SlideShare a Scribd company logo

Концепция активной обороны

Aleksey Lukatskiy
Aleksey Lukatskiy

Концепция активной обороны в промышленных сетях

Technology
1 of 31
Download to read offline
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Концепция активной обороны Алексей Лукацкий Бизнес-консультант по безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Исходные предпосылки ИБ ОТ Потребитель Решений по ИБ для АСУ ТП мало и они только появляются на рынке ОТ-вендоры пока не спешат внедрять ИБ в свои продукты Потребители не думают о серьезных инвестициях в ИБ НЕТ - Законодательных требований - Инцидентов - Бизнеса
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 От пассивной обороны к активной Встроенная защита Защита от угроз, не требующая участия человека Анализ со стороны человека в поисках следов нарушителей Сбор данных, обогащение информации и представление разведданных Юридические меры против нарушителей
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Первый уровень (сценарий) • Сегментирование • Управление цепочками поставок оборудования и запчастей • Устранение уязвимостей • Поддержка со стороны вендора • Управление обновлениями • Встроенные механизмы защиты в ОС, СУБД, сетевое оборудование Архитектура
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Архитектура ИБ производства WWW Прило жения DNS FTP Интернет Гигабитный канал для определения аварийного переключения Межсетевой экран (активный) Межсетевой экран (режим ожидания) Серверы производствен ных приложений Коммутатор уровня доступа Сетевые сервисы Коммутаторы уровня ядра Коммутатор уровня агрегации Управление исправлениями Сервисы для терминального оборудования Зеркало приложений Антивирусный сервер Ячейка/зона 1 (Резервная топология типа «Звезда») Диск Контроллер HMI Распределенный ввод-вывод Контроллер ДискДиск HMI Распределенный ввод-вывод HMI Ячейка/зона 2 (Топология типа «Кольцо») Ячейка/зона 3 (Линейная топология) Коммутатор уровня доступа 2 Контроллер Ячейка/зона Уровни 0-2 Производственная зона Уровень 3 Демилитаризованная зона Уровень 3.5 Корпоративная сеть Уровни 4-5 Усиленный межсетевой экран Усиленная система предотвращения вторжений (IPS) Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS) Защита от угроз в облаке Применение политик для всей сети Контроль доступа (на уровне приложений) Межсетевой экран с сохранением состояния Защита и определение вторжений (IPS/IDS) Системы управления физическим доступом Сервисыидентификации ISE
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Сеть агрегации FAN ЗОНА 2 Мультисервисная шина ЗОНА 3 Сеть NERC CIP ЗОНА 1 Сетьподстанций Станционная шина IEC 61850 Шина процессов IEC 61850 Архитектура ИБ цифровой подстанции Физическая безопасность Взаимодействие с сотрудниками Серийные, C37.94, E&M Периметр электронной безопасности (ESP) PT ПрерывательCT CTPT Периметр физической безопасности (PSP) Прерыватель IED MU Распределенный контроллер HMI Устаревшая RTU PT CT Аппаратный I/O Сенсор Устаревшее реле РТЗ Прерыватель Частный WiMax или LTE для полевой сети Точка электронного доступа Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP Центр управления доступом ДМЗ Центр обработки данных HMI SCADA FEP EMS CPAM VSOM Аналитика ист. данных SIEM PACS ACS CA LDAP HMI Контроллер соединения RTU Защитное реле Процессор коммуникаций PMU PDC Реле РТЗ
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Управление и безопасность Уровень 1 Устройство Уровень 0 Центр управления Уровень 3 Устаревшая RTU Сети безопасности и управления процессами Мультисервисные сети Ист. данные HMI Отсек питания Безопасность Процесс Питание Процесс Контроллер Контроллер Контроллер Серийные и неразъемные соед. Ethernet-процессы Ethernet-мультисервисы WAN Беспроводн. соед. ТранспортRFID SIEM Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель Системы безопасности Принтер Оборудование SIEM Система SCADA Головная станция Рабочие станции оператора и разработчика Сервер автоматизации процессов системы SIEM SIEM Обработка и распред. ист. данных Серверы приложений Операционные бизнес-системы SIEM SIEM SIEM Надежность и безопасность Система управления производством (MES) SIEM SIEM Распределенная система управления (DCS) SIEM SIEM Контроллер доменов Корп. сеть Уровни 4-5 Ист. данные SIEM Анти- вирус WSUS SIEM SIEM Сервер удаленной разработки SIEM Сервер терминального оборудования SIEM ДМЗ Уровень 3.5 Телекоммуникации на операционном уровне Беспроводн. сети Интернет Контроль Уровень 2 Системы видеонаблюдения Контроль доступа Голос Мобильные сотрудники Беспроводн. сенсор Контроллер Сенсор Выключатель Безопасность Архитектура безопасности нефтяной компании
