Документ анализирует угрозы безопасности и целевые атаки в корпоративной среде, подчеркивая важность автоматизации и централизации данных для повышения эффективности. Открываются основные стадии целевой атаки и методы их обнаружения, а также рассматриваются проблемы, с которыми сталкиваются современные центры обработки безопасности. Акцент делается на необходимость комплексного подхода к защите и управлению инцидентами.

1. ЦЕНТР МОНИТОРИНГА КАК СРЕДСТВО ПРОТИВОДЕЙСТВИЯ
ЦЕЛЕВЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ БЕЗОПАСНОСТИ
Олег Глебов
Менеджер по сопровождению корпоративных продаж

2. Тенденции и статистика
ПЕРЕДОВЫЕ УГРОЗЫ БЕЗОПАСНОСТИ

3. ТЕНДЕНЦИИ КОРПОРАТИВНОЙ ИБ
3
 Рост нетехнических элементов «атак»
 Усложнение IT-инфраструктуры
 Сокращение стоимости атаки
 Атаки на поставщиков и 3-их лиц
 «Перегрев» периметровой защиты

4. ЧТО ВЫГЛЯДИТ НАИБОЛЕЕ КРИТИЧНЫМ?
29%70% 1%
6
Автоматизация
Слабая мотивация
Низкая отдача
Высокая мотивация
Постоянный контроль
Большая отдача
Известные
угрозы
Проактивные технологииРеактивные технологии
Неизвестные
угрозы
Передовые
угрозы
APT

5. ЗАЛОГ УСПЕХА В КОНСОЛИДАЦИИ ДАННЫХ И УНИФИКАЦИИ
ПРОЦЕССОВ
29%70% 1%
6
Security Operational Center
FirewallsAntivirus IPS DLP…
SIEM
GRC
SIP
FM
SI
NGFW PIM Sandboxing…VM
Известные
угрозы
Проактивные технологииРеактивные технологии
Неизвестные
угрозы
Передовые
угрозы
APT
TIP

6. Центр обеспечения безопасности (SOC) и работа с контекстом
ЦЕНТРАЛИЗОВАННЫЙ АНАЛИЗ СИТУАЦИИ

7. ТИПОВЫЕ СТАДИИ ЦЕЛЕВОЙ АТАКИ
7
ЗАРАЖЕНИЕ
ПОДГОТОВКАИЗВЛЕЧЕНИЕ
РАСПРОСТРАНЕНИЕ
ЦЕЛЕВАЯ АТАКА
МОЖЕТ ДЛИТЬСЯ
ГОДАМИ…
ОСТАВАТЬТСЯ
НЕОБНАРУЖЕННОЙ
• скрытое управление
• выгрузка данных по
шифрованному каналу
• сокрытие следов
• «тихий» уход
• кража идентификационных данных
• повышение привилегий
• налаживание связей
• легитимизация действий
• дроппер/руткит/бот
• сбор и передача данных
• модульность
• проверка доменных имен
• анализ корп. сайта
• поиск в соц. сетях
• зараженные URL
• Вредоносное ПО
• иные средства (USB, BYOD и тд)

8. 8
ЗАРАЖЕНИЕ
ПОДГОТОВКАИЗВЛЕЧЕНИЕ
РАСПРОСТРАНЕНИЕ
ВЫЯВЛЕНИЕ ЦЕЛЕВОЙ
АТАКИ ИЛИ APT?
• DLP
• поведенческий анализ
исходящего трафика
• прокси (MITM)
• NIDS
• PIM
• защита баз данных
• контроль доверенной среды
• IoC
• mail прокси
• межсетевой экран
• сенсоры трафика
• HIDS, EPP
• логи доступа
• логи межсетевого экрана
• логи web-сервера
• web-firewall
SOC – РАБОТА С «СУЩЕСТВУЮЩИМ» КОНТЕКСТОМ

9. Технологии и процессы
ПРОТИВОДЕЙСТВИЕ ЦЕЛЕВЫМ АТАКАМ В
КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЕ

10. ПРОТИВОДЕЙСТВИЕПРОГНОЗИРОВАНИЕ
РЕАГИРОВАНИЕ ОБНАРУЖЕНИЕ
*GARTNER’S ADAPTIVE SECURITY STRATEGY
СТРАТЕГИЯ АДАПТИВНОЙ ЗАЩИТЫ ОТ ПЕРЕДОВЫХ
УГРОЗ БЕЗОПАСНОСТИ*
УПРОЧНЕНИЕ
ЗАЩИТА
ОБУЧЕНИЕ
АНАЛИЗРАССЛЕДОВАНИЕ
ВОССТАНОВЛЕНИЕ
ДИАГНОСТИКА
ПЛАНИРОВАНИЕ

