17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
Презентация с обзором 17 способов проникновения в корпоративную сеть, минуя межсетевой экран. В качестве примера решения для борьбы с многими из них описывается Cisco Stealthwatch и Cisco ISE.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
Презентация с коротким обзором применения искусственного интеллекта, читай, машинного обучения, в кибербезопасности, и вопросов, которые надо решить при выборе вендора, предлагающего ИИ, или при построении собственного решения по ИИ в ИБ.
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
Презентация с SOC Forum, прошедшего в Астане (Казахстан) 12 апреля 2018 года. Описывает 10 некоторых заблуждений и ошибок при внедрении, использовании или аутсорсинге SOC.
Презентация на CyberCrimeCon про некоторые важные моменты построения SOC, включая вопросы ценообразования, оргштатной структуры, технологического стека, сервисной стратегии, Threat Intelligence и т.п.
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
Презентация с обзором 17 способов проникновения в корпоративную сеть, минуя межсетевой экран. В качестве примера решения для борьбы с многими из них описывается Cisco Stealthwatch и Cisco ISE.
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
Презентация с коротким обзором применения искусственного интеллекта, читай, машинного обучения, в кибербезопасности, и вопросов, которые надо решить при выборе вендора, предлагающего ИИ, или при построении собственного решения по ИИ в ИБ.
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
Презентация с SOC Forum, прошедшего в Астане (Казахстан) 12 апреля 2018 года. Описывает 10 некоторых заблуждений и ошибок при внедрении, использовании или аутсорсинге SOC.
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Услуги и решения Softline в области информационной безопасности. Прикладные и инфраструктурные решения. Соответствие требованиям (compliance). Сетевая безопасность. Аудит информационной безопасности.
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось.
2. Что влияет на кибербезопасность?
Трансформация продаж и услуг
$152B
Работники следующего поколения
$50B
Платежи
$43B
Видео-советники
$38B
Таргетированная реклама и маркетинг
$33B
Брендированные услуги
$25B
Виртуальные помощники
$5B
Инновационные продукты
$19B
Консалтинг
$9B
APT
Инсайдеры
Мошенничество Законодательство
Финтех
Кибер-
безопасность
Социальные сети
Software Defined Networks Мобильность
Большие данные и аналитика
Интернет вещей Облачные технологии
Искусственный интеллект
3. Магические аббревиатуры
1. FW, IDS, IPS, AV, VM, DLP, PKI,
SIEM, UTM, WAF, MDM, HIPS
2. NTA, EDR, SOC, UEBA, CASB, TI,
EPP, NGAV, STAP, EVC, BDS, PAM,
NFT, IRP, NAC, SAT, IAG, NGEP,
AEP, AWL
3. SDS, SDP, DDP, MDR, SOAR
!Что у вас есть?
В утвержденном сегодня плане мероприятий по ИБ
в рамках «Цифровой экономики» есть и другие
аббревиатуры
4. Мобильные пользователи
Филиал
Где/как мы обычно строим защиту?
Облако
Сеть
Админ
ЦОД
Пользователи
ЗАПИСЫВАТЬ
каждую коммуникацию
Понимать, что
такое НОРМА
Предупреждать об
ИЗМЕНЕНИЯХ
ЗНАТЬ
каждый узел
Реагировать на
УГРОЗЫ быстро
HQ
5. Даже если ваш периметр защищен
• А что делать с возрастающим
объемом зашифрованного трафика
(например, TLS)?
• А как быть с технологиями типа
pinning?
• А наш периметр готов к переходу в
облака?
• А периметр учитывает программно-
определяемые сети и сегментацию?
🤦
7. Как «читать» гартнеровские хайпы
Впервые стали
говорить
Много
шума
Не так страшен черт,
как его малюют
Наработаны контрмеры Плато
продуктивности
технологии
Исследования Пора пилотировать
Время
принимать
решения Пора брать
9. Откуда вы берете данные об угрозах?
• TI – это базирующееся на доказательствах
знание об угрозах (индикаторы
компрометации, контекст, механизмы,
тактики, процедуры, акторы и др.)
• Знать не достаточно – примените знание к
вашим решениям по ИБ
• Не чурайтесь бесплатных и open source
источников и решений
• Внедрите платформу TIP и интегрируйтесь с
SIEM
💻Cisco, Kaspersky
Lab, Group-IB,
Перспективный
мониторинг,
ГосСОПКА,
FinCERT, BI.ZONE
10. ПК остаются основной точкой входа для
инцидентов
инцидентов начинаются на ПК
70% ПОЧЕМУ?
