Документ описывает подход Лаборатории Касперского к противодействию целевым атакам и подчеркивает, что большинство современных угроз основаны на базовых уязвимостях и методах социальной инженерии. Он также анализирует статистику потерь от целевых атак и важность интегрированной стратегии и реагирования на инциденты в корпоративной безопасности. Документ акцентирует внимание на необходимости использования современных технологий и комплексных решений для эффективной защиты корпоративных данных.

1. Подход Лаборатории Касперского
к противодействию целевым атакам
Владимир Островерхов
Эксперт поддержки корпоративных продаж
направления противодействия целенаправленным атакам
«Лаборатории Касперского»

2. Взлом государственной важности
• 30 июля 2016 года ФСБ сообщило, что компьютерные сети 20 оборонных предприятий и
госорганов подвержены целенаправленным атакам с целью шпионажа
• Вредоносная программа незаметно скачивается и подгружает модули
• Перехватывает и анализирует весь сетевой трафик подверженных атаке рабочих мест
• Скриншоты, доступ к веб-камере и микрофону
• Кей-логгер
• Развитие атаки на смартфоны пользователей
• В ФСБ подтвердили, что программа была модифицирована для каждой жертвы с учетом
характеристик ее компьютера
• …
Вся информация из публичных источников СМИ

3. ЛАНДШАФТ УГРОЗ

4. Внешние факторы влияющие на корпоративную безопасность
Большинство передовых
угроз строятся на базовых
техниках и методах
социальной инженерии
Существенное снижение
затрат и массовый рост
предложений
(Кибератака-Как-Сервис)
Рост количества атак
на поставщиков, 3-их
лиц и небольшие
компании (SMB)

5. Внутренние факторы влияющие на корпоративную безопасность
Резкий спад эффективности
периметровой защиты
В среднем целевая атака с
момента её появления остается
необнаруженной более 214
дней
Недостаток оперативной
информации в виду
динамического усложнения
ИТ инфраструктуры

6. Иденчиные тактики и методы могут повлечь за собой абсолютно разный
результат в зависимости от отрасли

7. Типовое развитие целенаправленной атаки
НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ
РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ
ПОДГОТОВКА
ЦЕЛЕВАЯ АТАКА МОЖЕТ
ДЛИТЬСЯ МЕСЯЦЫ… И
ГОДАМИ
ОСТАВАТЬТСЯ
НЕОБНАРУЖЕННОЙ
• кража идентификационных данных
• повышение привилегий
• налаживание связей
• легитимизация действий
• получение контроля
• использование слабых мест
• проникновение внутрь
инфраструктуры
• анализ цели
• подготовка стратегии
• создание/покупка тулсета
• доступ к информации
• воздействие на бизнес процессы
• сокрытие следов
• тихий уход

8. В теории… довольно линейное развитие:
Развитие целенаправленной атаки:
Теория и Реальность
Тестирование Проникновение Закрепление Исполнение Инцидент

9. Выявление целенаправленных атак традиционными
методами
ABNORMAL
ACTIVITIES
INCIDENTS
BREACHES EVENTS
EXFILTRATION
ALERTS
PREPARATION
INDICATORS
Обнаружение – не только
анализ внутренних данных,
но и сопоставление с
данными внешними.
Threat Intelligence – это
краеугольный камень
современной ИБ
• DLP
• поведенческий анализ
исходящего трафика
• прокси (MITM)
• NIDS
• PIM
• защита баз данных
• контроль доверенной среды
• IoC
• mail прокси
• межсетевой экран
• сенсоры трафика
• HIDS, EPP
• логи доступа
• логи межсетевого экрана
• логи web-сервера
• web-firewall

10. Тестирование
Инцидент
Распространение 1 –
Email
Проникновение 2 – Зараженная ссылка
В реальности… сложно и нелинейно:
Распространение 2 – По сети
Проникновение 1 – Эксплойт
во вложении почты Исполнение – Локальное
Удаленное – Исполнение
Развитие целенаправленной атаки:
Теория и Реальность

11. ROI: “1” инцидент может покрыть внедрение анти-APT
Enterprises
SMBs
Средний размер потерь от целевых атак
$1,54M
$84к
Enterprises
SMBs
Средний размер проекта анти-APT
~$300 - 500k
$50-100к

