В настоящее время угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара будет рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
Угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Спикер: Николай Петров, CISSP, Заместитель Генерального директора, ЗАО «ДиалогНаука»
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Защита от эксплойтов и новых, неизвестных образцов.
Рассмотрены технические аспекты работы решения.
Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
Угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Спикер: Николай Петров, CISSP, Заместитель Генерального директора, ЗАО «ДиалогНаука»
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Защита от эксплойтов и новых, неизвестных образцов.
Рассмотрены технические аспекты работы решения.
Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
Свежая презентация по комплекту шифрования Intel Security (McAfee). Рассмотрены сценарии интеграции выборочного шифрования файлов с модулем DLP Endpoint. Даны практические рекомендации по внедрению шифрования. Рассмотрены особенности каждого из модулей шифрования.
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
Свежая презентация по комплекту шифрования Intel Security (McAfee). Рассмотрены сценарии интеграции выборочного шифрования файлов с модулем DLP Endpoint. Даны практические рекомендации по внедрению шифрования. Рассмотрены особенности каждого из модулей шифрования.
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
На вебинаре «Arbor, держи марку!» будет представлен общероссийский анонс нового решения компании Arbor Networks – Spectrum™, включающего технологии по мониторингу угроз информационной безопасности и расследованию инцидентов в корпоративной вычислительной сети.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиCisco Russia
В полугодовом отчете Cisco по безопасности за 2014 год представлена аналитика угроз и тенденций в области кибербезопасности за первое полугодие 2014 года. Исследование Cisco позволяет оценить количество разнообразных типов уязвимостей в системах, которые мы используем ежедневно, включая, собственно, Интернет, а также способы сокращения их числа и минимизации плачевных последствий. Основные выводы: состоят в следующем.
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
Совместный вебинар Kaspersky lab. и ДиалогНаука посвящен противодействию целевым атакам. Новые вызовы корпоративной безопасности и экономическое обоснование целесообразности применения решений по противодействию APT.
Спикер: Владимир Островерхов, Эксперт поддержки корпоративных продаж направления противодействия целенаправленным атакам «Лаборатории Касперского»
Совместный вебинар Solar Security и ДиалогНаука посвящен DLP-системам и проведен в формате "взгляд эксперта".
Спикер: Василий Лукиных, менеджер по развитию бизнеса компании Solar Security
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.
Вебинар: DeviceLock - экспертный взгляд на DLP-технологииDialogueScience
На вебинаре проведен обзор основных аспектов утечки конфиденциальных данных и методов противодействия утечкам, предлагаемых рынком информационной безопасности - решениям класса Data Leak Prevention, а также рассмотрены вопросы эффективности различных DLP-систем.
Вебинар: Функциональные возможности HP ArcSight Logger \ ESMDialogueScience
В настоящее время средства защиты корпоративных систем обнаруживают всё больше подозрительных событий и аномального трафика. При этом требуется выявление действительно опасных событий и инцидентов. Одними из лучших средств для данных задач являются системы HP ArcSight ESM\Logger. На вебинаре рассмотрены ключевые возможности и примеры из практики.
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
Совместный вебинар АО ДиалогНаука и Palo Alto Networks посвящен целевым кибератакам и платформе, которая поможет их предотвратить.
Спикер: Евгений Кутумин, Systen Engineer Russia & CIS, Palo Alto Networks
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Создание системы обеспечения ИБ АСТУ электросетевой компанииDialogueScience
Спикер: Дмитрий Ярушевский, руководитель отдела кибербезопасности АСУ ТП АО «ДиалогНаука»
Вебинар посвящен работам по созданию системы обеспечения информационной безопасности автоматизированной системы технологического управления одной из крупнейших электросетевых компаний г. Москвы. Докладчик расскажет об обрабатываемых рисках и угрозах в рамках создаваемой системы, задачах, стоявших перед проектировщиками и инженерами. Большая часть вебинара будет посвящена техническим решениям системы, среди которых есть как общеизвестные средства защиты от мировых лидеров рынка, так и решения, разрабатываемые специально для заказчика и реализующие меры безопасности непосредственно на уровне ПЛК.
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни. Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин, предоставляем доступ к нашим сбережениям и банковским счетам и т.д.
Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Приглашаем вас прослушать вебинар "Целенаправленные атаки на мобильные устройства", на котором получите советы по защите ваших мобильных устройств, увидите примеры атак и получите ответы на волнующие вас вопросы.
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Safe inspect. Средство контроля за действиями привилегированных пользователейDialogueScience
Обзор российского продукта SafeInspect.
SafeInspect - полнофункциональное российское решение для контроля привилегированных учетных записей и сессий в современных информационных системах.
