SlideShare une entreprise Scribd logo

Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT

Télécharger en tant que PPT, PDF
E
Expolink

Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT

Business
1  sur  19
Арефьев Андрей Менеджер по развитию продуктов компании InfoWatch FACEBOOK Arefiev Andrey PHONE +7 495 22 900 22 (1217) Шахматный дебют в борьбе с APT. #FORUMBS
Stuxnet: Цели и Задачи #FORUMBS • Цели: Stuxnet был создан, чтобы сорвать развитие ядерной программы Ирана: • Контроль обогатительных центрифуг • Сбор информации о проекте STEP 7 • Задачи решенные при распространении: • Незаметное заражение цепочки компаний (поставщиков оборудования) • Проникновение в тщательно охраняемые установки, не имеющие прямого подключения к интернету. • Установление контроля над центрифугами
ОСНОВНЫЕ ХАРАКТЕРИСТИКИ APT #FORUMBS Нацеленные: • Рассчитаны на обход антивирусной защиты используемой жертвой атаки. • Атака начинается в одной точке, но постепенно подбирается к цели. Адаптивные: • Анализ условий, в которых ПО запущено. • Постоянная меняющиеся методы атаки. • Управляется из командного центра. Скрытые: • Растянутые по времени с отложенной активацией. • Сокрытие взаимодействия с командным центром. • Уничтожение следов работы
СПОСОБЫ АТАК #FORUMBS Инсайдер. Сотрудник компании осознанно устанавливающий злонамеренное ПО в сети компании. Социальная инженерия. Задача этого подхода состоит в том, чтобы тем или иным способом заставить пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Технические приёмы: • «Атака нулевого дня». Это использование ранее неизвестных уязвимостей OS, Outlook, Web Browsers, Adobe Flash. • Сокрытие присутствия: Так называемые руткит-технологии. Осуществляется за счет подмены системных функций, благодаря которым зараженный файл не виден штатными средствами операционной системы. • Мутация/шифрование кода. В результате функционал ПО сохраняется, но значительно меняется его цифровой отпечаток.
МЕТОДЫ ОБНАРУЖЕНИЯ – СИГНАТУРНЫЙ АНАЛИЗ #FORUMBS Ход антивирусов Сканируем содержимое файла, и если находится соответствие какого- либо участка кода просматриваемого файла известной сигнатуре вируса в словаре, то файл признается опасным. Определение конкретной атаки с высокой точностью Использование для сканирования содержимого дисков и сетевого трафика. Ответный ход зловредов Вирусы меняющий свой бинарный год каждый раз при новом заражении. Антивирусы без обновлённой сигнатурной базы не определяют зловред. По данным Symantec, компания вынуждена обновлять сигнатурную базу данных каждые 40 минут.
МЕТОДЫ ОБНАРУЖЕНИЯ – ЭВРИСТИЧЕСКИЙ АНАЛИЗ #FORUMBS Ход антивирусов: • Анализ кода и предположении о том, использование какого функционала OS можно считать подозрительным. • Выявление неизвестных ранее вирусов. • Чрезмерная подозрительность эвристического анализатора – много ложных срабатываний. • Уровень обнаружения новых вредоносных программ составляет не более 40-50 % от их числа. Ответный ход зловредов: • Шифрование кода – антивирус не может анализировать бинарный код • Использование методик обмана эвристического анализатора
МЕТОДЫ ОБНАРУЖЕНИЯ – ПЕСОЧНИЦА #FORUMBS Ход антивирусов Поведения приложения путем запуска приложения в виртуальной среде. Можем определять неизвестное ранее вредоносное ПО. Ответный ход зловредов •Детектируем что запушены в песочнице и ведем себя примерно. •Используя уязвимости виртуальной машины находим новые технические приемы атак
МЕТОДЫ ОБНАРУЖЕНИЯ - NGFW #FORUMBS Ход антивирусов NGFW – Firewall нового поколения. Возможности Firewall-ов первых поколений с сигнатурным и эвристическим анализом, песочницами и контролем SSL-соединений, а также репутацией сайтов. Ответный ход зловредов •Шифрование трафика/бинарного когда зловредов •Маскировка сетевого трафика под служебный (репликация DNS,…) •Использование Cooke для загрузки вредоносов и управления…. •…..
