Uploaded byExpolink
160 views

Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия противодействия целевым атакам"

Документ обсуждает современные целенаправленные атаки и способы противодействия им, подчеркивая важность адаптивной стратегии безопасности и повышения осведомленности сотрудников. Он также приводит статистику убытков от инцидентов информационной безопасности и необходимость интеграции систем мониторинга для эффективного реагирования на угрозы. В документе рассматриваются проблемы традиционных подходов к безопасности и предлагаются пути улучшения через корреляцию данных и автофикизацию процессов.

Embed presentation

Download to read offline
Тренды, проблематика и стратегия противодействия целевым атакам Борис Шалопин Региональный представитель по УрФО, Пермскому краю, Омской области и Удмуртской Республике Лаборатория Касперского
Современные целенаправленные атаки Тенденции и ландшафт угроз
Иденчиные тактики и методы могут повлечь за собой абсолютно разный результат в зависимости от отрасли
ROI: “1” инцидент может покрыть внедрение анти-APT Классические решения Antivirus, Endpoint Security Firewall, Access control IDS/IPS Data leakage protection Web/mail gateway Нужна новая защита? Непонятно, но ОЧЕНЬ страшно и ОПАСНО Unknown Threats Known Threats 99% 1% … зачем инвестировать, если компания может никогда не стать целью? …
Оценить масштаб угрозы Прямые потери Последующие траты IT-консалтинг Аудиторы PR-активности Судебные траты Потеря прибыли во время простоя Потеря данных, обман и тд. Чтобы не повторилось вновь Закрытие уязвимостей Покупка решений безопасности (DB protection, Endpoint, PIM, SIEM..) Замена «плохой» системы Наём специалистов (ручное обнаружение) Пересмотр бизнес процессов (новые роли) Повышение осведомленности сотрудников Повышение экспертизы службы ИБ Простои Возможности Восстановление Training Staffing Systems + + + + ERROR
Статистика потерь за 2016 год от инцидентов ИБ $126K $116K $106K $92K $91K $86K $119K $79K $77K Дополнительные траты к ЗП Ущерб рейтингам Потерянный возможности Компенсации Пиар коммуникации Аутсорс квалифицированных экспертов Развитие ИТ систем и защиты Обучения Привлечение новых сотрудников $14K $13K $11K $9K $8K $8K $10K $7K $7K Дополнительные траты к ЗП Потерянный возможности Аутсорс квалифицированных экспертов Ущерб рейтингам Пиар коммуникации Компенсации Развитие ИТ систем и защиты Обучения Привлечение новых сотрудников SMB Крупные компании Перераспредленеие трудозатрат ИТ и ИБ служб крупнейшая часть затрат по результату выявленного инцидента Base: 926 SMBs/ 590 Enterprises Suffering At Least One Data Breach Средний ущерб: $86.5k Средний ущерб: $891k Results from Kaspersky Lab’s Corporate IT Security Risks Survey 2016, conducted worldwide by Kaspersky Lab
ROI: “1” инцидент может покрыть внедрение анти-APT Enterprises SMBs Средний размер потерь от целевых атак $1,54M $84к Enterprises SMBs Средний размер проекта анти-APT ~$300 - 500k $50-100к
Целенаправленные атаки Что это…
Типовое развитие целенаправленной атаки НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ ПОДГОТОВКА ЦЕЛЕВАЯ АТАКА МОЖЕТ ДЛИТЬСЯ МЕСЯЦЫ… И ГОДАМИ ОСТАВАТЬТСЯ НЕОБНАРУЖЕННОЙ • кража идентификационных данных • повышение привилегий • налаживание связей • легитимизация действий • получение контроля • использование слабых мест • проникновение внутрь инфраструктуры • анализ цели • подготовка стратегии • создание/покупка тулсета • доступ к информации • воздействие на бизнес процессы • сокрытие следов • тихий уход
