SlideShare a Scribd company logo

Опыт противодействия целенаправленным атакам в финансовых организациях

S
SelectedPresentations

VII Уральский форум Информационная безопасность банков ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1 Банковский фрод Безкоровайный Денис Игоревич, руководитель направления по работе с финансовыми организациями Trend Micro Источник: http://ural.ib-bank.ru/materials_2015

1 of 21
Download to read offline
Опыт противодействия целенаправленным атакам в финансовых организациях Денис Безкоровайный, CISA, CISSP, CCSK, Аудитор СТО БР ИББС Руководитель направления по работе с финансовыми организациями Trend Micro
Самая большая проблема – это осознать проблему Это просто вирус! Это плохой антиспам! Это глупый пользователь!
Все это борется только с известными угрозами Next-Gen Firewall Системы обнаружения атак (IDS) Системы IPS Антивирус Шлюз Email /Web Известные угрозы Есть средства защиты 3
Традиционную защиту довольно просто обойти Есть средства защиты, но нет защищенности  Разведка и подготовка  Целевой email-фишинг  Неизвестное ВПО  Новые эксплойты  Широкий набор уязвимостей  Динамические C&C-серверы  BYOD ? 4 Next-Gen Firewall Системы обнаружения атак (IDS) Intrusion Prevention (IPS) Антивирус Шлюз Email /Web
Реальные данные по реальным Заказчикам Обследования с Deep Discovery Обнаружено % компаний Известное ВПО 98% Активные ботнеты 94% Банковское ВПО 75% Вредоносные документы 75% ВПО, использующее уязвимости нулевого дня 49% Сетевые атаки 84% ВПО для Android 28%6
Примеры из банка: клиенты ботнетов В некоторых банках «живут» десятки зараженных машин
Примеры из банка: TOR
• Атаки Drive By Download – автоматическая загрузка вредоносного файла на машину пользователя • Подтвержденные вредоносные файлы, скачанные из Интернет на рабочие станции – прошли через веб-шлюз, не детектировались АВ • Использование некоторыми машинами нелегитимных DNS-серверов • Целевой фишинг с вредоносным содержимым – прошли через почтовый-шлюз, не детектировались АВ Confidential | Copyright 2014 TrendMicro Inc. Примеры из банков: прочие признаки атак
Confidential | Copyright 2014 TrendMicro Inc. Примеры из банков: почти всегда 91% атак начинаются с электронной почты
Copyright 2014 Trend Micro Inc. 11 Какую информацию получают наши клиенты  Откуда атака? Куда выводятся данные?  Сколько машин/сотрудников скомпрометированы?  Как давно?  Атака уникальная или просто мой АВ не справился?  Как предотвратить?
Внимание, вопрос! • Какой процент вредоносных программ заражает менее 10 компьютеров? – 99% • Какой процент вредоносных программ заражает только один компьютер? – 80%
Как обнаружить неизвестные угрозы? Продвинутый сетевой анализ Динамический анализ угроз («песочницы») Обработка индикаторов компрометации Корреляция с глобальной базой угроз 13
Продвинутый сетевой анализ 14 DNS SQL P2P HTTP SMTP CIFS FTP … Windows/Mac OS/Mobile – действия атакующего • ошибки аутентификации, нестандартные протоколы • эксплойты • ВПО – вывод данных – коммуникации C&C – выявляются подозрительные файлы для дальнейшего анализа
Динамический анализ угроз (виртуальные «песочницы») 15
Индикаторы компрометации (IoC): – IP адреса, домены – Паттерны в URL – Хеш-суммы файлов – Email адреса – X-Mailer – HTTPUserAgent 16
Корреляция с глобальной базой угроз 17
Отсылают файлы для анализа Web шлюз Интеграция – пример Confidential | Copyright 2014 TrendMicro Inc. Обновления «черных списков» IP/доменов Обновления АВ сигнатур Email шлюз Endpoint защита IPS Trend Micro Deep Discovery Отсылает IoC и обратную связь Коммутатор Сбор трафика для анализа (SPAN) SIEM Endpoint Forensics Другие продукты Отсылает IoC и события
Что дает Trend Micro Deep Discovery? Аналитикам ИБ – инструмент анализа и мониторинга угроз CISO – защита инвестиций в ИБ: возможность по-новой использовать существующие системы защиты, дополнять локальной аналитикой Confidential | Copyright 2014 TrendMicro Inc.
Живет ли в вашей сети слон? Confidential | Copyright 2014 TrendMicro Inc.
Вопросы? 21
Спасибо! DENIS_BEZKOROVAYNY@TRENDMICRO.COM 22

