SlideShare a Scribd company logo

Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)

Download as PPTX, PDF
Alexey Kachalin
Alexey Kachalin

PT ESC

Technology
1 of 22
11 ptsecurity.comptsecurity.com Качалин А.И. Необходимость и достаточность решений и сервисов ИБ для эффективного расследования инцидентов
22 ptsecurity.com Positive Technologies: Expert Security Center + Исследование уязвимостей и анализ защищенности + Мониторинг безопасности и реагирование на угрозы + Анализ и расследование инцидентов + Технологические исследования и консалтинг ИБ
33 ptsecurity.com Безопасность приложений • Минимальные требования по ИБ • Детальность и форматы логирования • Требования к компонентам • Требования к платформам инфраструктуре • Требования к процедурам сопровождения • Доступность исходных кодов Общие требования по ИБ • Унифицированные пункты ТЗ • Автоматизированные проверки соответствия • Проверка изменений Ситуация: 1 департамент ИБ должен обеспечить ИБ: • 200 приложений (веб, мобильные) • Разные модели угроз • Платежные ПО • Медицина • … • 20 подрядчиков • 10 внутренних функциональных заказчиков • 5 площадок размещения • … Что делать когда уже всё запущено и «запущено»? 3
44 ptsecurity.com Уязвимость алгоритмов защиты и их реализации • Пятница 19.02 10:30 #ibbank 2016. Тимур Юнусов: «СМС – «золотой» стандарт двухфакторной аутентификации» • Новая статистика Positive Research 2015 – в марте • 54% некорректная реализация 2ФА, возможность обхода 4 • Уязвимость серверной части • 54% уязвимы для XSS • 71% используют 2ФА • 46% возможна кража у банка или у клиента • 25% возможен перехват 2ФА • Атака на клиентов (2ФА) • 90% SIM клонируется • В 75% возможен перехват
55 ptsecurity.com 5 «Инцидент»: необходимо, но недостаточно • Долгосрочные «проекты» атакующих • Вектор по объекту • Вектор по технологии • Комплексные атаки, составляющие инцидент • Кампании (Adversary Campaign) • Целевые • Массовые • Комбинированные (массово-целевые) 5 Атака  Инцидент  Кампания
66 ptsecurity.com 6 Комплексные сценарии атакующего •DDoS SmokeScreen •Waterholing •Malware “Lifecycle” •Эволюция тактики и инструментов • RAT=LAT+легитимные методы доступа • Защита RAT от обнаружения и исследования • Эффективность Соц. Инженерии >100% 6
77 ptsecurity.com Продукты и решения ИБ • Инвентаризация, анализ уязвимостей, менеджмент инцидентов • (( Xspider )) • (( МaxPatrol 8 )) • (( МaxPatrol SIEM )) • Анализ трафика, анализ ПО • (( PT NAD )) – Анализ сетевого трафика • (( PT AF )) – Application Firewall • (( PT AI )) – Application Inspector • Продвинутые средства противодействия новым угрозам • ((PT Multiscanner)) • ((PT Honeypot)) Взгляд вендора: - Эффективные механизмы сбора и структуризации данных - Возможности машинного обучения - Знания экспертов - Информации об угрозах (Threat Intel) - Фильтрация и приоритезация информации - Комбинация методов
88 ptsecurity.com Эффективные ИБ-решения: реализация экспертных сценариев 8
1010 ptsecurity.com 10 Совокупность угроз, или «а завтра они проснулись» • Ежедневные атаки • Вирусы в сети/в почте • Соц. Инженерия (почта, веб) • Атаки на веб-ресурсы • Инциденты • Заражение файлового сервера шифровальщиком • Заражение сервера печати – утечка информации • Кампании • APT-1 (предположительно Китай) – 9 мес. • APT-2 (предположительно США) – 1,5 года • APT-3 – признаки возможности доступа, несколькими способами 10
1111 ptsecurity.com 11 Задачи OpSec/SOC – что сделать? • Работа в реальном времени • Телефонный информационный центр • Мониторинг и ранжирование событий • Сбор информации и отслеживание тенденций • Создание службы кибераналитики • Распространение данных службы кибераналитики • Объединение служб кибераналитики • Отслеживание тенденций • Оценка угроз • Анализ инцидентов и реагирование • Анализ инцидентов • Наблюдение за инцидентами, сбор информации • Координация реагирования на инциденты • Применение мер противодействия • Применение мер противодействия во внешних инф.