Противостояние в Сети сегодня — это не война между ботами и людьми, а скорее война между армиями «умных» ботов, действия которых скоординированы и почти не отличаются от поведения живых пользователей. Из примитивного инструмента для DDoS ботнеты превратились в мощное оружие, позволяющее хакерам, злоумышленникам и спецслужбам решать задачи информационного противоборства. В докладе рассматривается ряд реальных примеров — от массового взлома паролей до влияния на ход выборов.
Хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и крипто...Positive Hack Days
На мастер-классе пройдет демонстрация: одновременно на нескольких виртуальных машинах будет работать реальный вредоносный код и средства защиты. Все движки включены: антивирус, URL-фильтрация, antispyware, IPS, Threat Intelligence, DNS Sinkholing, песочницы на базе Next Generation Firewall и одновременно ловушки, песочница и защита от вредоносного кода для рабочих станций на базе программы TRAPS.
Противостояние в Сети сегодня — это не война между ботами и людьми, а скорее война между армиями «умных» ботов, действия которых скоординированы и почти не отличаются от поведения живых пользователей. Из примитивного инструмента для DDoS ботнеты превратились в мощное оружие, позволяющее хакерам, злоумышленникам и спецслужбам решать задачи информационного противоборства. В докладе рассматривается ряд реальных примеров — от массового взлома паролей до влияния на ход выборов.
Хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и крипто...Positive Hack Days
На мастер-классе пройдет демонстрация: одновременно на нескольких виртуальных машинах будет работать реальный вредоносный код и средства защиты. Все движки включены: антивирус, URL-фильтрация, antispyware, IPS, Threat Intelligence, DNS Sinkholing, песочницы на базе Next Generation Firewall и одновременно ловушки, песочница и защита от вредоносного кода для рабочих станций на базе программы TRAPS.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
Ведущий: Дан Корецкий
Миллионы устройств на Android содержат уязвимости, которые дают права суперпользователя. Докладчик расскажет о технических причинах проблем безопасности (коллизии хеш-функций, злоупотребление межпроцессорным взаимодействием, ошибки работы с сертификатами приложений). Продемонстрирует атаку на «живое» устройство и предоставит рекомендации для снижения риска. Слушатели узнают, почему нельзя полностью устранить уязвимости. Докладчик также поведает историю о том, как были обнаружены атаки в Google Play.
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
Ведущий: Дан Корецкий
Миллионы устройств на Android содержат уязвимости, которые дают права суперпользователя. Докладчик расскажет о технических причинах проблем безопасности (коллизии хеш-функций, злоупотребление межпроцессорным взаимодействием, ошибки работы с сертификатами приложений). Продемонстрирует атаку на «живое» устройство и предоставит рекомендации для снижения риска. Слушатели узнают, почему нельзя полностью устранить уязвимости. Докладчик также поведает историю о том, как были обнаружены атаки в Google Play.
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Информационная безопасность Cisco в 2014-м году: краткие итогиCisco Russia
Краткие итоги деятельности Cisco в области информационной безопасности в России и в мире в 2014-м году:
- новые продукты
- новые сервисы
- новые приобретения
- интеграция с решениями российских разработчиков
- новые сертификаты
- планы на 2015 год
Варианты внедрения ACI и миграции существующих сетей ЦОДCisco Russia
Архитектура Cisco ACI. Варианты внедрения ACI и миграции существующих сетей ЦОД.
Запись вебинара можно найти по ссылке: http://ciscoclub.ru/tektorial-po-cod-cisco-aci-arhitektura-preimushchestva-praktika-proektirovaniya-i-vnedreniya
The document discusses network function virtualization (NFV) in telecommunications networks. It provides an overview of NFV goals such as agility, scalability, and the ability to add new services through service chaining. It then discusses specific NFV use cases like virtual customer premises equipment (vCPE), virtual branch offices, virtual routing engines, and virtual route reflectors. It also covers Juniper's virtualized MX (VMX) product for NFV, including its performance, scaling capabilities, and deployment models.
