2. 22
ptsecurity.com
Positive Technologies: Expert Security Center
+ Исследование уязвимостей и
анализ защищенности
+ Мониторинг безопасности и
реагирование на угрозы
+ Анализ и расследование
инцидентов
+ Технологические
исследования и консалтинг
ИБ
3. 33
ptsecurity.com
Безопасность приложений
• Минимальные требования по
ИБ
• Детальность и форматы
логирования
• Требования к компонентам
• Требования к платформам
инфраструктуре
• Требования к процедурам
сопровождения
• Доступность исходных кодов
Общие требования по ИБ
• Унифицированные пункты ТЗ
• Автоматизированные
проверки соответствия
• Проверка изменений
Ситуация:
1 департамент ИБ должен
обеспечить ИБ:
• 200 приложений (веб,
мобильные)
• Разные модели угроз
• Платежные ПО
• Медицина
• …
• 20 подрядчиков
• 10 внутренних
функциональных заказчиков
• 5 площадок размещения
• …
Что делать когда уже всё
запущено и «запущено»?
3
4. 44
ptsecurity.com
Уязвимость алгоритмов защиты и
их реализации
• Пятница 19.02 10:30
#ibbank 2016. Тимур Юнусов:
«СМС – «золотой» стандарт
двухфакторной
аутентификации»
• Новая статистика Positive
Research 2015 – в марте
• 54% некорректная реализация
2ФА, возможность обхода
4
• Уязвимость серверной
части
• 54% уязвимы для XSS
• 71% используют 2ФА
• 46% возможна кража у
банка или у клиента
• 25% возможен перехват
2ФА
• Атака на клиентов
(2ФА)
• 90% SIM клонируется
• В 75% возможен перехват
5. 55
ptsecurity.com
5
«Инцидент»: необходимо, но
недостаточно
• Долгосрочные «проекты» атакующих
• Вектор по объекту
• Вектор по технологии
• Комплексные атаки, составляющие
инцидент
• Кампании (Adversary Campaign)
• Целевые
• Массовые
• Комбинированные (массово-целевые)
5
Атака Инцидент Кампания
6. 66
ptsecurity.com
6
Комплексные сценарии атакующего
•DDoS SmokeScreen
•Waterholing
•Malware “Lifecycle”
•Эволюция тактики и инструментов
• RAT=LAT+легитимные методы доступа
• Защита RAT от обнаружения и
исследования
• Эффективность Соц. Инженерии >100%
6
7. 77
ptsecurity.com
Продукты и решения ИБ
• Инвентаризация, анализ
уязвимостей, менеджмент
инцидентов
• (( Xspider ))
• (( МaxPatrol 8 ))
• (( МaxPatrol SIEM ))
• Анализ трафика, анализ ПО
• (( PT NAD )) – Анализ сетевого
трафика
• (( PT AF )) – Application Firewall
• (( PT AI )) – Application Inspector
• Продвинутые средства
противодействия новым угрозам
• ((PT Multiscanner))
• ((PT Honeypot))
Взгляд вендора:
- Эффективные механизмы
сбора и структуризации
данных
- Возможности машинного
обучения
- Знания экспертов
- Информации об угрозах
(Threat Intel)
- Фильтрация и
приоритезация
информации
- Комбинация методов
9. 1010
ptsecurity.com
10
Совокупность угроз,
или «а завтра они проснулись»
• Ежедневные атаки
• Вирусы в сети/в почте
• Соц. Инженерия (почта, веб)
• Атаки на веб-ресурсы
• Инциденты
• Заражение файлового сервера шифровальщиком
• Заражение сервера печати – утечка информации
• Кампании
• APT-1 (предположительно Китай) – 9 мес.
• APT-2 (предположительно США) – 1,5 года
• APT-3 – признаки возможности доступа,
несколькими способами
10
10. 1111
ptsecurity.com
11
Задачи OpSec/SOC – что сделать?
