УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Информзащита. RISSPA. Евгений Климов. "Защита от целевых атак и угроз "нулевого" дня"
1. ЗАЩИТА ОТ ЦЕЛЕВЫХ АТАК
И УГРОЗ «НУЛЕВОГО» ДНЯ
Евгений Климов
ЗАО НИП «Информзащита»
2. ТОЛЬКО ЦИФРЫ
~203 млрд руб.
Ущерб от киберпреступлений
в России в 2015г. составил
~203 млрд руб.**
Источник: Фонд развития интернет-инициатив(ФРИИ),
Microsoft, Group-IB. https://goo.gl/ua9eBe
3. ТОЛЬКО ЦИФРЫ
~104 млрд руб.
Источник: «Федеральные целевые программы России»
http://fcp.economy.gov.ru/cgi-bin/cis/fcp.cgi/Fcp/ViewFcp/View/2016/443
5. АТАКА НА ГОСУДАРСТВЕННЫЕ
ОРГАНИЗАЦИИ РФ
В июле 2016 ФСБ сообщила* об обнаружении ВПО
для кибершпионажа в более чем 20
госорганизациях РФ, включая:
органы государственной власти и
управления
научные и военные учреждения
предприятий оборонно-промышленного
комплекса
иные объекты критически важной
инфраструктуры
Источник: ФСБ РФ
http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10437870%40fsbMessage.html
6. АТАКА НА ГОСОРГАНИЗАЦИИ (PROJECT
SAURON)
Более 30 зараженных госорганизаций в РФ,
Иране, Руанде
Атака проводилась как минимум с 2011г. по
2016г.
Уникальный набор индикаторов
компрометации для каждой жертвы
Кража данных из систем, не подключенных к
Интернет (через USB-флешки)
Кража ключей шифрования СКЗИ,
используемого в госорганизациях РФ
Кража учетных данных, скриншоты экрана,
доступ к микрофону и web-камере – более 50
функциональных плагинов
Источник: «Лаборатория Касперского» https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt/
11. РЕШЕНИЯ ДЛЯ ЗАЩИТЫ ОТ АРТ
«Песочницы»
Анализ «аномалий», «поведенческий» анализ
• Network Behaviour Analysis (NBA)
• User and Entity Behaviour Analysis (UBA/UEBA)
Решения Next-Generation Endpoint Security
12. «ПЕСОЧНИЦЫ»
Возможность не только детектировать, но и блокировать атаку.
Не требует высокой квалификации обслуживающего персонала
Анализ выполняемых операций в безопасной виртуальной среде
Часто в состав решения входит агент для защиты конечных точек (Next-Generation Endpoint Security)
13. «Мониторинг сетевого трафика»
«Поведенческий» анализ сетевого трафика на предмет аномалий, вредоносной активности, атак.
Корреляция с учетом контекста – пользователи, приложения, сервисы
«Архив» сетевого трафика – может быть использован при расследовании инцидентов
LAN Internet
Сенсор
TAP
Netflow
SPAN
14. ТЕСТИРОВАНИЕ «ПЕСОЧНИЦ»
3 вендора
Головной офис крупной телеком-компании
Срок тестирования 1 месяц
На тестирование в «песочницы» попадали только тот трафик, который не был
заблокирован сигнатурными СЗИ
Синтетический тест и тест на реальном Интернет-трафике
18. РЕЗУЛЬТАТЫ ТЕСТА НА ИНТЕРНЕТ-
ТРАФИКЕ
Интернет E-Mail / Web
Gateway
ЛВС Заказчика
1мес 72 шт
Интернет-трафик пользователей в головном офисе крупной телеком-компании.
Срок анализа трафика – 1 месяц
Сигнатурными СЗИ не обнаружено 72 угрозы!
Песочница
19. РЕЗУЛЬТАТЫ ТЕСТА НА РЕАЛЬНОМ
ИНТЕРНЕТ-ТРАФИКЕ
Тип ВПО Количество
Trojan 34
Worm 2
Backdoor 5
Trojan.Downloader 18
Ransomware 2
Spyware 2
Riskware/Adware 7
Web.Exploit 1
Mal/FakeAV-SE 1
Botnet callbacks 25
Итого 72
20. ОБНАРУЖЕННЫЕ ИНЦИДЕНТЫ
(INFOSTEALER.FAREIT)
Fareit – семейство ВПО, первые экземпляры появились в 2012 г.
Функционал:
• кража данных, учетных записей
• удаленное управление
• кейлоггер
Попытки «обойти» песочницу (таймер)
Дополнительный материал: https://goo.gl/SyLc8u
21. ОБНАРУЖЕННЫЕ ИНЦИДЕНТЫ
(TROJAN.ADWIND)
Adwind – платформа ВПО Malware-as-a-Service.
Функционал:
кража данных, учетных записей
снятие скриншотов, запись микрофона и web-камеры
кража ключей для криптовалют
и т.д.
Дополнительный материал: https://goo.gl/HLGNFi
22. КРИТЕРИИ ВЫБОРА «ПЕСОЧНИЦЫ»
Режим блокирования
Защита конечных точек
Перечень эмулируемых ОС (Windows, Android, MacOS)
Отчетность
Возможность и виды интеграции с существующими СЗИ