SlideShare a Scribd company logo

Ландшафт технологий кибербезопасности 2025

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация про перспективные технологии кибербезопасности, прочитанная в Академии кибербезопасности Сбербанка

Technology
1 of 73
Download to read offline
18 декабря 2017 Бизнес-консультант по безопасности Ландшафт технологий кибербезопасности 2025 Алексей Лукацкий
Что влияет на кибербезопасность? Трансформация продаж и услуг $152B Работники следующего поколения $50B Платежи $43B Видео-советники $38B Таргетированная реклама и маркетинг $33B Брендированные услуги $25B Виртуальные помощники $5B Инновационные продукты $19B Консалтинг $9B APT Инсайдеры Мошенничество Законодательство Финтех Кибер- безопасность Социальные сети Software Defined Networks Мобильность Большие данные и аналитика Интернет вещей Облачные технологии Искусственный интеллект
Магические аббревиатуры 1. FW, IDS, IPS, AV, VM, DLP, PKI, SIEM, UTM, WAF, MDM, HIPS 2. NTA, EDR, SOC, UEBA, CASB, TI, EPP, NGAV, STAP, EVC, BDS, PAM, NFT, IRP, NAC, SAT, IAG, NGEP, AEP, AWL 3. SDS, SDP, DDP, MDR, SOAR !Что у вас есть? В утвержденном сегодня плане мероприятий по ИБ в рамках «Цифровой экономики» есть и другие аббревиатуры
Мобильные пользователи Филиал Где/как мы обычно строим защиту? Облако Сеть Админ ЦОД Пользователи ЗАПИСЫВАТЬ каждую коммуникацию Понимать, что такое НОРМА Предупреждать об ИЗМЕНЕНИЯХ ЗНАТЬ каждый узел Реагировать на УГРОЗЫ быстро HQ
Даже если ваш периметр защищен • А что делать с возрастающим объемом зашифрованного трафика (например, TLS)? • А как быть с технологиями типа pinning? • А наш периметр готов к переходу в облака? • А периметр учитывает программно- определяемые сети и сегментацию? 🤦
Пора задуматься о смене стратегии © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Как «читать» гартнеровские хайпы Впервые стали говорить Много шума Не так страшен черт, как его малюют Наработаны контрмеры Плато продуктивности технологии Исследования Пора пилотировать Время принимать решения Пора брать
Инфраструктурная безопасность • Инфраструктурная безопасность – наиболее проработанный и зрелый рынок • Российские вендоры смотрят именно сюда, как на наиболее «понятный» им сегмент
Откуда вы берете данные об угрозах? • TI – это базирующееся на доказательствах знание об угрозах (индикаторы компрометации, контекст, механизмы, тактики, процедуры, акторы и др.) • Знать не достаточно – примените знание к вашим решениям по ИБ • Не чурайтесь бесплатных и open source источников и решений • Внедрите платформу TIP и интегрируйтесь с SIEM 💻Cisco, Kaspersky Lab, Group-IB, Перспективный мониторинг, ГосСОПКА, FinCERT, BI.ZONE
ПК остаются основной точкой входа для инцидентов инцидентов начинаются на ПК 70% ПОЧЕМУ? Разрыв в защите организаций говорят, что атаки обходят средства предотвращения 65% Ошибки пользователей атакующих обходят защиту ПК из-за ошибок пользователей 48% Разрыв в видимости Организаций не могут определить причину инцидента 55% среднее время обнаружения в индустрии 100ДНЕЙ Источник: Cisco
3 современных подхода к защите ПК может требовать дополнительной экспертизы и ресурсов Обнаруживать IOCs & аномалии в системной активности 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0 может потребовать от пользователей изменения поведения и может быть сложным во внедрении Изолировать приложения & данные в гипервизоре/контейнерах 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0 может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или приложению Предотвращать соединения в Интернет- активности 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0
Защита DNS Защищает доступ к Интернет везде Вредонос C2-соединения Фишинг HQ Sandbox NGFW Proxy Netflow AV AV ФИЛИАЛ Router/UTM AV AV ROAMING AV Первая линия Все это начинается с DNS DNS используется всеми устройствами Защита от вредоносов, фишинга и общения с C2 Получение контроля над всеми устройствами и пользователями в Интернет
Сдвиг с предотвращения к реагированию Защита в момент времени Непрерывная защита Сеть ПК Мобильное устройство Виртуальная машина Облако Жизненный цикл внутренней угрозы Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановлени е ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
EDR: на что обратить внимание? • Фокус на обнаружение продвинутых угроз, реагирование и расследование • Обнаружение за счет контроля поведения или через IoC • Производительность агентов • Где управление и анализ данных – консоль, локальный ПК, облако? • Интеграция с сетевой безопасностью для лучшего обнаружения • Постепенное слияние с сегментом EPP 💻
EDR vs STAP vs EVC EDR STAP EVC BDS NGEP AEP Gartner IDC Forrester NSS Labs EDR – Endpoint Detection & Response STAP – Specialized Threat Analysis & Protection EVC – Endpoint Visibility & Control BDS – Breach Detection System NGEP – Next Generation Endpoint Protection AEP – Advanced Endpoint Protection
Игроки рынка EDR • Carbon Black, Cisco, CounterTack, CrowdStrike, Cyberbit, Cyberreason, Cynet • Digital Guardian, Endgame, F-Secure, Fidelis, Fireeye, WatchGuard • Invincea, LightCyber, McAfee, Microsoft, Nuix, Outlier Security, Panda, RSA • SecDo, SentinelOne, Symantec, Tanium, Verint • Open Source: Google Rapid Response, Facebook osquery, Mozilla Investigator, El Jefe, Lima Charlie, Sysmon + ELK 💻
