Download - 2015 09 23 ИБ Стратегия обороны серия №8
![Page 1: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/1.jpg)
ИБ: СТРАТЕГИЯ ОБОРОНЫ
23.09.2015
Серия восьмая: Системы обнаружения целевых атак
Гаврилов Вадимведущий системный инженер
Борисова Ольгаменеджер по работе с ключевыми Заказчиками
![Page 2: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/2.jpg)
2 из 20
Серия вебинаров «ИБ: Стратегия обороны» Серия первая. Устав караульной службы (13.04.2015)
Планирование и внедрение систем защиты информации Серия вторая. Почему порядок не убираете? (27.04.2015)
Системы контроля доступа к информации Серия третья. Разновидности колючей проволоки (20.05.2015)
Системы контроля доступа к устройствам Серия четвертая. Таможня дает «добро»! (ч. I ) (3.06.2015)
Системы защиты от утечек Серия четвертая. Таможня дает «добро»! (ч. II) (17.06.2015)
Системы защиты от утечек Серия пятая. Будни контрразведчика: шпионаж, саботаж, макияж (29.07.2015)
Системы контроля персонала Серия шестая. Фельдъегеря: перед прочтением съесть (12.08.2015)
Системы управления правами доступа к документам Серия седьмая. Самый опасный род войск неприятеля - это свои предатели
(26.08.2015) Системы контроля привилегированных пользователей
Серия восьмая. Космические войска: вторжение внеземных технологий (23.09.2015) Системы обнаружения целевых атак
![Page 3: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/3.jpg)
Протокол
Длительность вебинара составит 1 час
Вопросы можно задавать по ходу вебинара на вкладке questions
Есть приз за самое активное участие!
Обратная связь по адресу [email protected]
Запись вебинара будет выслана всем зарегистрировавшимся!
P.S. Кого рекламируем?
3 из 20
![Page 4: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/4.jpg)
О чем эта презентация? Формулировка проблемы APT: что это такое? APT: схема атаки Почему мы думаем, что
это не про нас? Решение: что это такое и
зачем это нужно Архитектура Функциональные
возможности
Как это работает? Преимущества и
недостатки Интеграция Границы применимости Как выбрать? Типичные представители
4 из 20
![Page 5: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/5.jpg)
Формулировка проблемы
Усложнение схем атаки
Усложнение используемых механизмов
Использование уязвимостей нулевого дня
Целевые атаки
Социальная инженерия
Традиционные схемы защитыперестают работать
5 из 20
![Page 6: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/6.jpg)
APT: что это такое? Целенаправленность
Социальная инженерия
Адаптация к цели атаки
Сложность схемы
Использование передовых технологий
Протяженность во времени
6 из 20
![Page 7: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/7.jpg)
APT: схема атаки
7 из 20
МОДИФИКАЦИЯ
И
РАСПРОСТРАНЕ-
НИЕ
УДЕРЖАНИЕ
ПОЗИЦИЙ И
КРАЖА
ИНФОРМАЦИИ
ВНЕДРЕНИЕРАЗВЕДКА
сбор информации о сотрудниках
выявление сотрудников-целей
изучение инфраструктуры предприятия
изучение систем защиты
опрос контрагентов внедрение агентов поиск нелояльных
сотрудников
взлом сайтов
взлом аккаунтов в социальных сетях
взлом средств связи
спам-сообщения
фишинговые ссылки
вредоносные скрипты
уязвимости ПО
дополнительная разведка параметров среды и защитных систем
модификация кода Загрузка
модифицированных компонентов
повышение полномочий в контролируемых системах
распространение по сети
получение доступа к искомой информации
отключение систем защиты
шифрование и фрагментированиеинформации
передача информации за пределы контролируемой зоны
Скрытие и уничтожение следов деятельности вредоносного ПО
https://securelist.ru
![Page 8: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/8.jpg)
APT: почему мы думаем, что это не про нас? На Западе статистику инцидентов ИБ более аккуратно
собирают
У нас нет законов, обязывающих компании отчитываться о фактах утечки
Подавляющее большинство целенаправленных атак проходят незамеченными
8 из 20
![Page 9: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/9.jpg)
Решение: что это такое и зачем это нужно Оставить как есть
Системы обнаружения целевых атак
Эшелонированная система обеспечения информационной безопасности
9 из 20
