Конференция "Код ИБ 2016". Новосибирск

1. Kaspersky Anti Targeted Attack platform
СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ
АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ

2. ТРЕНДЫ И ПРОБЛЕМАТИКА

3. ТЕНДЕНЦИИ КОРПОРАТИВНОЙ ИБ НА 2016
Большинство передовых
угроз строятся на базовых
техниках и методах
социальной инженерии
Существенное снижение
затрат и массовый рост
предложений
(Кибератака-Как-Сервис)
Недостаток оперативной
информации в виду
динамического усложнения
ИТ инфраструктуры
Резкий спад
эффективности
периметровой защиты
Рост количества атак на
поставщиков, 3-их лиц и
небольшие компании (SMB)
В среднем целевая атака с
момента её появления
остается необнаруженной
более 214 дней
#CODEIB

4. КАК МНОГИЕ ВИДЯТ ЛАНДШАФТ УГРОЗ ДЛЯ СЕБЯ…
4
Классические решения
Antivirus, Endpoint Security
Firewall, Access control
IDS/IPS
Data leakage protection
Web/mail gateway
Нужна новая защита?
Непонятно,
но ОЧЕНЬ
страшно и
ОПАСНО
Unknown Threats
Known Threats
99%
1%
… зачем инвестировать, если компания может
никогда не стать целью?
…
#CODEIB

5. РИСК ОТ ЦЕЛЕВЫХ АТАК И ВОЗВРАТ ИНВЕСТИЦИЙ
5
29%
70%
1%
Known
Threats
Unknown
Threats
Advanced
Threats
Targeted
Attacks
APT
Enterprises
SMBs
Средний размер потерь от целевых атак
$2,54M
$84к
#CODEIB

6. ОТ ЧЕГО ЖЕ ЗАЩИЩАТЬСЯ…
6
APT – это комбинация утилит,
передового вредоносного ПО,
уязвимостей нулевого дня и тд.
Целевая атака –
это непрерывный процесс
несанкционированной
активности в инфраструктуре
«цели» удаленно управляемый в
реальном времени вручную
#CODEIB

7. ТИПОВОЕ РАЗВИТИЕ ЦЕЛЕВОЙ АТАКИ
7
НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ
РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ
ПОДГОТОВКА
ЦЕЛЕВАЯ АТАКА
МОЖЕТ ДЛИТЬСЯ
МЕСЯЦЫ… И
ГОДАМИ
ОСТАВАТЬТСЯ
НЕОБНАРУЖЕННОЙ
• кража идентификационных
данных
• повышение привилегий
• налаживание связей
• легитимизация действий
• получение контроля
• использование слабых мест
• проникновение внутрь
инфраструктуры
• анализ цели
• подготовка стратегии
• создание/покупка тулсета
• доступ к информации
• воздействие на бизнес
процессы
• сокрытие следов
• тихий уход
#CODEIB

8. КАК ПРАВИЛЬНО ОЦЕНИТЬ МАСШТАБ УГРОЗЫ
8
Простои
Прямые
потери
Последующие
траты
Потерянные
возможности
Восстановле-
ние
IT-консалтинг
Аудиторы
PR-активности
Судебные траты
Потеря
прибыли во
время простоя
Потеря данных,
обман и тд.
Обучение
Персонал
Системы
Чтобы не
повторилось
вновь
Закрытие уязвимостей
Покупка решений безопасности
(DB protection, Endpoint, PIM,
SIEM..)
Замена «плохой» системы
Наём специалистов (ручное обнаружение)
Пересмотр бизнес процессов (новые роли)
Повышение осведомленности сотрудников
Повышение экспертизы службы ИБ
#CODEIB

