Kaspersky, profile picture
Uploaded byKaspersky
PDF, PPTX112 views

Алексей Новиков. Опыт реагирования на компьютерные инциденты в 2020/2021

Документ описывает опыт реагирования на компьютерные инциденты, выявленные в 2020-2021 годах, затрагивая тенденции, такие как скорость реализации угроз и квалификация злоумышленников. Он предоставляет методы подготовки к инцидентам и говорит о важности мониторинга и анализа сетевого трафика для защиты инфраструктуры. Основное внимание уделено практическим рекомендациям по противодействию угрозам и обеспечению безопасности информации.

Embed presentation

Download as PDF, PPTX
#KasperskyICS Чат конференции: https://kas.pr/kicscon Алексей Новиков Сотрудник, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Россия
Об опыте реагирования на компьютерные инциденты в 2020-2021 Алексей Новиков
Тенденции 2020/21 Национальный координационный центр по компьютерным инцидентам 3 Скорость реализации угроз
Тенденции 2020/21 Национальный координационный центр по компьютерным инцидентам 4 Скорость реализации угроз Доступность средств нападения
Тенденции 2020/21 Национальный координационный центр по компьютерным инцидентам 5 Скорость реализации угроз Доступность средств нападения Растущая квалификация злоумышленников
Объекты устремлений злоумышленников Национальный координационный центр по компьютерным инцидентам 6 Объекты КИИ, объекты промышленности
Объекты устремлений злоумышленников Национальный координационный центр по компьютерным инцидентам 7 Объекты КИИ, объекты промышленности Информационные ресурсы государственных организаций
Объекты устремлений злоумышленников Национальный координационный центр по компьютерным инцидентам 8 Объекты КИИ, объекты промышленности Информационные ресурсы государственных организаций «Подрядчики» : интеграторы, поставщики, разработчики ПО
Защитим периметр Национальный координационный центр по компьютерным инцидентам 9
Защитим периметр Национальный координационный центр по компьютерным инцидентам 10 Достаточно ?
Вектора проникновения Национальный координационный центр по компьютерным инцидентам 11 Взлом веб-приложений Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков
Вектора проникновения Национальный координационный центр по компьютерным инцидентам 12 Взлом веб-приложений Фишинговые рассылки Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков
Вектора проникновения Национальный координационный центр по компьютерным инцидентам 13 Взлом веб-приложений Фишинговые рассылки Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков
Вектора проникновения Национальный координационный центр по компьютерным инцидентам 14 Взлом веб-приложений Фишинговые рассылки Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков «Обычное» ВПО
Национальный координационный центр по компьютерным инцидентам 15 К инцидентам нужно готовиться
Логи сетевых взаимодействий Национальный координационный центр по компьютерным инцидентам 16 DNS – обязательный минимум Есть обращение к вредоносному домену с внешнего адреса, надо найти скомпрометированный объект внутри
Логи сетевых взаимодействий Национальный координационный центр по компьютерным инцидентам 17 DNS – обязательный минимум Есть обращение к вредоносному домену с внешнего адреса, надо найти скомпрометированный объект внутри Готовы 50%
Логи сетевых взаимодействий Национальный координационный центр по компьютерным инцидентам 18 DNS – обязательный минимум Есть обращение к вредоносному домену с внешнего адреса, надо найти скомпрометированный объект внутри Готовы 50% Сохранение сетевых сессий Есть обращение к вредоносному IP с внешнего адреса, надо найти скомпрометированный объект внутри
Логи сетевых взаимодействий Национальный координационный центр по компьютерным инцидентам 19 DNS – обязательный минимум Есть обращение к вредоносному домену с внешнего адреса, надо найти скомпрометированный объект внутри Готовы 50% Сохранение сетевых сессий Есть обращение к вредоносному IP с внешнего адреса, надо найти скомпрометированный объект внутри Готовы 10%
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 20 Запись и анализ трафика - сегментирование сети - заранее выбранные оптимальные точки записи - заранее определено чем записывать и чем анализировать
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 21 Запись и анализ трафика Реализуют 60% - сегментирование сети - заранее выбранные оптимальные точки записи - заранее определено чем записывать и чем анализировать
