Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Тренды, проблематика и стратегия
противодействия целевым атакам
Борис Шалопин
Региональный представитель по УрФО, Пермском...
Современные
целенаправленные атаки
Тенденции и ландшафт угроз
Иденчиные тактики и методы могут повлечь за собой абсолютно разный
результат в зависимости от отрасли
ROI: “1” инцидент может покрыть внедрение анти-APT
Классические решения
Antivirus, Endpoint Security
Firewall, Access cont...
Оценить масштаб угрозы
Прямые
потери
Последующие
траты
IT-консалтинг
Аудиторы
PR-активности
Судебные траты
Потеря
прибыли ...
Статистика потерь за 2016 год от инцидентов ИБ
$126K
$116K
$106K
$92K
$91K
$86K
$119K
$79K
$77K
Дополнительные траты к ЗП
...
ROI: “1” инцидент может покрыть внедрение анти-APT
Enterprises
SMBs
Средний размер потерь от целевых атак
$1,54M
$84к
Ente...
Целенаправленные атаки
Что это…
Типовое развитие целенаправленной атаки
НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ
РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ
ПОДГОТОВКА
ЦЕЛЕВАЯ АТАКА МОЖЕ...
В теории… довольно линейное развитие:
Развитие целенаправленной атаки:
Теория и Реальность
Тестирование Проникновение Закр...
Тестирование
Инцидент
Распространение 1 –
Email
Проникновение 2 – Зараженная ссылка
В реальности… сложно и нелинейно:
Расп...
Выводы при построении передовой корпоративной безопасности
Большинство «передовых» атак основаны на базовых уязвимостях
Во...
Адаптивная стратегия
корпоративной безопасности
Подход «Лаборатории Касперского»
ЗАДАЧА – ОБЬЕДИНИТЬ СОБЫТИЯ РАЗНОРОДНЫХ
СИСТЕМ В ЕДИНУЮ КАРТИНУ… ВРУЧНУЮ НЕ РЕШАЕМА!
…ОСОБЕННО С УЧЕТОМ НАЛИЧИЯ ПОСТОЯННОЙ...
15
В РЕЗУЛЬТАТЕ ОРГАНИЗАЦИИ ПРИХОДЯТ К ИДЕОЛОГИИ
ПОСТРОЕНИЯ ЦЕНТРА МОНИТОРИНГА ИБ (SOC)
ВЫЯВЛЕНИЕ
16
С ВЫДЕЛЕННОЙ СЛУЖБОЙ МОНИТОРИНГА И АНАЛИЗА
КОРРЕЛЯЦИЯ
17
НЕДОСТАТКИ ТРАДИЦИОННОГО ПОДХОДА ДЛЯ
ЦЕНТРА МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC)
ТРАДИЦИОННЫЙ
РЕАКТИВНЫЙ
ПОДХОД
НЕТ СТРАТЕГИЧ...
18
НЕПРОРАБОТАННОСТЬ ПРОЦЕССОВ РЕАГИРОВАНИЯ –
НЕДОСТАТОК БОЛЬШИНСТВА ТРАДИЦИННЫХ SOC
ВЫЯВЛЕНИЕРЕАГИРОВАНИЕ
ЗРЕЛЫЙ ПРОЦЕСС РЕАГИРОВАНИЯ НА ОСНОВЕ
УПРАВЛЕНИЯ РИСКАМИ И РАССЛЕДОВАНИЯ
Решение ИБ
Threat Hunting Расследование
Внешний и...
Адаптивная стратегия ИБ для развития
процессов и повышения эффективности
традиционных центров мониторинга (SOC)
21
Развитый центр мониторинга ИБ должен быть
интеллектуальным
INTELLIGENCE-DRIVEN
АНАЛИТИКА ИБ ПЛАНЫ И ПРОЦЕССЫ
РЕАГИРОВАН...
Адпативная модель организации ИБ от Gartner
Эволюция ожиданий бизнеса
Текущий размер инвестиций:
80% на превентивные технологии / 20% на
обнаружение, реагирование и
п...
Вот уже два года на самом дне интернета расцветает необычный вид черного рынка.
В мае 2016 г. мы насчитали
на площадке 70 624
серверов, выставленных на
продажу, от 416 разных
продавцов из 173 стран.
26
Upcoming SlideShare
Loading in …5
×

Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия противодействия целевым атакам"

70 views

Published on

CIO-Конгресс "Уральские самоцветы 2017". Екатеринбург

Published in: Software
  • Be the first to comment

  • Be the first to like this

Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия противодействия целевым атакам"