12. Оценить масштаб угрозы
Прямые
потери
Последующие
траты
IT-консалтинг
Аудиторы
PR-активности
Судебные траты
Потеря
прибыли во
время
простоя
Потеря данных,
обман и тд.
Чтобы не
повторилось
вновь
Закрытие уязвимостей
Покупка решений безопасности (DB protection,
Endpoint, PIM, SIEM..)
Замена «плохой» системы
Наём специалистов (ручное обнаружение)
Пересмотр бизнес процессов (новые роли)
Повышение осведомленности сотрудников
Повышение экспертизы службы ИБ
Простои
Возможности
Восстановление
Training
Staffing
Systems
+
+
+
+
ERROR

13. Статистика потерь за 2016 год от инцидентов ИБ
$126K
$116K
$106K
$92K
$91K
$86K
$119K
$79K
$77K
Дополнительные траты к ЗП
Ущерб рейтингам
Потерянный возможности
Компенсации
Пиар коммуникации
Аутсорс квалифицированных экспертов
Развитие ИТ систем и защиты
Обучения
Привлечение новых сотрудников
$14K
$13K
$11K
$9K
$8K
$8K
$10K
$7K
$7K
Дополнительные траты к ЗП
Потерянный возможности
Аутсорс квалифицированных экспертов
Ущерб рейтингам
Пиар коммуникации
Компенсации
Развитие ИТ систем и защиты
Обучения
Привлечение новых сотрудников
SMB
Крупные
компании
Перераспредленеие трудозатрат ИТ и ИБ служб крупнейшая
часть затрат по результату выявленного инцидента
Base: 926 SMBs/ 590 Enterprises
Suffering At Least One Data Breach
Средний
ущерб:
$86.5k
Средний
ущерб:
$891k
Results from Kaspersky Lab’s Corporate IT Security Risks
Survey 2016, conducted worldwide by Kaspersky Lab

14. Выводы при построении передовой корпоративной безопасности
Большинство «передовых» атак основаны на базовых уязвимостях
Возможности обнаружить и отреагировать гораздо важнее блокирования и
предотвращения
«Реагирование на скоррелированные инциденты" даёт ложное чувство безопасности
Защита от передовых угроз должна быть эшелонированно интегрированной, а не
«кусочной»
Мониторинг данных и аналитика должны быть базисом для любого next-gen решения по
обеспечению ИБ
Автоматизация – это «порочный путь» при защите от ручных действий злоумышленников.
Необходима комплексная стратегия защиты

15. Эволюция ожиданий бизнеса
Текущий размер инвестиций:
80% на превентивные технологии / 20% на
обнаружение, реагирование и
прогнозирование
(Крупные компании: 90%/10%)
Планы опрошенных заказчиков
на ближайшие 3 года: 40% / 60%
Основано на опросе, проведенном
«Лабораторией Касперского» в ноябре 2015
года среди свыше 6700 компаний по всему
миру
80 20
СЕГОДНЯ
40 60
В БУДУЩЕМ

16. ЗАЩИТА ОТ ЦЕЛЕВЫХ АТАК

17. Адпативная модель организации ИБ от Gartner

18. ЗАДАЧА – ОБЬЕДИНИТЬ СОБЫТИЯ РАЗНОРОДНЫХ
СИСТЕМ В ЕДИНУЮ КАРТИНУ… ВРУЧНУЮ НЕ РЕШАЕМА!
…ОСОБЕННО С УЧЕТОМ НАЛИЧИЯ ПОСТОЯННОЙ ЗАГРУЗКИ
СЛУЖБЫ ИБ И БЕЗ ЭТОГО.

