Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Denis Gorchakov - Защита от целевых атак практи...

Avatar for DC7499 DC7499
December 11, 2015

Denis Gorchakov - Защита от целевых атак практика применения решений в крупной организации

DEFCON Moscow 11

Avatar for DC7499

DC7499

December 11, 2015
Tweet

More Decks by DC7499

Other Decks in Research

Transcript

  1. WHOAMI Денис Горчаков Лаборатория Касперского, Security Services ex-Альфа-Банк, мониторинг и

    расследование инцидентов Сергей Бровкин Альфа-Банк, мониторинг и расследование инцидентов
  2. Что такое хорошо и что такое плохо? АРТ (Advanced Persistent

    Threat) – целевая атака на организацию Отличное описание: •разные вектора атак (социнженерия, фишинг, малваре) •целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы •некая понятная цель атаки •закрепление и скрытность! (Not your typical scriptkiddie)
  3. Serious business Под соусом APT обычно продаётся «средство от всего,

    что не увидел антивирус» •антивирус – уже не панацея, всё очень плохо •злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на вашу организацию •предлагаемое решение защитит от всех целевых атак APT предполагает наличие determined adversary в модели угроз – злоумышленник, настроенный именно на вашу организацию.
  4. На самом деле Решения анти-APT: •Breach Detection System? •«Песочница»? Эти

    продукты естественно не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование сплойтов в почтовом трафике и скачиваемых файлах. И это уже хорошо! На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.
  5. Зачем нам это надо? kudos to QIWI and @alex_plex –

    “Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup •крупная финансовая организация – объект повышенного интереса и атак •большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде •регулярно одними из первых получаем документы со сплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат – [email protected] :) •сотрудники скачивают из Интернета то, что не попадает под фильтры. Много послаблений привилегированным пользователям.
  6. С чем приходят интеграторы? + не требуется высокая квалификация специалистов

    + возможно аутсорсить – ложные срабатывания мешают бизнесу – сложность масштабирования – vendor lock, API – какой API?
  7. Наш вариант + нет лишней точки отказа + не мешаем

    бизнесу делать бизнес + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)
  8. И что дальше? 1.Мониторинг и обнаружение 2.Анализ малвари 3.Индикаторы компрометации

    / настройка исключений 4.Взаимодействие с ИТ: почта, сеть 5.Взаимодействие с антивирусными вендорами 6.Заведение индикаторов на SIEM, DPI. 7.Ретроспективный анализ. 8.Взаимодействие с ИТ и персоналом
  9. А оно вам надо? •Крупной организации точно ДА •Небольшая организация:

    •Мало сотрудников в ИБ? •Отдел из одного начальника? •К вам точно полезут? •У вас вообще про ИБ слышали? •Есть ли деньги?
  10. Как выбирать? Небольшая организация: •аутсорсинг / blackbox, ну ладно •работа

    с русской локалью •оперативность поддержки •стоимость Крупная организация: •FUCK the blackbox! • •No magic and unicorns •работа с русской локалью •детект sandbox evasion •индикаторы (IoC) •доступ в Интернет •интеграция с SIEM, IDS/IPS, FW •полная настраиваемость: • • - кастомный образ • • - API •
  11. Как из четырёх букв сложить СЧАСТЬЕ Заменить нельзя, но костыли

    поставить вполне: •Нет денег или не технарь? •Стройте процессы информационной безопасности и ИТ •(сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) •Огораживание (deny all except) •Обратите внимание на AppLocker, EMET •Обязательно защищайте VIP-пользователей Пишите сами (malware sandbox из говна и палок):