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 22 Запись и анализ трафика Реализуют 60% - сегментирование сети - заранее выбранные оптимальные точки записи - заранее определено чем записывать и чем анализировать Инвентаризация - знаем состав инфраструктуры - отслеживаем изменения активов
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 23 Запись и анализ трафика Реализуют 60% - сегментирование сети - заранее выбранные оптимальные точки записи - заранее определено чем записывать и чем анализировать Инвентаризация Реализуют 50% - знаем состав инфраструктуры - отслеживаем изменения активов
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 24 Управление аутентификацией - регулярная смена паролей - логирование действий - возможность централизованной блокировки
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 25 Управление аутентификацией Реализуют 70% - регулярная смена паролей - логирование действий - возможность централизованной блокировки
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 26 я Управление аутентификацией Реализуют 70% - регулярная смена паролей - логирование действий - возможность централизованной блокировки Фиксация состояния - определена процедура снятия образов - готовы средства и носители - определена процедура остановки элементов инфраструктуры
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 27 я Управление аутентификацией Реализуют 70% - регулярная смена паролей - логирование действий - возможность централизованной блокировки Фиксация состояния Реализуют 30% - определена процедура снятия образов - готовы средства и носители - определена процедура остановки элементов инфраструктуры
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 28 Мониторинг ключевых объектов инфраструктуры устранение последствий инцидента класса АРТ без мониторинга практически невозможно
Подготовка к инциденту Национальный координационный центр по компьютерным инцидентам 29 Мониторинг ключевых объектов инфраструктуры устранение последствий инцидента класса АРТ без мониторинга практически невозможно Реализуют 20%
Национальный координационный центр по компьютерным инцидентам 30 Чем раньше выявил - тем меньше потерял НКЦКИ Субъекты ГосСОПКА Информация о реагировании на компьютерные инциденты Информация о выявленных компьютерных атаках Результаты проведения оценки защищенности Информация о признаках компьютерных инцидентов Индикаторы вредоносной̆ активности (IOC) Сведения об угрозах безопасности информации Методические рекомендации по противодействию угрозам
Национальный координационный центр по компьютерным инцидентам 31 Опыт одних помогает всем НКЦКИ Субъекты ГосСОПКА Информация о реагировании на компьютерные инциденты Информация о выявленных компьютерных атаках Результаты проведения оценки защищенности Информация о признаках компьютерных инцидентов Индикаторы вредоносной̆ активности (IOC) Методические рекомендации по противодействию угрозам Сведения об угрозах безопасности информации
Проверьте себя Национальный координационный центр по компьютерным инцидентам 32 Есть обращение к вредоносному домену с внешнего адреса вашей организации, например, лог трафика запроса к вышестоящему DNS-серверу. Необходимо найти источник запроса внутри инфраструктуры Реализуемо? Сколько времени займет? На какой промежуток времени можно отследить?
Проверьте себя Национальный координационный центр по компьютерным инцидентам 33 Есть обращение к вредоносному IP-адресу с внешнего адреса вашей организации, например, трафик сессии взаимодействия с C&C. Есть время, адреса, порты… Необходимо найти скомпрометированный объект внутри инфраструктуры Реализуемо? Сколько времени займет? На какой промежуток времени можно отследить?
Спасибо за внимание

More Related Content

PDF
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
byKaspersky
 
PDF
Лев Палей. Центр экспертизы информационной безопасности в электроэнергетике
byKaspersky
 
PDF
Кирилл Набойщиков. Системный подход к защите КИИ
byKaspersky
 
PDF
Владимир Туров. На грани информационной и физической безопасности. Защита про...
byKaspersky
 
PDF
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
byKaspersky
 
PDF
Обеспечение защиты информации на стадиях жизненного цикла ИС
bySelectedPresentations
 