19. 19
В РЕЗУЛЬТАТЕ ОРГАНИЗАЦИИ ПРИХОДЯТ К ИДЕОЛОГИИ
ПОСТРОЕНИЯ ЦЕНТРА МОНИТОРИНГА ИБ (SOC)
ВЫЯВЛЕНИЕ

20. 20
С ВЫДЕЛЕННОЙ СЛУЖБОЙ МОНИТОРИНГА И АНАЛИЗА
КОРРЕЛЯЦИЯ

21. 21
НЕДОСТАТКИ ТРАДИЦИОННОГО ПОДХОДА ДЛЯ
ЦЕНТРА МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC)
ТРАДИЦИОННЫЙ
РЕАКТИВНЫЙ
ПОДХОД
НЕТ СТРАТЕГИЧЕСКОГО
ПЛАНИРОВАНИЯ
НЕЭФФЕКТИВНАЯ
ПРИОРИТЕЗАЦИЯ
ИНЦИДЕНТОВ
НЕХВАТКА
ЭКСПЕРТИЗЫ
Сбор Логов
Агрегация и
корреляция событий
Процесс на
базе задач (тикетинг)
Отчетнось
ЦЕНТР МОНИТОРИНГА БЕЗОПАСНОСТИ (SOC)
Неструктурированные/неунифицированные процессы

22. 22
НЕПРОРАБОТАННОСТЬ ПРОЦЕССОВ РЕАГИРОВАНИЯ –
НЕДОСТАТОК БОЛЬШИНСТВА ТРАДИЦИННЫХ SOC
ВЫЯВЛЕНИЕРЕАГИРОВАНИЕ

23. ЗРЕЛЫЙ ПРОЦЕСС РЕАГИРОВАНИЯ НА ОСНОВЕ
УПРАВЛЕНИЯ РИСКАМИ И РАССЛЕДОВАНИЯ
Решение ИБ
Threat Hunting Расследование
Внешний источник информации
об угрозах (Threat Intelligence)
Дополнительные данные
для анализа
Уровень
риска?
Инцидент Реагирование Actionable
Intelligence
ВЫСОКИЙ
НИЗКИЙ
Security Policies
Improvement
Быстрое
восстановление
Full Incident
Response
RemediationForensics

24. 24
Развитый центр мониторинга ИБ должен быть
интеллектуальным
INTELLIGENCE-DRIVEN
АНАЛИТИКА ИБ ПЛАНЫ И ПРОЦЕССЫ
РЕАГИРОВАНИЯ
ПОСТОЯННОЕ
РАЗВИТИЕ
АВТОМАТИЗАЦИЯ
СКВОЗНЫХ
ОПЕРАЦИЙ
Threat Intelligence
Сбор даных и контекста Тикетинг Отчетность
КОМПЛЕКСНЫЕ ЗАДАЧИ РАЗВИТОВОГО SOC
ПРОГНОЗИРОВАНИЕ
Threat Hunting Управление знаниями Исследования угроз
Корреляция логов
ПРЕДОТВРАЩЕНИЕ ОБНАРУЖЕНИЕ РЕАГИРОВАНИЕ

25. Адаптивная стратегия корпоративной безопасности для
развития ключевых процессов
Центр
мониторинга
ИБ
Передовые решения
УПРАВЛЕНИЕ РИСКАМИ
ПОСТОЯННЫЙ МОНИТОРИНГ
ОБНАРУЖЕНИЕМногоуровневое обнаружение
УПРАВЛЕНИЕ ИНЦИДЕНТАМИ
РЕАГИРОВАНИЕ Эффективное реагироание
ПРОГНОЗИРОВАНИЕ Глобальная экспертиза ПРЕДОТВРАЩЕНИЕ
ПОИСК УГРОЗ

26. Cybersecurity TrainingSecurity Awareness Professional Services
Targeted Solutions Embedded Security
Увеличить стоимость успешного проникновения
Центр
мониторинга
ИБ
УПРАВЛЕНИЕ РИСКАМИ
ПОСТОЯННЫЙ МОНИТОРИНГУПРАВЛЕНИЕ ИНЦИДЕНТАМИ
ПРЕДОТВРАЩЕНИЕ
ПОИСК УГРОЗ

27. Kaspersky Anti Targeted Attack Private Security Network
Threat Data Feeds Targeted Attack
Discovery
APT Reports Kaspersky
Managed Protection
Cybersecurity TrainingSecurity Awareness Professional Services
Targeted Solutions Embedded Security
Обнаружить угрозу до того как нанесен ущерб
Центр
мониторинга
ИБ
УПРАВЛЕНИЕ РИСКАМИ
ПОСТОЯННЫЙ МОНИТОРИНГУПРАВЛЕНИЕ ИНЦИДЕНТАМИ
ПРЕДОТВРАЩЕНИЕ
ПОИСК УГРОЗ
ОБНАРУЖЕНИЕ

28. Endpoint Detect & Response
Malware Analysis
Digital Forensics
Incident Response Premium Support
Kaspersky Anti Targeted Attack Private Security Network
Threat Data Feeds Targeted Attack
Discovery
APT Reports Kaspersky
Managed Protection
Cybersecurity TrainingSecurity Awareness Professional Services
Targeted Solutions Embedded Security
Построение эффективного процесса реагирования
Центр
мониторинга
ИБ
УПРАВЛЕНИЕ РИСКАМИ
ПОСТОЯННЫЙ МОНИТОРИНГУПРАВЛЕНИЕ ИНЦИДЕНТАМИ
ПРЕДОТВРАЩЕНИЕ
ПОИСК УГРОЗ
ОБНАРУЖЕНИЕРЕАГИРОВАНИЕ

29. Kaspersky Threat Lookup APT Portal
Penetration TestingCustom ReportsSecurity Assessment
Endpoint Detect & Response
Malware Analysis
Digital Forensics
Incident Response Premium Support
Kaspersky Anti Targeted Attack Private Security Network
Threat Data Feeds Targeted Attack
Discovery
APT Reports Kaspersky
Managed Protection
Cybersecurity TrainingSecurity Awareness Professional Services
Targeted Solutions Embedded Security
Проактивный поиск угроз и векторов атак
Центр
мониторинга
ИБ
УПРАВЛЕНИЕ РИСКАМИ
ПОСТОЯННЫЙ МОНИТОРИНГУПРАВЛЕНИЕ ИНЦИДЕНТАМИ
ПРЕДОТВРАЩЕНИЕ
ПОИСК УГРОЗ
ОБНАРУЖЕНИЕРЕАГИРОВАНИЕ
ПРОГНОЗИРОВАНИЕ

30. Kaspersky Anti Targeted
Attack platform

31. Интегрированное решение Kaspersky Anti Targeted Attack
Глобальная
статистика угроз и
репутационная база
Анализ сетевого трафика
Корреляция событий и
данных на основе машинного
обучения
Анализ поведения
рабочих станций
Передовая песочница
Process/configuration
monitoring
Threat Intelligence
HTTP/HTTPS/Mail/FTP/DNS sensors,
endpoint agents

32. РеагированиеПриоритизация вердиктовАнализ данныхПолучение данныхВекторы атаки
Ноутбуки
ПК
Сервер
E-mail
Интернет СЕТЕВЫЕ СЕНСОРЫ
— Сетевой трафик
— Подозрительные
объекты
СЕНСОРЫ РАБОЧИХ
МЕСТ
— Активность аккаунтов
— Активность
процессов
— Сетевая
коммуникация Улучшенная
«песочница»
Анализатор
целевых
атак
Механизмы
детектирования
МетаданныеОбъекты
ЦЕНТР АНАЛИЗА
Интернет
KS
N
Kaspersky
Private Secutity
Network
База данных
вердиктов
Журнал операций
«Песочницы»
Syslog
Pcaps
SIEM
КОНСОЛЬ
Оповещения
Об инцидентах
Офицер
безопасности
Команда,
расследующая
инциденты
SOC
АРХИТЕКТУРА

33. 2017: KASPERSKY ANTI TARGETED ATTACK (KATA v.2) PLATFORM
SPAN
ICAP
Endpiont Sensors
Network Sensors
Network Traffic Analysis
IDS
Threat Intelligence
Behavioral Analysis
Anti-Malware
Sandbox 1
Kaspersky
Security Network
TARGETED
ATTACK
ANALYZER:
Forensic Data
Сбор данных Интеллектуальный анализ Приоритезация и визуализация
Sandbox X
IoC Scanning
Endpiont Sensor
Kaspersky
Endpoint Security
Kaspersky Secure
Mail Gateway
SMTP POP3S
SMTP + SMTP
из SPAN
Блокирование почты
Kaspersky
Endpoint Security
как сенсор КАТА
Контроль детонации
обьектов
Анализ ссылок в почте
Анализ архивов в почте Кластеризация
песочниц
Пересканирование
обьектов
Machine learning
Correlation
& analysis
engine
Dashboards
Notification
Reporting
Улучшенный
веб-интерфейс