• Работа в реальном времени
• Телефонный информационный центр
• Мониторинг и ранжирование событий
• Сбор информации и отслеживание тенденций
• Создание службы кибераналитики
• Распространение данных службы кибераналитики
• Объединение служб кибераналитики
• Отслеживание тенденций
• Оценка угроз
• Анализ инцидентов и реагирование
• Анализ инцидентов
• Наблюдение за инцидентами, сбор информации
• Координация реагирования на инциденты
• Применение мер противодействия
• Применение мер противодействия во внешних
инф.системах
• Удаленные работы по противодействию
• Расследование инцидентов
• Выявление и анализ скрытых уязвимостей
• Ретроспективный анализ инцидентов
• Обеспечение ЖЦ технических средств и
методическое сопровождение
• Настройка и эксплуатация средств защиты
• Настройка и эксплуатация средств мониторинга
• Обслуживание сенсоров
• Создание сигнатур и правил
• Разработка и поддержка методик и инструкций
• Аудит и противодействие внутренним угрозам
• Оценка и повышение уровня защищённости
• Инвентаризация
• Поиск и оценка уязвимостей
• Тестирование на проникновение
• Оценка ИБ используемого ПО
• Консультации по ИБ
• Тренинги по ИБ, повышение осведомленности
• Оповещение по актуальным угрозам
• Распространение информации о тактике атакующих
• Публикация информация, работа со СМИ
11
11. 1212
ptsecurity.com
12
В каком объеме решать задачу?
• Архитектура SOC?
• Централизованный
• Распределенный
• Какие функции реализованы?
• Кому делегировать оставшиеся?
• Покрытие по времени
• «Производительность» и
качество
• Время реакции
• Период проведения мероприятий
• Полнота/глубина анализа
12
14. 1515
ptsecurity.com
Company
A
HQ
Защита периметра – неактуально?!
• 40% сервисов на периметре более были уязвимы в
течение 1 года
• 50% вероятность эксплуатации критической
уязвимости в течение 1 месяца с момента публикации
• 80% уязвимостей на периметре старше 1 года
• 80% внешний атакующий может получить доступ к
внутренней сети в случаев (без применения методов
СИ)
• 75% случаев: атакующему не требуется высокого уровня
квалификации для проведения успешных атак
• 55% полный контроль над системой после
«пробива» периметра
15По материалам мониторинга PT ESC за 2015 год, Verizon
Более 10 организаций, 130 тысяч ip, 15 тысяч уязвимостей
15. 1616
ptsecurity.com
Company
A
HQ
Company A
Office1
PT ESC ABC – контроль безопасности периметра
– автоматизированный экспертный сервис
PT ESC ABC
ABC
Scanner
ABC
Client
Portal
+ Клиентский
портал и отчеты
Доступ к результатам
сканирования в удобном
виде
+ Актуальная
информация об
угрозах
База PTKB
+ Единый
инструмент
Для больших сетей и
распределенных
организаций
+ Контроль
процесса
сканирования
До сети класса B за 1
день
+ Аналитика и
выявление критичных
уязвимостей
Контроль нежелательных
сервисов
Оценка с учетом критичности
ресурсов
+ Стратегическая
аналитика
Контроль эффективности
устранения уязвимостей
Окно уязвимости
+ Инвентаризация
Узлы, сервисы, версии,
уязвимости
Черные/белые списки
16. 1717
ptsecurity.com
Мониторинг безопасности и защита Веб-сервиса:
Экспертиза + передовые технологии PT AF
• Веб-сервисы критичны
• Доступ к хранимой информации
• Точка «входа» во внутреннюю сеть
• Лицо организации
• Высокая динамика
• Обновление сервиса - ежедневно
• Появление новых угроз
• Самый атакуемый тип сервиса
• Экспертиза и большой объем работы
• Много «шума»
• Исследователи «вебщики»
• Выявление инцидента
• Взаимосвязь Веб и ИТ – комплексная
задача
• Большой объем логов для обработки
• Мониторинг безопасности
• Оперативное оповещение о критических
срабатываниях
• Актуальная информация о новых угрозах и
уязвимостях
• Периодические проверки
• Сводный анализ атак на ресурс
• Выявление аномалий, рекомендации по
расследованию
• Экспертные возможности
• Анализ границ инцидентов (цепочки атак)
• Верификация уязвимостей (проверка
эксплойтов)
• PT AF как инструмент форензики
17
17. 1818
ptsecurity.com
Анализ и Расследование инцидентов
• Анализ инцидента
• Выявление связанных событий
безопасностей и их анализ
• Анализ атак (совокупности событий,
результатов, достигнутых атакующим)
• Фиксация границ инцидента (системы,
время)
• АЗ по инциденту и первичные
рекомендации
• Расследование инцидента
(по результатам Анализа инцидента)
• Исследование артефактов инцидента
• Анализ средств и тактики атакующего
• Атрибуция атакующего (категория
нарушителя, конечные цели)
• Прогноз возможностей атакующего
• Рекомендации
!!!