Разрыв в защите
организаций говорят, что
атаки обходят средства
предотвращения
65%
Ошибки пользователей
атакующих обходят
защиту ПК из-за ошибок
пользователей
48%
Разрыв в видимости
Организаций не
могут определить
причину инцидента
55%
среднее время
обнаружения в
индустрии
100ДНЕЙ
Источник: Cisco
11. 3 современных подхода к защите ПК
может требовать
дополнительной экспертизы и
ресурсов
Обнаруживать IOCs &
аномалии в системной
активности
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может потребовать от
пользователей изменения
поведения и может быть
сложным во внедрении
Изолировать приложения
& данные
в
гипервизоре/контейнерах
0 1 0 1 1 1 1 0 1 1 1 0
1 1 0 0 1 1 0 0 0 0 1 1
1 0 1 1 1 0 1 0 0 0 0 1
0 0 0 1 1 0 0 0 0 0 1 0
0 1 0 0 0 0 1 0 0 1 0 0
может обеспечить лучшую
видимость и блокирование *если*
есть возможность блокировать по
любому порту, протоколу или
приложению
Предотвращать
соединения в Интернет-
активности
0 1 0 1 1 1 1 0 1 1 1
0
1 1 0 0 1 1 0 0 0 0 1
1
1 0 1 1 1 0 1 0 0 0 0
1
0 0 0 1 1 0 0 0 0 0 1
0
0 1 0 0 0 0 1 0 0 1 0
0
12. Защита DNS
Защищает доступ к Интернет везде
Вредонос
C2-соединения
Фишинг
HQ
Sandbox
NGFW
Proxy
Netflow
AV AV
ФИЛИАЛ
Router/UTM
AV AV
ROAMING
AV
Первая
линия
Все это начинается
с DNS
DNS используется всеми
устройствами
Защита от вредоносов,
фишинга и общения с C2
Получение контроля над
всеми устройствами и
пользователями в
Интернет
13. Сдвиг с предотвращения к реагированию
Защита в момент времени Непрерывная защита
Сеть ПК Мобильное устройство Виртуальная машина Облако
Жизненный цикл внутренней угрозы
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановлени
е
ДО АТАКИ ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ
14. EDR: на что обратить внимание?
• Фокус на обнаружение продвинутых угроз,
реагирование и расследование
• Обнаружение за счет контроля поведения
или через IoC
• Производительность агентов
• Где управление и анализ данных – консоль,
локальный ПК, облако?
• Интеграция с сетевой безопасностью для
лучшего обнаружения
• Постепенное слияние с сегментом EPP
💻
16. Игроки рынка EDR
• Carbon Black, Cisco, CounterTack,
CrowdStrike, Cyberbit, Cyberreason, Cynet
• Digital Guardian, Endgame, F-Secure, Fidelis,
Fireeye, WatchGuard
• Invincea, LightCyber, McAfee, Microsoft, Nuix,
Outlier Security, Panda, RSA
• SecDo, SentinelOne, Symantec, Tanium, Verint
• Open Source: Google Rapid Response,
Facebook osquery, Mozilla Investigator, El Jefe,
Lima Charlie, Sysmon + ELK
💻
17. Нехватка специалистов по безопасности
Потребность в
специалистах по
кибербезопасности в
12 раз выше, чем в ИТ-
специалистах
Нехватка специалистов
по кибербезопасности в
России составляет около
55-60 тысяч человек при
ежегодной подготовке
25500 человек
Компании с недостатком
специалистов, тратят на
борьбу с последствиями
атак в среднем в 5 раз
больше
?
Мировая нехватка
специалистов по
кибербезопасности
составит к 2020-му
году 1 миллион
человек
Security
Team
18. MDR vs EDR: что выбрать?
• Необходимость внедрения концепции EDR
при отсутствии экспертизы или ресурсов
• Услуга реагирования на инциденты
опциональна
• Возможно ваш MSSP предлагает или
планирует предлагать эту услугу
• Возможно EDR-вендор предложить вам
«урезанную» версию сервиса
• Не забывайте, что это аутсорсинг со всеми
его плюсами и минусами
💻Cisco, AlertLogic,
FireEye, eSentire,
Rapid7, Raytheon,
Red Canary,
SecureWorks, Artic
Wolf
19. Угроза может проникнуть минуя периметр
Лобби и переговорки…
Вы их контролируете?