Спикер: Сергей Шерстюк, Менеджер по развитию продуктов, Новые технологии безопасности (ООО НТБ).
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITYDialogueScience
I. LACK OF EXPERTISE AND COMMUNICATION
II. LACK OF RIGHTS TO ACT
CONCLUSION
Dmitry Yarushevskiy | CISA | CISM
Head of ICS Cyber security department
JSC DialogueScience
Стандарт PCI DSS (Payment Card Industry Data Security Standard) определяет требования в области безопасности данных платежных карт. Сертификационный аудит на соответствие требованиям PCI DSS необходим для организаций, работающих с данными платежных карт международных платежных систем. В рамках вебинара будут детально рассмотрены требования стандарта, процесс подготовки к аудиту, проблемы внедрения последней версии PCI DSS.
Спикер: Александр Крупчик, директор по развитию бизнеса АО «ДиалогНаука», CISSP, CISA, CISM, PCI QSA, PCI ASV.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
Вебинар: Функциональные возможности современных SIEM-системDialogueScience
Современная SIEM-система представляет собой единое хранилище событий ИБ, обладающее также механизмами агрегирования, нормализации, корреляции и приоритезации. Кроме событий ИБ SIEM-система также содержит данные об активах, получаемых в том числе со сканеров уязвимостей, а также данные о пользователях, получаемых из IDM-систем или иных хранилищ учётных данных.
2. Обо мне
Николай Петров, CISSP
Директор по развитию бизнеса, ДиалогНаука
Первым в России был удостоен звания CISSP
На протяжении многих лет являюсь единственным сертифицированным инструктором (ISC)2 в России
Работал в компаниях Philip Morris, Kerberus,
MIS Training Institute, (ISC)2, Ernst & Young
2
4. Известные атаки
4
•Operation Aurora
•F-35 и F-22
•Stuxnet
•RSA
•Citigroup
•Globalpayments
•NY Times
•Red October
•NetTraveler
5. Известные атаки
5
NY Times
• Атака началась на следующий день после публикации статьи о причастности к коррупции премьер министра Китая Вэнь Цзябао – 24 октября 2012
• Была обнаружена в январе 2013
• Расследование проводимое компанией Mandiant показало, что были установлены 45 вариантов вредоносного ПО. Только один из них был обнаружен Symantec и помещен в карантин
• Атакующие получили доступ к файлам и электронной почте сотрудников NY Times, включая редакторов Шанхайского бюро
2013
7. Особенности APT
7
APT - целенаправленная сетевая атака, при которой атакующий получает неавторизованный доступ в сеть и остается необнаруженным в течении длительного времени
Термин APT введен U.S. Air Force в 2006
• Advanced: Атакующий является экспертом и использует свои собственные, неизвестные другим инструменты для эксплуатации уязвимостей
• Persistent: Атакующий не ограничен во времени, т е он будет тратить столько времени, сколько нужно, чтобы получить доступ и остаться незамеченным
• Threat: Атакующий организован, мотивирован, обладает необходимыми финансовыми ресурсами
APT
• считается наиболее опасным типом атак
• не вредоносное ПО
• спланированная атака, мотивированная деньгами, политикой/национальными интересами и направленная для достижения определенной цели
8. Особенности APT
8
Обход защиты основанной на анализе сигнатур
• Традиционные продукты, такие как IDS/IPS, межсетевые экраны следующего поколения (NGFW), шлюзы Wеб-безопасности (secure Web gateways), антивирусное ПО— анализируют сигнатуры для обнаружения известным им атак, и в некоторых случаях, неизвестных атак, которые используют известные им уязвимости
Обход защиты основанной на анализе аномалий
• Продвинутые IDS/IPS и решения анализирующие сетевые аномалии могут обнаруживать APT. Они собирают траффик (e.g., NetFlow, sFlow, cFlow) с сетевых устройств и сравнивают его с “обычным” сетевым трафиком в имевшем место в течении дня, недели, месяца
• Однако такие решения подвержены ошибкам 1-го и 2-го рода. False positives – когда нормальный трафик принимается за атаку, и наоборот, false negatives – когда атака воспринимается как нормальный трафик
9. Особенности APT
9
Межсетевые экраны
IDS/IPS
Шлюзы Web- безопасности
Средства защиты от спама
Антивирус
Традиционные технологии не могут остановить APT
10. Особенности APT
10
Эксплуатация уязвимости
1
3
Связь с сервером управления
2
Загрузка вредоносного кода
Compromised Web server, or Web 2.0 site
1
Callback Server
IPS
3
2
Передача конфиденциальной информации
4
Дальнейшее распространение атаки
5
DMZ
File Share 2
