SlideShare a Scribd company logo

Реагирование на инциденты ИБ 2016

Download as PPTX, PDF
Alexey Kachalin
Alexey Kachalin

Обзор проблематики и сценариев инцидентов ИБ для непрофильных руководителей (Семинар PWC для управляющих директоров)

Technology
1 of 15
ptsecurity.com Алексей Качалин «Реагирование на инциденты ИБ: (пред)смертных грехов»7
Что (не) делать при расследовании инцидента • До – большинство проблем • Что защищаем? Хаос в защите • Кто обнаружит инцидент? • Во время • Понять и не простить: границы инцидента • Инцидент – не правильно. Правильно - инциденты • Скорость реакции. Устойчивость средств защиты к изменениям угроз • После • Инцидент закрыт. Проблема решена? • Выводы на будущее?
Инцидент? Но мы не готовы! • Инвентаризация • Управление уязвимостями • Эффективность мониторинга ИБ? Периметр 87% корпоративных локальных сетей не останавливает проникновение 61% компаний может взломать атакующий с базовыми навыками Взлом компании занимает 3-5 дней Действия пентестеров обнаруживают только в 2 из 100 тестов на проникновение 87% 61% 2% 1 неделя Когда мы проверим наш план реагирования?
Путь атакующего: кто обнаружит «инцидент»? Initial Compromise Establish Foothold Escalate Privileges Internal Recon Move Laterally Complete Mission Maintain Presence Clean up & Exfiltrate Passive Recon (OSINT) Active Recon • Очевидна протяженность во времени • Критичность событий безопасности в зависимости от этапа «продвижения» атакующего • «Прекратить безобразия» – не всегда оптимальный путь • Равно как и раскрыть факт обнаружения проникновения
Границы инцидента: больше чем «событие безопасности» Attackers Hackers Spies Terrorists Corporate Raiders Professional Criminals Vandals Voyeurs Tool Physical Attack Information Exchange User Command Script or Program Autonomous Agent Toolkit Distributed Tool Data Tap Vulnerability Design Implementation Configuration Action Probe Scan Flood Authenticate Bypass Spoof Read Copy Steal Modify Delete Target Account Process Data Component Computer Network Internetwork Unauthorized Results Increased Access Disclosure of Information Corruption of Information Denial of Service Theft of Resources Objectives Challenge, Status, Thrill Political Gain Financial Gain Damage Event Attack(s) Incident • Инцидент рассматривается как событие • Анализ целей • Атрибуция атакующего • Расследовать «событие» или инцидент?
Комплексные сценарии – обычная практика
10 000+ Инциденты происходят ежедневно, важно «не утонуть» Ежедневный шум: Массовые вирусные рассылки Попытки сканирования Перебор паролей … Немного серьезней: • Файлсервер заражен криптором • Троян на сервере печати Действительно важно 99 3
Недооценка серьезности инцидента 400 10000+ 100 500 300 Targeted Immune Persistent Resistant Camouflaged Multilayered Novel Controllable Complex Sophisticated Interdisciplinary Evolving A P T • Автоматизация решения рутинных задач • «Предупреждение» атакующего об обнаружении • Крайности • «Инцидент должен быть закрыт за 15 минут» • Каждое срабатывание – APT • Что (не)учитывается? • Пропущены критические объекты/возможности мониторинга • Избыточное внимание одним компонентам СЗИ в ущерб другим
«Большая картина» – теперь ещё больше Advanced: Акторы с максимальными возможностями …и их комбинациями Persistent: Миссия, цели Подход «Медленно и тихо» «Настойчивость» - удержание контроля, доступа к системе Threat: Возможность + Намерение = угроза APT – «Кто», а не «что» A P T События ИБ  Атаки  Инциденты  Кампании Как противостоять угрозе «с человеческим лицом»?
Приложение – и цель и средство атакующего - Веб-приложения - Веб-порталы - Бизнес- приложения, SAP - Мобильные приложения - Электронная коммерция - ДБО • Подвержены атакам – возможность доступа из Интернет • Содержат критические данные • Возможность доступа во внутреннюю сеть через приложение Приложение – уязвимая цель Наше виденье безопасности приложений: + Безопасность по построению: СЗИ + Цикл безопасной разработки + СЗИ: адаптивный контроль + Исследование уязвимостей + Интегрированная возможность расследования инцидентов • Рост динамики обновлений приложений • Сложная структура приложений – сторонние компоненты • Итеративная разработка, зависимость от внешнего исполнителя Ваши Приложения: цель №1
Ретроспективный анализ «подозреваемого». Неделей позже
Что было - то прошло? Работа над ошибками PREDICT Assess Intelligence PREVENT Resist Avoid RESPOND DETECT Collect Interpret Containment Eradication Recovery
Products Services Incident ResponsePenTest & AppSec PT MultiscannerPT Application Inspector PT Application Firewall MaxPatrol SIEM MaxPatrol PT ISIM Продукты и сервисы ПТ: практика безопасности PREDICT PREVENT RESPOND DETECT PT Expert Security Center
Positive Technologies Products & Services Positive Research & Security Announcements Positive Hack Days Security Conference POSITIVE TECHNOLOGIES: EXPERTS IN SECURITY OFFENSE & DEFENSE http://securitylab.ru https://www.ptsecurity.com/ PHDays.com AKachalin@ptsecurity.com Alexey Kachalin PHDays 7. 2017 May, 23-24th
ptsecurity.com

