SlideShare a Scribd company logo

Борьба с внутренними угрозами. Обзор технологий

Aleksey Lukatskiy
Aleksey Lukatskiy

Обзор технологий, позволяющих предотвращать, обнаруживать внутренне угрозы и реагировать на них

Technology
1 of 34
Download to read offline
22 сентября 2016 Бизнес-консультант по безопасности Внутренние угрозы. Обзор технологий противодействия Алексей Лукацкий
Один день из жизни CISO в Cisco 2 4TB Данных для сбора/анализа NetFlow для анализа в день (Lancope) 15B Инспектируется трафика в день 47TB Сигналов тревоги в день (NG-IPS) 1.5M Сетевых событий 1.2T 10K Файлов для анализа в день (ThreatGRID) 4.8B Записей DNS в день 45M Web-транзакций блокируется (WSA) 425 Защитных устройств 4.1M Email-транзакций блокируется в день (ESA)
Не все ли вам равно, откуда исходит угроза? Может ли внутренняя угроза исходить из внешнего источника? Чем отличается внутренняя угроза от внешней? Что такое внутренняя угроза? © 2015 Cisco and/or its affiliates. All rights reserved. 3
Атака через внутреннюю точку доступа – это внутренняя угроза?
Подмена точки доступа и перехват паролей Видео-демонстрация
Что вы будете делать, если найдете флешку у дверей офиса? Любопытство возьмет верх или нет?
Многие подбирают J
Аппаратные закладки на базе Raspberry Pi Лобби и переговорки… Вы их контролируете?
Вы думаете это шутка? Видео-демонстрация
Согласно оценкам Гартнер к 2018: 25% корпоративного трафика будет миновать периметр ИБ
Облачные приложения становятся неотъемлемой частью бизнеса Как осуществляется их защита? Удаленный доступ Оперативность и скорость Улучшенное взаимодействие Увеличение продуктивности Экономичность Утечка конфиденциальных данных Риски несоответствия правовым нормам Риск инсайдерских действий Вредоносное ПО и вирусы
Понимание рисков, связанных с облачными приложениями, для вашего бизнеса Это проблема, так как ваш ИТ-отдел: • Не видит, какие используются приложения • Не может идентифицировать опасные приложения • Не может настроить необходимые средства управления приложениями сотрудников признают, что используют неутвержденные приложения1 72% ИТ-отделов используют 6 и более неутвержденных приложений2 26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов 35% «Теневые» ИТ Использование несанкционированных приложений Источник: 1CIO Insight; 2,3Gartner
Понимание рисков использования данных в облачных приложениях Это проблема, так как ваш ИТ-отдел: • Не может остановить утечку данных и устранить риски несоблюдения нормативных требований • Не в состоянии заблокировать входящий опасный контент • Не в силах остановить рискованные действия пользователей организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1 90% приложений могут стать опасными при неправильном использовании2 72% файлов на каждого пользователя открыто используется в организациях3 185 «Теневые» данные Использование санкционированных приложения для неправомерных целей Источник: 1Ponemon, 2013 Cost of Data Breach Study; 2CIO Insight; 3Elastica
Надо учитывать весь жизненный цикл угрозы Защита в момент времени Непрерывная защита Сеть ПК Мобильное устройство Виртуальная машина Облако Жизненный цикл внутренней угрозы Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановление ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
Матрица экспресс-выбора технологий Identify (идентификация) Protect (защита) Detect (обнаружение) Respond (реагирование) Recover (восстановление) Сети Устройства Приложения Пользователи Данные
Сетевые и системные ресурсы Политика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативамP Что Когда Где Как Дверь в сеть Контекст Давайте попробуем пойти чуть дальше
• Случайная утечка • Шпионаж • Финансовое мошенничество • Злоупотребления • Кража данных • Кража физическая • Саботаж • Изменения в продукты • Вандализм Шаг 1. Какие угрозы вам важны? Разные угрозы требуют разных технологий!
