Лаборатория Касперского. Сергей Булович. ИТС...

Целевые атаки - миф или реальность?

Сергей БуловичРегиональный менеджер по СЗФО Санкт-Петербург, 2016 года

Большинство передовых угроз строятся на базовых техниках и методах социальной инженерии

Существенное снижение затрат и массовый рост предложений (Кибератака-Как-Сервис)

Недостаток оперативной информации в виду динамического усложнения ИТ инфраструктуры

Резкий спад эффективности периметровой защиты

Рост количества атак на поставщиков, 3-их лиц и небольшие компании (SMB)

В среднем целевая атака с момента её появления остается необнаруженной более 214 дней

Тенденции корпоративной ИБ на 2016 год.

КИБЕРАТАКИ НА ПРОМЫШЛЕННЫЕ ИНФРАСТРУКТУРЫ

Новость от 14 августа 2003.На востоке США и Канады без электричества остались 50 миллионов

человек!

Из-за неких неполадок в электросети50 миллионов человек остались без

электричества на срок от нескольких часов до нескольких дней. Обсуждалось много

причин этой техногенной катастрофы, в том числе нестриженные деревья, удар молнии, злонамеренные белки и …версия побочного эффекта от атаки

компьютерного червя Slammer (Blaster).

Новость от 25 марта 2016.Хакеры нечаянно атаковали водоочистные сооружения.

Сбои SCADA-оборудования не случайны, — в работу Kemuri Water Company вмешались хакеры.

Взломщики определено не понимали, к чему они получили доступ и проникли в систему AS/400 из

любопытства. Похоже, что настройки водоочистной системы они поменяли случайным

образом, просто экспериментируя и пытаясь понять, что это такое.

• Практически вся инфраструктура была построена вокруг IBM AS/400, которую впервые представили 1988 году.

• AS/400 оказалась доступной из интернета, потому что через нее проходил трафик веб-сервера.

ВЗЛОМ АСУ ТП – ПРИЗ ЗА ЛУЧШИЙ СЦЕНАРИЙНаполнение бензовозов «лишним» топливом. Основано на реальных событиях.

Система автоматизации взломана. Как это использовать?

Пустой бензовоз приезжает на нефтебазу

Заливка топлива… с «небольшой» поправкой

Бензовоз покидает нефтебазу

«Лишнее» топливо сливается

2% топлива с каждого бензовоза

KASPERSKY INDUSTRIAL CYBERSECURITYСТРАТЕГИЧЕСКИЙ ПОДХОД К ЗАЩИТЕ КРИТИЧЕСКИХ ИНФРАСТРУКТУР

ДРУГИЕ ПРИОРИТЕТЫ

Запрет по умолчанию

Оценка уязвимостей

Контроль устройств

Контроль целостности ПЛК

Режим высокой доступности

Работает на SCADA-серверах, инженерных

рабочих станциях и поддерживает HMI

Kaspersky Industrial CyberSecurity FOR NODES

Обнаружение аномалий в технологических

сетях

Обнаружение управляющих команд,

приводящих к нарушению технологического

процесса

Контроль целостности сети (обнаружение

новых устройств в промышленной сети)

Расследование, мониторинг и средство

обнаружения инцидентов

Kaspersky Industrial CyberSecurity FOR NETWORKS

KICS for Networks

ICS/SCADA

РЕАЛИЗОВАННЫЕ ПРОЕКТЫ

«Решение Kaspersky Industrial CyberSecurity полностью удовлетворяло нашим требованиям, а также обеспечило такие функции, как контроль устройств и возможность централизованного управления и мониторинга состояния защищенных узлов». Роман Янукович, технический директор, VARS

ЗАДАЧА:

Терминал является местом хранения и перевалки токсических материалов: поэтому противодействие вирусным атакам жизненно важно для ведения бизнеса.

ОСОБЕННОСТИ:

► Защита в изолированной среде

► Контроль на основе белых списков

ЗАЩИТА ТРАНСПОРТНОГО ТЕРМИНАЛА VARS

«Уже в первые месяцы работы решение по защите индустриальных объектов «Лаборатории Касперского» обнаружило несанкционированное подключение стороннего ноутбука к одному из контроллеров, а также попытку изменить параметры работы датчика».Марат Гильметдинов, начальник отдела АСУ ТП, ТАНЕКО

ЗАДАЧА:

Поддержание непрерывности технологических процессов как основного приоритета компании.

