SlideShare une entreprise Scribd logo

Расследование инцидентов ИБ с помощью открытых интернет-источников

Télécharger en tant que PPTX, PDF
Advanced monitoring
Advanced monitoring

Чтобы эффективно бороться с киберугрозами, не всегда нужны дорогостоящие системы ИБ-аналитики. Открытые источники помогают деанонимизировать людей, собирать информацию юридического характера и определять возможные векторы атак.

Internet
1  sur  16
Расследование инцидентов ИБ с помощью анализа открытых интернет-источников Максим Авдюнин
©2016, ОАО «ИнфоТеКС». Компания «Перспективный мониторинг»
©2016, ОАО «ИнфоТеКС». Анализ защищённости ПОТестирование на проникновение Разработка ПО Мониторинг инцидентов ИБ Расследование инцидентов ИБ Конкурентная разведка Наша деятельность Расследование инцидентов ИБ Конкурентная разведка
©2016, ОАО «ИнфоТеКС». Роль конкурентной разведки в расследовании инцидентов ИБ В контексте расследования инцидентов ИБ методы конкурентной разведки используются для поиска информации по открытым источникам, обеспечивающего проведение работ по компьютерной криминалистике (форензике), в частности: • Деанонимизацию субъектов и объектов в интернете • Сбор информации юридического характера • Определение возможных векторов атаки
Кейсы
©2016, ОАО «ИнфоТеКС». Кейс 1 «Некачественная доставка» • Заказчик Крупная логистическая компания • Описание инцидента Сотрудникам компании были направлены поддельные письма со ссылкой на фишинговый ресурс, копирующий официальный сайт компании. В тексте письма предлагалось скачать с данного ресурса некий исполняемый файл и документ «Инструкция.docx». Грамотные действия службы информационной безопасности заказчика позволили детектировать подозрительную активность и привлечь к её расследованию специалистов ЗАО «ПМ».
©2016, ОАО «ИнфоТеКС». Кейс 1 «Некачественная доставка» • Расследование инцидента Несмотря на недоступность на момент исследования фишингового сайта был найден и проанализирован рассылаемый файл. Его проверка на сайте virustotal.com показала, что по оценке 39 из 57 антивирусов он содержит троянскую программу Trojan.Win32.Diztakun — ransomware-вирус, предлагавший пользователю перевести деньги на указанный адрес под угрозой уничтожения операционной системы в ином случае.
©2016, ОАО «ИнфоТеКС». Кейс 1 «Некачественная доставка» Ссылка с сайта на документ «Инструкция.docx» в свою очередь вела на сервис Dropbox и документ удалось успешно скачать. Его содержимое представляло собой повторяющуюся последовательность бессмысленных символов, а сам документ не представлял угрозы. Однако, в свойствах документа был указан псевдоним его автора. Поиск по нему выдал ряд сайтов, на которых был зарегистрирован соответствующий пользователь. Среди них оказалось множество ресурсов хакерской и мошеннической направленности (например, forum.benderbay.com, fuckav.ru), а так же социальная сеть «В контакте» и несколько личных сайтов злоумышленника. Их анализ позволил собрать достаточное количество информации для деанонимизации устроившего атаку хакера.
©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» • Заказчик Провайдер трекинговой информации о грузоперевозках • Описание инцидента Ряд интернет-ресурсов предлагал информацию, распространяемую Заказчиком, на продажу, очевидно получая её в обход официальных каналов. Необходимо было установить, каким образом это происходило. • Расследование инцидента В рамках проекта были проведены работы по конкурентной разведке и инструментальному исследованию указанных заказчиком сайтов. По их результатам были получены: o Список аффилированных с исследуемыми сайтами лиц. o Их персональные данные, контактная информация, социальные связи и т.д. o Конфиденциальные сведения, в частности, юридические документы.
©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» (Сайт 2)
©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» (Сайт 4)
©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» (Сайт 1)
©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» (Сайт 1)
©2016, ОАО «ИнфоТеКС». Кейс 3 «Шекспировские страсти» • Заказчик Театр • Описание инцидента Злоумышленник из числа сотрудников театра передал третьим лицам информацию о заработной плате руководства, публикация которой при- вела к росту напряжённости среди остального персонала театра и нега- тивной прессе. Целью работ стало выяснение источника утечки и, в идеале, уста- новление виновного.
©2016, ОАО «ИнфоТеКС». Кейс 3 «Шекспировские страсти» • Расследование инцидента На первом этапе работ были проанализированы опубликованные материалы и на основании представленной в открытом доступе информации составлен список потенциальных подозреваемых. После чего был проведён ряд классических мероприятий по форензике. Созданы дисковых копии АРМ подозреваемых, произведён рекурсивный поиск исходной информации, сделаны предположения по возможным каналам утечки. По результатам работ были установлены источники информации, составившие утечку, сформирован список подозреваемых, предложены описания возможных каналов утечки и выработаны рекомендации по их ликвидации.
Спасибо за внимание! Максим Авдюнин