системах • Удаленные работы по противодействию • Расследование инцидентов • Выявление и анализ скрытых уязвимостей • Ретроспективный анализ инцидентов • Обеспечение ЖЦ технических средств и методическое сопровождение • Настройка и эксплуатация средств защиты • Настройка и эксплуатация средств мониторинга • Обслуживание сенсоров • Создание сигнатур и правил • Разработка и поддержка методик и инструкций • Аудит и противодействие внутренним угрозам • Оценка и повышение уровня защищённости • Инвентаризация • Поиск и оценка уязвимостей • Тестирование на проникновение • Оценка ИБ используемого ПО • Консультации по ИБ • Тренинги по ИБ, повышение осведомленности • Оповещение по актуальным угрозам • Распространение информации о тактике атакующих • Публикация информация, работа со СМИ 11
1212 ptsecurity.com 12 В каком объеме решать задачу? • Архитектура SOC? • Централизованный • Распределенный • Какие функции реализованы? • Кому делегировать оставшиеся? • Покрытие по времени • «Производительность» и качество • Время реакции • Период проведения мероприятий • Полнота/глубина анализа 12
1313 ptsecurity.com 13 Операционная безопасность: внутренние и внешние сервисы 13 SOC L1 SOC L2 SOC L3 SOC L1 SOC L2 SOC L3 PT ESC Services PT ESC Services PT ESC Services SecInfo Sharing
1414 ptsecurity.com 14 Операционная безопасность: внутренние и внешние сервисы 14 SOC L1 SOC L2 SOC L3 SOC L1 SOC L2 SOC L3 PT ESC Services PT ESC Services PT ESC Services SecInfo Sharing
1515 ptsecurity.com Company A HQ Защита периметра – неактуально?! • 40% сервисов на периметре более были уязвимы в течение 1 года • 50% вероятность эксплуатации критической уязвимости в течение 1 месяца с момента публикации • 80% уязвимостей на периметре старше 1 года • 80% внешний атакующий может получить доступ к внутренней сети в случаев (без применения методов СИ) • 75% случаев: атакующему не требуется высокого уровня квалификации для проведения успешных атак • 55% полный контроль над системой после «пробива» периметра 15По материалам мониторинга PT ESC за 2015 год, Verizon Более 10 организаций, 130 тысяч ip, 15 тысяч уязвимостей
1616 ptsecurity.com Company A HQ Company A Office1 PT ESC ABC – контроль безопасности периметра – автоматизированный экспертный сервис PT ESC ABC ABC Scanner ABC Client Portal + Клиентский портал и отчеты Доступ к результатам сканирования в удобном виде + Актуальная информация об угрозах База PTKB + Единый инструмент Для больших сетей и распределенных организаций + Контроль процесса сканирования До сети класса B за 1 день + Аналитика и выявление критичных уязвимостей Контроль нежелательных сервисов Оценка с учетом критичности ресурсов + Стратегическая аналитика Контроль эффективности устранения уязвимостей Окно уязвимости + Инвентаризация Узлы, сервисы, версии, уязвимости Черные/белые списки
1717 ptsecurity.com Мониторинг безопасности и защита Веб-сервиса: Экспертиза + передовые технологии PT AF • Веб-сервисы критичны • Доступ к хранимой информации • Точка «входа» во внутреннюю сеть • Лицо организации • Высокая динамика • Обновление сервиса - ежедневно • Появление новых угроз • Самый атакуемый тип сервиса • Экспертиза и большой объем работы • Много «шума» • Исследователи «вебщики» • Выявление инцидента • Взаимосвязь Веб и ИТ – комплексная задача • Большой объем логов для обработки • Мониторинг безопасности • Оперативное оповещение о критических срабатываниях • Актуальная информация о новых угрозах и уязвимостях • Периодические проверки • Сводный анализ атак на ресурс • Выявление аномалий, рекомендации по расследованию • Экспертные возможности • Анализ границ инцидентов (цепочки атак) • Верификация уязвимостей (проверка эксплойтов) • PT AF как инструмент форензики 17
1818 ptsecurity.com Анализ и Расследование инцидентов • Анализ инцидента • Выявление связанных событий безопасностей и их анализ • Анализ атак (совокупности событий, результатов, достигнутых атакующим) • Фиксация границ инцидента (системы, время) • АЗ по инциденту и первичные рекомендации • Расследование инцидента (по результатам Анализа инцидента) • Исследование артефактов инцидента • Анализ средств и тактики атакующего • Атрибуция атакующего (категория нарушителя, конечные цели) • Прогноз возможностей атакующего • Рекомендации !!! $$$ Расследование инцидентов: Корректно диагностировать и бороться с причинами и последствиями, а не симптомами
