Лаборатория Касперского. Александр Бондаренко....

Kaspersky Anti Targeted Attack platform

СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ

ТРЕНДЫ И ПРОБЛЕМАТИКА

ТЕНДЕНЦИИ КОРПОРАТИВНОЙ ИБ НА 2016

Большинство передовых угроз строятся на базовых техниках и методах социальной инженерии

Существенное снижение затрат и массовый рост предложений (Кибератака-Как-Сервис)

Недостаток оперативной информации в виду динамического усложнения ИТ инфраструктуры

Резкий спад эффективности периметровой защиты

Рост количества атак на поставщиков, 3-их лиц и небольшие компании (SMB)

В среднем целевая атака с момента её появления остается необнаруженной более 214 дней

#CODEIB

КАК МНОГИЕ ВИДЯТ ЛАНДШАФТ УГРОЗ ДЛЯ СЕБЯ…

4

Классические решения

Antivirus, Endpoint Security

Firewall, Access control

IDS/IPS

Data leakage protection

Web/mail gateway

Нужна новая защита?

Непонятно,но ОЧЕНЬ страшно и ОПАСНО

Unknown Threats

Known Threats

99%

1%… зачем инвестировать, если компания может никогда не стать целью?

…

#CODEIB

РИСК ОТ ЦЕЛЕВЫХ АТАК И ВОЗВРАТ ИНВЕСТИЦИЙ

5

29%70%

1%

Know

n Th

reat

s

Unkn

own

Thre

ats

Adva

nced

Thre

ats

Targ

eted

At

tack

s

APT

EnterprisesSMBs

Средний размер потерь от целевых атак

$2,54M$84к

#CODEIB

ОТ ЧЕГО ЖЕ ЗАЩИЩАТЬСЯ…

6

APT – это комбинация утилит, передового вредоносного ПО, уязвимостей нулевого дня и тд.

Целевая атака – это непрерывный процесс

несанкционированной активности в

инфраструктуре «цели» удаленно управляемый в

реальном времени вручную

#CODEIB

ТИПОВОЕ РАЗВИТИЕ ЦЕЛЕВОЙ АТАКИ

7

НЕГАТИВНОЕ ВОЗДЕЙСТВИЕ

РАСПРОСТРАНЕНИЕ ПРОНИКНОВЕНИЕ

ПОДГОТОВКА

ЦЕЛЕВАЯ АТАКА МОЖЕТ ДЛИТЬСЯ

МЕСЯЦЫ… И ГОДАМИ

ОСТАВАТЬТСЯ НЕОБНАРУЖЕННОЙ

• кража идентификационных данных

• повышение привилегий• налаживание связей• легитимизация действий• получение контроля

• использование слабых мест

• проникновение внутрь инфраструктуры

• анализ цели• подготовка стратегии• создание/покупка тулсета

• доступ к информации• воздействие на бизнес

процессы• сокрытие следов• тихий уход

#CODEIB

КАК ПРАВИЛЬНО ОЦЕНИТЬ МАСШТАБ УГРОЗЫ

8

Простои

Прямыепотери

Последующиетраты

Потерянные возможности

Восстановле-ние

IT-консалтингАудиторы

PR-активностиСудебные траты

Потеря прибыли во

время простоя

Потеря данных, обман и тд.

Обучение

Персонал

Системы

Чтобы не повторилось

вновь

Закрытие уязвимостейПокупка решений безопасности (DB protection, Endpoint, PIM, SIEM..)Замена «плохой» системы

Наём специалистов (ручное обнаружение)Пересмотр бизнес процессов (новые роли)

Повышение осведомленности сотрудниковПовышение экспертизы службы ИБ

#CODEIB

ОЖИДАНИЯ БИЗНЕСА: РАСШИРЕНИЕ ИНВЕСТИЦИЙ ВНЕ ПРОТИВОДЕЙСТВИЯ• Текущий размер инвестиций: 80%

на превентивные технологии / 20% на обнаружение, реагирование и прогнозирование (Крупные компании: 90%/10%)

• Планы опрошенных заказчиков на ближайшие 3 года: 40% / 60%

• Основано на опросе проведенном Лабораторией Касперского в ноябре 2015 года. Более 6700 компаний опрошенных по миру.