300 тысяч уникальных версий ежедневно #FORUMBS • По данным антивирусных лабораторий ежедневно появляется 300 тысяч уникальных версий вредоносного ПО. • Более чем 100 миллионов ежегодно. • Количество полезного ПО созданного за последние 10 лет, на порядки меньше чем зловредного ПО обнаруженного за год. Вывод: Нужно изучать отклонения от полезного ПО.
Что говорит Gartner #FORUMBS • Серебряной пули не существует. • Защита должна состоять из нескольких эшелонов. • Ваша задача все это купить и настроить. Результат из жизни: Купили но не настроили….. 70 миллионов имен, адресов электронной почты и телефонных номеров клиентов американского ритейлера Target (Target Corp. TGT:US) скомпрометированы в ходе атаки на инфраструктуру компании. Компьютерные системы безопасности американского ритейлера Target отреагировали на хакерское нападение и выдавали предупреждение об атаке, однако компания была не в состоянии оперативно отреагировать на сигнал тревоги.
Доктор ставит диагноз #FORUMBS • Доктор не разбирает вас на атомы в поисках вирусов. • Доктор спрашивает: на что жалуетесь. Он ищет отклонения от вашей нормы – аномалии. • Если по обнаруженным аномалиям диагноз не может быть поставлен, то доктор просит сдать анализы, и смотрит, как аномалии ведут себя во времени.
В поисках решения #FORUMBS • По аналогии с доктором нужно изучать отклонения от нормы и поведение отклонений во времени. • Анализ должен осуществляться на недоступных для злоумышленников серверах. Например, в облачном сервисе. • Система обнаружения целенаправленных атак должна самообучаться. Автоматически совершенствуя навыки распознавания признаков целенаправленных атак.
Девиз InfoWatch Targeted Attack Detector #FORUMBS • Девиз продукта: предупреждён – значит вооружен. • В отличии от антивирусов, решение InfoWatch Targeted Attack Detector предназначено для обнаружения признаков атаки а не ее предотвращения. • Основным результатом работы решения является отчет. • Решение TAD/TAM можно сравнить с радаром ПВО.
Архитектура Решения #FORUMBS Агент Периодически собирает и передает в Экспертную Облачную систему продукта информацию о состоянии компьютеров корпоративной сети (данные обезличиваются). Экспертная Облачная система •Система облачного хранения и анализа Big Data, предназначена для классификации ПО, поиска вредоносного ПО и выявления целенаправленных атак. Личный кабинет пользователя •Информация о работе решения с возможностью формирования отчетов по итогам анализа.
Как это работает? #FORUMBS
Примеры аномалий #FORUMBS • Появился файл от драйвера NVideo но при этом ПК не оборудован картой NVIdeo. • Исполняемый файл подписан просроченным сертификатом или подписан сертификатом от другого вендора. • Файл подписан корректно, но расположен в нетипичном месте. • Дата создания файла – это будущая дата • Данные читаемые с диска двумя разными способами различаются • …..
Динамический анализ как революция #FORUMBS • Целенаправленная атака растянута по времени и может начинаться на рабочей станции секретаря, а заканчиваться на рабочей станции бухгалтера • Атака в рамках одной рабочей станции имеет вполне определенные фазы, каждая из которых меняет состояние системы (отразиться на слайсе) • В рамках динамического анализа производиться сравнение слайсов, прогнозирование ожидаемых изменений и сравнение их с происшедшими изменениями.
Личный кабинет пользователя #FORUMBS • Доступна по адресу: https://apt-monitor.infowatch.com/ • Предназначена для: • Загрузка дистрибутива агента. • Контроля агентов и их статуса • Получения сводной статистики и загрузки отчетов. • Управление оповещениями • Управление исключениями
СПАСИБО ЗА ВНИМАНИЕ! Арефьев Андрей FACEBOOK PHONE #FORUMBS Менеджер по развитию продуктов компании InfoWatch Arefiev AndreyT +7 495 22 900 22 (1217)

