4. Функции SIEM-системы в корпоративном сегменте
Сбор
Сбор данных с различных источников
Хранение
Соответствие требованиям регуляторов
Расширение возможностей по ретроспективному анализу
Подготовка
Нормализация данных, обогащение
Дополнительный анализ
Анализ
Обнаружение сложных угроз в режиме реал
5. Функции SIEM-системы в корпоративном сегменте
Анализ
Обнаружение сложных угроз в режиме реального времени
Реагирование
Сценарии реагирования после обнаружения угроз
Расследование
Эффективный процесс расследования
и проактивного поиска угроз
11. 11
Об атаке
BlackEnergy ― это троянец для проведения DDoS-
атак. В 2007 году создатель объявил о прекращении
работы над троянцем и продал исходный код.
В 2014 году внимание привлекла группа хакеров,
начавшая использовать
и атаковать промышленные и энергетические
секторы по всему миру.
Securelist by Kaspersky
12. 12
Об атаке
Доставка Сбор данных
о системе
Выполнение
требуемого модуля
Документы Excel
и Word с макросами
Team Viewer
Java
…
После запуска BlackEnergy позволяет
проверить систему на соответствие
необходимому критерию. Это
позволяет определить фактическую
важность зараженной системы
Удаление файлов
Поиск специальных процессов,
специфичных для ISC, завершение их
работы и перезапись произвольными
данными
1 2 3
13. 13
Об атаке
Enterprise Т1548 Abuse Elevation Control Mechanism: Bypass User Account Control
Т1071 Application Layer Protocol: Web Protocols
Т1547 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Boot or Logon Autostart Execution: Shortcut Modification
Enterprise Т1543 Create or Modify System Process: Windows Service
Т1555 Credentials from Password Stores: Credentials from Web Browsers
Т1485 Data Destruction
Т1008 Fallback Channels
Т1083 File and Directory Discovery
Т1574 Hijack Execution Flow: Services File Permissions Weakness
Т1070 Indicator Removal
Clear Windows Event Logs
Enterprise Т1056 Input Capture: Keylogging
T1046 Network Service Discovery
T1120 Peripheral Device Discovery
T1057 Process Discovery
16. 16
Об атаке
Модуль 101
Модуль 104
Сетевой сканер
Модуль 61850
Модуль OPC
Модуль DoS
CnC
Изменение файлов
реестра
Стирание данных
Выполнение полезной нагрузки
Backdoor