1919 ptsecurity.com Ретроспективный анализ: выявление инцидентов • Оценка готовности • Периодические проверки • Ежеквартально • По критическим системам • По подозрениям на инциденты • Поиск следов компрометации • Анализ событий безопасности • Сбор и первичный анализ артефактов • Анализ журналов. Backward Anomaly Rollout • Отложенный автоматизированный анализ потенциально-вредоносного ПО • Отчет - сводка попыток компрометации и событий безопасности $$$ Проверить подозрения, выявить упущенные инциденты: возможно ещё не поздно минимизировать ущерб?!
2020 ptsecurity.com PT ESC: экспертные сервисы Внешние угрозы ИТ-инфраструктуре Усиленный контроль периметра (ABC) Внешнее тестирование на проникновение Мониторинг угроз сетевого трафика Анализ инцидентов ИБ Защита от угроз Веб-сервисов Анализа защищенности Веб-сервисов (black/grey/whitebo x) Мониторинг безопасности и защита Веб- сервисов Анализ инцидентов в Веб- сервисах Защита от внутренних угроз Внутренне тестирование на проникновение Анализ инцидентов Анализ готовности к реагированию и расследованию инцидентов Анализ эффективности центров мониторинга ИБ IT Экспертные сервисы ИБ Ретроспективный анализ и выявлении инцидентов Реагирование на инциденты Расследование инцидентов Профильные отраслевые сервисы WEB
2121 ptsecurity.com PT ESC ptsecurity.com Спасибо за внимание! Алексей Качалин akachalin@ptsecurity.com
2222 ptsecurity.com 22 PT ESC • Команда PT ESC. Команда экспертного центра обеспечивает оперативное реагирование на обращения и собираемую информацию, работает с инцидентами и координирует взаимодействие с командой PT, партнерами, производителями и сообществом. • Команда экспертов PT. Исследовательский центр Positive Technologies насчитывает более 150 человек и является одним из крупнейших в Европе. Специалисты центра заслужили репутацию экспертов мирового уровня по защите важнейших современных отраслей — веб-порталов и онлайн-банков, АСУ ТП и ERP, сетей мобильной связи и облачных технологий. • Взаимодействие с партнерами и производителями средств ИБ –возможности компании PT в рамках технологического партнерства получения комментариев и содействия со стороны ключевых производителей, интеграторов, эксплуатирующих организаций информации позволяет оперативно исключать ложные срабатывания систем обеспечения, сузить область анализа инцидента, а также существенно масштабировать объем оказываемых услуг PT ESC. • Взаимодействие с ИБ-сообществом. Компания PT активно участвует и развивает ИБ сообщество, являясь организатором конференции PHDays. • Специализированные методики инструменты и сервисы. Команда PT ESC непрерывно развивает компетенции по ключевым областям специализации в ходе выполнения работ. Существенная доля этих знаний становится доступна потребителям в виде обновлений сигнатур, правил и эвристик для продуктов PT. • База знаний уязвимостей и угроз, используемая в PT ESC, — одна из крупнейших в мире. Эксперты Positive Technologies обнаружили и помогли устранять множество уязвимостей в продуктах таких компаний, как Cisco, Google, Microsoft, Oracle, SAP, Siemens, Huawei, Schneider Electric, Honeywell. База постоянно пополняется за счёт новых исследований и аналитических сервисов. • Сервис PT ESC – сделано для Вас! Обеспечение ИБ – это непрерывный процесс. В рамках наших услуг мы непрерывно отслеживаем состояние зафиксированных обращений и открытых инцидентов. Мы предлагаем гибкие возможности подключения систем сбора информации, различные варианты обращений для получения сервиса и возможность интеграции с вашими системами отслеживания задач.
2323 ptsecurity.com Исследовательский центр Positive  Одна из самых больших научно-исследовательских лабораторий по безопасности в Европе  100+ обнаружений 0-day уязвимостей в год  150+ обнаружений 0-day уязвимостей в SCADA  30+ обнаружений 0-day уязвимостей в Telco  Наши знания используют ключевые промышленные центры

