Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Швейцарский нож против APT

190 views

Published on

Докладчики расскажут о стандартном и о комплексном подходах к защите от APT-атак и продемонстрируют возможности применения «швейцарского ножа» для расследования инцидентов ИБ.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Швейцарский нож против APT

  1. 1. Швейцарский нож против APT Кирилл Михайлов Эксперт группы внедрения корпоративных решений Лаборатория Касперского
  2. 2. Анатомия атаки
  3. 3. Зараженные носители Почта Цепочка атаки Сеть Сеть Почта ИсполнениеРаспространениеПроникновениеПодготовка Инцидент Зараженные носители
  4. 4. 90% 9.9% 0.1% Обычное ВПО Целевые атаки APT Угрозы сегодня
  5. 5. APT = Advanced Persistent Threat https://securelist.com/analysis/quarterly-malware-reports/78169/apt-trends-report-q1-2017/
  6. 6. 90% 9.9% 0.1% Зачем нужно отдельное anti-APT? Сигнатурные методы защиты Поведенческий анализ Специализированное решение Обычное ВПО Целевые атаки APT
  7. 7. Anti-APT = Песочница?
  8. 8. Песочницакак технология
  9. 9. Отправка объекта в песочницу Вердикт Мониторинг активности в виртуальной среде Детонация объекта Схема работы песочницы
  10. 10. Достаточно ли одной песочницы для борьбы с APT?
  11. 11. Швейцарский ножпротив APT
  12. 12. Сеть Почта Рабочие станции Песочница Визуализация вердиктовАнализ данныхПолучение данныхИсточники данных Сенсор для рабочих станций Сетевой сенсор Центр анализа Репутационный сервис SIEM Графический интерфейс Общая схема решения
  13. 13. Швейцарский ножПолучение данных
  14. 14. Сетевые сенсоры
  15. 15. Сенсор для рабочих станций
  16. 16. Швейцарский ножАнализ данных
  17. 17. Система обнаружения вторжений
  18. 18. Антивирусный движок
  19. 19. Репутационные сервисы Репутация
  20. 20. Создание сигнатуры Загрузка на сервер обновлений Репутационные сервисы Получение ВПО Анализ данных Анализ Обнаружение Тестирование Доставка пользователю Загрузка в облако До нескольких часов Несколько минут
  21. 21. Песочница
  22. 22. Полезная нагрузка ВПО Выделенный интерфейс Задача 1 Задача 2 Задача N Песочница Запрос к серверу злоумышленника Полезная нагрузка VM 1 VM 2 VM N Сервер злоумышленника Интернет Вредоносный объект
  23. 23. Результат выполнения задачи Объект анализа Конфигурация песочницы Логи заданий Pcaps Дампы памяти процессов Скриншоты эмуляции Архив c данными эмуляции
  24. 24. Глобальные репутационные данные Активность на рабочих станциях ПесочницаСетевая активность Корреляция событий с использованием машинного обучения
  25. 25. Повторный анализ объектов 1 неделя 1 месяц 3 месяца Карантин Вредоносный объект
  26. 26. Уровень риска мобильных приложений
  27. 27. YARA движок
  28. 28. Проверка сертификатов
  29. 29. Гарантированная проверка с помощью всех доступных технологий
  30. 30. Швейцарский ножВизуализация событий
  31. 31. Визуализация Настраиваемая панель мониторинга Группировка событий Сортировка и поиск событий по основным признакам Выделение критичных узлов сети Передача данных в SIEM
  32. 32. Швейцарский ножв изолированной сети
  33. 33. Работа в изолированной среде Сеть Почта Сетевой сенсор Пользователи Запрос репутации Репутационные данные Статистика Центр анализа Локальная репутационная база Изолированный периметр URL репутация Файловая репутация
  34. 34. It’s Showtime! Кирилл Михайлов Эксперт группы внедрения корпоративных решений Лаборатория Касперского

×