Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti Targeted Attack Platform - специализированное решение для противодействия целенаправленным атакам и передовым угрозам информационной безопасности"
Check Point - Актуальные угрозы сетевой безопасности
Similaire à Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti Targeted Attack Platform - специализированное решение для противодействия целенаправленным атакам и передовым угрозам информационной безопасности"
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
Similaire à Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti Targeted Attack Platform - специализированное решение для противодействия целенаправленным атакам и передовым угрозам информационной безопасности" (20)
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti Targeted Attack Platform - специализированное решение для противодействия целенаправленным атакам и передовым угрозам информационной безопасности"
1. KASPERSKY ANTI TARGETED ATTACK PLATFORM -
СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ ДЛЯ
ПРОТИВОДЕЙСТВИЯ ЦЕЛЕНАПРАВЛЕННЫМ
АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2016
2. 1% атак
ТРАДИЦИОННЫЕ СРЕДСТВА ЗАЩИТЫ
Антивирус
Межсетевые экраны
IDS/IPS
Защита данных
Почтовые и веб-шлюзы
Требуют нового подхода
Целевые
атаки
Неизвестные угрозы
«Случайные» атаки
99%
1%
Enterprise Security. Powered by Kaspersky Lab.
4. РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Скомпрометирован контроллер домена сети банкоматов
На банкоматы установлены «USB-сниферы»
Сниферы собирают информацию о карточках клиентов
Информация монетизируются через другие банки
Основная IT-сеть и сетевой периметр не содержит следов атаки
5. РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Анализ инструментов: загрузка на VirusTotal из нескольких сетей
Один из источников: крупный телеком-провайдер
Анализ OSINT: незащищенные маршрутизаторы телекома на периметре банка
Совместный анализ инцидента
Источник атаки – магистраль MPLS подрядчика-телекома
6. ТЕХНИКИ ТАКТИКИ И ПРОЦЕДУРЫ
Не обязательно быть целью,
чтобы быть жертвой
Атаки на подрядчиков
Атаки на инфраструктуры банков
В дополнение к атакам на
клиентов
Сложная монетизация
Metel
Carbanak
и другие…
9. РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ
Более 500 станций под контролем злоумышленников
Проникновение произошло более 6 месяцев назад
Доступ был перепродан на черном рынке
Шифрование – ошибка оператора
10. ТЕХНИКИ ТАКТИКИ И ПРОЦЕДУРЫ
Обработка результатов массовых атак
Выбор «вкусных» целей
Черный рынок
Несанкционированный доступ
Инсайдеры
Пароли
Уничтожение данных и блокирование доступа
Black Energy
Saudi Aramco
и другие…
12. АНАЛИЗ ЗАЩИЩЕННОСТИ
Резервная копия web-сервера на ftp-сервере подрядчика
Пароли web-сервера подходят к VPN
Сенсоры системы пожаротушения в корпоративной сети
Система управления пожаротушением в технологической сети
Полный доступ к SCADA и PLC из Интернета за 3 дня
14. ЦЕЛЕВЫЕ АТАКИ: УЖЕ ПОВСЕДНЕВНОСТЬ
Криминальные группы и государственные организации
Региональные и нишевые атаки:
Банки
Кража денег, персональных данных
Государственные органы
Шпионаж
Производство
Промышленный шпионаж
Телеком
Доступ к биллингу, системам самообслуживания
Медиа
Электронная почта, новостные порталы
15. ПОДХОД ЛАБОРАТОРИИ КАСПЕРСКОГО
НА ОСНОВЕ
ЭСКПЕРТНЫХ
ЗНАНИЙ О
КИБЕРУГРОЗАХ
ПРОГНОЗИРОВАТЬ
ЛИКВИДИРОВАТЬ
ПОСЛЕДСТВИЯ
• Расследование инцидентов
• Цифровая криминалистика
• Анализ вредоносного ПО
• Разведка киберугроз
• Отчеты о киберугрозах
• Анализ защищенности
• Анализ кибербезопасности
индустриальных систем
• Выявление
целенаправленных атак
• Потоки данных об угрозах
• Экспертный мониторинг
ОБНАРУЖИВАТЬ
ПРЕДОТВРАЩАТЬ
• Устранение уязвимостей
• Средства защиты узла и
сети
• Обучение сотрудников
16. «ЗНАЙ СВОЕГО ВРАГА, ЗНАЙ САМОГО СЕБЯ,
И ПОБЕДА БУДЕТ НЕИЗБЕЖНА»
Разведка киберугроз, это знания о
противниках, их мотивации,
намереньях, которые собраны,
проанализированы и
распространены способами,
помогающими сотрудниками ИБ и
бизнес-подразделений на всех
уровнях защищать критически
важные активы предприятия.*
https://www.gartner.com/doc/2487216/definition-threat-intelligence*www.isightpartners.com
Threat Intelligence: Разведка киберугроз
17. ОТЧЕТЫ О УГРОЗАХ APT
Раннее предупреждение целевых
атаках
Детальное описание атак
Используемые техники и процедуры
Дополнительные артефакты
Индикаторы компрометации
Open IOC/yara/STIX
Month Report
Feb Animal farm private report
March EquationDrug IOC’s
March Hawkeye
March Gloog waterholering campaign
April Dyre private report
May Sofacy 0-day
June Naikon private report
June Sofacy AZZY backdoor
June Duqu 2 private report
July Wild
July Blue
August
18. ОБУЧЕНИЕ В ОБЛАСТИ ИБ
Интерактивная платформа
Экспертные курсы
Цифровая криминалистика
Анализ ВПО
Расследование инцидентов
19. АНАЛИЗ ЗАЩИЩЕННОСТИ
Анализ защищенности инфраструктур
Технологический аудит
Тест на проникновение
Анализ защищенности приложений
Веб-порталы
Шлюзы интеграции
Приложения собственной разработки
АСУ ТП: SCADA/PLC/MES
Технологические сети телеком: Core telecom network
Платежные системы: ATM/POS/eBank/Core Banking
Systems
20. ВЫЯВЛЕНИЕ АТАК
Потоки данных об угрозах
Malicious, Phishing, C&C URLs
Mobile/Desktop malware hashes
Интеграция со средствами защиты
• ArcSight
• QRadar
• Splunk
21. KASPERSKY ANTI TARGETED ATTACK PLATFORM
Песочница
SB Activity Logs
Pcaps, Sys-log
Консоль администрат
Инцидент
Офицер
ИБ
Группа
реагирования
Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз
SIEM SOC
Verdicts DB
Different groups of customers require different part of our knowledge
Different level of security experience (STIX IoC is useless for home user)
Different level of confidence (cybercrime act investigation can’t be published)