  1. 1. Тренды, проблематика и стратегия противодействия целевым атакам Борис Шалопин Региональный представитель по УрФО, Пермскому краю, Омской области и Удмуртской Республике Лаборатория Касперского
  2. 2. Современные целенаправленные атаки Тенденции и ландшафт угроз
  3. 3. Иденчиные тактики и методы могут повлечь за собой абсолютно разный результат в зависимости от отрасли
  4. 4. ROI: “1” инцидент может покрыть внедрение анти-APT Классические решения Antivirus, Endpoint Security Firewall, Access control IDS/IPS Data leakage protection Web/mail gateway Нужна новая защита? Непонятно, но ОЧЕНЬ страшно и ОПАСНО Unknown Threats Known Threats 99% 1% … зачем инвестировать, если компания может никогда не стать целью? …
  5. 5. Оценить масштаб угрозы Прямые потери Последующие траты IT-консалтинг Аудиторы PR-активности Судебные траты Потеря прибыли во время простоя Потеря данных, обман и тд. Чтобы не повторилось вновь Закрытие уязвимостей Покупка решений безопасности (DB protection, Endpoint, PIM, SIEM..) Замена «плохой» системы Наём специалистов (ручное обнаружение) Пересмотр бизнес процессов (новые роли) Повышение осведомленности сотрудников Повышение экспертизы службы ИБ Простои Возможности Восстановление Training Staffing Systems + + + + ERROR
  6. 6. Статистика потерь за 2016 год от инцидентов ИБ $126K $116K $106K $92K $91K $86K $119K $79K $77K Дополнительные траты к ЗП Ущерб рейтингам Потерянный возможности Компенсации Пиар коммуникации Аутсорс квалифицированных экспертов Развитие ИТ систем и защиты Обучения Привлечение новых сотрудников $14K $13K $11K $9K $8K $8K $10K $7K $7K Дополнительные траты к ЗП Потерянный возможности Аутсорс квалифицированных экспертов Ущерб рейтингам Пиар коммуникации Компенсации Развитие ИТ систем и защиты Обучения Привлечение новых сотрудников SMB Крупные компании Перераспредленеие трудозатрат ИТ и ИБ служб крупнейшая часть затрат по результату выявленного инцидента Base: 926 SMBs/ 590 Enterprises Suffering At Least One Data Breach Средний ущерб: $86.5k Средний ущерб: $891k Results from Kaspersky Lab’s Corporate IT Security Risks Survey 2016, conducted worldwide by Kaspersky Lab
  7. 7. ROI: “1” инцидент может покрыть внедрение анти-APT Enterprises SMBs Средний размер потерь от целевых атак $1,54M $84к Enterprises SMBs Средний размер проекта анти-APT ~$300 - 500k $50-100к
  8. 8. Целенаправленные атаки Что это…
  9. 9. Типовое развитие целенаправленной атаки НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ ПОДГОТОВКА ЦЕЛЕВАЯ АТАКА МОЖЕТ ДЛИТЬСЯ МЕСЯЦЫ… И ГОДАМИ ОСТАВАТЬТСЯ НЕОБНАРУЖЕННОЙ • кража идентификационных данных • повышение привилегий • налаживание связей • легитимизация действий • получение контроля • использование слабых мест • проникновение внутрь инфраструктуры • анализ цели • подготовка стратегии • создание/покупка тулсета • доступ к информации • воздействие на бизнес процессы • сокрытие следов • тихий уход
  10. 10. В теории… довольно линейное развитие: Развитие целенаправленной атаки: Теория и Реальность Тестирование Проникновение Закрепление Исполнение Инцидент
  11. 11. Тестирование Инцидент Распространение 1 – Email Проникновение 2 – Зараженная ссылка В реальности… сложно и нелинейно: Распространение 2 – По сети Проникновение 1 – Эксплойт во вложении почты Исполнение – Локальное Удаленное – Исполнение Развитие целенаправленной атаки: Теория и Реальность