Любопытство возьмет верх
или нет?
21. Сеть как масштабируемый источник знаний
Interwebs
Internal
Network
Ключевые NetFlow поля
• Packet count
• Byte count
• Source IP address
• Destination IP address
• Start sysUpTime
• End sysUpTime
• Packet count
• Byte count
• Input ifIndex
• Output ifIndex
• Type of Service
• TCP flags
• Protocol
• Next hop address
• Source AS number
• Dest. AS number
• Source prefix mask
• Dest. prefix mask
Использование
Время
Где
QoS
От/Куда
Использование
Роутинг и
пиринг
NetFlow Data
NetFlow Collector
22. NTA: на что обратить внимание?
• DPI или NetFlow/sFlow/jFlow/cFlow/IPFIX
(поддерживает ли оборудование?)
• Это не IDS/SIEM/UEBA – разные задачи
• Физическое / виртуальное устройство /
работа с сетевым оборудованием напрямую
• Работа в облачных средах
• Взаимодействие с агентами на узлах для
подтверждения атаки
• Конфликт «сетевики vs безопасники» – чье
решение?
🕸Cisco, Darktrace,
Vectra, LightCyber,
Fidelis, FireEye,
Phirelight, Trend
Micro, Kaspersky
Lab, SS8, Microolap
23. Технология поведенческой аналитики:
ключевые особенности
• Анализ активности пользователей, как
первоочередная задача
• Анализу подлежит активность и поведение
пользователей, а не роли, атрибуты или параметры
доступа (хотя они важны в контексте)
• Анализ подразумевает не использование жестко
зафиксированных правил корреляции, а применение
более интеллектуальных методов (например,
машинного обучения и т.п.), позволяющих без
описанных ранее шаблонов зафиксировать
аномалии в поведении
24. 3 причины обращения заказчиков к UEBA
• Нехватка возможностей существующих
решений и технологий по обнаружение
угроз, связанных с деятельностью
пользователей
• Необходимость мониторить окружение,
которое не покрывается другими
решениями и технологиями
• Высокая стоимость сортировки и
приоритезации событий ИБ в
существующих SIEM-решений, которые
как-то но оперируют событиями,
связанными с пользователями
25. Продукт или технология?
• Вы можете выбрать
отдельный продукт или
встроенную в
существующее решение
технологию / функцию
• Возможно сегмент
отдельных продуктов
UEBA «вымрет»,
слившись с другими
классами продуктов,
повысивших свою
эффективность работы с
пользовательским
контекстом
UEBA
Технология
SIEM DLP NTA EDR IAG/PAM
Продукт
26. UEBA: на что обратить внимание?
• Анализ активности (профилирование)
пользователя на разных уровнях (логи,
поведение, сетевой трафик)
• Какие источники данных поддерживаются?
• Необходимо понимать свое окружение и что
такое «нормально» или «аномально»
• Отдельный продукт или одна из функций
SIEM, NTA, EDR, PAM, DLP
🙇Balabit, Exabeam,
Gurucul, Fortscale,
Intersect, Preempt,
RedOwl, Rapid7,
Securonix, Splunk
27. Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам
P
Что
Когда
Где
Как
Программно определяемая микросегментация
Дверь в
сеть
Контекст
28. SDS: на что обратить внимание?
• Агенты, виртуальные устройства,
контейнеры или использование сетевого
оборудования
• Работа с облачными средами
• Понимание топологии и матрицы доступа
• Интеграция с существующей сетевой
инфраструктурой и структурой ИБ
• Начните с критических сегментов и
приложений
🚦Cisco, Illumio,
vArmour,
CloudPassage,
NeuVector, AWS,
Azure, Unisys,
Catbird, Saife
29. Богатый контекст
Василий
Планшет
Здание 7, корпус 2, 1 этаж
11:00 AM Europe/Moscow 11-00 AM
Беспроводная сеть
Безопасность в контексте
Кто
Что
Где
Когда
Как
Отсутствие контекста
IP Address 192.168.1.51
Не известно
Не известно
Не известно
Не известно
Нужный пользователь с нужным
устройством попадет в сеть только из
нужного места с необходимыми правами
Любой пользователь. Любое устройство
откуда угодно попадает в сеть
Результат
Контекст:
30. SDS vs SDP: на что обратить внимание?
• Схожая с SDS технология обеспечения
доступа к периметру предприятия на основе
контекста (кто, откуда, приложение и т.п.)
