SlideShare a Scribd company logo

Обнаружение атак - из конца 90-х в 2018-й

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак

Technology
1 of 35
Download to read offline
Системы обнаружения вторжений: из конца 90-х в 2018-й Алексей Лукацкий Бизнес-консультант, Cisco © 2017 Cisco and/or its affiliates. All rights reserved.
Почему я говорю про обнаружение атак? 20022001 2003
IDS (СОВ) конца 90-х годов 3 Методы обнаружения • Сигнатурные • Аномальные Источники данных • Журналы регистрации • Сетевой трафик Места установки • Периметр (NIDS) • Узел (HIDS)
Российские производители застыли в 90-х Сравнение по числу сигнатур атак Ограниченное количество распознаваемых приложений
25000 сигнатур! Серьезно? Да хоть 1000000 = В мире прож ивает 7,3 миллиарда человек Около 3-х угроз на каж дого ж ителя Зем ли приходится еж едневно На самом деле число атак бесконечно J Будем и дальше меряться конечным числом в бесконечном множестве?
Атаки эволюционируют Механизмы доставки Хакеры используют разные каналы/вектора реализации угроз – почта, Web, флешки, Wi-Fi, цепочка поставок… Типы файлов Хакеры используют разные типы файлов - .zip, .exe, .js, .docm, .wsf Скорость эволюции Хакеры быстро эволюционируют и генерят новые атаки, так как старые становятся менее эффективными TTD Безопасникам нужно снижать TTD для того, чтобы идти в ногу с хакерами
Российские производители застыли в 90-х На дворе был 2015 год! Тестирование на датасетах 99-го года?! Smurf? Teardrop? Back Orifice 2000? В 2015-м? И нет 100% обнаружения?
• Заваливают нерелевантными событиями • Не дают информации для продолжения расследования • Требуют месяцев на тюнинг • “Черный ящик” – сложно определить, работает ли он • Результат: • IDS минимально эффективны или не используются • Много времени и ресурсов тратится на то, чтобы заставить IDS работать • Организации все равно ломают Проблемы с традиционными IDS 8
Как улучшить ситуацию с обнаружением атак? 9 Новые методы обнаружения (сигнатуры, правила, ИИ) Получение сигналов тревоги Приоритезация сигналовРеагирование Большинство вендоров (особенно отечественных) фокусируется только тут и увеличивает число сигнатур атак
Посмотрите с высоты птичьего полета 10 Производитель СОВ ЖертваЗлоумышленник СОВ стоит обычно здесь А ждем улучшений мы обычно здесь
© 2 0 1 7 C is c o a n d /o r its a ffilia te s . A ll rig h ts re s e rv e d . C is c o P u b lic 11 Вы действительно считаете, что обнаружение атак и система обнаружения атак – это одно и тоже?
• Уязвимости: слабости системы, которые позволяют хакерам эксплуатировать их • Пример: Microsoft Tuesday – каждый второй вторник каждого месяца Microsoft анонсирует уязвимости и выпускат патчи для них • Эксплойт: специфическая атака на уязвимость • На каждую уязвимость существует множество потенциальных эксплойтов • Например, WannaCry использовал одну уязвимость, но имел 400+ модификаций • Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а не условия эксплуатации уязвимостей Уязвимости vs. Эксплойты 12
Что надо анализировать? Угроза может скрываться не только в сетевом трафике или логах • Сетевой трафик • Трафик приложений (HTTP и т.п.) • DNS-трафик • URL • Netflow • E-mail • Логи прокси и SaaS • Файлы • Метаданные • Поведение процессов и пользователей
Разные алгоритмы обнаружения вредоносной активности Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
E Обучение с учителем Обучение без учителя Другие 75% 15% 10% © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Машинное обучение
Классификатор Предсказание © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Обучающая выборка Алгоритм машинного обучения Новые данные Важно помнить про машинное обучение, что… Откуда у вашего вендора обучающая выборка (на чем он учит своих СОВ)?
