Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
Все руководители проектов пристегиваются в машине, но редко кто думает об информационной безопасности, управляя своим проектом.
Что знают руководители проектов об информационной безопасности? То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?
В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.
В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
Как довести проект по информационной безопасности до умаInfoWatch
Как довести ИБ-проект до ума? Как и когда лучше преподнести проект руководству? Как обосновать бюджет на имиджевый ИБ-проект? Что такое модель зрелости ИБ Gartner?
При построении СМИБ согласно ИСО 27001, внедряется около 114 защитных мер. Условно эти меры можно разделить организационные, процессные и технические.
В докладе будут рассмотрены практические аспекты внедрения технических защитных мер и роли технических специалистов ИБ в рамках проекта внедрения СМИБ.
За какие технические защитные меры отвечают технические специалисты, какова их роль в команде внедрения, на что обращать внимание и т.п.
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
Все руководители проектов пристегиваются в машине, но редко кто думает об информационной безопасности, управляя своим проектом.
Что знают руководители проектов об информационной безопасности? То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?
В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.
В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
Как довести проект по информационной безопасности до умаInfoWatch
Как довести ИБ-проект до ума? Как и когда лучше преподнести проект руководству? Как обосновать бюджет на имиджевый ИБ-проект? Что такое модель зрелости ИБ Gartner?
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovSergey Soldatov
This presentation was delivered at Positive Hack Days '14 in Moscow along with the following demos available on Youtube:
Demo#1: http://www.youtube.com/watch?v=mdOfZMsj4hA
Demo#2: http://www.youtube.com/watch?v=BwXhpjiCTyA
Demo#3: http://www.youtube.com/watch?v=B3EkrmNWeJs
Demo#4: http://www.youtube.com/watch?v=--ZuBUc2F2Y
Smartcard vulnerabilities in modern banking malwareAlex Matrosov
The past few years have seen a rapid growth of threats targeting the Russian system of RBS (Shiz, Carberp, Hodprot, RDPdoor, Sheldor). Attackers can steal huge amounts of money, estimated at tens of millions monthly. The speaker will describe the study of the most common banking malware, as well as the discovery of interesting vulnerabilities by using two-factor authentication and smart cards. The report also discusses techniques and tricks that are used by hackers to conduct anti-forensics.
Аналитика и метрики приложений 29.11.2016 г.SPbCoA
Аналитика и метрики приложений
Аналитика метрик.
Виды метрик и особенности применения.
Признаки наилучших метрик
Сегментация пользователей
Сегментация пользователей: что это и для чего.
RFM-анализ.
Когортный анализ.
События и воронки в продукте
События и воронки: что это и для чего.
Алгоритм построения системы событий в продукте.
Воронки - инструмент для обнаружения узких мест продукта.
Презентация по практике проведения киберучения для топ-менеджмента предприятия, которую я прочитал на IT & Security Forum в Казани. Это укороченная версия. Полная занимает около 4 часов, промежуточный вариант длится 1 час, а эта была рассчитана на 30 минут
Вебинар «Интеграционные решения: ИТ-сердце вашей компании» http://www.croc.ru/action/detail/21799/
Презентация Михаила Чарикова, архитектора интеграционных решений компании КРОК
Talk on Kaspersky lab's CoLaboratory: Industrial Cybersecurity Meetup #5 with @HeirhabarovT about several ATT&CK practical use cases.
Video (in Russian): https://www.youtube.com/watch?v=ulUF9Sw2T7s&t=3078
Many thanks to Teymur for great tech dive
Reducing cyber risks in the era of digital transformationSergey Soldatov
The session record is available here: https://www.youtube.com/watch?v=5-CoJNjtAmY
Link to all sessions from Sberbank ICC: https://icc.moscow/translyatsii.html
6. Эволюция ИБ в Компании (по видению)
«Что бы
поделать?»
• Участие везде
• Нет стратегии
• Не определена
ответственность
«Против ИТ»
• Выполнение
технических сервисов
ИТ
• «Конфликт
интересов» с ИТ
• Низкое качество
сервисов ИТ для
потребителей
• Уклон в
сопровождение
инфраструктуры
• Нет мониторинга
• Нет аудита
«Сервис ИТ»
• Выполнение
технических сервисов
ИТ
• Па факту –
подразделение ИТ
• Уклон в
сопровождение
систем ИБ
• Мониторинг
инфраструктуры
• Аудит
инфраструктуры (?)