Трансформация доходов операторов под влиянием мобильных данныхAlexey Kondrashov
Данная презентация является Executive Summary отчета выполненного Директ ИНФО в конце 2013 года. В отчете рассматривается как услуги мобильной передачи данных влияют на бизнес мобильных операторов ( и не только их) и как трансформируется рынок под их влиянием и какие новые направления бизнеса при этом возникают ( мобильные ОТТ сервисы, мобильная реклама, M2M и интернет вещей и тп)
ITSM форум России. Облачные вычисления. Проблемы работы с SLAMichael Kozloff
Выступление на конференции SLM в аутсорсинге ИТ-услуг (http://itsmforum.ru/events/2015_04_15) об основных принципах формирования облачного SLA на примере публичной оферты ООО «АктивХост РУ»
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
1. СКРЫТЫЕ УГРОЗЫ – МОЖНО ЛИ ТАЙНОЕ
СДЕЛАТЬ ЯВНЫМ?
НИКОЛАЙ РОМАНОВ
ВЕДУЩИЙ ТЕХНИЧЕСКИЙ КОНСУЛЬТАНТ,
СЕРТИФИЦИРОВАННЫЙ ТРЕНЕР
TREND MICRO
2. 2012 – СКРЫТАЯ АТАКА НА БАНК СТОИМОСТЬЮ $5.2 МЛН.
1-й день: жертва получает вредоносный код
через фишинговое письмо
Source: GTIR, Solutionary, 2013
В 3-недельный срок в
продукционной системе
атакующим «авторизовано»
создается учетная запись,
меняющая права пользователя
Примерно к концу 3-й недели
сотрудники обнаруживают и
удаляют поддельную
учетную запись
Клиент обращается к
независимым аналитикам для
расследования
Удается найти точку входа
и оставленный backdoor
3.
4. 2012 – СКРЫТАЯ АТАКА НА $5.2 МЛН.
3.5 недели – это не
самый плохой вариант!
ИСПОЛЬЗУЕМЫЕ И
НАСТРОЕННЫЕ IDS И
ANTIMALWARE НЕ
ЗАПОДОЗРИЛИ НЕЛАДНОЕ!
Атакующий смог получить
возможность управлять системами
перевода средств в обход политик!
Source: GTIR, Solutionary, 2013
5. Выявление сложнообнаружимых угроз
— опыт Trend Micro в проектах (по миру)
• Известное вредоносное по обнаружено в 98%
случаев
• Действующие ботнеты — 94%
• Недопустимые приложения — 88%
• Вредоносные файлы нацеленные на банки — 75%
• Вредоносные документы — 75%
• Неизвестное вредоносное ПО – 49%
• Сетевые атаки — 84%
• Вредоносные приложения для Андроид — 28%
• Использование облачных хранилищ — 60%
6. ВЫЯВЛЕНИЕ СЛОЖНООБНАРУЖИМЫХ УГРОЗ
- ОПЫТ TREND MICRO В ПРОЕКТАХ (В РФ)
• Выявлены попытки целевого фишинга — пару раз
• Обнаружена связь с центрами управления ботнетами
— очень часто
• Обнаружены неоспоримые признаки присутствия
вредоносных программ (ZACCESS,
TROJ_MOSERAN.BMC, SQLSLAMMER.A, ZBOT,
Spyware) — почти всегда
Deep Discovery
7.
8. ЦЕНЫ НА РОССИЙСКОМ
АНДЕГРАУНДНОМ РЫНКЕ
Источник: Максим Гончаров, Russian Underground Revisited, апрель 2014
9. ЦЕНЫ НА РОССИЙСКОМ АНДЕГРАУНДНОМ РЫНКЕ
(ПРОДОЛЖЕНИЕ)
Пример: scan4you.net
10. СТАНДАРТНЫЕ КАНАЛЫ ДЛЯ ПРОНИКНОВЕНИЯ
Мобильные устройства и ПК
Разные ОС и ПО FTP
Изменяющиеся
Атаки
IRC
Порт 2056
Неизвестные
Угрозы
Известные
Угрозы
Сотни
протоколов
Десятки сетевых
портов
i
i
i
i
i
i
i i
i
i HTTP
11. ЕСТЬ ЛИ У ВАС СЕЙЧАС КАКИЕ-ТО МЕХАНИЗМЫ
ЗАЩИТЫ ОТ ПОДОБНОГО?
