Threat) – целевая атака на организацию Отличное описание: •разные вектора атак (социнженерия, фишинг, малваре) •целенаправленный сбор информации об объекте атаки – периметр, персонал, процессы •некая понятная цель атаки •закрепление и скрытность! (Not your typical scriptkiddie)
что не увидел антивирус» •антивирус – уже не панацея, всё очень плохо •злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на вашу организацию •предлагаемое решение защитит от всех целевых атак APT предполагает наличие determined adversary в модели угроз – злоумышленник, настроенный именно на вашу организацию.
продукты естественно не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность в сети, свежие сэмплы малваре, использование сплойтов в почтовом трафике и скачиваемых файлах. И это уже хорошо! На самом деле это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.
“Реверс-инжиниринг в Enterprise” на Mail.Ru Security Meetup •крупная финансовая организация – объект повышенного интереса и атак •большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде •регулярно одними из первых получаем документы со сплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …), которые не видят антивирусы. Мой любимый адресат – vip-support@kaspersky.com :) •сотрудники скачивают из Интернета то, что не попадает под фильтры. Много послаблений привилегированным пользователям.
бизнесу делать бизнес + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск что-нибудь пропустить (впрочем, не всё так однозначно)
/ настройка исключений 4.Взаимодействие с ИТ: почта, сеть 5.Взаимодействие с антивирусными вендорами 6.Заведение индикаторов на SIEM, DPI. 7.Ретроспективный анализ. 8.Взаимодействие с ИТ и персоналом
с русской локалью •оперативность поддержки •стоимость Крупная организация: •FUCK the blackbox! • •No magic and unicorns •работа с русской локалью •детект sandbox evasion •индикаторы (IoC) •доступ в Интернет •интеграция с SIEM, IDS/IPS, FW •полная настраиваемость: • • - кастомный образ • • - API •
поставить вполне: •Нет денег или не технарь? •Стройте процессы информационной безопасности и ИТ •(сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) •Огораживание (deny all except) •Обратите внимание на AppLocker, EMET •Обязательно защищайте VIP-пользователей Пишите сами (malware sandbox из говна и палок):