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 WannaCry – это всего лишь первый уровень
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Второй уровень (сценарий) • Межсетевые экраны • Системы обнаружения атак • Антивирусы • Системы контроля доступа (NAC) • Системы защиты оконечных устройств (HMI, сервера АСУ ТП и др.) Пассивная оборона
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Уровень 5 Уровень 4 Уровень 3 Уровень 2 Уровень 1 Level 0 DMZ Терминальные сервисы Управление патчами Антивирусный сервер Зеркало приложений Управление Web Сервер приложений Корпоративная сеть Сеть логистики и бизнес-планированияE-Mail, Intranet и т.д. Клиент Пакетный контроль Дискретный контроль Drive Control Непрерывный контроль Контроль защиты Сенсоры Моторы Исп.устройства Роботы Сервер приложений Factory Directory ПК инженера Контроллер домена Клиент Operator Interface Engineering Workstation Operator Interface Web E-Mail CIP Area Supervisory Control Basic Control Process К архитектуре добавляются средства защиты Активная защита IPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д. Активная защита IPS, МСЭ, защита от вредоносного ПО и т.д. Гибридная активная/пассивная защита IDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Концепция NIST CSF для пассивной обороны Identify (идентификация) Protect (защита) Detect (обнаружение) Respond (реагирование) Recover (восстановление) Сети Устройства Приложения Пользователи Команды и телеметрия
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 От NIST CSF к 31-му приказу ФСТЭК Функция CSF Категория защитных мер Идентификация • Управление активами • Бизнес-окружение • Governance • Оценка рисков • Стратегия управления рисками • Управление цепочками поставок Защита / Предотвращение • Контроль и управление доступом и идентификационными данными • Повышение осведомленности & Обучение • Защита данных • Процессы & процедуры защиты данных • Технологии поддержки ИБ • Защитные технологии Обнаружение • Аномалии & события безопасности • Непрерывный мониторинг безопасности • Процессы обнаружения Реагирование • Планирование реагирования • Коммуникации • Анализ • Нейтрализация • Улучшения Восстановление • Планирование восстановления • Улучшения • Коммуникации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Третий уровень (сценарий) • Системы мониторинга аномальной активности • Системы управления логами • Системы управления инцидентами • Анализ вредоносного кода • Проведение пентестов / аудита (!) Активная оборона Активное вовлечение человека
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Цикл активной обороны • Цикл активной обороны – концепция, созданная Робом Ли, и описывающая непрерывный процесс, состоящий из 4 стадий, которые защитники должны реализовать для активного мониторинга, реагирования и изучения нарушителя • Предположения об угрозе • Идентификация активов и мониторинг сети • Реагирование на инциденты • Манипуляция угрозами и окружением
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Цикл NSM • Цикл NSM (Network Security Monitoring) – концепция, предложенная в 1980-м году Тоддом Хеберлейном при создании системы обнаружения атак NSM • Может служить частью цикла активной обороны и состоит из 3-х этапов • Сбор данных • Обнаружение • Анализ Старт Сбор Обнаруже- ние Анализ Использование знаний о сети для ускорения сбора данных Использование знаний об угрозах для ускорения обнаружения Истина Ложь
