3. Да что же это все такое?
• APT – сложно, как Stuxnet
• Целевая атака – необязательно сложно
• При чем тут 0-day?
4. Целевые атаки – почему их сложно обнаружить?
Потому
что
они
«заточены»
под
конкретно
вашу
организацию:
Используются
знания
о
ваших
сотрудниках
и
социальная
инженерия
Проверка
вредоносного
кода
на
ваших
защитных
системах
–
антивирус
не
защитит
Используются
уязвимости
в
ваших
приложениях
и
окружении
Ручное
управление
проведением
атаки
–
управление
человеком
на
всех
этапах
Цель
–
ваши
данные
7. Эволюция
Сигнатуры
Эвристика
Черные списки URL
Репутация URL
Защита от эксплойтов
Поведенческий анализ
Генераторы ВПО
Полиморфизм, крипторы
Динамические домены
Ручной отбор доменов для атаки
0-day, соц.инженерия
Анализ среды
8. Примеры из жизни – неизвестное ВПО
• Атаки с помощью социальной инженерии через веб
• Социальная инженерия через email и другие не-web
каналы
• Эксплойты в документах
• Drive-by download атаки
• BYOD и заражения вне корпоративной сети
9. 5 стилей защиты по Gartner
Five Style of Advanced Thread Defence
1. Network Traffic Analysis (Анализ сетевого трафика)
2. Network Forensics (Сетевая форензика)
3. Payload Analysis (Анализ контента)
4. Endpoint Behavior Analysis (Анализ поведения на
конечных точках)
5. Endpoint Forensics (Форензика на конечных точках)
9
10. 1
Network
Traffic
Analysis
КОГДА
Network
Forensics
Payload
Analysis
Endpoint
Behavior
Analysis
Endpoint
Forensics
В
(почти)
реальном
времени
Постфактум
(дни/недели)
ГДЕ
Сеть
Контент
Конечные
точки
11. Вендор
Network
Traffic
Analysis
Матрица
решений
Network
Forensics
Payload
Analysis
Endpoint
Behavior
Analysis
Endpoint
Forensics
FireEye
NX
Series
PX
и
IA
Series
EX
и
NX
Series
HX
Series,
Mandiant
(MIR)
PaloAlto
WildFire
Traps
Trend
Micro
Deep
Discovery
Inspector
Deep
Discovery
Analyzer
/
DDI
Deep
Discovery
Endpoint
Sensor
CheckPoint
Threat
Emula}on
Cisco
FirePower
Sourcefire
AMP
FireAMP
McAfee
Advanced
Threat
Defence
Infowatch
Targeted
A€ack
Detector
RSA
NetWitness
ECAT
BlueCoat
Ex
Solera
Мнение
автора
может
не
совпадать
с
позицией
вендоров
12. Все атаки станут целевыми
• Новые
уязвимости
будут
появляться
и
дальше
(Shellshock,
Heartbleed..)
• Уникальные
образцы
для
каждого
клиента
–
уже
сейчас
• Индивидуальные
векторы
атаки
–
для
корпоративного
сегмента
уже
сейчас