PDF
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
byKaspersky
 
PDF
Сергей Радошкевич. Кибербезопасность в судоходной деятельности организаций. О...
byKaspersky
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
byKaspersky
 
Лев Палей. Центр экспертизы информационной безопасности в электроэнергетике
byKaspersky
 
Кирилл Набойщиков. Системный подход к защите КИИ
byKaspersky
 
Владимир Туров. На грани информационной и физической безопасности. Защита про...
byKaspersky
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
byKaspersky
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
bySelectedPresentations
 
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
byKaspersky
 
Сергей Радошкевич. Кибербезопасность в судоходной деятельности организаций. О...
byKaspersky
 

What's hot

PDF
Построение центров ГосСОПКА
byАльбина Минуллина
 
PDF
Законопроект по безопасности критической инфраструктуры
byАйдар Гилязов
 
PDF
Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...
byKaspersky
 
PDF
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
byKaspersky
 
PDF
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
byKaspersky
 
PDF
Центры компетенций ИБ АСУ ТП
byАйдар Гилязов
 
PDF
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
byKaspersky
 
PDF
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
byAleksey Lukatskiy
 
PDF
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
byExpolink
 
PDF
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
byKaspersky
 
PDF
Управление кибербезопасностью
byАльбина Минуллина
 
PPTX
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
byExpolink
 
PDF
Алексей Петухов. Новый подход к разработке системы информационной безопасности
byKaspersky
 
PDF
Тренды угроз для БД и веб-приложений
byАльбина Минуллина
 
PDF
Сергей Повышев. Практика киберучений — делимся опытом
byKaspersky
 
PDF
Результаты пилотов Kaspersky Anti Targeted Attack Platform
byАльбина Минуллина
 
PDF
Кибербезопасность АСУ ТП
byАльбина Минуллина
 
PDF
Fortinet корпоративная фабрика безопасности
byDiana Frolova
 
PDF
Astana r-vision20161028
byDiana Frolova
 
PDF
PT ISIM. Обнаружение кибератак на промышленные объекты
byАйдар Гилязов
 
Построение центров ГосСОПКА
byАльбина Минуллина
 
Законопроект по безопасности критической инфраструктуры
byАйдар Гилязов
 
Константин Родин. Обеспечение доверенной среды удаленной работы в рамках ​про...
byKaspersky
 
Андрей Суворов, Максим Карпухин. Сенсация под микроскопом. Вивисекция первого...
byKaspersky
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
byKaspersky
 
Центры компетенций ИБ АСУ ТП
byАйдар Гилязов
 
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
byKaspersky
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
byAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
byExpolink
 
Глеб Дьяконов. ИИ-видеоаналитика как инструмент корпоративного риск-менеджмен...
byKaspersky
 
Управление кибербезопасностью
byАльбина Минуллина
 
Лаборатория Касперского. Сергей Булович. ИТС Софт-проекты. Александр Рябцев. ...
byExpolink
 
Алексей Петухов. Новый подход к разработке системы информационной безопасности
byKaspersky
 
Тренды угроз для БД и веб-приложений
byАльбина Минуллина
 
Сергей Повышев. Практика киберучений — делимся опытом
byKaspersky
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
byАльбина Минуллина
 
Кибербезопасность АСУ ТП
byАльбина Минуллина
 
Fortinet корпоративная фабрика безопасности
byDiana Frolova
 
Astana r-vision20161028
byDiana Frolova
 
PT ISIM. Обнаружение кибератак на промышленные объекты
byАйдар Гилязов
 

Similar to Алексей Новиков. Опыт реагирования на компьютерные инциденты в 2020/2021

PPTX
Актуальные решения по обеспечению безопасности промышленных систем
byКРОК
 
PPTX
SOC в большой корпоративной сети. Challenge accepted
byPositive Hack Days
 
PDF
Стратегический подход к противодействию современным угрозам
byExpolink
 
PDF
Решения КРОК для противодействия направленным атакам
byКРОК
 
PDF
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
byVsevolod Shabad
 
PDF
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
byDialogueScience
 
PPTX
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
byAlexey Kachalin
 
PDF
Общий план комплексного аудита информационной безопасности
bygrishkovtsov_ge
 
PDF
титов российские Siem системы миф или реальность v03
bycnpo
 
PDF
Особенности построения национальных центров мониторинга киберугроз
byAleksey Lukatskiy
 
