Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
أحمد قدوس
هو المدرب التحفيزي "الأول" فى مصر
من أشهر مدربين التنمية الذاتية في الوطن العربي.
تخرج على يديه أكثر من 1500 مدرب على مستوى العالم
لُقب بالإبن الروحي للمحاضر العالمي الدكتور ابراهيم الفقي "رحمه الله" وكان كبير المدربين المساعدين له في حياته
ahmed koddousأحمد قدوس
ahmed koddous
أحمد قدوس
koddous
http://www.ahmedkoddous.com
A onisciência de Deus é um atributo exclusivo de Deus. Ele conhece todas as coisas. Ele conhece todos os nossos pensamentos e todos os desejos e intenções dos nossos corações. Ainda a palavra não saiu da nossa boca e Ele já a conhece.
Nosso Deus tem o conhecimento de todas as coisas!
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
Совместный вебинар Kaspersky lab. и ДиалогНаука посвящен противодействию целевым атакам. Новые вызовы корпоративной безопасности и экономическое обоснование целесообразности применения решений по противодействию APT.
Спикер: Владимир Островерхов, Эксперт поддержки корпоративных продаж направления противодействия целенаправленным атакам «Лаборатории Касперского»
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Защита веб-приложений и веб-инфраструктурыInfoWatch
Андрей Бондаренко, эксперт компании Qrator Labs, поделится опытом защиты от DDoS-атак, расскажет о современных трендах и даст прогнозы о том, какие виды DDoS будут наиболее «популярны» в следующем году.
Алексей Афанасьев, эксперт InfoWatch, расскажет о подходе компании InfoWatch в борьбе с таргетированными атаками, о философии Continuous Security, а также о многомодульном решении InfoWatch Attack Killer, реализованном на технологиях компании Qrator Labs, Wallarm и Appercut и Cezurity.
Similar to Астерит. Иван Катаев. Лаборатория Касперского. Виталий Федоров "Стратегия противодействия целевым атакам" (20)
2. НОВЫЕ ВЫЗОВЫ И УГРОЗЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Усложнение ИТ-инфраструктуры
Защита периметра – не панацея
Снижение стоимости атак
Рост нетехнических способов атак
Атаки на SMB-компании и через 3-ю сторону
Атака остается необнаруженной долгое
время
#CODEIB
3. 53% организаций потеряли
конфиденциальные данные
$112K - средняя стоимость
утечки данных в SMB секторе
$2M - средняя стоимость
утечки в Enterprise секторе
ВНЕШНИЕ
УГРОЗЫ
#CODEIB
4. ЛАНДШАФТ УГРОЗ ГЛАЗАМИ ЗАКАЗЧИКА
Классические решения
Endpoint Protection
Firewall, IDS/IPS
Access Control
DLP
Web/mail gateway
Нужна новая защита?
APT: непонятно,
но очень опасно
Неизвестные
угрозы
Известные угрозы
99%
Менее
1% Зачем инвестировать,
если компания может никогда не стать целью?