Recommandé

C:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикC:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикEvgen
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Sourcefire FireAMP
Sourcefire FireAMPSourcefire FireAMP
Sourcefire FireAMPCisco Russia
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"Expolink
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Инновационные технологии в области сетевой безопасности
Инновационные технологии в области сетевой безопасностиИнновационные технологии в области сетевой безопасности
Инновационные технологии в области сетевой безопасностиКРОК
 

Recommandé

C:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикC:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикEvgen
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Sourcefire FireAMP
Sourcefire FireAMPSourcefire FireAMP
Sourcefire FireAMPCisco Russia
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"Expolink
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Инновационные технологии в области сетевой безопасности
Инновационные технологии в области сетевой безопасностиИнновационные технологии в области сетевой безопасности
Инновационные технологии в области сетевой безопасностиКРОК
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS SecurityIlya Karpov
 
Подход zero trust для обеспечения безопасности сети от Palo Alto Networks
Подход zero trust для обеспечения безопасности сети от Palo Alto NetworksПодход zero trust для обеспечения безопасности сети от Palo Alto Networks
Подход zero trust для обеспечения безопасности сети от Palo Alto NetworksКРОК
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахАйдар Гилязов
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...Expolink
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Security cores 5.11.13
Security cores 5.11.13Security cores 5.11.13
Security cores 5.11.13Boris Kizko
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки Expolink
 
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...Компания УЦСБ
 
Securitystronghold presentation-antivirus
Securitystronghold presentation-antivirusSecuritystronghold presentation-antivirus
Securitystronghold presentation-antivirusw_harker
 
Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаPositive Hack Days
 
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...Expolink
 

Contenu connexe

Tendances

автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS SecurityIlya Karpov
 
Подход zero trust для обеспечения безопасности сети от Palo Alto Networks
Подход zero trust для обеспечения безопасности сети от Palo Alto NetworksПодход zero trust для обеспечения безопасности сети от Palo Alto Networks
Подход zero trust для обеспечения безопасности сети от Palo Alto NetworksКРОК
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахАйдар Гилязов
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...Expolink
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Security cores 5.11.13
Security cores 5.11.13Security cores 5.11.13
Security cores 5.11.13Boris Kizko
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки Expolink
 
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...Компания УЦСБ
 
Securitystronghold presentation-antivirus
Securitystronghold presentation-antivirusSecuritystronghold presentation-antivirus
Securitystronghold presentation-antivirusw_harker
 

Tendances (20)

автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS Security
 
Подход zero trust для обеспечения безопасности сети от Palo Alto Networks
Подход zero trust для обеспечения безопасности сети от Palo Alto NetworksПодход zero trust для обеспечения безопасности сети от Palo Alto Networks
Подход zero trust для обеспечения безопасности сети от Palo Alto Networks
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройства
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройства
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банках
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
 
Security cores 5.11.13
Security cores 5.11.13Security cores 5.11.13
Security cores 5.11.13
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки
 
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безоп...
 
Securitystronghold presentation-antivirus
Securitystronghold presentation-antivirusSecuritystronghold presentation-antivirus
Securitystronghold presentation-antivirus
 

En vedette

Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаPositive Hack Days
 
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...Expolink
 
Searchinform - Практические аспекты реализации системы информационной безопас...
Searchinform - Практические аспекты реализации системы информационной безопас...Searchinform - Практические аспекты реализации системы информационной безопас...
Searchinform - Практические аспекты реализации системы информационной безопас...Expolink
 
Максим Степченков (IT-Task) - Взаимодействие банков с регуляторами
Максим Степченков (IT-Task) - Взаимодействие банков с регуляторамиМаксим Степченков (IT-Task) - Взаимодействие банков с регуляторами
Максим Степченков (IT-Task) - Взаимодействие банков с регуляторамиExpolink
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеровDmitry Evteev
 
Презентация Webcom Media
Презентация Webcom MediaПрезентация Webcom Media
Презентация Webcom MediaWebcom Group
 

En vedette (6)

Инсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защитаИнсайдерские атаки: нападение и защита
Инсайдерские атаки: нападение и защита
 
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...
А. Тимошенков (Инфосистемы Джет) - Мониторинг и выявление мошенничества через...
 
Searchinform - Практические аспекты реализации системы информационной безопас...
Searchinform - Практические аспекты реализации системы информационной безопас...Searchinform - Практические аспекты реализации системы информационной безопас...
Searchinform - Практические аспекты реализации системы информационной безопас...
 
Максим Степченков (IT-Task) - Взаимодействие банков с регуляторами
Максим Степченков (IT-Task) - Взаимодействие банков с регуляторамиМаксим Степченков (IT-Task) - Взаимодействие банков с регуляторами
Максим Степченков (IT-Task) - Взаимодействие банков с регуляторами
 
Собираем команду хакеров
Собираем команду хакеровСобираем команду хакеров
Собираем команду хакеров
 
Презентация Webcom Media
Презентация Webcom MediaПрезентация Webcom Media
Презентация Webcom Media
 

Similaire à Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT

Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПОКритерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПОCisco Russia
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance BAKOTECH
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информацииDialogueScience
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамКРОК
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Компания УЦСБ
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Expolink
 
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Expolink
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Продукты Doctor web: как на самом деле нужно защищаться?
Продукты Doctor web: как на самом деле нужно защищаться?Продукты Doctor web: как на самом деле нужно защищаться?
Продукты Doctor web: как на самом деле нужно защищаться?Expolink
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBБанковское обозрение
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 

