Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

От сигнатур к поведенческой аналитике: эволюция подходов к выявлению угроз

125 views

Published on

В рамках секции: Безопасность в динамике: анализ трафика и защита сети

Published in: Technology
  • Be the first to comment

  • Be the first to like this

От сигнатур к поведенческой аналитике: эволюция подходов к выявлению угроз

  1. 1. От сигнатур к поведенческой аналитике - эволюция подходов к выявлению угроз
  2. 2. ©2017, ОАО «ИнфоТеКС». Белые шляпы из ИнфоТеКС
  3. 3. ©2017, ОАО «ИнфоТеКС». A long time ago… 1984 •Signature detection
  4. 4. ©2017, ОАО «ИнфоТеКС». Сигнатуры для IDS/IPS Сигнатуры ПМ Анализ, тестирование ETOpen Экспертное сообщество Feeds об атаках, вирусах, зловредном коде Исследование ПО
  5. 5. ©2017, ОАО «ИнфоТеКС». Следующие пути эволюции 1988 • Packet filtering 1991 • Application proxy 1993 • Sateful Packet Inspection
  6. 6. ©2017, ОАО «ИнфоТеКС». Visibility v 1.0 2001 • Deep packet inspection 2004 • Full Content inspection 2009 • Application/User awareness 2011 • Context awareness or Visibility
  7. 7. ©2017, ОАО «ИнфоТеКС». DPI – сижу высоко, гляжу далеко
  8. 8. ©2017, ОАО «ИнфоТеКС». Application Attributes
  9. 9. ©2017, ОАО «ИнфоТеКС». OpenAppID Перспективный мониторинг – российский технологический партнер компании Cisco Поддерживаемый сообществом открытый язык написания детекторов приложений 2 500 детекторов уже создано 20 000 загрузок с сентября 2016 Поддерживается сообществом snort Снижение зависимости от цикла релиза вендора
  10. 10. ©2017, ОАО «ИнфоТеКС». DPI реализует Максимальная видимость – фильтрация на 7 уровне ISO OSI Защита от сетевых атак – блокировка аномалий, запрещенных команд, старых протоколов Защита от вирусных атак URL-фильтрация
  11. 11. ©2017, ОАО «ИнфоТеКС». Наше время 2015 •UEBA or Visibility 2.0
  12. 12. ©2017, ОАО «ИнфоТеКС». Атаковать легче Средства ИБ создают шум 2010 Verizon расследование утечек: в 86% случаях доказательства были в логах Нехватка персонала Низкая квалификация
  13. 13. ©2017, ОАО «ИнфоТеКС». Layer 8 - Users Removable USB sticks BYOD APT
  14. 14. ©2017, ОАО «ИнфоТеКС». UEBA – продукт или техника? Статистические методы – базовая линия и выбросы/отклонения Машинное обучение – Что такое хорошо и что такое плохо? Data Mining и/или Искусственный интеллект – поиск ранее неизвестных данных (атак)
  15. 15. ©2017, ОАО «ИнфоТеКС». Работать не с событиями, а с инцидентами 10 000 000 + исходных событий 1 000 000 + событий ИБ 100 + инцидентов
  16. 16. ©2017, ОАО «ИнфоТеКС». Интеллектуальная аналитическая система ViPNet TIAS Отчеты Инциденты Математическая модель + правила События ИБ
  17. 17. Вы не верите в математику?
  18. 18. ©2017, ОАО «ИнфоТеКС». Реальный случай – TIAS выявляет WannaCry Стоит TIAS TIAS не обновляется год – старые правила Обновляются только IDS 28 апреля IDS получили БРП с описанием уязвимости ETERNALBLUE 12 мая выявлен инцидент
  19. 19. ©2017, ОАО «ИнфоТеКС».
  20. 20. ©2017, ОАО «ИнфоТеКС». Что нас ждет впереди? Автоматизация Предсказание Принятие решения Прогресс в автоматической классификации изображений. Процент ошибок, сделанных ИИ по годам. Красная линия — процент ошибок, которые делает обученный человек при выполнении той же задачи.
  21. 21. Спасибо!

×