Denis Gorchakov - Защита от целевых атак практика применения решений в крупной организации

0c988f4618b436b14ce6ddcecd52d11d?s=47 DC7499
December 11, 2015

Denis Gorchakov - Защита от целевых атак практика применения решений в крупной организации

DEFCON Moscow 11

0c988f4618b436b14ce6ddcecd52d11d?s=128

DC7499

December 11, 2015
Tweet

Transcript

  1. None
  2. Защита от целевых атак: практика применения решений в крупной организации

    DEFENSIVE TRACK TIME :)
  3. WHOAMI Денис Горчаков Лаборатория Касперского, Security Services ex-Альфа-Банк, мониторинг и

    расследование инцидентов Сергей Бровкин Альфа-Банк, мониторинг и расследование инцидентов
  4. Что такое хорошо и что такое плохо? АРТ (Advanced Persistent

    Threat) – целевая атака на организацию Отличное описание: •разные вектора атак (социнженерия, фишинг, малваре) •целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы •некая понятная цель атаки •закрепление и скрытность! (Not your typical scriptkiddie)
  5. Serious business Под соусом APT обычно продаётся «средство от всего,

    что не увидел антивирус» •антивирус – уже не панацея, всё очень плохо •злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на вашу организацию •предлагаемое решение защитит от всех целевых атак APT предполагает наличие determined adversary в модели угроз – злоумышленник, настроенный именно на вашу организацию.
  6. На самом деле Решения анти-APT: •Breach Detection System? •«Песочница»? Эти

    продукты естественно не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование сплойтов в почтовом трафике и скачиваемых файлах. И это уже хорошо! На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.
  7. Зачем нам это надо? kudos to QIWI and @alex_plex –

    “Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup •крупная финансовая организация – объект повышенного интереса и атак •большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде •регулярно одними из первых получаем документы со сплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат – vip-support@kaspersky.com :) •сотрудники скачивают из Интернета то, что не попадает под фильтры. Много послаблений привилегированным пользователям.
  8. С чем приходят интеграторы? + не требуется высокая квалификация специалистов

    + возможно аутсорсить – ложные срабатывания мешают бизнесу – сложность масштабирования – vendor lock, API – какой API?
  9. Наш вариант + нет лишней точки отказа + не мешаем

    бизнесу делать бизнес + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)
  10. И что дальше? 1.Мониторинг и обнаружение 2.Анализ малвари 3.Индикаторы компрометации

    / настройка исключений 4.Взаимодействие с ИТ: почта, сеть 5.Взаимодействие с антивирусными вендорами 6.Заведение индикаторов на SIEM, DPI. 7.Ретроспективный анализ. 8.Взаимодействие с ИТ и персоналом
  11. А оно вам надо? •Крупной организации точно ДА •Небольшая организация:

    •Мало сотрудников в ИБ? •Отдел из одного начальника? •К вам точно полезут? •У вас вообще про ИБ слышали? •Есть ли деньги?
  12. Как выбирать? Небольшая организация: •аутсорсинг / blackbox, ну ладно •работа

    с русской локалью •оперативность поддержки •стоимость Крупная организация: •FUCK the blackbox! • •No magic and unicorns •работа с русской локалью •детект sandbox evasion •индикаторы (IoC) •доступ в Интернет •интеграция с SIEM, IDS/IPS, FW •полная настраиваемость: • • - кастомный образ • • - API •
  13. Как из четырёх букв сложить СЧАСТЬЕ Заменить нельзя, но костыли

    поставить вполне: •Нет денег или не технарь? •Стройте процессы информационной безопасности и ИТ •(сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) •Огораживание (deny all except) •Обратите внимание на AppLocker, EMET •Обязательно защищайте VIP-пользователей Пишите сами (malware sandbox из говна и палок):
  14. Вопросы?