Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Один зеродей и тысяча ночей без сна

290 views

Published on

Презентация с Payment Security 2019 про борьбу с 0day атаками

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Один зеродей и тысяча ночей без сна

  1. 1. Алексей Лукацкий Бизнес-консультант по безопасности Один зеродей и тысяча ночей без сна
  2. 2. Как мы обычно боремся с вредоносным ПО? • ИБ или ИТ-службы, которые привыкли делать «потому что так принято», не задумываясь о актуальной модели угроз • Традиционный (или даже продвинутый) антивирус на ПК • МСЭ на периметре для блокирования вредоносных коммуникаций (C&C или 139-й порт) • Настройки антивируса обычно используются по умолчанию Антивирус МСЭ
  3. 3. C чем может бороться данный сценарий? • Широко распространенное вредоносное ПО • Сигнатуры для него известны в течение месяцев • Если используются командные C&C- сервера, то их IP-адреса обычно известны • Вложения в e-mail, содержащие старые исполняемые файлы • Старое вредоносное ПО на флешках • Прямая загрузка вредоносного ПО из Интернет (например, бесплатные антивирусы или дефрагментаторы) Уровень обнаружения на VT – выше 80%
  4. 4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начнем с определений
  5. 5. Жизненный цикл уязвимости tv te td t0 ts tp ta Уязвимость появилась Эксплойт выпущен в мир Уязвимость известна вендору Уязвимость публично раскрыта Выпущена сигнатура для AV/IDS Выпущен патч Патч внедрен Окно незащищенности Атака 0day
  6. 6. Кто вовлечен в бизнес по поиску 0day? Приват Приват Паблик t Государства, оборонные подрядчики, разработчики эксплойтов, исследователи уязвимостей «Плохие парни» Вендора, ищущие 0day в своих решениях, охотники bug bounty, Google Project Zero…
  7. 7. Биржи скупки уязвимостей
  8. 8. Биржа скупки уязвимостей Zerodium В отличие от легальных программ Bug Bounty, предлагаемых ИТ- производителями, биржи скупки уязвимостей платят на порядок больше денег, мотивируя «исследователей» работать с ними
  9. 9. И даже прямо ищут
  10. 10. • 0-Day для Adobe – 30000$ • 0-Day для Apple – 250000$ • Эксплойт-кит – 200-600$ • Blackhole эксплойт-кит – 700$ в месяц (лизинг) или 1500$ в год • Шпионское ПО – 200$ Разработка на заказ Примечание: цены могут постоянно меняться в ту или иную сторону
  11. 11. 0day встречаются не только в APT 1% 9% 90% Сигнатуры и правила Поведенческий анализ, облачная репутация, Threat Intelligence, NTA Машинное обучение, песочницы, threat hunting, forensics Широко распространенное, обычное ВПО Сложное ВПО Целевое и уникальное ВПО
  12. 12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько фактов о 0day • Средняя длительность 0day-атаки составляет 312 дней (медиана – 8 месяцев) • После раскрытия 0day-уязвимости число использующего ее ВПО возрастает в 183-85000 раз, а число атак с ней возрастает на 5 (!) порядков • Эксплойты для 0day уязвимостей появляются в течение 30 дней после даты раскрытия уязвимости в 42% случаев Длительность 0day-атак
  13. 13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Несколько фактов о 0day Атаки с 0day-уязвимостями ВПО с 0day-уязвимостями Источник: Symantec Research Lab
  14. 14. Зачем полагаться на антивирус, если он ловит только банальщину?
  15. 15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Антивирус не спасает Источник: Group-IB Нет антивируса 14% Kaspersky 44% Microsoft 16% Symantec 7% Dr.Web 8% Другие 11%
  16. 16. SaaS для киберпреступности – проверка детектирования • Проверка вредоносного кода на проверку набором антивирусов • Снижение рисков обнаружения
  17. 17. Так у меня на периметре стоит NGFW из правого верхнего квадранта Гартнера!
  18. 18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сеть Пользователи Головной офис ЦОД Администратор Филиал Посмотрите на современную, вашу, сеть Мобильные пользователи Облако Какие варианты проникновения в нее существуют?