• Случайный нарушитель • Неквалифицированный одиночка • Производитель • Партнер • Злонамеренный инсайдер • Вор / промышленный шпион • Активист / идеолог • Террорист / экстремист • Оргпреступность • Конкуренты • Спецслужбы Шаг 2. Какова ваша модель нарушителя? Разные нарушители требуют разных технологий!
Нетипичные внутренние угрозы Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да
Шаг 3. На что обращать внимание?! Активность • Системная (изменение поведения ИТ- систем или шаблонов доступа) • Объектовая (шаблоны местонахождения и времени) • Бизнес Контекст • Социальный (социальные коммуникации) • Здоровье / психология (изменения в психологии и здоровье) • HR (непростые жизненные события) Телеметрия • Финансовая (непредвиденные или неожиданные траты) • Безопасность (нарушения политик ИБ) • Криминальная
Шаг 4. Источники данных для анализа Внутренние • Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.) • Критичные ресурсы • СКУД (местоположение, GSM, CCTV, бейджи и т.п.) • Данные о персонале (HR, проверки СЭБ и т.п.) Внешние • Данные от правоохранительных органов • Банковские выписки • Выписки ДМС, медосмотры
Контроль физического местоположения с помощью ИТ – это тоже важно
• Неудачные попытки входа в системы • Доступ к нетипичным ресурсам • Профиль сетевого трафика • Утечки данных (по объему, типу сервиса и контенту) • Нетипичные методы доступа • Изменение привилегий • Нетипичные команды • Нетипичные поисковые запросы Шаг 5. Выбрать индикаторы
• Модификация логов • Нетипичное время доступа • Нетипичное местонахождение • Вредоносный код • Модификация или уничтожение объектов ИТ-инфраструктуры • Поведение конкурентов и СМИ • Необычные командировки и персональные поездки Примеры индикаторов
• Негативные сообщения в социальных сетях • Наркотическая или алкогольная зависимость • Потеря близких • Проигрыш в казино • Ухудшение оценок (review) • Изменение финансовых привычек (покупка дорогих вещей) • Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.) Примеры индикаторов
Объединяя типы угрозы и индикаторы Категория Индикатор 1 2 3 4 5 6 7 8 9 Системная активность Неудачные попытки входа 1 1 1 1 1 1 Доступ к нетипичным ресурсам 1 1 1 1 1 1 Утечка данных 1 2 2 1 2 Изменение привилегий 1 2 1 1 2 2 …
Шаг 6. 5 типов данных для анализа • Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги • E-mail, файлы, Web-страницы, видео/аудио…Контент • Netflow, IPFIX…Потоки • Syslog, CDR…Логи • Имена пользователей, сертификаты… Идентификационные данные
Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг Откуда брать данные?
Объединяя типы данных и места их сбора Место съема данных Источник данных Сигналы тревоги Контент Потоки Логи Идентиф икация Интернет- периметр Сервер DHCP ✔ Сервер DNS ✔ DLP ✔ ✔ ✔ WAF ✔ ✔ NAC ✔ ✔ Маршрутизатор ✔ ✔ …
Объединяя типы данных и индикаторы Категория индикатора Индикатор Сигналы тревоги Контент Потоки Логи Идентиф икация Системная активность Неудачные попытки входа ✔ ✔ Доступ к нетипичным ресурсам ✔ ✔ Утечка данных ✔ ✔ ✔ ✔ ✔ Изменение привилегий ✔ ✔ ✔ ✔ Нетипичные команды ✔ ✔ ✔ Нетипичные поисковые запросы ✔ ✔ ✔ ✔ …
Инцидент попадает к CISO КТО это сделал? КАК это произошло ? ЧТО пострадало ? ОТКУДА начался инцидент? КОГДА это произошло? Шаг 7. Выбрать нужные технологии
Пора задуматься о смене стратегии © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Как Cisco ловит угрозы в своей сети? Нейтрализовать и реагировать Метрики и отчеты Управление конфигурацией Инспекция Регистрация Идентификация Телеметрия IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1x Address, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB Execs Auditors Infosec IT Orgs HR-Legal Line of Biz Admins End Users Partners Business Functions Информирование Реагирование РасследованиеОбнаружение DBs Внешние фиды об угрозах Сканы Конфиги Логи Потоки События 4TB в день Сист. управления Incident Mgt System Compliance Tracker Incident Response Team Playbook
Спасибо!

