Документ рассматривает целевые кибератаки, подчеркивая, что большинство угроз основаны на социальных методах и часто остаются незамеченными более 214 дней. Приведены примеры атак на промышленные инфраструктуры и оценка современных решений, таких как Kaspersky Industrial Cybersecurity, для защиты от таких угроз. Также описаны важные аспекты защиты, включая контроль устройств и научные исследования в области кибербезопасности.

1. Целевые атаки - миф или реальность?
Сергей Булович
Региональный менеджер по СЗФО Санкт-Петербург, 2016 года

2. Большинство передовых угроз
строятся на базовых техниках
и методах социальной
инженерии
Существенное снижение
затрат и массовый рост
предложений
(Кибератака-Как-Сервис)
Недостаток оперативной
информации в виду
динамического усложнения
ИТ инфраструктуры
Резкий спад
эффективности
периметровой защиты
Рост количества атак на
поставщиков, 3-их лиц и
небольшие компании (SMB)
В среднем целевая атака с
момента её появления
остается необнаруженной
более 214 дней
Тенденции корпоративной ИБ на 2016 год.

3. КИБЕРАТАКИ НА ПРОМЫШЛЕННЫЕ
ИНФРАСТРУКТУРЫ

4. Новость от 14 августа 2003.
На востоке США и Канады без электричества остались 50 миллионов человек!
Из-за неких неполадок в электросети
50 миллионов человек остались без
электричества на срок от нескольких часов
до нескольких дней. Обсуждалось много
причин этой техногенной катастрофы, в том
числе нестриженные деревья, удар
молнии, злонамеренные белки и
…версия побочного эффекта от атаки
компьютерного червя Slammer (Blaster).

5. Новость от 25 марта 2016.
Хакеры нечаянно атаковали водоочистные сооружения.
Сбои SCADA-оборудования не случайны, — в
работу Kemuri Water Company вмешались хакеры.
Взломщики определено не понимали, к чему они
получили доступ и проникли в систему AS/400 из
любопытства. Похоже, что настройки
водоочистной системы они поменяли случайным
образом, просто экспериментируя и пытаясь
понять, что это такое.
• Практически вся инфраструктура была
построена вокруг IBM AS/400, которую впервые
представили 1988 году.
• AS/400 оказалась доступной из интернета,
потому что через нее проходил трафик веб-
сервера.

7. ВЗЛОМ АСУ ТП – ПРИЗ ЗА ЛУЧШИЙ СЦЕНАРИЙ
Наполнение бензовозов «лишним» топливом. Основано на реальных событиях.
Система автоматизации
взломана. Как это
использовать?
Пустой бензовоз
приезжает на
нефтебазу
Заливка топлива… с
«небольшой» поправкой
Бензовоз
покидает
нефтебазу
«Лишнее»
топливо
сливается
2% топлива с каждого бензовоза

8. KASPERSKY INDUSTRIAL CYBERSECURITY
СТРАТЕГИЧЕСКИЙ ПОДХОД К ЗАЩИТЕ
КРИТИЧЕСКИХ ИНФРАСТРУКТУР

9. ДРУГИЕ ПРИОРИТЕТЫ

10. Запрет по умолчанию
Оценка уязвимостей
Контроль устройств
Контроль целостности ПЛК
Режим высокой доступности
Работает на SCADA-серверах, инженерных
рабочих станциях и поддерживает HMI
Kaspersky Industrial CyberSecurity FOR NODES

11. Обнаружение аномалий в технологических
сетях
Обнаружение управляющих команд,
приводящих к нарушению технологического
процесса
Контроль целостности сети (обнаружение
новых устройств в промышленной сети)
Расследование, мониторинг и средство
обнаружения инцидентов
Kaspersky Industrial CyberSecurity FOR NETWORKS
KICS for
Networks
ICS/SCADA

13. РЕАЛИЗОВАННЫЕ ПРОЕКТЫ

14. «Решение Kaspersky Industrial CyberSecurity полностью удовлетворяло нашим требованиям, а также обеспечило
такие функции, как контроль устройств и возможность централизованного управления и мониторинга
состояния защищенных узлов».
Роман Янукович, технический директор, VARS
ЗАДАЧА:
Терминал является местом хранения и перевалки токсических материалов:
поэтому противодействие вирусным атакам жизненно важно для ведения
бизнеса.
ОСОБЕННОСТИ:
► Защита в изолированной среде
► Контроль на основе белых списков
ЗАЩИТА ТРАНСПОРТНОГО ТЕРМИНАЛА VARS

15. «Уже в первые месяцы работы решение по защите индустриальных объектов «Лаборатории Касперского»
обнаружило несанкционированное подключение стороннего ноутбука к одному из контроллеров, а также
попытку изменить параметры работы датчика».
Марат Гильметдинов, начальник отдела АСУ ТП, ТАНЕКО
ЗАДАЧА:
Поддержание непрерывности технологических процессов
как основного приоритета компании.
ОСОБЕННОСТИ:
► Оперативная поддержка на всех этапах
► Обнаружение несанкционированных подключений
ТАНЕКО ЗАЩИЩАЕТ ПРОИЗВОДСТВЕННЫЕ
МОЩНОСТИ