$$$
Расследование инцидентов: Корректно
диагностировать и бороться с причинами и
последствиями, а не симптомами
18. 1919
ptsecurity.com
Ретроспективный анализ: выявление инцидентов
• Оценка готовности
• Периодические проверки
• Ежеквартально
• По критическим системам
• По подозрениям на инциденты
• Поиск следов компрометации
• Анализ событий безопасности
• Сбор и первичный анализ
артефактов
• Анализ журналов. Backward Anomaly
Rollout
• Отложенный автоматизированный
анализ потенциально-вредоносного
ПО
• Отчет - сводка попыток
компрометации и событий
безопасности
$$$
Проверить подозрения, выявить
упущенные инциденты: возможно ещё не
поздно минимизировать ущерб?!
19. 2020
ptsecurity.com
PT ESC: экспертные сервисы
Внешние угрозы
ИТ-инфраструктуре
Усиленный
контроль
периметра (ABC)
Внешнее
тестирование на
проникновение
Мониторинг угроз
сетевого трафика
Анализ инцидентов
ИБ
Защита от угроз
Веб-сервисов
Анализа
защищенности
Веб-сервисов
(black/grey/whitebo
x)
Мониторинг
безопасности и
защита Веб-
сервисов
Анализ
инцидентов в Веб-
сервисах
Защита от
внутренних угроз
Внутренне
тестирование на
проникновение
Анализ инцидентов
Анализ готовности к
реагированию и
расследованию
инцидентов
Анализ
эффективности
центров
мониторинга ИБ
IT
Экспертные
сервисы ИБ
Ретроспективный
анализ и выявлении
инцидентов
Реагирование на
инциденты
Расследование
инцидентов
Профильные
отраслевые сервисы
WEB
21. 2222
ptsecurity.com
22
PT ESC
• Команда PT ESC. Команда экспертного центра обеспечивает оперативное реагирование на обращения и
собираемую информацию, работает с инцидентами и координирует взаимодействие с командой PT, партнерами,
производителями и сообществом.
• Команда экспертов PT. Исследовательский центр Positive Technologies насчитывает более 150 человек и является
одним из крупнейших в Европе. Специалисты центра заслужили репутацию экспертов мирового уровня по
защите важнейших современных отраслей — веб-порталов и онлайн-банков, АСУ ТП и ERP, сетей мобильной
связи и облачных технологий.
• Взаимодействие с партнерами и производителями средств ИБ –возможности компании PT в рамках
технологического партнерства получения комментариев и содействия со стороны ключевых производителей,
интеграторов, эксплуатирующих организаций информации позволяет оперативно исключать ложные
срабатывания систем обеспечения, сузить область анализа инцидента, а также существенно масштабировать
объем оказываемых услуг PT ESC.
• Взаимодействие с ИБ-сообществом. Компания PT активно участвует и развивает ИБ сообщество, являясь
организатором конференции PHDays.
• Специализированные методики инструменты и сервисы. Команда PT ESC непрерывно развивает компетенции
по ключевым областям специализации в ходе выполнения работ. Существенная доля этих знаний становится
доступна потребителям в виде обновлений сигнатур, правил и эвристик для продуктов PT.
• База знаний уязвимостей и угроз, используемая в PT ESC, — одна из крупнейших в мире. Эксперты Positive
Technologies обнаружили и помогли устранять множество уязвимостей в продуктах таких компаний, как Cisco,
Google, Microsoft, Oracle, SAP, Siemens, Huawei, Schneider Electric, Honeywell. База постоянно пополняется за счёт
новых исследований и аналитических сервисов.
• Сервис PT ESC – сделано для Вас! Обеспечение ИБ – это непрерывный процесс. В рамках наших услуг мы
непрерывно отслеживаем состояние зафиксированных обращений и открытых инцидентов. Мы предлагаем
гибкие возможности подключения систем сбора информации, различные варианты обращений для получения
сервиса и возможность интеграции с вашими системами отслеживания задач.
22. 2323
ptsecurity.com
Исследовательский центр Positive
Одна из самых больших научно-исследовательских
лабораторий по безопасности в Европе
100+ обнаружений 0-day уязвимостей в год
150+ обнаружений 0-day уязвимостей в
SCADA
30+ обнаружений 0-day уязвимостей в Telco
Наши знания используют ключевые
промышленные центры
Editor's Notes
Необходимость и достаточность решений и сервисов для расследования инцидентов
Расследование инцидентов информационной безопасности предполагает как анализ «составляющих» - атак и событий безопасности, уязвимостей, так и реконструкцию общей картины – целей атакующего, восстановление границ кампании и замысла атакующего. Даже если для фиксации событий безопасности применяются эффективные средства и практики защиты информации в современных условиях этого зачастую может быть недостаточно для решения комплексной задачи. Более того, атакующие также могут активно использовать общедоступную и собираемую информацию о средствах защиты информации и проводимых работах для снижения их эффективности.