9. ОЖИДАНИЯ БИЗНЕСА: РАСШИРЕНИЕ ИНВЕСТИЦИЙ ВНЕ
ПРОТИВОДЕЙСТВИЯ
• Текущий размер инвестиций: 80% на
превентивные технологии / 20% на
обнаружение, реагирование и
прогнозирование
(Крупные компании: 90%/10%)
• Планы опрошенных заказчиков на
ближайшие 3 года: 40% / 60%
• Основано на опросе проведенном
Лабораторией Касперского в ноябре
2015 года. Более 6700 компаний
опрошенных по миру.
80 20
СЕГОДНЯ
40 60
В БУДУЩЕМ
#CODEIB

10. СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ
ЦЕЛЕНАПРАВЛЕННЫМ АТАКАМ И ПЕРЕДОВЫМ
УГРОЗАМ

11. 11
ПРЕДОТВРАЩЕНИЕ
ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ
ПРОГНОЗИРОВАНИЕ
АДАПТИВНАЯ МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ ПЕРЕДОВЫМ УГРОЗАМ ИБ
Управление уязвимостями
Анализ потенциальных целей
атакующего
Планирование развития стратегии
защиты
Оперативное реагирование на
инциденты
Расследование:
•реконструкция атак
•поиск затронутых активов
Выявление попыток и фактов
существующего проникновения
Подтверждение и приоритезация
событий
Снижение рисков проникновения
Повышение безопасности систем
и процессов
#CODEIB

12. ПРЕДОТВРАЩЕНИЕ ПРОДВИНУТЫХ
УГРОЗ И СНИЖЕНИЕ РИСКА
ЦЕЛЕНАПРАВЛЕННЫХ АТАК

13. ЦЕЛЕВЫЕ РЕШЕНИЯ ЛК
13
Защита
рабочих мест
Защита
мобильных
устройств
Защита сред
виртуализации
Защита
встроенных
систем
Защита от
DDoS-атак
Защита Дата
Центров
Защита
промышленных
сетей
Противодействие
мошенничеству
#CODEIB

14. ОБУЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
14
Базовый курс обучения вопросам ИБ
•Понимание проблематики и базовые
навыки обеспечения защиты
Практический курс обучения вопросам ИБ
•Понимание тенденций и развитие
ландшафта обеспечения
информационной безопасности
Создать
Работать
#CODEIB

15. ПРЕДОТВРАЩЕНИЕ
15
• Cybersecurity training
• Kaspersky Lab
Enterprise security
solutions
• Cyber safety Games
• Threat simulation
ПОВЫШЕНИЕ
ОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
#CODEIB

16. ПОСТОЯННЫЙ МОНИТОРИНГ ДЛЯ
ОБНАРУЖЕНИЯ ПЕРЕДОВЫХ УГРОЗ И
ЦЕЛЕНАПРАВЛЕННЫХ АТАК

17. ОБНАРУЖЕНИЕ ЦЕЛЕВЫХ АТАК ИМЕЮЩИМИСЯ
СРЕДСТВАМИ
17
• PIM
• DB protection
• Access control
• DLP
• Outbound traffic
behavior
• proxy (MITM)
• NIDS
• IoC
• Mail-proxy
• firewall
• Traffic sensors
• HIDS, EPP
• access logs
• Firewall logs
• Web server logs
• Web-firewall logs
• Brand monitoring
services
• Недостаток компетенции
для корреляции
разнородных событий
• Недостаток знаний о
существующих угрозах
ПОДОЗРИТЕЛЬНЫЕ
АКТИВНОСТИ
ИНЦИДЕНТЫ
ПРОНИКНОВЕНИЙ
ОПОВЕЩЕНИЯ
РЕШЕНИЙ ИБ
ИНДИКАТОРЫ
ПОДГОТОВКИ
#CODEIB

18. ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ СУЩЕСТВУЮЩИХ
РЕШЕНИЙ
18
Оперативная
информация о новых
целевых атаках
Повышение эффективности
существующей SIEM-системы
• Malicious URLs
• Phishing URLs
• Botnet C&C URLs
• Malware Hashes
• Mobile Malware Hashes
• P-SMS Trojan Feed
• Mobile Botnet C&C URLs
Проактивное оповещение
об угрозах безопасности
• Детальная информация как
обнаружить угрозу внутри сети
• Обновление новой информацией по
угрозе со временем
• Подписка на все выявленные
целевые атаки ЛК (Global Targeted
Attacks)
#CODEIB