• Поддержка IaaS
• Изменение дизайна и концепции «Интернет-
периметра»
🚦Unisys, Cisco,
Certes, Saife,
Dispel, BlackRidge,
Akamai, Vidder,
Zentera
31. Кто?
Известные пользователи
(Сотрудники, продавцы, HR)
Неизвестные пользователи
(Гости)
Что?
Идентификатор устройства
Классификация устройств
(профиль)
Состояние устройства (posture)
Как?
Проводное подключение
Беспроводное
подключение
VPN-подключение
Где / куда / откуда?
Географическое
местоположение
Департамент / отдел
SSID / Порт коммутатора
Когда?
Дата
Время
Другие?
Пользовательские
атрибуты
Статус устройства /
пользователя
Используемые
приложения
Опыт использования контекста внутри
сети Cisco
32. Хакеры атакуют мгновенно и сидят в сети
незаметно
Bitglass
205
Trustwav
e
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных вторжений
Ponemon
206
HP
416
Symantec
305
Cisco
200
33. Обман как тактика в ИБ
• Сети (IP, VLAN)
• Сервера (контроллеры,
Web, SQL)
• Уязвимости
приложений
• ПК
• Данные (логины/пароли,
файлы, куки и др.)
Надувной истребитель
34. DDP: на что обратить внимание?
• Агент или виртуальное устройство
• Типы эмулируемых систем
• Наличие ресурсов для работы с
такими системами
• Понимание существующей топологии
• Интеграция в существующую систему
ИБ на предприятии
🔮Attivo, TrapX,
Cymmetria, Illusive,
Javelin, TopSpin,
GuardiCore,
Acalvio, Код
безопасности
35. А можно попробовать бесплатно?
• Amun
• Conpot
• Dionaea
• DCEPT
• Elastichoney
• Glastopf
• Honeyd
• HoneyDrive
• Kippo
• p0f
• ShockPot
• Wordpot
🔮Возможно стоит
попробовать open
source решения
для оценки идеи и
ее реализации
36. От обмана к симуляции
👊AttackIQ, Core
Security, Cymulate,
SafeBreach,
Verodin, Threatcare
• Технологии симуляции атак
позволяют предсказать, что
произойдет в вашей организации в
случае взлома
• Портфолио симулируемых атак
(размер и частота обновления)
• Не отменяет пентестов, часто
требуемых на уровне
законодательства
38. Облачные приложения становятся
неотъемлемой частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных
данных
Риски
несоответствия
правовым нормам
Риск
инсайдерских
действий
Вредоносное ПО
и вирусы
39. Понимание рисков, связанных с облачными
приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-отдел:
• Не видит, какие используются приложения
• Не может идентифицировать опасные приложения
• Не может настроить необходимые средства
управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72% ИТ-отделов используют 6 и более неутвержденных приложений2
26% корпоративной ИТ-инфраструктуры в 2015 году будет
управляться вне ИТ-отделов
35%
«Теневые» ИТ
Использование
несанкционированных
приложений
Источник: 1CIO Insight; 2,3Gartner
40. Понимание рисков использования данных
в облачных приложениях
Это проблема, так как ваш ИТ-отдел:
• Не может остановить утечку данных и устранить
риски несоблюдения нормативных требований
• Не в состоянии заблокировать входящий
опасный контент
• Не в силах остановить рискованные действия
пользователей
организаций сталкивались с утечкой конфиденциальных данных при совместном
использовании файлов1
90% приложений могут стать опасными при неправильном
использовании2
72% файлов на каждого пользователя открыто используется
в организациях3
185
«Теневые» данные
Использование санкционированных
приложения для неправомерных целей
Источник: 1Ponemon, 2013 Cost of Data Breach
Study;
2CIO Insight; 3Elastica
41. Payroll.docx
Пользователи свободно обмениваются
информацией и это может привести к
нарушениям безопасности
Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных
приложений и «теневых» данных
При использовании облачных
приложений ИТ-отдел не может
контролировать все разрешения
на совместное использование
20% совместно
используемых файлов
содержит данные,
связанные с соблюдением
нормативов
42. Облачная безопасность
• Облачная ИБ
находится еще на
заре своего
развития
• Объект защиты
находится
преимущественно
за пределами
корпоративной сети
43. Что такое CASB?