  12. 12. Выводы при построении передовой корпоративной безопасности Большинство «передовых» атак основаны на базовых уязвимостях Возможности обнаружить и отреагировать гораздо важнее блокирования и предотвращения «Реагирование на скоррелированные инциденты" даёт ложное чувство безопасности Защита от передовых угроз должна быть эшелонированно интегрированной, а не «кусочной» Мониторинг данных и аналитика должны быть базисом для любого next-gen решения по обеспечению ИБ Автоматизация – это «порочный путь» при защите от ручных действий злоумышленников. Необходима комплексная стратегия защиты
  13. 13. Адаптивная стратегия корпоративной безопасности Подход «Лаборатории Касперского»
  14. 14. ЗАДАЧА – ОБЬЕДИНИТЬ СОБЫТИЯ РАЗНОРОДНЫХ СИСТЕМ В ЕДИНУЮ КАРТИНУ… ВРУЧНУЮ НЕ РЕШАЕМА! …ОСОБЕННО С УЧЕТОМ НАЛИЧИЯ ПОСТОЯННОЙ ЗАГРУЗКИ СЛУЖБЫ ИБ И БЕЗ ЭТОГО.
  15. 15. 15 В РЕЗУЛЬТАТЕ ОРГАНИЗАЦИИ ПРИХОДЯТ К ИДЕОЛОГИИ ПОСТРОЕНИЯ ЦЕНТРА МОНИТОРИНГА ИБ (SOC) ВЫЯВЛЕНИЕ
  16. 16. 16 С ВЫДЕЛЕННОЙ СЛУЖБОЙ МОНИТОРИНГА И АНАЛИЗА КОРРЕЛЯЦИЯ
  17. 17. 17 НЕДОСТАТКИ ТРАДИЦИОННОГО ПОДХОДА ДЛЯ ЦЕНТРА МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC) ТРАДИЦИОННЫЙ РЕАКТИВНЫЙ ПОДХОД НЕТ СТРАТЕГИЧЕСКОГО ПЛАНИРОВАНИЯ НЕЭФФЕКТИВНАЯ ПРИОРИТЕЗАЦИЯ ИНЦИДЕНТОВ НЕХВАТКА ЭКСПЕРТИЗЫ Сбор Логов Агрегация и корреляция событий Процесс на базе задач (тикетинг) Отчетнось ЦЕНТР МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC) Неструктурированные/неунифицированные процессы
  18. 18. 18 НЕПРОРАБОТАННОСТЬ ПРОЦЕССОВ РЕАГИРОВАНИЯ – НЕДОСТАТОК БОЛЬШИНСТВА ТРАДИЦИННЫХ SOC ВЫЯВЛЕНИЕРЕАГИРОВАНИЕ
  19. 19. ЗРЕЛЫЙ ПРОЦЕСС РЕАГИРОВАНИЯ НА ОСНОВЕ УПРАВЛЕНИЯ РИСКАМИ И РАССЛЕДОВАНИЯ Решение ИБ Threat Hunting Расследование Внешний источник информации об угрозах (Threat Intelligence) Дополнительные данные для анализа Уровень риска? Инцидент Реагирование Actionable Intelligence ВЫСОКИЙ НИЗКИЙ Security Policies Improvement Быстрое восстановление Full Incident Response RemediationForensics
  20. 20. Адаптивная стратегия ИБ для развития процессов и повышения эффективности традиционных центров мониторинга (SOC)
  21. 21. 21 Развитый центр мониторинга ИБ должен быть интеллектуальным INTELLIGENCE-DRIVEN АНАЛИТИКА ИБ ПЛАНЫ И ПРОЦЕССЫ РЕАГИРОВАНИЯ ПОСТОЯННОЕ РАЗВИТИЕ АВТОМАТИЗАЦИЯ СКВОЗНЫХ ОПЕРАЦИЙ Threat Intelligence Сбор даных и контекста Тикетинг Отчетность КОМПЛЕКСНЫЕ ЗАДАЧИ РАЗВИТОГО SOC ПРОГНОЗИРОВАНИЕ Threat Hunting Управление знаниями Исследования угроз Корреляция логов ПРЕДОТВРАЩЕНИЕ ОБНАРУЖЕНИЕ РЕАГИРОВАНИЕ
  22. 22. Адпативная модель организации ИБ от Gartner
  23. 23. Эволюция ожиданий бизнеса Текущий размер инвестиций: 80% на превентивные технологии / 20% на обнаружение, реагирование и прогнозирование (Крупные компании: 90%/10%) Планы опрошенных заказчиков на ближайшие 3 года: 40% / 60% Основано на опросе, проведенном «Лабораторией Касперского» в ноябре 2015 года среди свыше 6700 компаний по всему миру 80 20 СЕГОДНЯ 40 60 В БУДУЩЕМ
  24. 24. Вот уже два года на самом дне интернета расцветает необычный вид черного рынка.
  25. 25. В мае 2016 г. мы насчитали на площадке 70 624 серверов, выставленных на продажу, от 416 разных продавцов из 173 стран.
  26. 26. 26

×