Denis Gorchakov - Защита от целевых атак практика применения решений в крупной организации

Transcript

1. None

2. Защита от целевых атак: практика применения решений в крупной организации

   DEFENSIVE TRACK TIME :)

3. WHOAMI Денис Горчаков Лаборатория Касперского, Security Services ex-Альфа-Банк, мониторинг и

   расследование инцидентов Сергей Бровкин Альфа-Банк, мониторинг и расследование инцидентов

4. Что такое хорошо и что такое плохо? АРТ (Advanced Persistent

   Threat) – целевая атака на организацию Отличное описание: •разные вектора атак (социнженерия, фишинг, малваре) •целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы •некая понятная цель атаки •закрепление и скрытность! (Not your typical scriptkiddie)

5. Serious business Под соусом APT обычно продаётся «средство от всего,

   что не увидел антивирус» •антивирус – уже не панацея, всё очень плохо •злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на вашу организацию •предлагаемое решение защитит от всех целевых атак APT предполагает наличие determined adversary в модели угроз – злоумышленник, настроенный именно на вашу организацию.

6. На самом деле Решения анти-APT: •Breach Detection System? •«Песочница»? Эти

   продукты естественно не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование сплойтов в почтовом трафике и скачиваемых файлах. И это уже хорошо! На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.

7. Зачем нам это надо? kudos to QIWI and @alex_plex –

   “Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup •крупная финансовая организация – объект повышенного интереса и атак •большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде •регулярно одними из первых получаем документы со сплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат – [email protected] :) •сотрудники скачивают из Интернета то, что не попадает под фильтры. Много послаблений привилегированным пользователям.

8. С чем приходят интеграторы? + не требуется высокая квалификация специалистов

   + возможно аутсорсить – ложные срабатывания мешают бизнесу – сложность масштабирования – vendor lock, API – какой API?

9. Наш вариант + нет лишней точки отказа + не мешаем

   бизнесу делать бизнес + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)

10. И что дальше? 1.Мониторинг и обнаружение 2.Анализ малвари 3.Индикаторы компрометации

    / настройка исключений 4.Взаимодействие с ИТ: почта, сеть 5.Взаимодействие с антивирусными вендорами 6.Заведение индикаторов на SIEM, DPI. 7.Ретроспективный анализ. 8.Взаимодействие с ИТ и персоналом

11. А оно вам надо? •Крупной организации точно ДА •Небольшая организация:

    •Мало сотрудников в ИБ? •Отдел из одного начальника? •К вам точно полезут? •У вас вообще про ИБ слышали? •Есть ли деньги?

12. Как выбирать? Небольшая организация: •аутсорсинг / blackbox, ну ладно •работа

    с русской локалью •оперативность поддержки •стоимость Крупная организация: •FUCK the blackbox! • •No magic and unicorns •работа с русской локалью •детект sandbox evasion •индикаторы (IoC) •доступ в Интернет •интеграция с SIEM, IDS/IPS, FW •полная настраиваемость: • • - кастомный образ • • - API •

13. Как из четырёх букв сложить СЧАСТЬЕ Заменить нельзя, но костыли

    поставить вполне: •Нет денег или не технарь? •Стройте процессы информационной безопасности и ИТ •(сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) •Огораживание (deny all except) •Обратите внимание на AppLocker, EMET •Обязательно защищайте VIP-пользователей Пишите сами (malware sandbox из говна и палок):

14. Вопросы?