В теории… довольно линейное развитие: Развитие целенаправленной атаки: Теория и Реальность Тестирование Проникновение Закрепление Исполнение Инцидент
Тестирование Инцидент Распространение 1 – Email Проникновение 2 – Зараженная ссылка В реальности… сложно и нелинейно: Распространение 2 – По сети Проникновение 1 – Эксплойт во вложении почты Исполнение – Локальное Удаленное – Исполнение Развитие целенаправленной атаки: Теория и Реальность
Выводы при построении передовой корпоративной безопасности Большинство «передовых» атак основаны на базовых уязвимостях Возможности обнаружить и отреагировать гораздо важнее блокирования и предотвращения «Реагирование на скоррелированные инциденты" даёт ложное чувство безопасности Защита от передовых угроз должна быть эшелонированно интегрированной, а не «кусочной» Мониторинг данных и аналитика должны быть базисом для любого next-gen решения по обеспечению ИБ Автоматизация – это «порочный путь» при защите от ручных действий злоумышленников. Необходима комплексная стратегия защиты
Адаптивная стратегия корпоративной безопасности Подход «Лаборатории Касперского»
ЗАДАЧА – ОБЬЕДИНИТЬ СОБЫТИЯ РАЗНОРОДНЫХ СИСТЕМ В ЕДИНУЮ КАРТИНУ… ВРУЧНУЮ НЕ РЕШАЕМА! …ОСОБЕННО С УЧЕТОМ НАЛИЧИЯ ПОСТОЯННОЙ ЗАГРУЗКИ СЛУЖБЫ ИБ И БЕЗ ЭТОГО.
15 В РЕЗУЛЬТАТЕ ОРГАНИЗАЦИИ ПРИХОДЯТ К ИДЕОЛОГИИ ПОСТРОЕНИЯ ЦЕНТРА МОНИТОРИНГА ИБ (SOC) ВЫЯВЛЕНИЕ
16 С ВЫДЕЛЕННОЙ СЛУЖБОЙ МОНИТОРИНГА И АНАЛИЗА КОРРЕЛЯЦИЯ
17 НЕДОСТАТКИ ТРАДИЦИОННОГО ПОДХОДА ДЛЯ ЦЕНТРА МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC) ТРАДИЦИОННЫЙ РЕАКТИВНЫЙ ПОДХОД НЕТ СТРАТЕГИЧЕСКОГО ПЛАНИРОВАНИЯ НЕЭФФЕКТИВНАЯ ПРИОРИТЕЗАЦИЯ ИНЦИДЕНТОВ НЕХВАТКА ЭКСПЕРТИЗЫ Сбор Логов Агрегация и корреляция событий Процесс на базе задач (тикетинг) Отчетнось ЦЕНТР МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC) Неструктурированные/неунифицированные процессы
18 НЕПРОРАБОТАННОСТЬ ПРОЦЕССОВ РЕАГИРОВАНИЯ – НЕДОСТАТОК БОЛЬШИНСТВА ТРАДИЦИННЫХ SOC ВЫЯВЛЕНИЕРЕАГИРОВАНИЕ
ЗРЕЛЫЙ ПРОЦЕСС РЕАГИРОВАНИЯ НА ОСНОВЕ УПРАВЛЕНИЯ РИСКАМИ И РАССЛЕДОВАНИЯ Решение ИБ Threat Hunting Расследование Внешний источник информации об угрозах (Threat Intelligence) Дополнительные данные для анализа Уровень риска? Инцидент Реагирование Actionable Intelligence ВЫСОКИЙ НИЗКИЙ Security Policies Improvement Быстрое восстановление Full Incident Response RemediationForensics
Адаптивная стратегия ИБ для развития процессов и повышения эффективности традиционных центров мониторинга (SOC)
21 Развитый центр мониторинга ИБ должен быть интеллектуальным INTELLIGENCE-DRIVEN АНАЛИТИКА ИБ ПЛАНЫ И ПРОЦЕССЫ РЕАГИРОВАНИЯ ПОСТОЯННОЕ РАЗВИТИЕ АВТОМАТИЗАЦИЯ СКВОЗНЫХ ОПЕРАЦИЙ Threat Intelligence Сбор даных и контекста Тикетинг Отчетность КОМПЛЕКСНЫЕ ЗАДАЧИ РАЗВИТОГО SOC ПРОГНОЗИРОВАНИЕ Threat Hunting Управление знаниями Исследования угроз Корреляция логов ПРЕДОТВРАЩЕНИЕ ОБНАРУЖЕНИЕ РЕАГИРОВАНИЕ
Адпативная модель организации ИБ от Gartner
Эволюция ожиданий бизнеса Текущий размер инвестиций: 80% на превентивные технологии / 20% на обнаружение, реагирование и прогнозирование (Крупные компании: 90%/10%) Планы опрошенных заказчиков на ближайшие 3 года: 40% / 60% Основано на опросе, проведенном «Лабораторией Касперского» в ноябре 2015 года среди свыше 6700 компаний по всему миру 80 20 СЕГОДНЯ 40 60 В БУДУЩЕМ
Вот уже два года на самом дне интернета расцветает необычный вид черного рынка.
В мае 2016 г. мы насчитали на площадке 70 624 серверов, выставленных на продажу, от 416 разных продавцов из 173 стран.
26

