5. 5
Тестирование на проникновение
на проникновение
• Цели: ресурсы, доступные из сети интернет
• Развитие атаки в корпоративную сеть
на проникновение
• На площадке заказчика или удаленно по VPN
• Различные ролевые модели
беспроводных сетей
• Анализ защищенности точек доступа Wi-Fi
в вопросах ИБ
• Использование методов социальной инженерии
для имитации атаки
6. 6
Результаты
об уровне защищенности компании
и детальная техническая информация об обнаруженных
проблемах и уязвимостях с рекомендациями по их устранению
Оценка уровня
защищенности
Описание уязвимостей
и проблем
в конфигурациях систем
Краткосрочные/
Среднесрочные/
Долгосрочные рекомендации
Профиль
злоумышленника
Визуализация
векторов атаки
Индикаторы атаки
и компрометации
7. 7
Анализ защищенности приложений
на наличие
уязвимостей и проблем
безопасности
Отчет
с результатами
тестирования
Веб-приложения
Мобильные приложения
B2B решения CRM
Черный ящик
Анализ защищенности без каких-либо
привилегий в приложении с целью
выявления уязвимостей, доступных
внешнему атакующему, не имеющего
учетной записи в приложении.
Серый ящик
Анализ защищенности, направленный
на выявление уязвимостей, доступных
зарегистрированным пользователям.
Для проведения анализа данным
методом Заказчик должен
предоставить тестовые учетные записи
в приложении.
Белый ящик
Анализ исходного кода и архитектуры.
Использование метода белого ящика в
дополнение к методам черного и
серого ящиков позволяет выявить
максимально возможное количество
уязвимостей в приложении.
9. 9
Тренинги по кибербезопасности
Анализ ВПО и обратная разработка. Базовый курс 5
Анализ ВПО и обратная разработка. Экспертный 5
Цифровая Криминалистика 5
Продвинутая цифровая криминалистика 5
Реагирование на инциденты 5
Тренинг по YARA правилам 2
Лаборатория Касперского предлагает следующие тренинги:
11. 11
Портфель Онлайн Тренингов
• Targeted malware
reverse engineering
• Mobile malware reverse engineering
• Windows incident response
• Security operations and
threat hunting
• Windows digital forensics
• Advanced malware analysis
techniques
• Advanced reverse engineering with
Ghidra
• Reverse engineering 101
• Hunt APTs with YARA like a GReAT
ninja
• Suricata for incident response and
threat hunting
• Cyber capacity building program Q4 2023
13. 13
Compromise Assessment
Сервис
по обнаружению целевых атак
«Лаборатории Касперского» —
это инструмент для комплексной оценки
компрометации,
Обнаружить
текущие и уже случившиеся кибератаки и их
возможные источники
Запустить
процесс реагирования
с четкой идентификацией инцидента и
оперативным сдерживанием атаки
Предотвратить
похожие атаки в будущем, выполнив
рекомендации наших экспертов и устранив
обнаруженные проблемы в системе
безопасности
инцидентов
в среднем обнаруживает наш
сервис в инфраструктуре
одной компании
инцидента
из них имеют высокий уровень
опасности, что чаще всего
означает незамеченную
компрометацию сети
14. 14
Compromise Assessment
Threat
Intelligence
• Теневой интернет
• Утечки данных
Сбор
телеметрии
• Инструментальный
сбор логов
• Выявление
инцидентов
Активный
поиск угроз
• Анализ собранной
телеметрии,
быстрое
реагирование
Отчет
• Описание
инцидентов
• Рекомендации
по устранению
зловредной
активности
16. 16
Предложение «Лаборатории Касперского» по реагированию
Анализ
• Цифровая
криминалистика
• Анализ
вредоносного ПО
Меры реагирования
с привлечением
внешних экспертов
Сдерживание Ликвидация
Восстановление
• Реагирование на объекте
• Удаленное реагирование
После инцидента
• Отчет по реагированию
• Рекомендации
18. 18
Kaspersky Threat Intelligence
Тактические
Операционные
Стратегические
Kaspersky
Threat Intelligence
Kaspersky CyberTrace
Kaspersky Threat Lookup
Kaspersky Threat Data Feeds
Kaspersky Threat Analysis:
• Kaspersky Research Sandbox
• Kaspersky Threat Attribution
Kaspersky Crimeware Intelligence Reporting
Kaspersky ICS Reporting
Kaspersky APT Intelligence Reporting
Kaspersky Takedown Service
Kaspersky Ask the Analyst
Kaspersky Digital Footprint Intelligence
Kaspersky Threat Infrastructure Tracking
Данные:
Доступ к сервису через TI Portal
19. 19
Как мы собираем TI
400 млн.
На земле
живет более
7 млрд. людей
Пользователи Kaspersky Используют KSN
400К+
новых экземпляров ВПО
каждый день
У нас более 1000
экспертов
110 млн.