19. KASPERSKY ANTI TARGETED ATTACK
PLATFORM

20. АРХИТЕКТУРА РЕШЕНИЯ
20
• Сенсоры
• Сетевой
• Web
• Email
• Рабочих
мест
• Processing
engines
• AV engine
• Risk Engine
• Targeted Attack
Analyzer
• Advanced
Sandbox
• Визуализация
• Логи
активностей
• Записи трафика
(Pcaps)
• Syslog
• Сервисы
оперативного
реагирования
экспертами
ЛК
• Обучение
Вердикт РеагированиеАнализСбор данных
#CODEIB

21. • Задача: мониторинг активности корпоративной среды и
сбор объектов для анализа
• Решение: специализированные сенсоры сбора данных:
• Сетевой трафик
• Сессии пользователей (прокси)
• Почтовые сообщения
• Сетевая активность рабочих станций и серверов
СБОР ДАННЫХ: РАБОЧИЕ МЕСТА, СЕТЕВЫЕ АКТИВНОСТИ, WEB И
MAIL
#CODEIB

22. • Задача: корреляция событий и вердиктов
ИБ связанных с целевыми атаками
• Подход:
• Обнаружение аномалий путем анализа
мета-данных
• Корреляция данных сетевого уровня,
рабочих станций и серверов
• Связка разноплановых событий в
единый инцидент или в привязке к
пользователю
АНАЛИЗ ДАННЫХ: АНАЛИЗАТОР ЦЕЛЕВЫХ АТАК
#CODEIB

23. • Задача: выявление вредоносной активности
объектов на основе поведения
• Решения: Передовая Песочница
• На основе внутреннего решения ЛК
• 10-лет разработки и развития
• Поддерживаемые среды
• Windows XP, 7 (32/64)
• Android
АНАЛИЗ ДАННЫХ: ПЕРЕДОВАЯ ПЕСОЧНИЦА
#CODEIB

24. • Задача: получение данных об угрозе из
разнородных источников анализа
• Решение:
• Получение вердиктов анти-вирусного движка
• Шаблоны детектирования на основе
настраиваемых правил (YARA)
• Обнаружение попыток соединения с
известными вредоносными хостами
• Репутационные данные для обнаружения
подозрительного вредоносного ПО и
соединений
АНАЛИЗ ДАННЫХ: ПОЛУЧЕНИЕ РАСШИРЕННОЙ КАРТИНКИ
#CODEIB

25. ВЫНЕСЕНИЕ ВЕРДИКТОВ: ВИЗУАЛИЗАЦИЯ И РАССЛЕДОВАНИЕ
• Задача: представление результатов для удобства
реагирования
• Решение: Консоль визуализации и администрирования
• Мониторинг в реальном-времени
• Поиск по событиям
• Интеграция с SIEM-системами (Event log, Syslog)
#CODEIB

26. ПРОЦЕСС
26
Интернет
Ноутбуки
ПК
Сервера
Почта
Сетевые
сенсоры
Сенсоры
рабочих
мест
Песочница
SB Activity Logs
Pcaps, Sys-log
Консоль
администратора
Инцидент
Офицер
ИБ
Группа
реагировани
я
Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз
Аналитический центр
SIEM SOC
• мета-данные
• подозрительные
объекты
• Сетевая активность
рабочего места
Verdicts DB
#CODEIB