More Related Content

PDF
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
PDF
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
byExpolink
 
PPTX
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
byDenis Gorchakov
 
PPTX
Защита от целевых атак. Практика применения решений в крупной организации
byDenis Gorchakov
 
PPTX
Анализ и управление рисками
byАлександр Лысяк
 
PPTX
Принципы защиты информации и метрики ИБ
byАлександр Лысяк
 
PPTX
Жизненный цикл СЗИ или с чего начать?
byАлександр Лысяк
 
PPTX
Метрики информационной безопасности
byАлександр Лысяк
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
Axoft. Анастасия Ворожцова. "Защита от таргетированных атак с решениями FireEye"
byExpolink
 
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
byDenis Gorchakov
 
Защита от целевых атак. Практика применения решений в крупной организации
byDenis Gorchakov
 
Анализ и управление рисками
byАлександр Лысяк
 
Принципы защиты информации и метрики ИБ
byАлександр Лысяк
 
Жизненный цикл СЗИ или с чего начать?
byАлександр Лысяк
 
Метрики информационной безопасности
byАлександр Лысяк
 

What's hot

PPTX
Что такое и почему важна информационная безопасность?
byАлександр Лысяк
 
PDF
TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...
byExpolink
 
PDF
Cisco strategy and vision of security 24 04_2014
byTim Parson
 
PDF
SOC vs SIEM
byAleksey Lukatskiy
 
PDF
Threat hunting as SOC process
bySergey Soldatov
 
PPS
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
byExpolink
 
PPS
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
byExpolink
 
PDF
24_glebov
byOleg Glebov
 
PDF
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
byPositive Hack Days
 
PPT
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
byExpolink
 
PDF
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
byInfoWatch
 
PPS
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
byExpolink
 
PPS
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
byExpolink
 
PDF
программная защита
byNatalia Yakovleva
 
PPTX
Основной вектор атак — приложения
byЭЛВИС-ПЛЮС
 
PDF
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: минимизация внутренни...
byExpolink
 
PPTX
Реагирование на инциденты ИБ 2016
byAlexey Kachalin
 
PDF
Какими функциями должен обладать современный NGFW?
byAleksey Lukatskiy
 
PPTX
Security testing presentation
byUladzislau Murashka
 
Что такое и почему важна информационная безопасность?
byАлександр Лысяк
 
TS Solution. Василий Михайлов. "Использование Splunk для работы с событиями б...
byExpolink
 
Cisco strategy and vision of security 24 04_2014
byTim Parson
 
SOC vs SIEM
byAleksey Lukatskiy
 
Threat hunting as SOC process
bySergey Soldatov
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
byExpolink
 
УЦ "Информзащита". Вячеслав Свириденко. "Повышение осведомленности -эффективн...
byExpolink
 
24_glebov
byOleg Glebov
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
byPositive Hack Days
 
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
byExpolink
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
byInfoWatch
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
byExpolink
 
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
byExpolink
 
программная защита
byNatalia Yakovleva
 
Основной вектор атак — приложения
byЭЛВИС-ПЛЮС
 
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: минимизация внутренни...
byExpolink
 
Реагирование на инциденты ИБ 2016
byAlexey Kachalin
 
Какими функциями должен обладать современный NGFW?
byAleksey Lukatskiy
 
Security testing presentation
byUladzislau Murashka
 

Similar to Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия противодействия целевым атакам"

PPS
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
byExpolink
 
PDF
Целевые атаки. Infosecurity Russia 2013
byDenis Bezkorovayny
 
PDF
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
byExpolink
 
PDF
2015 09 23 ИБ Стратегия обороны серия №8
byКомпания УЦСБ
 
PDF
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
byExpolink
 
PDF
Опыт противодействия целенаправленным атакам в финансовых организациях
bySelectedPresentations
 