Recommended

ИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле AgileИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле AgileAleksey Lukatskiy
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейAleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 

Recommended

ИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле AgileИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле AgileAleksey Lukatskiy
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейAleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
Информационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниИнформационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниAleksey Lukatskiy
 
DNS как улика
DNS как уликаDNS как улика
DNS как уликаAleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасностиAleksey Lukatskiy
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических системAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
FortiGate – устройство комплексной сетевой безопасности
FortiGate – устройство комплексной сетевой безопасностиFortiGate – устройство комплексной сетевой безопасности
FortiGate – устройство комплексной сетевой безопасностиSergey Malchikov
 
Moodle gimn14qqqqqq
Moodle gimn14qqqqqqMoodle gimn14qqqqqq
Moodle gimn14qqqqqqastebl1971
 

More Related Content

What's hot

Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
Информационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниИнформационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниAleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасностиAleksey Lukatskiy
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических системAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 

What's hot (20)

Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
 
Информационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниИнформационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизни
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических систем
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 

Viewers also liked

FortiGate – устройство комплексной сетевой безопасности
FortiGate – устройство комплексной сетевой безопасностиFortiGate – устройство комплексной сетевой безопасности
FortiGate – устройство комплексной сетевой безопасностиSergey Malchikov
 
Moodle gimn14qqqqqq
Moodle gimn14qqqqqqMoodle gimn14qqqqqq
Moodle gimn14qqqqqqastebl1971
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudituisgslide
 
IT Portfolio Management Using Enterprise Architecture and ITIL® Service Strategy
IT Portfolio Management Using Enterprise Architecture and ITIL® Service StrategyIT Portfolio Management Using Enterprise Architecture and ITIL® Service Strategy
IT Portfolio Management Using Enterprise Architecture and ITIL® Service StrategyNUS-ISS
 
Itil v3 release and deployment management
Itil v3 release and deployment managementItil v3 release and deployment management
Itil v3 release and deployment managementkunaljoy11
 

Viewers also liked (7)

FortiGate – устройство комплексной сетевой безопасности
FortiGate – устройство комплексной сетевой безопасностиFortiGate – устройство комплексной сетевой безопасности
FortiGate – устройство комплексной сетевой безопасности
 
Moodle gimn14qqqqqq
Moodle gimn14qqqqqqMoodle gimn14qqqqqq
Moodle gimn14qqqqqq
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudit
 
IT Portfolio Management Using Enterprise Architecture and ITIL® Service Strategy
IT Portfolio Management Using Enterprise Architecture and ITIL® Service StrategyIT Portfolio Management Using Enterprise Architecture and ITIL® Service Strategy
IT Portfolio Management Using Enterprise Architecture and ITIL® Service Strategy
 
Itil v3 release and deployment management
Itil v3 release and deployment managementItil v3 release and deployment management
Itil v3 release and deployment management
 

Similar to Борьба с внутренними угрозами. Обзор технологий

Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Expolink
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Обзор современных технологий и программного обеспечения для защиты от инсайдеров
Обзор современных технологий и программного обеспечения для защиты от инсайдеровОбзор современных технологий и программного обеспечения для защиты от инсайдеров
Обзор современных технологий и программного обеспечения для защиты от инсайдеровDialogueScience
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часCisco Russia
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16DialogueScience
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
Текущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБТекущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБCisco Russia
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемого4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемогоКомпания УЦСБ
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредитьCisco Russia
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Expolink
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасностьSoftline
 

Similar to Борьба с внутренними угрозами. Обзор технологий (20)

Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Обзор современных технологий и программного обеспечения для защиты от инсайдеров
Обзор современных технологий и программного обеспечения для защиты от инсайдеровОбзор современных технологий и программного обеспечения для защиты от инсайдеров
Обзор современных технологий и программного обеспечения для защиты от инсайдеров
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атак
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
 
Текущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБТекущее состояние и тенденции развития НПА по ИБ
Текущее состояние и тенденции развития НПА по ИБ
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемого4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемого
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредить
 
