Космические войска - вторжение внеземных технологий

1. ИБ: СТРАТЕГИЯ ОБОРОНЫ
23.09.2015
Серия восьмая: Системы обнаружения целевых атак
Гаврилов Вадим
ведущий системный инженер
Борисова Ольга
менеджер по работе с ключевыми Заказчиками

2. 2 из 20
Серия вебинаров «ИБ: Стратегия обороны»
 Серия первая. Устав караульной службы (13.04.2015)
 Планирование и внедрение систем защиты информации
 Серия вторая. Почему порядок не убираете? (27.04.2015)
 Системы контроля доступа к информации
 Серия третья. Разновидности колючей проволоки (20.05.2015)
 Системы контроля доступа к устройствам
 Серия четвертая. Таможня дает «добро»! (ч. I ) (3.06.2015)
 Системы защиты от утечек
 Серия четвертая. Таможня дает «добро»! (ч. II) (17.06.2015)
 Системы защиты от утечек
 Серия пятая. Будни контрразведчика: шпионаж, саботаж, макияж (29.07.2015)
 Системы контроля персонала
 Серия шестая. Фельдъегеря: перед прочтением съесть (12.08.2015)
 Системы управления правами доступа к документам
 Серия седьмая. Самый опасный род войск неприятеля - это свои предатели
(26.08.2015)
 Системы контроля привилегированных пользователей
 Серия восьмая. Космические войска: вторжение внеземных технологий (23.09.2015)
 Системы обнаружения целевых атак

3. Протокол
 Длительность вебинара составит 1 час
 Вопросы можно задавать по ходу вебинара на вкладке
questions
 Есть приз за самое активное участие!
 Обратная связь по адресу event@ussc.ru
 Запись вебинара будет выслана всем
зарегистрировавшимся!
 P.S. Кого рекламируем?
3 из 20

4. О чем эта презентация?
 Формулировка проблемы
 APT: что это такое?
 APT: схема атаки
 Почему мы думаем, что
это не про нас?
 Решение: что это такое и
зачем это нужно
 Архитектура
 Функциональные
возможности
 Как это работает?
 Преимущества и
недостатки
 Интеграция
 Границы применимости
 Как выбрать?
 Типичные представители
4 из 20

5. Формулировка проблемы
 Усложнение схем атаки
 Усложнение используемых механизмов
 Использование уязвимостей нулевого дня
 Целевые атаки
 Социальная инженерия
 Традиционные схемы защиты
перестают работать
5 из 20

6. APT: что это такое?
 Целенаправленность
 Социальная инженерия
 Адаптация к цели атаки
 Сложность схемы
 Использование передовых технологий
 Протяженность во времени
6 из 20

7. APT: схема атаки
7 из 20
МОДИФИКАЦИЯ
И
РАСПРОСТРАНЕ-
НИЕ
УДЕРЖАНИЕ
ПОЗИЦИЙ И
КРАЖА
ИНФОРМАЦИИ
ВНЕДРЕНИЕРАЗВЕДКА
 сбор информации о
сотрудниках
 выявление
сотрудников-целей
 изучение
инфраструктуры
предприятия
 изучение систем
защиты
 опрос контрагентов
 внедрение агентов
 поиск нелояльных
сотрудников
 взлом сайтов
 взлом аккаунтов в
социальных сетях
 взлом средств связи
 спам-сообщения
 фишинговые ссылки
 вредоносные
скрипты
 уязвимости ПО
 дополнительная
разведка параметров
среды и защитных
систем
 модификация кода
 Загрузка
модифицированных
компонентов
 повышение
полномочий в
контролируемых
системах
 распространение по
сети
 получение доступа к
искомой информации
 отключение систем
защиты
 шифрование и
фрагментирование
информации
 передача
информации за
пределы
контролируемой
зоны
 Скрытие и
уничтожение следов
деятельности
вредоносного ПО
https://securelist.ru