ОСОБЕННОСТИ:

► Оперативная поддержка на всех этапах

► Обнаружение несанкционированных подключений

ТАНЕКО ЗАЩИЩАЕТ ПРОИЗВОДСТВЕННЫЕ МОЩНОСТИ

KASPERSKY ANTI TARGETED ATTACK PLATFORM

НАШИ ИССЛЕДОВАНИЯ Мы находим и пристально изучаем самые сложные в мире угрозы

Duqu

miniFlame

Gauss

Icefog

Winnti

NetTraveler

Miniduke

Epic Turla

Energetic Bear / Crouching Yeti

Красный октябрь

CosmicDuke

Darkhotel

Маска

Regin

2010 2011 2012 2013 2014

Sofacy

Carbanak

Desert Falcons

Equation

Naikon

Hellsing

2015

TeamSpy

Duqu 2.0

Animal Farm

Kimsuky

Stuxnet Flame

Darkhotel

MsnMMCampaigns

Satellite Turla

Wild Neutron

Blue Termite

Spring Dragon

KATA

Интернет

Ноутбуки

ПК

Сервера

Почта

Сетевые сенсоры

Сенсоры рабочих

мест

Песочница

SB Activity LogsPcaps, Sys-log

Инцидент

Офицер ИБ

Группа реагирования

Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз

Аналитический центр

SIEM SOC• мета-данные• подозрительные объекты

• Сетевая активность рабочего места

Verdicts DB

Консоль администратора

ЕДИНАЯ ПЛАТФОРМА БЕЗОПАСНОСТИ Kaspersky Security для бизнеса

Изв

естн ые

угр

озы

Загрузка файлов

Запуск файлов

Выполнение файлов

29%70% 1%

Проактивные технологии

Реактивные технологии

Анти

фиш

инг

(поч

товы

й тр

афик

)

HIPS

и

сете

вой

экра

н (с

етев

ой

траф

ик)

Фил

ьтра

ция

URL-

адре

сов

(инт

ерне

т-тр

афик

)Ан

тисп

ам(п

очто

вый

траф

ик)

Черн

ые

спис

ки

Неи

звес

тн ые

угро

зыЭв

рист

ичес

кие

техн

олог

ии

Белы

е сп

иски

Кон

трол

ь пр

огра

мм

Сл

ожны

еуг

розыBS

S

AEP

Мон

итор

инг

сист

емы

Kaspersky Security Network

Мониторинг уязвимостей и патч-менеджмент

СТРАТЕГИЯ АДАПТИВНОЙ КОРПОРАТИВНОЙ ИБ

• Cybersecurity training

• Kaspersky Lab Enterprise security solutions

• Cyber safety Games• Threat simulation

ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:

ЗАЩИТА:

ОБУЧЕНИЕ:

ПРЕДОТВРАЩЕНИЕ

• Targeted AttackInvestigation Training

• APT reporting• Botnet tracking• Threat data feeds

• Kaspersky Anti Targeted Attack Platform

РЕШЕНИЕ:

ЛАНДШАФТУГРОЗ:

ЭКСПЕРТИЗА:

ОБНАРУЖЕНИЕ

РЕАГИРОВАНИЕ

• Incident response service

• Malware analysis service• Digital forensics services

РАССЛЕДОВАНИЕ:

ПРОГНОЗИРОВАНИЕ

• Penetration testing service

• Security assessment service

• Targeted Attack Discovery Service

САМОАНАЛИЗ:

Сетевые сенсоры

Интеграция с сетевым оборудованием

Интеграция с прокси серверами

Почтовые сенсоры

Сбор почты с серверов

Мониторинг конечных станций

Сбор информации

23Security Day 2016

Поиск аномалий

Статистическая модель

Машинное обучение

Репутационная информация

Корреляция данных с агентов

Сопоставление различных событий

Использование экспертизы

Анализ данных: Статистика

24Security Day 2016

Технологическая основа

Основана на внутреннем проекте компании

Больше 10 лет успешного использования

Поддержка платформ

Windows XP

Windows 7 x32

Windows 7 x64

Технология защиты от обхода Sandbox

Анализ данных: объекты

25Security Day 2016

Поддержка KSN/KPSN

Репутация файлов

Репутация сайтов/доменов

Известные центры управления

История доменов

Шаблоны поведения

Анализ данных: мнение большинства

26Security Day 2016

«Что знает Лаборатория Касперского?»

Поддержка настраиваемых правил

Обнаружение известных атак

Использование облака для связи

вредоносных объектов и соединений

Анализ данных: большая картина

27Security Day 2016

Мониторинг в реальном времени

Настраиваемые фильтры

Цепочки событий

Интеграция с SIEM

Вердикт: представление и расследование

28Security Day 2016

Экспертные сервисы

Объединенные с продуктом: поиск

целевых атак; расследование

инцидентов

Дополнительно: анализ защищенности,

информирование об угрозах, тренинги

по безопасности

Реагирование: необходима экспертиза

Обучение реагированию на инцидентыIncident response training

Обучение правильному построению процесса реагирования – это ключевая задача эффективного использования ЛЮБОГО анти-APT

решения

Расследовать как инцидент произошел

Быстро восстановить системы

Тренинги• Однодневный тренинг: Общий курс по проблемам безопасности в промышленных сетях

• Однодневный тренинг: Социальные атаки на промышленных предприятиях

• Деловая игра: Kaspersky Industrial Protection Simulation

СПАСИБО!

www.kaspersky.ru/enterprise-security