Recommandé

Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Advanced monitoring
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ malvvv
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейCisco Russia
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасностьCisco Russia
 

Recommandé

Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Advanced monitoring
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Финцерт БР РФ
Финцерт БР РФ Финцерт БР РФ
Финцерт БР РФ malvvv
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейCisco Russia
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасностьCisco Russia
 
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Expolink
 
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогопрезентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогоfinnopolis
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
презентация волков д. - Group ib
презентация волков д. - Group ibпрезентация волков д. - Group ib
презентация волков д. - Group ibfinnopolis
 
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...Высшая школа менеджмента СГЭУ
 
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...Expolink
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Expolink
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...Expolink
 
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Expolink
 
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Expolink
 
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...Expolink
 
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Expolink
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Инфотекс: Web Security Gateway
Инфотекс: Web Security GatewayИнфотекс: Web Security Gateway
Инфотекс: Web Security GatewayPositive Hack Days
 
ИБ
ИБИБ
ИБmalvvv
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network SecurityCisco Russia
 
Trustwave database security 10 шагов к эффекивной защите баз данных
Trustwave database security 10 шагов к эффекивной защите баз данныхTrustwave database security 10 шагов к эффекивной защите баз данных
Trustwave database security 10 шагов к эффекивной защите баз данныхDiana Frolova
 
Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 

Contenu connexe

Tendances

Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Expolink
 
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогопрезентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогоfinnopolis
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
презентация волков д. - Group ib
презентация волков д. - Group ibпрезентация волков д. - Group ib
презентация волков д. - Group ibfinnopolis
 
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...Высшая школа менеджмента СГЭУ
 
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...Expolink
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Expolink
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...Expolink
 
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Expolink
 
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Expolink
 
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...Expolink
 
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Expolink
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Инфотекс: Web Security Gateway
Инфотекс: Web Security GatewayИнфотекс: Web Security Gateway
Инфотекс: Web Security GatewayPositive Hack Days
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network SecurityCisco Russia
 
Trustwave database security 10 шагов к эффекивной защите баз данных
Trustwave database security 10 шагов к эффекивной защите баз данныхTrustwave database security 10 шагов к эффекивной защите баз данных
Trustwave database security 10 шагов к эффекивной защите баз данныхDiana Frolova
 

Tendances (20)

Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
Fortinet. Мирослав Мищенко. "Противодействие ATP с помощью современных средст...
 
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогопрезентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперского
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
презентация волков д. - Group ib
презентация волков д. - Group ibпрезентация волков д. - Group ib
презентация волков д. - Group ib
 
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...
Выдержки из презентации лекции С.Г.Вагина "Финансовое мошенничество" для слуш...
 
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...
ИЦ Региональные системы. Максим Кирпо. "Секреты построения комплексных СЗИ ил...
 
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
Solar Security. Андрей Прозоров. "Тренды и угрозы в сфере ИБ"
 
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
 
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...
InfoWatch. Василий Радьков. "InfoWatch traffic monitor: Ловим злоумышленников...
 
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
 
пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13пр 10 ошибок сотрудников для bisa 2013 02-13
пр 10 ошибок сотрудников для bisa 2013 02-13
 
Инфотекс: Web Security Gateway
Инфотекс: Web Security GatewayИнфотекс: Web Security Gateway
Инфотекс: Web Security Gateway
 
ИБ
ИБИБ
ИБ
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network Security
 
Trustwave database security 10 шагов к эффекивной защите баз данных
Trustwave database security 10 шагов к эффекивной защите баз данныхTrustwave database security 10 шагов к эффекивной защите баз данных
Trustwave database security 10 шагов к эффекивной защите баз данных
 

En vedette

Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияAdvanced monitoring
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Advanced monitoring
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Advanced monitoring
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыAdvanced monitoring
 
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Expolink
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасностиAleksey Lukatskiy
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 

En vedette (8)

Типовые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложенияТиповые сценарии атак на современные клиент-серверные приложения
Типовые сценарии атак на современные клиент-серверные приложения
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атак
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
 
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского ра...
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 

Similaire à Расследование инцидентов ИБ с помощью открытых интернет-источников

[RUS] LEAKINT – Leaks Intelligence
[RUS] LEAKINT – Leaks Intelligence[RUS] LEAKINT – Leaks Intelligence
[RUS] LEAKINT – Leaks IntelligenceRoman Romachev
 
White hat. случаи из практики
White hat. случаи из практикиWhite hat. случаи из практики
White hat. случаи из практикиInfoTeCS
 
