Документ рассматривает защиту от целевых атак (APT) и описывает их природу, используя данные о современных угрозах и методах социальной инженерии. Предлагаются стратегические рекомендации по защите от APT на различных этапах атаки и подчеркиваются выгоды внедрения таких решений для снижения финансовых и репутационных потерь. Также упоминаются трудности, такие как необходимость обучения сотрудников и борьба с ложными срабатываниями.

1. Защита от целевых атак
Павел Лего
Консультант по продаже решений в сфере ИБ

2. Определение APT
Прибыльный бизнес
Не детектируются
классическими
средствами защиты
Применение социальной
инженерии
APT
70–90%
ОБРАЗЦОВ ADVANCED MALWARE
ЯВЛЯЮТСЯ УНИКАЛЬНЫМИ И
ВСТРЕЧАЮТСЯ ТОЛЬКО РАЗ
Verizon Data Breach Investigation Report 2015

3. Старые и новые угрозы
AV
NGFW
Web
Gate
way
Email
Gate
way
Современные атаки
Внутренняя сеть Средства защиты
Известные атаки
Целевые
Полиморфы
Нулевого дня
Макровирусы
Составные
Вирусы
Черви
Шпионское
ПО
Трояны
IPS

4. Этап 1.
Сбор информации
Этап 1.
Сбор информации
Этап 2.
Доставка вредоноса,
заражение АРМ
Этап 2.
Доставка вредоноса,
заражение АРМ
Этап 3.
Распространение и
укрепление в сети
Этап 3.
Распространение и
укрепление в сети
Этап 4.
Реализация атаки
Этап 4.
Реализация атаки
Защита на разных стадиях APT атаки
Снижение рисков
Обнаружение загрузки
Обнаружение
аномалий в сети
Расследование
Кибер-разведка
Песочница
Агенты на АРМ
Анализатор трафика в сети
Детектор ботов
Ловушки (honeypot)
Агенты на АРМ
SIEM

5. Выгоды от внедрения решения
Предотвращение крупных финансовых и
репутационных потерь за счет своевременного
обнаружения целевых атак
Повышение эффективности службы ИБ Заказчика
за счет приоритизации наиболее критичных
инцидентов
Минимизация времени и человеческих ресурсов на
проведение расследований за счет объединения
следов целевых атак в единый инцидент

6. Основные трудности после внедрения
Решение: обучение сотрудников, услуги по аутсорсингу
Не хватает ресурсов и/или экспертизы
Большое количество ложных
срабатываний
Сложно выявить только важные события
Решение: «тюнинг» решения для минимизации ложно-
положительных срабатываний
Решение: выбор решения с качественной приоритизацией
инцидентов

7. Защита от APT на практике. Ожидание
УстранениеИнцидент

8. Защита от APT на практике. Реальность
Интернет
Почта
 Код страницы
 Переходы
 Анализ ВПО
 Формирование
IoC
 Анализ ВПО
 Формирование
IoC
АРМ Сеть
 Подтверждение
заражения
 Анализ
распространения
 Поиск
зараженных
хостов по IoC
 Анализ величины
потерь
Устранение
 “Лечение”
зараженных хостов
 Тюнинг политик
СЗИ
Инцидент

9. Роль интегратора в проектах по Anti-APT
Проведение правильного пилота
Подготовка обоснования
Разработка стратегии по защите от APT
До проекта
Мониторинг инцидентов
Реагирование на инциденты
После проекта

10. Вопросы
Контакты:
Павел Лего
Softline, департамент ИБ
Pavel.Lego@softlinegroup.com
+7 905 801 25 97