Recommended

DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решенийDEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решенийDenis Gorchakov
 
Защита от целевых атак. Практика применения решений в крупной организации
Защита от целевых атак. Практика применения решений в крупной организацииЗащита от целевых атак. Практика применения решений в крупной организации
Защита от целевых атак. Практика применения решений в крупной организацииDenis Gorchakov
 
6 qualys minsk_june_25_2015
6 qualys minsk_june_25_20156 qualys minsk_june_25_2015
6 qualys minsk_june_25_2015trenders
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...
TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...
TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...Expolink
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Security Metrix
Security MetrixSecurity Metrix
Security Metrixguest430c97
 

Recommended

DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решенийDEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решенийDenis Gorchakov
 
Защита от целевых атак. Практика применения решений в крупной организации
Защита от целевых атак. Практика применения решений в крупной организацииЗащита от целевых атак. Практика применения решений в крупной организации
Защита от целевых атак. Практика применения решений в крупной организацииDenis Gorchakov
 
6 qualys minsk_june_25_2015
6 qualys minsk_june_25_20156 qualys minsk_june_25_2015
6 qualys minsk_june_25_2015trenders
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...
TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...
TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...Expolink
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Security Metrix
Security MetrixSecurity Metrix
Security Metrixguest430c97
 
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"Expolink
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Positive Hack Days
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рискамиАлександр Лысяк
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)Alexey Kachalin
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиCisco Russia
 
пресс конференция 15.06.2016. безопасность платежных систем и банков
пресс конференция 15.06.2016. безопасность платежных систем и банковпресс конференция 15.06.2016. безопасность платежных систем и банков
пресс конференция 15.06.2016. безопасность платежных систем и банковДмитрий Бумов
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Galina Zhdanovich
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Защита от направленных атак
Защита от направленных атакЗащита от направленных атак
Защита от направленных атакSelectedPresentations
 

More Related Content

What's hot

Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"Expolink
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Positive Hack Days
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)Alexey Kachalin
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиCisco Russia
 
пресс конференция 15.06.2016. безопасность платежных систем и банков
пресс конференция 15.06.2016. безопасность платежных систем и банковпресс конференция 15.06.2016. безопасность платежных систем и банков
пресс конференция 15.06.2016. безопасность платежных систем и банковДмитрий Бумов
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Galina Zhdanovich
 

What's hot (20)

Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
Астерит. Михаил Пузин. "Целевые атаки: разбор реального кейса"
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Threat intelligence в процессах SOC
Threat intelligence в процессах SOC Threat intelligence в процессах SOC
Threat intelligence в процессах SOC
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИ
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасности
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБКак построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
 
пресс конференция 15.06.2016. безопасность платежных систем и банков
пресс конференция 15.06.2016. безопасность платежных систем и банковпресс конференция 15.06.2016. безопасность платежных систем и банков
пресс конференция 15.06.2016. безопасность платежных систем и банков
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...
 