PDF
Решения КРОК для противодействия направленным атакам
byКРОК
 
PDF
Cybersecurity 2018-2019
bymalvvv
 
PPTX
RuSIEM
byOlesya Shelestova
 
PDF
Адаптивная модель кибербезопасности для цифрового предприятия
byАльбина Минуллина
 
PDF
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
PDF
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
byCisco Russia
 
PDF
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
byDenis Bezkorovayny
 
PDF
Охват всего периода атаки: до, во время и после
byCisco Russia
 
PDF
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
byRISClubSPb
 
PDF
Astana r-vision20161028
byDiana Frolova
 
PPTX
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
byOlesya Shelestova
 
PDF
Check Point Report 2013 RU
byGroup of company MUK
 
PDF
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
byExpolink
 
PDF
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
byExpolink
 
Целевые атаки. Infosecurity Russia 2013
byDenis Bezkorovayny
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
byExpolink
 
2015 09 23 ИБ Стратегия обороны серия №8
byКомпания УЦСБ
 
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
byExpolink
 
Опыт противодействия целенаправленным атакам в финансовых организациях
bySelectedPresentations
 
Решения КРОК для противодействия направленным атакам
byКРОК
 
Cybersecurity 2018-2019
bymalvvv
 
RuSIEM
byOlesya Shelestova
 
Адаптивная модель кибербезопасности для цифрового предприятия
byАльбина Минуллина
 
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
byCisco Russia
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
byDenis Bezkorovayny
 
Охват всего периода атаки: до, во время и после
byCisco Russia
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
byRISClubSPb
 
Astana r-vision20161028
byDiana Frolova
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
byOlesya Shelestova
 
Check Point Report 2013 RU
byGroup of company MUK
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
byExpolink
 
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 

More from Expolink

PDF
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
byExpolink
 
PDF
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
byExpolink
 
PDF
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
byExpolink
 
PDF
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
byExpolink
 
PDF
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
byExpolink
 
PDF
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
byExpolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PDF
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
byExpolink
 
PDF
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
byExpolink
 
PDF
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
byExpolink
 
PDF
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
byExpolink
 
PDF
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
byExpolink
 
PDF
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
byExpolink
 
PDF
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
byExpolink
 
PDF
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
byExpolink
 
PDF
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
byExpolink
 
PDF
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
PDF
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
byExpolink
 
PDF
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
byExpolink
 
PDF
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
byExpolink
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
byExpolink
 
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
byExpolink
 
S-Terra CSP. Сергей Слепков. "Универсальные криптомаршрутизаторы – эффективно...
byExpolink
 
НТЦ Вулкан. Сергей Жуковский. "Современные риски ИБ в Республике Крым"
byExpolink
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
byExpolink
 
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
byExpolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
byExpolink
 
Актив. Владимир Иванов. "Электронная подпись с точки зрения безопасности бизн...
byExpolink
 
S-Terra CSP. Андрей Шпаков. "Универсальные криптомаршрутизаторы – эффективно,...
byExpolink
 
SearchInform. Евгений Матюшенок. "Нестандартные методы применения DLP-систем ...
byExpolink
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
byExpolink
 
IBA Group. Александр Волков. "IDM: пример внедрения в Республике Беларусь"
byExpolink
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
byExpolink
 
Eset. Дмитрий Самойленко. "Eset. Антивирусная защита для вашего бизнеса"
byExpolink
 
Доктор Веб. Дмитрий Иванов. "Как избавиться от шифровальщиков"
byExpolink
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
byExpolink
 
Comparex. Алексей Калинников. "Практики внедрения систем защиты от утечек инф...
byExpolink
 
Актив. Кирилл Мещеряков. "Электронная подпись с точки зрения безопасности биз...
byExpolink
 
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
byExpolink
 

Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия противодействия целевым атакам"