Similaire à Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT (20)

Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПОКритерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Secure development
Secure developmentSecure development
Secure development
 
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
 
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
Доктор Веб - Почему при наличии антивируса компании несут убытки от вирусных ...
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
Продукты Doctor web: как на самом деле нужно защищаться?
Продукты Doctor web: как на самом деле нужно защищаться?Продукты Doctor web: как на самом деле нужно защищаться?
Продукты Doctor web: как на самом деле нужно защищаться?
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 

Plus de Expolink

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...Expolink
 
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...Expolink
 
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"Expolink
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Expolink
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...Expolink
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...Expolink
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Expolink
 
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"Expolink
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Expolink
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Expolink
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Expolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Expolink
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Expolink
 
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."Expolink
 

Plus de Expolink (20)

Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
 
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
 
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
 
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
 
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
 

Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT

  • 1. Арефьев Андрей Менеджер по развитию продуктов компании InfoWatch FACEBOOK Arefiev Andrey PHONE +7 495 22 900 22 (1217) Шахматный дебют в борьбе с APT. #FORUMBS
  • 2. Stuxnet: Цели и Задачи #FORUMBS • Цели: Stuxnet был создан, чтобы сорвать развитие ядерной программы Ирана: • Контроль обогатительных центрифуг • Сбор информации о проекте STEP 7 • Задачи решенные при распространении: • Незаметное заражение цепочки компаний (поставщиков оборудования) • Проникновение в тщательно охраняемые установки, не имеющие прямого подключения к интернету. • Установление контроля над центрифугами
  • 3. ОСНОВНЫЕ ХАРАКТЕРИСТИКИ APT #FORUMBS Нацеленные: • Рассчитаны на обход антивирусной защиты используемой жертвой атаки. • Атака начинается в одной точке, но постепенно подбирается к цели. Адаптивные: • Анализ условий, в которых ПО запущено. • Постоянная меняющиеся методы атаки. • Управляется из командного центра. Скрытые: • Растянутые по времени с отложенной активацией. • Сокрытие взаимодействия с командным центром. • Уничтожение следов работы
  • 4. СПОСОБЫ АТАК #FORUMBS Инсайдер. Сотрудник компании осознанно устанавливающий злонамеренное ПО в сети компании. Социальная инженерия. Задача этого подхода состоит в том, чтобы тем или иным способом заставить пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Технические приёмы: • «Атака нулевого дня». Это использование ранее неизвестных уязвимостей OS, Outlook, Web Browsers, Adobe Flash. • Сокрытие присутствия: Так называемые руткит-технологии. Осуществляется за счет подмены системных функций, благодаря которым зараженный файл не виден штатными средствами операционной системы. • Мутация/шифрование кода. В результате функционал ПО сохраняется, но значительно меняется его цифровой отпечаток.
  • 5. МЕТОДЫ ОБНАРУЖЕНИЯ – СИГНАТУРНЫЙ АНАЛИЗ #FORUMBS Ход антивирусов Сканируем содержимое файла, и если находится соответствие какого- либо участка кода просматриваемого файла известной сигнатуре вируса в словаре, то файл признается опасным. Определение конкретной атаки с высокой точностью Использование для сканирования содержимого дисков и сетевого трафика. Ответный ход зловредов Вирусы меняющий свой бинарный год каждый раз при новом заражении. Антивирусы без обновлённой сигнатурной базы не определяют зловред. По данным Symantec, компания вынуждена обновлять сигнатурную базу данных каждые 40 минут.
  • 6. МЕТОДЫ ОБНАРУЖЕНИЯ – ЭВРИСТИЧЕСКИЙ АНАЛИЗ #FORUMBS Ход антивирусов: • Анализ кода и предположении о том, использование какого функционала OS можно считать подозрительным. • Выявление неизвестных ранее вирусов. • Чрезмерная подозрительность эвристического анализатора – много ложных срабатываний. • Уровень обнаружения новых вредоносных программ составляет не более 40-50 % от их числа. Ответный ход зловредов: • Шифрование кода – антивирус не может анализировать бинарный код • Использование методик обмана эвристического анализатора