Similar to Реагирование на инциденты ИБ 2016

AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Защита от направленных атак
Защита от направленных атакЗащита от направленных атак
Защита от направленных атакSelectedPresentations
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыAlexey Kachalin
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Expolink
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"Expolink
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"Expolink
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Expolink
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Expolink
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?Sergey Soldatov
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 

Similar to Реагирование на инциденты ИБ 2016 (20)

AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
Защита от направленных атак
Защита от направленных атакЗащита от направленных атак
Защита от направленных атак
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспекты
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
CheckPoint. Сергей Чекрыгин. "Check Pont. На шаг впереди"
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложения
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
Check Point. Сергей Чекрыгин. "Check Pont. На шаг впереди"
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атак
 
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"Check Piont. Чекрыгин Сергей. "На один шаг впереди"
Check Piont. Чекрыгин Сергей. "На один шаг впереди"
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 

More from Alexey Kachalin

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Alexey Kachalin
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и довериеAlexey Kachalin
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаAlexey Kachalin
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Alexey Kachalin
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Alexey Kachalin
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияAlexey Kachalin
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Alexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Alexey Kachalin
 
New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)Alexey Kachalin
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Alexey Kachalin
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 

More from Alexey Kachalin (20)

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и доверие
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестирования
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014
 
New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
 

Реагирование на инциденты ИБ 2016

  • 1. ptsecurity.com Алексей Качалин «Реагирование на инциденты ИБ: (пред)смертных грехов»7
  • 2. Что (не) делать при расследовании инцидента • До – большинство проблем • Что защищаем? Хаос в защите • Кто обнаружит инцидент? • Во время • Понять и не простить: границы инцидента • Инцидент – не правильно. Правильно - инциденты • Скорость реакции. Устойчивость средств защиты к изменениям угроз • После • Инцидент закрыт. Проблема решена? • Выводы на будущее?
  • 3. Инцидент? Но мы не готовы! • Инвентаризация • Управление уязвимостями • Эффективность мониторинга ИБ? Периметр 87% корпоративных локальных сетей не останавливает проникновение 61% компаний может взломать атакующий с базовыми навыками Взлом компании занимает 3-5 дней Действия пентестеров обнаруживают только в 2 из 100 тестов на проникновение 87% 61% 2% 1 неделя Когда мы проверим наш план реагирования?
  • 4. Путь атакующего: кто обнаружит «инцидент»? Initial Compromise Establish Foothold Escalate Privileges Internal Recon Move Laterally Complete Mission Maintain Presence Clean up & Exfiltrate Passive Recon (OSINT) Active Recon • Очевидна протяженность во времени • Критичность событий безопасности в зависимости от этапа «продвижения» атакующего • «Прекратить безобразия» – не всегда оптимальный путь • Равно как и раскрыть факт обнаружения проникновения
  • 5. Границы инцидента: больше чем «событие безопасности» Attackers Hackers Spies Terrorists Corporate Raiders Professional Criminals Vandals Voyeurs Tool Physical Attack Information Exchange User Command Script or Program Autonomous Agent Toolkit Distributed Tool Data Tap Vulnerability Design Implementation Configuration Action Probe Scan Flood Authenticate Bypass Spoof Read Copy Steal Modify Delete Target Account Process Data Component Computer Network Internetwork Unauthorized Results Increased Access Disclosure of Information Corruption of Information Denial of Service Theft of Resources Objectives Challenge, Status, Thrill Political Gain Financial Gain Damage Event Attack(s) Incident • Инцидент рассматривается как событие • Анализ целей • Атрибуция атакующего • Расследовать «событие» или инцидент?
  • 6. Комплексные сценарии – обычная практика
  • 7. 10 000+ Инциденты происходят ежедневно, важно «не утонуть» Ежедневный шум: Массовые вирусные рассылки Попытки сканирования Перебор паролей … Немного серьезней: • Файлсервер заражен криптором • Троян на сервере печати Действительно важно 99 3
  • 8. Недооценка серьезности инцидента 400 10000+ 100 500 300 Targeted Immune Persistent Resistant Camouflaged Multilayered Novel Controllable Complex Sophisticated Interdisciplinary Evolving A P T • Автоматизация решения рутинных задач • «Предупреждение» атакующего об обнаружении • Крайности • «Инцидент должен быть закрыт за 15 минут» • Каждое срабатывание – APT • Что (не)учитывается? • Пропущены критические объекты/возможности мониторинга • Избыточное внимание одним компонентам СЗИ в ущерб другим
  • 9. «Большая картина» – теперь ещё больше Advanced: Акторы с максимальными возможностями …и их комбинациями Persistent: Миссия, цели Подход «Медленно и тихо» «Настойчивость» - удержание контроля, доступа к системе Threat: Возможность + Намерение = угроза APT – «Кто», а не «что» A P T События ИБ  Атаки  Инциденты  Кампании Как противостоять угрозе «с человеческим лицом»?
  • 10. Приложение – и цель и средство атакующего - Веб-приложения - Веб-порталы - Бизнес- приложения, SAP - Мобильные приложения - Электронная коммерция - ДБО • Подвержены атакам – возможность доступа из Интернет • Содержат критические данные • Возможность доступа во внутреннюю сеть через приложение Приложение – уязвимая цель Наше виденье безопасности приложений: + Безопасность по построению: СЗИ + Цикл безопасной разработки + СЗИ: адаптивный контроль + Исследование уязвимостей + Интегрированная возможность расследования инцидентов • Рост динамики обновлений приложений • Сложная структура приложений – сторонние компоненты • Итеративная разработка, зависимость от внешнего исполнителя Ваши Приложения: цель №1
  • 12. Что было - то прошло? Работа над ошибками PREDICT Assess Intelligence PREVENT Resist Avoid RESPOND DETECT Collect Interpret Containment Eradication Recovery
  • 13. Products Services Incident ResponsePenTest & AppSec PT MultiscannerPT Application Inspector PT Application Firewall MaxPatrol SIEM MaxPatrol PT ISIM Продукты и сервисы ПТ: практика безопасности PREDICT PREVENT RESPOND DETECT PT Expert Security Center
  • 14. Positive Technologies Products & Services Positive Research & Security Announcements Positive Hack Days Security Conference POSITIVE TECHNOLOGIES: EXPERTS IN SECURITY OFFENSE & DEFENSE http://securitylab.ru https://www.ptsecurity.com/ PHDays.com AKachalin@ptsecurity.com Alexey Kachalin PHDays 7. 2017 May, 23-24th

