Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
Мастер-класс по защите от фишинга, прочитанный на CISO Forum 2017. Подробное описание с демонстрациями того, как реализуется фишинг, и как ему противостоять организационными и техническими мерами
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Набор простых рекомендаций для рядовых пользователей Интернет о том, как защитить себя от угрозы в Интернете - от подглядывания, от подсматривания, от кражи учеток и паролей, от кражи денег, от перехвата почты, от блокирования телефона...
Описание бизнес-модели современной киберпреступности, позволяющее понять, что она сегодня представляет не группу разрозненных хакеров-одиночек, "тырящих" по рублю у пенсионеров, а серьезную многоуровневую структуру, копирующую, а иногда и улучшающую существующие бизнес-модели.
Презентация с конференции AntiFraud Russia 2016, в которой я рассказываю о разных угрозах для современных и будущих систем биометрической идентификации и аутентификации
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Набор простых рекомендаций для рядовых пользователей Интернет о том, как защитить себя от угрозы в Интернете - от подглядывания, от подсматривания, от кражи учеток и паролей, от кражи денег, от перехвата почты, от блокирования телефона...
Описание бизнес-модели современной киберпреступности, позволяющее понять, что она сегодня представляет не группу разрозненных хакеров-одиночек, "тырящих" по рублю у пенсионеров, а серьезную многоуровневую структуру, копирующую, а иногда и улучшающую существующие бизнес-модели.
Презентация с конференции AntiFraud Russia 2016, в которой я рассказываю о разных угрозах для современных и будущих систем биометрической идентификации и аутентификации
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
Обзор применения искусственного интеллекта в кибербезопасности как с позитивной, так и с негативной стороны. Как ИИ используют безопасники. Как ИИ используют хакеры. Какие угрозы могут быть для ИИ.
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакCisco Russia
В этом документе рассказывается о том, что собой представляют программы- вымогатели, какие действия они совершают и как заказчики могут защитить свои организации от этой угрозы. Хотя основное внимание здесь уделяется программам- вымогателям, описанные процессы применимы и к другим угрозам.
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
2. Copyright 2015 Trend Micro Inc.2 Copyright 2017 Trend Micro Inc.2
Домашние
пользователи
Государственный
сектор
Малый бизнес
Партнеры и
OEM
Крупные
предприятия
Рабочие
станции
Сервера Виртуальные
системы
Электронная
почта
Сеть ОблакоИнтернет-
шлюз
Trend Micro — глобальный разработчик средств
кибербезопасности
3. Copyright 2015 Trend Micro Inc.3 Copyright 2017 Trend Micro Inc.3
Общее количество заблокированных угроз, 2016
— первое полугодие
4. Copyright 2015 Trend Micro Inc.4 Copyright 2017 Trend Micro Inc.4
Угрозы в электронной почте
— первое полугодие
— второе полугодие
5. 74% of targeted attacks involve spear phishing
emails. – Trend Labs Jan 2016
4/21/2017 5Copyright 2017 Trend Micro Inc.
74%Целенаправленных атак
доставляются посредством
электронной почты
Угрозы в электронной почте
7. Обозначения
«хорошие»
данные
«плохие»
