2. НОВЫЕ ВЫЗОВЫ И УГРОЗЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Усложнение ИТ-инфраструктуры
Защита периметра – не панацея
Снижение стоимости атак
Рост нетехнических способов атак
Атаки на SMB-компании и через 3-ю сторону
Атака остается необнаруженной долгое
время
#CODEIB
3. 53% организаций потеряли
конфиденциальные данные
$112K - средняя стоимость
утечки данных в SMB секторе
$2M - средняя стоимость
утечки в Enterprise секторе
ВНЕШНИЕ
УГРОЗЫ
#CODEIB
4. ЛАНДШАФТ УГРОЗ ГЛАЗАМИ ЗАКАЗЧИКА
Классические решения
Endpoint Protection
Firewall, IDS/IPS
Access Control
DLP
Web/mail gateway
Нужна новая защита?
APT: непонятно,
но очень опасно
Неизвестные
угрозы
Известные угрозы
99%
Менее
1% Зачем инвестировать,
если компания может никогда не стать
целью?
…
#CODEIB
5. >200 дней
Подготовка
Поиск цели
Создание стратегии
Подготовка инструментов
Расширение влияния
Получение полномочий
Кража паролей
Распространение заражения
ЦЕЛЕВАЯ АТАКА КАК ПРОЦЕСС
Проникновение
Использование уязвимостей
Проникновение за периметр
Эксплуатация
Кража данных
Сокрытие следов
Удаление улик
Создание черного хода
#CODEIB
6. УЩЕРБ В СЛУЧАЕ РЕАЛИЗАЦИИ УГРОЗЫ
Простои
Прямые
потери
Последующие
траты
Упущенные
возможности
Восстановле-
ние
ИТ/ИБ-консалтинг
PR-активность
Судебные издержки
Потеря прибыли
во время простоя
Потеря данных
Потеря репутации
Обучение
Персонал
Системы
Чтобы инцидент
не повторился
Закрытие уязвимостей
Переконфигурирование систем
Покупка решений по
безопасности
Наём специалистов
Пересмотр бизнес-процессов
Повышение осведомленности
сотрудников
Повышение экспертизы службы
ИБ
#CODEIB
7. ЭТАПЫ РЕАЛИЗАЦИИ ЦЕЛЕВОЙ АТАКИ
Сбор
информации
о цели в
открытых
источниках,
социальных
сетях и
другими
способами
Подготовка и
создание
инструментов
,
необходимы
х для атаки.
Например,
эксплойта и
трояна для
удаленного
доступа
Отправка
вредоносного
пакета
будущей
жертве по
почте или
другим
способом.
Использован
ие
социальной
инженерии
Эксплуатация
уязвимости,
т.е.
фактическое
исполнение
эксплойта
Установка
вредоносного
ПО (RAT
трояна)
Создание
канала для
дистанционн
ого
управления
внутренними
активами
Выполнение
шагов для
достижения
целей атаки:
кражи
данных,
саботажа и
т.д.
Reconnaissanc
e
Actionson
Objectives
Com
m
and
&
Control
Installation
W
eaponizatio
n
Delivery
Exploitation
Перед компрометацией Компрометация После компрометации
Растет вероятность успешной атаки, увеличиваются затраты на восстановление
#CODEIB
8. МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ
РЕАГИРОВАНИЕ
ПРОГНОЗИРОВАНИ
Е
ПРЕДОТВРАЩЕНИЕ
ОБНАРУЖЕНИЕ
Управление уязвимостями
Анализ потенциальных целей
атакующего
Планирование развития
стратегии защиты
Оперативное реагирование на
инциденты
Расследование:
• реконструкция атак
• поиск затронутых активов
Выявление попыток и фактов
существующего проникновения
Подтверждение и приоритезация
событий
Снижение рисков проникновения
Повышение безопасности систем
и процессов
#CODEIB
9. KASPERSKY ANTI TARGETED ATTACK
СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ
АТАКАМ
Виталий Федоров
Инженер предпродажной поддержки
#CODEIB
10. KASPERSKY ANTI TARGETED ATTACK
10Kaspersky Anti Targeted Attack
I nt er net
Lapt op PC
PC
Ser ver
Emai
l
Net wor k
Sensor s
Endpoi n
t
Sensor s
Advanced
Sandbox
SB Act i vi t y
Logs
Pcaps, Sys-
l og
Anal yst
consol e
I nci d
ent
al er t
s
Secur i t y
Of f i cer
I nci dent s
For ensi c
Team
Anal ysi s Cent er
SIEM SOC
network traffic
suspicious objects
host network activity
Ver di ct s DB
#CODEIB
20. Сетевые сенсоры
Интеграция с сетевым оборудованием
Интеграция с прокси серверами
Почтовые сенсоры
Сбор почты с серверов
Мониторинг конечных станций
СБОР ИНФОРМАЦИИ
Kaspersky Anti Targeted Attack 20#CODEIB
21. Поиск аномалий
Статистическая модель
Машинное обучение
Репутационная информация
Корреляция данных с агентов
Сопоставление различных событий
Использование экспертизы
АНАЛИЗ ДАННЫХ: СТАТИСТИКА
Kaspersky Anti Targeted Attack 21#CODEIB
22. Технологическая основа
Основана на внутреннем проекте компании
Больше 10 лет успешного использования
Поддержка платформ
Windows XP
Windows 7 x32
Windows 7 x64
Технология защиты от обхода Sandbox
АНАЛИЗ ДАННЫХ: ОБЪЕКТЫ
Kaspersky Anti Targeted Attack 22#CODEIB
23. Поддержка KSN/KPSN
Репутация файлов
Репутация сайтов/доменов
Известные центры управления
История доменов
Шаблоны поведения
АНАЛИЗ ДАННЫХ: МНЕНИЕ БОЛЬШИНСТВА
Kaspersky Anti Targeted Attack 23#CODEIB
24. Мониторинг в реальном времени
Настраиваемые фильтры
Цепочки событий
Интеграция с SIEM -> SOC
ВЕРДИКТ: ПРЕДСТАВЛЕНИЕ И РАССЛЕДОВАНИЕ
Kaspersky Anti Targeted Attack 24#CODEIB
25. Экспертные сервисы
Объединенные с продуктом: поиск
целевых атак; расследование инцидентов
Дополнительно: анализ защищенности,
информирование об угрозах, тренинги по
безопасности
РЕАГИРОВАНИЕ: НЕОБХОДИМА ЭКСПЕРТИЗА
Kaspersky Anti Targeted Attack 25#CODEIB
26. НАШИ ИССЛЕДОВАНИЯ
Kaspersky Anti Targeted Attack
• Лаборатория Касперского ежедневно
обрабатывает 310 тысяч новых вредоносных
файлов
• Наиболее редкие, сложные и опасные
киберугрозы попадают в зону пристального
внимания экспертов из Глобального центра
исследований и анализа угроз (GReAT)
• Если появляется информация о новой
вредоносной кампании, то организация, которая
ее раскрыла, скорее всего будет Лабораторией
Касперского
#CODEIB
27. TROJAN-SPY.WIN32.LURK
Запускается из памяти
Не оставляет следов исполняемого кода на
диске
60 тыс ботов
Цели: СМИ, Телекомы, Банки
Похищено более 1.7 млрд руб
Kaspersky Anti Targeted Attack #CODEIB
29. ЗАДЕРЖАНИЕ БАНДЫ LURK
Спецоперация в 15 субъектах РФ
Одновременно 86 обысков
Задержано 50 участников
группировки
Кражу более 2,2 млрд удалось
предотвратить
Kaspersky Anti Targeted Attack #CODEIB