  • 7. МЕТОДЫ ОБНАРУЖЕНИЯ – ПЕСОЧНИЦА #FORUMBS Ход антивирусов Поведения приложения путем запуска приложения в виртуальной среде. Можем определять неизвестное ранее вредоносное ПО. Ответный ход зловредов •Детектируем что запушены в песочнице и ведем себя примерно. •Используя уязвимости виртуальной машины находим новые технические приемы атак
  • 8. МЕТОДЫ ОБНАРУЖЕНИЯ - NGFW #FORUMBS Ход антивирусов NGFW – Firewall нового поколения. Возможности Firewall-ов первых поколений с сигнатурным и эвристическим анализом, песочницами и контролем SSL-соединений, а также репутацией сайтов. Ответный ход зловредов •Шифрование трафика/бинарного когда зловредов •Маскировка сетевого трафика под служебный (репликация DNS,…) •Использование Cooke для загрузки вредоносов и управления…. •…..
  • 9. 300 тысяч уникальных версий ежедневно #FORUMBS • По данным антивирусных лабораторий ежедневно появляется 300 тысяч уникальных версий вредоносного ПО. • Более чем 100 миллионов ежегодно. • Количество полезного ПО созданного за последние 10 лет, на порядки меньше чем зловредного ПО обнаруженного за год. Вывод: Нужно изучать отклонения от полезного ПО.
  • 10. Что говорит Gartner #FORUMBS • Серебряной пули не существует. • Защита должна состоять из нескольких эшелонов. • Ваша задача все это купить и настроить. Результат из жизни: Купили но не настроили….. 70 миллионов имен, адресов электронной почты и телефонных номеров клиентов американского ритейлера Target (Target Corp. TGT:US) скомпрометированы в ходе атаки на инфраструктуру компании. Компьютерные системы безопасности американского ритейлера Target отреагировали на хакерское нападение и выдавали предупреждение об атаке, однако компания была не в состоянии оперативно отреагировать на сигнал тревоги.
  • 11. Доктор ставит диагноз #FORUMBS • Доктор не разбирает вас на атомы в поисках вирусов. • Доктор спрашивает: на что жалуетесь. Он ищет отклонения от вашей нормы – аномалии. • Если по обнаруженным аномалиям диагноз не может быть поставлен, то доктор просит сдать анализы, и смотрит, как аномалии ведут себя во времени.
  • 12. В поисках решения #FORUMBS • По аналогии с доктором нужно изучать отклонения от нормы и поведение отклонений во времени. • Анализ должен осуществляться на недоступных для злоумышленников серверах. Например, в облачном сервисе. • Система обнаружения целенаправленных атак должна самообучаться. Автоматически совершенствуя навыки распознавания признаков целенаправленных атак.
  • 13. Девиз InfoWatch Targeted Attack Detector #FORUMBS • Девиз продукта: предупреждён – значит вооружен. • В отличии от антивирусов, решение InfoWatch Targeted Attack Detector предназначено для обнаружения признаков атаки а не ее предотвращения. • Основным результатом работы решения является отчет. • Решение TAD/TAM можно сравнить с радаром ПВО.
  • 14. Архитектура Решения #FORUMBS Агент Периодически собирает и передает в Экспертную Облачную систему продукта информацию о состоянии компьютеров корпоративной сети (данные обезличиваются). Экспертная Облачная система •Система облачного хранения и анализа Big Data, предназначена для классификации ПО, поиска вредоносного ПО и выявления целенаправленных атак. Личный кабинет пользователя •Информация о работе решения с возможностью формирования отчетов по итогам анализа.
  • 16. Примеры аномалий #FORUMBS • Появился файл от драйвера NVideo но при этом ПК не оборудован картой NVIdeo. • Исполняемый файл подписан просроченным сертификатом или подписан сертификатом от другого вендора. • Файл подписан корректно, но расположен в нетипичном месте. • Дата создания файла – это будущая дата • Данные читаемые с диска двумя разными способами различаются • …..
  • 17. Динамический анализ как революция #FORUMBS • Целенаправленная атака растянута по времени и может начинаться на рабочей станции секретаря, а заканчиваться на рабочей станции бухгалтера • Атака в рамках одной рабочей станции имеет вполне определенные фазы, каждая из которых меняет состояние системы (отразиться на слайсе) • В рамках динамического анализа производиться сравнение слайсов, прогнозирование ожидаемых изменений и сравнение их с происшедшими изменениями.
  • 18. Личный кабинет пользователя #FORUMBS • Доступна по адресу: https://apt-monitor.infowatch.com/ • Предназначена для: • Загрузка дистрибутива агента. • Контроля агентов и их статуса • Получения сводной статистики и загрузки отчетов. • Управление оповещениями • Управление исключениями
  • 19. СПАСИБО ЗА ВНИМАНИЕ! Арефьев Андрей FACEBOOK PHONE #FORUMBS Менеджер по развитию продуктов компании InfoWatch Arefiev AndreyT +7 495 22 900 22 (1217)