Утечки данных
Защита данных и
соответствие требованиям
Риски теневых
ИТ и приложений
Контроль и видимость
приложений
Скомпрометирован-
ные учетные записи
и внутренние
угрозы
Защита от угроз и UEBA
ПриложенияУчетные записи
Данные
44. CASB: на что обратить внимание?
• Контроль через forward/reverse proxy
или через API
• Рейтинг рисков приложений и
действий
• Мониторинг данных и UEBA
• Интеграция с защитой периметра
• Поддержка ваших облачных
сервисов (в России могут быть
сложности)
☔Cisco, SkyHigh,
Microsoft (Adallom),
Symantec,
Forcepoint, Oracle,
Netskope,
CipherCloud
45. Безопасность ваших облачных рабочих
мест AV
HIPS
EDR, мониторинг
поведения
Шифрование данных,
IaaS
Защита памяти /
предотвращение эксплойтов
Контроль приложений (AWL)
Управление целостностью системы
Сегментация, МСЭ, visibility
Конфигурация, управление уязвимостями
Нет клиентов
Web/Email
Управление
привилегиями админов
Управление
изменениями
Управление
логами
Гигиена
Базовые
меры
защиты
серверов
Опциональные
меры
защиты
серверов
46. На что обратить внимание?
• EPP – не лучшее решение для
серверов
• Интеграция с IaaS
• Наличие полного API
• Поддержка гибридного управления
(для облаков и решений on premise)
⛅Carbon Black,
Illumio, Kaspersky
Lab, McAfee,
Sophos, Symantec,
Trend Micro,
Tripwire
48. Безопасность приложений
• Бизнес и
регуляторы
предъявляют все
больше требований
к безопасности
приложений
• Требуется
повышение
осведомленности
разработчиков
49. Как выглядит рынок ИБ изнутри
• Аналитика – это
обязательная
функция любого
продукта по ИБ
(без нее продукт
обречен)
• SaaS-версия
продукта часто
помогает
развитию
50. Аналитика ИБ – это сегодня «must have»
Что происходит?
Почему это происходит?
Что произойдет?
Что я должен сделать?
Описать
Диагностировать
Предсказать
Предписать
IDS, AV, SIEM, TI
NTA, UEBA, NFT, EDR
Fraud Detection
SOAR, Attack Simulation
Правила, машинное обучение, обнаружение аномалий,
исторический анализ (ретроспектива), искусственный интеллект
51. Машинное обучение (искусственный интеллект)
Известные
варианты
угроз
Автоматическая
классификация
Неизвестные
угрозы
Полностью
автоматическое
обучение
Автоматическая
интерпретация
результатов
Глобальная
корреляция по
всем источникам
IoC по одному
или нескольким
источникам
Один источник
(DNS, e-mail, web,
файл и т.п.)
1-е поколение
2-е поколение
3-е поколение • Машинное обучение –
не панацея
• Интернет движется к
тотальному шифрованию
• Злоумышленники
остаются незамеченными –
стеганография
• За искусственным
интеллектом в ИБ – будущее
52. Шифрованный трафик: знак времени
Приватность граждан Требования государства
ИБ организации
Шифрованный трафик растет
Он составляет 60% от общего объема
https://
Растущая тенденция шифрования Web-трафика создает ложное чувство защищенности и слепые
зоны для защитников
53. Технология анализа зашифрованного
трафика
Известный
трафик ВПО
Известный
«чистый»
трафик
Анализ
метаданных
в сетевом
трафике
Применение
машинного
обучения для
построения
детекторов
Сессии
известного ВПО
детектируются в
зашифрованном
трафике с
точностью 99+%
“Identifying Encrypted Malware Traffic with Contextual Flow Data”
AISec ’16 | Blake Anderson, David McGrew
55. От SIEM к SOAR
• В отличие от анализа
логов, обеспечиваемого
SIEM, решения SOAR
вобрали в себя целый
набор различных
технологий,
обеспечивающих
деятельность SOC и
служб мониторинга ИБ
56. Отражение угроз
• Гартнеровские
циклы с разных
точек зрения
оценивают
различные
технологии и
сегменты, что
позволяет выбрать
правильную точку
зрения
57. Классическая пара МСЭ+AV для борьбы с
современным ВПО
• Памятник вирусу
NotPetya / Nyetya в
Сколково
• Открыт 18 декабря
2017 года при
участии компании
«Инвитро»
58. Может ли классическая пара МСЭ+AV
бороться с APT?