Нехватка специалистов по безопасности Потребность в специалистах по кибербезопасности в 12 раз выше, чем в ИТ- специалистах Нехватка специалистов по кибербезопасности в России составляет около 55-60 тысяч человек при ежегодной подготовке 25500 человек Компании с недостатком специалистов, тратят на борьбу с последствиями атак в среднем в 5 раз больше ? Мировая нехватка специалистов по кибербезопасности составит к 2020-му году 1 миллион человек Security Team
MDR vs EDR: что выбрать? • Необходимость внедрения концепции EDR при отсутствии экспертизы или ресурсов • Услуга реагирования на инциденты опциональна • Возможно ваш MSSP предлагает или планирует предлагать эту услугу • Возможно EDR-вендор предложить вам «урезанную» версию сервиса • Не забывайте, что это аутсорсинг со всеми его плюсами и минусами 💻Cisco, AlertLogic, FireEye, eSentire, Rapid7, Raytheon, Red Canary, SecureWorks, Artic Wolf
Угроза может проникнуть минуя периметр Лобби и переговорки… Вы их контролируете? Любопытство возьмет верх или нет?
А еще хакеры лезут через Wi-Fi
Сеть как масштабируемый источник знаний Interwebs Internal Network Ключевые NetFlow поля • Packet count • Byte count • Source IP address • Destination IP address • Start sysUpTime • End sysUpTime • Packet count • Byte count • Input ifIndex • Output ifIndex • Type of Service • TCP flags • Protocol • Next hop address • Source AS number • Dest. AS number • Source prefix mask • Dest. prefix mask Использование Время Где QoS От/Куда Использование Роутинг и пиринг NetFlow Data NetFlow Collector
NTA: на что обратить внимание? • DPI или NetFlow/sFlow/jFlow/cFlow/IPFIX (поддерживает ли оборудование?) • Это не IDS/SIEM/UEBA – разные задачи • Физическое / виртуальное устройство / работа с сетевым оборудованием напрямую • Работа в облачных средах • Взаимодействие с агентами на узлах для подтверждения атаки • Конфликт «сетевики vs безопасники» – чье решение? 🕸Cisco, Darktrace, Vectra, LightCyber, Fidelis, FireEye, Phirelight, Trend Micro, Kaspersky Lab, SS8, Microolap
Технология поведенческой аналитики: ключевые особенности • Анализ активности пользователей, как первоочередная задача • Анализу подлежит активность и поведение пользователей, а не роли, атрибуты или параметры доступа (хотя они важны в контексте) • Анализ подразумевает не использование жестко зафиксированных правил корреляции, а применение более интеллектуальных методов (например, машинного обучения и т.п.), позволяющих без описанных ранее шаблонов зафиксировать аномалии в поведении
3 причины обращения заказчиков к UEBA • Нехватка возможностей существующих решений и технологий по обнаружение угроз, связанных с деятельностью пользователей • Необходимость мониторить окружение, которое не покрывается другими решениями и технологиями • Высокая стоимость сортировки и приоритезации событий ИБ в существующих SIEM-решений, которые как-то но оперируют событиями, связанными с пользователями
Продукт или технология? • Вы можете выбрать отдельный продукт или встроенную в существующее решение технологию / функцию • Возможно сегмент отдельных продуктов UEBA «вымрет», слившись с другими классами продуктов, повысивших свою эффективность работы с пользовательским контекстом UEBA Технология SIEM DLP NTA EDR IAG/PAM Продукт
UEBA: на что обратить внимание? • Анализ активности (профилирование) пользователя на разных уровнях (логи, поведение, сетевой трафик) • Какие источники данных поддерживаются? • Необходимо понимать свое окружение и что такое «нормально» или «аномально» • Отдельный продукт или одна из функций SIEM, NTA, EDR, PAM, DLP 🙇Balabit, Exabeam, Gurucul, Fortscale, Intersect, Preempt, RedOwl, Rapid7, Securonix, Splunk
Сетевые ресурсыПолитика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативам P Что Когда Где Как Программно определяемая микросегментация Дверь в сеть Контекст
SDS: на что обратить внимание? • Агенты, виртуальные устройства, контейнеры или использование сетевого оборудования • Работа с облачными средами • Понимание топологии и матрицы доступа • Интеграция с существующей сетевой инфраструктурой и структурой ИБ • Начните с критических сегментов и приложений 🚦Cisco, Illumio, vArmour, CloudPassage, NeuVector, AWS, Azure, Unisys, Catbird, Saife
Богатый контекст Василий Планшет Здание 7, корпус 2, 1 этаж 11:00 AM Europe/Moscow 11-00 AM Беспроводная сеть Безопасность в контексте Кто Что Где Когда Как Отсутствие контекста IP Address 192.168.1.51 Не известно Не известно Не известно Не известно Нужный пользователь с нужным устройством попадет в сеть только из нужного места с необходимыми правами Любой пользователь. Любое устройство откуда угодно попадает в сеть Результат Контекст:
SDS vs SDP: на что обратить внимание? • Схожая с SDS технология обеспечения доступа к периметру предприятия на основе контекста (кто, откуда, приложение и т.п.) • Поддержка IaaS • Изменение дизайна и концепции «Интернет- периметра» 🚦Unisys, Cisco, Certes, Saife, Dispel, BlackRidge, Akamai, Vidder, Zentera
Кто? Известные пользователи (Сотрудники, продавцы, HR) Неизвестные пользователи (Гости) Что? Идентификатор устройства Классификация устройств (профиль) Состояние устройства (posture) Как? Проводное подключение Беспроводное подключение VPN-подключение Где / куда / откуда? Географическое местоположение Департамент / отдел SSID / Порт коммутатора Когда? Дата Время Другие? Пользовательские атрибуты Статус устройства / пользователя Используемые приложения Опыт использования контекста внутри сети Cisco
Хакеры атакуют мгновенно и сидят в сети незаметно Bitglass 205 Trustwav e 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305 Cisco 200