12. ТЕХНИЧЕСКОЕ ЗАДАНИЕ
• Анализ всевозможных протоколов, используемых вредоносными программами и хакерами
• Выявление «поперечного» перемещения
• Обнаружение попыток взлома
• Детектирование вредоносных документов и файлов, для Mac и мобильных платформ
• Возможность использовать индивидуальные песочницы
• Адаптивная блокировка
• Интеграция с SIEM
• Сопоставление с глобальной информацией о ландшафте угроз
• Использует открытую аппаратную или виртуальную платформу
• Полная защита, начиная с одной системы
10/01/14 12
13. Решение: Deep Discovery
Решение для мониторинга сети
предприятия с использованием
настраиваемой изолированной среды
(«песочниц») и оперативных сведений,
позволяющих выявлять и отражать атаки
на ранних стадиях
14. ИНДИВИДУАЛЬНАЯ ЗАЩИТА — ПРАВИЛЬНЫЙ
ПОДХОД
Обнаружение
Анализ «слабых»
сигналов
Анализ Блокировка
Разбор угрозы
Откуда? Риск? Канал?
Мгновенная блокировка
динамической
сигнатурой
Реакция
Избавление от заразы
Сеть Конечный узел
Deep Discovery Inspector Deep Discovery Endpoint Sensor
15. ИНДИВИДУАЛЬНАЯ ЗАЩИТА В ДЕЙСТВИИ
• Обновления «черных
списков» IP/доменов
• Индивидуальные
сигнатуры
Конечные точки Веб доступ
15
Обмен
сообщениями
Сервер
16. Обнаружение
Анализируется более
80 протоколов
ТЕХНОЛОГИИ DEEP DISCOVERY
Модуль Network
Content Inspection
Модуль Advanced
Threat Security
РРееппууттаацциияя IIPP && UURRLL
Виртуальный
анализатор
Модуль корреляции
сетевых данных
DDNNSS
HHTTTTPP SSMMTTPP
CCIIFFSS
SSQQLL PP22PP
FFTTPP
-----
Эксплойты, внедренные в
документы
Незаметная загрузка
Дропперы
Неизвестный ВПК
Доступ к C&C
Кража данных
Черви/распространение
Бекдор-активность
Передача данных наружу
Точка входа
Расползание в сети
Взлом
Подход 360°
• Анализ содержимого
• Эмуляция открытия
документов
• Анализ «полезной нагрузки»
• Анализ поведения
• Обнаружение взлома
• Мониторинг сети
18. Эмуляция
окружения
Извлечение и
корреляция
• Сценарии
• Взлом
• Скрипты (JS/AS)
• Структура
файла
• «полезная
нагрузка»...
WWiinn3322 DDLLLLss Process
Environment
Virtual
Processor
File & Registry
Simulation
• Быстрый анализ
• Типы документов
• Microsoft Office
• Adobe PDF
• Adobe Flash и др.
Высокий уровень
детектирования
Анализ
документов
Разбор
форматов Эмулятор
Обнаружение
МОДУЛЬ DOCODE
19. Наша помощь в проекте
• Готовые к работе устройства
• Формирование понятных
отчетов силами аналитиков
Trend Micro
• Инженерные ресурсы Trend
Micro
20. Лицензирование
Зависит от требуемой пропускной способности
250 Мбит/с
↓
500 Мбит/с
↓
1000 Мбит/с
↓
4 Гбит/с
21. Обнаруживаете что-то подозрительное –
Просто обнаружить угрозу –
недостаточно
Установите источник и причину
Устраните последствия
заражения
а что дальше?
22. Какие выводы можно сделать?..
Целевые атаки – потенциальная
опасность для российских компаний,
неважно госсектор или нет
Не всегда целевая атака =
продвинутая атака!
Collected from real-life POCs of Deep Discovery conducted by Trend
Хорошая и плохая новости
The problem here is they are looking for a silver bullet – to be able to install one magical product and be safe.
Unfortunately Silver Bullets are only good for one thing .... Killing werewolfs. What is needed is an Advanced Persistent Response to these attacks that goes beyond anti-malware scanning.
Actually the entire Security industry was originally designed to defend against targeted attacks, then malware took off in a big way and a lot of people thought that Antivirus and Security where one and the same (when its only really a tool that can be used in an attack), now we are back to seeing more and more targeted attacks again. At this stage Antivirus has become a bit of a commodity.
Какие задачи решает
Network Correlation Inspection Engine
80+ protocoles analysés :
HTTP, SMTP, DNS, FTP, CIFS, P2P, TCP, UDP...
Extraction des fichiers
Détection des exploits et des comportements suspicieux
Network Content Correlation Engine
Advanced Threat Security Engine
Malware signature
Scripted content
Heuristics analysis
IP & URL Reputation
Virtual Analyzer
0-day
Code inconnu
Document Exploit
Методы обнаружения могут включать
анализ сетевого трафика
песочницы для запуска исполняемых файлов и документов