Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Защита от целевых атак. Практика применения решений в крупной организации

Download as PPTX, PDF
Denis Gorchakov
Denis Gorchakov

Sharing experience and thoughts about anti-APT solutions and incident reponse based on our work at one of the major Russian banks.

1 of 13
Защита от целевых атак: практика применения решений в крупной организации Денис Горчаков Сергей Бровкин Управление информационной безопасности АО АЛЬФА-БАНК
Что такое APT с точки зрения вендора? АРТ (Advanced Persistent Threat) – многоуровневая и многовекторная целевая атака на организацию. • Не обнаруживается стандартными средствами ИБ • Наносит существенный урон организации Под этим определением CISO обычно продаётся «средство от всего, что не увидел антивирус».
Что же такое APT на самом деле? С точки зрения службы ИБ: • determined adversary (по модели Microsoft) в модели угроз – злоумышленник, настроенный именно на Вашу организацию • совокупность атак различного рода, многоуровневый и многовекторный подход • сбор информации о ключевых ИС, фишинг, социальная инженерия, эксплуатация уязвимостей (в т.ч. 0-day), скрытность и закрепление в системах организации http://www.slideshare.net/devteev/penetest-vs-apt
Как нам преподносят защиту от APT? • антивирус – уже не панацея, всё очень плохо • злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на Вашу организацию • предлагаемое решение защитит от всех целевых атак
Решения анти-APT • Breach Detection System? • «Песочница»? Решения подобного класса не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность на сети, новое вредоносное ПО, использование уязвимостей. Это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.
Почему мы используем анти-APT? • крупная финансовая организация – объект интереса и атак • большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде. • регулярно одними из первых получаем документы с эксплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …) • сотрудники скачивают из Интернета то, что не попадает под фильтры • VirusTotal 0/55 …
Предложения интеграторов + не требуется высокая квалификация специалистов + возможно отдать сопровождение на аутсорс – ложные срабатывания мешают бизнес-процессам – сложность масштабирования системы – привязка к решениям одного вендора / проблемы интеграции
Как сделано у нас + нет лишней точки отказа + нет вмешательства в бизнес-процессы + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск проникновения вредоносного ПО
Реагирование на инцидент 1. Мониторинг и обнаружение 2. Анализ вредоносного ПО 3. Индикаторы компрометации / настройка 4. Взаимодействие с ИТ: почта, сеть 5. Взаимодействие с антивирусными вендорами 6. Заведение индикаторов на SIEM, DPI. Ретроспективный анализ. 7. Взаимодействие с ИТ и персоналом
Целесообразность решения • Крупной организации и ключевым предприятиям – ДА • Небольшая организация: • Мало сотрудников (единственный) в ИБ? • Является ли организация объектом интереса злоумышленников? • Насколько развиты политики ИБ и процессы? • Есть ли средства на покупку решения? Что делать?
Как выбрать решение? Небольшая организация: • аутсорсинг / «чёрный ящик» • работа с русской локалью ОС • оперативность поддержки • стоимость Крупная организация: • никакого «чёрного ящика» • работа с русской локалью ОС • обнаружение техник уклонения • индикаторы (IoC) • доступ решения в Интернет • ИНДИКАТОРЫ! • интеграция с SIEM, IDS/IPS, FW • полная настраиваемость под клиента
Чем заменить? Заменить нельзя, но снизить вероятность реализации атак без подобных решений вполне реально: • Стройте процессы информационной безопасности и ИТ (сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) • Разрабатывайте и настраивайте политики безопасности для всей инфраструктуры (deny all except | запретить всё, что не разрешено) • Обратите внимание на AppLocker, EMET, Docker • Обязательно защищайте VIP-пользователей
Вопросы? Помощь? ssbrovkin@me.com gorchakov.denis@gmail.com