  • 1.
    Тренды, проблематика истратегия противодействия целевым атакам Борис Шалопин Региональный представитель по УрФО, Пермскому краю, Омской области и Удмуртской Республике Лаборатория Касперского
  • 2.
  • 3.
    Иденчиные тактики иметоды могут повлечь за собой абсолютно разный результат в зависимости от отрасли
  • 4.
    ROI: “1” инцидентможет покрыть внедрение анти-APT Классические решения Antivirus, Endpoint Security Firewall, Access control IDS/IPS Data leakage protection Web/mail gateway Нужна новая защита? Непонятно, но ОЧЕНЬ страшно и ОПАСНО Unknown Threats Known Threats 99% 1% … зачем инвестировать, если компания может никогда не стать целью? …
  • 5.
    Оценить масштаб угрозы Прямые потери Последующие траты IT-консалтинг Аудиторы PR-активности Судебныетраты Потеря прибыли во время простоя Потеря данных, обман и тд. Чтобы не повторилось вновь Закрытие уязвимостей Покупка решений безопасности (DB protection, Endpoint, PIM, SIEM..) Замена «плохой» системы Наём специалистов (ручное обнаружение) Пересмотр бизнес процессов (новые роли) Повышение осведомленности сотрудников Повышение экспертизы службы ИБ Простои Возможности Восстановление Training Staffing Systems + + + + ERROR
  • 6.
    Статистика потерь за2016 год от инцидентов ИБ $126K $116K $106K $92K $91K $86K $119K $79K $77K Дополнительные траты к ЗП Ущерб рейтингам Потерянный возможности Компенсации Пиар коммуникации Аутсорс квалифицированных экспертов Развитие ИТ систем и защиты Обучения Привлечение новых сотрудников $14K $13K $11K $9K $8K $8K $10K $7K $7K Дополнительные траты к ЗП Потерянный возможности Аутсорс квалифицированных экспертов Ущерб рейтингам Пиар коммуникации Компенсации Развитие ИТ систем и защиты Обучения Привлечение новых сотрудников SMB Крупные компании Перераспредленеие трудозатрат ИТ и ИБ служб крупнейшая часть затрат по результату выявленного инцидента Base: 926 SMBs/ 590 Enterprises Suffering At Least One Data Breach Средний ущерб: $86.5k Средний ущерб: $891k Results from Kaspersky Lab’s Corporate IT Security Risks Survey 2016, conducted worldwide by Kaspersky Lab
  • 7.
    ROI: “1” инцидентможет покрыть внедрение анти-APT Enterprises SMBs Средний размер потерь от целевых атак $1,54M $84к Enterprises SMBs Средний размер проекта анти-APT ~$300 - 500k $50-100к
  • 8.
  • 9.
    Типовое развитие целенаправленнойатаки НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ ПОДГОТОВКА ЦЕЛЕВАЯ АТАКА МОЖЕТ ДЛИТЬСЯ МЕСЯЦЫ… И ГОДАМИ ОСТАВАТЬТСЯ НЕОБНАРУЖЕННОЙ • кража идентификационных данных • повышение привилегий • налаживание связей • легитимизация действий • получение контроля • использование слабых мест • проникновение внутрь инфраструктуры • анализ цели • подготовка стратегии • создание/покупка тулсета • доступ к информации • воздействие на бизнес процессы • сокрытие следов • тихий уход
  • 10.
    В теории… довольнолинейное развитие: Развитие целенаправленной атаки: Теория и Реальность Тестирование Проникновение Закрепление Исполнение Инцидент
  • 11.
    Тестирование Инцидент Распространение 1 – Email Проникновение2 – Зараженная ссылка В реальности… сложно и нелинейно: Распространение 2 – По сети Проникновение 1 – Эксплойт во вложении почты Исполнение – Локальное Удаленное – Исполнение Развитие целенаправленной атаки: Теория и Реальность
