • 44. Как попасть в помещение?
  • 45. Что вы будете делать, если найдете флешку у дверей офиса? Любопытство возьмет верх или нет?
  • 48. Продвинутая защита для большинства случаев • Threat Intelligence для всех элементов системы защиты • Расширение функционала решения за счет контроля поведения трафика и пользователей • Дополнение функционала EPP функциями обнаружения и реагирования на инциденты (EDR) и круглосуточный мониторинг и реагирование (MDR) • Интеграция хостовых и сетевых средств обнаружения и реагирования Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Мониторинг DNS ИБ IaaS/PaaS Mobile Device Management (MDM) Защита серверов CASB
  • 49. C чем может бороться данный сценарий? • Отсутствие повтора поведения • Обфускация файлов для обхода продвинутых песочниц • Маскировка под нормальные файлы, удаление индикаторов заражение • 0Day в пользовательских приложениях • Модификация известных техник, адаптированных под новые приложения и ОС • Распространение по сети (например, после компрометации ПК) Уровень обнаружения на VT – менее 5%
  • 50. История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да
  • 51. Вот так развивалась защита сетевого оборудования Cisco 3900(E) ISR 4451-X 2000 2005 2010 2015 Anti-Counterfeiting (ACT) 39[24]5 PPC (XSPACE, ASLR) MIPs based G2 – Partial ASLR 39[24]5e Intel (XSPACE) Image Signing Common Criteria + НДВ ФСТЭК FIPs CSDL Trust Anchor Module (SUDI, Secure Storage, Entropy) Secure Boot, Image Signing, XSPACE. ASLR enabled IOSd Cisco SSL Common Criteria, FIPs ISR Anti-Counterfeiting (ACT) Common Criteria FIPs 3900 Series 1900 Series 800 Series Cisco 1800 Cisco 2800 Cisco 3800 G1 G2 G3 51
  • 52. Как бороться со спецслужбами? • Фокус на обнаружении • Стратегия разрешения только хорошо известного • Белые списки приложений и изоляция сегментов сети, приложений и узлов на уровне данных, не допуская взаимодействия доверенных и недоверенных активов • Виртуализация, удаленные браузеры на уровне ПК • TPM, контроль целостности ОС, подпись всех e-mail, контроль потоков, удаленная верификация Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Контроль приложений ЛокализацияЗащита серверов Изоляция Мониторинг DNS Mobile Device Management (MDM)
  • 53. C чем может бороться данный сценарий? • Разрешенные известные, подписанные или в памяти • Скрытие в firmware или других компонентах, невидимых для ОС • Продвинутые техники обхода • Отсутствие или хорошо замаскированные коммуникации с C&C • 0Day, задействующие новые техники • Экслойты в привилегированном коде • Злоупотребление разрешенными приложениями • Атака на firmware/BIOS • Атака через физический доступ Уровень обнаружения на VT – 0%
  • 54. Три измерения борьбы с вредоносным ПО Конкретный семпл Инфраструктура злоумышленников ПКВся сеть ВПО Канал управления - традиционная защита - рекомендуемая защита
  • 55. Решение по защите от вредоносного ПО 1Gartner Report “Office 365, Google Apps for Work and Other Cloud Office Key Initiative Overview” July 2015 Эффективное решение по защите от вредоносного ПО – это не серебряная пуля и не гарантирует 100%-й защиты. Однако оно способно помочь: • Предотвратить попадание вредоносного ПО в сеть или на ПК, когда это возможно • Остановить его до того, как оно будет управляться извне • Обнаружить, когда оно появится в сети • Локализовать его для защиты от распространения по сети • Обеспечить реагирование для устранения уязвимостей и локализации атакованных участков
  • 56. Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ Всесторонняя инфраструктура защиты NGIPS NGFW Анализ аномалий Network Anti- Malware NGIPS NGFW Host Anti- Malware DNSЗащита DNS Защита Web Защита Email NGIPS DNSЗащита DNS Защита Web NGIPS Threat Intelligence
  • 57. Резюмируя Старое ВПО VT >80% Известные эксплойты, ботнеты VT 40-80% Новые варианты VT 5-40% Целевое ВПО VT < 5% Новое ВПО VT =0% Зрелость защиты от вредоносного ПО СложностьвредоносногоПО СтарыйИзвестныйНовыйЦелевойПродвинутый Процесс реагирования Патчи, защита e- mail и URL- фильтрация Архитектура, осведомленность Управление уязвимостями, EPP, песочница Мониторинг 24/7 и непрерывное тестирование EDR Адаптивная архитектура Изоляция, threat hunting 60% всех вредоносных программ 95% всех вредоносных программ 99% всех вредоносных программ
  • 58. Что у вас есть? Чего вам не хватает? Что вам понадобится? Идентифицируйте используемые вами технологии ИБ, используемые данные и способы их получения, не забывая про моделирование угроз Определите ваши краткосрочные, среднесрочные и долгосрочные планы и возможные угрозы для них, а затем определите данные, которые вам нужны для их обнаружения Выберите необходимые источники данных, обучите персонал и, по необходимости, внедрите новые решения по кибербезопасности и анализу информации для ИБ Что сделать после конференции?
  • 59. Где вы можете узнать больше? http://www.cisco.com/c/ru_ru/about/brochures.html https://habrahabr.ru/company/cisco/ https://www.cisco.com/c/en/us/ solutions/enterprise- networks/ransomware- defense/index.html
  • 60. Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/