Обман как тактика в ИБ • Сети (IP, VLAN) • Сервера (контроллеры, Web, SQL) • Уязвимости приложений • ПК • Данные (логины/пароли, файлы, куки и др.) Надувной истребитель
DDP: на что обратить внимание? • Агент или виртуальное устройство • Типы эмулируемых систем • Наличие ресурсов для работы с такими системами • Понимание существующей топологии • Интеграция в существующую систему ИБ на предприятии 🔮Attivo, TrapX, Cymmetria, Illusive, Javelin, TopSpin, GuardiCore, Acalvio, Код безопасности
А можно попробовать бесплатно? • Amun • Conpot • Dionaea • DCEPT • Elastichoney • Glastopf • Honeyd • HoneyDrive • Kippo • p0f • ShockPot • Wordpot 🔮Возможно стоит попробовать open source решения для оценки идеи и ее реализации
От обмана к симуляции 👊AttackIQ, Core Security, Cymulate, SafeBreach, Verodin, Threatcare • Технологии симуляции атак позволяют предсказать, что произойдет в вашей организации в случае взлома • Портфолио симулируемых атак (размер и частота обновления) • Не отменяет пентестов, часто требуемых на уровне законодательства
Согласно оценкам Гартнер к 2018: 25% корпоративного трафика будет миновать периметр ИБ.
Облачные приложения становятся неотъемлемой частью бизнеса Как осуществляется их защита? Удаленный доступ Оперативность и скорость Улучшенное взаимодействие Увеличение продуктивности Экономичность Утечка конфиденциальных данных Риски несоответствия правовым нормам Риск инсайдерских действий Вредоносное ПО и вирусы
Понимание рисков, связанных с облачными приложениями, для вашего бизнеса Это проблема, так как ваш ИТ-отдел: • Не видит, какие используются приложения • Не может идентифицировать опасные приложения • Не может настроить необходимые средства управления приложениями сотрудников признают, что используют неутвержденные приложения1 72% ИТ-отделов используют 6 и более неутвержденных приложений2 26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов 35% «Теневые» ИТ Использование несанкционированных приложений Источник: 1CIO Insight; 2,3Gartner
Понимание рисков использования данных в облачных приложениях Это проблема, так как ваш ИТ-отдел: • Не может остановить утечку данных и устранить риски несоблюдения нормативных требований • Не в состоянии заблокировать входящий опасный контент • Не в силах остановить рискованные действия пользователей организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1 90% приложений могут стать опасными при неправильном использовании2 72% файлов на каждого пользователя открыто используется в организациях3 185 «Теневые» данные Использование санкционированных приложения для неправомерных целей Источник: 1Ponemon, 2013 Cost of Data Breach Study; 2CIO Insight; 3Elastica
Payroll.docx Пользователи свободно обмениваются информацией и это может привести к нарушениям безопасности Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных приложений и «теневых» данных При использовании облачных приложений ИТ-отдел не может контролировать все разрешения на совместное использование 20% совместно используемых файлов содержит данные, связанные с соблюдением нормативов
Облачная безопасность • Облачная ИБ находится еще на заре своего развития • Объект защиты находится преимущественно за пределами корпоративной сети
Что такое CASB? Утечки данных Защита данных и соответствие требованиям Риски теневых ИТ и приложений Контроль и видимость приложений Скомпрометирован- ные учетные записи и внутренние угрозы Защита от угроз и UEBA ПриложенияУчетные записи Данные
CASB: на что обратить внимание? • Контроль через forward/reverse proxy или через API • Рейтинг рисков приложений и действий • Мониторинг данных и UEBA • Интеграция с защитой периметра • Поддержка ваших облачных сервисов (в России могут быть сложности) ☔Cisco, SkyHigh, Microsoft (Adallom), Symantec, Forcepoint, Oracle, Netskope, CipherCloud
Безопасность ваших облачных рабочих мест AV HIPS EDR, мониторинг поведения Шифрование данных, IaaS Защита памяти / предотвращение эксплойтов Контроль приложений (AWL) Управление целостностью системы Сегментация, МСЭ, visibility Конфигурация, управление уязвимостями Нет клиентов Web/Email Управление привилегиями админов Управление изменениями Управление логами Гигиена Базовые меры защиты серверов Опциональные меры защиты серверов
На что обратить внимание? • EPP – не лучшее решение для серверов • Интеграция с IaaS • Наличие полного API • Поддержка гибридного управления (для облаков и решений on premise) ⛅Carbon Black, Illumio, Kaspersky Lab, McAfee, Sophos, Symantec, Trend Micro, Tripwire
Безопасность данных • Безопасность данных находится над инфраструктурной и облачной ИБ (другое измерение) • Наиболее интересные и инвестируемые сегодня технологии
Безопасность приложений • Бизнес и регуляторы предъявляют все больше требований к безопасности приложений • Требуется повышение осведомленности разработчиков
Как выглядит рынок ИБ изнутри • Аналитика – это обязательная функция любого продукта по ИБ (без нее продукт обречен) • SaaS-версия продукта часто помогает развитию
Аналитика ИБ – это сегодня «must have» Что происходит? Почему это происходит? Что произойдет? Что я должен сделать? Описать Диагностировать Предсказать Предписать IDS, AV, SIEM, TI NTA, UEBA, NFT, EDR Fraud Detection SOAR, Attack Simulation Правила, машинное обучение, обнаружение аномалий, исторический анализ (ретроспектива), искусственный интеллект
Машинное обучение (искусственный интеллект) Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее
Шифрованный трафик: знак времени Приватность граждан Требования государства ИБ организации Шифрованный трафик растет Он составляет 60% от общего объема https:// Растущая тенденция шифрования Web-трафика создает ложное чувство защищенности и слепые зоны для защитников
Технология анализа зашифрованного трафика Известный трафик ВПО Известный «чистый» трафик Анализ метаданных в сетевом трафике Применение машинного обучения для построения детекторов Сессии известного ВПО детектируются в зашифрованном трафике с точностью 99+% “Identifying Encrypted Malware Traffic with Contextual Flow Data” AISec ’16 | Blake Anderson, David McGrew
Обнаружение ВПО в шифрованном трафике Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD 54
От SIEM к SOAR • В отличие от анализа логов, обеспечиваемого SIEM, решения SOAR вобрали в себя целый набор различных технологий, обеспечивающих деятельность SOC и служб мониторинга ИБ
Отражение угроз • Гартнеровские циклы с разных точек зрения оценивают различные технологии и сегменты, что позволяет выбрать правильную точку зрения
Классическая пара МСЭ+AV для борьбы с современным ВПО • Памятник вирусу NotPetya / Nyetya в Сколково • Открыт 18 декабря 2017 года при участии компании «Инвитро»
Может ли классическая пара МСЭ+AV бороться с APT? Реальное время или близкое к нему Анализ пост- фактум Сеть Анализ сетевого трафика Расследование инцидентов на уровне сети Содержимое Анализ содержимого Оконечные устройства Анализ поведения на оконечных устройствах Расследование инцидентов на уровне оконечных устройств • Откуда брать данные об угрозах? • Кто анализирует поведение? • Где анализируется поведение? • Как увеличить время проникновения и сбора следов?
Что надо учитывать при борьбе с ВПО? Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановлени е ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ Network Forensics Endpoint Forensics SOAR Attack Simulation Network Traffic Analysis Network Sandboxing User Entity Behavior Analytics Deception Threat Intelligence
Почему такой набор? Канал • Интернет: E-mail • Интернет: Web • Внутри: Wi-Fi • Физический доступ: USB, цепочка поставок, обновление ПО, подрядчики Техника заражения • Старое ВПО • Известный эксплойт • Новый эксплойт к недавней уязвимости • 0day Тело вредоноса • Старое ВПО – известный хэш • Известное тело – простые модификации • Новое тело + обфускация • Нет повторного использования прежних атак • Различные техники обхода на разных уровнях
Борьба с ВПО выглядеть должна так • Эшелонированная оборона • Различные технологии обнаружения • Защита на уровне ПК, сети и Интернет • Контроль семплов и инфраструктуры злоумышленников Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Контроль приложений ЛокализацияЗащита серверов Изоляция Мониторинг DNS Mobile Device Management (MDM) ИБ IaaS/PaaS CASB
Вам нужен продукт или решение ваших задач?
iCAM People Data Identity Policy Identity Data Center Lab End Points Public Cloud User Identity Device Identity Applications & Data InfoSec End User HR/Legal Manager Raw Events Corrective Action Alert Feedback CPR HRMS LDAP OnRamp DCE ISE EMANCES PSIRT BI DI DLP GDM ARTCEPM DSPL Всё ли можно купить на рынке? Источник: Cisco
Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … iCAM: разработка Cisco «для себя»
• 10 секунд на детектирование риска • 24 часа на устранение риска Скорость • 4+ миллиардов событий ежедневно • ±2000 инцидентов в квартал Объемы • 40+ миллиардов файлов Cisco были защищены • 16,000+ серверов мониторится Ценность для бизнеса • User-To-Ops: 100,000 : 1 • 90% сигналов тревоги управляются автоматически • Только 1% инцидентов требует ручной поддержки от Ops Качество операций Эффект от iCAM в Cisco 15,2 миллиона долларов ежегодной экономии / сохранности
OpenSOC и TIP: еще один пример собственной разработки внутри Cisco 6 Мультипетабайтное хранилище Интерактивные запросы Поиск в реальном времени Масштабируемая обработка потоков Неструктурированные данные Контроль доступа к данным Масштабируемые вычисления Hadoop Big Data Platform OpenSOC Алерты в реальном времени Обнаружение аномалий Корреляция данных Правила и отчеты Прогнозное моделирование UI и приложения
Не спешите покупать хайп – поймите свои потребности!
Начните с малого: от пассивной обороны к активной Встроенная защита Защита от угроз, не требующая участия человека Анализ со стороны человека в поисках следов нарушителей Сбор данных, обогащение информации и представление разведданных Юридические меры против нарушителей
Поэтапное наращивание защитных возможностей •Модель университета ПурдьюАрхитектура •Эшелонированная оборона •Серия NIST SP800 и NIST SCF •17/21/31-й приказ ФСТЭК Пассивная оборона •Цикл активной кибер-обороны •Network Security MonitoringАктивная оборона •Kill Chain •Diamond ModelРазведка •Юридические методы против нарушителей •Перехват C&CНападение
В основе всего лежит архитектура! Ценность Цена Архитектура Пассивная оборона Активная оборона Разведка Нападение
Все зависит от модели угроз / нарушителя Новички Киберкриминал Корпоративный шпионаж/ кибертерроризм Спецслужбы ИБ нет Архитектура Пассивная оборона Активная оборона Разведка
В качестве резюме • Современные решения – это инструменты. Кто-то должен уметь ими пользоваться и выстраивать процессы • Без аналитики сегодня все решения по ИБ обречены на провал • Серебряной пули нет и не будет • Решения должны использовать комбинации методов обнаружения (threat intelligence, правила, алгоритмы) • Не пытайтесь все нейтрализовать • Поймите свое окружение, что нормально, а что нет? • Сложно найти отечественные решения
Спасибо!