Recommended

этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 

Recommended

этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Present pred
Present predPresent pred
Present predssabann
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информацииDialogueScience
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)Alexey Kachalin
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"Expolink
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Expolink
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияExpolink
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Vulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий ОгородниковVulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий ОгородниковAngara Technology Group
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 

More Related Content

What's hot

Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваDialogueScience
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Present pred
Present predPresent pred
Present predssabann
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информацииDialogueScience
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)Alexey Kachalin
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"Expolink
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Expolink
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияExpolink
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Vulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий ОгородниковVulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий ОгородниковAngara Technology Group
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 

What's hot (20)

Целенаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройстваЦеленаправленные атаки на мобильные устройства
Целенаправленные атаки на мобильные устройства
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
Present pred
Present predPresent pred
Present pred
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
Вячеслав Медведев (Доктор Веб) - Процедуры компьютерного инцидента. Можно ли ...
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступления
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИ
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
Vulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий ОгородниковVulnerability Management Process - Дмитрий Огородников
Vulnerability Management Process - Дмитрий Огородников
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 

Similar to Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)

PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Alexey Kachalin
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалинDiana Frolova
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?Sergey Soldatov
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Audit intro
Audit introAudit intro
Audit introcnpo
 

Similar to Решения и сервисы для обеспечения ИБ (ИБ Банков 2016) (20)

PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалин
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Audit intro
Audit introAudit intro
Audit intro
 

More from Alexey Kachalin

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Alexey Kachalin
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и довериеAlexey Kachalin
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыAlexey Kachalin
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаAlexey Kachalin
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Alexey Kachalin
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Alexey Kachalin
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияAlexey Kachalin
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Alexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Alexey Kachalin
 
New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)Alexey Kachalin
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Alexey Kachalin
 
Обзор угроз ИБ 2014
Обзор угроз ИБ 2014Обзор угроз ИБ 2014
Обзор угроз ИБ 2014Alexey Kachalin
 
Разработка системы форензик-анализа сетевого трафика, РусКрипто-2011
Разработка системы форензик-анализа сетевого трафика, РусКрипто-2011Разработка системы форензик-анализа сетевого трафика, РусКрипто-2011
Разработка системы форензик-анализа сетевого трафика, РусКрипто-2011Alexey Kachalin
 
Информационная система с точки зрения атакующего (2011)
Информационная система с точки зрения атакующего (2011)Информационная система с точки зрения атакующего (2011)
Информационная система с точки зрения атакующего (2011)Alexey Kachalin
 

More from Alexey Kachalin (17)

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и доверие
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспекты
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестирования
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014
 
New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)
 
Обзор угроз ИБ 2014
Обзор угроз ИБ 2014Обзор угроз ИБ 2014
Обзор угроз ИБ 2014
 
Разработка системы форензик-анализа сетевого трафика, РусКрипто-2011
Разработка системы форензик-анализа сетевого трафика, РусКрипто-2011Разработка системы форензик-анализа сетевого трафика, РусКрипто-2011
Разработка системы форензик-анализа сетевого трафика, РусКрипто-2011
 
Информационная система с точки зрения атакующего (2011)
Информационная система с точки зрения атакующего (2011)Информационная система с точки зрения атакующего (2011)
Информационная система с точки зрения атакующего (2011)
 

Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)