More Related Content

Защита от целевых атак. Практика применения решений в крупной организации

  • 1. Защита от целевых атак: практика применения решений в крупной организации Денис Горчаков Сергей Бровкин Управление информационной безопасности АО АЛЬФА-БАНК
  • 2. Что такое APT с точки зрения вендора? АРТ (Advanced Persistent Threat) – многоуровневая и многовекторная целевая атака на организацию. • Не обнаруживается стандартными средствами ИБ • Наносит существенный урон организации Под этим определением CISO обычно продаётся «средство от всего, что не увидел антивирус».
  • 3. Что же такое APT на самом деле? С точки зрения службы ИБ: • determined adversary (по модели Microsoft) в модели угроз – злоумышленник, настроенный именно на Вашу организацию • совокупность атак различного рода, многоуровневый и многовекторный подход • сбор информации о ключевых ИС, фишинг, социальная инженерия, эксплуатация уязвимостей (в т.ч. 0-day), скрытность и закрепление в системах организации http://www.slideshare.net/devteev/penetest-vs-apt
  • 4. Как нам преподносят защиту от APT? • антивирус – уже не панацея, всё очень плохо • злоумышленники активно распространяют 0-day вредоносное ПО, направленное именно на Вашу организацию • предлагаемое решение защитит от всех целевых атак
  • 5. Решения анти-APT • Breach Detection System? • «Песочница»? Решения подобного класса не могут закрыть все векторы APT-атаки, они призваны обнаружить подозрительную активность на сети, новое вредоносное ПО, использование уязвимостей. Это гармоничное дополнение к антивирусу, SIEM, IDS/IPS, хотя они могут содержать аналогичный функционал.
  • 6. Почему мы используем анти-APT? • крупная финансовая организация – объект интереса и атак • большая инфраструктура, сложные процессы. Идеального состояния ИТ нет нигде. • регулярно одними из первых получаем документы с эксплойтами, шифровальщиков, троянцев (Dridex/Fareit/Emotet …) • сотрудники скачивают из Интернета то, что не попадает под фильтры • VirusTotal 0/55 …
  • 7. Предложения интеграторов + не требуется высокая квалификация специалистов + возможно отдать сопровождение на аутсорс – ложные срабатывания мешают бизнес-процессам – сложность масштабирования системы – привязка к решениям одного вендора / проблемы интеграции
  • 8. Как сделано у нас + нет лишней точки отказа + нет вмешательства в бизнес-процессы + полный контроль над системой (мощность, потоки данных) + возможность интеграции с любыми системами своими силами – требуется высокая квалификация выделенного сотрудника – при отсутствии смены 24/7 риск проникновения вредоносного ПО
  • 9. Реагирование на инцидент 1. Мониторинг и обнаружение 2. Анализ вредоносного ПО 3. Индикаторы компрометации / настройка 4. Взаимодействие с ИТ: почта, сеть 5. Взаимодействие с антивирусными вендорами 6. Заведение индикаторов на SIEM, DPI. Ретроспективный анализ. 7. Взаимодействие с ИТ и персоналом
  • 10. Целесообразность решения • Крупной организации и ключевым предприятиям – ДА • Небольшая организация: • Мало сотрудников (единственный) в ИБ? • Является ли организация объектом интереса злоумышленников? • Насколько развиты политики ИБ и процессы? • Есть ли средства на покупку решения? Что делать?
  • 11. Как выбрать решение? Небольшая организация: • аутсорсинг / «чёрный ящик» • работа с русской локалью ОС • оперативность поддержки • стоимость Крупная организация: • никакого «чёрного ящика» • работа с русской локалью ОС • обнаружение техник уклонения • индикаторы (IoC) • доступ решения в Интернет • ИНДИКАТОРЫ! • интеграция с SIEM, IDS/IPS, FW • полная настраиваемость под клиента
  • 12. Чем заменить? Заменить нельзя, но снизить вероятность реализации атак без подобных решений вполне реально: • Стройте процессы информационной безопасности и ИТ (сегментация сети, управление уязвимостями и обновлениями, аудиты безопасности) • Разрабатывайте и настраивайте политики безопасности для всей инфраструктуры (deny all except | запретить всё, что не разрешено) • Обратите внимание на AppLocker, EMET, Docker • Обязательно защищайте VIP-пользователей