Sergey Soldatov, profile picture
Uploaded bySergey Soldatov
PDF, PPTX1,833 views

Трудовые будни охотника на угрозы

Документ рассматривает трудовые будни охотника на угрозы в контексте современных угроз кибербезопасности, подчеркивая важность проактивного подхода и постоянного мониторинга для выявления и предотвращения атак. Основное внимание уделяется аналитическим инструментам, техникам реагирования и профессионализму атакующих, а также важности сбора и анализа данных для повышения уровня безопасности. Рассматриваются различные контексты угроз и технологии, используемые для их анализа и обнаружения.

Embed presentation

Download as PDF, PPTX
ТРУДОВЫЕ БУДНИ ОХОТНИКА НА УГРОЗЫ «CISO FORUM 2017», АПРЕЛЬ 2017 Sergey Soldatov, Head of SOC
ПЛАН Причины актуальности Контекст угроз (ТТР) Как работает ТН Подход к реагированию ТТР в примерах Реагирование
ПРИЧИНЫ АКТУАЛЬНОСТИ Выше зависимость от ИТ  Выше уровень безопасности  – Выше сложность атаки Больше рисков в области ИТ (мотивация) Выше стоимость атаки  Процессы и организация Разведка и подготовка Профессионализм атакующих Много векторов, технологий, инструментов Скрытность Атакующий: - Pentest-like - Нет права на ошибку
КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Постоянный сбор артефактов Анализ памяти Контекст среды, Исследования, Неточные сигнатуры Хранение сырых данных Исследования Непрерывный мониторинг, Исследования Антифоренсика Бестелесность Применение легальных инструментов и технологий Многоэтапность Свежие, загадочные ТТР (горизонтальные перемещения, закрепление, пр.) Pentest-like
http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Предотвращение Своевременное обнаружение Реакция и восстановление Ресурсы атакующего – безграничны!
ДВА ПОДХОДА К ОБНАРУЖЕНИЮ МОНИТОРИНГ (ALERTING): Реактивно – обнаружение известного Уничтожает после поиска сигнатуры ПОИСК УГРОЗ (HUNTING): Проактивно – обнаружение неизвестного Хранит все данные – многократная проверка («Машина времени») Вендор ITW IRAlerting Гипотеза Hunting MA DF Alerting IR Вендор ITW http://reply-to-all.blogspot.ru/2016/07/blog-post.html Инструменты Инструменты и Поведение
КОНКРЕТНАЯ ЦЕННОСТЬ Поиск новых атак, ВПО, APT Поиск атак без применения ВПО 100% релевантность «Машина времени» Возможность оперативной защиты РискИБдопримененияконтролей Автоматизи- рованные средстваСервисОстаточныйриск Продукты SOС Threat hunting
КАК И ПОЧЕМУ ЭТО РАБОТАЕТ Данные  Детекты*  Поведение процессов  События ОС Микрокорреляция:  Все технологии в составе EP со всеми базами: поведение, неточные сигнатуры, подозрительная активность, пр.  Анализ трафика с периметра  События ОС и приложений  Репутация Макрокорреляция, гипотезы:  Все знания о ТТР:  Внутренние исследования  Анализ защищенности  Расследование инцидентов  Мониторинг SOC Постоянноесовершенствование http://reply-to-all.blogspot.ru/2016/10/bis-summit.html Зацепки! (Hunt)
ЗАЦЕПКИ ЗА {KILL CHAIN}*
РАБОТА ПО ИНЦИДЕНТУ http://reply-to-all.blogspot.ru/2016/12/blog-post.html
COBALT ГОБЛИНS Антифоренсика – sdelete, очистка журналов, … Бестелесность – powershell Легальные инструменты – ps, mipko, psexec, … Pentest-like – Cobalt Strike+
MIPKO & PS MEM:Trojan.Script.AngryPower.gen, MEM:Backdoor.Win32.Carbanak.gen, … Службы Сетевые входы Инструменты … Служба ps cmd Служба с с$ Сетевой вход с… под УЗ ..
AUTOIT Подозрительная активность «белых» инструментов… Где svchost  Где AutoIt  Планировщик задач… Планировщик vbs cmd autoit svchost Планировщик
PROXYCHANGER Почему-то все процессы идут в Интернет… … на сайт МН
СЛЕДЫ BUHTRAP Легальный LiteManager, но по нестандартному пути Опционально – руткит для сокрытия иконки
ТОЖЕ «БЕЛЫЙ ФАЙЛ» Закрепление через bitsadmin http://0xthem.blogspot.ru/2014/03/t-emporal-persistence-with-and-schtasks.html
ENFAL/PLUGX/ZERO.T Офис по почте выбрасывает PE PE грузит из Интернет остальное…
ENFAL/PLUGX/ZERO.T … и пошло- поехало…
НОВЫЙ GOZI Смотрели [нелегальные] инжекты
РЕАГИРОВАНИЕ Вычислить все C2 Все сразу отключить Можно не спеша вычищаться, контролируя С2 & Lateral movement («поддержка с воздуха»)
ПОСЛЕСЛОВИЕ: ВПО  АРТ AV  AAPT & TH Точно и Сразу  Неточно и Спустя время Полностью автоматически  С участием Человека Обнаруживать инструменты  Обнаруживать ТТР атакующих Глобальный Intelligence - популярность, репутация, взаимосвязи, fuzzy-хеши, т.п. Машобуч, нейросети и т.п. Аккумуляция опыта - SOC, Security assessment & pentest, Anit- malware research, Incident response, Targeted attack research, …
ПОГОВОРИМ? Sergey Soldatov, CISA, CISSP Head of Security Operations Center