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
Microsoft. Никита Трубецкой. "Облачные сервисы – головная боль для служб безо...
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 

Борьба с внутренними угрозами. Обзор технологий

  • 1. 22 сентября 2016 Бизнес-консультант по безопасности Внутренние угрозы. Обзор технологий противодействия Алексей Лукацкий
  • 2. Один день из жизни CISO в Cisco 2 4TB Данных для сбора/анализа NetFlow для анализа в день (Lancope) 15B Инспектируется трафика в день 47TB Сигналов тревоги в день (NG-IPS) 1.5M Сетевых событий 1.2T 10K Файлов для анализа в день (ThreatGRID) 4.8B Записей DNS в день 45M Web-транзакций блокируется (WSA) 425 Защитных устройств 4.1M Email-транзакций блокируется в день (ESA)
  • 3. Не все ли вам равно, откуда исходит угроза? Может ли внутренняя угроза исходить из внешнего источника? Чем отличается внутренняя угроза от внешней? Что такое внутренняя угроза? © 2015 Cisco and/or its affiliates. All rights reserved. 3
  • 4. Атака через внутреннюю точку доступа – это внутренняя угроза?
  • 5. Подмена точки доступа и перехват паролей Видео-демонстрация
  • 6. Что вы будете делать, если найдете флешку у дверей офиса? Любопытство возьмет верх или нет?
  • 8. Аппаратные закладки на базе Raspberry Pi Лобби и переговорки… Вы их контролируете?
  • 9. Вы думаете это шутка? Видео-демонстрация
  • 10. Согласно оценкам Гартнер к 2018: 25% корпоративного трафика будет миновать периметр ИБ
  • 11. Облачные приложения становятся неотъемлемой частью бизнеса Как осуществляется их защита? Удаленный доступ Оперативность и скорость Улучшенное взаимодействие Увеличение продуктивности Экономичность Утечка конфиденциальных данных Риски несоответствия правовым нормам Риск инсайдерских действий Вредоносное ПО и вирусы
  • 12. Понимание рисков, связанных с облачными приложениями, для вашего бизнеса Это проблема, так как ваш ИТ-отдел: • Не видит, какие используются приложения • Не может идентифицировать опасные приложения • Не может настроить необходимые средства управления приложениями сотрудников признают, что используют неутвержденные приложения1 72% ИТ-отделов используют 6 и более неутвержденных приложений2 26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов 35% «Теневые» ИТ Использование несанкционированных приложений Источник: 1CIO Insight; 2,3Gartner
  • 13. Понимание рисков использования данных в облачных приложениях Это проблема, так как ваш ИТ-отдел: • Не может остановить утечку данных и устранить риски несоблюдения нормативных требований • Не в состоянии заблокировать входящий опасный контент • Не в силах остановить рискованные действия пользователей организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1 90% приложений могут стать опасными при неправильном использовании2 72% файлов на каждого пользователя открыто используется в организациях3 185 «Теневые» данные Использование санкционированных приложения для неправомерных целей Источник: 1Ponemon, 2013 Cost of Data Breach Study; 2CIO Insight; 3Elastica
  • 14. Надо учитывать весь жизненный цикл угрозы Защита в момент времени Непрерывная защита Сеть ПК Мобильное устройство Виртуальная машина Облако Жизненный цикл внутренней угрозы Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановление ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
  • 16. Сетевые и системные ресурсы Политика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативамP Что Когда Где Как Дверь в сеть Контекст Давайте попробуем пойти чуть дальше
  • 17. • Случайная утечка • Шпионаж • Финансовое мошенничество • Злоупотребления • Кража данных • Кража физическая • Саботаж • Изменения в продукты • Вандализм Шаг 1. Какие угрозы вам важны? Разные угрозы требуют разных технологий!