Миллиарды соединений • Statistical Methods • Information-Theoretical Methods • 70+ Unsupervised Anomaly Detectors • Dynamic Adaptive Ensemble Creation • Multiple-Instance Learning • Neural Networks • Rule Mining • Random Forests • Boosting • ML: Supervised Learning • Probabilistic Threat Propagation • Graph-Statistical Methods • Random Graphs • Graph Methods • Supervised Classifier Training Обнаружениеаномалий имоделированиедоверия Классификациясобытий имоделированиесущностей Моделирование взаимосвязей Многоуровневая система алгоритмовмашинногообучения © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Нет единственно верного метода ML/DL
• Получение информации с ошибками • Отсутствие или исчезновение информации на конкретные угрозы • Отсутствие учета вертикальной или страновой специфики • Смена политики лицензирования • Смена собственника • Поглощение компании-разработчика • Сотрудничество со спецслужбами • Санкции… Риски получения данных об угрозах из одного источника
От сигнатур к индикаторам компрометации Эпизодическое применение фидов Регулярное использование отдельных ресурсов с фидами Использование платформы TI Использование API для автоматизации Обмен фидами • SNORT • YARA • SIGMA • Государственные (ФинЦЕРТ и ГосСОПКА) и частные • Коммерческие и бесплатные • Закрытые и OSINT
Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет A S A IS R IP S A S A П о ч т а В е б IS E A c tiv e D ir e c to r y Б е с п р о в о д н а я с е т ь К о м м у т а т о р М а р ш р у т и з а т о р К о н т е н т П о л и т и к а И н т е г р и р о в а н н ы е с е р в и с ы IS R -G 2 C S M A S A ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП C T D ID S R A М С Э Б е с п р о в о д н а я с е т ь К о м м у т а т о р М а р ш р у т и з а т о р С е г м е н т а ц и яМ о н и т о р и н г Разные места установки
Обнаружение вторжений с учетом контекста и специфики приложения (NGIPS) Коммуникации Приложение/устройство 010111010010 10 010001101 010010 10 10 Пакеты данных Приоритезация реакции Смешанныеугрозы • Разведка сети • Фишинг • «Невинные» нагрузки • Редкие обращения 3 1 2 Accept Block Автомати- зация NPS Анализ сетевоготрафика Корреляция данных Обнаружениескрытных угроз Отклик наосновеприоритетов
Интеграция разных подсистем обнаружения Рабочие станции Сеть Ключ З а п и с ь B lo c kA le r tA llo w W eb и Em ail Усиленная защита Постоянный мониторинг активности файлов, обнаружение скрытых угроз, ограничение и реагирование Блокированиеизвестных иразвивающихсяугроз НепрерывнаяиретроспективнаябезопасностьIntelligence моментальнаязащита .exe С т а т и ч е с к и й и д и н а м и ч е с к и й а н а л и з К о н т р о л ь а т а к Р е т р о с п е к т и в а Т р а е к т о р и я у с т р о й с т в а Эластичный поиск РаспространенностьТраектрория файла У я з в и м о с т и E n d p o in t IO C s One-to-One Signatures FuzzyFingerprinting Machine Learning Advanced Analytics Глобальная информация об угрозах Р е п у т а ц и я Io C П о л и т и к и н а о с н о в е г р у п п и п о л ь з о в а т е л е й А н а л и з в п е с о ч н и ц е Развертывание К о н с о л ь у п р а в л е н и я A M P C lo u d А д м и н б е з о п а с н о с т и Управление Перед Во время После AdvancedThreats Sandboxing Web Global Intelligence Anom aly Detection Shadow IT & Data NGIPS & NGFW Identity & Access Control Email DNS, IP&BGP
• Анализ сертификата при установлении соединения SSL TLS и расшифровка TLS Контроль зашифрованного трафика Поддержкаразличныхвариантов расшифровки Журналирование Ядро расшифровки SSL Обеспечение политики Зашифрованный трафик AVC http://www.%$&^*#$@#$.com http://www.%$&^*#$@#$.com Анализрасшифрованныхпакетов Контрольижурналирование всехSSL-сеансов NGIPS g a m b lin g e lic it h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m û ü û ü ü ü û ü û û