More Related Content

PDF
Практика обнаружения атак, использующих легальные инструменты
bySergey Soldatov
 
PDF
Threat hunting as SOC process
bySergey Soldatov
 
PDF
Охота на угрозы на BIS summit 2016
bySergey Soldatov
 
PDF
Анализ уязвимостей ПО
bySergey Borisov
 
PPTX
penetest VS. APT
byDmitry Evteev
 
PDF
Модель нарушителя безопасности информации
bySergey Borisov
 
PDF
Вирусы-шифровальщики и фишинг
bySergey Borisov
 
PPT
Реальные опасности виртуального мира.
byDmitry Evteev
 
Практика обнаружения атак, использующих легальные инструменты
bySergey Soldatov
 
Threat hunting as SOC process
bySergey Soldatov
 
Охота на угрозы на BIS summit 2016
bySergey Soldatov
 
Анализ уязвимостей ПО
bySergey Borisov
 
penetest VS. APT
byDmitry Evteev
 
Модель нарушителя безопасности информации
bySergey Borisov
 
Вирусы-шифровальщики и фишинг
bySergey Borisov
 
Реальные опасности виртуального мира.
byDmitry Evteev
 

What's hot

PDF
Целевые атаки. Infosecurity Russia 2013
byDenis Bezkorovayny
 
PPTX
Типовые проблемы безопасности банковских систем
byDmitry Evteev
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
PDF
Атрибуция кибератак
byAleksey Lukatskiy
 
PDF
пр Спроси эксперта DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
PDF
4. Обнаружение необнаруживаемого
byКомпания УЦСБ
 
PPTX
пр вебинар эволюция Dlp iw 07 2013
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Этичный хакинг или пентестинг в действии
bySQALab
 
PDF
Мастер-класс по моделированию угроз
byAleksey Lukatskiy
 
PDF
Борьба с фишингом. Пошаговая инструкция
byAleksey Lukatskiy
 
PPTX
Услуги PT для банков
byDmitry Evteev
 
PPTX
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
PDF
пр человек смотрящий для Risc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Как взламывают сети государственных учреждений
byDmitry Evteev
 
PDF
1. intro dlp 2014 09
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
Практика проведения DDoS-тестирований
byDmitry Evteev
 