  • 1. 11 ptsecurity.comptsecurity.com Качалин А.И. Необходимость и достаточность решений и сервисов ИБ для эффективного расследования инцидентов
  • 2. 22 ptsecurity.com Positive Technologies: Expert Security Center + Исследование уязвимостей и анализ защищенности + Мониторинг безопасности и реагирование на угрозы + Анализ и расследование инцидентов + Технологические исследования и консалтинг ИБ
  • 3. 33 ptsecurity.com Безопасность приложений • Минимальные требования по ИБ • Детальность и форматы логирования • Требования к компонентам • Требования к платформам инфраструктуре • Требования к процедурам сопровождения • Доступность исходных кодов Общие требования по ИБ • Унифицированные пункты ТЗ • Автоматизированные проверки соответствия • Проверка изменений Ситуация: 1 департамент ИБ должен обеспечить ИБ: • 200 приложений (веб, мобильные) • Разные модели угроз • Платежные ПО • Медицина • … • 20 подрядчиков • 10 внутренних функциональных заказчиков • 5 площадок размещения • … Что делать когда уже всё запущено и «запущено»? 3
  • 4. 44 ptsecurity.com Уязвимость алгоритмов защиты и их реализации • Пятница 19.02 10:30 #ibbank 2016. Тимур Юнусов: «СМС – «золотой» стандарт двухфакторной аутентификации» • Новая статистика Positive Research 2015 – в марте • 54% некорректная реализация 2ФА, возможность обхода 4 • Уязвимость серверной части • 54% уязвимы для XSS • 71% используют 2ФА • 46% возможна кража у банка или у клиента • 25% возможен перехват 2ФА • Атака на клиентов (2ФА) • 90% SIM клонируется • В 75% возможен перехват
  • 5. 55 ptsecurity.com 5 «Инцидент»: необходимо, но недостаточно • Долгосрочные «проекты» атакующих • Вектор по объекту • Вектор по технологии • Комплексные атаки, составляющие инцидент • Кампании (Adversary Campaign) • Целевые • Массовые • Комбинированные (массово-целевые) 5 Атака  Инцидент  Кампания
  • 6. 66 ptsecurity.com 6 Комплексные сценарии атакующего •DDoS SmokeScreen •Waterholing •Malware “Lifecycle” •Эволюция тактики и инструментов • RAT=LAT+легитимные методы доступа • Защита RAT от обнаружения и исследования • Эффективность Соц. Инженерии >100% 6
  • 7. 77 ptsecurity.com Продукты и решения ИБ • Инвентаризация, анализ уязвимостей, менеджмент инцидентов • (( Xspider )) • (( МaxPatrol 8 )) • (( МaxPatrol SIEM )) • Анализ трафика, анализ ПО • (( PT NAD )) – Анализ сетевого трафика • (( PT AF )) – Application Firewall • (( PT AI )) – Application Inspector • Продвинутые средства противодействия новым угрозам • ((PT Multiscanner)) • ((PT Honeypot)) Взгляд вендора: - Эффективные механизмы сбора и структуризации данных - Возможности машинного обучения - Знания экспертов - Информации об угрозах (Threat Intel) - Фильтрация и приоритезация информации - Комбинация методов
  • 9. 1010 ptsecurity.com 10 Совокупность угроз, или «а завтра они проснулись» • Ежедневные атаки • Вирусы в сети/в почте • Соц. Инженерия (почта, веб) • Атаки на веб-ресурсы • Инциденты • Заражение файлового сервера шифровальщиком • Заражение сервера печати – утечка информации • Кампании • APT-1 (предположительно Китай) – 9 мес. • APT-2 (предположительно США) – 1,5 года • APT-3 – признаки возможности доступа, несколькими способами 10
  • 10. 1111 ptsecurity.com 11 Задачи OpSec/SOC – что сделать? • Работа в реальном времени • Телефонный информационный центр • Мониторинг и ранжирование событий • Сбор информации и отслеживание тенденций • Создание службы кибераналитики • Распространение данных службы кибераналитики • Объединение служб кибераналитики • Отслеживание тенденций • Оценка угроз • Анализ инцидентов и реагирование • Анализ инцидентов • Наблюдение за инцидентами, сбор информации • Координация реагирования на инциденты • Применение мер противодействия • Применение мер противодействия во внешних инф.системах • Удаленные работы по противодействию • Расследование инцидентов • Выявление и анализ скрытых уязвимостей • Ретроспективный анализ инцидентов • Обеспечение ЖЦ технических средств и методическое сопровождение • Настройка и эксплуатация средств защиты • Настройка и эксплуатация средств мониторинга • Обслуживание сенсоров • Создание сигнатур и правил • Разработка и поддержка методик и инструкций • Аудит и противодействие внутренним угрозам • Оценка и повышение уровня защищённости • Инвентаризация • Поиск и оценка уязвимостей • Тестирование на проникновение • Оценка ИБ используемого ПО • Консультации по ИБ • Тренинги по ИБ, повышение осведомленности • Оповещение по актуальным угрозам • Распространение информации о тактике атакующих • Публикация информация, работа со СМИ 11