PDF
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
byExpolink
 
PDF
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
PDF
Текущее состояние и тенденции развития НПА по ИБ
byCisco Russia
 
PPTX
RuSIEM
byOlesya Shelestova
 
PPTX
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
byHackIT Ukraine
 
PDF
Системы предотвращения вторжений нового поколения
byCisco Russia
 
PDF
Управление инцидентами информационной безопасности от А до Я
byDialogueScience
 
PPTX
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
byAlexey Kachalin
 
PPTX
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
byAlexey Kachalin
 
PDF
Практика исследования защищенности российских компаний.
byCisco Russia
 
Актуальные решения по обеспечению безопасности промышленных систем
byКРОК
 
SOC в большой корпоративной сети. Challenge accepted
byPositive Hack Days
 
Стратегический подход к противодействию современным угрозам
byExpolink
 
Решения КРОК для противодействия направленным атакам
byКРОК
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
byVsevolod Shabad
 
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
byDialogueScience
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
byAlexey Kachalin
 
Общий план комплексного аудита информационной безопасности
bygrishkovtsov_ge
 
титов российские Siem системы миф или реальность v03
bycnpo
 
Особенности построения национальных центров мониторинга киберугроз
byAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
byExpolink
 
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
Текущее состояние и тенденции развития НПА по ИБ
byCisco Russia
 
RuSIEM
byOlesya Shelestova
 
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
byHackIT Ukraine
 
Системы предотвращения вторжений нового поколения
byCisco Russia
 
Управление инцидентами информационной безопасности от А до Я
byDialogueScience
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
byAlexey Kachalin
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
byAlexey Kachalin
 
Практика исследования защищенности российских компаний.
byCisco Russia
 

More from Kaspersky

PPTX
A look at current cyberattacks in Ukraine
byKaspersky
 
PPTX
The Log4Shell Vulnerability – explained: how to stay secure
byKaspersky
 
PDF
The Log4Shell Vulnerability – explained: how to stay secure
byKaspersky
 
PDF
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
byKaspersky
 
PDF
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
byKaspersky
 
PDF
Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021
byKaspersky
 
PDF
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
byKaspersky
 
PDF
Марина Сорокина. Криптография для промышленных систем
byKaspersky
 
PDF
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
byKaspersky
 
PDF
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
byKaspersky
 
PDF
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
byKaspersky
 
PDF
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
byKaspersky
 
PDF
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
byKaspersky
 
PDF
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
byKaspersky
 
PDF
Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...
byKaspersky
 
PDF
Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...
byKaspersky
 
PDF
Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...
byKaspersky
 
PDF
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
byKaspersky
 
A look at current cyberattacks in Ukraine
byKaspersky
 
The Log4Shell Vulnerability – explained: how to stay secure
byKaspersky
 
The Log4Shell Vulnerability – explained: how to stay secure
byKaspersky
 
Максим Бородько. Спуфинг GNSS — новая угроза для критической инфраструктуры
byKaspersky
 
Джан Демирел (Турция). Текущий статус регулирования промышленной кибербезопас...
byKaspersky
 
Мария Гарнаева. Целевые атаки на промышленные компании в 2020/2021
byKaspersky
 
Дмитрий Правиков. Концепция информационной безопасности «роя» киберфизических...
byKaspersky
 
Марина Сорокина. Криптография для промышленных систем
byKaspersky
 
Александр Лифанов. Платформа граничных вычислений Siemens Industrial Edge: пе...
byKaspersky
 
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
byKaspersky
 
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
byKaspersky
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
byKaspersky
 
Олег Шакиров. Дипломатия и защита критической инфраструктуры от киберугроз
byKaspersky
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
byKaspersky
 