Recommended

Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Классификация мобильных угроз
Классификация мобильных угрозКлассификация мобильных угроз
Классификация мобильных угрозVictor Kartashov
 
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Cisco Russia
 
Увидеть все
Увидеть всеУвидеть все
Увидеть всеCisco Russia
 
ИБ
ИБИБ
ИБmalvvv
 

Recommended

Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Классификация мобильных угроз
Классификация мобильных угрозКлассификация мобильных угроз
Классификация мобильных угрозVictor Kartashov
 
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Cisco Russia
 
Увидеть все
Увидеть всеУвидеть все
Увидеть всеCisco Russia
 
ИБ
ИБИБ
ИБmalvvv
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Dmitry Evteev
 
Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.TCenter500
 
Dr web
Dr webDr web
Dr webBDA
 
Dr web
Dr webDr web
Dr webBDA
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
Backdoors
BackdoorsBackdoors
BackdoorsBoris Kizko
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Security testing presentation
Security testing presentationSecurity testing presentation
Security testing presentationUladzislau Murashka
 
пр общая проблематика Dlp (прозоров)
пр общая проблематика Dlp (прозоров)пр общая проблематика Dlp (прозоров)
пр общая проблематика Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Угрозы
УгрозыУгрозы
Угрозыnavystavke
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАльбина Минуллина
 
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"Expolink
 
Softline. Павел Лего. "Защита от целевых атак"
Softline. Павел Лего. "Защита от целевых атак"Softline. Павел Лего. "Защита от целевых атак"
Softline. Павел Лего. "Защита от целевых атак"Expolink
 
Смарт софт
Смарт софтСмарт софт
Смарт софтAcademspb
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕНРАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕНAndrewaeva
 
Sem 003
Sem 003Sem 003
Sem 003SelectedPresentations
 
Sect r33
Sect r33Sect r33
Sect r33SelectedPresentations
 

More Related Content

What's hot

Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Dmitry Evteev
 
Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.TCenter500
 
Dr web
Dr webDr web
Dr webBDA
 
Dr web
Dr webDr web
Dr webBDA
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...cnpo
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАльбина Минуллина
 
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"Expolink
 
Softline. Павел Лего. "Защита от целевых атак"
Softline. Павел Лего. "Защита от целевых атак"Softline. Павел Лего. "Защита от целевых атак"
Softline. Павел Лего. "Защита от целевых атак"Expolink
 
Смарт софт
Смарт софтСмарт софт
Смарт софтAcademspb
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕНРАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕНAndrewaeva
 

What's hot (20)

Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.
 
Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.Безопасная работа в cети Интернет. Самборская Л.Н.
Безопасная работа в cети Интернет. Самборская Л.Н.
 
Dr web
Dr webDr web
Dr web
 
Dr web
Dr webDr web
Dr web
 
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
Вопросы комплексной защиты информации от программно-аппаратных воздействий в ...
 
Backdoors
BackdoorsBackdoors
Backdoors
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend micro
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend micro
 
Security testing presentation
Security testing presentationSecurity testing presentation
Security testing presentation
 
пр общая проблематика Dlp (прозоров)
пр общая проблематика Dlp (прозоров)пр общая проблематика Dlp (прозоров)
пр общая проблематика Dlp (прозоров)
 
Угрозы
УгрозыУгрозы
Угрозы
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасности
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
 
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"
ESET. Виктор Куратов. "Современные киберугрозы и способы защиты"
 
Softline. Павел Лего. "Защита от целевых атак"
Softline. Павел Лего. "Защита от целевых атак"Softline. Павел Лего. "Защита от целевых атак"
Softline. Павел Лего. "Защита от целевых атак"
 
Смарт софт
Смарт софтСмарт софт
Смарт софт
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕНРАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
РАСПОЗНАВАНИЕ И КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН
 

