Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

построение системы адаптивной защиты от угроз иб Савин и

Diana Frolova
Diana Frolova

V (Юбилейная) Конференция «Развитие информационной безопасности в Казахстане» 28.10.2016г Астана

Related slideshows

Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
 
Международный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктурМеждународный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктур
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
1 of 29
Download to read offline
. Confidential Игорь Савин | Sales Engineer, Intel Security в Казахстане и СНГ Построение системы адаптивной защиты от угроз ИБ Intel Security Threat Defense Lifecycle
. Confidential 2
. Confidential Сложности в обеспечении безопасности Целенаправленные атаки Разрозненные средства ИБ Сложная визуализация Разнородные средства и продукты, работающие отдельно друг от друга без обмена данными и аналитикой. Все более и более сложные день ото дня… Автономные и невидимые, созданные «под» конкретную инфраструктуру, включая людей и технологиии. Слишком много данных без аналитики делают процесс анализа чрезмерно сложным и долгим. 3
. Confidential Жизненный цикл целенаправленной атаки Подготовка Проникновение РезультатОперация • Сбор данных (технологии vs. люди) • Исследование периметра • Проверка средств защиты • Подготовка пакета • Доставка • Эксплуатация • Установка соединения • Превышение полномочий • Распространение • Вывод данных за пределы компании • Прерывание сервисов • Устойчивое закрепление в инфраструктуре 4
. Confidential Подготовка Проникновение РезультатОперация Стратегия защиты от целенаправленной атаки “До взлома” “После взлома” Защита Обнаружение Устранение $ $$$$ 5
. Confidential Традиционная реакция на инцидент 6 Количество событий Время Атаки «наугад» Целенаправленные атаки чрезвычайно долго устранять Защита УстранениеОбнаружение Сложная изоляция Трудоемкие операционные затраты До взлома После взлома
. Confidential Подход Security Connected 7 Сильное сжатие времени устранения и реакции Мин. время Минимизированное время Количество событий Время До взлома После взлома Защита Обнаружение Устранение Длительное время реакции Быстрое обнаружение Быстрая реакиця команды ИБ Адаптивное уменьшение количества угроз
. Confidential Адаптивная модель безопасности Интегрированные компоненты безопасности Обнаружение – непрерывный мониторинг выявляет аномальное поведение и не дает атакам остаться незамеченными Защита – комплексные средства безопасности защищают наиболее важные векторы проникновения, мешая «работать» совершенно новым типам угроз («0-day») Адаптация – мгновенная адаптация всех средств комплекса к новым угрозам Устранение – с помощью специального инструментария для выявления и проведения расследований 8
. Confidential 9 ​Защита, обнаружение и устранение
. Confidential Традиционная система безопасности Независимые друг от друга попытки предотвратить угрозу… До взлома После взлома Каждая в отдельности технология может быть чрезвычайно эффективной, однако отсутствие интеграции между ними оставляет скрытые пути проникновения 10
. Confidential Защита на основе Security Connected Адаптация всей системы в режиме реального времени Интегрированная инфраструктура мгновенно адаптируется к новым угрозам 11 До взлома После взлома
. Confidential 12 McAfee Web Gateway Network Security Platform Endpoint Security McAfee Advanced Threat Defense McAfee Active Response McAfee Enterprise Security Manager (SIEM) McAfee ePO McAfee Threat Intelligence Exchange/Data Exchange Layer McAfee Active Response McAfee Enterprise Security Manager (SIEM) McAfee ePO McAfee Threat Intelligence Exchange/Data Exchange Layer McAfee Deep Command McAfee Advanced Threat Defense Threat Intelligence Exchange Data Protection Защита ОбнаружениеУстранение Немного о продуктах Intel Security
