Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Denis Gorchakov - Защита от целевых атак практика применения решений в крупной организации

DC7499
December 11, 2015

Denis Gorchakov - Защита от целевых атак практика применения решений в крупной организации

DEFCON Moscow 11

DC7499

December 11, 2015
Tweet

More Decks by DC7499

Other Decks in Research

Transcript

  1. View Slide

  2. Защита от целевых атак:
    практика применения
    решений в крупной
    организации
    DEFENSIVE TRACK TIME :)

    View Slide

  3. WHOAMI
    Денис Горчаков
    Лаборатория Касперского,
    Security Services
    ex-Альфа-Банк,
    мониторинг и расследование
    инцидентов
    Сергей Бровкин
    Альфа-Банк,
    мониторинг и расследование
    инцидентов

    View Slide

  4. Что такое хорошо и что такое плохо?
    АРТ (Advanced Persistent Threat) – целевая атака на организацию
    Отличное описание:
    •разные вектора атак (социнженерия, фишинг, малваре)
    •целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы
    •некая понятная цель атаки
    •закрепление и скрытность! (Not your typical scriptkiddie)

    View Slide

  5. Serious business
    Под соусом APT обычно продаётся «средство от всего, что не увидел антивирус»
    •антивирус – уже не панацея, всё очень плохо
    •злоумышленники активно распространяют 0-day вредоносное ПО, направленное
    именно на вашу организацию
    •предлагаемое решение защитит от всех целевых атак
    APT предполагает наличие determined adversary в модели угроз – злоумышленник,
    настроенный именно на вашу организацию.

    View Slide

  6. На самом деле
    Решения анти-APT:
    •Breach Detection System?
    •«Песочница»?
    Эти продукты естественно не могут закрыть все векторы APT-атаки, они призваны
    обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование
    сплойтов в почтовом трафике и скачиваемых файлах.
    И это уже хорошо!
    На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они
    могут содержать аналогичный функционал.

    View Slide

  7. Зачем нам это надо?
    kudos to QIWI and @alex_plex – “Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup
    •крупная финансовая организация – объект повышенного интереса и атак
    •большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде
    •регулярно одними из первых получаем документы со сплойтами, шифровальщиков,
    троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат
    [email protected] :)
    •сотрудники скачивают из Интернета то, что не попадает под фильтры. Много
    послаблений привилегированным пользователям.

    View Slide

  8. С чем приходят интеграторы?
    + не требуется высокая квалификация специалистов
    + возможно аутсорсить
    – ложные срабатывания мешают бизнесу
    – сложность масштабирования
    – vendor lock, API – какой API?

    View Slide

  9. Наш вариант
    + нет лишней точки отказа
    + не мешаем бизнесу делать бизнес
    + полный контроль над системой (мощность, потоки данных)
    + возможность интеграции с любыми системами своими силами
    – требуется высокая квалификация выделенного сотрудника
    – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)

    View Slide

  10. И что дальше?
    1.Мониторинг и обнаружение
    2.Анализ малвари
    3.Индикаторы компрометации / настройка исключений
    4.Взаимодействие с ИТ: почта, сеть
    5.Взаимодействие с антивирусными вендорами
    6.Заведение индикаторов на SIEM, DPI.
    7.Ретроспективный анализ.
    8.Взаимодействие с ИТ и персоналом

    View Slide

  11. А оно вам надо?
    •Крупной организации точно ДА
    •Небольшая организация:
    •Мало сотрудников в ИБ?
    •Отдел из одного начальника?
    •К вам точно полезут?
    •У вас вообще про ИБ слышали?
    •Есть ли деньги?

    View Slide

  12. Как выбирать?
    Небольшая организация:
    •аутсорсинг / blackbox, ну ладно
    •работа с русской локалью
    •оперативность поддержки
    •стоимость
    Крупная организация:
    •FUCK the blackbox!

    •No magic and unicorns
    •работа с русской локалью
    •детект sandbox evasion
    •индикаторы (IoC)
    •доступ в Интернет
    •интеграция с SIEM, IDS/IPS, FW
    •полная настраиваемость:

    • - кастомный образ

    • - API

    View Slide

  13. Как из четырёх букв сложить СЧАСТЬЕ
    Заменить нельзя, но костыли поставить вполне:
    •Нет денег или не технарь?
    •Стройте процессы информационной безопасности и ИТ
    •(сегментация сети, управление уязвимостями и обновлениями,
    аудиты безопасности)
    •Огораживание (deny all except)
    •Обратите внимание на AppLocker, EMET
    •Обязательно защищайте VIP-пользователей
    Пишите сами (malware sandbox из говна и палок):

    View Slide

  14. Вопросы?

    View Slide