Реальное время
или близкое к
нему
Анализ пост-
фактум
Сеть
Анализ сетевого
трафика
Расследование
инцидентов на
уровне сети
Содержимое
Анализ
содержимого
Оконечные
устройства
Анализ
поведения на
оконечных
устройствах
Расследование
инцидентов на
уровне оконечных
устройств
• Откуда брать
данные об
угрозах?
• Кто анализирует
поведение?
• Где анализируется
поведение?
• Как увеличить
время
проникновения и
сбора следов?
59. Что надо учитывать при борьбе с ВПО?
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановлени
е
ДО АТАКИ ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ
Network Forensics
Endpoint Forensics
SOAR
Attack Simulation
Network Traffic
Analysis
Network Sandboxing
User Entity Behavior
Analytics
Deception
Threat Intelligence
60. Почему такой набор?
Канал
• Интернет: E-mail
• Интернет: Web
• Внутри: Wi-Fi
• Физический доступ:
USB, цепочка поставок,
обновление ПО,
подрядчики
Техника заражения
• Старое ВПО
• Известный эксплойт
• Новый эксплойт к
недавней уязвимости
• 0day
Тело вредоноса
• Старое ВПО –
известный хэш
• Известное тело –
простые модификации
• Новое тело +
обфускация
• Нет повторного
использования прежних
атак
• Различные техники
обхода на разных
уровнях
61. Борьба с ВПО выглядеть должна так
• Эшелонированная оборона
• Различные технологии
обнаружения
• Защита на уровне ПК, сети
и Интернет
• Контроль семплов и
инфраструктуры
злоумышленников
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Контроль
приложений
ЛокализацияЗащита
серверов
Изоляция
Мониторинг DNS
Mobile Device
Management (MDM)
ИБ IaaS/PaaS
CASB
65. • 10 секунд на детектирование
риска
• 24 часа на устранение риска
Скорость
• 4+ миллиардов событий
ежедневно
• ±2000 инцидентов в квартал
Объемы
• 40+ миллиардов файлов Cisco
были защищены
• 16,000+ серверов мониторится
Ценность
для бизнеса
• User-To-Ops: 100,000 : 1
• 90% сигналов тревоги
управляются автоматически
• Только 1% инцидентов требует
ручной поддержки от Ops
Качество
операций
Эффект от iCAM в Cisco
15,2 миллиона долларов ежегодной экономии / сохранности
66. OpenSOC и TIP: еще один пример
собственной разработки внутри Cisco
6
Мультипетабайтное хранилище
Интерактивные запросы
Поиск в реальном времени
Масштабируемая обработка потоков
Неструктурированные данные
Контроль доступа к данным
Масштабируемые вычисления
Hadoop
Big Data
Platform
OpenSOC
Алерты в реальном времени
Обнаружение аномалий
Корреляция данных
Правила и отчеты
Прогнозное моделирование
UI и приложения
68. Начните с малого: от пассивной обороны к
активной
Встроенная
защита
Защита от
угроз, не
требующая
участия
человека
Анализ со
стороны
человека в
поисках следов
нарушителей
Сбор данных,
обогащение
информации и
представление
разведданных
Юридические
меры против
нарушителей
69. Поэтапное наращивание защитных
возможностей
•Модель университета ПурдьюАрхитектура
•Эшелонированная оборона
•Серия NIST SP800 и NIST SCF
•17/21/31-й приказ ФСТЭК
Пассивная оборона
•Цикл активной кибер-обороны
•Network Security MonitoringАктивная оборона
•Kill Chain
•Diamond ModelРазведка
•Юридические методы против нарушителей
•Перехват C&CНападение
70. В основе всего лежит архитектура!
Ценность Цена
Архитектура
Пассивная
оборона
Активная
оборона
Разведка
Нападение
71. Все зависит от модели угроз / нарушителя
Новички
Киберкриминал
Корпоративный шпионаж/
кибертерроризм
Спецслужбы
ИБ нет Архитектура
Пассивная
оборона
Активная
оборона
Разведка
72. В качестве резюме
• Современные решения – это инструменты.
Кто-то должен уметь ими пользоваться и
выстраивать процессы
• Без аналитики сегодня все решения по ИБ
обречены на провал
• Серебряной пули нет и не будет
• Решения должны использовать комбинации
методов обнаружения (threat intelligence,
правила, алгоритмы)
• Не пытайтесь все нейтрализовать
• Поймите свое окружение, что нормально, а что
нет?
• Сложно найти отечественные решения