PPT
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
Целевые атаки. Infosecurity Russia 2013
byDenis Bezkorovayny
 
Типовые проблемы безопасности банковских систем
byDmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
Атрибуция кибератак
byAleksey Lukatskiy
 
пр Спроси эксперта DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
4. Обнаружение необнаруживаемого
byКомпания УЦСБ
 
пр вебинар эволюция Dlp iw 07 2013
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Этичный хакинг или пентестинг в действии
bySQALab
 
Мастер-класс по моделированию угроз
byAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
byAleksey Lukatskiy
 
Услуги PT для банков
byDmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
пр человек смотрящий для Risc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Как взламывают сети государственных учреждений
byDmitry Evteev
 
1. intro dlp 2014 09
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практика проведения DDoS-тестирований
byDmitry Evteev
 
Введение в тему безопасности веб-приложений
byDmitry Evteev
 

Similar to Трудовые будни охотника на угрозы

PDF
4.про soc от пм
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Ландшафт технологий кибербезопасности 2025
byAleksey Lukatskiy
 
PPT
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
byDefcon Moscow
 
PPTX
penetest VS. APT
byHeadLightSecurity
 
PPTX
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
byDenis Gorchakov
 
PPTX
12 причин хорошего SOC
byDenis Batrankov, CISSP
 
PPTX
PT ESC - кто полечит доктора?
byAlexey Kachalin
 
PDF
Обнаружение атак - из конца 90-х в 2018-й
byAleksey Lukatskiy
 
PPTX
SOC в большой корпоративной сети. Challenge accepted
byPositive Hack Days
 
PDF
Контроль происходящего на стыке IT и ОТ.pdf
bytrenders
 
PDF
Мониторинг своими руками
bySergey Soldatov
 
PDF
Нюансы функционирования и эксплуатации Cisco SOC
byAleksey Lukatskiy
 
PDF
Новые вызовы кибербезопасности
byCisco Russia
 
PDF
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
byVsevolod Shabad
 
PDF
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
byКомпания УЦСБ
 
PDF
Борьба с внутренними угрозами. Обзор технологий
byAleksey Lukatskiy
 
PDF
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
byExpolink
 
PDF
Expose the underground - Разоблачить невидимое
byDenis Batrankov, CISSP
 
PDF
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
PDF
От мониторинга к форенсике и обратно
bySergey Soldatov
 
4.про soc от пм
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ландшафт технологий кибербезопасности 2025
byAleksey Lukatskiy
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
byDefcon Moscow
 
penetest VS. APT
byHeadLightSecurity
 
DEFCON Moscow Meetup 0XB (11). Практика применения анти-APT решений
byDenis Gorchakov
 
12 причин хорошего SOC
byDenis Batrankov, CISSP
 
PT ESC - кто полечит доктора?
byAlexey Kachalin
 
Обнаружение атак - из конца 90-х в 2018-й
byAleksey Lukatskiy
 
SOC в большой корпоративной сети. Challenge accepted
byPositive Hack Days
 
Контроль происходящего на стыке IT и ОТ.pdf
bytrenders
 
Мониторинг своими руками
bySergey Soldatov
 
Нюансы функционирования и эксплуатации Cisco SOC
byAleksey Lukatskiy
 
Новые вызовы кибербезопасности
byCisco Russia
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
byVsevolod Shabad
 
HP ArcSight мониторинг инцидентов ИБ, SIEM-системы в промышленных сетях
byКомпания УЦСБ
 
Борьба с внутренними угрозами. Обзор технологий
byAleksey Lukatskiy
 
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
byExpolink
 
Expose the underground - Разоблачить невидимое
byDenis Batrankov, CISSP
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
byDialogueScience
 