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Как идентифицировать активы АСУ ТП? Физическая инспекция Анализ трафика Анализ файлов конфигурации Активное сканирование Время Риск • Физическая инспекция – долго и сложно в территориально распределенном окружении • Анализ трафика – анализ захваченных пакетов безопасен для АСУ ТП • Анализ файлов конфигурации – хороший подход для создания карты активов • Активное сканирование – быстро, но рекомендуется с осторожностью
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Средства сбора и анализа сетевой телеметрии • Elastic Search • Log Stash • Kibana • Splunk • Security Onion • Flowplotter • Wireshark - tshark • Network Miner • Snort • Suricata • BRO • Flowbat
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Коммерческие или бесплатные? • Идентификация активов возможно с помощью как платных, так и бесплатных (open source) решений • Платные решения – быстро и удобно, средняя квалификация • Бесплатные решения – не всегда быстро, неудобно и требует высокой квалификации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Четвертый уровень (сценарий) • Threat Intelligence • Threat Hunting • Новый инструментарий (EDR, UEBA, NFT/HFT, SIEM и др.) • Взаимодействие с внешним миром (ICS-CERT, ГосСОПКА, ISAC и др.) Разведка
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Алмазная модель • Модель, описанная в ранее секретной методике Министерства Обороны США, и позволяющая описать и провести анализ 4- х основных элементов современной угрозы • Нарушитель • Жертва • Возможности нарушителя • Инфраструктура нарушителя
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Что такое убийственная цепочка?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Из чего состоит убийственная цепочка? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Разведка Оснащение Доставка Заражение Инсталляция Получение управления Выполнение действий Файл – имя Файл URI – URL HTTP - GET HTTP – User Agent URI – имя домена Адрес – e-mail Адрес – IPv4 Файл – путь Файл URI – URL Поведение Файл – имя Файл – путь Файл URI – URL HTTP – POST Заголовок e-mail – Тема Заголовок e-mail – X-Mailer URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Ключ реестра Win Файл – имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – CIDR Адрес – IPv4 Код – Бинарный код Процессы Win Ключ реестра Win Файл – имя Файл – путь Файл URI – URL HTTP – GET HTTP – User Agent URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Ключ реестра Win Файл URI – URL HTTP – GET HTTP – POST HTTP – User Agent URI – имя домена Хеш – MD5 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Сервисы Win Файл – Путь Файл – Имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – IPv4 Kill Chain и индикаторы компрометации (IoC)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Классическая дилемма безопасника Построить КупитьПартнеры Коммерческие инструменты и источники данных об угрозах Open Source решения/источники и воспитание собственных аналитиков Начинать с чужой экспертизы (консультанты, интеграторы, производители)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 CrashOverride / Stuxnet – это четвертый уровень
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Пятый уровень (сценарий) • Атрибуция нападающего • Юридические меры воздействия • Перехват управления C&C • Разделегирование домена • Контратака Нападение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 В основе всего лежит архитектура! Ценность Цена Архитектура Пассивная оборона Активная оборона Разведка Нападение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Поэтапное наращивание защитных возможностей • Модель ПурдьюАрхитектура • Эшелонированная оборона • Серия NIST SP800 и NIST SCF • 31-й приказ ФСТЭК Пассивная оборона • Цикл активной кибер-обороны • Network Security MonitoringАктивная оборона • Kill Chain • Diamond ModelРазведка • Юридические методы против нарушителей • Перехват C&CНападение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Все зависит от модели угроз / нарушителя Новички Киберкриминал Корпоративный шпионаж/ кибертерроризм Спецслужбы ИБ нет Архитектура Пассивная оборона Активная оборона Разведка
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Благодарю за внимание