Viewers also liked

Развитие безопасных технологий в России. Существуют ли возможности импортозам...
Развитие безопасных технологий в России. Существуют ли возможности импортозам...Развитие безопасных технологий в России. Существуют ли возможности импортозам...
Развитие безопасных технологий в России. Существуют ли возможности импортозам...SelectedPresentations
 
Создание национальной системы платежных карт с использованием отечественных HSM
Создание национальной системы платежных карт с использованием отечественных HSMСоздание национальной системы платежных карт с использованием отечественных HSM
Создание национальной системы платежных карт с использованием отечественных HSMSelectedPresentations
 
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияSelectedPresentations
 

Viewers also liked (18)

Sem 003
Sem 003Sem 003
Sem 003
 
Sect r33
Sect r33Sect r33
Sect r33
 
Mbs t17
Mbs t17Mbs t17
Mbs t17
 
Law f43
Law f43Law f43
Law f43
 
Png w21
Png w21Png w21
Png w21
 
Mash t19 a
Mash t19 aMash t19 a
Mash t19 a
 
Png r35 b
Png r35 bPng r35 b
Png r35 b
 
Mash r36 a
Mash r36 aMash r36 a
Mash r36 a
 
Spo1 w23 a-spo1-w23a
Spo1 w23 a-spo1-w23aSpo1 w23 a-spo1-w23a
Spo1 w23 a-spo1-w23a
 
Png f42 b
Png f42 bPng f42 b
Png f42 b
 
Spo2 w22
Spo2 w22Spo2 w22
Spo2 w22
 
Spo2 r33
Spo2 r33Spo2 r33
Spo2 r33
 
Развитие безопасных технологий в России. Существуют ли возможности импортозам...
Развитие безопасных технологий в России. Существуют ли возможности импортозам...Развитие безопасных технологий в России. Существуют ли возможности импортозам...
Развитие безопасных технологий в России. Существуют ли возможности импортозам...
 
Создание национальной системы платежных карт с использованием отечественных HSM
Создание национальной системы платежных карт с использованием отечественных HSMСоздание национальной системы платежных карт с использованием отечественных HSM
Создание национальной системы платежных карт с использованием отечественных HSM
 
Law w23
Law w23Law w23
Law w23
 
Law t17
Law t17Law t17
Law t17
 
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
 
Mash w27 a
Mash w27 aMash w27 a
Mash w27 a
 

Similar to Опыт противодействия целенаправленным атакам в финансовых организациях

Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"Expolink
 
Dr web
Dr webDr web
Dr webBDA
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrimeAleksey Lukatskiy
 
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...DefconRussia
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиCisco Russia
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...Expolink
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Tim Parson
 
Эволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаЭволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаCisco Russia
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети Cisco Russia
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...
Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...
Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...Expolink
 
3 ksb predictions_2017_rus
3 ksb predictions_2017_rus3 ksb predictions_2017_rus
3 ksb predictions_2017_rusAndrey Apuhtin
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Expolink
 

Similar to Опыт противодействия целенаправленным атакам в финансовых организациях (20)

Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
 
Dr web
Dr webDr web
Dr web
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
 
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
 
Эволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаЭволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернета
 
Принципы построения защищенной сети
Принципы построения защищенной сети Принципы построения защищенной сети
Принципы построения защищенной сети
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атак
 
Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...
Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...
Лаборатория Касперского: Внутренние и внешние издержки и их критерии в общей ...
 
3 ksb predictions_2017_rus
3 ksb predictions_2017_rus3 ksb predictions_2017_rus
3 ksb predictions_2017_rus
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
 

More from SelectedPresentations

Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.SelectedPresentations
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваSelectedPresentations
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийSelectedPresentations
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройствSelectedPresentations
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...SelectedPresentations
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиSelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...SelectedPresentations
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхSelectedPresentations
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...SelectedPresentations
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...SelectedPresentations
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...SelectedPresentations
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 

More from SelectedPresentations (20)

Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройства
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройств
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данных
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 
Exp r35
Exp r35Exp r35
Exp r35
 