Editor's Notes

  1. План реагирования на инциденты Проверка планов в «спокойных условиях»
  2. http://www.eweek.com/c/a/Security/Sony-Data-Breach-Was-Camouflaged-by-Anonymous-DDoS-Attack-807651 http://www.prosecurityzone.com/News_Detail_Ddos_attacks_being_used_to_camouflage_fraud_attacks_20690.asp http://www.corero.com/blog/555-whats-hiding-behind-that-ddos-attack.html http://www.darkreading.com/analytics/security-monitoring/large-attacks-hide-more-subtle-threats-in-ddos-data/d/d-id/1139783 http://www.telegraph.co.uk/finance/newsbysector/epic/cpw/11794521/Carphone-Warehouse-hackers-used-traffic-bombardment-smokescreen.html According to The Telegraph's article, an unnamed source with knowledge of the attack claims that the company's online retail systems were bombarded with a DDoS attack "as a cover to help them infiltrate the retailer's systems and perpetrate one of Britain’s biggest ever data thefts.“
  3. Ежедневные атаки Вирусы в сети/в почте Соц. Инженерия (почта, веб) Атаки на веб-ресурсы Инциденты Заражение файлового сервера шифровальщиком Заражение сервера печати – утечка информации Кампании APT-1 (предположительно Китай) – 9 мес. APT-2 (предположительно США) – 1,5 года APT-3 – признаки возможности доступа, несколькими способами
  4. Долгосрочные «проекты» атакующих Вектор по объекту Вектор по технологии Комплексные атаки, составляющие инцидент Кампании (Adversary Campaign) Целевые Массовые Комбинированные (массово-целевые)