Recommended

Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 

Recommended

Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
Aleksey Lukatskiy
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Aleksey Lukatskiy
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
Expolink
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Expolink
 

More Related Content

What's hot

Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
Aleksey Lukatskiy
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
Aleksey Lukatskiy
 

What's hot (20)

Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
 

Similar to Ландшафт технологий кибербезопасности 2025

CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
Expolink
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Expolink
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
Diana Frolova
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Expolink
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
Эволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаЭволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернета
Cisco Russia
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
 
5 романченко ibs
5 романченко ibs5 романченко ibs
5 романченко ibs
journalrubezh
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
Softline
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Expolink
 
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFEАрхитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
Cisco Russia
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 

Similar to Ландшафт технологий кибербезопасности 2025 (20)

CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
 
Эволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернетаЭволюция архитектуры безопасности для эры всеобъемлющего интернета
Эволюция архитектуры безопасности для эры всеобъемлющего интернета
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
5 романченко ibs
5 романченко ibs5 романченко ibs
5 романченко ibs
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
 
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFEАрхитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
 

More from Aleksey Lukatskiy (13)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

Ландшафт технологий кибербезопасности 2025

  • 1. 18 декабря 2017 Бизнес-консультант по безопасности Ландшафт технологий кибербезопасности 2025 Алексей Лукацкий
  • 2. Что влияет на кибербезопасность? Трансформация продаж и услуг $152B Работники следующего поколения $50B Платежи $43B Видео-советники $38B Таргетированная реклама и маркетинг $33B Брендированные услуги $25B Виртуальные помощники $5B Инновационные продукты $19B Консалтинг $9B APT Инсайдеры Мошенничество Законодательство Финтех Кибер- безопасность Социальные сети Software Defined Networks Мобильность Большие данные и аналитика Интернет вещей Облачные технологии Искусственный интеллект
  • 3. Магические аббревиатуры 1. FW, IDS, IPS, AV, VM, DLP, PKI, SIEM, UTM, WAF, MDM, HIPS 2. NTA, EDR, SOC, UEBA, CASB, TI, EPP, NGAV, STAP, EVC, BDS, PAM, NFT, IRP, NAC, SAT, IAG, NGEP, AEP, AWL 3. SDS, SDP, DDP, MDR, SOAR !Что у вас есть? В утвержденном сегодня плане мероприятий по ИБ в рамках «Цифровой экономики» есть и другие аббревиатуры
  • 4. Мобильные пользователи Филиал Где/как мы обычно строим защиту? Облако Сеть Админ ЦОД Пользователи ЗАПИСЫВАТЬ каждую коммуникацию Понимать, что такое НОРМА Предупреждать об ИЗМЕНЕНИЯХ ЗНАТЬ каждый узел Реагировать на УГРОЗЫ быстро HQ
  • 5. Даже если ваш периметр защищен • А что делать с возрастающим объемом зашифрованного трафика (например, TLS)? • А как быть с технологиями типа pinning? • А наш периметр готов к переходу в облака? • А периметр учитывает программно- определяемые сети и сегментацию? 🤦
  • 6. Пора задуматься о смене стратегии © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
  • 7. Как «читать» гартнеровские хайпы Впервые стали говорить Много шума Не так страшен черт, как его малюют Наработаны контрмеры Плато продуктивности технологии Исследования Пора пилотировать Время принимать решения Пора брать
  • 8. Инфраструктурная безопасность • Инфраструктурная безопасность – наиболее проработанный и зрелый рынок • Российские вендоры смотрят именно сюда, как на наиболее «понятный» им сегмент
  • 9. Откуда вы берете данные об угрозах? • TI – это базирующееся на доказательствах знание об угрозах (индикаторы компрометации, контекст, механизмы, тактики, процедуры, акторы и др.) • Знать не достаточно – примените знание к вашим решениям по ИБ • Не чурайтесь бесплатных и open source источников и решений • Внедрите платформу TIP и интегрируйтесь с SIEM 💻Cisco, Kaspersky Lab, Group-IB, Перспективный мониторинг, ГосСОПКА, FinCERT, BI.ZONE
  • 10. ПК остаются основной точкой входа для инцидентов инцидентов начинаются на ПК 70% ПОЧЕМУ? Разрыв в защите организаций говорят, что атаки обходят средства предотвращения 65% Ошибки пользователей атакующих обходят защиту ПК из-за ошибок пользователей 48% Разрыв в видимости Организаций не могут определить причину инцидента 55% среднее время обнаружения в индустрии 100ДНЕЙ Источник: Cisco
  • 11. 3 современных подхода к защите ПК может требовать дополнительной экспертизы и ресурсов Обнаруживать IOCs & аномалии в системной активности 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0 может потребовать от пользователей изменения поведения и может быть сложным во внедрении Изолировать приложения & данные в гипервизоре/контейнерах 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0 может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или приложению Предотвращать соединения в Интернет- активности 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0
  • 12. Защита DNS Защищает доступ к Интернет везде Вредонос C2-соединения Фишинг HQ Sandbox NGFW Proxy Netflow AV AV ФИЛИАЛ Router/UTM AV AV ROAMING AV Первая линия Все это начинается с DNS DNS используется всеми устройствами Защита от вредоносов, фишинга и общения с C2 Получение контроля над всеми устройствами и пользователями в Интернет