  • 11. 1212 ptsecurity.com 12 В каком объеме решать задачу? • Архитектура SOC? • Централизованный • Распределенный • Какие функции реализованы? • Кому делегировать оставшиеся? • Покрытие по времени • «Производительность» и качество • Время реакции • Период проведения мероприятий • Полнота/глубина анализа 12
  • 12. 1313 ptsecurity.com 13 Операционная безопасность: внутренние и внешние сервисы 13 SOC L1 SOC L2 SOC L3 SOC L1 SOC L2 SOC L3 PT ESC Services PT ESC Services PT ESC Services SecInfo Sharing
  • 13. 1414 ptsecurity.com 14 Операционная безопасность: внутренние и внешние сервисы 14 SOC L1 SOC L2 SOC L3 SOC L1 SOC L2 SOC L3 PT ESC Services PT ESC Services PT ESC Services SecInfo Sharing
  • 14. 1515 ptsecurity.com Company A HQ Защита периметра – неактуально?! • 40% сервисов на периметре более были уязвимы в течение 1 года • 50% вероятность эксплуатации критической уязвимости в течение 1 месяца с момента публикации • 80% уязвимостей на периметре старше 1 года • 80% внешний атакующий может получить доступ к внутренней сети в случаев (без применения методов СИ) • 75% случаев: атакующему не требуется высокого уровня квалификации для проведения успешных атак • 55% полный контроль над системой после «пробива» периметра 15По материалам мониторинга PT ESC за 2015 год, Verizon Более 10 организаций, 130 тысяч ip, 15 тысяч уязвимостей
  • 15. 1616 ptsecurity.com Company A HQ Company A Office1 PT ESC ABC – контроль безопасности периметра – автоматизированный экспертный сервис PT ESC ABC ABC Scanner ABC Client Portal + Клиентский портал и отчеты Доступ к результатам сканирования в удобном виде + Актуальная информация об угрозах База PTKB + Единый инструмент Для больших сетей и распределенных организаций + Контроль процесса сканирования До сети класса B за 1 день + Аналитика и выявление критичных уязвимостей Контроль нежелательных сервисов Оценка с учетом критичности ресурсов + Стратегическая аналитика Контроль эффективности устранения уязвимостей Окно уязвимости + Инвентаризация Узлы, сервисы, версии, уязвимости Черные/белые списки
  • 16. 1717 ptsecurity.com Мониторинг безопасности и защита Веб-сервиса: Экспертиза + передовые технологии PT AF • Веб-сервисы критичны • Доступ к хранимой информации • Точка «входа» во внутреннюю сеть • Лицо организации • Высокая динамика • Обновление сервиса - ежедневно • Появление новых угроз • Самый атакуемый тип сервиса • Экспертиза и большой объем работы • Много «шума» • Исследователи «вебщики» • Выявление инцидента • Взаимосвязь Веб и ИТ – комплексная задача • Большой объем логов для обработки • Мониторинг безопасности • Оперативное оповещение о критических срабатываниях • Актуальная информация о новых угрозах и уязвимостях • Периодические проверки • Сводный анализ атак на ресурс • Выявление аномалий, рекомендации по расследованию • Экспертные возможности • Анализ границ инцидентов (цепочки атак) • Верификация уязвимостей (проверка эксплойтов) • PT AF как инструмент форензики 17
  • 17. 1818 ptsecurity.com Анализ и Расследование инцидентов • Анализ инцидента • Выявление связанных событий безопасностей и их анализ • Анализ атак (совокупности событий, результатов, достигнутых атакующим) • Фиксация границ инцидента (системы, время) • АЗ по инциденту и первичные рекомендации • Расследование инцидента (по результатам Анализа инцидента) • Исследование артефактов инцидента • Анализ средств и тактики атакующего • Атрибуция атакующего (категория нарушителя, конечные цели) • Прогноз возможностей атакующего • Рекомендации !!! $$$ Расследование инцидентов: Корректно диагностировать и бороться с причинами и последствиями, а не симптомами