Обнаружение в шифрованном трафике 24 Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD
Автоматизация Понимание инфраструктуры «Левые» узлы, аномалии, нарушения политики идр. Оценка ущерба Снижение числа событий, с которыми предстоит иметь дело Автоматизация тюнинга «Подкрутка» политик IPS, базируясь на изменениях в сети Идентификация пользователя Ассоциация пользователей с событиями безопасности для снижения времени расследования Индикаторы компрометации Идентификация узлов, которые были взломаны 25
За горизонтом событий ИБ: ретроспектива Антивирус Песочница СОВ Начальное значение = Чисто Точечноеобнаружение Начальное значение = Чисто Ретроспектива Пропущеныатаки Актуальное значение = Плохо = Поздно!! Регулярныйвозвратк ретроспективе Видимостьиконтроль– этоключ Не100% Анализ остановлен Sleep Techniques Unknown Protocols Encryption Polymorphism Актуальное значение = Плохо = Блокировано Ретроспективное обнаружение, анализ продолжается
• Полная видимость и прозрачность сети • Учет контекста (пользователи, устройства…) • Полная автоматизация • Оценка ущерба • Независимость от производителя в части получения сигнатур атак • Работа с индикаторами компрометации • Обнаружение аномалий Если IPS, то следующего поколения 27
• Интеграция с средствами предотвращения вторжений на оконечных устройствах • Интеграция с иными средствами защиты в сети • Ретроспективная безопасность • Встроенная корреляция событий • Отсутствие снижение производительности при включении нескольких защитных модулей Если IPS, то следующего поколения 28
Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способыизучения угроз Сетевые потоки | Поведение | Сигнатуры| Исследования
А можно предсказывать атаки? Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностическая аналитика Почему это случилось? Предсказательная аналитика Что случится? Предписывающ ая аналитика Что я должен сделать? Сложность Ценность
В 2018+ СОВ – это не одно средство Поархитектуре • Сетевые • Хостовые • Гибридные • Распределенные Пофокусу • На заказчика (традиционные) • На инфраструктуру злоумышленника (DNS / Darkweb) Повремени • До атаки (инфраструктура хакеров) • Во время (classic) • После (TH / IOC / SIEM) Поместуустановки • У заказчика • У оператора связи • У провайдера услуг Потипуатак • Традиционные IDS • DDoS • Netflow • EDR
Как улучшить ситуацию с обнаружением атак? 32 Повысить качество обнаружения • Снижение ложных срабатываний • Сдвиг от обнаружения эксплойтов • Использование разных поставщиков методов обнаружения • Новые методы обнаружения • Новые источники данных • Ретроспектива • Один источник – несколько инструментов анализа (IDS, SIEM, IOC) Быстрее обнаруживать • Собственная лаборатория • Обмен информацией об угрозах • Ловушки • Анализ инфраструктуры злоумышленников • Разные места установки • Улучшение методов уведомления об угрозах Быстрее создавать методы обнаружения • Автоматизация создания сигнатур на стороне потребителя • Автоматизация создания сигнатур на стороне вендора Быстрее доставлять методы обнаружения • Распределенные центры обновлений (облака) • Изменение частоты обновления
Если обнаружение не помогло. Threat Hunting 33 Формулируем гипотезу Ищем в инфраструктуре Найдено? Расширяем поиски Реагирование Новые методы обнаружения (сигнатуры, правила, ИИ) Не найдено? Начинаем с начала
В качестве резюме • Обнаружение атак ≠ система обнаружения атак • Даже системы обнаружения атак сильно изменились с конца 90-х годов и опираются не только на сигнатуры • Число сигнатур СОВ не является мерилом качества ее работы • Поймите ограничения своих методов обнаружения • Комбинируйте методы обнаружения, источники данных, места установки • Улучшайте обнаружение атак по разным направлениям • Занимаясь Detection, не забывайте про Hunting
Спасибо

