Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Denis Gorchakov - Защита от целевых атак практика применения решений в крупной организации

0c988f4618b436b14ce6ddcecd52d11d?s=47 DC7499
December 11, 2015
Research
0
28

Denis Gorchakov - Защита от целевых атак практика применения решений в крупной организации

DEFCON Moscow 11

0c988f4618b436b14ce6ddcecd52d11d?s=128

DC7499

December 11, 2015
Tweet

More Decks by DC7499

See All by DC7499
Sergey Sobko - Hackashop: Hackathon + Pentest + Workshop [RU]
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
0
290
Dmitry Sklyarov - Intel ME: Security keys Genealogy, Obfuscation and other Magic
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
0
180
Anton Lopanitsyn - Initial reconnaissance of web applications.
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
0
220
Dmitry Volkov - Private messengers: without pain??
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
1
200
Andrey Skuratov and Sergey Migalin - DNS tunneling in 2018. What is that, and what to do with it?
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
1
170
Sergey Belov - Another side of Bug Bounty programs
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
0
190
Dmitry Sklyarov - Intel ME: Flash file system explained
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
0
300
Maxim Goryachiy & Mark Ermolov - Inside Intel Management Engine
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
0
360
Sergey Golovanov - Indecent Response 2018
0c988f4618b436b14ce6ddcecd52d11d?s=48 defcon
0
320

Other Decks in Research

See All in Research
AI最新論文読み会2022年6月
874ff503a00697a857e198a0ebb8f55f?s=48 ailaboocu
0
230
Making CRDTs Byzantine fault tolerant
0d4ef9af8e4f0cf5c162b48ba24faea6?s=48 ept
0
290
BigQueryとPythonではじめるプロ野球選手の成績予測(もしくは成績占い) / Baseball Player Performance Prediction using BigQuery and Python
2c0947c6a28e7f771ebd9859ecf54e5c?s=48 shinyorke
0
590
Traps and Transport Resistance—The Next Frontier for Stable State-of-the-Art Non-Fullerene Acceptor Solar Cells
334f01a47399398d714386a72edb727a?s=48 deibel
0
500
音楽はAI×トークンで扱おう!
10014a79922e3ce14a88103d5b313ade?s=48 suzuqn
2
320
論述リビジョンのためのメタ評価基盤
2d4315a0cfbfeb12fdc48bbadd955cd9?s=48 chemical_tree
0
150
Fairseq初心者向けチュートリアル
58435510ebd76669ad6106bcf93d9afb?s=48 tktkbohshi
2
660
第12回チャンピオンズミーティング・アリエス杯ラウンド1集計 / Umamusume Aries 2022 Round1
9782dd351a8f1737d4ef02d839e821f9?s=48 kitachan_black
0
1.6k
第11回チャンピオンズミーティング・ピスケス杯ラウンド1集計 / Umamusume Pisces 2022 Round1
9782dd351a8f1737d4ef02d839e821f9?s=48 kitachan_black
0
1.8k
PLDI '21論文読み会: Cyclic Program Synthesis
5148cbb852e980b3b3d0e71d579ddbf8?s=48 ideininc
0
640
第14回チャンピオンズミーティング・ジェミニ杯ラウンド1集計 / Umamusume Gemini 2022 Round1
9782dd351a8f1737d4ef02d839e821f9?s=48 kitachan_black
0
760
SketchODE: Learning neural sketch representation in continuous time
27e6303669f854882d672f3cd3fcb796?s=48 dasayan05
0
170