  19. 19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Нормальное распределение длин поддоменов Аномалии в названии поддоменов log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com Что скрывается в этой строке на 231 символ? Утечка номеров кредитных карт через DNS
  20. 20. Взлом через Wi-Fi в контролируемой зоне
  21. 21. История атак на оборудование Cisco • Это привело к появлению множества новых технологий контроля целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др. • 44-ФЗ как угроза информационной безопасности… Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да Начало 2000-х годов
  22. 22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлома Web-портала Equifax • 10 марта 2017 года злоумышленники нашли известную уязвимость на портале Equifax, позволившую получить доступ к Web- порталу и выполнять на нем команды • Информация об уязвимости была разослана US CERT двумя днями ранее • После идентификации уязвимости злоумышленники запустили эксплойт и получили доступ к системе, проверив возможность запуска команд • Никаких данных украдено еще не было
  23. 23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 2 в атаке на Equifax: эксплуатация уязвимости • 13 мая 2017 года злоумышленники эксплуатировали эту уязвимость и проникли во внутренние системы, выполнив ряд маскирующих процедур • Например, использовалось существующее зашифрованное соединение для генерации запросов/получения ответов
  24. 24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлом British Airways • Между 21 августа и 5 сентября 2018 года хакерская группа Magecart (или маскирующаяся под нее), взломав сервер авиакомпании British Airways, похитила данные 380 тысяч клиентов, включая их ПДн и финансовую информацию • Позже BA сообщила, что могли пострадать еще 185 тысяч клиентов
  25. 25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Начало сценария схоже с Equifax • Отличие в том, что в случае с BA был взломан сайт авиакомпании и подменен JavaScript, собирающий данные клиентов, с последующей пересылкой данных на вредоносный ресурс baways.com • Также есть предположение, что взломан мог быть не сайт BA, а CDN, используемый провайдерами связи для кеширования популярных ресурсов или сервер третьей стороны
  26. 26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Атака «водопой» (water hole) А также взлом ASUS, Avast и др.
  27. 27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Взлом NASA • В апреле 2018 хакеры проникли во внутреннюю сеть NASA и украли 500 МБ данных по миссии на Марс • В качестве точки входа использовался портативный компьютер Raspberry Pi, установленный в сети NASA
  28. 28. 17 каналов проникновения плохих парней в вашу организацию? 1. E-mail 2. Web 3. Site-to-Site VPN 4. Remote Access VPN 5. Sharing resources 6. USB 7. Wi-Fi 8. Warez 9. BYOD 10. Embedded 11. Клиент-сервер с шифрованием 12. DevOps 13. Подрядчики 14. Уязвимость на портале 15. «Водопой» (Waterhole) 16. DNS 17. Облако
  29. 29. Можем ли мы бороться с тем, чего не знаем?
  30. 30. Для защиты от 0day надо учитывать Kill chain Доставка Эксплойт Инсталляция C&C Действие Анализ Расширение плацдарма Инсталляция / исполнение Запуск Захват Сбор Утечка Удаление Разведка Вооружение Определение цели Подготовка Планирование Вторжение
  31. 31. Любая активность злоумышленников базируется на наблюдаемых и измеряемых действиях
  32. 32. Threat Intelligence - это не только фиды и IoCи •Инструменты •Артефакты •Индикаторы •Кампании •Тактика •Техника •Процедуры •Атрибуция •Цели •Стратегия Стратегический Тактический ТехническийОперационный Долгосрочные Краткосрочные Менее детальные Более детальные
  33. 33. Откуда можно брать данные TI? • Открытые источники фидов • Частные (закрытые) источники фидов • Социальные сети • Twitter • Сайты и блоги исследователей • Youtube • Deep Web / Darknet 🔍
  34. 34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример: 2 российских поставщика TI Источник: Владимир Бенгин, Positive Technologies IP-адреса Домены 5907 (активных 563) 305351 (активных 4682) Данные по C2C-фидам за 01.02.2019-07.02.2019 760 (активных 10) 2568 (активных 24) 32 IP-адреса 44 домена Пересечение
  35. 35. Продвинутая защита для большинства случаев • Threat Intelligence для всех элементов системы защиты • Расширение функционала решения за счет контроля поведения трафика и пользователей • Дополнение функционала EPP функциями обнаружения и реагирования на инциденты (EDR) и круглосуточный мониторинг и реагирование (MDR) • Интеграция хостовых и сетевых средств обнаружения и реагирования Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Мониторинг DNS ИБ IaaS/PaaS Mobile Device Management (MDM) Защита серверов CASB
