ИБ: СТРАТЕГИЯ ОБОРОНЫ

23.09.2015

Серия восьмая: Системы обнаружения целевых атак

Гаврилов Вадимведущий системный инженер

Борисова Ольгаменеджер по работе с ключевыми Заказчиками

2 из 20

Серия вебинаров «ИБ: Стратегия обороны» Серия первая. Устав караульной службы (13.04.2015)

Планирование и внедрение систем защиты информации Серия вторая. Почему порядок не убираете? (27.04.2015)

Системы контроля доступа к информации Серия третья. Разновидности колючей проволоки (20.05.2015)

Системы контроля доступа к устройствам Серия четвертая. Таможня дает «добро»! (ч. I ) (3.06.2015)

Системы защиты от утечек Серия четвертая. Таможня дает «добро»! (ч. II) (17.06.2015)

Системы защиты от утечек Серия пятая. Будни контрразведчика: шпионаж, саботаж, макияж (29.07.2015)

Системы контроля персонала Серия шестая. Фельдъегеря: перед прочтением съесть (12.08.2015)

Системы управления правами доступа к документам Серия седьмая. Самый опасный род войск неприятеля - это свои предатели

(26.08.2015) Системы контроля привилегированных пользователей

Серия восьмая. Космические войска: вторжение внеземных технологий (23.09.2015) Системы обнаружения целевых атак

Протокол

Длительность вебинара составит 1 час

Вопросы можно задавать по ходу вебинара на вкладке questions

Есть приз за самое активное участие!

Обратная связь по адресу event@ussc.ru

Запись вебинара будет выслана всем зарегистрировавшимся!

P.S. Кого рекламируем?

3 из 20

О чем эта презентация? Формулировка проблемы APT: что это такое? APT: схема атаки Почему мы думаем, что

это не про нас? Решение: что это такое и

зачем это нужно Архитектура Функциональные

возможности

Как это работает? Преимущества и

недостатки Интеграция Границы применимости Как выбрать? Типичные представители

4 из 20

Формулировка проблемы

Усложнение схем атаки

Усложнение используемых механизмов

Использование уязвимостей нулевого дня

Целевые атаки

Социальная инженерия

Традиционные схемы защитыперестают работать

5 из 20

APT: что это такое? Целенаправленность

Социальная инженерия

Адаптация к цели атаки

Сложность схемы

Использование передовых технологий

Протяженность во времени

6 из 20

APT: схема атаки

7 из 20

МОДИФИКАЦИЯ

И

РАСПРОСТРАНЕ-

НИЕ

УДЕРЖАНИЕ

ПОЗИЦИЙ И

КРАЖА

ИНФОРМАЦИИ

ВНЕДРЕНИЕРАЗВЕДКА

сбор информации о сотрудниках

выявление сотрудников-целей

изучение инфраструктуры предприятия

изучение систем защиты

опрос контрагентов внедрение агентов поиск нелояльных

сотрудников

взлом сайтов

взлом аккаунтов в социальных сетях

взлом средств связи

спам-сообщения

фишинговые ссылки

вредоносные скрипты

уязвимости ПО

дополнительная разведка параметров среды и защитных систем

модификация кода Загрузка

модифицированных компонентов

повышение полномочий в контролируемых системах

распространение по сети

получение доступа к искомой информации

отключение систем защиты

шифрование и фрагментированиеинформации

передача информации за пределы контролируемой зоны

Скрытие и уничтожение следов деятельности вредоносного ПО

https://securelist.ru

APT: почему мы думаем, что это не про нас? На Западе статистику инцидентов ИБ более аккуратно

собирают

У нас нет законов, обязывающих компании отчитываться о фактах утечки

Подавляющее большинство целенаправленных атак проходят незамеченными

8 из 20

Решение: что это такое и зачем это нужно Оставить как есть

Системы обнаружения целевых атак

Эшелонированная система обеспечения информационной безопасности

9 из 20

Архитектура

10 из 20

Программно-аппаратный комплекс (ПАК) в сети на границе сети (анализ входящего/исходящего трафика) в коммутируемой сети (анализ внутреннего трафика) облако

Агенты на рабочих станциях и серверах агенты сервер управления облако

Облачный сервис (используютсясуществующие агенты)

Функциональные возможности Статический анализ

Динамический анализ

Статистический анализ

Корреляция

Информирование ответственных лиц

Статистика

Исключения

Распространение агентов

Контроль отправки в облако

В сети

На конечных точках

В почте

11 из 20

Как это работает: статический анализ

12 из 20

Поиск по базе данных

Выявление вредоносного кода

Выявление известных шаблонов поведения вредоносного ПО

Как это работает: динамический анализ

13 из 20

«Песочница» на ПАК

«Песочница» в облаке

Наблюдение за поведением потенциально-опасного ПО непосредственно на конечных точках

Как это работает: Статистический анализ

14 из 20

Статистический анализ сетевого трафика Статистический анализ критических областей на конечных

точках автозагрузка драйверы системные службы процессы загруженные модули ядра загрузочные области расширения и модули браузеров записи в файле hosts DNS-записи

Как это работает: Корреляция Корреляция событий в рамках одного модуля

Корреляция событий, полученных с сенсоров на разных каналах

Корреляция данных с различных объектов

Корреляция и обмен даннымимежду производителямисистем

15 из 20

Преимущества и недостатки Преимущества:

это работает!

Недостатки: большое количество ложных срабатываний

сложная настройка

необходимость участия эксперта

16 из 20

Интеграция Один класс, один производитель, несколько продуктов

корреляция событий, полученных по разным каналам Один производитель, разные классы, разные продукты

корреляция событий корреляция событий в

«командном центре» интеграция с системами

противодействия Разные производители,

разные классы, разные продукты обмен информацией об атаках,

единая аналитическая экосистема Интеграция с SIEM-системами

17 из 20

Границы применимости

18 из 20

Обнаружение, но не предотвращение

Решение построенное на анализе только одного канала не сможет анализировать информацию с других каналов

Необходимость интерпретации данных системы

Необходимость тонкой настройки

Необходимость участия высококлассных специалистов

Как выбрать Функциональные возможности

Производитель

Интеграция

Архитектура агенты на конечных точках

физические устройства

облако

Стоимость

19 из 20

Типичные представители

20 из 20

Краткие итоги Системы обнаружений целенаправленных атак это:

обнаружение атак, необнаруживаемыхдругими средствами

контроль в сети, в почте и на конечных точках многофакторный анализ и корреляция средство, требующее тонкой настройки средство, требующее грамотного

управления средство, которое обнаруживает атаки,

но не отражает их не волшебная палочка

21 из 20

Гаврилов Вадимvgavrilov@ussc.ru

ООО «УЦСБ»620100, Екатеринбург, ул. Ткачей, д. 6

Тел.: +7 (343) 379-98-34Факс: +7 (343) 209-57-38

info@ussc.ruwww.USSC.ru

Спасибо за внимание!Пожалуйста, задавайте вопросы!

Ваши комментарии и предложения Вы можете присылать по адресу:

event@ussc.ru