«Сервис бизнеса»
• Все технические
сервисы переданы в
ИТ
• Технический сервис
ЭБ
• Уклон в мониторинг
бизнес-транзакций
• Аудит соответствия
• Покупка множества разных железок • Покупка разного
консалтинга
7. Эволюция ИБ в Компании (по видению)
«Что бы
поделать?»
• Участие везде
• Нет стратегии
• Не определена
ответственность
«Против ИТ»
• Выполнение
технических сервисов
ИТ
• «Конфликт
интересов» с ИТ
• Низкое качество
сервисов ИТ для
потребителей
• Уклон в
сопровождение
инфраструктуры
• Нет мониторинга
• Нет аудита
«Сервис ИТ»
• Выполнение
технических сервисов
ИТ
• Па факту –
подразделение ИТ
• Уклон в
сопровождение
систем ИБ
• Мониторинг
инфраструктуры
• Аудит
инфраструктуры (?)
«Сервис бизнеса»
• Все технические
сервисы переданы в
ИТ
• Технический сервис
ЭБ
• Уклон в мониторинг
бизнес-транзакций
• Аудит соответствия
• Покупка множества разных железок • Покупка разного
консалтинга
9. Операционные сервисы ИТ и ИБ в части ИБ
IDPS
VM
FW
С AC
Аудит
Изменения
Проекты
Mониторинг
VM
Operations ИТ Operations ИБ
Бизнес-приложения
Инфраструктура
10. Типовой «системный» подход построения ИБ
• Определение ключевых бизнес-
процессов
• Изучение бизнес-процессов
• Определение рисков
• Определение мероприятий по
снижению рисков (1)
• Выявление существующих
контрольных процедур (2)
• Gap-анализ (1) и (2)
• План построения нового,
доработки существующего
Что делать?
• Аудит:
• Интервью
• Изучение ОРД и пр. *РД
• Технологический аудит
• Справочники контролей:
• NIST SP800-53
• ISO 2700*
• CobIT
• ….
• Взять у кого это уже есть
Чем делать?
11. неТиповой подход: из мониторинга
Мониторинг Инфраструктура Периметр Зоны Внутри*.info
Управление
инцидентами
1 Первый контроль ИБ
Расследования
Планирование
2
3
4
Новые контроли ИБ
Интеграция в
процессы
i
j
k
Мониторинг
бизнес-приложений
Мониторинг
транзакций
Аудит
12. СУИБ при нетиповом подходе
http://reply-to-all.blogspot.ru/2013/01/blog-post.html
Организационный
Технический
13. Боль аутсорсинга (что можно аутсорсить, а что нет)
• Критичность сервиса
• Ситуация с предложением на рынке
• Внутренние компетенции
• Степень соответствия Стратегии
• Степень формализации требований
• Себестоимость
• Стоимость управления и контроля
Выработали
критерии
Пропустили через
них все работы
Определили что
продать
Проводите такую
оценку регулярно
http://reply-to-all.blogspot.ru/2012/02/blog-post.html
14. Инсорсинг, Аутсорсинг, Аутстаффинг
(типовая «гибридная» схема)
Направление1
Направление2
Направлениеi
Направлениеn
Лидер 1 Лидер 2 Лидер i Лидер n
С т р а т е г и я Корпорация
Инсорсер
Аутстаффинг
Аутсорсинг
Штат
19. Управление инцидентами в Компании
ИБ
• Цели
• Задачи
• Приоритеты
• Инструменты
ИТ
• Статика
• Динамика
• Инфраструктура
• Исполнение
Внешние сервисы
• Все что угодно*
* Где сам не силен
20. Внутренние инструкции
• Описание сценариев инцидентов
• Сервисные линии и их задачи
• Порядок первичного реагирования
• Порядок регистрации инцидентов в учетной системе
• Типовые случаи
• Маршруты эскалации инцидентов (если они разные)
• Маршруты эскалации ложных срабатываний
• Матрица контактов
21. Отступление: Откуда брать сценарии?
• Прошлый опыт
• Публичные отчеты об угрозах: Verizon, Mandiant, Kaspersky, ….
• Коммерческий TI
• Threats data feeds, IoC и т.п.
• ….