САИБ. Максим Прокопов. "Расследование внутренних инцидентов информационной бе...
САИБ. Максим Прокопов. "Расследование внутренних инцидентов информационной бе...САИБ. Максим Прокопов. "Расследование внутренних инцидентов информационной бе...
САИБ. Максим Прокопов. "Расследование внутренних инцидентов информационной бе...Expolink
 
Андрей Брызгин_Group-IB
Андрей Брызгин_Group-IBАндрей Брызгин_Group-IB
Андрей Брызгин_Group-IBAleksandrs Baranovs
 
Pandalabs прогнозы на 2017
Pandalabs прогнозы на 2017Pandalabs прогнозы на 2017
Pandalabs прогнозы на 2017Andrey Apuhtin
 
Info watch global_report
Info watch global_reportInfo watch global_report
Info watch global_reportmalvvv
 
16 9 масалович а.и.
16 9 масалович а.и.16 9 масалович а.и.
16 9 масалович а.и.journalrubezh
 
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...imbasoft ru
 
мошенничество в дбо ситуация, тенденции, методы решения
мошенничество в дбо ситуация, тенденции, методы решениямошенничество в дбо ситуация, тенденции, методы решения
мошенничество в дбо ситуация, тенденции, методы решенияExpolink
 
Pandalabs отчет за 2 квартал 2016
Pandalabs отчет за 2 квартал 2016Pandalabs отчет за 2 квартал 2016
Pandalabs отчет за 2 квартал 2016Andrey Apuhtin
 
Katkov tpp
Katkov tppKatkov tpp
Katkov tppsouthmos
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Expolink
 
InfoWatch. Светлана Ашихмина. "Ловим злоумышленников на работе, крупных и не ...
InfoWatch. Светлана Ашихмина. "Ловим злоумышленников на работе, крупных и не ...InfoWatch. Светлана Ашихмина. "Ловим злоумышленников на работе, крупных и не ...
InfoWatch. Светлана Ашихмина. "Ловим злоумышленников на работе, крупных и не ...Expolink
 
Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...SelectedPresentations
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Expolink
 

Similaire à Расследование инцидентов ИБ с помощью открытых интернет-источников (20)

[RUS] LEAKINT – Leaks Intelligence
[RUS] LEAKINT – Leaks Intelligence[RUS] LEAKINT – Leaks Intelligence
[RUS] LEAKINT – Leaks Intelligence
 
White hat. случаи из практики
White hat. случаи из практикиWhite hat. случаи из практики
White hat. случаи из практики
 
САИБ. Максим Прокопов. "Расследование внутренних инцидентов информационной бе...
САИБ. Максим Прокопов. "Расследование внутренних инцидентов информационной бе...САИБ. Максим Прокопов. "Расследование внутренних инцидентов информационной бе...
САИБ. Максим Прокопов. "Расследование внутренних инцидентов информационной бе...
 
V заседание клуба интернет-буржуя "Бизнес - это война"
V заседание клуба интернет-буржуя "Бизнес - это война"V заседание клуба интернет-буржуя "Бизнес - это война"
V заседание клуба интернет-буржуя "Бизнес - это война"
 
Андрей Брызгин_Group-IB
Андрей Брызгин_Group-IBАндрей Брызгин_Group-IB
Андрей Брызгин_Group-IB
 
Pandalabs прогнозы на 2017
Pandalabs прогнозы на 2017Pandalabs прогнозы на 2017
Pandalabs прогнозы на 2017
 
Info watch global_report
Info watch global_reportInfo watch global_report
Info watch global_report
 
16 9 масалович а.и.
16 9 масалович а.и.16 9 масалович а.и.
16 9 масалович а.и.
 
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
 
мошенничество в дбо ситуация, тенденции, методы решения
мошенничество в дбо ситуация, тенденции, методы решениямошенничество в дбо ситуация, тенденции, методы решения
мошенничество в дбо ситуация, тенденции, методы решения
 
Pandalabs отчет за 2 квартал 2016
Pandalabs отчет за 2 квартал 2016Pandalabs отчет за 2 квартал 2016
Pandalabs отчет за 2 квартал 2016
 
Katkov tpp
Katkov tppKatkov tpp
Katkov tpp
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
 
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
 
InfoWatch. Светлана Ашихмина. "Ловим злоумышленников на работе, крупных и не ...
InfoWatch. Светлана Ашихмина. "Ловим злоумышленников на работе, крупных и не ...InfoWatch. Светлана Ашихмина. "Ловим злоумышленников на работе, крупных и не ...
InfoWatch. Светлана Ашихмина. "Ловим злоумышленников на работе, крупных и не ...
 
Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
 
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
Системы информационной безопасности. Руслан Пермяков. " Защита критически важ...
 