. Confidential McAfee ePolicy Orchestrator McAfee ATD Data Exchange Layer McAfee ENS 10 McAfee MCP Agent McAfee TIE Endpoint Module McAfee Global Threat Intelligence (GTI) Потоки 3их сторон McAfee Web Gateway Сервер McAfee TIE Интернет McAfee Active Response ED R 95% угроз заблокировано ! Репутация и индикаторы компрометации (IOC) занесены в сервер McAfee Threat Intelligence Exchange (TIE) Сценарий противодействия атакам «нулевого дня» Проактивная и эффективная защита 15
. Confidential Защита: периметр и сеть 15 McAfee Network Security Platform + ATD + TIE
. Confidential Защита: шлюзовая безопасность 16 McAfee Web Gateway + ATD + TIE
. Confidential Защита: серверы и конечные точки 17 McAfee Endpoint Security + ATD + TIE
. Confidential ​McAfee Advanced Threat Defense
. Confidential Firewall Сервера дата-центра Пользовательские рабочие станции DMZ DNS/App Web Gateway IPS Web Malware Analysis File Server Malware Analysis Internet Endpoint Sandbox Manager Управление и Экспертиза SIEM ePO Malware Analysis/ Forensics Central Manager Инсталляция по определенному протоколу Несколько аппаратных комплексов
. Confidential DMZ DNS/App Web Gateway Malware Analysis/ Forensics Central Manager Web Malware Analysis File Server Malware Analysis Advanced Threat Defense Internet SIEM ePO Централизованная установка Уменьшение себестоимости и производительность Firewall Сервера дата-центра Пользовательские рабочие станции IPS Управление и Экспертиза
. Confidential Dynamic and Static Code Analysis Real-time Emulation Обнаружение: McAfee ATD Количество образцов, которое нужно обработать Известные «Хорошие» и «Плохие» ИсполнениеЭмуляция поведения White/ Black Listing AVGTI 21 Необходимые вычислительные процессы/Время на обработку Комплексный многоуровневый подход
. Confidential Обнаружение: McAfee ATD 22 Анализ Статический анализДинамический анализ Анализ Распаковка Дизассемблирование Выявление неактивного кода Принадлежность к семейству вредоносного кода Подключаемые DLL Сетевая активность Операции с файловой системой Процессы Отложенный запуск Динамический и статический анализы угроз
. Confidential ATD Advanced Threat Defense сканирует образец, однако… Вредоносного поведения может быть не зафиксировано (отложенный запуск, VM Evasions) Распаковка и классификация кода позволяют выявить вредоносный контент внутри файла Некоторые угрозы «обходят» динамический анализ 23 В этих случаях помогает статический анализ кода ATD Пользователь Распаккованный код Веб-сервер злоумышленника Злоумышленник Фишинговое письмо Family Name: Trojan.Win32.APT_Guodl Similarity Factor: 66.72
. Confidential 99,9% угроз не остаются незамеченными 24 Пример свежих криптолокеров 1. Даже сейчас про файл известно далеко не всем… 2. Несколькими днями ранее он уже был идентифицирован именно «песочницей» 3. На основе поведения, а не сигнатур
. Confidential Выявление последствий и их устранение 25 Наличие файлов в системе
. Confidential Выявление последствий и их устранение 26 Аномальная сетевая активность
. Confidential Выявление последствий и их устранение 27 Выявление подозрительных процессов в режиме реального времени
. Confidential Настраиваемая реакция Windows/Linux – готовые и собственные действия 28
. Confidential Современные средства безопасности Должны соответствовать следующим требованиям Работать вместе Адаптироваться в процессе работы Обмениваться информацией 29
. Confidential 30

More Related Content

построение системы адаптивной защиты от угроз иб Савин и

  • 1. . Confidential Игорь Савин | Sales Engineer, Intel Security в Казахстане и СНГ Построение системы адаптивной защиты от угроз ИБ Intel Security Threat Defense Lifecycle
  • 3. . Confidential Сложности в обеспечении безопасности Целенаправленные атаки Разрозненные средства ИБ Сложная визуализация Разнородные средства и продукты, работающие отдельно друг от друга без обмена данными и аналитикой. Все более и более сложные день ото дня… Автономные и невидимые, созданные «под» конкретную инфраструктуру, включая людей и технологиии. Слишком много данных без аналитики делают процесс анализа чрезмерно сложным и долгим. 3
  • 4. . Confidential Жизненный цикл целенаправленной атаки Подготовка Проникновение РезультатОперация • Сбор данных (технологии vs. люди) • Исследование периметра • Проверка средств защиты • Подготовка пакета • Доставка • Эксплуатация • Установка соединения • Превышение полномочий • Распространение • Вывод данных за пределы компании • Прерывание сервисов • Устойчивое закрепление в инфраструктуре 4
  • 5. . Confidential Подготовка Проникновение РезультатОперация Стратегия защиты от целенаправленной атаки “До взлома” “После взлома” Защита Обнаружение Устранение $ $$$$ 5
  • 6. . Confidential Традиционная реакция на инцидент 6 Количество событий Время Атаки «наугад» Целенаправленные атаки чрезвычайно долго устранять Защита УстранениеОбнаружение Сложная изоляция Трудоемкие операционные затраты До взлома После взлома
  • 7. . Confidential Подход Security Connected 7 Сильное сжатие времени устранения и реакции Мин. время Минимизированное время Количество событий Время До взлома После взлома Защита Обнаружение Устранение Длительное время реакции Быстрое обнаружение Быстрая реакиця команды ИБ Адаптивное уменьшение количества угроз
  • 8. . Confidential Адаптивная модель безопасности Интегрированные компоненты безопасности Обнаружение – непрерывный мониторинг выявляет аномальное поведение и не дает атакам остаться незамеченными Защита – комплексные средства безопасности защищают наиболее важные векторы проникновения, мешая «работать» совершенно новым типам угроз («0-day») Адаптация – мгновенная адаптация всех средств комплекса к новым угрозам Устранение – с помощью специального инструментария для выявления и проведения расследований 8
  • 10. . Confidential Традиционная система безопасности Независимые друг от друга попытки предотвратить угрозу… До взлома После взлома Каждая в отдельности технология может быть чрезвычайно эффективной, однако отсутствие интеграции между ними оставляет скрытые пути проникновения 10
  • 11. . Confidential Защита на основе Security Connected Адаптация всей системы в режиме реального времени Интегрированная инфраструктура мгновенно адаптируется к новым угрозам 11 До взлома После взлома
  • 12. . Confidential 12 McAfee Web Gateway Network Security Platform Endpoint Security McAfee Advanced Threat Defense McAfee Active Response McAfee Enterprise Security Manager (SIEM) McAfee ePO McAfee Threat Intelligence Exchange/Data Exchange Layer McAfee Active Response McAfee Enterprise Security Manager (SIEM) McAfee ePO McAfee Threat Intelligence Exchange/Data Exchange Layer McAfee Deep Command McAfee Advanced Threat Defense Threat Intelligence Exchange Data Protection Защита ОбнаружениеУстранение Немного о продуктах Intel Security
  • 13. . Confidential McAfee ePolicy Orchestrator McAfee ATD Data Exchange Layer McAfee ENS 10 McAfee MCP Agent McAfee TIE Endpoint Module McAfee Global Threat Intelligence (GTI) Потоки 3их сторон McAfee Web Gateway Сервер McAfee TIE Интернет McAfee Active Response ED R 95% угроз заблокировано ! Репутация и индикаторы компрометации (IOC) занесены в сервер McAfee Threat Intelligence Exchange (TIE) Сценарий противодействия атакам «нулевого дня» Проактивная и эффективная защита 15
  • 14. . Confidential Защита: периметр и сеть 15 McAfee Network Security Platform + ATD + TIE
  • 16. . Confidential Защита: серверы и конечные точки 17 McAfee Endpoint Security + ATD + TIE
  • 18. . Confidential Firewall Сервера дата-центра Пользовательские рабочие станции DMZ DNS/App Web Gateway IPS Web Malware Analysis File Server Malware Analysis Internet Endpoint Sandbox Manager Управление и Экспертиза SIEM ePO Malware Analysis/ Forensics Central Manager Инсталляция по определенному протоколу Несколько аппаратных комплексов
  • 19. . Confidential DMZ DNS/App Web Gateway Malware Analysis/ Forensics Central Manager Web Malware Analysis File Server Malware Analysis Advanced Threat Defense Internet SIEM ePO Централизованная установка Уменьшение себестоимости и производительность Firewall Сервера дата-центра Пользовательские рабочие станции IPS Управление и Экспертиза
  • 20. . Confidential Dynamic and Static Code Analysis Real-time Emulation Обнаружение: McAfee ATD Количество образцов, которое нужно обработать Известные «Хорошие» и «Плохие» ИсполнениеЭмуляция поведения White/ Black Listing AVGTI 21 Необходимые вычислительные процессы/Время на обработку Комплексный многоуровневый подход
  • 21. . Confidential Обнаружение: McAfee ATD 22 Анализ Статический анализДинамический анализ Анализ Распаковка Дизассемблирование Выявление неактивного кода Принадлежность к семейству вредоносного кода Подключаемые DLL Сетевая активность Операции с файловой системой Процессы Отложенный запуск Динамический и статический анализы угроз
  • 22. . Confidential ATD Advanced Threat Defense сканирует образец, однако… Вредоносного поведения может быть не зафиксировано (отложенный запуск, VM Evasions) Распаковка и классификация кода позволяют выявить вредоносный контент внутри файла Некоторые угрозы «обходят» динамический анализ 23 В этих случаях помогает статический анализ кода ATD Пользователь Распаккованный код Веб-сервер злоумышленника Злоумышленник Фишинговое письмо Family Name: Trojan.Win32.APT_Guodl Similarity Factor: 66.72
  • 23. . Confidential 99,9% угроз не остаются незамеченными 24 Пример свежих криптолокеров 1. Даже сейчас про файл известно далеко не всем… 2. Несколькими днями ранее он уже был идентифицирован именно «песочницей» 3. На основе поведения, а не сигнатур
  • 24. . Confidential Выявление последствий и их устранение 25 Наличие файлов в системе
  • 25. . Confidential Выявление последствий и их устранение 26 Аномальная сетевая активность
  • 26. . Confidential Выявление последствий и их устранение 27 Выявление подозрительных процессов в режиме реального времени
  • 27. . Confidential Настраиваемая реакция Windows/Linux – готовые и собственные действия 28
  • 28. . Confidential Современные средства безопасности Должны соответствовать следующим требованиям Работать вместе Адаптироваться в процессе работы Обмениваться информацией 29