Recommended

Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиAleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 

Recommended

Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиAleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеBig data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0Aleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 

More Related Content

What's hot

Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеBig data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 

What's hot (20)

Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное довериеBig data: полная анонимность или полное доверие
Big data: полная анонимность или полное доверие
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБ
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
 

Similar to Обнаружение атак - из конца 90-х в 2018-й

Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Expolink
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Cisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Cisco Russia
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Увидеть все
Увидеть всеУвидеть все
Увидеть всеCisco Russia
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАльбина Минуллина
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияCisco Russia
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...Cisco Russia
 
Сеть как средство защиты и реагирования на угрозы
Сеть как средство защиты и реагирования на угрозыСеть как средство защиты и реагирования на угрозы
Сеть как средство защиты и реагирования на угрозыCisco Russia
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 

Similar to Обнаружение атак - из конца 90-х в 2018-й (20)

Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Увидеть все
Увидеть всеУвидеть все
Увидеть все
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколения
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Сеть как средство защиты и реагирования на угрозы
Сеть как средство защиты и реагирования на угрозыСеть как средство защиты и реагирования на угрозы
Сеть как средство защиты и реагирования на угрозы
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 

More from Aleksey Lukatskiy (18)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

Обнаружение атак - из конца 90-х в 2018-й

  • 1. Системы обнаружения вторжений: из конца 90-х в 2018-й Алексей Лукацкий Бизнес-консультант, Cisco © 2017 Cisco and/or its affiliates. All rights reserved.
  • 2. Почему я говорю про обнаружение атак? 20022001 2003
  • 3. IDS (СОВ) конца 90-х годов 3 Методы обнаружения • Сигнатурные • Аномальные Источники данных • Журналы регистрации • Сетевой трафик Места установки • Периметр (NIDS) • Узел (HIDS)
  • 4. Российские производители застыли в 90-х Сравнение по числу сигнатур атак Ограниченное количество распознаваемых приложений
  • 5. 25000 сигнатур! Серьезно? Да хоть 1000000 = В мире прож ивает 7,3 миллиарда человек Около 3-х угроз на каж дого ж ителя Зем ли приходится еж едневно На самом деле число атак бесконечно J Будем и дальше меряться конечным числом в бесконечном множестве?
  • 6. Атаки эволюционируют Механизмы доставки Хакеры используют разные каналы/вектора реализации угроз – почта, Web, флешки, Wi-Fi, цепочка поставок… Типы файлов Хакеры используют разные типы файлов - .zip, .exe, .js, .docm, .wsf Скорость эволюции Хакеры быстро эволюционируют и генерят новые атаки, так как старые становятся менее эффективными TTD Безопасникам нужно снижать TTD для того, чтобы идти в ногу с хакерами
  • 7. Российские производители застыли в 90-х На дворе был 2015 год! Тестирование на датасетах 99-го года?! Smurf? Teardrop? Back Orifice 2000? В 2015-м? И нет 100% обнаружения?
  • 8. • Заваливают нерелевантными событиями • Не дают информации для продолжения расследования • Требуют месяцев на тюнинг • “Черный ящик” – сложно определить, работает ли он • Результат: • IDS минимально эффективны или не используются • Много времени и ресурсов тратится на то, чтобы заставить IDS работать • Организации все равно ломают Проблемы с традиционными IDS 8
  • 9. Как улучшить ситуацию с обнаружением атак? 9 Новые методы обнаружения (сигнатуры, правила, ИИ) Получение сигналов тревоги Приоритезация сигналовРеагирование Большинство вендоров (особенно отечественных) фокусируется только тут и увеличивает число сигнатур атак
  • 10. Посмотрите с высоты птичьего полета 10 Производитель СОВ ЖертваЗлоумышленник СОВ стоит обычно здесь А ждем улучшений мы обычно здесь