Ksb 2013 ru
Ksb 2013 ruKsb 2013 ru
Ksb 2013 ru
 
01
0101
01
 

Расследование инцидентов ИБ с помощью открытых интернет-источников

  • 1. Расследование инцидентов ИБ с помощью анализа открытых интернет-источников Максим Авдюнин
  • 3. ©2016, ОАО «ИнфоТеКС». Анализ защищённости ПОТестирование на проникновение Разработка ПО Мониторинг инцидентов ИБ Расследование инцидентов ИБ Конкурентная разведка Наша деятельность Расследование инцидентов ИБ Конкурентная разведка
  • 4. ©2016, ОАО «ИнфоТеКС». Роль конкурентной разведки в расследовании инцидентов ИБ В контексте расследования инцидентов ИБ методы конкурентной разведки используются для поиска информации по открытым источникам, обеспечивающего проведение работ по компьютерной криминалистике (форензике), в частности: • Деанонимизацию субъектов и объектов в интернете • Сбор информации юридического характера • Определение возможных векторов атаки
  • 6. ©2016, ОАО «ИнфоТеКС». Кейс 1 «Некачественная доставка» • Заказчик Крупная логистическая компания • Описание инцидента Сотрудникам компании были направлены поддельные письма со ссылкой на фишинговый ресурс, копирующий официальный сайт компании. В тексте письма предлагалось скачать с данного ресурса некий исполняемый файл и документ «Инструкция.docx». Грамотные действия службы информационной безопасности заказчика позволили детектировать подозрительную активность и привлечь к её расследованию специалистов ЗАО «ПМ».
  • 7. ©2016, ОАО «ИнфоТеКС». Кейс 1 «Некачественная доставка» • Расследование инцидента Несмотря на недоступность на момент исследования фишингового сайта был найден и проанализирован рассылаемый файл. Его проверка на сайте virustotal.com показала, что по оценке 39 из 57 антивирусов он содержит троянскую программу Trojan.Win32.Diztakun — ransomware-вирус, предлагавший пользователю перевести деньги на указанный адрес под угрозой уничтожения операционной системы в ином случае.
  • 8. ©2016, ОАО «ИнфоТеКС». Кейс 1 «Некачественная доставка» Ссылка с сайта на документ «Инструкция.docx» в свою очередь вела на сервис Dropbox и документ удалось успешно скачать. Его содержимое представляло собой повторяющуюся последовательность бессмысленных символов, а сам документ не представлял угрозы. Однако, в свойствах документа был указан псевдоним его автора. Поиск по нему выдал ряд сайтов, на которых был зарегистрирован соответствующий пользователь. Среди них оказалось множество ресурсов хакерской и мошеннической направленности (например, forum.benderbay.com, fuckav.ru), а так же социальная сеть «В контакте» и несколько личных сайтов злоумышленника. Их анализ позволил собрать достаточное количество информации для деанонимизации устроившего атаку хакера.
  • 9. ©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» • Заказчик Провайдер трекинговой информации о грузоперевозках • Описание инцидента Ряд интернет-ресурсов предлагал информацию, распространяемую Заказчиком, на продажу, очевидно получая её в обход официальных каналов. Необходимо было установить, каким образом это происходило. • Расследование инцидента В рамках проекта были проведены работы по конкурентной разведке и инструментальному исследованию указанных заказчиком сайтов. По их результатам были получены: o Список аффилированных с исследуемыми сайтами лиц. o Их персональные данные, контактная информация, социальные связи и т.д. o Конфиденциальные сведения, в частности, юридические документы.
  • 10. ©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» (Сайт 2)
  • 11. ©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» (Сайт 4)
  • 12. ©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» (Сайт 1)
  • 13. ©2016, ОАО «ИнфоТеКС». Кейс 2 «На чистую воду» (Сайт 1)
  • 14. ©2016, ОАО «ИнфоТеКС». Кейс 3 «Шекспировские страсти» • Заказчик Театр • Описание инцидента Злоумышленник из числа сотрудников театра передал третьим лицам информацию о заработной плате руководства, публикация которой при- вела к росту напряжённости среди остального персонала театра и нега- тивной прессе. Целью работ стало выяснение источника утечки и, в идеале, уста- новление виновного.
  • 15. ©2016, ОАО «ИнфоТеКС». Кейс 3 «Шекспировские страсти» • Расследование инцидента На первом этапе работ были проанализированы опубликованные материалы и на основании представленной в открытом доступе информации составлен список потенциальных подозреваемых. После чего был проведён ряд классических мероприятий по форензике. Созданы дисковых копии АРМ подозреваемых, произведён рекурсивный поиск исходной информации, сделаны предположения по возможным каналам утечки. По результатам работ были установлены источники информации, составившие утечку, сформирован список подозреваемых, предложены описания возможных каналов утечки и выработаны рекомендации по их ликвидации.