16. KASPERSKY ANTI TARGETED ATTACK
PLATFORM

18. НАШИ ИССЛЕДОВАНИЯ
Мы находим и пристально изучаем
самые сложные в мире угрозы
Duqu
miniFlame
Gauss
Icefog
Winnti
NetTraveler
Miniduke
Epic Turla
Energetic Bear /
Crouching Yeti
Красный
октябрь
CosmicDuke
Darkhotel
Маска
Regin
2010 2011 2012 2013 2014
Sofacy
Carbanak
Desert
Falcons
Equation
Naikon
Hellsing
2015
TeamSpy
Duqu 2.0
Animal Farm
Kimsuky
Stuxnet Flame
Darkhotel
MsnMM
Campaigns
Satellite Turla
Wild Neutron
Blue Termite
Spring Dragon

19. KATA
Интернет
Ноутбуки
ПК
Сервера
Почта
Сетевые
сенсоры
Сенсоры
рабочих
мест
Песочница
SB Activity Logs
Pcaps, Sys-log
Инцидент
Офицер
ИБ
Группа
реагирования
Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз
Аналитический центр
SIEM SOC
• мета-данные
• подозрительные объекты
• Сетевая активность
рабочего места
Verdicts DB
Консоль администратора

20. ЕДИНАЯ ПЛАТФОРМА БЕЗОПАСНОСТИ
Kaspersky Security для бизнеса
Известны
е
угрозы
Загрузка
файлов
Запуск
файлов
Выполнение
файлов
29%70% 1%
Проактивные
технологии
Реактивные
технологии
Антифишинг
(почтовый
трафик)
HIPSисетевой
экран(сетевой
трафик)
ФильтрацияURL-
адресов(интернет-
трафик)
Антиспам
(почтовыйтрафик)
Черныесписки
Неизвестные
угрозы
Эвристические
технологии
Белыесписки
Контроль
программ
Сложные
угрозы
BSS
AEP
Мониторинг
системы
Kaspersky
Security Network
Мониторинг
уязвимостей и
патч-
менеджмент

21. СТРАТЕГИЯ АДАПТИВНОЙ КОРПОРАТИВНОЙ ИБ
• Cybersecurity training
• Kaspersky Lab
Enterprise security
solutions
• Cyber safety Games
• Threat simulation
ПОВЫШЕНИЕ
ОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
• Targeted Attack
Investigation Training
• APT reporting
• Botnet tracking
• Threat data feeds
• Kaspersky Anti Targeted Attack
Platform
РЕШЕНИЕ:
ЛАНДШАФТ
УГРОЗ:
ЭКСПЕРТИЗА:
ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ
• Incident response
service
• Malware analysis service
• Digital forensics services
РАССЛЕДОВАНИЕ:
ПРОГНОЗИРОВАНИЕ
• Penetration testing
service
• Security assessment
service
• Targeted Attack
Discovery Service
САМОАНАЛИЗ:

22.  Сетевые сенсоры
 Интеграция с сетевым оборудованием
 Интеграция с прокси серверами
 Почтовые сенсоры
 Сбор почты с серверов
 Мониторинг конечных станций
Сбор информации

23.  Поиск аномалий
 Статистическая модель
 Машинное обучение
 Репутационная информация
 Корреляция данных с агентов
 Сопоставление различных событий
 Использование экспертизы
Анализ данных: Статистика
Security Day 2016 23

24.  Технологическая основа
 Основана на внутреннем проекте компании
 Больше 10 лет успешного использования
 Поддержка платформ
 Windows XP
 Windows 7 x32
 Windows 7 x64
 Технология защиты от обхода Sandbox
Анализ данных: объекты
Security Day 2016 24

25.  Поддержка KSN/KPSN
 Репутация файлов
 Репутация сайтов/доменов
 Известные центры управления
 История доменов
 Шаблоны поведения
Анализ данных: мнение
большинства
Security Day 2016 25

26.  «Что знает Лаборатория Касперского?»
 Поддержка настраиваемых правил
 Обнаружение известных атак
 Использование облака для связи
вредоносных объектов и соединений
Анализ данных: большая картина
Security Day 2016 26

27.  Мониторинг в реальном времени
 Настраиваемые фильтры
 Цепочки событий
 Интеграция с SIEM
Вердикт: представление и
расследование
Security Day 2016 27

28.  Экспертные сервисы
 Объединенные с продуктом: поиск
целевых атак; расследование
инцидентов
 Дополнительно: анализ защищенности,
информирование об угрозах, тренинги
по безопасности
Реагирование: необходима
экспертиза
Security Day 2016 28

29. Обучение реагированию на инциденты
Incident response training
Обучение правильному построению процесса реагирования – это
ключевая задача эффективного использования ЛЮБОГО анти-APT
решения
Расследовать как
инцидент
произошел
Быстро
восстановить
системы

30. Тренинги
• Однодневный тренинг: Общий курс по проблемам безопасности в промышленных сетях
• Однодневный тренинг: Социальные атаки на промышленных предприятиях
• Деловая игра: Kaspersky Industrial Protection Simulation

33. СПАСИБО!
www.kaspersky.ru/enterprise-security