34. KSN
Пользователи KSN
Kaspersky
Security Network
Постоянное использование
данных в защитных
решениях
Глобальные данные об
угрозах в режиме
реального времени
Информация об
угрозах поступает от
более 60 млн
пользователей
ОБЛАЧНЫЕ ДАННЫЕ ОБ УГРОЗАХ

35. ЗАЩИЩАЕМЫЙ ПЕРИМЕТР
Kaspersky
Security Center
Защита от
целевых атак
Контроль и
защита
рабочих мест
Защита
виртуальных
сред
Защита
мобильных
устройств
Пользователи
Решений
«Лаборатории
Касперского»
KSN
Kaspersky
Security Network
Репутационный
запрос/ответ
Репутационые
данные
Статистика
Kaspersky
Private Secutity Network
— Репутация
файлов
— Репутация
ссылок
— Шаблоны
опасного
поведения
KASPERSKY PRIVATE SECURITY NETWORK

36. Преимущества решения Kaspersky Anti Targeted Attack
Гибкость установки и масштабируемость, нет привязки к аппаратному исполнению
Простота лицензирования
Сертификация ICSA, последний отчет Radicati Group 2017
Совместимость с конкурентными и классическими решениями по ИБ
Многоуровневый анализ целенаправленных атак комплексным взаимодействием разнородных
детектирующих механизмов
Сертификат ФСБ (АВ), наличие в реестре российского ПО
2017 – сертификат ФСТЭК (СОВ, анти-APT), сертификат ФСБ (СОВ), СОПКА ready

37. Формирование комплексного анти-APT проекта
Решения
Сервисы
Поддержка
Kaspersky Anti Targeted
Attack platform
Kaspersky Private
Security Network
Maintenance Service
Agreement
Security Account
Manager
• Тренинги и обучения• Сервис реагирования на
инциденты
• Kaspersky Managed Protection

38. Kaspersky Anti Targeted
Attack platform
Пилотирование

39. Этапы пилотирования
Заполнить
опросник
Найти железо (1-2 сервера)
Выделение
эксперта ЛК
Финальный отчет
Презентация
отчета

40. «ЛАБОРАТОРИЯ КАСПЕРСКОГО»
НА РЫНКЕ

41. ∞∞∞∞
∞
ТранспортСтроительство ТехнологииНефть
и газ
ТелекомМедиа Финансы
~ 2000
клиентов в
Частные
компании
Образование Госучреждения Здравоохранение
~ 5000
клиентов в
82
странах
~ 7500
клиентов в
81
стране
~ 40 000
клиентов в
105
странах
Общественные
организации
Мы работаем с компаниями из самых разных отраслей. Наши решения и сервисы
успешно защищают 270 000 компаний по всему миру.
НАШИ КЛИЕНТЫ
123
странах

42. Корпоративные заказчики доверяют «Лаборатории Касперского»
«Во-первых, печально известные Carbanak, GCMAN и другие группировки киберпреступников
заставляют всерьез задуматься о комплексной защите от целенаправленных атак, а с помощью
KATA мы можем применять еще и превентивные меры.
Во-вторых, решение “Лаборатории Касперского” имеет соответствующий сертификат ФСБ РФ и
входит в Реестр отечественного ПО, что было немаловажно для нас. А сервис Kaspersky
Managed Protection позволяет нам в особо трудных ситуациях получать поддержку экспертов
самого высокого уровня. Так что с учетом всех потенциальных угроз, рисков и затрат решение
“Лаборатории Касперского” оказалось лучшим вариантом»,
- Дмитрий Григорович, руководитель по информационной безопасности Управления
безопасности и режима
Вся информация из публичных источников СМИ