От мониторинга к форенсике и обратно
bySergey Soldatov
 

More from Sergey Soldatov

PDF
Metrics in Security Operations
bySergey Soldatov
 
PDF
Сколько надо SOC?
bySergey Soldatov
 
PDF
Роботы среди нас!
bySergey Soldatov
 
PDF
How MITRE ATT&CK helps security operations
bySergey Soldatov
 
PDF
Reducing cyber risks in the era of digital transformation
bySergey Soldatov
 
PDF
Kaspersky managed protection
bySergey Soldatov
 
PDF
Hunting Lateral Movement in Windows Infrastructure
bySergey Soldatov
 
PDF
A Threat Hunter Himself
bySergey Soldatov
 
PDF
Вопросы к DLP
bySergey Soldatov
 
PDF
модульный под к документир V5
bySergey Soldatov
 
PDF
IDM - это непросто!
bySergey Soldatov
 
PDF
Некриптографическое исследование носителей православной криптографии
bySergey Soldatov
 
PDF
Opensource vs. Non-opensource
bySergey Soldatov
 
PDF
Примерные критерии оценки IDM
bySergey Soldatov
 
PDF
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
bySergey Soldatov
 
PDF
Infosecurity management in the Enterprise
bySergey Soldatov
 
PDF
Безопасность мобильных устройств
bySergey Soldatov
 
PDF
How to catch your “hacker” or makeshift security
bySergey Soldatov
 
PDF
Drive by-download attack evolution zero nights v3
bySergey Soldatov
 
Metrics in Security Operations
bySergey Soldatov
 
Сколько надо SOC?
bySergey Soldatov
 
Роботы среди нас!
bySergey Soldatov
 
How MITRE ATT&CK helps security operations
bySergey Soldatov
 
Reducing cyber risks in the era of digital transformation
bySergey Soldatov
 
Kaspersky managed protection
bySergey Soldatov
 
Hunting Lateral Movement in Windows Infrastructure
bySergey Soldatov
 
A Threat Hunter Himself
bySergey Soldatov
 
Вопросы к DLP
bySergey Soldatov
 
модульный под к документир V5
bySergey Soldatov
 
IDM - это непросто!
bySergey Soldatov
 
Некриптографическое исследование носителей православной криптографии
bySergey Soldatov
 
Opensource vs. Non-opensource
bySergey Soldatov
 
Примерные критерии оценки IDM
bySergey Soldatov
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
bySergey Soldatov
 