  36. 36. C чем может бороться данный сценарий? • Отсутствие повтора поведения • Обфускация файлов для обхода продвинутых песочниц • Маскировка под нормальные файлы, удаление индикаторов заражение • 0Day в пользовательских приложениях • Модификация известных техник, адаптированных под новые приложения и ОС • Распространение по сети (например, после компрометации ПК) Уровень обнаружения на VT – менее 5%
  37. 37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Быстрый взгляд на DNS DNS = Domain Name System • Первый шаг в подключении к Интернет • Используется на всех устройствах (даже на мобильных) • Не зависит от порта DNS FW / SIG Cisco.com 72.163.4.161
  38. 38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Мониторинг DNS Malware C2 Callbacks Phishing ЦЕНТР Sandbox NGFW Proxy Netflow AV AV ФИЛИАЛ Router/UTM AV AV РОУМИНГ AV Первая линия Сеть и хосты Сеть и хосты Хосты Всё начинается с DNS Предвосхищает открытие файлов и IP соединение Используется всеми устройствами Не зависит от порта
  39. 39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Три подхода к мониторингу внутренней сети Анализ логов сетевых устройств • Самый дешевый вариант • Зависит от производителя и модели устройства • Требует анализатора (LM / SIEM) Потоки трафика • Защита инвестиций в инфраструктуру • Зависит от типа протокола Flow • Требует анализатора (NTA / SIEM) «Сырой» трафик для СОВ / СОА • Самый распространенный и самый очевидный вариант • Большое количество решений на рынке • Об этом же говорят регуляторы
  40. 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Использование технологий SPAN, RSPAN, ERSPAN или TAP • Подходит для глубокого анализа конкретной сессии с захватом не только заголовка, но и тела данных • Может быть использован для хранения доказательной базы Сравнение захвата пакетов и анализа потоков • Использование протоколов Netflow, sFlow, IPFIX, NetStream и других • Сбор метаданных из сетевого трафика • Первоначально использовался для анализа статистики и поиска проблем в сети • Применение специальных алгоритмов позволяет использовать для анализа угроз безопасности Захват пакетов Анализ потоков
  41. 41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Proxy Data Security Packet Analyzer Packet Data & Storage Решения класса NTA Комплексная безопасность и сетевой мониторинг NTA Cloud Endpoint License UDP Director Other Traffic Analysis Software Flow Sensor Hypervisor with Flow Sensor VE Non-NetFlow enabled equipment VMVM NAC Flow Collector Management Console Threat Feed License NetFlow enabled routers, switches, firewalls Cognitive Analytics
  42. 42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public • Экспорт Netflow/IPFIX зависит от активного/неактивного таймера и может приводить к задержкам до 30 минут • Полная видимость всего трафика • Позволяет обеспечивать расследование инцидентов Анализ семплированной телеметрии в контексте кибербезопасности • Данные передаются в реальном времени • Хорошо подходит для обнаружения массированных DoS/DDoS-атак • Пропуск «многопакетных» атак, непопавших в семплированный трафика • Пропуск «атомарных» атак • Не подходит для расследования инцидентов Несемплированная Семплированная
  43. 43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что вы можете увидеть? botnet excessive communication torrent SSH cracking 8 6 5 c&c8 5 DETECTED INCIDENTS ICMP burst7 unexpected DNS usage6 SMB service discovery8 6- TOR4 vulnerability scanning tool5 phishing5 risk cryptowall10 sality8 ramnit9 suspicious file download7 CONFIRMED INCIDENTS anomaly detection + global feature cache + IOCs ad injector anonymization software banking trojan click fraud cryptocurrency miner exfiltration exploit kit information stealer malicious advertising malicious content distribution malware distribution maney scam PUA ransomware scareware spam botnet spam tracking trojan 310 - DNS sinkhole7
  44. 44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  45. 45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Предотвращаем Обнаруживаем Снижаем риск •Антивирус •Обнаружение бестелесного ВПО •Облачная аналитика (1:1, 1:многим) •Клиентские индикаторы компрометации •Статический анализ •Песочница •Защита от вредоносной активности •Машинное обучение •Корреляция потоков данных с устройства •Облачные индикаторы компрометации •Уязвимое ПО •Редко встречаемые файлы •Анализ логов прокси Как защитить ПК и сервера? EDR!
