3. ПРИЧИНЫ АКТУАЛЬНОСТИ
Выше зависимость от ИТ
Выше уровень безопасности
– Выше сложность атаки
Больше рисков в области ИТ (мотивация)
Выше стоимость атаки
Процессы и организация
Разведка и подготовка
Профессионализм атакующих
Много векторов, технологий, инструментов
Скрытность
Атакующий:
- Пентест
- Нет права на ошибку
5. КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ
Постоянный сбор артефактов
Детекты на память
Контекст среды, Исследования,
Неточные сигнатуры
Хранение сырых данных
Исследования
Антифоренсика
Бестелесность
Применение легальных
инструментов и технологий
Многоэтапность
Свежие, загадочные ТТР
(горизонтальные перемещения,
закрепление, пр.)
6. КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ
Предотвращение
Своевременное
обнаружение
Реакция и
восстановление
Ресурсы атакующего –
безграничны!
http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html
7. ДВА ПОДХОДА К ОБНАРУЖЕНИЮ
МОНИТОРИНГ (ALERTING):
Реактивно – обнаружение
известного
Уничтожает после поиска
сигнатуры
ПОИСК УГРОЗ (HUNTING):
Проактивно – обнаружение
неизвестного
Хранит все данные – многократная
проверка («Машина времени»)
Вендор
ITW
IRAlerting
Гипотеза Hunting
MA
DF
Alerting IR
Вендор
ITW
http://reply-to-all.blogspot.ru/2016/07/blog-post.html
9. КАК И ПОЧЕМУ ЭТО РАБОТАЕТ
Данные
Детекты*
Поведение
процессов
События ОС
Микрокорреляция:
Все технологии в составе EP со
всеми базами
Репутация
Макрокорреляция, гипотезы:
Все знания о ТТР:
Внутренние исследования GReAT, AMR,
TARG, SOC, SSR
Анализ защищенности
Расследование инцидентов (DF, MA, IR)
Мониторинг SOC
Постоянноесовершенствование
http://reply-to-all.blogspot.ru/2016/10/bis-summit.html
10. TH В ПРОЦЕССАХ SOC
Инвентаризация
Управление уязвимостями
Анализ угроз
Повышение осведомленности
Обнаружение атак
Управление инцидентами
Реагирование на инциденты
Анализ результатов и совершенствование
…
Обнаружение
необнаруживаемого
автоматически