  • 11. © 2 0 1 7 C is c o a n d /o r its a ffilia te s . A ll rig h ts re s e rv e d . C is c o P u b lic 11 Вы действительно считаете, что обнаружение атак и система обнаружения атак – это одно и тоже?
  • 12. • Уязвимости: слабости системы, которые позволяют хакерам эксплуатировать их • Пример: Microsoft Tuesday – каждый второй вторник каждого месяца Microsoft анонсирует уязвимости и выпускат патчи для них • Эксплойт: специфическая атака на уязвимость • На каждую уязвимость существует множество потенциальных эксплойтов • Например, WannaCry использовал одну уязвимость, но имел 400+ модификаций • Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а не условия эксплуатации уязвимостей Уязвимости vs. Эксплойты 12
  • 13. Что надо анализировать? Угроза может скрываться не только в сетевом трафике или логах • Сетевой трафик • Трафик приложений (HTTP и т.п.) • DNS-трафик • URL • Netflow • E-mail • Логи прокси и SaaS • Файлы • Метаданные • Поведение процессов и пользователей
  • 14. Разные алгоритмы обнаружения вредоносной активности Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
  • 15. E Обучение с учителем Обучение без учителя Другие 75% 15% 10% © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Машинное обучение
  • 16. Классификатор Предсказание © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Обучающая выборка Алгоритм машинного обучения Новые данные Важно помнить про машинное обучение, что… Откуда у вашего вендора обучающая выборка (на чем он учит своих СОВ)?
  • 17. Миллиарды соединений • Statistical Methods • Information-Theoretical Methods • 70+ Unsupervised Anomaly Detectors • Dynamic Adaptive Ensemble Creation • Multiple-Instance Learning • Neural Networks • Rule Mining • Random Forests • Boosting • ML: Supervised Learning • Probabilistic Threat Propagation • Graph-Statistical Methods • Random Graphs • Graph Methods • Supervised Classifier Training Обнаружениеаномалий имоделированиедоверия Классификациясобытий имоделированиесущностей Моделирование взаимосвязей Многоуровневая система алгоритмовмашинногообучения © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Нет единственно верного метода ML/DL
  • 18. • Получение информации с ошибками • Отсутствие или исчезновение информации на конкретные угрозы • Отсутствие учета вертикальной или страновой специфики • Смена политики лицензирования • Смена собственника • Поглощение компании-разработчика • Сотрудничество со спецслужбами • Санкции… Риски получения данных об угрозах из одного источника
  • 19. От сигнатур к индикаторам компрометации Эпизодическое применение фидов Регулярное использование отдельных ресурсов с фидами Использование платформы TI Использование API для автоматизации Обмен фидами • SNORT • YARA • SIGMA • Государственные (ФинЦЕРТ и ГосСОПКА) и частные • Коммерческие и бесплатные • Закрытые и OSINT
  • 20. Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет A S A IS R IP S A S A П о ч т а В е б IS E A c tiv e D ir e c to r y Б е с п р о в о д н а я с е т ь К о м м у т а т о р М а р ш р у т и з а т о р К о н т е н т П о л и т и к а И н т е г р и р о в а н н ы е с е р в и с ы IS R -G 2 C S M A S A ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП C T D ID S R A М С Э Б е с п р о в о д н а я с е т ь К о м м у т а т о р М а р ш р у т и з а т о р С е г м е н т а ц и яМ о н и т о р и н г Разные места установки
  • 21. Обнаружение вторжений с учетом контекста и специфики приложения (NGIPS) Коммуникации Приложение/устройство 010111010010 10 010001101 010010 10 10 Пакеты данных Приоритезация реакции Смешанныеугрозы • Разведка сети • Фишинг • «Невинные» нагрузки • Редкие обращения 3 1 2 Accept Block Автомати- зация NPS Анализ сетевоготрафика Корреляция данных Обнаружениескрытных угроз Отклик наосновеприоритетов
  • 22. Интеграция разных подсистем обнаружения Рабочие станции Сеть Ключ З а п и с ь B lo c kA le r tA llo w W eb и Em ail Усиленная защита Постоянный мониторинг активности файлов, обнаружение скрытых угроз, ограничение и реагирование Блокированиеизвестных иразвивающихсяугроз НепрерывнаяиретроспективнаябезопасностьIntelligence моментальнаязащита .exe С т а т и ч е с к и й и д и н а м и ч е с к и й а н а л и з К о н т р о л ь а т а к Р е т р о с п е к т и в а Т р а е к т о р и я у с т р о й с т в а Эластичный поиск РаспространенностьТраектрория файла У я з в и м о с т и E n d p o in t IO C s One-to-One Signatures FuzzyFingerprinting Machine Learning Advanced Analytics Глобальная информация об угрозах Р е п у т а ц и я Io C П о л и т и к и н а о с н о в е г р у п п и п о л ь з о в а т е л е й А н а л и з в п е с о ч н и ц е Развертывание К о н с о л ь у п р а в л е н и я A M P C lo u d А д м и н б е з о п а с н о с т и Управление Перед Во время После AdvancedThreats Sandboxing Web Global Intelligence Anom aly Detection Shadow IT & Data NGIPS & NGFW Identity & Access Control Email DNS, IP&BGP