Featured

See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
12
920
VelocityConf: Rendering Performance Case Studies
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
316
22k
Optimizing for Happiness
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
365
63k
Side Projects
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
450
37k
The Success of Rails: Ensuring Growth for the Next 100 Years
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
10
3.4k
Producing Creativity
Ae14cc4491ac334f9cd23f9f93b4305e?s=48 orderedlist
PRO
334
37k
Testing 201, or: Great Expectations
A9704266587836f7e784235e5073b93e?s=48 jmmastey
21
5.4k
Why You Should Never Use an ORM
88bc30284c6a424b63a92aad27d0ba36?s=48 jnunemaker
PRO
47
7.6k
Clear Off the Table
Ef32e0b1ac5082450dc8c1fca3a26b5c?s=48 cherdarchuk
79
280k
Building a Scalable Design System with Sketch
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
448
30k
What's in a price? How to price your products and services
Dad095ea7038f89f760419ce475d5d14?s=48 michaelherold
229
9.4k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
E425fe9f170efa0dfaf8ab69d7107418?s=48 aki_i
23
15k

Transcript

  1. None

  2. Защита от целевых атак: практика применения решений в крупной организации

    DEFENSIVE TRACK TIME :)

  3. WHOAMI Денис Горчаков Лаборатория Касперского, Security Services ex-Альфа-Банк, мониторинг и

    расследование инцидентов Сергей Бровкин Альфа-Банк, мониторинг и расследование инцидентов

  4. Что такое хорошо и что такое плохо? АРТ (Advanced Persistent

    Threat) – целевая атака на организацию Отличное описание: •разные вектора атак (социнженерия, фишинг, малваре) •целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы •некая понятная цель атаки •закрепление и скрытность! (Not your typical scriptkiddie)

  5. Serious business Под соусом APT обычно продаётся «средство от всего,

    что не увидел антивирус» •антивирус – уже не панацея, всё очень плохо •злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на вашу организацию •предлагаемое решение защитит от всех целевых атак APT предполагает наличие determined adversary в модели угроз – злоумышленник, настроенный именно на вашу организацию.

  6. На самом деле Решения анти-APT: •Breach Detection System? •«Песочница»? Эти

    продукты естественно не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование сплойтов в почтовом трафике и скачиваемых файлах. И это уже хорошо! На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.

  7. Зачем нам это надо? kudos to QIWI and @alex_plex –

    “Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup •крупная финансовая организация – объект повышенного интереса и атак •большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде •регулярно одними из первых получаем документы со сплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат – vip-support@kaspersky.com :) •сотрудники скачивают из Интернета то, что не попадает под фильтры. Много послаблений привилегированным пользователям.

  8. С чем приходят интеграторы? + не требуется высокая квалификация специалистов

    + возможно аутсорсить – ложные срабатывания мешают бизнесу – сложность масштабирования – vendor lock, API – какой API?

  9. Наш вариант + нет лишней точки отказа + не мешаем

    бизнесу делать бизнес + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)

  10. И что дальше? 1.Мониторинг и обнаружение 2.Анализ малвари 3.Индикаторы компрометации

    / настройка исключений 4.Взаимодействие с ИТ: почта, сеть 5.Взаимодействие с антивирусными вендорами 6.Заведение индикаторов на SIEM, DPI. 7.Ретроспективный анализ. 8.Взаимодействие с ИТ и персоналом

  11. А оно вам надо? •Крупной организации точно ДА •Небольшая организация:

    •Мало сотрудников в ИБ? •Отдел из одного начальника? •К вам точно полезут? •У вас вообще про ИБ слышали? •Есть ли деньги?

  12. Как выбирать? Небольшая организация: •аутсорсинг / blackbox, ну ладно •работа

    с русской локалью •оперативность поддержки •стоимость Крупная организация: •FUCK the blackbox! • •No magic and unicorns •работа с русской локалью •детект sandbox evasion •индикаторы (IoC) •доступ в Интернет •интеграция с SIEM, IDS/IPS, FW •полная настраиваемость: • • - кастомный образ • • - API •

  13. Как из четырёх букв сложить СЧАСТЬЕ Заменить нельзя, но костыли

    поставить вполне: •Нет денег или не технарь? •Стройте процессы информационной безопасности и ИТ •(сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) •Огораживание (deny all except) •Обратите внимание на AppLocker, EMET •Обязательно защищайте VIP-пользователей Пишите сами (malware sandbox из говна и палок):

  14. Вопросы?