22. Отступление: Откуда брать сценарии?
• Прошлый опыт
• Публичные отчеты об угрозах: Verizon, Mandiant, Kaspersky, ….
• Коммерческий TI
• Threats data feeds, IoC и т.п.
• ….
23. Необходимые знания: Об инфраструктуре
• Схема маршрутизации (L3):
• сетевые сегменты
• устройства L3: название, модель, IP-MAC-FQDN-назначение интерфейсов
• шлюз по умолчанию
• контакт админа
• таблица маршрутизации (если есть доп. маршруты)
• физическое положение: адрес, № помещения
• Список VLAN: номер, название, назначение, адрес и маска
24. Необходимые знания: Об ИС
• ИТ-сервис
• Компоненты ИС: название, назначение, технологическая база
• Сервера ИС:
• название,
• ОС,
• IP-MAC-FQDN-назначение интерфейсов
• шлюз по умолчанию
• Физическое расположение:
• адрес, № помещения, шкафа, места в шкафу
• размещаемые компоненты
• контакт админа:
• инфраструктурный
• приложения
25. Необходимые знания: О сервисах ИТ
• Назначение сервиса
• Критичность для Заказчика*
• Показатели доступности (RTO)
• Контакт сервис-менеджера
* для расчета критичности инцидента
26. Необходимые знания: Что делать если
ничего нет?
• Предпроектныйпериодический аудитинтервью
• Эффективные коммуникации
• Своя база знаний
• Обратная связь от расследованных инцидентов
27. SLA: перечень работ (внешние)
• Выявление инцидентов
• Разработкаактуализация сценариев
• Выявление атак
• Первичное реагирование
• Выработка рекомендаций для дальнейшего реагирования
• Анализ «Lessons learned»
• Исследование ложных срабатываний
• Корректировка политик систем мониторинга
• Управление уязвимостями
28. SLA: перечень работ (внутренние)
• Поддержка внутренних инструкций и Базы знаний
• Контроль SLA и отчетности, управление ресурсами
• Поддержка внутренней инфраструктуры
• Анализ актуальных угроз
Поддержка сценариев обнаружения
• Развитие технологической базы
• Развитие персонала
• Контроль качества и повышение эффективности
29. SLA: Объекты мониторинга
• Их перечень
• По каждому:
• Настройка аудита не посредственно на системе: *.info
• Транспорт: syslog
• Инструмент мониторинга: вручную, правила SEC
• Контакты оповещения в случае ложного срабатывания
• Контакты оповещения в случае инцидента
• Специфичные для источника поля инцидента
30. SLA: линии поддержки
• 1-ая линия: «Ничего не пропустить»
• «Время реакции» + «Фиксированное время решения»
• Мониторинг
• Первичное реагирование
• Инциденты из Базы знаний
• 2-ая линия: «Довести до конца»
• «Остаток времени решения»
• Инциденты не из Базы знаний
• Координация реагирования
• Исследование ложных срабатываний
• «Lessons learned», обновление сценариев и все остальное…
32. SLA: жизненный цикл инцидента
Opened
New 1st
tier investigation 2nd
tier investigation
On hold
Resolved Pending close
Time calculation
Closed
Security event
appeared in
system logs
Monitoring system
detects incident -
Automatic detection
“New”
Primary
investigation
Response
recommendations
“1st
Tier resolution”
“2nd
Tier resolution” “Resolved”
Response time
Resolution time
Incident response
Responder
Feedback
“Pending close”
Remediation
effectiveness check
(optional)
“Closed”
Manual detection
33. SLA: учетные поля инцидента
• Тип по группе реагирования
• Стадия атаки в момент обнаружения
• Чем обнаружено
• Уровень критичности - Приоритет
http://reply-to-all.blogspot.ru/2015/05/blog-post_20.html
34. SLA: учетные поля инцидента
• Тип по группе реагирования
• Стадия атаки в момент обнаружения
• Чем обнаружено
• Уровень критичности - Приоритет
Обязательно наличие практического смысла!
35. SOCIT-SecurityIRTeamITOperations
Begin Detections
Primary
investigation
Figure out
what s
happened?