  • 18. 1919 ptsecurity.com Ретроспективный анализ: выявление инцидентов • Оценка готовности • Периодические проверки • Ежеквартально • По критическим системам • По подозрениям на инциденты • Поиск следов компрометации • Анализ событий безопасности • Сбор и первичный анализ артефактов • Анализ журналов. Backward Anomaly Rollout • Отложенный автоматизированный анализ потенциально-вредоносного ПО • Отчет - сводка попыток компрометации и событий безопасности $$$ Проверить подозрения, выявить упущенные инциденты: возможно ещё не поздно минимизировать ущерб?!
  • 19. 2020 ptsecurity.com PT ESC: экспертные сервисы Внешние угрозы ИТ-инфраструктуре Усиленный контроль периметра (ABC) Внешнее тестирование на проникновение Мониторинг угроз сетевого трафика Анализ инцидентов ИБ Защита от угроз Веб-сервисов Анализа защищенности Веб-сервисов (black/grey/whitebo x) Мониторинг безопасности и защита Веб- сервисов Анализ инцидентов в Веб- сервисах Защита от внутренних угроз Внутренне тестирование на проникновение Анализ инцидентов Анализ готовности к реагированию и расследованию инцидентов Анализ эффективности центров мониторинга ИБ IT Экспертные сервисы ИБ Ретроспективный анализ и выявлении инцидентов Реагирование на инциденты Расследование инцидентов Профильные отраслевые сервисы WEB
  • 21. 2222 ptsecurity.com 22 PT ESC • Команда PT ESC. Команда экспертного центра обеспечивает оперативное реагирование на обращения и собираемую информацию, работает с инцидентами и координирует взаимодействие с командой PT, партнерами, производителями и сообществом. • Команда экспертов PT. Исследовательский центр Positive Technologies насчитывает более 150 человек и является одним из крупнейших в Европе. Специалисты центра заслужили репутацию экспертов мирового уровня по защите важнейших современных отраслей — веб-порталов и онлайн-банков, АСУ ТП и ERP, сетей мобильной связи и облачных технологий. • Взаимодействие с партнерами и производителями средств ИБ –возможности компании PT в рамках технологического партнерства получения комментариев и содействия со стороны ключевых производителей, интеграторов, эксплуатирующих организаций информации позволяет оперативно исключать ложные срабатывания систем обеспечения, сузить область анализа инцидента, а также существенно масштабировать объем оказываемых услуг PT ESC. • Взаимодействие с ИБ-сообществом. Компания PT активно участвует и развивает ИБ сообщество, являясь организатором конференции PHDays. • Специализированные методики инструменты и сервисы. Команда PT ESC непрерывно развивает компетенции по ключевым областям специализации в ходе выполнения работ. Существенная доля этих знаний становится доступна потребителям в виде обновлений сигнатур, правил и эвристик для продуктов PT. • База знаний уязвимостей и угроз, используемая в PT ESC, — одна из крупнейших в мире. Эксперты Positive Technologies обнаружили и помогли устранять множество уязвимостей в продуктах таких компаний, как Cisco, Google, Microsoft, Oracle, SAP, Siemens, Huawei, Schneider Electric, Honeywell. База постоянно пополняется за счёт новых исследований и аналитических сервисов. • Сервис PT ESC – сделано для Вас! Обеспечение ИБ – это непрерывный процесс. В рамках наших услуг мы непрерывно отслеживаем состояние зафиксированных обращений и открытых инцидентов. Мы предлагаем гибкие возможности подключения систем сбора информации, различные варианты обращений для получения сервиса и возможность интеграции с вашими системами отслеживания задач.
  • 22. 2323 ptsecurity.com Исследовательский центр Positive  Одна из самых больших научно-исследовательских лабораторий по безопасности в Европе  100+ обнаружений 0-day уязвимостей в год  150+ обнаружений 0-day уязвимостей в SCADA  30+ обнаружений 0-day уязвимостей в Telco  Наши знания используют ключевые промышленные центры

