ݺߣ

ݺߣShare a Scribd company logo

DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений

Download as PPTX, PDF
Denis Gorchakov
Denis Gorchakov

DEFCON-targeted version of the speech about anti-APT solutions experience and thoughts on incident reponse based on our work at one of the major Russian banks.

1 of 14
Download to read offline
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
Защита от целевых атак: практика применения решений в крупной организации DEFENSIVE TRACK TIME :)
WHOAMI Денис Горчаков Лаборатория Касперского, Security Services ex-Альфа-Банк, мониторинг и расследование инцидентов Сергей Бровкин Альфа-Банк, мониторинг и расследование инцидентов
Что такое хорошо и что такое плохо? АРТ (Advanced Persistent Threat) – целевая атака на организацию Отличное описание: http://www.slideshare.net/devteev/penetest-vs-apt • разные вектора атак (социнженерия, фишинг, малваре) • целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы • некая понятная цель атаки • закрепление и скрытность! (Not your typical scriptkiddie)
Serious business Под соусом APT обычно продаётся «средство от всего, что не увидел антивирус» • антивирус – уже не панацея, всё очень плохо • злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на вашу организацию • предлагаемое решение защитит от всех целевых атак APT предполагает наличие determined adversary в модели угроз – злоумышленник, настроенный именно на вашу организацию.
На самом деле Решения анти-APT: • Breach Detection System? • «Песочница»? Эти продукты естественно не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование сплойтов в почтовом трафике и скачиваемых файлах. И это уже хорошо! На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.
Зачем нам это надо? kudos to QIWI and @alex_plex – “Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup http://www.slideshare.net/MailRuGroup/security-meetup-22-enterprise-qiwi-54310470 • крупная финансовая организация – объект повышенного интереса и атак • большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде • регулярно одними из первых получаем документы со сплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат – vip-support@kaspersky.com :) • сотрудники скачивают из Интернета то, что не попадает под фильтры. Много послаблений привилегированным пользователям.
С чем приходят интеграторы? + не требуется высокая квалификация специалистов + возможно аутсорсить – ложные срабатывания мешают бизнесу – сложность масштабирования – vendor lock, API – какой API?
Наш вариант + нет лишней точки отказа + не мешаем бизнесу делать бизнес + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)
И что дальше? 1. Мониторинг и обнаружение 2. Анализ малвари 3. Индикаторы компрометации / настройка исключений 4. Взаимодействие с ИТ: почта, сеть 5. Взаимодействие с антивирусными вендорами 6. Заведение индикаторов на SIEM, DPI. Ретроспективный анализ. 7. Взаимодействие с ИТ и персоналом
А оно вам надо? • Крупной организации точно ДА • Небольшая организация: • Мало сотрудников в ИБ? • Отдел из одного начальника? • К вам точно полезут? • У вас вообще про ИБ слышали? • Есть ли деньги?
Как выбирать? Небольшая организация: • аутсорсинг / blackbox, ну ладно • работа с русской локалью • оперативность поддержки • стоимость Крупная организация: • FUCK the blackbox! No magic and unicorns • работа с русской локалью • детект sandbox evasion • индикаторы (IoC) • доступ в Интернет • интеграция с SIEM, IDS/IPS, FW • полная настраиваемость: - кастомный образ - API
Как из четырёх букв сложить СЧАСТЬЕ Заменить нельзя, но костыли поставить вполне: • Нет денег или не технарь? Стройте процессы информационной безопасности и ИТ (сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) • Огораживание (deny all except) • Обратите внимание на AppLocker, EMET • Обязательно защищайте VIP-пользователей Пишите сами (malware sandbox из говна и палок): https://isc.sans.edu/forums/diary/Are+you+looking+to+setup+your+own+Malware+Sandbox/20443/
Вопросы?

More Related Content

DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений

  • 2. Защита от целевых атак: практика применения решений в крупной организации DEFENSIVE TRACK TIME :)
  • 3. WHOAMI Денис Горчаков Лаборатория Касперского, Security Services ex-Альфа-Банк, мониторинг и расследование инцидентов Сергей Бровкин Альфа-Банк, мониторинг и расследование инцидентов
  • 4. Что такое хорошо и что такое плохо? АРТ (Advanced Persistent Threat) – целевая атака на организацию Отличное описание: http://www.slideshare.net/devteev/penetest-vs-apt • разные вектора атак (социнженерия, фишинг, малваре) • целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы • некая понятная цель атаки • закрепление и скрытность! (Not your typical scriptkiddie)
  • 5. Serious business Под соусом APT обычно продаётся «средство от всего, что не увидел антивирус» • антивирус – уже не панацея, всё очень плохо • злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на вашу организацию • предлагаемое решение защитит от всех целевых атак APT предполагает наличие determined adversary в модели угроз – злоумышленник, настроенный именно на вашу организацию.
  • 6. На самом деле Решения анти-APT: • Breach Detection System? • «Песочница»? Эти продукты естественно не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование сплойтов в почтовом трафике и скачиваемых файлах. И это уже хорошо! На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.
  • 7. Зачем нам это надо? kudos to QIWI and @alex_plex – “Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup http://www.slideshare.net/MailRuGroup/security-meetup-22-enterprise-qiwi-54310470 • крупная финансовая организация – объект повышенного интереса и атак • большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде • регулярно одними из первых получаем документы со сплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат – vip-support@kaspersky.com :) • сотрудники скачивают из Интернета то, что не попадает под фильтры. Много послаблений привилегированным пользователям.
  • 8. С чем приходят интеграторы? + не требуется высокая квалификация специалистов + возможно аутсорсить – ложные срабатывания мешают бизнесу – сложность масштабирования – vendor lock, API – какой API?
  • 9. Наш вариант + нет лишней точки отказа + не мешаем бизнесу делать бизнес + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)
  • 10. И что дальше? 1. Мониторинг и обнаружение 2. Анализ малвари 3. Индикаторы компрометации / настройка исключений 4. Взаимодействие с ИТ: почта, сеть 5. Взаимодействие с антивирусными вендорами 6. Заведение индикаторов на SIEM, DPI. Ретроспективный анализ. 7. Взаимодействие с ИТ и персоналом
  • 11. А оно вам надо? • Крупной организации точно ДА • Небольшая организация: • Мало сотрудников в ИБ? • Отдел из одного начальника? • К вам точно полезут? • У вас вообще про ИБ слышали? • Есть ли деньги?
  • 12. Как выбирать? Небольшая организация: • аутсорсинг / blackbox, ну ладно • работа с русской локалью • оперативность поддержки • стоимость Крупная организация: • FUCK the blackbox! No magic and unicorns • работа с русской локалью • детект sandbox evasion • индикаторы (IoC) • доступ в Интернет • интеграция с SIEM, IDS/IPS, FW • полная настраиваемость: - кастомный образ - API
  • 13. Как из четырёх букв сложить СЧАСТЬЕ Заменить нельзя, но костыли поставить вполне: • Нет денег или не технарь? Стройте процессы информационной безопасности и ИТ (сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) • Огораживание (deny all except) • Обратите внимание на AppLocker, EMET • Обязательно защищайте VIP-пользователей Пишите сами (malware sandbox из говна и палок): https://isc.sans.edu/forums/diary/Are+you+looking+to+setup+your+own+Malware+Sandbox/20443/