Максим Никандров. Мультишина 10G цифровой ​подстанции — потенциальные ​пробле...
byKaspersky
 
Александр Гутин. Процессоры Baikal — платформа безопасных отечественных ИТ-ре...
byKaspersky
 
Константин Трушкин. Использование платформы Эльбрус в информационно-защищённы...
byKaspersky
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
byKaspersky
 

Алексей Новиков. Опыт реагирования на компьютерные инциденты в 2020/2021

  • 1.
    #KasperskyICS Чат конференции: https://kas.pr/kicscon Алексей Новиков Сотрудник,Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Россия
  • 2.
    Об опыте реагированияна компьютерные инциденты в 2020-2021 Алексей Новиков
  • 3.
    Тенденции 2020/21 Национальный координационныйцентр по компьютерным инцидентам 3 Скорость реализации угроз
  • 4.
    Тенденции 2020/21 Национальный координационныйцентр по компьютерным инцидентам 4 Скорость реализации угроз Доступность средств нападения
  • 5.
    Тенденции 2020/21 Национальный координационныйцентр по компьютерным инцидентам 5 Скорость реализации угроз Доступность средств нападения Растущая квалификация злоумышленников
  • 6.
    Объекты устремлений злоумышленников Национальныйкоординационный центр по компьютерным инцидентам 6 Объекты КИИ, объекты промышленности
  • 7.
    Объекты устремлений злоумышленников Национальныйкоординационный центр по компьютерным инцидентам 7 Объекты КИИ, объекты промышленности Информационные ресурсы государственных организаций
  • 8.
    Объекты устремлений злоумышленников Национальныйкоординационный центр по компьютерным инцидентам 8 Объекты КИИ, объекты промышленности Информационные ресурсы государственных организаций «Подрядчики» : интеграторы, поставщики, разработчики ПО
  • 9.
    Защитим периметр Национальный координационныйцентр по компьютерным инцидентам 9
  • 10.
    Защитим периметр Национальный координационныйцентр по компьютерным инцидентам 10 Достаточно ?
  • 11.
    Вектора проникновения Национальный координационныйцентр по компьютерным инцидентам 11 Взлом веб-приложений Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков
  • 12.
    Вектора проникновения Национальный координационныйцентр по компьютерным инцидентам 12 Взлом веб-приложений Фишинговые рассылки Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков
  • 13.
    Вектора проникновения Национальный координационныйцентр по компьютерным инцидентам 13 Взлом веб-приложений Фишинговые рассылки Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков
  • 14.
    Вектора проникновения Национальный координационныйцентр по компьютерным инцидентам 14 Взлом веб-приложений Фишинговые рассылки Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков Атаки через подрядчиков «Обычное» ВПО
  • 15.
    Национальный координационный центр покомпьютерным инцидентам 15 К инцидентам нужно готовиться
  • 16.
    Логи сетевых взаимодействий Национальныйкоординационный центр по компьютерным инцидентам 16 DNS – обязательный минимум Есть обращение к вредоносному домену с внешнего адреса, надо найти скомпрометированный объект внутри
  • 17.
    Логи сетевых взаимодействий Национальныйкоординационный центр по компьютерным инцидентам 17 DNS – обязательный минимум Есть обращение к вредоносному домену с внешнего адреса, надо найти скомпрометированный объект внутри Готовы 50%
  • 18.
    Логи сетевых взаимодействий Национальныйкоординационный центр по компьютерным инцидентам 18 DNS – обязательный минимум Есть обращение к вредоносному домену с внешнего адреса, надо найти скомпрометированный объект внутри Готовы 50% Сохранение сетевых сессий Есть обращение к вредоносному IP с внешнего адреса, надо найти скомпрометированный объект внутри
  • 19.
    Логи сетевых взаимодействий Национальныйкоординационный центр по компьютерным инцидентам 19 DNS – обязательный минимум Есть обращение к вредоносному домену с внешнего адреса, надо найти скомпрометированный объект внутри Готовы 50% Сохранение сетевых сессий Есть обращение к вредоносному IP с внешнего адреса, надо найти скомпрометированный объект внутри Готовы 10%