Requests to
Operations
Yes
Further
investigation
No
Further
investigation
Corporate
incident
response
Corporate
incident
response
Corporate
incident
response
Request
fulfillment
Request
fulfillment
Feedback
analysis
End
SLA: разделение ответственности
36. SLA: отчетность
• Текущие значения учетных полей в сравнении с предыдущими
периодами
• Распределение типов инцидентов по подразделениям
• Эффективность источников обнаружения
• На какой стадии атаки обнаруживаем?
• % расследованных без привлечения команды реагирования
• % «ложных тревог»
http://reply-to-all.blogspot.ru/2014/11/blog-post.html
38. BOK
• Современные TTP атак (помогает пентестерский опыт)
• Современные TTP обнаружения (== понимание как это работает)
• Сетевые ОС (== админский бэкграунд)
• Сети (CCNA достаточно)
• Программирование на уровне сисадмина (Python, PS, Perl, Bash,…)
40. Инструменты
• Куда смотреть
• Чем коррелировать
• «База Инцидентов»
• База знаний
• «Плацдарм» для первичного реагирования
• Система контроля версий
41. Инструменты
• Куда смотреть
• Чем коррелировать
• «База Инцидентов»
• База знаний
• «Плацдарм» для первичного реагирования
• Система контроля версий
SIEM, syslog+SEC, ELK, скрипты
42. Инструменты
• Куда смотреть
• Чем коррелировать
• «База Инцидентов»
• База знаний
• «Плацдарм» для первичного реагирования
• Система контроля версий
Скрипты
43. Инструменты
• Куда смотреть
• Чем коррелировать
• «База Инцидентов»
• База знаний
• «Плацдарм» для первичного реагирования
• Система контроля версий
44. Инструменты
• Куда смотреть
• Чем коррелировать
• «База Инцидентов»
• База знаний
• «Плацдарм» для первичного реагирования
• Система контроля версий
psinfo
tasklist
netstat -ano
psfile
psexec
net use
net session
net LOCALGROUP …
streams
autoruns
credentials manager
recent
uptime
windows evt
HIPSAV logs
dir /s /b /a c:
... etc ...
45. Инструменты
• Куда смотреть
• Чем коррелировать
• «База Инцидентов»
• База знаний
• «Плацдарм» для первичного реагирования
• Система контроля версий
47. Жизненный цикл [целевой] атаки
Время
Активность
атакующих
Пассивное
исследование,
подготовка
Проникновение в сеть,
повышение привилегий,
закрепление
Постэксплуатация
Месяцы ГодыДни
48. Жизненный цикл [целевой] атаки
Время
Активность
атакующих
Пассивное
исследование,
подготовка
Проникновение в сеть,
повышение привилегий,
закрепление
Постэксплуатация
Месяцы ГодыДни
Узнать врага
Предотвратить
Быть готовым
49. Жизненный цикл [целевой] атаки
Время
Активность
атакующих
Пассивное
исследование,
подготовка
Проникновение в сеть,
повышение привилегий,
закрепление
Постэксплуатация
Месяцы ГодыДни
Узнать врага
Предотвратить
Быть готовым
Вовремя обнаружить
Эффективно отреагировать
50. Жизненный цикл [целевой] атаки
Время
Активность
атакующих
Пассивное
исследование,
подготовка
Проникновение в сеть,
повышение привилегий,
закрепление
Постэксплуатация
Месяцы ГодыДни
Узнать врага
Предотвратить
Быть готовым
Вовремя обнаружить
Эффективно отреагировать
Вовремя обнаружить
Эффективно отреагировать
Устранить последствия
51. Жизненный цикл [целевой] атаки
Время
Активность
атакующих
Пассивное
исследование,
подготовка
Проникновение в сеть,
повышение привилегий,
закрепление
Постэксплуатация
Месяцы ГодыДни
Узнать врага
Предотвратить
Быть готовым
Вовремя обнаружить
Эффективно отреагировать
Вовремя обнаружить
Эффективно отреагировать
Устранить последствия
Пассивно
Быстро
Незаметно
52. Жизненный цикл [целевой] атаки
Время
Активность
атакующих
Пассивное
исследование,
подготовка
Проникновение в сеть,
повышение привилегий,
закрепление
Постэксплуатация
Месяцы ГодыДни
Узнать врага
Предотвратить
Быть готовым
Вовремя обнаружить
Эффективно отреагировать
Вовремя обнаружить
Эффективно отреагировать
Устранить последствия
53. Дополнительные характеристики
• Высокий профессионализм атакующих
• Прекрасная внутренняя организация и «разделение» труда
• Применение множества различных технологий
o как известных, так и уникальных
o полиморфизм, быстрая смена
• Множество векторов и сценариев атак
• Многократное закрепление
• Применение «салями»-техник
54. Дополнительные характеристики
• Высокий профессионализм атакующих
• Прекрасная внутренняя организация и «разделение» труда
• Применение множества различных технологий
o как известных, так и уникальных
o полиморфизм, быстрая смена