  • 13. Сдвиг с предотвращения к реагированию Защита в момент времени Непрерывная защита Сеть ПК Мобильное устройство Виртуальная машина Облако Жизненный цикл внутренней угрозы Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановлени е ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
  • 14. EDR: на что обратить внимание? • Фокус на обнаружение продвинутых угроз, реагирование и расследование • Обнаружение за счет контроля поведения или через IoC • Производительность агентов • Где управление и анализ данных – консоль, локальный ПК, облако? • Интеграция с сетевой безопасностью для лучшего обнаружения • Постепенное слияние с сегментом EPP 💻
  • 15. EDR vs STAP vs EVC EDR STAP EVC BDS NGEP AEP Gartner IDC Forrester NSS Labs EDR – Endpoint Detection & Response STAP – Specialized Threat Analysis & Protection EVC – Endpoint Visibility & Control BDS – Breach Detection System NGEP – Next Generation Endpoint Protection AEP – Advanced Endpoint Protection
  • 16. Игроки рынка EDR • Carbon Black, Cisco, CounterTack, CrowdStrike, Cyberbit, Cyberreason, Cynet • Digital Guardian, Endgame, F-Secure, Fidelis, Fireeye, WatchGuard • Invincea, LightCyber, McAfee, Microsoft, Nuix, Outlier Security, Panda, RSA • SecDo, SentinelOne, Symantec, Tanium, Verint • Open Source: Google Rapid Response, Facebook osquery, Mozilla Investigator, El Jefe, Lima Charlie, Sysmon + ELK 💻
  • 17. Нехватка специалистов по безопасности Потребность в специалистах по кибербезопасности в 12 раз выше, чем в ИТ- специалистах Нехватка специалистов по кибербезопасности в России составляет около 55-60 тысяч человек при ежегодной подготовке 25500 человек Компании с недостатком специалистов, тратят на борьбу с последствиями атак в среднем в 5 раз больше ? Мировая нехватка специалистов по кибербезопасности составит к 2020-му году 1 миллион человек Security Team
  • 18. MDR vs EDR: что выбрать? • Необходимость внедрения концепции EDR при отсутствии экспертизы или ресурсов • Услуга реагирования на инциденты опциональна • Возможно ваш MSSP предлагает или планирует предлагать эту услугу • Возможно EDR-вендор предложить вам «урезанную» версию сервиса • Не забывайте, что это аутсорсинг со всеми его плюсами и минусами 💻Cisco, AlertLogic, FireEye, eSentire, Rapid7, Raytheon, Red Canary, SecureWorks, Artic Wolf
  • 19. Угроза может проникнуть минуя периметр Лобби и переговорки… Вы их контролируете? Любопытство возьмет верх или нет?
  • 20. А еще хакеры лезут через Wi-Fi
  • 21. Сеть как масштабируемый источник знаний Interwebs Internal Network Ключевые NetFlow поля • Packet count • Byte count • Source IP address • Destination IP address • Start sysUpTime • End sysUpTime • Packet count • Byte count • Input ifIndex • Output ifIndex • Type of Service • TCP flags • Protocol • Next hop address • Source AS number • Dest. AS number • Source prefix mask • Dest. prefix mask Использование Время Где QoS От/Куда Использование Роутинг и пиринг NetFlow Data NetFlow Collector
  • 22. NTA: на что обратить внимание? • DPI или NetFlow/sFlow/jFlow/cFlow/IPFIX (поддерживает ли оборудование?) • Это не IDS/SIEM/UEBA – разные задачи • Физическое / виртуальное устройство / работа с сетевым оборудованием напрямую • Работа в облачных средах • Взаимодействие с агентами на узлах для подтверждения атаки • Конфликт «сетевики vs безопасники» – чье решение? 🕸Cisco, Darktrace, Vectra, LightCyber, Fidelis, FireEye, Phirelight, Trend Micro, Kaspersky Lab, SS8, Microolap
  • 23. Технология поведенческой аналитики: ключевые особенности • Анализ активности пользователей, как первоочередная задача • Анализу подлежит активность и поведение пользователей, а не роли, атрибуты или параметры доступа (хотя они важны в контексте) • Анализ подразумевает не использование жестко зафиксированных правил корреляции, а применение более интеллектуальных методов (например, машинного обучения и т.п.), позволяющих без описанных ранее шаблонов зафиксировать аномалии в поведении
  • 24. 3 причины обращения заказчиков к UEBA • Нехватка возможностей существующих решений и технологий по обнаружение угроз, связанных с деятельностью пользователей • Необходимость мониторить окружение, которое не покрывается другими решениями и технологиями • Высокая стоимость сортировки и приоритезации событий ИБ в существующих SIEM-решений, которые как-то но оперируют событиями, связанными с пользователями
  • 25. Продукт или технология? • Вы можете выбрать отдельный продукт или встроенную в существующее решение технологию / функцию • Возможно сегмент отдельных продуктов UEBA «вымрет», слившись с другими классами продуктов, повысивших свою эффективность работы с пользовательским контекстом UEBA Технология SIEM DLP NTA EDR IAG/PAM Продукт
  • 26. UEBA: на что обратить внимание? • Анализ активности (профилирование) пользователя на разных уровнях (логи, поведение, сетевой трафик) • Какие источники данных поддерживаются? • Необходимо понимать свое окружение и что такое «нормально» или «аномально» • Отдельный продукт или одна из функций SIEM, NTA, EDR, PAM, DLP 🙇Balabit, Exabeam, Gurucul, Fortscale, Intersect, Preempt, RedOwl, Rapid7, Securonix, Splunk
  • 27. Сетевые ресурсыПолитика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативам P Что Когда Где Как Программно определяемая микросегментация Дверь в сеть Контекст
  • 28. SDS: на что обратить внимание? • Агенты, виртуальные устройства, контейнеры или использование сетевого оборудования • Работа с облачными средами • Понимание топологии и матрицы доступа • Интеграция с существующей сетевой инфраструктурой и структурой ИБ • Начните с критических сегментов и приложений 🚦Cisco, Illumio, vArmour, CloudPassage, NeuVector, AWS, Azure, Unisys, Catbird, Saife
  • 29. Богатый контекст Василий Планшет Здание 7, корпус 2, 1 этаж 11:00 AM Europe/Moscow 11-00 AM Беспроводная сеть Безопасность в контексте Кто Что Где Когда Как Отсутствие контекста IP Address 192.168.1.51 Не известно Не известно Не известно Не известно Нужный пользователь с нужным устройством попадет в сеть только из нужного места с необходимыми правами Любой пользователь. Любое устройство откуда угодно попадает в сеть Результат Контекст:
