Embed Size (px)
Citation preview
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальность завтрашнего дня
Денис Безкоровайный, CISA, CISSP, CCSK Вице-президент RISSPA
15.10.2014 Семинар RISSPA Москва
http://report2014.group-ib.ru/
Да что же это все такое?
• APT – сложно, как Stuxnet
• Целевая атака – необязательно сложно
• При чем тут 0-day?
Целевые атаки – почему их сложно обнаружить?
Потому что они «заточены» под конкретно вашу организацию:
Используются знания о ваших сотрудниках и социальная инженерия
Проверка вредоносного кода на ваших защитных системах – антивирус не защитит
Используются уязвимости в ваших приложениях и окружении
Ручное управление проведением атаки – управление человеком на всех этапах
Цель – ваши данные
Image by ISACA
Сложная атака или плохая защита?
Эволюция
Сигнатуры
Эвристика
Черные списки URL
Репутация URL
Защита от эксплойтов
Поведенческий анализ
Генераторы ВПО
Полиморфизм, крипторы
Динамические домены
Ручной отбор доменов для атаки
0-day, соц.инженерия
Анализ среды
Примеры из жизни – неизвестное ВПО
• Атаки с помощью социальной инженерии через веб
• Социальная инженерия через email и другие не-web каналы
• Эксплойты в документах
• Drive-by download атаки
• BYOD и заражения вне корпоративной сети
5 стилей защиты по Gartner Five Style of Advanced Thread Defence
1. Network Traffic Analysis (Анализ сетевого трафика)
2. Network Forensics (Сетевая форензика)
3. Payload Analysis (Анализ контента)
4. Endpoint Behavior Analysis (Анализ поведения на конечных точках)
5. Endpoint Forensics (Форензика на конечных точках)
9
10
Network Traffic Analysis
Network Forensics
Payload Analysis
Endpoint Behavior Analysis
Endpoint Forensics
КОГДА
В (почти) реальном времени
Постфактум (дни/недели)
ГДЕ
Сеть
Контент
Конечные точки
Матрица решений Вендор Network Traffic Analysis
Network Forensics
Payload Analysis
Endpoint Behavior Analysis
Endpoint Forensics
FireEye NX Series PX и IA Series EX и NX Series HX Series, Mandiant (MIR)
PaloAlto WildFire Traps
Trend Micro Deep Discovery Inspector
Deep Discovery Analyzer / DDI
Deep Discovery Endpoint Sensor
CheckPoint Threat Emula}on
Cisco FirePower Sourcefire AMP FireAMP
McAfee Advanced Threat Defence
Infowatch Targeted A�ack Detector
RSA NetWitness ECAT
BlueCoat Ex Solera
Мнение автора может не совпадать с позицией вендоров
Все атаки станут целевыми
• Новые уязвимости будут появляться и дальше (Shellshock, Heartbleed..)
• Уникальные образцы для каждого клиента – уже сейчас • Индивидуальные векторы атаки – для корпоративного сегмента
уже сейчас