Recommended

SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 

Recommended

SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атакCisco Russia
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПРешения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
 

More Related Content

What's hot

Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoAleksey Lukatskiy
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 

What's hot (20)

Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 

Similar to Концепция активной обороны

Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атакCisco Russia
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПРешения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПCisco Russia
 
Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании CiscoCisco Russia
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco Russia
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Cisco Russia
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеAleksey Lukatskiy
 
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итогиИнформационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итогиCisco Russia
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Cisco Russia
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...RISClubSPb
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance BAKOTECH
 
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Aleksey Lukatskiy
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиCisco Russia
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco Russia
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power servicesjournalrubezh
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Cisco Russia
 
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиБорьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиCisco Russia
 
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроамиВзгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроамиCisco Russia
 

Similar to Концепция активной обороны (20)

Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
 
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТПРешения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
 
Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании Cisco
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
 
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итогиИнформационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итоги
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасности
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power services
 
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
 
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиБорьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
 
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроамиВзгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроами
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 

More from Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 

Концепция активной обороны

  • 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Концепция активной обороны Алексей Лукацкий Бизнес-консультант по безопасности
  • 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Исходные предпосылки ИБ ОТ Потребитель Решений по ИБ для АСУ ТП мало и они только появляются на рынке ОТ-вендоры пока не спешат внедрять ИБ в свои продукты Потребители не думают о серьезных инвестициях в ИБ НЕТ - Законодательных требований - Инцидентов - Бизнеса
  • 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
  • 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 От пассивной обороны к активной Встроенная защита Защита от угроз, не требующая участия человека Анализ со стороны человека в поисках следов нарушителей Сбор данных, обогащение информации и представление разведданных Юридические меры против нарушителей
  • 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Первый уровень (сценарий) • Сегментирование • Управление цепочками поставок оборудования и запчастей • Устранение уязвимостей • Поддержка со стороны вендора • Управление обновлениями • Встроенные механизмы защиты в ОС, СУБД, сетевое оборудование Архитектура
  • 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Архитектура ИБ производства WWW Прило жения DNS FTP Интернет Гигабитный канал для определения аварийного переключения Межсетевой экран (активный) Межсетевой экран (режим ожидания) Серверы производствен ных приложений Коммутатор уровня доступа Сетевые сервисы Коммутаторы уровня ядра Коммутатор уровня агрегации Управление исправлениями Сервисы для терминального оборудования Зеркало приложений Антивирусный сервер Ячейка/зона 1 (Резервная топология типа «Звезда») Диск Контроллер HMI Распределенный ввод-вывод Контроллер ДискДиск HMI Распределенный ввод-вывод HMI Ячейка/зона 2 (Топология типа «Кольцо») Ячейка/зона 3 (Линейная топология) Коммутатор уровня доступа 2 Контроллер Ячейка/зона Уровни 0-2 Производственная зона Уровень 3 Демилитаризованная зона Уровень 3.5 Корпоративная сеть Уровни 4-5 Усиленный межсетевой экран Усиленная система предотвращения вторжений (IPS) Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS) Защита от угроз в облаке Применение политик для всей сети Контроль доступа (на уровне приложений) Межсетевой экран с сохранением состояния Защита и определение вторжений (IPS/IDS) Системы управления физическим доступом Сервисыидентификации ISE