данные
Неизвестные
данные
Репутация файлов и Веб,
предотвращение
уязвимостей, контроль
приложений, выявление
модификаций
Поведенческий анализ
Блокировка
вредоносных
файлов
Уменьшение
«шума»
Машинное обучение перед
исполнением
Машинное обучение во
время исполнения
Подходящая технология в
подходящее время
Безопасны
е файлы
8. Copyright 2015 Trend Micro Inc.9 Copyright 2017 Trend Micro Inc.9
Новые семейства программ-вымогателей
Рост 750%
9. Январь 2016 — программы-вымогатели
ФОРМА ОПЛАТЫ
СПАМ
2 BTC
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО И
УДАЛЯЮТСЯ
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЁТСЯ С C&C
КЛЮЧ ШИФРОВАНИЯ
НА СЕРВЕРЕ
ФАЙЛЫ БД
Нужно связаться с
автором для получения
инструкций по оплате
СПАМ СПАМ СПАМ СПАМ СПАМ
13 BTC 0.5 BTC 1 BTC 0.1 BTC
НЕТ
СООБЩЕНИЯ
О ВЫКУПЕ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
ФАЙЛЫ БД
ЛИЧНЫЕ ФАЙЛЫ ЛИЧНЫЕ
ФАЙЛЫ
ТОЛЬКО ЛИЧНЫЕ
ФАЙЛЫ
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
ПРИВАТНЫВЙ КЛЮЧ
НА СЕРВЕРЕ
КРИПТОГРАФИЯ
САМОУНИЧТОЖЕНИЕ
ФАЙЛЫ БД ФАЙЛЫ БД
ВЕБ-СТРАНИЦЫФАЙЛЫ БД
+
КЛЮЧИ ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
CRYPNISCA CRYPRITUCRYPRADAM CRYPJOKERLECTOOL EMPER
MEMEKAP
НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ
LECTOOL EMPER CRYPRADAM
MEMEKAP
CRYPNISCA CRYPJOKER CRYPRITU
Маскируется под
прикрепленный PDF-
файл
10. Февраль 2016 — программы-вымогатели
САМОУНИЧТОЖЕНИЕ
ЛИЧНЫЕ
ФАЙЛЫ
ЛИЧНЫЕ
ФАЙЛЫ
LOCKYCRYPHYDRA
ИНСТРУМЕНТАРИЙ ДЛЯ
УДАЛЁННОГО ВЗЛОМА
SYNC MANGER
LOGGER
СПАМ В ВИДЕ СЧЕТА
НА ОПЛАТУ
Маскируется под
прикрепленный PDF-
файл
СПАМ СПАМ
1 BTC 0.5 - 1 BTC2 BTC
536 GBP
1.505 BTC0.8 BTC
$350
400 долларов заплатить
автору по инструкции
ФАЙЛЫ БД
ТОЛЬКО
ЛИЧНЫЕ ФАЙЛЫ
ВЕБ-СТРАНИЦЫ
+ ТОЛЬКО
ЛИЧНЫЕ ФАЙЛЫ
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧИ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО
КЛЮЧ ШИФРРОВАНИЯ
БЕРЕТСЯ С C&C
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЁТСЯ С C&C
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЁТСЯ С C&C
ФАЙЛЫ БД
КОД
КОШЕЛЕК
MADLOCKERCRYPDAP CRYPZUQUITCRYPGPCODE
МАКРОС ИЛИ
ПРИКРЕПЛЕННЫЙ JS
НЕТНЕТНЕТНЕТНЕТ
CRYPGPCODE CRYPHYDRA CRYPDAP CRYPZUQUIT MADLOCKER LOCKY
ФОРМА ОПЛАТЫ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
КРИПТОГРАФИЯ
11. ФОРМА ОПЛАТЫ
ЧИСЛО ДЕТЕКТОВ В
SPN
РАСПРОСТРАНЕНИЕ
ШИФРУЕМЫЕ
ДАННЫЕ
КРИПТОГРАФИЯ
Март 2016 — программы-вымогатели
САМОУНИЧТОЖЕНИЕ
ЛИЧНЫЕ
ФАЙЛЫ
ЛИЧНЫЕ
ФАЙЛЫ
KeRanger
ФАЙЛЫ С
МАКРОСАМИ
ИГРЫ
CRIPTOSO
1.18 – 2.37 BTC
$500 — $1000
TEAM VIEWER
ПЕРЕЗАПИСЫВАЕТ MBR
0.99 – 1.98 BTC
$431 — $862
1 BTC и
увеличивается на
1 BTC ежедневно
ФАЙЛЫ
ВОЗВРАТА
НАЛОГОВ США
COVERTON
1 BTC
ИНСТРУМЕНТАРИЙ
ДЛЯ УДАЛЁННОГО
ВЗЛОМА
СПАМ
СПАМ В ВИДЕ УСЛОВИЙ
ПРЕДОСТАВЛЕНИЯ УСЛУГИ
ПРИКРЕПЛЕННЫЙ МАКРОС,
ЗАГРУЖАЮЩИЙ КОД
ПОИСК РАБОТЫ СО
ССЫЛКОЙ НА DROPBOX
МАКРОС ИЛИ
ПРИКРЕПЛЕННЫЙ JS
ИНСТРУМЕНТАРИЙ
ДЛЯ УДАЛЁННОГО
ВЗЛОМА
+
1.24-2.48 BTC 1 BTC 1.3 BTC
ФАЙЛЫ БД ФАЙЛЫ БД
1.4 – 3.9 BTC
$588 — $1638
0.5 — 25 BTC
ФАЙЛЫ БД
RJL
ИГРЫ КОШЕЛЕК
ФИНАНСОВЫЕ
ФАЙЛЫ
ПУБЛИЧНЫЙ КЛЮЧ
БЕРЕТСЯ С C&C
КЛЮЧ AES ГЕНЕРИРУЕТСЯ
ЛОКАЛЬНОПУБЛИЧНЫЙ КЛЮЧ
БЕРЕТСЯ С C&C
ПЯТЬ ПАР КЛЮЧЕЙ
ГЕНЕРИРУЮТСЯ
ЛОКАЛЬНО. ОДИН КЛЮЧ
ТРЕБУЕТ КЛЮЧ RSA
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
ПРИВАТНЫЙ КЛЮЧ
ВЫДАЕТСЯ ПОСЛЕ
ОПЛАТЫ
Он разговаривает!
