More Related Content
What's hot (20)
Viewers also liked (11)
Similar to Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti Targeted Attack Platform - специализированное решение для противодействия целенаправленным атакам и передовым угрозам информационной безопасности" (20)
More from Expolink (20)
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti Targeted Attack Platform - специализированное решение для противодействия целенаправленным атакам и передовым угрозам информационной безопасности"
- 1. KASPERSKY ANTI TARGETED ATTACK PLATFORM - СПЕЦИАЛИЗИРОВАННОЕ РЕШЕНИЕ ДЛЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕНАПРАВЛЕННЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 2016
- 2. 1% атак ТРАДИЦИОННЫЕ СРЕДСТВА ЗАЩИТЫ Антивирус Межсетевые экраны IDS/IPS Защита данных Почтовые и веб-шлюзы Требуют нового подхода Целевые атаки Неизвестные угрозы «Случайные» атаки 99% 1% Enterprise Security. Powered by Kaspersky Lab.
- 4. РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ Скомпрометирован контроллер домена сети банкоматов На банкоматы установлены «USB-сниферы» Сниферы собирают информацию о карточках клиентов Информация монетизируются через другие банки Основная IT-сеть и сетевой периметр не содержит следов атаки
- 5. РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ Анализ инструментов: загрузка на VirusTotal из нескольких сетей Один из источников: крупный телеком-провайдер Анализ OSINT: незащищенные маршрутизаторы телекома на периметре банка Совместный анализ инцидента Источник атаки – магистраль MPLS подрядчика-телекома
- 6. ТЕХНИКИ ТАКТИКИ И ПРОЦЕДУРЫ Не обязательно быть целью, чтобы быть жертвой Атаки на подрядчиков Атаки на инфраструктуры банков В дополнение к атакам на клиентов Сложная монетизация Metel Carbanak и другие…
- 9. РЕЗУЛЬТАТЫ РАССЛЕДОВАНИЯ Более 500 станций под контролем злоумышленников Проникновение произошло более 6 месяцев назад Доступ был перепродан на черном рынке Шифрование – ошибка оператора
- 10. ТЕХНИКИ ТАКТИКИ И ПРОЦЕДУРЫ Обработка результатов массовых атак Выбор «вкусных» целей Черный рынок Несанкционированный доступ Инсайдеры Пароли Уничтожение данных и блокирование доступа Black Energy Saudi Aramco и другие…
- 12. АНАЛИЗ ЗАЩИЩЕННОСТИ Резервная копия web-сервера на ftp-сервере подрядчика Пароли web-сервера подходят к VPN Сенсоры системы пожаротушения в корпоративной сети Система управления пожаротушением в технологической сети Полный доступ к SCADA и PLC из Интернета за 3 дня
- 13. ЦЕЛЕВЫЕ АТАКИ: УЖЕ ПОВСЕДНЕВНОСТЬ DuquStuxnet miniFlame Flame Gauss Icefog Winnti NetTraveler Miniduke Epic Turla Energetic Bear / Crouching Yeti RedOctober CosmicDuke Darkhotel Careto / The Mask Regin 2010 2011 2012 2013 2014 CozyDuke Carbanak Desert Falcons Equation Naikon Hellsing 2015 TeamSpy Duqu 2.0 Animal Farm Kimsuky
- 14. ЦЕЛЕВЫЕ АТАКИ: УЖЕ ПОВСЕДНЕВНОСТЬ Криминальные группы и государственные организации Региональные и нишевые атаки: Банки Кража денег, персональных данных Государственные органы Шпионаж Производство Промышленный шпионаж Телеком Доступ к биллингу, системам самообслуживания Медиа Электронная почта, новостные порталы
- 15. ПОДХОД ЛАБОРАТОРИИ КАСПЕРСКОГО НА ОСНОВЕ ЭСКПЕРТНЫХ ЗНАНИЙ О КИБЕРУГРОЗАХ ПРОГНОЗИРОВАТЬ ЛИКВИДИРОВАТЬ ПОСЛЕДСТВИЯ • Расследование инцидентов • Цифровая криминалистика • Анализ вредоносного ПО • Разведка киберугроз • Отчеты о киберугрозах • Анализ защищенности • Анализ кибербезопасности индустриальных систем • Выявление целенаправленных атак • Потоки данных об угрозах • Экспертный мониторинг ОБНАРУЖИВАТЬ ПРЕДОТВРАЩАТЬ • Устранение уязвимостей • Средства защиты узла и сети • Обучение сотрудников
- 16. «ЗНАЙ СВОЕГО ВРАГА, ЗНАЙ САМОГО СЕБЯ, И ПОБЕДА БУДЕТ НЕИЗБЕЖНА» Разведка киберугроз, это знания о противниках, их мотивации, намереньях, которые собраны, проанализированы и распространены способами, помогающими сотрудниками ИБ и бизнес-подразделений на всех уровнях защищать критически важные активы предприятия.* https://www.gartner.com/doc/2487216/definition-threat-intelligence*www.isightpartners.com Threat Intelligence: Разведка киберугроз
- 17. ОТЧЕТЫ О УГРОЗАХ APT Раннее предупреждение целевых атаках Детальное описание атак Используемые техники и процедуры Дополнительные артефакты Индикаторы компрометации Open IOC/yara/STIX Month Report Feb Animal farm private report March EquationDrug IOC’s March Hawkeye March Gloog waterholering campaign April Dyre private report May Sofacy 0-day June Naikon private report June Sofacy AZZY backdoor June Duqu 2 private report July Wild July Blue August
- 18. ОБУЧЕНИЕ В ОБЛАСТИ ИБ Интерактивная платформа Экспертные курсы Цифровая криминалистика Анализ ВПО Расследование инцидентов
- 19. АНАЛИЗ ЗАЩИЩЕННОСТИ Анализ защищенности инфраструктур Технологический аудит Тест на проникновение Анализ защищенности приложений Веб-порталы Шлюзы интеграции Приложения собственной разработки АСУ ТП: SCADA/PLC/MES Технологические сети телеком: Core telecom network Платежные системы: ATM/POS/eBank/Core Banking Systems
- 20. ВЫЯВЛЕНИЕ АТАК Потоки данных об угрозах Malicious, Phishing, C&C URLs Mobile/Desktop malware hashes Интеграция со средствами защиты • ArcSight • QRadar • Splunk
- 21. KASPERSKY ANTI TARGETED ATTACK PLATFORM Песочница SB Activity Logs Pcaps, Sys-log Консоль администрат Инцидент Офицер ИБ Группа реагирования Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз SIEM SOC Verdicts DB
- 22. СЕРВИСЫ РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ Анализ вредоносного ПО Цифровая криминалистика Реагирование на инциденты Выявление целевых атак
- 23. СПАСИБО! Стратегические решения в сфере IT-безопасности !СПАСИБО
Editor's Notes
- #23: Different groups of customers require different part of our knowledge Different level of security experience (STIX IoC is useless for home user) Different level of confidence (cybercrime act investigation can’t be published)