  46. 46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Что произошло? Где точка отсчета? Куда попало ВПО? Что происходит? Как остановить это? Непрерывный мониторинг хостов с EDR
  47. 47. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Поиск следов угроз (Threat hunting) Лечение в один клик Корреляция данных об угрозах Обеспечение глубокого расследования
  48. 48. Ключевые особенности технологии поведенческой аналитики • Анализ активности не столько пользователей, сколько активностей, с ними связанной (действия, процессы, приложения, сетевой трафик и т.п.) • Анализу подлежит активность и поведение пользователей, а не роли, атрибуты или параметры доступа (хотя они важны в контексте) • Анализ подразумевает не использование жестко зафиксированных правил корреляции, а применение более интеллектуальных методов (например, машинного обучения и т.п.), позволяющих без описанных ранее шаблонов зафиксировать аномалии в поведении
  49. 49. 3 причины обращения заказчиков к UEBA • Нехватка возможностей существующих решений и технологий по обнаружение угроз, связанных с деятельностью пользователей • Необходимость мониторить окружение, которое не покрывается другими решениями и технологиями • Высокая стоимость сортировки и приоритезации событий ИБ в существующих SIEM-решений, которые как-то оперируют событиями, связанными с пользователями
  50. 50. Продукт или технология? • Вы можете выбрать отдельный продукт или встроенную в существующее решение технологию / функцию • Возможно сегмент отдельных продуктов UEBA «вымрет», слившись с другими классами продуктов, повысивших свою эффективность работы с пользовательским контекстом UEBA Технология SIEM DLP NTA EDR IAG/PAM Продукт
  51. 51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Автоматизация обнаружения атак на уровне сети и хостов Если ВПО попало на хост Немедленное обнаружение Блокирование / удаление на хосте Блокирование на уровне сети, хостов, email и облаков EDR + NTA + UEBA + NGIPS + …
  52. 52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Кто? Известные пользователи (Сотрудники, продавцы, HR) Неизвестные пользователи (Гости) Что? Идентификатор устройства Классификация устройств (профиль) Состояние устройства (posture) Как? Проводное подключение Беспроводное подключение VPN-подключение Где / куда / откуда? Географическое местоположение Департамент / отдел SSID / Порт коммутатора Когда? Дата Время Другие? Пользовательские атрибуты Статус устройства / пользователя Используемые приложения Опыт динамической сегментации в Cisco
  53. 53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Автоматизация сетевой сегментации Сеть Сетевая безопасность Контроль сетевого доступа Кто Что Где Автоматический карантин
  54. 54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Сетевая инфраструктура должна быть системой защиты 0 1 2 3 4 Не ограничивайтесь периметром Используйте Netflow или IPFIX Используйте несемплированный Netflow Проверьте загрузку оборудования Начните с уровня доступа 5 6 7 8 9 Если российское, то с поддержкой flow Комбинируйте NTA и СОВ/СОА Думайте о зонировании, а не о МСЭ Интегрируйте средства мониторинга сети и контроля сетевого доступа Учитывайте стратегию развития своей сети
  55. 55. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public В современных предприятиях данным разрешено перемещаться между… Любыми пользователями Сотрудники Контрактники Партнеры Любыми устройствами Корпоративные Собственные IoT Любыми приложениями ЦОД Мультиоблако SaaS В любых местах Внутри сети Через VPN Вне сети
  56. 56. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Политики белых списков для обычной активности Безопасность требует непрерывных обнаружения и верификации Цифровой бизнес оперирует в серой зоне Идентификатор пользователя Статус устройства Профиль устройства Зависимость приложений Файл · IOC Домен IP · URL Отправитель сообщения Шаблон поведения Политики черных списков для вредной активности © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
  57. 57. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 4 столпа доверенного предприятия в Cisco Secure Administration Identity Services Engine (ISE) Software Defined Access Доверенный доступ Single Sign On 802.1x Multi-Factor Authentication Доверенная идентичность Trusted Endpoint Trusted Server Trusted Network Network Services Orchestrator Доверенная инфраструктура Internal App security baselines SaaS security baselines IaaS security baselines Доверенные сервисы
  58. 58. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверенные оконечные устройства Стандарт доверенного устройства Регистрация устройства Anti-malware Версия ОС Обновление ПО Шифрование Обнаружение root/jailbreak (только для мобильных) Пароль/Скринсейвер Удаленная очистка данных Управление устройством (MDM) Инвентаризация ПО и железа Cisco Security Suites CISCO CYODКУПЛЕНО CISCO 65,344 MOBILE DEVICES 121,593 CISCO SUPPLIED DEVICES 6,230 41,655 13,472 74,947 48,802 341