11. ПРОТИВОДЕЙСТВИЕ
ПРОГНОЗИРОВАНИЕ
РЕАГИРОВАНИЕ
и ОБНАРУЖЕНИЕ
ТЕХНОЛОГИИ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ
АТАКАМ
Сетевое расследование
DPI,
аналитические решения
Расследование рабочих
станций
Сервисы безопасности
Анализ поведения сети
HTTP/HTTPS/Mail/FTP/DNS сенсоры,
агенты рабочих станций
Анализ объектов
Песочница
Анализ поведения рабочих
станций
Мониторинг процессов и конфигураций

12. ПОДВОДНЫЕ КАМНИ ИНТЕГРАЦИИ АНТИ-APT В СОК
12
Сложная архитектура сети
Множество точек контроля –
раздувание бюджетов
Требования
мультивендорности
Невозможность отказа от
существующих решений
Изолированные сети и
соответствия требованиям
Невозможность использовать
глобальную статистику, подрыв
доверия
Уникальные атаки и методы
обхода средств защиты
Невидимы для «сигнатурных» и
поведенческих средств анализа

13. Оценка и прогнозы развития
ПЕРСПЕКТИВЫ СОВРЕМЕННЫХ СОКОВ

14. ОЦЕНКА ЗРЕЛОСТИ СОВРЕМЕННОГО SOC*
*CARNEGIE MELLON SOFTWARE ENGINEERING INSTITUTE CAPABILITY MATURITY MODEL FOR INTEGRATION (SEI-CMMI)
Уровень
зрелости
Описание
Неполный Элементы управления (SOC) не внедрены
Начальный Неорганизованные и хаотичные процессы мониторинга
Регулируемый Централизация управления и унификация операций
Рекомендованный Внедренные стандарты, отражающие уникальные
аспекты и задачи организации
Измерительный Сбор и анализ данных в реальном времени с
отражением в процессах управления и мониторинга ИБ
Оптимизированный Прогнозирование и постоянный анализ результатов
ранее принятых решений, их пересмотр и адаптация в
реальном времени

15. 15
РЕЗУЛЬТАТ ОЦЕНКИ 87 СОК В 18 СТРАНАХ*
не достигли
рекомендованного
«уровня 3»
87% не соответствуют
даже «уровню 1»
20% Самый низкий
Телеком
Наивысший уровень
Промышленность
* Источник HP State of security operations 2015
По сравнению с 2014 годом главным драйвером эффективности СОК
становится информация об угрозах (Threat Intelligence Sharing)

16. КОМПЛЕКСНЫЕ ЗАДАЧИ ДЕПАРТАМЕНТА ИБ И SOC
16
Атака целевая или широконаправленная?
Сталкивался в мире кто-то с аналогичным вредоносом или
аномалией?
Как противодействовать заражению пока не выпущена
сигнатура?
Как оперативно выявлять неизвестные ранее угрозы?
Как оценить степень опасности аномального ПО?
Как выявить источник заражения и предотвратить
повторение?
Как минимизировать ущерб в случае заражения?
Комплексный подход к обеспечению корпоративной защиты требует
глобального мониторинга и глубокой компетенции в киберугрозах для ответа
на ключевые вопросы служб ИБ:

17. ПРОТИВОДЕЙСТВИЕПРОГНОЗИРОВАНИЕ
РЕАГИРОВАНИЕ ОБНАРУЖЕНИЕ
ИНТЕЛЛЕКТУАЛЬНЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ
ЛАБОРАТОРИИ КАСПЕРСКОГО
• повышение осведомленности
(+ Cybersecurity games)
• базовые курсы офицеров ИБ
• информация об угрозах
(Threats Intelligence)
• обучение офицера по
противодействию целевым
атакам
• расследование инцидентов
• анализ вредоносного кода
• реагирование на
инциденты целевых атак
• оценка уязвимости приложений
• тесты на проникновение
• расширенные курсы офицеров ИБ

18. ОСНОВНЫЕ НЕДОСТАТКИ СУЩЕСТВУЮЩИХ SOC
18
Точечные технологии в угоду ROI
Нехватка квалифицированного персонала
Размытые задачи и цели
Обнаружение без реагирования
Сбор «раздутых» объёмов данных

19. СПАСИБО!
АО «Лаборатория Касперского»
www.kaspersky.com
Олег Глебов
Менеджер по сопровождению
корпоративных продаж
Oleg.Glebov@kaspersky.com
D: +7 495 797 87 00 x5609
M: +7 910 476 94 10
https://ru.linkedin.com/in/glebovoleg