80 20

СЕГОДНЯ

40 60

В БУДУЩЕМ

#CODEIB

СТРАТЕГИЯ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕНАПРАВЛЕННЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ

11

ПРЕДОТВРАЩЕНИЕ

ОБНАРУЖЕНИЕРЕАГИРОВАНИЕ

ПРОГНОЗИРОВАНИЕ

АДАПТИВНАЯ МОДЕЛЬ ПРОТИВОДЕЙСТВИЯ ПЕРЕДОВЫМ УГРОЗАМ ИБ

Управление уязвимостями

Анализ потенциальных целей атакующего

Планирование развития стратегии защиты

Оперативное реагирование на инциденты

Расследование:•реконструкция атак•поиск затронутых активов

Выявление попыток и фактов существующего проникновения

Подтверждение и приоритезация событий

Снижение рисков проникновения

Повышение безопасности систем и процессов

#CODEIB

ПРЕДОТВРАЩЕНИЕ ПРОДВИНУТЫХ УГРОЗ И СНИЖЕНИЕ РИСКА ЦЕЛЕНАПРАВЛЕННЫХ АТАК

ЦЕЛЕВЫЕ РЕШЕНИЯ ЛК

13

Защита рабочих мест

Защита мобильных устройств

Защита сред виртуализации

Защита встроенных

систем

Защита от DDoS-атак

Защита Дата Центров

Защита промышленных сетей

Противодействие мошенничеству

#CODEIB

ОБУЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

14

Базовый курс обучения вопросам ИБ

•Понимание проблематики и базовые навыки обеспечения защиты

Практический курс обучения вопросам ИБ

•Понимание тенденций и развитие ландшафта обеспечения информационной безопасности

Создать

Работать

#CODEIB

ПРЕДОТВРАЩЕНИЕ

15

• Cybersecurity training

• Kaspersky Lab Enterprise security solutions

• Cyber safety Games• Threat simulation

ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:

ЗАЩИТА:

ОБУЧЕНИЕ:

ПРЕДОТВРАЩЕНИЕ

#CODEIB

ПОСТОЯННЫЙ МОНИТОРИНГ ДЛЯ ОБНАРУЖЕНИЯ ПЕРЕДОВЫХ УГРОЗ И ЦЕЛЕНАПРАВЛЕННЫХ АТАК

ОБНАРУЖЕНИЕ ЦЕЛЕВЫХ АТАК ИМЕЮЩИМИСЯ СРЕДСТВАМИ

17

• PIM• DB protection• Access control

• DLP• Outbound traffic

behavior• proxy (MITM)• NIDS

• IoC• Mail-proxy• firewall• Traffic sensors• HIDS, EPP• access logs

• Firewall logs• Web server logs• Web-firewall logs• Brand monitoring

services• Недостаток компетенции

для корреляции разнородных событий

• Недостаток знаний о существующих угрозах

ПОДОЗРИТЕЛЬНЫЕ АКТИВНОСТИ

ИНЦИДЕНТЫ ПРОНИКНОВЕНИЙ

ОПОВЕЩЕНИЯ РЕШЕНИЙ ИБ

ИНДИКАТОРЫ ПОДГОТОВКИ

#CODEIB

ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ СУЩЕСТВУЮЩИХ РЕШЕНИЙ

18

Оперативная информация о новых

целевых атаках

Повышение эффективности существующей SIEM-системы

• Malicious URLs• Phishing URLs• Botnet C&C URLs• Malware Hashes• Mobile Malware Hashes• P-SMS Trojan Feed• Mobile Botnet C&C URLs

Проактивное оповещение об угрозах безопасности

• Детальная информация как обнаружить угрозу внутри сети

• Обновление новой информацией по угрозе со временем

• Подписка на все выявленные целевые атаки ЛК (Global Targeted Attacks)

#CODEIB

KASPERSKY ANTI TARGETED ATTACK PLATFORM

АРХИТЕКТУРА РЕШЕНИЯ

20

• Сенсоры• Сетево

й• Web • Email• Рабочи

х мест

• Processing engines

• AV engine• Risk Engine• Targeted Attack

Analyzer• Advanced

Sandbox

• Визуализация• Логи

активностей• Записи

трафика (Pcaps)

• Syslog

• Сервисы оперативного реагирования экспертами ЛК

• Обучение

Вердикт РеагированиеАнализСбор данных

#CODEIB

• Задача: мониторинг активности корпоративной среды и сбор объектов для анализа

• Решение: специализированные сенсоры сбора данных:• Сетевой трафик • Сессии пользователей (прокси)• Почтовые сообщения• Сетевая активность рабочих станций и

серверов

СБОР ДАННЫХ: РАБОЧИЕ МЕСТА, СЕТЕВЫЕ АКТИВНОСТИ, WEB И MAIL

#CODEIB

• Задача: корреляция событий и вердиктов ИБ связанных с целевыми атаками

• Подход:• Обнаружение аномалий путем анализа

мета-данных• Корреляция данных сетевого уровня,

рабочих станций и серверов• Связка разноплановых событий в

единый инцидент или в привязке к пользователю

АНАЛИЗ ДАННЫХ: АНАЛИЗАТОР ЦЕЛЕВЫХ АТАК

#CODEIB

• Задача: выявление вредоносной активности объектов на основе поведения

• Решения: Передовая Песочница• На основе внутреннего решения ЛК• 10-лет разработки и развития