Kaspersky GReAT Team Kaspersky SOC
Kaspersky
Threat Research
Kaspersky ICS
CERT
Машинное обучение,
поисковые роботы, бот
фермы, песочница, OSINT
21. 21
Потоки данных об угрозах
{
"id":"143348",
"mask": “botnetccurl.com",
"type":"1",
"first_seen":"08.04.2014 16:45",
"last_seen":"12.07.2021 13:56",
“IP":“92.108.66.207",
"popularity":“5",
"threat":"CnC.Win32.ZBot",
"geo": "EN,FR,RU,GE,CH“
“files”: [ { “MD5” :
02d78d904db1d74f51f15
53b05257060 } ]
“urls”: “urltohostbots.com” } ]
“whois”: {…}
}
Типы потоков данных
Malicious URL
Phishing URL
Botnet C&C
Malicious Hash
Mobile Malicious Hash
Open Source Software
Threats
ICS Malicious Hash
Mobile Botnet
IP Reputation
Ransomware URL
Crimeware
APT:
• APT IP
• APT URL
• APT Hash
• APT YARA
Malicious URL Exact
Phishing URL Exact
Botnet C&C URL
Exact
IoT URL Data
Vulnerability Data
pDNS Data
Suricata
CASB
22. 22
Потоки данных об угрозах
SIEM / SOAR /
платформа TI Рабочие
места
Прокси-серверы
Сетевой
экран
Облачный
сервер
Защита от потери
данных
Почтовые
серверы
ЦОД
IP reputation feed
Hash feed (Win / *nix /
MacOS / Androidos / iOS)
URL feeds (malicious,
phishing and C&C)
Ransomware URL feed
APT IoC feeds
Vulnerability feed
Passive DNS (pDNS) feed
IoT URL feed
Whitelisting feed
ICS hash feed
И другое
24. 24
Kaspersky CyberTrace — платформа для управления данными о киберугрозах
SIEM-система собирает журналы с различных устройств
и IT-систем и отправляет данные о событиях с URL и IP-
адресами и хэшами в CyberTrace на анализ
Источники логов
KUMA
Cyber-
Trace
Корпоративная
сеть
Пересланные
события
Обнаруженные
угрозы
Внутренние источники данных
CyberTrace быстро сопоставляет поступающие события
с потоками данных об угрозах и отправляет данные
об обнаруженных угрозах в SIEM и CyberTrace Web
• Получает оповещения
об обнаруженных угрозах
с дополнительным контекстом
• Проводит первоначальное
расследование и инициирует
процесс реагирования на основе
контекста
Потоки данных об угрозах
«Лаборатории Касперского»,
коммерческие и кастомизированные
пользовательские потоки, данные
из открытых источников (OSINT)
Необработанные
логи
Интерфейс
KUMA
2
3
1
4
25. 25
Kaspersky CyberTrace — основные возможности
База данных для хранения и поиска
по данным (+ retroscan)
Агрегация, дедупликация,
нормализация и обмен данными
Статистика обнаружений
и матрица пересечений
по потокам данных
Публичный API (для интеграции
и автоматизации)
Мультитенантность для MSSP
и крупных предприятий
27. 27
Kaspersky Threat Lookup
Источники
• Kaspersky Security
Network
• Поисковые роботы
• Ловушки для спама
• Мониторинг
ботнет-угроз
• Пассивная репликация
DNS
• Сенсоры
• Партнеры
Объекты
для анализа
• Файлы
• URL-адреса
• Домены
• IP-адреса
• Хеши
Поиск
информации
Данные
Автоматическое
сопоставление
Контексту-
альная
аналитика
• Объект вредоносный? • Компания под угрозой?
Реагирование на инцидент
Реагиро-
вание на
инцидент
33. 33
Аналитические отчеты об APT-угрозах
Профили злоумышленников
Сопоставление с базой знаний ATT&CK
Общие сведения
• Информация, предназначенная для высшего руководства
Подробный технический анализ
• Методы проведения атак
• Используемые эксплойты
• Описание вредоносного ПО
• Инфраструктура командных серверов и описание протоколов
• Анализ жертв атак
• Анализ эксфильтрации данных
• Атрибуция кибератак
Выводы и рекомендации
Индикаторы компрометации и YARA-правила
35. 35
Digital Footprint Intelligence
Входные данные
• IP адреса
• Домены компании
• Названия бренда
• Ключевые слова
• Ссылки на профили в
социальных сетях
• И т.п.
Сетевой
периметр
Surface, deep
и dark web
База
Kaspersky
Аналитические отчеты
(PDF + EXLS)
Уведомления об угрозах
10 takedown запросов
на год
Поиск по базе surface
и dark web источников
39. 39
Ask The Analyst
Дополнительная информация
об опубликованных отчётах
APT или Crimeware
Анализ ВПО
Полный отчет и рекомендации
Описание семейств ВПО
Дополнительный контекст об
угрозах — хэши, URL, адреса
командных серверов и т.п.
Информация о уязвимостях
(критичность, механизмы
детектирования продуктами ЛК)
Поиск информации по
артефактам — IP, имена файлов,
электронные адреса, ссылки
или изображения
Поиск и анализ информации
Анализ ВПО
APT
и Crimeware
Darkweb
Intelligence
Описание индикаторов
или уязвимостей
Дополнительная информации
об отчетах или ресерч
по запросу
Информация об уязвимостях
Статистика и тренды для
региона/индустрии
ICS анализ ВПО
Информация о регулировании
отрасли
ICS запросы
Единая подписка на определенное количество запросов
41. 41
Полезные ссылки
по TI и экспертным
сервисам Kaspersky
Портал сервиса Бесплатная
версия
Сайт сервисов
Лаборатории
Касперского
Intelligence@kaspersky.com dfi.kaspersky.ru opentip.kaspersky.com
ics-cert.kaspersky.ru securelist.ru