Алексей Новиков, Сотрудник Национального координационного центра по компьютерным инцидентам (НКЦКИ), на примере наиболее заметных инцидентов последнего времени освещает тенденции изменения средств, применяемых злоумышленниками, основные извлеченные уроки и намеченные направления совершенствования процесса реагирования на инциденты.
Подробнее о конференции: https://kas.pr/kicsconf2021
8. Объекты устремлений злоумышленников
Национальный координационный центр
по компьютерным инцидентам 8
Объекты КИИ, объекты промышленности
Информационные ресурсы государственных организаций
«Подрядчики» : интеграторы, поставщики, разработчики ПО
11. Вектора проникновения
Национальный координационный центр
по компьютерным инцидентам 11
Взлом веб-приложений
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
12. Вектора проникновения
Национальный координационный центр
по компьютерным инцидентам 12
Взлом веб-приложений
Фишинговые рассылки
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
13. Вектора проникновения
Национальный координационный центр
по компьютерным инцидентам 13
Взлом веб-приложений
Фишинговые рассылки
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
14. Вектора проникновения
Национальный координационный центр
по компьютерным инцидентам 14
Взлом веб-приложений
Фишинговые рассылки
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
Атаки через подрядчиков
«Обычное» ВПО
16. Логи сетевых взаимодействий
Национальный координационный центр
по компьютерным инцидентам 16
DNS – обязательный минимум
Есть обращение к вредоносному домену с внешнего адреса, надо найти
скомпрометированный объект внутри
17. Логи сетевых взаимодействий
Национальный координационный центр
по компьютерным инцидентам 17
DNS – обязательный минимум
Есть обращение к вредоносному домену с внешнего адреса, надо найти
скомпрометированный объект внутри Готовы 50%
18. Логи сетевых взаимодействий
Национальный координационный центр
по компьютерным инцидентам 18
DNS – обязательный минимум
Есть обращение к вредоносному домену с внешнего адреса, надо найти
скомпрометированный объект внутри Готовы 50%
Сохранение сетевых сессий
Есть обращение к вредоносному IP с внешнего адреса, надо найти
скомпрометированный объект внутри
19. Логи сетевых взаимодействий
Национальный координационный центр
по компьютерным инцидентам 19
DNS – обязательный минимум
Есть обращение к вредоносному домену с внешнего адреса, надо найти
скомпрометированный объект внутри Готовы 50%
Сохранение сетевых сессий
Есть обращение к вредоносному IP с внешнего адреса, надо найти
скомпрометированный объект внутри Готовы 10%
20. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 20
Запись и анализ трафика
- сегментирование сети
- заранее выбранные оптимальные точки записи
- заранее определено чем записывать и чем анализировать
21. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 21
Запись и анализ трафика Реализуют 60%
- сегментирование сети
- заранее выбранные оптимальные точки записи
- заранее определено чем записывать и чем анализировать
22. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 22
Запись и анализ трафика Реализуют 60%
- сегментирование сети
- заранее выбранные оптимальные точки записи
- заранее определено чем записывать и чем анализировать
Инвентаризация
- знаем состав инфраструктуры
- отслеживаем изменения активов
23. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 23
Запись и анализ трафика Реализуют 60%
- сегментирование сети
- заранее выбранные оптимальные точки записи
- заранее определено чем записывать и чем анализировать
Инвентаризация Реализуют 50%
- знаем состав инфраструктуры
- отслеживаем изменения активов
24. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 24
Управление аутентификацией
- регулярная смена паролей
- логирование действий
- возможность централизованной блокировки
25. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 25
Управление аутентификацией Реализуют 70%
- регулярная смена паролей
- логирование действий
- возможность централизованной блокировки
26. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 26
я
Управление аутентификацией Реализуют 70%
- регулярная смена паролей
- логирование действий
- возможность централизованной блокировки
Фиксация состояния
- определена процедура снятия образов
- готовы средства и носители
- определена процедура остановки элементов инфраструктуры
27. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 27
я
Управление аутентификацией Реализуют 70%
- регулярная смена паролей
- логирование действий
- возможность централизованной блокировки
Фиксация состояния Реализуют 30%
- определена процедура снятия образов
- готовы средства и носители
- определена процедура остановки элементов инфраструктуры
28. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 28
Мониторинг ключевых объектов инфраструктуры
устранение последствий инцидента класса АРТ без
мониторинга практически невозможно
29. Подготовка к инциденту
Национальный координационный центр
по компьютерным инцидентам 29
Мониторинг ключевых объектов инфраструктуры
устранение последствий инцидента класса АРТ без
мониторинга практически невозможно
Реализуют 20%
30. Национальный координационный центр
по компьютерным инцидентам 30
Чем раньше выявил - тем меньше потерял
НКЦКИ
Субъекты
ГосСОПКА
Информация о реагировании на компьютерные инциденты
Информация о выявленных компьютерных атаках
Результаты проведения оценки защищенности
Информация о признаках компьютерных инцидентов
Индикаторы вредоносной̆ активности (IOC)
Сведения об угрозах безопасности информации
Методические рекомендации по противодействию угрозам
31. Национальный координационный центр
по компьютерным инцидентам 31
Опыт одних помогает всем
НКЦКИ
Субъекты
ГосСОПКА
Информация о реагировании на компьютерные инциденты
Информация о выявленных компьютерных атаках
Результаты проведения оценки защищенности
Информация о признаках компьютерных инцидентов
Индикаторы вредоносной̆ активности (IOC)
Методические рекомендации по противодействию
угрозам
Сведения об угрозах безопасности информации
32. Проверьте себя
Национальный координационный центр
по компьютерным инцидентам 32
Есть обращение к вредоносному домену с внешнего адреса
вашей организации, например, лог трафика запроса к
вышестоящему DNS-серверу.
Необходимо найти источник запроса внутри
инфраструктуры
Реализуемо? Сколько времени займет?
На какой промежуток времени можно отследить?
33. Проверьте себя
Национальный координационный центр
по компьютерным инцидентам 33
Есть обращение к вредоносному IP-адресу с внешнего
адреса вашей организации, например, трафик сессии
взаимодействия с C&C. Есть время, адреса, порты…
Необходимо найти скомпрометированный объект внутри
инфраструктуры
Реализуемо? Сколько времени займет?
На какой промежуток времени можно отследить?