…
#CODEIB
5. >200 дней
Подготовка
Поиск цели
Создание стратегии
Подготовка инструментов
Расширение влияния
Получение полномочий
Кража паролей
Распространение заражения
ЦЕЛЕВАЯ АТАКА КАК ПРОЦЕСС
Проникновение
Использование уязвимостей
Проникновение за периметр
Эксплуатация
Кража данных
Сокрытие следов
Удаление улик
Создание черного хода
#CODEIB
6. УЩЕРБ В СЛУЧАЕ РЕАЛИЗАЦИИ УГРОЗЫ
Простои
Прямые
потери
Последующие
траты
Упущенные
возможности
-Восстановле
ние
ИТ/ИБ-консалтинг
PR-активность
Судебные издержки
Потеря прибыли во
время простоя
Потеря данных
Потеря репутации
Обучение
Персонал
Системы
Чтобы инцидент
не повторился
Закрытие уязвимостей
Переконфигурирование систем
Покупка решений по
безопасности
Наём специалистов
Пересмотр бизнес-процессов
Повышение осведомленности
сотрудников
Повышение экспертизы службы
ИБ
#CODEIB
7. ЭТАПЫ РЕАЛИЗАЦИИ ЦЕЛЕВОЙ АТАКИ
Сбор
информации
о цели в
открытых
,источниках
социальных
сетях и
другими
способами
Подготовка и
создание
инструменто
,в
необходимы
.х для атаки
,Например
эксплойта и
трояна для
удаленного
доступа
Отправка
вредоносног
о пакета
будущей
жертве по
почте или
другим
.способом
Использован
ие
социальной
инженерии
Эксплуатаци
я
,уязвимости
. .т е
фактическое
исполнение
эксплойта
Установка
вредоносног
(о ПО RAT
)трояна
Создание
канала для
дистанционн
ого
управления
внутренними
активами
Выполнение
шагов для
достижения
целей атаки:
кражи
,данных
саботажа и
. .т д
Reconnaissance
Actionson
Objectives
Command&
Control
Installation
W
eaponization
Delivery
Exploitation
Перед компрометацией Компрометация После компрометации
Растет вероятность успешной атаки, увеличиваются затраты на восстановление
#CODEIB
8. МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ
РЕАГИРОВАНИЕ
ПРОГНОЗИРОВАНИ
Е
ПРЕДОТВРАЩЕНИЕ
ОБНАРУЖЕНИЕ
Управление уязвимостями
Анализ потенциальных целей
атакующего
Планирование развития
стратегии защиты
Оперативное реагирование на
инциденты
Расследование:
•реконструкция атак
•поиск затронутых активов
Выявление попыток и фактов
существующего проникновения
Подтверждение и приоритезация
событий
Снижение рисков проникновения
Повышение безопасности систем
и процессов
#CODEIB
9. KASPERSKY ANTI TARGETED ATTACK
СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ
АТАКАМ
Виталий Федоров
Инженер предпродажной поддержки
#CODEIB
10. KASPERSKY ANTI TARGETED ATTACK
10Kaspersky Anti Targeted Attack
Internet
Laptop PC
PC
Server
Email
Network
Sensors
Endpoint
Sensors
Advanced
Sandbox
SB Activity Logs
Pcaps, Sys-log
Analyst console
Inciden
t alerts
Security
Officer
Incidents
Forensic
Team
Analysis Center
SIEM SOC
network traffic
suspicious objects
host network activity
Verdicts DB
#CODEIB
20. Сетевые сенсоры
Интеграция с сетевым оборудованием
Интеграция с прокси серверами
Почтовые сенсоры
Сбор почты с серверов
Мониторинг конечных станций
СБОР ИНФОРМАЦИИ
Kaspersky Anti Targeted Attack 20#CODEIB
21. Поиск аномалий
Статистическая модель
Машинное обучение
Репутационная информация
Корреляция данных с агентов
Сопоставление различных событий
Использование экспертизы
:АНАЛИЗ ДАННЫХ СТАТИСТИКА
Kaspersky Anti Targeted Attack 21#CODEIB
22. Технологическая основа
Основана на внутреннем проекте компании
Больше 10 лет успешного использования
Поддержка платформ
Windows XP
Windows 7 x32
Windows 7 x64
Технология защиты от обхода Sandbox
:АНАЛИЗ ДАННЫХ ОБЪЕКТЫ
Kaspersky Anti Targeted Attack 22#CODEIB
23. Поддержка KSN/KPSN
Репутация файлов
Репутация сайтов/доменов
Известные центры управления
История доменов
Шаблоны поведения
:АНАЛИЗ ДАННЫХ МНЕНИЕ БОЛЬШИНСТВА
Kaspersky Anti Targeted Attack 23#CODEIB