27. KASPERSKY ANTI TARGETED ATTACK PLATFORM
Обнаружение целенаправленных атак и передовых угроз невидимых для традиционных решений
корпоративной безопасности
Мультиуровневый мониторинг корпоративной инфраструктуры
Передовое обнаружение с использованием «песочницы»
Глобальная статистика угроз и экспертиза ЛК
Повышенная видимость для оперативного обнаружения
Оперативное обнаружение целевых атак и передовых угроз
Ретроспективный анализ и расследование
Гибкость установки в сложных и динамических ИТ-
инфраструктурах
#CODEIB

28. ОБУЧЕНИЕ РЕАГИРОВАНИЮ НА ИНЦИДЕНТЫ
28
Incident response training
Обучение правильному построению процесса реагирования –
это ключевая задача эффективного использования ЛЮБОГО
анти-APT решения
Расследовать как
инцидент
произошел
Быстро
восстановить
системы
#CODEIB

29. ОБНАРУЖЕНИЕ
29
• Cybersecurity training
• Kaspersky Lab
Enterprise security
solutions
• Cyber safety Games
• Threat simulation
ПОВЫШЕНИЕ
ОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
• Targeted Attack
Investigation Training
• APT reporting
• Botnet tracking
• Threat data feeds
• Kaspersky Anti Targeted Attack
Platform
РЕШЕНИЕ:
ЛАНДШАФТ
УГРОЗ:
ЭКСПЕРТИЗА:
ОБНАРУЖЕНИЕ
#CODEIB

30. ОПЕРАТИВНОЕ РЕАГИРОВАНИЕ НА
ВЫЯВЛЕННЫЕ ИНЦИДЕНТЫ
ЦЕЛЕНАПРАВЛЕННЫХ АТАК

31. 31
ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ ВЫХОДЯТ НА НОВЫЙ УРОВЕНЬ
Атака целевая или широконаправленная?
Сталкивался в мире кто-то с аналогичным вредоносом или
аномалией?
Как противодействовать заражению пока не выпущена сигнатура?
Как оперативно выявлять неизвестные ранее угрозы?
Как оценить степень опасности аномального ПО?
Как выявить источник заражения и предотвратить повторение?
Как минимизировать ущерб в случае заражения?
Комплексный подход к обеспечению корпоративной защиты требует глобального
мониторинга и глубокой компетенции в киберугрозах для ответа на ключевые
вопросы служб ИБ:
#CODEIB

32. ЭКСПЕРТНАЯ ПОМОЩЬ В РЕАГИРОВАНИИ НА ИНЦИДЕНТЫ
Фазы реагирования
Анализ
вредоносного ПО
Цифровое
расследование
Реагирование на
инциденты
Incident assessment X
Collecting evidence X
Performing forensic analysis X X
Performing malware analysis X X X
Creating a remediation plan X X X
Creating an investigation report
X X X
#CODEIB

33. РЕАГИРОВАНИЕ
33
• Cybersecurity training
• Kaspersky Lab
Enterprise security
solutions
• Cyber safety Games
• Threat simulation
ПОВЫШЕНИЕ
ОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
• Targeted Attack
Investigation Training
• APT reporting
• Botnet tracking
• Threat data feeds
• Kaspersky Anti Targeted Attack
Platform
РЕШЕНИЕ:
ЛАНДШАФТ
УГРОЗ:
ЭКСПЕРТИЗА:
ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ
• Incident response
service
• Malware analysis service
• Digital forensics services
РАССЛЕДОВАНИЕ:
#CODEIB

34. ПОНЯТЬ ТЕКУЩЕЕ СОСТОЯНИИ И
СПРОГНОЗИРОВАТЬ ОТКУДА МОЖЕТ
ПРИЙТИ АТАКА И КУДА НАЦЕЛЕНА

35. ПРЕДУГАДАТЬ И ОЦЕНИТЬ СТОЙКОСТЬ ВОЗМОЖНЫХ
ЦЕЛЕЙ ЗЛОУМЫШЛЕННИКОВ
35
Application
• Эмуляция реальных действий
злоумышленников
• Мы анализируем:
– Various web applications (including
online banking), taking into account
business logic
– Mobile applications
– Applications having fat clients
– Developing tools and software developing
process
– Web applications with an enabled WAF
(to assess its effectiveness)
Проприетарые бизнес приложения –
самая частая цель злоумышленников
Business process automation, data access, business
controls,security controls, data creation, etc
#CODEIB