  • 12.
    Выводы при построениипередовой корпоративной безопасности Большинство «передовых» атак основаны на базовых уязвимостях Возможности обнаружить и отреагировать гораздо важнее блокирования и предотвращения «Реагирование на скоррелированные инциденты" даёт ложное чувство безопасности Защита от передовых угроз должна быть эшелонированно интегрированной, а не «кусочной» Мониторинг данных и аналитика должны быть базисом для любого next-gen решения по обеспечению ИБ Автоматизация – это «порочный путь» при защите от ручных действий злоумышленников. Необходима комплексная стратегия защиты
  • 13.
  • 14.
    ЗАДАЧА – ОБЬЕДИНИТЬСОБЫТИЯ РАЗНОРОДНЫХ СИСТЕМ В ЕДИНУЮ КАРТИНУ… ВРУЧНУЮ НЕ РЕШАЕМА! …ОСОБЕННО С УЧЕТОМ НАЛИЧИЯ ПОСТОЯННОЙ ЗАГРУЗКИ СЛУЖБЫ ИБ И БЕЗ ЭТОГО.
  • 15.
    15 В РЕЗУЛЬТАТЕ ОРГАНИЗАЦИИПРИХОДЯТ К ИДЕОЛОГИИ ПОСТРОЕНИЯ ЦЕНТРА МОНИТОРИНГА ИБ (SOC) ВЫЯВЛЕНИЕ
  • 16.
    16 С ВЫДЕЛЕННОЙ СЛУЖБОЙМОНИТОРИНГА И АНАЛИЗА КОРРЕЛЯЦИЯ
  • 17.
    17 НЕДОСТАТКИ ТРАДИЦИОННОГО ПОДХОДАДЛЯ ЦЕНТРА МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC) ТРАДИЦИОННЫЙ РЕАКТИВНЫЙ ПОДХОД НЕТ СТРАТЕГИЧЕСКОГО ПЛАНИРОВАНИЯ НЕЭФФЕКТИВНАЯ ПРИОРИТЕЗАЦИЯ ИНЦИДЕНТОВ НЕХВАТКА ЭКСПЕРТИЗЫ Сбор Логов Агрегация и корреляция событий Процесс на базе задач (тикетинг) Отчетнось ЦЕНТР МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC) Неструктурированные/неунифицированные процессы
  • 18.
    18 НЕПРОРАБОТАННОСТЬ ПРОЦЕССОВ РЕАГИРОВАНИЯ– НЕДОСТАТОК БОЛЬШИНСТВА ТРАДИЦИННЫХ SOC ВЫЯВЛЕНИЕРЕАГИРОВАНИЕ
  • 19.
    ЗРЕЛЫЙ ПРОЦЕСС РЕАГИРОВАНИЯНА ОСНОВЕ УПРАВЛЕНИЯ РИСКАМИ И РАССЛЕДОВАНИЯ Решение ИБ Threat Hunting Расследование Внешний источник информации об угрозах (Threat Intelligence) Дополнительные данные для анализа Уровень риска? Инцидент Реагирование Actionable Intelligence ВЫСОКИЙ НИЗКИЙ Security Policies Improvement Быстрое восстановление Full Incident Response RemediationForensics
  • 20.
    Адаптивная стратегия ИБдля развития процессов и повышения эффективности традиционных центров мониторинга (SOC)
  • 21.
    21 Развитый центр мониторингаИБ должен быть интеллектуальным INTELLIGENCE-DRIVEN АНАЛИТИКА ИБ ПЛАНЫ И ПРОЦЕССЫ РЕАГИРОВАНИЯ ПОСТОЯННОЕ РАЗВИТИЕ АВТОМАТИЗАЦИЯ СКВОЗНЫХ ОПЕРАЦИЙ Threat Intelligence Сбор даных и контекста Тикетинг Отчетность КОМПЛЕКСНЫЕ ЗАДАЧИ РАЗВИТОГО SOC ПРОГНОЗИРОВАНИЕ Threat Hunting Управление знаниями Исследования угроз Корреляция логов ПРЕДОТВРАЩЕНИЕ ОБНАРУЖЕНИЕ РЕАГИРОВАНИЕ
  • 22.
  • 23.
    Эволюция ожиданий бизнеса Текущийразмер инвестиций: 80% на превентивные технологии / 20% на обнаружение, реагирование и прогнозирование (Крупные компании: 90%/10%) Планы опрошенных заказчиков на ближайшие 3 года: 40% / 60% Основано на опросе, проведенном «Лабораторией Касперского» в ноябре 2015 года среди свыше 6700 компаний по всему миру 80 20 СЕГОДНЯ 40 60 В БУДУЩЕМ
  • 24.
    Вот уже двагода на самом дне интернета расцветает необычный вид черного рынка.
  • 25.
    В мае 2016г. мы насчитали на площадке 70 624 серверов, выставленных на продажу, от 416 разных продавцов из 173 стран.
  • 26.