• Поддерживаемые среды• Windows XP, 7 (32/64)• Android

АНАЛИЗ ДАННЫХ: ПЕРЕДОВАЯ ПЕСОЧНИЦА

#CODEIB

• Задача: получение данных об угрозе из разнородных источников анализа

• Решение:• Получение вердиктов анти-вирусного

движка• Шаблоны детектирования на основе

настраиваемых правил (YARA)• Обнаружение попыток соединения с

известными вредоносными хостами• Репутационные данные для

обнаружения подозрительного вредоносного ПО и соединений

АНАЛИЗ ДАННЫХ: ПОЛУЧЕНИЕ РАСШИРЕННОЙ КАРТИНКИ

#CODEIB

ВЫНЕСЕНИЕ ВЕРДИКТОВ: ВИЗУАЛИЗАЦИЯ И РАССЛЕДОВАНИЕ

• Задача: представление результатов для удобства реагирования

• Решение: Консоль визуализации и администрирования• Мониторинг в реальном-времени• Поиск по событиям• Интеграция с SIEM-системами (Event log, Syslog)

#CODEIB

ПРОЦЕСС

26

Интернет

Ноутбуки

ПК

Сервера

Почта

Сетевые сенсоры

Сенсоры рабочих

местПесочниц

а

SB Activity LogsPcaps, Sys-log

Консоль администратора

Инцидент

Офицер ИБ

Группа реагировани

я

Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз

Аналитический центр

SIEM SOC• мета-данные• подозрительные

объекты

• Сетевая активность рабочего места Verdicts DB

#CODEIB

KASPERSKY ANTI TARGETED ATTACK PLATFORMОбнаружение целенаправленных атак и передовых угроз невидимых для традиционных решений корпоративной безопасности

Мультиуровневый мониторинг корпоративной инфраструктуры

Передовое обнаружение с использованием «песочницы»

Глобальная статистика угроз и экспертиза ЛК

Повышенная видимость для оперативного обнаружения

Оперативное обнаружение целевых атак и передовых угроз

Ретроспективный анализ и расследование

Гибкость установки в сложных и динамических ИТ-инфраструктурах

#CODEIB

ОБУЧЕНИЕ РЕАГИРОВАНИЮ НА ИНЦИДЕНТЫ

28

Incident response training

Обучение правильному построению процесса реагирования – это ключевая задача эффективного использования ЛЮБОГО

анти-APT решения

Расследовать как инцидент произошел

Быстро восстановить системы

#CODEIB

ОБНАРУЖЕНИЕ

29

• Cybersecurity training

• Kaspersky Lab Enterprise security solutions

• Cyber safety Games• Threat simulation

ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:

ЗАЩИТА:

ОБУЧЕНИЕ:

ПРЕДОТВРАЩЕНИЕ

• Targeted AttackInvestigation Training

• APT reporting• Botnet tracking• Threat data feeds

• Kaspersky Anti Targeted Attack Platform

РЕШЕНИЕ:

ЛАНДШАФТУГРОЗ:

ЭКСПЕРТИЗА:

ОБНАРУЖЕНИЕ

#CODEIB

ОПЕРАТИВНОЕ РЕАГИРОВАНИЕ НА ВЫЯВЛЕННЫЕ ИНЦИДЕНТЫ ЦЕЛЕНАПРАВЛЕННЫХ АТАК

31

ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ ВЫХОДЯТ НА НОВЫЙ УРОВЕНЬ

Атака целевая или широконаправленная? Сталкивался в мире кто-то с аналогичным вредоносом или аномалией?

Как противодействовать заражению пока не выпущена сигнатура?

Как оперативно выявлять неизвестные ранее угрозы?Как оценить степень опасности аномального ПО?Как выявить источник заражения и предотвратить повторение?

Как минимизировать ущерб в случае заражения?

Комплексный подход к обеспечению корпоративной защиты требует глобального мониторинга и глубокой компетенции в киберугрозах для ответа на ключевые вопросы служб ИБ:

#CODEIB

ЭКСПЕРТНАЯ ПОМОЩЬ В РЕАГИРОВАНИИ НА ИНЦИДЕНТЫ

Фазы реагирования Анализ вредоносного ПО

Цифровое расследование

Реагирование на инциденты

Incident assessment X

Collecting evidence X

Performing forensic analysis X X

Performing malware analysis X X X

Creating a remediation plan X X X

Creating an investigation report

X X X

#CODEIB

РЕАГИРОВАНИЕ

33

• Cybersecurity training

• Kaspersky Lab Enterprise security solutions

• Cyber safety Games• Threat simulation

ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:

ЗАЩИТА:

ОБУЧЕНИЕ:

ПРЕДОТВРАЩЕНИЕ

• Targeted AttackInvestigation Training

• APT reporting• Botnet tracking• Threat data feeds

• Kaspersky Anti Targeted Attack Platform

РЕШЕНИЕ:

ЛАНДШАФТУГРОЗ:

ЭКСПЕРТИЗА:

ОБНАРУЖЕНИЕРЕАГИРОВАНИЕ

• Incident response service

• Malware analysis service• Digital forensics services

РАССЛЕДОВАНИЕ:

#CODEIB

ПОНЯТЬ ТЕКУЩЕЕ СОСТОЯНИИ И СПРОГНОЗИРОВАТЬ ОТКУДА МОЖЕТ ПРИЙТИ АТАКА И КУДА НАЦЕЛЕНА

ПРЕДУГАДАТЬ И ОЦЕНИТЬ СТОЙКОСТЬ ВОЗМОЖНЫХ ЦЕЛЕЙ ЗЛОУМЫШЛЕННИКОВ

35

Application

• Эмуляция реальных действий злоумышленников

• Мы анализируем:– Various web applications (including

online banking), taking into account business logic

– Mobile applications– Applications having fat clients– Developing tools and software developing

process– Web applications with an enabled WAF

(to assess its effectiveness)

Проприетарые бизнес приложения –самая частая цель злоумышленников

Business process automation, data access, business controls,security controls, data creation, etc

#CODEIB

ВЫЯВИТЬ УЯЗВИМЫЕ СЛАБЫЕ МЕСТА

36

…• Penetration testing Service– Black/gray box security assessment of internal/external network, system and application

infrastructure*• Преимущества для заказчиков:– оценка собственной защиты с позиции

злоумышленника

– достижение е соответствия требованиям стандартов безопасности (например PCI DSS)

• Сервис дополнительно может включать:– Анализ поведения и осведомленности сотрудников в

социальных сетях

– оценка беспроводных соединений и точек доступа

– Аудит (white-box) систем с полученными высокими привилегиями

#CODEIB

ПРОАКТИВНОЕ ОБНАРУЖЕНИЕ ЦЕЛЕВОЙ АТАКИ В СЛУЧАЕ КОГДА НЕТ ИНЦИДЕНТОВ ИБ

37

…

KL Targeted Attack Discovery Service

•Анализ угроз и потенциальных вариантов атак•Анализ сетевой активности и системных артефактов (IoC)•Сбор доказательств на стороне заказчика и раннее реагирование•Анализ доказательств •Подготовка экспертного отчета

ЦЕЛЕВАЯ АТАКА МОЖЕТ ЗАНИМАТЬ ГОДЫ И ВООБЩЕ НИКОГДА НЕ БЫТЬ

ОБНАРУЖЕННОЙ

#CODEIB

СТРАТЕГИЯ АДАПТИВНОЙ КОРПОРАТИВНОЙ ИБ

38

• Cybersecurity training

• Kaspersky Lab Enterprise security solutions

• Cyber safety Games• Threat simulation

ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:

ЗАЩИТА:

ОБУЧЕНИЕ:

ПРЕДОТВРАЩЕНИЕ

• Targeted AttackInvestigation Training

• APT reporting• Botnet tracking• Threat data feeds

• Kaspersky Anti Targeted Attack Platform

РЕШЕНИЕ:

ЛАНДШАФТУГРОЗ:

ЭКСПЕРТИЗА:

ОБНАРУЖЕНИЕРЕАГИРОВАНИЕ

• Incident response service

• Malware analysis service• Digital forensics services

РАССЛЕДОВАНИЕ:

ПРОГНОЗИРОВАНИЕ

• Penetration testing service

• Security assessment service

• Targeted Attack Discovery Service

САМОАНАЛИЗ:

#CODEIB

КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА

ПРИВАТНАЯ ИНСТАЛЛЯЦИЯ РЕШЕНИЯ

40

Соответствие требованиям регуляторов и стандартам ИБ

Соответствие регуляторам

Стандарты безопасности

Бизнес необходимость

ИТ-требования

Kaspersky PrivateSecurity Network

Основные преимущества KPSN:•размещение репутационной базы ЛК (полный дамп данных) внутри защищаемой инфраструктуры•исключение передачи информации вне контролируемой сети•одностороннее получение оперативных обновлений от KSN•высокая производительность (сотни тысяч запросов)•осведомленность в режиме реального времени

Локально размещаемая версия базы KSN

#CODEIB

КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА

41 #CODEIB

42

В ДОЛГОСРОЧНОЙ ПЕРСПЕКТИВЕ

• Интеграция с существующими решениями Лаборатории Касперского

• Автоматизация реагирования на выявленные инциденты

• Новый модуль решения (EDR) разработанный для автоматизации расследований и сбора электронных доказательств

• Аналитическая платформа для выявления угроз и глубокого расследования

Интеграция Реагирование Аналитика

#CODEIB

СПАСИБО!

Kaspersky Labwww.kaspersky.com