8. APT: почему мы думаем, что это не про нас?
 На Западе статистику инцидентов ИБ более аккуратно
собирают
 У нас нет законов, обязывающих компании
отчитываться о фактах утечки
 Подавляющее большинство целенаправленных атак
проходят незамеченными
8 из 20

9. Решение: что это такое и зачем это нужно
 Оставить как есть
 Системы обнаружения целевых атак
 Эшелонированная система обеспечения
информационной безопасности
9 из 20

10. Архитектура
10 из 20
 Программно-аппаратный комплекс (ПАК) в сети
 на границе сети (анализ входящего/исходящего трафика)
 в коммутируемой сети (анализ внутреннего трафика)
 облако
 Агенты на рабочих станциях и серверах
 агенты
 сервер управления
 облако
 Облачный сервис (используются
существующие агенты)

11. Функциональные возможности
 Статический анализ
 Динамический анализ
 Статистический анализ
 Корреляция
 Информирование
ответственных лиц
 Статистика
 Исключения
 Распространение агентов
 Контроль отправки в облако
 В сети
 На конечных точках
 В почте
11 из 20

12. Как это работает: статический анализ
12 из 20
 Поиск по базе данных
 Выявление вредоносного кода
 Выявление известных шаблонов поведения
вредоносного ПО

13. Как это работает: динамический анализ
13 из 20
 «Песочница» на ПАК
 «Песочница» в облаке
 Наблюдение за поведением
потенциально-опасного ПО
непосредственно на
конечных точках

14. Как это работает: Статистический анализ
14 из 20
 Статистический анализ сетевого трафика
 Статистический анализ критических областей на конечных
точках
 автозагрузка
 драйверы
 системные службы
 процессы
 загруженные модули ядра
 загрузочные области
 расширения и модули браузеров
 записи в файле hosts
 DNS-записи

15. Как это работает: Корреляция
 Корреляция событий в рамках одного модуля
 Корреляция событий, полученных с сенсоров на
разных каналах
 Корреляция данных с различных объектов
 Корреляция и обмен данными
между производителями
систем
15 из 20

16. Преимущества и недостатки
 Преимущества:
 это работает!
 Недостатки:
 большое количество ложных срабатываний
 сложная настройка
 необходимость участия эксперта
16 из 20

17. Интеграция
 Один класс, один производитель, несколько продуктов
 корреляция событий, полученных по разным каналам
 Один производитель, разные классы, разные продукты
 корреляция событий
 корреляция событий в
«командном центре»
 интеграция с системами
противодействия
 Разные производители,
разные классы, разные продукты
 обмен информацией об атаках,
единая аналитическая экосистема
 Интеграция с SIEM-системами
17 из 20

18. Границы применимости
18 из 20
 Обнаружение, но не предотвращение
 Решение построенное на анализе только одного
канала не сможет анализировать информацию с
других каналов
 Необходимость интерпретации данных системы
 Необходимость тонкой настройки
 Необходимость участия
высококлассных специалистов

19. Как выбрать
 Функциональные возможности
 Производитель
 Интеграция
 Архитектура
 агенты на конечных точках
 физические устройства
 облако
 Стоимость
19 из 20

20. Типичные представители
20 из 20

21. Краткие итоги
 Системы обнаружений целенаправленных атак это:
 обнаружение атак, необнаруживаемых
другими средствами
 контроль в сети, в почте и на конечных точках
 многофакторный анализ и корреляция
 средство, требующее тонкой настройки
 средство, требующее грамотного
управления
 средство, которое обнаруживает атаки,
но не отражает их
 не волшебная палочка
21 из 20

22. Гаврилов Вадим
vgavrilov@ussc.ru
ООО «УЦСБ»
620100, Екатеринбург, ул. Ткачей, д. 6
Тел.: +7 (343) 379-98-34
Факс: +7 (343) 209-57-38
info@ussc.ru
www.USSC.ru
Спасибо за внимание!Пожалуйста, задавайте вопросы!
Ваши комментарии и предложения Вы
можете присылать по адресу:
event@ussc.ru