WHOAMI Денис Горчаков Лаборатория Касперского, Security Services ex-Альфа-Банк, мониторинг и расследование инцидентов Сергей Бровкин Альфа-Банк, мониторинг и расследование инцидентов
Что такое хорошо и что такое плохо? АРТ (Advanced Persistent Threat) – целевая атака на организацию Отличное описание: •разные вектора атак (социнженерия, фишинг, малваре) •целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы •некая понятная цель атаки •закрепление и скрытность! (Not your typical scriptkiddie)
Serious business Под соусом APT обычно продаётся «средство от всего, что не увидел антивирус» •антивирус – уже не панацея, всё очень плохо •злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на вашу организацию •предлагаемое решение защитит от всех целевых атак APT предполагает наличие determined adversary в модели угроз – злоумышленник, настроенный именно на вашу организацию.
На самом деле Решения анти-APT: •Breach Detection System? •«Песочница»? Эти продукты естественно не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование сплойтов в почтовом трафике и скачиваемых файлах. И это уже хорошо! На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.
Зачем нам это надо? kudos to QIWI and @alex_plex – “Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup •крупная финансовая организация – объект повышенного интереса и атак •большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде •регулярно одними из первых получаем документы со сплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат – [email protected] :) •сотрудники скачивают из Интернета то, что не попадает под фильтры. Много послаблений привилегированным пользователям.
С чем приходят интеграторы? + не требуется высокая квалификация специалистов + возможно аутсорсить – ложные срабатывания мешают бизнесу – сложность масштабирования – vendor lock, API – какой API?
Наш вариант + нет лишней точки отказа + не мешаем бизнесу делать бизнес + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)
И что дальше? 1.Мониторинг и обнаружение 2.Анализ малвари 3.Индикаторы компрометации / настройка исключений 4.Взаимодействие с ИТ: почта, сеть 5.Взаимодействие с антивирусными вендорами 6.Заведение индикаторов на SIEM, DPI. 7.Ретроспективный анализ. 8.Взаимодействие с ИТ и персоналом
А оно вам надо? •Крупной организации точно ДА •Небольшая организация: •Мало сотрудников в ИБ? •Отдел из одного начальника? •К вам точно полезут? •У вас вообще про ИБ слышали? •Есть ли деньги?
Как выбирать? Небольшая организация: •аутсорсинг / blackbox, ну ладно •работа с русской локалью •оперативность поддержки •стоимость Крупная организация: •FUCK the blackbox! • •No magic and unicorns •работа с русской локалью •детект sandbox evasion •индикаторы (IoC) •доступ в Интернет •интеграция с SIEM, IDS/IPS, FW •полная настраиваемость: • • - кастомный образ • • - API •
Как из четырёх букв сложить СЧАСТЬЕ Заменить нельзя, но костыли поставить вполне: •Нет денег или не технарь? •Стройте процессы информационной безопасности и ИТ •(сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) •Огораживание (deny all except) •Обратите внимание на AppLocker, EMET •Обязательно защищайте VIP-пользователей Пишите сами (malware sandbox из говна и палок):
defcon
lancers_pr
kyoun
arumakan
5g_digitalservicetmg
chokkan
kitachan_black
kionawalker
ghtaro
icttitech
reisato12345
masakat0
chrislema
vanstee
morganepeng
danielanewman
sugarenia
zakiyama
geeforr
yeseniaperezcruz
dotmariusz
cromwellryan
wjessup
quramy