Infosecurity management in the Enterprise
bySergey Soldatov
 
Безопасность мобильных устройств
bySergey Soldatov
 
How to catch your “hacker” or makeshift security
bySergey Soldatov
 
Drive by-download attack evolution zero nights v3
bySergey Soldatov
 

Трудовые будни охотника на угрозы

  • 1.
    ТРУДОВЫЕ БУДНИ ОХОТНИКАНА УГРОЗЫ «CISO FORUM 2017», АПРЕЛЬ 2017 Sergey Soldatov, Head of SOC
  • 2.
    ПЛАН Причины актуальности Контекст угроз(ТТР) Как работает ТН Подход к реагированию ТТР в примерах Реагирование
  • 3.
    ПРИЧИНЫ АКТУАЛЬНОСТИ Выше зависимостьот ИТ  Выше уровень безопасности  – Выше сложность атаки Больше рисков в области ИТ (мотивация) Выше стоимость атаки  Процессы и организация Разведка и подготовка Профессионализм атакующих Много векторов, технологий, инструментов Скрытность Атакующий: - Pentest-like - Нет права на ошибку
  • 4.
    КОНТЕКСТ УГРОЗЫ –ОПРЕДЕЛЯЕТ ЗАЩИТУ Постоянный сбор артефактов Анализ памяти Контекст среды, Исследования, Неточные сигнатуры Хранение сырых данных Исследования Непрерывный мониторинг, Исследования Антифоренсика Бестелесность Применение легальных инструментов и технологий Многоэтапность Свежие, загадочные ТТР (горизонтальные перемещения, закрепление, пр.) Pentest-like
  • 5.
    http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html КОНТЕКСТ УГРОЗЫ –ОПРЕДЕЛЯЕТ ЗАЩИТУ Предотвращение Своевременное обнаружение Реакция и восстановление Ресурсы атакующего – безграничны!
  • 6.
    ДВА ПОДХОДА КОБНАРУЖЕНИЮ МОНИТОРИНГ (ALERTING): Реактивно – обнаружение известного Уничтожает после поиска сигнатуры ПОИСК УГРОЗ (HUNTING): Проактивно – обнаружение неизвестного Хранит все данные – многократная проверка («Машина времени») Вендор ITW IRAlerting Гипотеза Hunting MA DF Alerting IR Вендор ITW http://reply-to-all.blogspot.ru/2016/07/blog-post.html Инструменты Инструменты и Поведение
  • 7.
    КОНКРЕТНАЯ ЦЕННОСТЬ Поиск новыхатак, ВПО, APT Поиск атак без применения ВПО 100% релевантность «Машина времени» Возможность оперативной защиты РискИБдопримененияконтролей Автоматизи- рованные средстваСервисОстаточныйриск Продукты SOС Threat hunting
  • 8.
    КАК И ПОЧЕМУЭТО РАБОТАЕТ Данные  Детекты*  Поведение процессов  События ОС Микрокорреляция:  Все технологии в составе EP со всеми базами: поведение, неточные сигнатуры, подозрительная активность, пр.  Анализ трафика с периметра  События ОС и приложений  Репутация Макрокорреляция, гипотезы:  Все знания о ТТР:  Внутренние исследования  Анализ защищенности  Расследование инцидентов  Мониторинг SOC Постоянноесовершенствование http://reply-to-all.blogspot.ru/2016/10/bis-summit.html Зацепки! (Hunt)
  • 9.
  • 10.
  • 11.
    COBALT ГОБЛИНS Антифоренсика –sdelete, очистка журналов, … Бестелесность – powershell Легальные инструменты – ps, mipko, psexec, … Pentest-like – Cobalt Strike+
  • 12.
    MIPKO & PS MEM:Trojan.Script.AngryPower.gen, MEM:Backdoor.Win32.Carbanak.gen,… Службы Сетевые входы Инструменты … Служба ps cmd Служба с с$ Сетевой вход с… под УЗ ..
  • 13.
    AUTOIT Подозрительная активность «белых» инструментов… Гдеsvchost  Где AutoIt  Планировщик задач… Планировщик vbs cmd autoit svchost Планировщик
  • 14.
    PROXYCHANGER Почему-то все процессыидут в Интернет… … на сайт МН
  • 15.
    СЛЕДЫ BUHTRAP Легальный LiteManager,но по нестандартному пути Опционально – руткит для сокрытия иконки
  • 16.
    ТОЖЕ «БЕЛЫЙ ФАЙЛ» Закрепление черезbitsadmin http://0xthem.blogspot.ru/2014/03/t-emporal-persistence-with-and-schtasks.html
  • 17.
    ENFAL/PLUGX/ZERO.T Офис по почтевыбрасывает PE PE грузит из Интернет остальное…
  • 18.
  • 19.
  • 20.
    РЕАГИРОВАНИЕ Вычислить все C2 Всесразу отключить Можно не спеша вычищаться, контролируя С2 & Lateral movement («поддержка с воздуха»)
  • 21.
    ПОСЛЕСЛОВИЕ: ВПО АРТ AV  AAPT & TH Точно и Сразу  Неточно и Спустя время Полностью автоматически  С участием Человека Обнаруживать инструменты  Обнаруживать ТТР атакующих Глобальный Intelligence - популярность, репутация, взаимосвязи, fuzzy-хеши, т.п. Машобуч, нейросети и т.п. Аккумуляция опыта - SOC, Security assessment & pentest, Anit- malware research, Incident response, Targeted attack research, …
  • 22.
    ПОГОВОРИМ? Sergey Soldatov, CISA,CISSP Head of Security Operations Center