File Share 1
4
5
11. Особенности APT
11
Стадия 1
• Эксплуатация уязвимости обычно происходит через Web (JavaScript, JPG) или email (вложение XLS, PDF)
• Достаточно кликнуть мышью на гиперссылке
• Открывается Web броузер (или другое приложение Adobe Reader, Microsoft Word, or Microsoft Excel)
• Гиперссылка использует скрытый адрес закодированный с помощью base64. После его раскодирования, компьютер жертвы устанавливает соединение с сервером атакующего, откуда загружается вредоносное ПО
Стадия 2
• Устанавливается соединение с сервером управления и загрузка дополнительного вредоносного кода
Стадия 3
• Вредоносное ПО устанавливает шифрованное соединение с сервером управления (например, SSL)
• Обходит традиционную защиту предлагаемую межсетевыми экранами и системами обнаружения вторжений
12. Особенности APT
12
Стадия 4
• Обычно зараженный компьютер не содержит данные, необходимые атакующему
• Атака распространяется на компьютеры ИТ администраторов, файловые сервера и сервера БД
Стадия 5
• Передача большого объема данных или данных в открытом виде обнаруживается системами IDS/IPS и DLP
• Данные передаются порциями по 50-100 МБ в зашифрованном виде
14. Решение FireEye
14
•Компания FireEye с 2004 г в США
•Поставляет продукты с 2006 г
•Мировой лидер – FireEye используют 1/3 компаний Fortune 100
15. Отчет Gartner
15
“Все согласны с тем, что целенаправленные атаки обходят традиционные средства защиты и остаются необнаруженными в течение длительного времени. Угроза реальна. Ваши сети скомпрометированы независимо от того, знаете Вы об этом или нет.”
Отчет Gartner 2012
Как вы думаете, в сети вашей организации есть вредоносное ПО?
16. Результаты тестирования
16
Мы провели более 10 пилотных проектов в Москве
В результате пилотного тестирования, FireEye обнаружил:
• Не менее 8 рабочих станций контролируются злоумышленниками извне Компании
• Не менее 24 рабочих станций потенциально заражены троянскими программами и могут контролироваться злоумышленниками извне Компании
• Основные каналы распространения WEB и электронная почта
Количество рабочих станций у клиента - 2000
Multi- Stage
17. Схема тестирования
17
User segmentDTIInternethttps://cloud.fireeye.comEmail GatewayFireEye NX 7400FireEye EX 5400FireEye CM 7400FirewallEmail Servers
19. Решение FireEye
19
•Специализированный гипервизор
•Разработан для анализа угроз
Аппаратный гипервизор FireEye
1
Многопоточный виртуальный запуск
2
•Разные ОС
•Разные сервис-паки
•Разные приложения
•Разные типы файлов
Защита от угроз в масштабе
3
•Параллельный запуск
•Многоуровневый анализ
Оборудование
Аппаратный гипервизор FireEye
Многорежимный виртуальный запуск
Параллельный запуск
Более 10 микро-задач
v1
v1
v2
v3
v2
v3
FireEye
20. Передача информации об атаках
Локально
Seconds
Web MPS
Уровень компании
Central Management System
Глобально
21. Передача информации об атаках
•Файлы из вашей сети не передаются в Облако (Персональные данные, конфиденциальная информация)
•Идентификаторы вредоносного ПО со всего мира
•Возможность выбрать вариант обмена информацией
22. Операция Аврора
2. Signature-less detection of Zero day attack
4. Decryption routine for “a.exe”
3. Malicious binary posing as JPG
1. pcap, Text and Video
23. Операция Аврора
5. Decrypted Trojan
(Later named the Hydraq.Trojan)
7. Hydraq callback
New Binary DFS.bat
8. Unpacked and hidden from system processes
6. Registry Keys Modified
9. Install files deleted once infection complete
24. Почему FireEye?
•11 из 13 уязвимостей нулевого дня (Zero Day) в 2013 году были обнаружены FireEye
•4 уязвимости нулевого дня обнаружены в этом году
•Выполняет анализ не только исполняемых файлов и MS Office, но и других (более 30 типов файлов, включая графические, аудио, видео)
•Выполняется анализ веб-сессии целиком, а не отдельного файла
•Обладает специализированым гипервизором для анализа угроз и позволяет обнаруживать неизвестные угрозы
•Обеспечивает близкое к реальному времени скорость анализа (не более 5 мин)
•Позволяет блокировать вредоносную активность на каждой стадии атаки
•Отсутствуют ложные срабатывания
24
25. Дополнительная информация – мои статьи за 2014 г
25
«Защищаемся от целенаправленных атак»
Национальный Банковский Журнал, №2 февраль 2014
«Целенаправленные атаки – обнаружение и защита»
Информационная безопасность, №2 май 2014
«Расследование целевых атак»
Безопасность Деловой Информации, №06 II квартал 2014