В докладе будет представлен опыт расследования инцидентов информационной безопасности, выявленные ограничения средств и практик для организаций с различным уровнем зрелости информационной безопасности.
Оценка защищенности и анализ уязвимостей широкого спектра инфраструктур и приложений, включая веб- и мобильные приложения, SCADA, ДБО, ATM и сети телекомов. Тесты на проникновение и анализ исходного кода для поиска уязвимостей и закладок.
Автоматизированные Сервисы такие как контроль внешнего периметра (Advanced Border Control) – непрерывно разрабатываются и поддерживаются специалистами PT и экспертами PT ESC, что позволяет получать Заказчику сервис экспертного уровня, содержащий актуальную информацию об угрозах и состоянии своих систем с высоким уровнем масштабируемости и по приемлемой цене.
Мониторинг и выявление инцидентов. Уникальные методики и опыт экспертов PT ESC в сочетании с передовыми технологиями и инструментами Positive Technologies позволяют оказывать услуги по выявлению инцидентов на ранних стадиях, а использование ретроспективного анализа дает возможность обнаружить инциденты, пропущенные штатными системами защиты, сократить возможности атакующих даже после успешного проникновения в систему.
Расследование инцидентов ИБ: восстановление хронологии атак, выявление затронутых активов и интересов злоумышленников, рекомендации по ликвидации последствий и предотвращению повторения инцидентов в будущем.
Анализ артефактов и аналитика угроз – исследование и формализация знаний о признаках возможных инцидентов, а также консолидация информации из различных отраслей и географических регионов о методах, инструментах и целях злоумышленников.
Консультации и исследования по ИБ. Клиенты PT ESC имеют возможность оперативно обратиться по вопросам к ведущим экспертам по ИБ и получить ответы на свои насущные вопросы, а также оперативно получать информацию об актуальных угрозах и резонансных уязвимостях, на которые стоит обратить внимание.
Анализ эффективности служб и систем ИБ – проведение аудита эффективности отдельных подсистем или службы в целом в режиме учений – лучший способ периодического контроля и проверки готовности к реальным вызовам. Доверяете аутсорсерам? Доказано: периодические проверки улучшат их работу.
Ретроспективный мониторинг - аудит инфраструктуры с целью выявления ранее пропущенных инцидентов, не блокированных, либо неверно интерпретированных штатными средствами защиты;
Анализ и реагирование на инциденты – оперативный анализ артефактов систем защиты и ИТ систем, категоризация и выработка мер реагирования на инцидент и критериев достаточности принятых анализ эффективности и достаточности ранее принятых мер по уже выявленным инцидентам;
Расследование инцидентов – установление причин, границ, затронутых активов, восстановление хронологии, оценка интересов и потенциальных возможностей злоумышленников, подготовка рекомендации по ликвидации последствий и адаптации инфраструктуры защиты к противостоянию выявленному типу угроз;
OSINT (аналитика актуальных угроз) - информирование о возникновении угроз, затрагивающих инфраструктуру, активы, отрасль Заказчика, обновляемые пакеты кастомизированных сигнатур и индикаторов для выявления атак;
Профильные отраслевые сервисы – дополнение специализированных компетенций по ситуации. Экспертиза по организации защиты инфраструктуры, выявлению и реагированию на инциденты в специализированных информационных системах сегментах, таких как Telco, ISC/SCADA, ДБО. Возможность привлечения отраслевых экспертов Telco, ISC/SCADA, ДБО.
Средства мониторинга и анализа. В рамках оказания услуг PT ESC активно использует собственные продукты Positive Technologies: систему оценки защищенности MaxPatrol, межсетевой экран PT Application Firewall, систему мониторинга событий безопасности MaxPatrol SIEM, модуль выявления вредоносных кодов PT Multiscanner и систему PT Network Forensics. Именно эти продукты стали ключевыми компонентами центров оперативного управления безопасностью, созданных для одного из крупнейших мировых операторов связи ОАО «Вымпелком» (2011), а также для защиты IT-инфраструктур Универсиады в Казани (2013) и зимней Олимпиады в Сочи (2014).