• Множество векторов и сценариев атак
• Многократное закрепление
• Применение «салями»-техник
Высокий профессионализм ИБ
55. Дополнительные характеристики
• Высокий профессионализм атакующих
• Прекрасная внутренняя организация и «разделение» труда
• Применение множества различных технологий
o как известных, так и уникальных
o полиморфизм, быстрая смена
• Множество векторов и сценариев атак
• Многократное закрепление
• Применение «салями»-техник
Высокий профессионализм ИБ
Системный подход к защите
56. Дополнительные характеристики
• Высокий профессионализм атакующих
• Прекрасная внутренняя организация и «разделение» труда
• Применение множества различных технологий
o как известных, так и уникальных
o полиморфизм, быстрая смен
• Множество векторов и сценариев атак
• Многократное закрепление
• Применение «салями»-техник
Высокий профессионализм ИБ
Системный подход к защите
Множество технологий обнаружения…
57. Дополнительные характеристики
• Высокий профессионализм атакующих
• Прекрасная внутренняя организация и «разделение» труда
• Применение множества различных технологий
o как известных, так и уникальных
o полиморфизм, быстрая смен
• Множество векторов и сценариев атак
• Многократное закрепление
• Применение «салями»-техник
Высокий профессионализм ИБ
Системный подход к защите
Множество технологий обнаружения…
58. Дополнительные характеристики
• Высокий профессионализм атакующих
• Прекрасная внутренняя организация и «разделение» труда
• Применение множества различных технологий
o как известных, так и уникальных
o полиморфизм, быстрая смен
• Множество векторов и сценариев атак
• Многократное закрепление
• Применение «салями»-техник
Высокий профессионализм ИБ
Системный подход к защите
Множество технологий обнаружения…
59. Дополнительные характеристики
• Высокий профессионализм атакующих
• Прекрасная внутренняя организация и «разделение» труда
• Применение множества различных технологий
o как известных, так и уникальных
o полиморфизм, быстрая смен
• Множество векторов и сценариев атак
• Многократное закрепление
• Применение «салями»-техник
Высокий профессионализм ИБ
Системный подход к защите
Множество технологий обнаружения…
Эвристика, статистика, машинное обучение
61. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
62. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
63. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
64. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Как и чем обнаружить?
TP или FP?
«На заказ» или известно ранее?
Насколько это важно?
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
65. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Как и чем обнаружить?
TP или FP?
«На заказ» или известно ранее?
Насколько это важно?
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Как?
Инструменты?
66. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Как и чем обнаружить?
TP или FP?
«На заказ» или известно ранее?
Насколько это важно?
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Что реально произошло?
Как этому противостоять в
будущем?
Как?
Инструменты?
67. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Как и чем обнаружить?
TP или FP?
«На заказ» или известно ранее?
Насколько это важно?
Киберразведка Фиды
Аудит
Что актуально именно для Вас?
Сценарии современных атак?
Что по Вам в андеграунде?
Индикаторы
актуальных угроз
Векторы проникновения
Уязвимости и эксплуатируемость
Проверка эффективности мер ИБ
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Что реально произошло?
Как этому противостоять в
будущем?
Как?
Инструменты?
68. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Как и чем обнаружить?
TP или FP?
«На заказ» или известно ранее?
Насколько это важно?
Централизованное управление Облака
обеспечит
оперативность
обнаружения
Оперативное распределение политики
по всем системам обнаружения
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Что реально произошло?
Как этому противостоять в
будущем?
Как?
Инструменты?
Киберразведка Фиды
Аудит
69. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Как и чем обнаружить?
TP или FP?
«На заказ» или известно ранее?
Насколько это важно?
Централизованное управление Облака
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Что реально произошло?
Как этому противостоять в
будущем?
Как?
Инструменты?