24. Мониторинг в реальном времени
Настраиваемые фильтры
Цепочки событий
Интеграция с SIEM -> SOC
:ВЕРДИКТ ПРЕДСТАВЛЕНИЕ И
РАССЛЕДОВАНИЕ
Kaspersky Anti Targeted Attack 24#CODEIB
25. Экспертные сервисы
Объединенные с продуктом: поиск
целевых атак; расследование инцидентов
Дополнительно: анализ защищенности,
информирование об угрозах, тренинги по
безопасности
:РЕАГИРОВАНИЕ НЕОБХОДИМА ЭКСПЕРТИЗА
Kaspersky Anti Targeted Attack 25#CODEIB
26. НАШИ ИССЛЕДОВАНИЯ
Kaspersky Anti Targeted Attack
• Лаборатория Касперского ежедневно обрабатывает
310 тысяч новых вредоносных файлов
• Наиболее редкие, сложные и опасные киберугрозы
попадают в зону пристального внимания экспертов из
Глобального центра исследований и анализа угроз
(GReAT)
• Если появляется информация о новой
вредоносной кампании, то организация, которая
ее раскрыла, скорее всего будет Лабораторией
Касперского
#CODEIB
27. TROJAN-SPY.WIN32.LURK
Запускается из памяти
Не оставляет следов исполняемого кода на
диске
60 тыс ботов
Цели: СМИ, Телекомы, Банки
Похищено более 1.7 млрд руб
Kaspersky Anti Targeted Attack #CODEIB
29. ЗАДЕРЖАНИЕ БАНДЫ LURK
Спецоперация в 15 субъектах РФ
Одновременно 86 обысков
Задержано 50 участников
группировки
Кражу более 2,2 млрд удалось
предотвратить
Kaspersky Anti Targeted Attack #CODEIB
В соврем. Мире непрерывно разв. Инф. Технологий необходимо пониматьБ что усложн. Инф. Системы подвержены самым разнообразным рискам для их безопасности.
К внешним угрозам обобщенно мы можем назвать традиционные киберугрозы (вредоносные программы и эксплоиты).
Основной тенденцией последних лет называют смещение акцента с массовых атак на таргетированные, или целевые, направленные против конкретной компании, организации или государственного органа. И противостоять им оказывается не слишком просто, хотя и возможно.
Тут средства кибернападения используются или для прямой кражи денежных средств, или информации, которую легко монетизировать, например, реквизиты платежных карт или персональные данные, черный рынок которых весьма развит.
Также за таргетированными атаками могут стоять конкуренты. Их целью могут быть всевозможные ноу-хау, информация о готовящихся проектах и новых продуктах, другая информация, критичная для бизнеса. Впрочем, такого рода информацию можно похитить и другими способами, например, с помощью нелояльных сотрудников. Однако использование целевых атак часто менее хлопотно с организационной точки зрения и занимает меньше времени, да и материальные затраты могут быть ниже.
Тут можно дезорганизовать работу организации, нарушить ее деятельнос ть.
Также целью хактивистов и кибершпионов может быть не только информация, но и разного рода диспетчерские системы и управляющие комплексы, атака на которые может привести к огромному ущербу. Так что данные объекты могут стать мишенью и для террористических атак.
Если посмотреть на ситуацию привычным нам взглядом …
Известные угрозы «закрываются» известными продуктами (антивирусы, МЭ, DLP и т.д.).
Для защиты же от АРТ атак нужны принципиально новые решения, т.к. необходимо анализировать цепочки событий, прогнозировать последствия тех или иных действий злоумышленника.
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails
For data acquisition, we have different sensors . To cover different levels of the IT infrastructure, we offer
Network sensors, which collect the mirrored traffic from routers, switches and similar network equipment using Port Mirroring/SPAN (this traffic is processed by network Intrusion Detection System)
Web sensors, which survey web and ftp traffic using ICAP protocol
- and Mail sensor processing incoming emails