43. Корпоративные заказчики доверяют «Лаборатории Касперского»
"Почта России” по результату тендера заключила договор с крупным
российским интегратором на сумму 133 млн руб.
"Принятое решение об использовании комплексной защиты - это логичный шаг в построении
по-настоящему всесторонней и продуманной системы противодействия актуальным
киберугрозам. Технологии, которые предлагает отечественная "Лаборатория Касперского", не
только технически решают наши текущие потребности, но также позволяют получить доступ к
обширной базе знаний и экспертному опыту, без которых качественное решение многих
задач было бы невозможно",
В "Почте России« отметили, важной частью сотрудничества стало взаимодействие по
выявлению и устранению последствий компьютерных инцидентов и целевых атак.
"Для реализации этой задачи были достигнуты договоренности об использовании в будущем
экспертных сервисов "Лаборатории Касперского" и специализированной платформы для
противодействия сложным и хорошо спланированным кибератакам"
Вся информация из публичных источников СМИ

44. МЕЖДУНАРОДНЫЕ НАГРАДЫ И ПРИЗНАНИЕ
0%
20%
40%
60%
80%
100%
20 40 60 80 100
Число тестов/обзоров
ПроцентпопаданийвТОП-3
BitDefender
Sophos
G DATA
Symantec
F-Secure
Intel Security (McAfee)
Trend Micro
Avira
Avast
AVG
ESET
Quick Heal
Microsoft
VIPRE
В 2016 году продукты «Лаборатории Касперского» приняли
участие в 78 независимых тестах и обзорах. В 55 случаях они
заняли первое место и 70 раз вошли в тройку лучших (ТОП-3)
«Лаборатория
Касперского»
1-е места – 55
Участие в 78
тестах/обзорах
ТОП-3 = 90%
BullGuard
* Примечания.
• Включает тесты продуктов для бизнеса, домашних
пользователей и мобильных приложений за 2016 год.
• В обзор вошли тесты, проведенные следующими
независимыми лабораториями: AV-Comparatives, AV-
Test, SELabs, MRG Effitas, VirusBulletin, ICSA Labs.
• Тестировались все доступные технологии защиты против
известных, неизвестных и комплексных угроз.
• Диаметр круга соответствует числу занятых первых мест.

45. Magic Quadrant for Endpoint Protection Platforms, 30 January 2017
Данные, публикуемые компанией Gartner, не являются рекомендацией в отношении каких бы то ни было производителей, продуктов или услуг и не могут рассматриваться в качестве совета выбирать поставщиков с наибольшим рейтингом. Аналитические
публикации Gartner основаны на мнениях экспертов компании и не могут считаться констатацией фактов. Gartner не дает никаких гарантий, выраженных в явной или подразумеваемой форме, в отношении публикуемых данных, в том числе гарантий коммерческого
качества или пригодности для определенных целей..
В 2017 году «Лаборатория Касперского» в шестой раз подряд
попала в число «Лидеров» в Магическом квадранте компании
Gartner в категории Endpoint Protection Platforms (решения для
защиты конечных устройств).
Эксперты высоко оценили деятельность компании по обоим
направлениям аттестации: «стратегическое видение» и
«эффективность реализации».
6 ЛЕТ ПОДРЯД В КАТЕГОРИИ «ЛИДЕРЫ»
Microsoft
VISIONARIES
Invincea
NICHE PLAYERS
LEADERS
Kaspersky Lab
CHALLENGERS
COMPLETENESS OF VISION As of January 2017
ABILITYTOEXECUTE
CrowdStrike
SentinelOne
Cylance
Carbon Black
Intel Security
Symantec
Sophos Trend Micro
Eset
F-Secure
360 Enterprise Security Group
AhnLab
Panda Security
G Data Software
Palo Alto Networks
Comodo
Bitdefender
Malwarebytes
Webroot

46. ведущих компаний
доверяют нам защиту
своих клиентов
~ 120
— Интеграция технологий
— Собственные марки / Кобрендинг
— Предустановка / Набор продуктов
— Предзагрузка
ТЕХНОЛОГИЧЕСКИЕ ПАРТНЕРЫ

47. СПАСИБО!
Контакты ДиалогНаука:
marketing@DialogNauka.ru
8 (495) 980-67-76