  • 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Сеть агрегации FAN ЗОНА 2 Мультисервисная шина ЗОНА 3 Сеть NERC CIP ЗОНА 1 Сетьподстанций Станционная шина IEC 61850 Шина процессов IEC 61850 Архитектура ИБ цифровой подстанции Физическая безопасность Взаимодействие с сотрудниками Серийные, C37.94, E&M Периметр электронной безопасности (ESP) PT ПрерывательCT CTPT Периметр физической безопасности (PSP) Прерыватель IED MU Распределенный контроллер HMI Устаревшая RTU PT CT Аппаратный I/O Сенсор Устаревшее реле РТЗ Прерыватель Частный WiMax или LTE для полевой сети Точка электронного доступа Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP Центр управления доступом ДМЗ Центр обработки данных HMI SCADA FEP EMS CPAM VSOM Аналитика ист. данных SIEM PACS ACS CA LDAP HMI Контроллер соединения RTU Защитное реле Процессор коммуникаций PMU PDC Реле РТЗ
  • 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Управление и безопасность Уровень 1 Устройство Уровень 0 Центр управления Уровень 3 Устаревшая RTU Сети безопасности и управления процессами Мультисервисные сети Ист. данные HMI Отсек питания Безопасность Процесс Питание Процесс Контроллер Контроллер Контроллер Серийные и неразъемные соед. Ethernet-процессы Ethernet-мультисервисы WAN Беспроводн. соед. ТранспортRFID SIEM Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель Системы безопасности Принтер Оборудование SIEM Система SCADA Головная станция Рабочие станции оператора и разработчика Сервер автоматизации процессов системы SIEM SIEM Обработка и распред. ист. данных Серверы приложений Операционные бизнес-системы SIEM SIEM SIEM Надежность и безопасность Система управления производством (MES) SIEM SIEM Распределенная система управления (DCS) SIEM SIEM Контроллер доменов Корп. сеть Уровни 4-5 Ист. данные SIEM Анти- вирус WSUS SIEM SIEM Сервер удаленной разработки SIEM Сервер терминального оборудования SIEM ДМЗ Уровень 3.5 Телекоммуникации на операционном уровне Беспроводн. сети Интернет Контроль Уровень 2 Системы видеонаблюдения Контроль доступа Голос Мобильные сотрудники Беспроводн. сенсор Контроллер Сенсор Выключатель Безопасность Архитектура безопасности нефтяной компании
  • 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 WannaCry – это всего лишь первый уровень
  • 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Второй уровень (сценарий) • Межсетевые экраны • Системы обнаружения атак • Антивирусы • Системы контроля доступа (NAC) • Системы защиты оконечных устройств (HMI, сервера АСУ ТП и др.) Пассивная оборона
  • 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Уровень 5 Уровень 4 Уровень 3 Уровень 2 Уровень 1 Level 0 DMZ Терминальные сервисы Управление патчами Антивирусный сервер Зеркало приложений Управление Web Сервер приложений Корпоративная сеть Сеть логистики и бизнес-планированияE-Mail, Intranet и т.д. Клиент Пакетный контроль Дискретный контроль Drive Control Непрерывный контроль Контроль защиты Сенсоры Моторы Исп.устройства Роботы Сервер приложений Factory Directory ПК инженера Контроллер домена Клиент Operator Interface Engineering Workstation Operator Interface Web E-Mail CIP Area Supervisory Control Basic Control Process К архитектуре добавляются средства защиты Активная защита IPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д. Активная защита IPS, МСЭ, защита от вредоносного ПО и т.д. Гибридная активная/пассивная защита IDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.
  • 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Концепция NIST CSF для пассивной обороны Identify (идентификация) Protect (защита) Detect (обнаружение) Respond (реагирование) Recover (восстановление) Сети Устройства Приложения Пользователи Команды и телеметрия
  • 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 От NIST CSF к 31-му приказу ФСТЭК Функция CSF Категория защитных мер Идентификация • Управление активами • Бизнес-окружение • Governance • Оценка рисков • Стратегия управления рисками • Управление цепочками поставок Защита / Предотвращение • Контроль и управление доступом и идентификационными данными • Повышение осведомленности & Обучение • Защита данных • Процессы & процедуры защиты данных • Технологии поддержки ИБ • Защитные технологии Обнаружение • Аномалии & события безопасности • Непрерывный мониторинг безопасности • Процессы обнаружения Реагирование • Планирование реагирования • Коммуникации • Анализ • Нейтрализация • Улучшения Восстановление • Планирование восстановления • Улучшения • Коммуникации
  • 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Третий уровень (сценарий) • Системы мониторинга аномальной активности • Системы управления логами • Системы управления инцидентами • Анализ вредоносного кода • Проведение пентестов / аудита (!) Активная оборона Активное вовлечение человека