Киберразведка Фиды
Аудит
Сеть
Хост
Поведение
Рейтинговые системы
Различные технологии
На всех этапах атаки
Взаимная корреляция
Фиксация и отработка
«подозрительного»
Базы знаний
Понимание контекста атаки: цели, TTP
Взаимосвязь различных маркеров
70. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Как и чем обнаружить?
TP или FP?
«На заказ» или известно ранее?
Насколько это важно?
Централизованное управление Облака
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Что реально произошло?
Как этому противостоять в
будущем?
Как?
Инструменты?
Киберразведка Фиды
Аудит
Сеть
Хост
Поведение
Рейтинговые системы
Базы знаний
Обучение
Коммерческий реверсер
Коммерческий криминалист
71. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Кто?
Как и чем?
Мотивация?
Как быстро
доставить?
Как и чем обнаружить?
TP или FP?
«На заказ» или известно ранее?
Насколько это важно?
Централизованное управление Облака
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Что реально произошло?
Как этому противостоять в
будущем?
Как?
Инструменты?
Киберразведка Фиды
Аудит
Сеть
Хост
Поведение
Рейтинговые системы
Базы знаний
Обучение
Коммерческий реверсер
Коммерческий криминалист
Опыт
72. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Централизованное управление Облака
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Киберразведка Фиды
Аудит
Сеть
Хост
Поведение
Рейтинговые системы
Базы знаний
Обучение
Коммерческий реверсер
Коммерческий криминалист
Опыт
73. Системный подход к защите
Цели
Приоритеты
Сценарии
обнаружения
Распространение
сценариев
Обнаружение
Сбор
доказательств
Анализ
данных
Подтверждение
Классификация
Приоритезация
Централизованное управление Облака
Сбор общей
информации
Дамп памяти
Дамп диска
Анализ
вредоносных
образцов
Анализ общей
информации
Криминалистика
Сетевая
криминалистика
Хостовая
криминалистика
Киберразведка Фиды
Аудит
Сеть
Хост
Поведение
Рейтинговые системы
Базы знаний
Обучение
Коммерческий реверсер
Коммерческий криминалист
Опыт
74. Итог по [внешним] сервисам и инструментам
•Киберразведка
•Аудит соответствия и Тестирование на проникновение
•Связная база знаний известных угроз
•Актуальные идентификаторы угроз и компрометации
•Анализ [вредоносного] ПО
•Компьютерная и сетевая криминалистика
75. Снова Аутсорсинг или Сильные и Слабые
стороны
Корпоративная ИБ Профессиональный сервис
Знает чего боится Не знает что для Компании актуально
Знает свою инфраструктуры и приложения Не знает ИТ-комплекс Компании
Знает своих работников* Не знает персонал Заказчика
Видит только себя Видит глубже и шире
Не проф. в спец. областях: реверс, форенсика,
пентест и т.п.
Проф. в спец. областях
* В части Кадровой безопасности
76. Снова Аутсорсинг или Сильные и Слабые
стороны
Корпоративная ИБ Профессиональный сервис
Знает чего боится Не знает что для Компании актуально
Знает свою инфраструктуры и
приложения
Не знает ИТ-комплекс Компании
Знает своих работников* Не знает персонал Заказчика
Видит только себя Видит глубже и шире
Не проф. в спец. областях: реверс, форенсика,
пентест и т.п.
Проф. в спец. областях
http://reply-to-all.blogspot.ru/2016/04/blog-post.html
Развивайте свое сильные стороны, а слабые – компенсируйте сервисом
тех, у кого это – сильная сторона!
77. Финальные слова
•Свои процессы стройте сами
•Ломать надо только где плохо, где хорошо - развивайте
•Начните с малого: сделайте те 20%, что дадут 80%
результата
•Сразу думайте об обратной связи и совершенствовании
•Люди творят историю
•Не бойтесь ошибаться: умный учится на своих ошибках
78. Можно что-нибудь обсудить….
Темы:
• ИБ
• ИТ
• Проекты
• Разработка ПО
• Музыка
О себе:
• CISA, CISSP
• Эксперт по бумажной и практической ИБ
• Экс-админ
• Экс-программист
• Экс-спортсмен
• Немного музыкант
• reply-to-all.blogspot.com
• @svsoldatov
• linkedin.com/in/sergeysoldatov