  • 23. • Анализ сертификата при установлении соединения SSL TLS и расшифровка TLS Контроль зашифрованного трафика Поддержкаразличныхвариантов расшифровки Журналирование Ядро расшифровки SSL Обеспечение политики Зашифрованный трафик AVC http://www.%$&^*#$@#$.com http://www.%$&^*#$@#$.com Анализрасшифрованныхпакетов Контрольижурналирование всехSSL-сеансов NGIPS g a m b lin g e lic it h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m û ü û ü ü ü û ü û û
  • 24. Обнаружение в шифрованном трафике 24 Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD
  • 25. Автоматизация Понимание инфраструктуры «Левые» узлы, аномалии, нарушения политики идр. Оценка ущерба Снижение числа событий, с которыми предстоит иметь дело Автоматизация тюнинга «Подкрутка» политик IPS, базируясь на изменениях в сети Идентификация пользователя Ассоциация пользователей с событиями безопасности для снижения времени расследования Индикаторы компрометации Идентификация узлов, которые были взломаны 25
  • 26. За горизонтом событий ИБ: ретроспектива Антивирус Песочница СОВ Начальное значение = Чисто Точечноеобнаружение Начальное значение = Чисто Ретроспектива Пропущеныатаки Актуальное значение = Плохо = Поздно!! Регулярныйвозвратк ретроспективе Видимостьиконтроль– этоключ Не100% Анализ остановлен Sleep Techniques Unknown Protocols Encryption Polymorphism Актуальное значение = Плохо = Блокировано Ретроспективное обнаружение, анализ продолжается
  • 27. • Полная видимость и прозрачность сети • Учет контекста (пользователи, устройства…) • Полная автоматизация • Оценка ущерба • Независимость от производителя в части получения сигнатур атак • Работа с индикаторами компрометации • Обнаружение аномалий Если IPS, то следующего поколения 27
  • 28. • Интеграция с средствами предотвращения вторжений на оконечных устройствах • Интеграция с иными средствами защиты в сети • Ретроспективная безопасность • Встроенная корреляция событий • Отсутствие снижение производительности при включении нескольких защитных модулей Если IPS, то следующего поколения 28
  • 29. Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способыизучения угроз Сетевые потоки | Поведение | Сигнатуры| Исследования
  • 30. А можно предсказывать атаки? Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностическая аналитика Почему это случилось? Предсказательная аналитика Что случится? Предписывающ ая аналитика Что я должен сделать? Сложность Ценность
  • 31. В 2018+ СОВ – это не одно средство Поархитектуре • Сетевые • Хостовые • Гибридные • Распределенные Пофокусу • На заказчика (традиционные) • На инфраструктуру злоумышленника (DNS / Darkweb) Повремени • До атаки (инфраструктура хакеров) • Во время (classic) • После (TH / IOC / SIEM) Поместуустановки • У заказчика • У оператора связи • У провайдера услуг Потипуатак • Традиционные IDS • DDoS • Netflow • EDR
  • 32. Как улучшить ситуацию с обнаружением атак? 32 Повысить качество обнаружения • Снижение ложных срабатываний • Сдвиг от обнаружения эксплойтов • Использование разных поставщиков методов обнаружения • Новые методы обнаружения • Новые источники данных • Ретроспектива • Один источник – несколько инструментов анализа (IDS, SIEM, IOC) Быстрее обнаруживать • Собственная лаборатория • Обмен информацией об угрозах • Ловушки • Анализ инфраструктуры злоумышленников • Разные места установки • Улучшение методов уведомления об угрозах Быстрее создавать методы обнаружения • Автоматизация создания сигнатур на стороне потребителя • Автоматизация создания сигнатур на стороне вендора Быстрее доставлять методы обнаружения • Распределенные центры обновлений (облака) • Изменение частоты обновления
  • 33. Если обнаружение не помогло. Threat Hunting 33 Формулируем гипотезу Ищем в инфраструктуре Найдено? Расширяем поиски Реагирование Новые методы обнаружения (сигнатуры, правила, ИИ) Не найдено? Начинаем с начала
  • 34. В качестве резюме • Обнаружение атак ≠ система обнаружения атак • Даже системы обнаружения атак сильно изменились с конца 90-х годов и опираются не только на сигнатуры • Число сигнатур СОВ не является мерилом качества ее работы • Поймите ограничения своих методов обнаружения • Комбинируйте методы обнаружения, источники данных, места установки • Улучшайте обнаружение атак по разным направлениям • Занимаясь Detection, не забывайте про Hunting