36. ВЫЯВИТЬ УЯЗВИМЫЕ СЛАБЫЕ МЕСТА
36
…
• Penetration testing Service
– Black/gray box security assessment of internal/external network, system and application
infrastructure*
• Преимущества для заказчиков:
– оценка собственной защиты с позиции
злоумышленника
– достижение е соответствия требованиям стандартов
безопасности (например PCI DSS)
• Сервис дополнительно может включать:
– Анализ поведения и осведомленности сотрудников в
социальных сетях
– оценка беспроводных соединений и точек доступа
– Аудит (white-box) систем с полученными высокими
привилегиями
#CODEIB

37. ПРОАКТИВНОЕ ОБНАРУЖЕНИЕ ЦЕЛЕВОЙ АТАКИ В
СЛУЧАЕ КОГДА НЕТ ИНЦИДЕНТОВ ИБ
37
…
KL Targeted Attack Discovery Service
•Анализ угроз и потенциальных
вариантов атак
•Анализ сетевой активности и
системных артефактов (IoC)
•Сбор доказательств на стороне
заказчика и раннее реагирование
•Анализ доказательств
•Подготовка экспертного отчета
ЦЕЛЕВАЯ АТАКА МОЖЕТ ЗАНИМАТЬ
ГОДЫ И ВООБЩЕ НИКОГДА НЕ БЫТЬ
ОБНАРУЖЕННОЙ
#CODEIB

38. СТРАТЕГИЯ АДАПТИВНОЙ КОРПОРАТИВНОЙ ИБ
38
• Cybersecurity training
• Kaspersky Lab
Enterprise security
solutions
• Cyber safety Games
• Threat simulation
ПОВЫШЕНИЕ
ОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
• Targeted Attack
Investigation Training
• APT reporting
• Botnet tracking
• Threat data feeds
• Kaspersky Anti Targeted Attack
Platform
РЕШЕНИЕ:
ЛАНДШАФТ
УГРОЗ:
ЭКСПЕРТИЗА:
ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ
• Incident response
service
• Malware analysis service
• Digital forensics services
РАССЛЕДОВАНИЕ:
ПРОГНОЗИРОВАНИЕ
• Penetration testing
service
• Security assessment
service
• Targeted Attack
Discovery Service
САМОАНАЛИЗ:
#CODEIB

39. КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА

40. ПРИВАТНАЯ ИНСТАЛЛЯЦИЯ РЕШЕНИЯ
40
Соответствие требованиям регуляторов и стандартам ИБ
Соответствие регуляторам
Стандарты безопасности
Бизнес необходимость
ИТ-требования
Kaspersky Private
Security Network
Основные преимущества KPSN:
•размещение репутационной базы ЛК (полный дамп
данных) внутри защищаемой инфраструктуры
•исключение передачи информации вне контролируемой
сети
•одностороннее получение оперативных обновлений от
KSN
•высокая производительность (сотни тысяч запросов)
•осведомленность в режиме реального времени
Локально размещаемая
версия базы KSN
#CODEIB

41. КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА
41 #CODEIB

42. 42
В ДОЛГОСРОЧНОЙ ПЕРСПЕКТИВЕ
• Интеграция с
существующими
решениями
Лаборатории
Касперского
• Автоматизация
реагирования на
выявленные инциденты
• Новый модуль
решения (EDR)
разработанный для
автоматизации
расследований и
сбора электронных
доказательств
• Аналитическая
платформа для
выявления угроз и
глубокого
расследования
Интеграция Реагирование Аналитика
#CODEIB

43. СПАСИБО!
Kaspersky Lab
www.kaspersky.com