  • 30. SDS vs SDP: на что обратить внимание? • Схожая с SDS технология обеспечения доступа к периметру предприятия на основе контекста (кто, откуда, приложение и т.п.) • Поддержка IaaS • Изменение дизайна и концепции «Интернет- периметра» 🚦Unisys, Cisco, Certes, Saife, Dispel, BlackRidge, Akamai, Vidder, Zentera
  • 31. Кто? Известные пользователи (Сотрудники, продавцы, HR) Неизвестные пользователи (Гости) Что? Идентификатор устройства Классификация устройств (профиль) Состояние устройства (posture) Как? Проводное подключение Беспроводное подключение VPN-подключение Где / куда / откуда? Географическое местоположение Департамент / отдел SSID / Порт коммутатора Когда? Дата Время Другие? Пользовательские атрибуты Статус устройства / пользователя Используемые приложения Опыт использования контекста внутри сети Cisco
  • 32. Хакеры атакуют мгновенно и сидят в сети незаметно Bitglass 205 Trustwav e 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305 Cisco 200
  • 33. Обман как тактика в ИБ • Сети (IP, VLAN) • Сервера (контроллеры, Web, SQL) • Уязвимости приложений • ПК • Данные (логины/пароли, файлы, куки и др.) Надувной истребитель
  • 34. DDP: на что обратить внимание? • Агент или виртуальное устройство • Типы эмулируемых систем • Наличие ресурсов для работы с такими системами • Понимание существующей топологии • Интеграция в существующую систему ИБ на предприятии 🔮Attivo, TrapX, Cymmetria, Illusive, Javelin, TopSpin, GuardiCore, Acalvio, Код безопасности
  • 35. А можно попробовать бесплатно? • Amun • Conpot • Dionaea • DCEPT • Elastichoney • Glastopf • Honeyd • HoneyDrive • Kippo • p0f • ShockPot • Wordpot 🔮Возможно стоит попробовать open source решения для оценки идеи и ее реализации
  • 36. От обмана к симуляции 👊AttackIQ, Core Security, Cymulate, SafeBreach, Verodin, Threatcare • Технологии симуляции атак позволяют предсказать, что произойдет в вашей организации в случае взлома • Портфолио симулируемых атак (размер и частота обновления) • Не отменяет пентестов, часто требуемых на уровне законодательства
  • 37. Согласно оценкам Гартнер к 2018: 25% корпоративного трафика будет миновать периметр ИБ.
  • 38. Облачные приложения становятся неотъемлемой частью бизнеса Как осуществляется их защита? Удаленный доступ Оперативность и скорость Улучшенное взаимодействие Увеличение продуктивности Экономичность Утечка конфиденциальных данных Риски несоответствия правовым нормам Риск инсайдерских действий Вредоносное ПО и вирусы
  • 39. Понимание рисков, связанных с облачными приложениями, для вашего бизнеса Это проблема, так как ваш ИТ-отдел: • Не видит, какие используются приложения • Не может идентифицировать опасные приложения • Не может настроить необходимые средства управления приложениями сотрудников признают, что используют неутвержденные приложения1 72% ИТ-отделов используют 6 и более неутвержденных приложений2 26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов 35% «Теневые» ИТ Использование несанкционированных приложений Источник: 1CIO Insight; 2,3Gartner
  • 40. Понимание рисков использования данных в облачных приложениях Это проблема, так как ваш ИТ-отдел: • Не может остановить утечку данных и устранить риски несоблюдения нормативных требований • Не в состоянии заблокировать входящий опасный контент • Не в силах остановить рискованные действия пользователей организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1 90% приложений могут стать опасными при неправильном использовании2 72% файлов на каждого пользователя открыто используется в организациях3 185 «Теневые» данные Использование санкционированных приложения для неправомерных целей Источник: 1Ponemon, 2013 Cost of Data Breach Study; 2CIO Insight; 3Elastica
  • 41. Payroll.docx Пользователи свободно обмениваются информацией и это может привести к нарушениям безопасности Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных приложений и «теневых» данных При использовании облачных приложений ИТ-отдел не может контролировать все разрешения на совместное использование 20% совместно используемых файлов содержит данные, связанные с соблюдением нормативов
  • 42. Облачная безопасность • Облачная ИБ находится еще на заре своего развития • Объект защиты находится преимущественно за пределами корпоративной сети
  • 43. Что такое CASB? Утечки данных Защита данных и соответствие требованиям Риски теневых ИТ и приложений Контроль и видимость приложений Скомпрометирован- ные учетные записи и внутренние угрозы Защита от угроз и UEBA ПриложенияУчетные записи Данные
  • 44. CASB: на что обратить внимание? • Контроль через forward/reverse proxy или через API • Рейтинг рисков приложений и действий • Мониторинг данных и UEBA • Интеграция с защитой периметра • Поддержка ваших облачных сервисов (в России могут быть сложности) ☔Cisco, SkyHigh, Microsoft (Adallom), Symantec, Forcepoint, Oracle, Netskope, CipherCloud
  • 45. Безопасность ваших облачных рабочих мест AV HIPS EDR, мониторинг поведения Шифрование данных, IaaS Защита памяти / предотвращение эксплойтов Контроль приложений (AWL) Управление целостностью системы Сегментация, МСЭ, visibility Конфигурация, управление уязвимостями Нет клиентов Web/Email Управление привилегиями админов Управление изменениями Управление логами Гигиена Базовые меры защиты серверов Опциональные меры защиты серверов
  • 46. На что обратить внимание? • EPP – не лучшее решение для серверов • Интеграция с IaaS • Наличие полного API • Поддержка гибридного управления (для облаков и решений on premise) ⛅Carbon Black, Illumio, Kaspersky Lab, McAfee, Sophos, Symantec, Trend Micro, Tripwire
  • 47. Безопасность данных • Безопасность данных находится над инфраструктурной и облачной ИБ (другое измерение) • Наиболее интересные и инвестируемые сегодня технологии
  • 48. Безопасность приложений • Бизнес и регуляторы предъявляют все больше требований к безопасности приложений • Требуется повышение осведомленности разработчиков
  • 49. Как выглядит рынок ИБ изнутри • Аналитика – это обязательная функция любого продукта по ИБ (без нее продукт обречен) • SaaS-версия продукта часто помогает развитию
  • 50. Аналитика ИБ – это сегодня «must have» Что происходит? Почему это происходит? Что произойдет? Что я должен сделать? Описать Диагностировать Предсказать Предписать IDS, AV, SIEM, TI NTA, UEBA, NFT, EDR Fraud Detection SOAR, Attack Simulation Правила, машинное обучение, обнаружение аномалий, исторический анализ (ретроспектива), искусственный интеллект