  59. 59. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверенные сервера Стандарт доверенного сервера Регистрация устройства Управление конфигурацией Защита ОС Обновление ОС Управление уязвимостями ПО и ОС Защищенное управление Централизованная аутентификация Шифрование данных Защита учетных записей и разделяемых секретов Anti-malware Интеграция с SIEM и реагированием на инциденты Замкнутая программная среда (AWL) IT UCS серверов 12,042 Виртуальных машин 47,526
  60. 60. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверенные сетевые устройства 61 Аутентификация периметра (802.1x) Защищенное управление Контроль & автоматизация защищенной конфигурации (SDN) Сегментация MFA для удаленного доступа Шифрование WAN Role Based Access Controls (ARBAC) Политики защищенного доступа (SNMP/SSH ACL) Шифрование канала аутентификации (TACACS шифрование) Аутентификация и шифрование уровня управления (SNMPv3) Централизованная регистрация событий Аутентификация и централизация хранилища identity (TACACS+, LDAP) Контролируемый защищенный авторитативный DNS-сервис (pDNS, ODNS) Защищенный источник времени (NTP) Мониторинг административного доступа (AAA Accounting & Logging) Аутентификация протоколов маршрутизации Контроль целостности имиджа сетевой ОС Дифференцированный доступ (политика динамических пользователей и устройств, оценка состояния & защита) Стандарт доверенного сетевого устройства 8,495 LAN Switches 7,607 Routers 653 Wireless LAN Controllers 30,022 Cisco Virtual Office 715 Firepower, ASA
  61. 61. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Доверенные внутренние приложения 62 Стандарт доверенного приложения Регистрация приложений (ServiceNow) Управление конфигурацией Централизованная аутентификация (SSO) Оценка воздействия на приватность (GDPR) Управление уязвимостями и патчами (Qualys, Rapid7) Защищенное управление Мониторинг и защита данных (DLP, IRM, шифрование) Оценка исходного кода приложений (SCAVA) Базовая и глубокая оценка приложений (BAVA/DAVA) Управление ключами и шифрование Защита SOAP, REST и API Интеграция с SIEM и реагированием на инциденты 3982 внутренних приложений Сложности • Старые приложения • Высокая кастомизация • Поддержка после EOL • Как управлять рисками • Автоматизация стандарта
  62. 62. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Проверка гигиены Managed Browser OS Status Mac OS X is out of date Out-of-date operating systems are a security concern. Mac OS X 10.14.2 Mac OS X 10.14 See how to update Mac OS X Автоматизация доверенного доступа Проверка идентичности Доступ нормальных приложений Блокирование доступа Доступ разрешен © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
  63. 63. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Модель зрелости безопасности Политика на базе места/IP вставки безопасности Политика на базе понимания App/ID на все предприятие Дизайн потоков от активов к данным по бизнес-целям Обнаружение активов & данных предприятие+3-и стороны Непрерывное обнаружение сеть+облако+ПК Непрерывная верификация предприятие+3-и стороны 1 2 3 4 5 6 Усиление инфраструктуры Управление рисками Динамический контекст Эволюция угроз и доверия Статическое предотвращение
  64. 64. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Непрерывная верификация На примере бета-проекта в Cisco
  65. 65. Как бороться со спецслужбами? • Фокус на обнаружении • Стратегия разрешения только хорошо известного • Белые списки приложений и изоляция сегментов сети, приложений и узлов на уровне данных, не допуская взаимодействия доверенных и недоверенных активов • Виртуализация, удаленные браузеры на уровне ПК • TPM, контроль целостности ОС, подпись всех e-mail, контроль потоков, удаленная верификация Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Контроль приложений ЛокализацияЗащита серверов Изоляция Мониторинг DNS Mobile Device Management (MDM)
  66. 66. • Начать с пересмотра стратегии кибербезопасности • Понять мотивацию злоумышленников для их предприятия • Учесть тактику, техники и процедуры (TTP), используемые злоумышленниками • Идентифицировать слабые звенья в их организации, в их сети, в их системе защиты • Думать как злоумышленники – действовать как безопасники (применяйте Red Team / Blue Team) • Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ» Что надо делать компаниям?
  67. 67. • Пересмотреть их систему защиты • Сбалансировать технологии защиты (предотвращение, обнаружение и реагирование) – вместо соотношения 80-15-5 перейдите к 33-33-34 • Задуматься о безопасности внутренней сети также, как они защищают периметр • Мониторить даже то, чего у них по политике нет (Wi-Fi, мобильные устройства, 3G/4G-модемы, облака и т.п.) • Внедрить систему Threat Intelligence для раннего предупреждения об угрозах Что надо делать компаниям?
  68. 68. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
  69. 69. Спасибо за внимание! alukatsk@cisco.com

×