  • 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Цикл активной обороны • Цикл активной обороны – концепция, созданная Робом Ли, и описывающая непрерывный процесс, состоящий из 4 стадий, которые защитники должны реализовать для активного мониторинга, реагирования и изучения нарушителя • Предположения об угрозе • Идентификация активов и мониторинг сети • Реагирование на инциденты • Манипуляция угрозами и окружением
  • 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Цикл NSM • Цикл NSM (Network Security Monitoring) – концепция, предложенная в 1980-м году Тоддом Хеберлейном при создании системы обнаружения атак NSM • Может служить частью цикла активной обороны и состоит из 3-х этапов • Сбор данных • Обнаружение • Анализ Старт Сбор Обнаруже- ние Анализ Использование знаний о сети для ускорения сбора данных Использование знаний об угрозах для ускорения обнаружения Истина Ложь
  • 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Как идентифицировать активы АСУ ТП? Физическая инспекция Анализ трафика Анализ файлов конфигурации Активное сканирование Время Риск • Физическая инспекция – долго и сложно в территориально распределенном окружении • Анализ трафика – анализ захваченных пакетов безопасен для АСУ ТП • Анализ файлов конфигурации – хороший подход для создания карты активов • Активное сканирование – быстро, но рекомендуется с осторожностью
  • 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Средства сбора и анализа сетевой телеметрии • Elastic Search • Log Stash • Kibana • Splunk • Security Onion • Flowplotter • Wireshark - tshark • Network Miner • Snort • Suricata • BRO • Flowbat
  • 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Коммерческие или бесплатные? • Идентификация активов возможно с помощью как платных, так и бесплатных (open source) решений • Платные решения – быстро и удобно, средняя квалификация • Бесплатные решения – не всегда быстро, неудобно и требует высокой квалификации
  • 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Четвертый уровень (сценарий) • Threat Intelligence • Threat Hunting • Новый инструментарий (EDR, UEBA, NFT/HFT, SIEM и др.) • Взаимодействие с внешним миром (ICS-CERT, ГосСОПКА, ISAC и др.) Разведка
  • 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Алмазная модель • Модель, описанная в ранее секретной методике Министерства Обороны США, и позволяющая описать и провести анализ 4- х основных элементов современной угрозы • Нарушитель • Жертва • Возможности нарушителя • Инфраструктура нарушителя
  • 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Что такое убийственная цепочка?
  • 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Из чего состоит убийственная цепочка? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  • 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Разведка Оснащение Доставка Заражение Инсталляция Получение управления Выполнение действий Файл – имя Файл URI – URL HTTP - GET HTTP – User Agent URI – имя домена Адрес – e-mail Адрес – IPv4 Файл – путь Файл URI – URL Поведение Файл – имя Файл – путь Файл URI – URL HTTP – POST Заголовок e-mail – Тема Заголовок e-mail – X-Mailer URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Ключ реестра Win Файл – имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – CIDR Адрес – IPv4 Код – Бинарный код Процессы Win Ключ реестра Win Файл – имя Файл – путь Файл URI – URL HTTP – GET HTTP – User Agent URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Ключ реестра Win Файл URI – URL HTTP – GET HTTP – POST HTTP – User Agent URI – имя домена Хеш – MD5 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Сервисы Win Файл – Путь Файл – Имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – IPv4 Kill Chain и индикаторы компрометации (IoC)
  • 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Классическая дилемма безопасника Построить КупитьПартнеры Коммерческие инструменты и источники данных об угрозах Open Source решения/источники и воспитание собственных аналитиков Начинать с чужой экспертизы (консультанты, интеграторы, производители)
  • 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 CrashOverride / Stuxnet – это четвертый уровень
  • 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Пятый уровень (сценарий) • Атрибуция нападающего • Юридические меры воздействия • Перехват управления C&C • Разделегирование домена • Контратака Нападение
  • 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 В основе всего лежит архитектура! Ценность Цена Архитектура Пассивная оборона Активная оборона Разведка Нападение
  • 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Поэтапное наращивание защитных возможностей • Модель ПурдьюАрхитектура • Эшелонированная оборона • Серия NIST SP800 и NIST SCF • 31-й приказ ФСТЭК Пассивная оборона • Цикл активной кибер-обороны • Network Security MonitoringАктивная оборона • Kill Chain • Diamond ModelРазведка • Юридические методы против нарушителей • Перехват C&CНападение
  • 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Все зависит от модели угроз / нарушителя Новички Киберкриминал Корпоративный шпионаж/ кибертерроризм Спецслужбы ИБ нет Архитектура Пассивная оборона Активная оборона Разведка
  • 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Благодарю за внимание