Уникально
Уникально
Сценарий на
Power shell
TESLA 4.0CERBER CRYPAURA PETYAMAKTUB SURPRISE
Powerware
НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ НЕТ
CERBER CRYPAURA
KERANGER
TESLA
MAKTUB SURPRISE PETYA POWERWARE CRYPTOSO COVERTON
APPSTORE
http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-crypto-ransomware-speaks-sold-russian-underground/
12. Copyright 2015 Trend Micro Inc.13 Copyright 2017 Trend Micro Inc.13
Программы-вымогатели в цифрах
– Форбс, февраль 2016
Число систем, заражаемых
Locky в день
90,000
$200-10k
Характерный размер
выкупа – ФБР, апрель 2016
69,000++
Число образцов,
обнаруженных в 2015 г.
– Trend Labs, 2016
13. Copyright 2016 Trend Micro Inc.14
Как это работает
Всевозможные каналы
проникновения
Данные шифруются
Требование выкупа Плати за
Расшифровку
данных
Восстанавливай из
резервной копии
ИЛИ
17. Copyright 2016 Trend Micro Inc.18
Защита от программ-вымогателей
Обучение пользователей
Осведомленность, лучшие
практики, проверка
Улучшение уровня защиты
Последние версии, веб-
репутация, поведенческий
анализ, дополнительные
технологии
Отказ от выплаты выкупа
Выплата мотивирует
злоумышленников на
дальнейшие атаки
Своевременная установка
заплат
Минимизация вероятности
взлома через уязвимости
Контроль доступа
Ограничение доступа на запись к
важным для бизнеса данным для
большинства сотрудников
Резервное копирование (3-2-1)
Автоматизированное: три копии,
два формата, одна копия хранится
без подключения к сети
18. Copyright 2016 Trend Micro Inc.19
Защита Trend Micro от программ-
вымогателей
СЕТЕВАЯ
ЗАЩИТА
ГИБРИДНАЯ ОБЛАЧНАЯ
БЕЗОПАСНОСТЬ
ЗАЩИТА
ПОЛЬЗОВАТЕЛЯ
ВИЗУАЛИЗАЦИЯ
И УПРАВЛЕНИЕ
19. Copyright 2016 Trend Micro Inc.20
Цели программ-вымогателей
Серверы
Атак на сервера
относительно мало,
но урон может быть
очень большим
Большая часть
программ-
вымогателей
использует
известные
уязвимости
Vulnerability Shielding
against unknown
threats
Blocks lateral
movement
20. Copyright 2016 Trend Micro Inc.21
Сеть
Серверы
Цели программ-вымогателей
Вероятная точка
входа
Распространение к
другим
пользователям и на
серверы
23. Most ransomwares can be
stopped on gateway level
The last defense is Anti-Ransomware
feature to proactively detect & block
ransomware execution
Effective Layered Protection
Copyright 2016 Trend Micro Inc.
24. Copyright 2016 Trend Micro Inc.25
Объединенная защита от угроз: Лучшая и более быстрая защита
Централизованная
сквозная визуализация,
анализ и оценка
влияния угроз
Оперативная
реакция, благодаря
своевременной
информации об
угрозах и обновлений
в реальном времени
Детектирование особых
типов вредоносного
кода и странного
поведения сети, не
заметных для
стандартных средств
безопасности
Выявление
потенциальных
уязвимостей и
превентивная
защита конечных
точек, серверов и
приложений
ЗАЩИТА
ОБНАРУЖЕНИЕ
РЕАКЦИЯ
ВИЗУАЛИЗАЦИЯ
И УПРАВЛЕНИЕ
25. Защита от программ-вымогателей на
конечных точках
1. Традиционный подход
– Зависит от сигнатур
программ-вымогателей
– Предоставляет
специальные инструменты
для сдерживания
распространения
3. Передовые технологии
– Контроль приложений с целью
выявления процессов,
шифрующих файлы
– Исключение из анализа
легитимных процессов
– Блокировка и перемещение в
карантин
Конкурирующие решения в основном используют первый и
второй подходы, в то время, когда продукты Trend Micro
используют все три, а также подход на основе белых списков
2. Поведенческий анализ
– Выявляет поведение,
характерное для
программ-
вымогателей
29. Copyright 2017 Trend Micro Inc.
ЛИДЕР РЫНКА
защиты серверов в
течение последних
семи лет
S****tec
In**l
Other
30%
Source: IDC, Securing the Server Compute Evolution: Hybrid Cloud
Has Transformed the Datacenter, January 2017 #US41867116
30. Приглашаю на наш стенд!
Copyright 2017 Trend Micro Inc.
Карен Карагедян (karen_karagedyan@trendmicro.com)