  • 18. • Случайный нарушитель • Неквалифицированный одиночка • Производитель • Партнер • Злонамеренный инсайдер • Вор / промышленный шпион • Активист / идеолог • Террорист / экстремист • Оргпреступность • Конкуренты • Спецслужбы Шаг 2. Какова ваша модель нарушителя? Разные нарушители требуют разных технологий!
  • 19. Нетипичные внутренние угрозы Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да
  • 20. Шаг 3. На что обращать внимание?! Активность • Системная (изменение поведения ИТ- систем или шаблонов доступа) • Объектовая (шаблоны местонахождения и времени) • Бизнес Контекст • Социальный (социальные коммуникации) • Здоровье / психология (изменения в психологии и здоровье) • HR (непростые жизненные события) Телеметрия • Финансовая (непредвиденные или неожиданные траты) • Безопасность (нарушения политик ИБ) • Криминальная
  • 21. Шаг 4. Источники данных для анализа Внутренние • Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.) • Критичные ресурсы • СКУД (местоположение, GSM, CCTV, бейджи и т.п.) • Данные о персонале (HR, проверки СЭБ и т.п.) Внешние • Данные от правоохранительных органов • Банковские выписки • Выписки ДМС, медосмотры
  • 22. Контроль физического местоположения с помощью ИТ – это тоже важно
  • 23. • Неудачные попытки входа в системы • Доступ к нетипичным ресурсам • Профиль сетевого трафика • Утечки данных (по объему, типу сервиса и контенту) • Нетипичные методы доступа • Изменение привилегий • Нетипичные команды • Нетипичные поисковые запросы Шаг 5. Выбрать индикаторы
  • 24. • Модификация логов • Нетипичное время доступа • Нетипичное местонахождение • Вредоносный код • Модификация или уничтожение объектов ИТ-инфраструктуры • Поведение конкурентов и СМИ • Необычные командировки и персональные поездки Примеры индикаторов
  • 25. • Негативные сообщения в социальных сетях • Наркотическая или алкогольная зависимость • Потеря близких • Проигрыш в казино • Ухудшение оценок (review) • Изменение финансовых привычек (покупка дорогих вещей) • Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.) Примеры индикаторов
  • 26. Объединяя типы угрозы и индикаторы Категория Индикатор 1 2 3 4 5 6 7 8 9 Системная активность Неудачные попытки входа 1 1 1 1 1 1 Доступ к нетипичным ресурсам 1 1 1 1 1 1 Утечка данных 1 2 2 1 2 Изменение привилегий 1 2 1 1 2 2 …
  • 27. Шаг 6. 5 типов данных для анализа • Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги • E-mail, файлы, Web-страницы, видео/аудио…Контент • Netflow, IPFIX…Потоки • Syslog, CDR…Логи • Имена пользователей, сертификаты… Идентификационные данные
  • 28. Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг Откуда брать данные?
  • 29. Объединяя типы данных и места их сбора Место съема данных Источник данных Сигналы тревоги Контент Потоки Логи Идентиф икация Интернет- периметр Сервер DHCP ✔ Сервер DNS ✔ DLP ✔ ✔ ✔ WAF ✔ ✔ NAC ✔ ✔ Маршрутизатор ✔ ✔ …
  • 30. Объединяя типы данных и индикаторы Категория индикатора Индикатор Сигналы тревоги Контент Потоки Логи Идентиф икация Системная активность Неудачные попытки входа ✔ ✔ Доступ к нетипичным ресурсам ✔ ✔ Утечка данных ✔ ✔ ✔ ✔ ✔ Изменение привилегий ✔ ✔ ✔ ✔ Нетипичные команды ✔ ✔ ✔ Нетипичные поисковые запросы ✔ ✔ ✔ ✔ …
  • 32. Пора задуматься о смене стратегии © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
  • 33. Как Cisco ловит угрозы в своей сети? Нейтрализовать и реагировать Метрики и отчеты Управление конфигурацией Инспекция Регистрация Идентификация Телеметрия IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1x Address, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB Execs Auditors Infosec IT Orgs HR-Legal Line of Biz Admins End Users Partners Business Functions Информирование Реагирование РасследованиеОбнаружение DBs Внешние фиды об угрозах Сканы Конфиги Логи Потоки События 4TB в день Сист. управления Incident Mgt System Compliance Tracker Incident Response Team Playbook