![Page 10: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/10.jpg)
Архитектура
10 из 20
Программно-аппаратный комплекс (ПАК) в сети на границе сети (анализ входящего/исходящего трафика) в коммутируемой сети (анализ внутреннего трафика) облако
Агенты на рабочих станциях и серверах агенты сервер управления облако
Облачный сервис (используютсясуществующие агенты)
![Page 11: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/11.jpg)
Функциональные возможности Статический анализ
Динамический анализ
Статистический анализ
Корреляция
Информирование ответственных лиц
Статистика
Исключения
Распространение агентов
Контроль отправки в облако
В сети
На конечных точках
В почте
11 из 20
![Page 12: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/12.jpg)
Как это работает: статический анализ
12 из 20
Поиск по базе данных
Выявление вредоносного кода
Выявление известных шаблонов поведения вредоносного ПО
![Page 13: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/13.jpg)
Как это работает: динамический анализ
13 из 20
«Песочница» на ПАК
«Песочница» в облаке
Наблюдение за поведением потенциально-опасного ПО непосредственно на конечных точках
![Page 14: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/14.jpg)
Как это работает: Статистический анализ
14 из 20
Статистический анализ сетевого трафика Статистический анализ критических областей на конечных
точках автозагрузка драйверы системные службы процессы загруженные модули ядра загрузочные области расширения и модули браузеров записи в файле hosts DNS-записи
![Page 15: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/15.jpg)
Как это работает: Корреляция Корреляция событий в рамках одного модуля
Корреляция событий, полученных с сенсоров на разных каналах
Корреляция данных с различных объектов
Корреляция и обмен даннымимежду производителямисистем
15 из 20
![Page 16: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/16.jpg)
Преимущества и недостатки Преимущества:
это работает!
Недостатки: большое количество ложных срабатываний
сложная настройка
необходимость участия эксперта
16 из 20
![Page 17: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/17.jpg)
Интеграция Один класс, один производитель, несколько продуктов
корреляция событий, полученных по разным каналам Один производитель, разные классы, разные продукты
корреляция событий корреляция событий в
«командном центре» интеграция с системами
противодействия Разные производители,
разные классы, разные продукты обмен информацией об атаках,
единая аналитическая экосистема Интеграция с SIEM-системами
17 из 20
![Page 18: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/18.jpg)
Границы применимости
18 из 20
Обнаружение, но не предотвращение
Решение построенное на анализе только одного канала не сможет анализировать информацию с других каналов
Необходимость интерпретации данных системы
Необходимость тонкой настройки
Необходимость участия высококлассных специалистов
![Page 19: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/19.jpg)
Как выбрать Функциональные возможности
Производитель
Интеграция
Архитектура агенты на конечных точках
физические устройства
облако
Стоимость
19 из 20
![Page 20: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/20.jpg)
Типичные представители
20 из 20
![Page 21: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/21.jpg)
Краткие итоги Системы обнаружений целенаправленных атак это:
обнаружение атак, необнаруживаемыхдругими средствами
контроль в сети, в почте и на конечных точках многофакторный анализ и корреляция средство, требующее тонкой настройки средство, требующее грамотного
управления средство, которое обнаруживает атаки,
но не отражает их не волшебная палочка
21 из 20
![Page 22: 2015 09 23 ИБ Стратегия обороны серия №8](https://reader036.vdocuments.pub/reader036/viewer/2022081323/58a4ca761a28ab480e8b59f1/html5/thumbnails/22.jpg)
Гаврилов Вадим[email protected]
ООО «УЦСБ»620100, Екатеринбург, ул. Ткачей, д. 6
Тел.: +7 (343) 379-98-34Факс: +7 (343) 209-57-38
Спасибо за внимание!Пожалуйста, задавайте вопросы!
Ваши комментарии и предложения Вы можете присылать по адресу: