4 сценария мониторинга ИБ изолированных промышленных площадок
Report
Share
1 of 29
Download to read offline
More Related Content
построение системы адаптивной защиты от угроз иб Савин и
1. .
Confidential
Игорь Савин | Sales Engineer, Intel Security в Казахстане и СНГ
Построение системы адаптивной
защиты от угроз ИБ
Intel Security Threat Defense Lifecycle
3. .
Confidential
Сложности в обеспечении безопасности
Целенаправленные атаки
Разрозненные
средства ИБ
Сложная
визуализация
Разнородные средства и продукты,
работающие отдельно друг от друга
без обмена данными и аналитикой.
Все более и более сложные день ото
дня…
Автономные и невидимые, созданные «под»
конкретную инфраструктуру, включая
людей и технологиии.
Слишком много данных без
аналитики делают процесс анализа
чрезмерно сложным и долгим.
3
4. .
Confidential
Жизненный цикл целенаправленной атаки
Подготовка Проникновение РезультатОперация
• Сбор данных
(технологии vs.
люди)
• Исследование
периметра
• Проверка средств
защиты
• Подготовка пакета
• Доставка
• Эксплуатация
• Установка
соединения
• Превышение
полномочий
• Распространение
• Вывод данных за
пределы компании
• Прерывание
сервисов
• Устойчивое
закрепление в
инфраструктуре
4
6. .
Confidential
Традиционная реакция на инцидент
6
Количество
событий
Время
Атаки «наугад»
Целенаправленные атаки чрезвычайно долго устранять
Защита УстранениеОбнаружение
Сложная изоляция Трудоемкие
операционные
затраты
До взлома После взлома
7. .
Confidential
Подход Security Connected
7
Сильное сжатие времени устранения и реакции
Мин. время Минимизированное
время
Количество
событий
Время
До взлома После взлома
Защита Обнаружение Устранение
Длительное время реакции
Быстрое
обнаружение
Быстрая
реакиця
команды ИБ
Адаптивное
уменьшение
количества угроз
8. .
Confidential
Адаптивная модель безопасности
Интегрированные компоненты безопасности
Обнаружение – непрерывный мониторинг выявляет
аномальное поведение и не дает атакам остаться
незамеченными
Защита – комплексные средства безопасности защищают
наиболее важные векторы проникновения, мешая «работать»
совершенно новым типам угроз («0-day»)
Адаптация – мгновенная адаптация всех средств комплекса к
новым угрозам
Устранение – с помощью специального инструментария для
выявления и проведения расследований
8
10. .
Confidential
Традиционная система безопасности
Независимые друг от друга попытки предотвратить угрозу…
До взлома После взлома
Каждая в отдельности технология
может быть чрезвычайно
эффективной, однако отсутствие
интеграции между ними
оставляет скрытые пути
проникновения
10
11. .
Confidential
Защита на основе Security Connected
Адаптация всей системы в режиме реального времени
Интегрированная
инфраструктура мгновенно
адаптируется к новым угрозам
11
До взлома После взлома
12. .
Confidential
12
McAfee
Web Gateway
Network
Security Platform
Endpoint Security
McAfee Advanced
Threat Defense
McAfee
Active Response
McAfee Enterprise
Security Manager (SIEM) McAfee ePO
McAfee Threat
Intelligence
Exchange/Data
Exchange Layer
McAfee
Active Response
McAfee Enterprise
Security Manager (SIEM)
McAfee ePO
McAfee Threat
Intelligence
Exchange/Data
Exchange Layer
McAfee Deep
Command
McAfee Advanced
Threat Defense
Threat Intelligence Exchange Data Protection
Защита
ОбнаружениеУстранение
Немного о продуктах Intel Security
13. .
Confidential
McAfee
ePolicy Orchestrator
McAfee
ATD
Data Exchange Layer
McAfee ENS 10
McAfee MCP Agent
McAfee TIE Endpoint Module
McAfee
Global Threat
Intelligence
(GTI)
Потоки 3их
сторон
McAfee
Web
Gateway
Сервер
McAfee TIE
Интернет
McAfee
Active Response
ED
R
95% угроз
заблокировано
!
Репутация и
индикаторы
компрометации
(IOC) занесены
в сервер McAfee
Threat
Intelligence
Exchange (TIE)
Сценарий противодействия атакам «нулевого
дня»
Проактивная и эффективная защита
15
19. .
Confidential
DMZ
DNS/App
Web Gateway
Malware Analysis/
Forensics
Central Manager
Web Malware
Analysis
File Server
Malware
Analysis
Advanced
Threat Defense
Internet
SIEM
ePO
Централизованная установка
Уменьшение себестоимости и производительность
Firewall
Сервера
дата-центра
Пользовательские
рабочие станции
IPS
Управление и Экспертиза
20. .
Confidential
Dynamic and Static Code
Analysis
Real-time Emulation
Обнаружение: McAfee ATD
Количество
образцов,
которое
нужно
обработать
Известные
«Хорошие» и «Плохие»
ИсполнениеЭмуляция поведения
White/
Black
Listing
AVGTI
21
Необходимые вычислительные процессы/Время на обработку
Комплексный многоуровневый подход
21. .
Confidential
Обнаружение: McAfee ATD
22
Анализ
Статический анализДинамический анализ
Анализ
Распаковка
Дизассемблирование
Выявление неактивного кода
Принадлежность к семейству
вредоносного кода
Подключаемые DLL
Сетевая активность
Операции с
файловой системой
Процессы
Отложенный запуск
Динамический и статический анализы угроз
22. .
Confidential
ATD
Advanced Threat Defense сканирует образец, однако…
Вредоносного поведения может быть не зафиксировано (отложенный запуск, VM Evasions)
Распаковка и классификация кода позволяют выявить вредоносный контент внутри файла
Некоторые угрозы «обходят» динамический анализ
23
В этих случаях помогает статический анализ кода
ATD
Пользователь
Распаккованный
код
Веб-сервер
злоумышленника Злоумышленник
Фишинговое письмо
Family Name: Trojan.Win32.APT_Guodl Similarity Factor: 66.72
23. .
Confidential
99,9% угроз не остаются незамеченными
24
Пример свежих криптолокеров
1. Даже сейчас про файл известно
далеко не всем…
2. Несколькими днями ранее он уже был
идентифицирован именно «песочницей»
3. На основе поведения, а не сигнатур