Опыт противодействия целенаправленным атакам в финансовых организациях

  • 1. Опыт противодействия целенаправленным атакам в финансовых организациях Денис Безкоровайный, CISA, CISSP, CCSK, Аудитор СТО БР ИББС Руководитель направления по работе с финансовыми организациями Trend Micro
  • 2. Самая большая проблема – это осознать проблему Это просто вирус! Это плохой антиспам! Это глупый пользователь!
  • 3. Все это борется только с известными угрозами Next-Gen Firewall Системы обнаружения атак (IDS) Системы IPS Антивирус Шлюз Email /Web Известные угрозы Есть средства защиты 3
  • 4. Традиционную защиту довольно просто обойти Есть средства защиты, но нет защищенности  Разведка и подготовка  Целевой email-фишинг  Неизвестное ВПО  Новые эксплойты  Широкий набор уязвимостей  Динамические C&C-серверы  BYOD ? 4 Next-Gen Firewall Системы обнаружения атак (IDS) Intrusion Prevention (IPS) Антивирус Шлюз Email /Web
  • 5. Реальные данные по реальным Заказчикам Обследования с Deep Discovery Обнаружено % компаний Известное ВПО 98% Активные ботнеты 94% Банковское ВПО 75% Вредоносные документы 75% ВПО, использующее уязвимости нулевого дня 49% Сетевые атаки 84% ВПО для Android 28%6
  • 6. Примеры из банка: клиенты ботнетов В некоторых банках «живут» десятки зараженных машин
  • 8. • Атаки Drive By Download – автоматическая загрузка вредоносного файла на машину пользователя • Подтвержденные вредоносные файлы, скачанные из Интернет на рабочие станции – прошли через веб-шлюз, не детектировались АВ • Использование некоторыми машинами нелегитимных DNS-серверов • Целевой фишинг с вредоносным содержимым – прошли через почтовый-шлюз, не детектировались АВ Confidential | Copyright 2014 TrendMicro Inc. Примеры из банков: прочие признаки атак
  • 9. Confidential | Copyright 2014 TrendMicro Inc. Примеры из банков: почти всегда 91% атак начинаются с электронной почты
  • 10. Copyright 2014 Trend Micro Inc. 11 Какую информацию получают наши клиенты  Откуда атака? Куда выводятся данные?  Сколько машин/сотрудников скомпрометированы?  Как давно?  Атака уникальная или просто мой АВ не справился?  Как предотвратить?
  • 11. Внимание, вопрос! • Какой процент вредоносных программ заражает менее 10 компьютеров? – 99% • Какой процент вредоносных программ заражает только один компьютер? – 80%
  • 12. Как обнаружить неизвестные угрозы? Продвинутый сетевой анализ Динамический анализ угроз («песочницы») Обработка индикаторов компрометации Корреляция с глобальной базой угроз 13
  • 13. Продвинутый сетевой анализ 14 DNS SQL P2P HTTP SMTP CIFS FTP … Windows/Mac OS/Mobile – действия атакующего • ошибки аутентификации, нестандартные протоколы • эксплойты • ВПО – вывод данных – коммуникации C&C – выявляются подозрительные файлы для дальнейшего анализа
  • 15. Индикаторы компрометации (IoC): – IP адреса, домены – Паттерны в URL – Хеш-суммы файлов – Email адреса – X-Mailer – HTTPUserAgent 16
  • 17. Отсылают файлы для анализа Web шлюз Интеграция – пример Confidential | Copyright 2014 TrendMicro Inc. Обновления «черных списков» IP/доменов Обновления АВ сигнатур Email шлюз Endpoint защита IPS Trend Micro Deep Discovery Отсылает IoC и обратную связь Коммутатор Сбор трафика для анализа (SPAN) SIEM Endpoint Forensics Другие продукты Отсылает IoC и события
  • 18. Что дает Trend Micro Deep Discovery? Аналитикам ИБ – инструмент анализа и мониторинга угроз CISO – защита инвестиций в ИБ: возможность по-новой использовать существующие системы защиты, дополнять локальной аналитикой Confidential | Copyright 2014 TrendMicro Inc.
  • 19. Живет ли в вашей сети слон? Confidential | Copyright 2014 TrendMicro Inc.