  • 51. Машинное обучение (искусственный интеллект) Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее
  • 52. Шифрованный трафик: знак времени Приватность граждан Требования государства ИБ организации Шифрованный трафик растет Он составляет 60% от общего объема https:// Растущая тенденция шифрования Web-трафика создает ложное чувство защищенности и слепые зоны для защитников
  • 53. Технология анализа зашифрованного трафика Известный трафик ВПО Известный «чистый» трафик Анализ метаданных в сетевом трафике Применение машинного обучения для построения детекторов Сессии известного ВПО детектируются в зашифрованном трафике с точностью 99+% “Identifying Encrypted Malware Traffic with Contextual Flow Data” AISec ’16 | Blake Anderson, David McGrew
  • 54. Обнаружение ВПО в шифрованном трафике Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD 54
  • 55. От SIEM к SOAR • В отличие от анализа логов, обеспечиваемого SIEM, решения SOAR вобрали в себя целый набор различных технологий, обеспечивающих деятельность SOC и служб мониторинга ИБ
  • 56. Отражение угроз • Гартнеровские циклы с разных точек зрения оценивают различные технологии и сегменты, что позволяет выбрать правильную точку зрения
  • 57. Классическая пара МСЭ+AV для борьбы с современным ВПО • Памятник вирусу NotPetya / Nyetya в Сколково • Открыт 18 декабря 2017 года при участии компании «Инвитро»
  • 58. Может ли классическая пара МСЭ+AV бороться с APT? Реальное время или близкое к нему Анализ пост- фактум Сеть Анализ сетевого трафика Расследование инцидентов на уровне сети Содержимое Анализ содержимого Оконечные устройства Анализ поведения на оконечных устройствах Расследование инцидентов на уровне оконечных устройств • Откуда брать данные об угрозах? • Кто анализирует поведение? • Где анализируется поведение? • Как увеличить время проникновения и сбора следов?
  • 59. Что надо учитывать при борьбе с ВПО? Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановлени е ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ Network Forensics Endpoint Forensics SOAR Attack Simulation Network Traffic Analysis Network Sandboxing User Entity Behavior Analytics Deception Threat Intelligence
  • 60. Почему такой набор? Канал • Интернет: E-mail • Интернет: Web • Внутри: Wi-Fi • Физический доступ: USB, цепочка поставок, обновление ПО, подрядчики Техника заражения • Старое ВПО • Известный эксплойт • Новый эксплойт к недавней уязвимости • 0day Тело вредоноса • Старое ВПО – известный хэш • Известное тело – простые модификации • Новое тело + обфускация • Нет повторного использования прежних атак • Различные техники обхода на разных уровнях
  • 61. Борьба с ВПО выглядеть должна так • Эшелонированная оборона • Различные технологии обнаружения • Защита на уровне ПК, сети и Интернет • Контроль семплов и инфраструктуры злоумышленников Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Контроль приложений ЛокализацияЗащита серверов Изоляция Мониторинг DNS Mobile Device Management (MDM) ИБ IaaS/PaaS CASB
  • 62. Вам нужен продукт или решение ваших задач?
  • 64. Topic (Services) Behavior Rules События пользователей Box Jive SFDC End-User’s Manager Уведомление 1 Behavior DB 4 Аномальное поведение 6 7 Обратная связь с менеджером 8 Анализ поведения 5 Determine and Log the Cisco data at risk Анализ событий3 Behavior Reconstruction Balance Security and Productivity Public Cloud Обеспечение контекста User Identity: DSX, CES, HRMS, CPR Data Identity: Symantec DLP, DSPL, PSIRT Device Identity: ISE, DCE, GDM Network Identity: EMAN 2 iCAM in green Others in violet ENG DC Topic Alfresco Private Cloud CITEIS ENG Lab Data Lake … … iCAM: разработка Cisco «для себя»
  • 65. • 10 секунд на детектирование риска • 24 часа на устранение риска Скорость • 4+ миллиардов событий ежедневно • ±2000 инцидентов в квартал Объемы • 40+ миллиардов файлов Cisco были защищены • 16,000+ серверов мониторится Ценность для бизнеса • User-To-Ops: 100,000 : 1 • 90% сигналов тревоги управляются автоматически • Только 1% инцидентов требует ручной поддержки от Ops Качество операций Эффект от iCAM в Cisco 15,2 миллиона долларов ежегодной экономии / сохранности
  • 66. OpenSOC и TIP: еще один пример собственной разработки внутри Cisco 6 Мультипетабайтное хранилище Интерактивные запросы Поиск в реальном времени Масштабируемая обработка потоков Неструктурированные данные Контроль доступа к данным Масштабируемые вычисления Hadoop Big Data Platform OpenSOC Алерты в реальном времени Обнаружение аномалий Корреляция данных Правила и отчеты Прогнозное моделирование UI и приложения
  • 67. Не спешите покупать хайп – поймите свои потребности!
  • 68. Начните с малого: от пассивной обороны к активной Встроенная защита Защита от угроз, не требующая участия человека Анализ со стороны человека в поисках следов нарушителей Сбор данных, обогащение информации и представление разведданных Юридические меры против нарушителей
  • 69. Поэтапное наращивание защитных возможностей •Модель университета ПурдьюАрхитектура •Эшелонированная оборона •Серия NIST SP800 и NIST SCF •17/21/31-й приказ ФСТЭК Пассивная оборона •Цикл активной кибер-обороны •Network Security MonitoringАктивная оборона •Kill Chain •Diamond ModelРазведка •Юридические методы против нарушителей •Перехват C&CНападение
  • 70. В основе всего лежит архитектура! Ценность Цена Архитектура Пассивная оборона Активная оборона Разведка Нападение
  • 71. Все зависит от модели угроз / нарушителя Новички Киберкриминал Корпоративный шпионаж/ кибертерроризм Спецслужбы ИБ нет Архитектура Пассивная оборона Активная оборона Разведка
  • 72. В качестве резюме • Современные решения – это инструменты. Кто-то должен уметь ими пользоваться и выстраивать процессы • Без аналитики сегодня все решения по ИБ обречены на провал • Серебряной пули нет и не будет • Решения должны использовать комбинации методов обнаружения (threat intelligence, правила, алгоритмы) • Не пытайтесь все нейтрализовать • Поймите свое окружение, что нормально, а что нет? • Сложно найти отечественные решения