Астерит. Иван Катаев. Лаборатория Касперского. Виталий...

Стратегия противодействия целевым атакам

Катаев ИванРегиональный менеджер

#CODEIB

НОВЫЕ ВЫЗОВЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИУсложнение ИТ-инфраструктуры

Защита периметра – не панацея

Снижение стоимости атак

Рост нетехнических способов атакАтаки на SMB-компании и через 3-ю сторонуАтака остается необнаруженной долгое время

#CODEIB

53% организаций потеряли конфиденциальные данные

$112K - средняя стоимость утечки данных в SMB секторе

$2M - средняя стоимость утечки в Enterprise секторе

ВНЕШНИЕ УГРОЗЫ

#CODEIB

ЛАНДШАФТ УГРОЗ ГЛАЗАМИ ЗАКАЗЧИКАКлассические

решенияEndpoint Protection

Firewall, IDS/IPS

Access Control

DLP

Web/mail gateway

Нужна новая защита?

APT: непонятно, но очень опасно

Неизвестныеугрозы

Известные угрозы

99%

Менее1% Зачем инвестировать,

если компания может никогда не стать целью?

…

#CODEIB

>200 дней

ПодготовкаПоиск целиСоздание стратегииПодготовка инструментов

Расширение влиянияПолучение полномочий

Кража паролейРаспространение заражения

ЦЕЛЕВАЯ АТАКА КАК ПРОЦЕСС

ПроникновениеИспользование уязвимостейПроникновение за периметр

ЭксплуатацияКража данных

Сокрытие следовУдаление улик

Создание черного хода

#CODEIB

УЩЕРБ В СЛУЧАЕ РЕАЛИЗАЦИИ УГРОЗЫ

Простои

Прямыепотери

Последующие

траты

Упущенные возможност

и

Восстановле-ние

ИТ/ИБ-консалтингPR-активностьСудебные издержки

Потеря прибыли во время простоя

Потеря данныхПотеря репутации

Обучение

Персонал

Системы

Чтобы инцидент не повторился

Закрытие уязвимостейПереконфигурирование системПокупка решений по безопасностиНаём специалистовПересмотр бизнес-процессов

Повышение осведомленности сотрудниковПовышение экспертизы службы ИБ

#CODEIB

ЭТАПЫ РЕАЛИЗАЦИИ ЦЕЛЕВОЙ АТАКИ

Сбор информации о цели в открытых источниках, социальных сетях и другими способами

Подготовка и создание инструментов, необходимых для атаки. Например, эксплойта и трояна для удаленного доступа

Отправка вредоносного пакета будущей жертве по почте или другим способом. Использование социальной инженерии

Эксплуатация уязвимости, т.е. фактическое исполнение эксплойта

Установка вредоносного ПО (RAT трояна)

Создание канала для дистанционного управления внутренними активами

Выполнение шагов для достижения целей атаки: кражи данных, саботажа и т.д.

Reconnaissa

nce

Actions on

Objectives

Comm

and &

Control

Installation

Weaponizati

on

Delivery

Exploitation

Перед компрометацией Компрометация После компрометации

Растет вероятность успешной атаки, увеличиваются затраты на восстановление

#CODEIB

МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ

РЕАГИРОВАНИЕ

ПРОГНОЗИРОВАНИЕ

ПРЕДОТВРАЩЕНИЕ

ОБНАРУЖЕНИЕ

Управление уязвимостямиАнализ потенциальных целей атакующегоПланирование развития стратегии защиты

Оперативное реагирование наинцидентыРасследование:•реконструкция атак•поиск затронутых активов

Выявление попыток и фактов существующего проникновенияПодтверждение и приоритезация событий

Снижение рисков проникновенияПовышение безопасности систем и процессов

#CODEIB

KASPERSKY ANTI TARGETED ATTACKСТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ

Виталий Федоров

Инженер предпродажной поддержки

#CODEIB

KASPERSKY ANTI TARGETED ATTACK

10Kaspersky Anti Targeted Attack

Internet

Laptop PC

PC

Server

Email

Network Sensors

Endpoint

Sensors

Advanced

Sandbox

SB Activity LogsPcaps, Sys-log

Analyst console

Incident

alerts

Security Officer

Incidents Forensic

Team

Analysis Center

SIEM SOCnetwork traffic

suspicious objects

host network activityVerdicts DB

#CODEIB

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack #CODEIB

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack #CODEIB

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack #CODEIB

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack #CODEIB

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack

ПАНЕЛЬ МОНИТОРИНГА KASPERSKY ANTI TARGETED ATTACK

Kaspersky Anti Targeted Attack

Сетевые сенсоры Интеграция с сетевым оборудованием Интеграция с прокси серверами

Почтовые сенсоры Сбор почты с серверов

Мониторинг конечных станций

СБОР ИНФОРМАЦИИ

Kaspersky Anti Targeted Attack 20#CODEIB

Поиск аномалий Статистическая модель Машинное обучение Репутационная информация

Корреляция данных с агентов Сопоставление различных событий Использование экспертизы

АНАЛИЗ ДАННЫХ: СТАТИСТИКА

Kaspersky Anti Targeted Attack 21#CODEIB

Технологическая основа Основана на внутреннем проекте компании Больше 10 лет успешного использования

Поддержка платформ Windows XP Windows 7 x32 Windows 7 x64

Технология защиты от обхода Sandbox

АНАЛИЗ ДАННЫХ: ОБЪЕКТЫ

Kaspersky Anti Targeted Attack 22#CODEIB

Поддержка KSN/KPSN Репутация файлов Репутация сайтов/доменов Известные центры управления История доменов Шаблоны поведения

АНАЛИЗ ДАННЫХ: МНЕНИЕ БОЛЬШИНСТВА

Kaspersky Anti Targeted Attack 23#CODEIB

Мониторинг в реальном времени Настраиваемые фильтры Цепочки событий Интеграция с SIEM -> SOC

ВЕРДИКТ: ПРЕДСТАВЛЕНИЕ И РАССЛЕДОВАНИЕ

Kaspersky Anti Targeted Attack 24#CODEIB

Экспертные сервисы Объединенные с продуктом: поиск

целевых атак; расследование инцидентов

Дополнительно: анализ защищенности, информирование об угрозах, тренинги по безопасности

РЕАГИРОВАНИЕ: НЕОБХОДИМА ЭКСПЕРТИЗА

Kaspersky Anti Targeted Attack 25#CODEIB

НАШИ ИССЛЕДОВАНИЯ

Kaspersky Anti Targeted Attack

• Лаборатория Касперского ежедневно обрабатывает 310 тысяч новых вредоносных файлов

• Наиболее редкие, сложные и опасные киберугрозы попадают в зону пристального внимания экспертов из Глобального центра исследований и анализа угроз (GReAT)

• Если появляется информация о новой вредоносной кампании, то организация, которая ее раскрыла, скорее всего будет Лабораторией Касперского

#CODEIB

TROJAN-SPY.WIN32.LURK

Запускается из памяти Не оставляет следов исполняемого кода на диске 60 тыс ботов Цели: СМИ, Телекомы, Банки Похищено более 1.7 млрд руб

Kaspersky Anti Targeted Attack #CODEIB

КАК РАСПРОСТРАНЯЛСЯ LURK

Kaspersky Anti Targeted Attack #CODEIB

ЗАДЕРЖАНИЕ БАНДЫ LURK

Спецоперация в 15 субъектах РФ Одновременно 86 обысков Задержано 50 участников группировки Кражу более 2,2 млрд удалось предотвратить

Kaspersky Anti Targeted Attack #CODEIB

Виталий ФедоровVitaly.Fedorov@Kaspersky.com+7(495)797-87-00 х4974+7(922)188-34-34

СПАСИБО!

#CODEIB