  • 20.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 20 Запись и анализ трафика - сегментирование сети - заранее выбранные оптимальные точки записи - заранее определено чем записывать и чем анализировать
  • 21.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 21 Запись и анализ трафика Реализуют 60% - сегментирование сети - заранее выбранные оптимальные точки записи - заранее определено чем записывать и чем анализировать
  • 22.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 22 Запись и анализ трафика Реализуют 60% - сегментирование сети - заранее выбранные оптимальные точки записи - заранее определено чем записывать и чем анализировать Инвентаризация - знаем состав инфраструктуры - отслеживаем изменения активов
  • 23.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 23 Запись и анализ трафика Реализуют 60% - сегментирование сети - заранее выбранные оптимальные точки записи - заранее определено чем записывать и чем анализировать Инвентаризация Реализуют 50% - знаем состав инфраструктуры - отслеживаем изменения активов
  • 24.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 24 Управление аутентификацией - регулярная смена паролей - логирование действий - возможность централизованной блокировки
  • 25.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 25 Управление аутентификацией Реализуют 70% - регулярная смена паролей - логирование действий - возможность централизованной блокировки
  • 26.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 26 я Управление аутентификацией Реализуют 70% - регулярная смена паролей - логирование действий - возможность централизованной блокировки Фиксация состояния - определена процедура снятия образов - готовы средства и носители - определена процедура остановки элементов инфраструктуры
  • 27.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 27 я Управление аутентификацией Реализуют 70% - регулярная смена паролей - логирование действий - возможность централизованной блокировки Фиксация состояния Реализуют 30% - определена процедура снятия образов - готовы средства и носители - определена процедура остановки элементов инфраструктуры
  • 28.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 28 Мониторинг ключевых объектов инфраструктуры устранение последствий инцидента класса АРТ без мониторинга практически невозможно
  • 29.
    Подготовка к инциденту Национальныйкоординационный центр по компьютерным инцидентам 29 Мониторинг ключевых объектов инфраструктуры устранение последствий инцидента класса АРТ без мониторинга практически невозможно Реализуют 20%
  • 30.
    Национальный координационный центр покомпьютерным инцидентам 30 Чем раньше выявил - тем меньше потерял НКЦКИ Субъекты ГосСОПКА Информация о реагировании на компьютерные инциденты Информация о выявленных компьютерных атаках Результаты проведения оценки защищенности Информация о признаках компьютерных инцидентов Индикаторы вредоносной̆ активности (IOC) Сведения об угрозах безопасности информации Методические рекомендации по противодействию угрозам
  • 31.
    Национальный координационный центр покомпьютерным инцидентам 31 Опыт одних помогает всем НКЦКИ Субъекты ГосСОПКА Информация о реагировании на компьютерные инциденты Информация о выявленных компьютерных атаках Результаты проведения оценки защищенности Информация о признаках компьютерных инцидентов Индикаторы вредоносной̆ активности (IOC) Методические рекомендации по противодействию угрозам Сведения об угрозах безопасности информации
  • 32.
    Проверьте себя Национальный координационныйцентр по компьютерным инцидентам 32 Есть обращение к вредоносному домену с внешнего адреса вашей организации, например, лог трафика запроса к вышестоящему DNS-серверу. Необходимо найти источник запроса внутри инфраструктуры Реализуемо? Сколько времени займет? На какой промежуток времени можно отследить?
  • 33.
    Проверьте себя Национальный координационныйцентр по компьютерным инцидентам 33 Есть обращение к вредоносному IP-адресу с внешнего адреса вашей организации, например, трафик сессии взаимодействия с C&C. Есть время, адреса, порты… Необходимо найти скомпрометированный объект внутри инфраструктуры Реализуемо? Сколько времени займет? На какой промежуток времени можно отследить?
  • 34.