Документ обсуждает текущие проблемы безопасности в условиях динамичного ландшафта угроз и упоминает риски, связанные с целенаправленными атаками и кибервойнами. Основное внимание уделяется недостаткам традиционных методов мониторинга и необходимости внедрения новых моделей безопасности для оперативного обнаружения и реагирования на угрозы. В заключение, подчеркивается важность непрерывного анализа и интегрированного подхода к безопасности в эпоху интернета вещей.

1. Целенаправленные угрозы
Апокалипсис грядущий или наставший?!..
Алексей Лукацкий
Бизнес-консультант по безопасности, Cisco

2. 2
Текущие проблемы безопасности
Изменение бизнес-
моделей
Динамический
ландшафт угроз
Сложность и
фрагментация

3. завтра20102000 2005
Изменение
ландшафта угроз
APTs и
кибервойны
Черви и вирусы
Шпионское ПО
и руткит
Антивирус
(Host-Based)
IDS/IPS
(Сетевой периметр)
Репутация (Global) и
песочница
Разведка и аналитика
(Облако)
Ответ
предприятия
Угрозы

4. 4
APT: Использование нескольких уязвимостей сразу

5. 5
Угроза
распространяется по
сети и захватывает как
можно больше данных
ПРЕДПРИЯТИЕ
ЦОД
Заражение точки
входа происходит
за пределами
предприятия
Интернет и
облака
ПУБЛИЧНАЯ
СЕТЬ
Продвинутые
угрозы обходят
средства защиты
периметра
КАМПУС
ПЕРИМЕТР
APT: многовекторность нападения

6. 6
Время не на нашей стороне
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы

7. 7
Как бороться?

8. 8
Новая модель безопасности
ДО
Обнаружение
Блокирование
Защита
ВО ВРЕМЯ ПОСЛЕ
Контроль
Применение
Усиление
Видимость
Сдерживание
Устранение
Ландшафт угроз
Сеть Оконечные
устройства
Мобильные
устройства
Виртуальные
машины
Облако
В определенный
момент Непрерывно

9. 9
От модели к технологиям
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM

10. 10
Надо видеть больше, чем обычно
Сетевые
сервера
ОС
Рутера и
свитчи
Мобильные
устройства
Принтеры
VoIP
телефоны
Виртуальные
машины
Клиентские
приложения
Файлы
Пользователи
Web
приложения
Прикладные
протоколы
Сервисы
Вредоносное
ПО
Сервера
управления
ботнетами
Уязвимости
NetFlow
Сетевое
поведение
Процессы

11. 11
?
Традиционных подходов уже недостаточно

12. 12
Проблемы с традиционным мониторингом
Admin
Базируется на правилах
• Зависимость от сложно
создаваемых вручную
правил
• Зависимость от
человеческого фактора
Зависимость от времени
• Занимает недели или
месяцы на обнаружение
• Требует постоянного
тюнинга
Security
Team
Очень сложно
• Часто требует
квалифицированный
персонал для управления
и поддержки
111010000 110 0111
Невозможно
идти в ногу с
последними
угрозами

13. 13
Безопасность WWWСеть
Identity & Политики
Будущее облачной аналитики угроз
Облачная аналитика и исследования угроз
Web
Rep
IPS
Rep
Email
Rep
Репутация
Глобальная аналитика
Портал угроз
Сетевые политики
Телеметрия
безопасности
Телеметрия
сети
Поведенческий анализ
Глобальные данные об
угрозах
CTA

14. 14
Обнаружить, понять и остановить угрозу
?
Аналитика и
исследования
угроз
Угроза
определена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование

15. 15
Непрерывная защита и ретроспективный анализ
Как
Что
Кто
Где
Когда
Аналитика и
исследования
угроз
История событий
Непрерывный анализКонтекст Блокирование

16. 16
Уход от точечной защиты

19. сенсоров
мест
контроля в
реальном времени
СЕТЬ КАК СЕНСОР

20. БЛОКИРОВАНИЕ
ТРАФИКА
БЛОКИРОВАНИЕ
ЗАРАЖЕННЫХ УЗЛОВ
ПРЕДОТВРАЩЕНИЕ
ВРЕДОНОСНОГО ПО
Действуй на всесторонне и быстро

21. БЛОКИРОВАНИЕ
ТРАФИКА
БЛОКИРОВАНИЕ
ЗАРАЖЕННЫХ УЗЛОВ
ПРЕДОТВРАЩЕНИЕ
ВРЕДОНОСНОГО ПО
Безопасность а не наложена

22. 22
Дальше будет хуже

23. 23
Любое устройство к любому облаку
ЧАСТНОЕ
ОБЛАКО
ОБЩЕ-
ДОСТУПНОЕ
ОБЛАКО
ГИБРИДНОЕ
ОБЛАКО

24. 24
The image
cannot be
displayed. Your
computer may
not have enough
memory to open
the image, or the
image may have
been corrupted.
Restart your
computer, and
Всеобъемлющий
Интернет

25. 25
IoT: масштабный рост поверхности атаки

26. 26
Миллиарды целей, миллионы угроз

27. 27