Editor's Notes

  1. Необходимость и достаточность решений и сервисов для расследования инцидентов   Расследование инцидентов информационной безопасности предполагает как анализ «составляющих» - атак и событий безопасности, уязвимостей, так и реконструкцию общей картины – целей атакующего, восстановление границ кампании и замысла атакующего. Даже если для фиксации событий безопасности применяются эффективные средства и практики защиты информации в современных условиях этого зачастую может быть недостаточно для решения комплексной задачи. Более того, атакующие также могут активно использовать общедоступную и собираемую информацию о средствах защиты информации и проводимых работах для снижения их эффективности.   В докладе будет представлен опыт расследования инцидентов информационной безопасности, выявленные ограничения средств и практик для организаций с различным уровнем зрелости информационной безопасности.
  2. Оценка защищенности и анализ уязвимостей широкого спектра инфраструктур и приложений, включая веб- и мобильные приложения, SCADA, ДБО, ATM и сети телекомов. Тесты на проникновение и анализ исходного кода для поиска уязвимостей и закладок. Автоматизированные Сервисы такие как контроль внешнего периметра (Advanced Border Control) – непрерывно разрабатываются и поддерживаются специалистами PT и экспертами PT ESC, что позволяет получать Заказчику сервис экспертного уровня, содержащий актуальную информацию об угрозах и состоянии своих систем с высоким уровнем масштабируемости и по приемлемой цене. Мониторинг и выявление инцидентов. Уникальные методики и опыт экспертов PT ESC в сочетании с передовыми технологиями и инструментами Positive Technologies позволяют оказывать услуги по выявлению инцидентов на ранних стадиях, а использование ретроспективного анализа дает возможность обнаружить инциденты, пропущенные штатными системами защиты, сократить возможности атакующих даже после успешного проникновения в систему. Расследование инцидентов ИБ: восстановление хронологии атак, выявление затронутых активов и интересов злоумышленников, рекомендации по ликвидации последствий и предотвращению повторения инцидентов в будущем. Анализ артефактов и аналитика угроз – исследование и формализация знаний о признаках возможных инцидентов, а также консолидация информации из различных отраслей и географических регионов о методах, инструментах и целях злоумышленников. Консультации и исследования по ИБ. Клиенты PT ESC имеют возможность оперативно обратиться по вопросам к ведущим экспертам по ИБ и получить ответы на свои насущные вопросы, а также оперативно получать информацию об актуальных угрозах и резонансных уязвимостях, на которые стоит обратить внимание. Анализ эффективности служб и систем ИБ – проведение аудита эффективности отдельных подсистем или службы в целом в режиме учений – лучший способ периодического контроля и проверки готовности к реальным вызовам. Доверяете аутсорсерам? Доказано: периодические проверки улучшат их работу.
  3. Ретроспективный мониторинг - аудит инфраструктуры с целью выявления ранее пропущенных инцидентов, не блокированных, либо неверно интерпретированных штатными средствами защиты; Анализ и реагирование на инциденты – оперативный анализ артефактов систем защиты и ИТ систем, категоризация и выработка мер реагирования на инцидент и критериев достаточности принятых анализ эффективности и достаточности ранее принятых мер по уже выявленным инцидентам; Расследование инцидентов – установление причин, границ, затронутых активов, восстановление хронологии, оценка интересов и потенциальных возможностей злоумышленников, подготовка рекомендации по ликвидации последствий и адаптации инфраструктуры защиты к противостоянию выявленному типу угроз; OSINT (аналитика актуальных угроз) - информирование о возникновении угроз, затрагивающих инфраструктуру, активы, отрасль Заказчика, обновляемые пакеты кастомизированных сигнатур и индикаторов для выявления атак; Профильные отраслевые сервисы – дополнение специализированных компетенций по ситуации. Экспертиза по организации защиты инфраструктуры, выявлению и реагированию на инциденты в специализированных информационных системах сегментах, таких как Telco, ISC/SCADA, ДБО. Возможность привлечения отраслевых экспертов Telco, ISC/SCADA, ДБО.
  4. Средства мониторинга и анализа. В рамках оказания услуг PT ESC активно использует собственные продукты Positive Technologies: систему оценки защищенности MaxPatrol, межсетевой экран PT Application Firewall, систему мониторинга событий безопасности MaxPatrol SIEM, модуль выявления вредоносных кодов PT Multiscanner и систему PT Network Forensics. Именно эти продукты стали ключевыми компонентами центров оперативного управления безопасностью, созданных для одного из крупнейших мировых операторов связи ОАО «Вымпелком» (2011), а также для защиты IT-инфраструктур Универсиады в Казани (2013) и зимней Олимпиады в Сочи (2014).