Embed Size (px)
Citation preview
Целевые атаки - миф или реальность?
Сергей БуловичРегиональный менеджер по СЗФО Санкт-Петербург, 2016 года
Большинство передовых угроз строятся на базовых техниках и методах социальной инженерии
Существенное снижение затрат и массовый рост предложений (Кибератака-Как-Сервис)
Недостаток оперативной информации в виду динамического усложнения ИТ инфраструктуры
Резкий спад эффективности периметровой защиты
Рост количества атак на поставщиков, 3-их лиц и небольшие компании (SMB)
В среднем целевая атака с момента её появления остается необнаруженной более 214 дней
Тенденции корпоративной ИБ на 2016 год.
КИБЕРАТАКИ НА ПРОМЫШЛЕННЫЕ ИНФРАСТРУКТУРЫ
Новость от 14 августа 2003.На востоке США и Канады без электричества остались 50 миллионов
человек!
Из-за неких неполадок в электросети50 миллионов человек остались без
электричества на срок от нескольких часов до нескольких дней. Обсуждалось много
причин этой техногенной катастрофы, в том числе нестриженные деревья, удар молнии, злонамеренные белки и …версия побочного эффекта от атаки
компьютерного червя Slammer (Blaster).
Новость от 25 марта 2016.Хакеры нечаянно атаковали водоочистные сооружения.
Сбои SCADA-оборудования не случайны, — в работу Kemuri Water Company вмешались хакеры.
Взломщики определено не понимали, к чему они получили доступ и проникли в систему AS/400 из
любопытства. Похоже, что настройки водоочистной системы они поменяли случайным
образом, просто экспериментируя и пытаясь понять, что это такое.
• Практически вся инфраструктура была построена вокруг IBM AS/400, которую впервые представили 1988 году.
• AS/400 оказалась доступной из интернета, потому что через нее проходил трафик веб-сервера.
ВЗЛОМ АСУ ТП – ПРИЗ ЗА ЛУЧШИЙ СЦЕНАРИЙНаполнение бензовозов «лишним» топливом. Основано на реальных событиях.
Система автоматизации взломана. Как это использовать?
Пустой бензовоз приезжает на нефтебазу
Заливка топлива… с «небольшой» поправкой
Бензовоз покидает нефтебазу
«Лишнее» топливо сливается
2% топлива с каждого бензовоза
KASPERSKY INDUSTRIAL CYBERSECURITYСТРАТЕГИЧЕСКИЙ ПОДХОД К ЗАЩИТЕ КРИТИЧЕСКИХ ИНФРАСТРУКТУР
ДРУГИЕ ПРИОРИТЕТЫ
Запрет по умолчанию
Оценка уязвимостей
Контроль устройств
Контроль целостности ПЛК
Режим высокой доступности
Работает на SCADA-серверах, инженерных
рабочих станциях и поддерживает HMI
Kaspersky Industrial CyberSecurity FOR NODES
Обнаружение аномалий в технологических
сетях
Обнаружение управляющих команд,
приводящих к нарушению технологического
процесса
Контроль целостности сети (обнаружение
новых устройств в промышленной сети)
Расследование, мониторинг и средство
обнаружения инцидентов
Kaspersky Industrial CyberSecurity FOR NETWORKS
KICS for Networks
ICS/SCADA
РЕАЛИЗОВАННЫЕ ПРОЕКТЫ
«Решение Kaspersky Industrial CyberSecurity полностью удовлетворяло нашим требованиям, а также обеспечило такие функции, как контроль устройств и возможность централизованного управления и мониторинга состояния защищенных узлов». Роман Янукович, технический директор, VARS
ЗАДАЧА:
Терминал является местом хранения и перевалки токсических материалов: поэтому противодействие вирусным атакам жизненно важно для ведения бизнеса.
ОСОБЕННОСТИ:
► Защита в изолированной среде
► Контроль на основе белых списков
ЗАЩИТА ТРАНСПОРТНОГО ТЕРМИНАЛА VARS
«Уже в первые месяцы работы решение по защите индустриальных объектов «Лаборатории Касперского» обнаружило несанкционированное подключение стороннего ноутбука к одному из контроллеров, а также попытку изменить параметры работы датчика».Марат Гильметдинов, начальник отдела АСУ ТП, ТАНЕКО
ЗАДАЧА:
Поддержание непрерывности технологических процессов как основного приоритета компании.
ОСОБЕННОСТИ:
► Оперативная поддержка на всех этапах
► Обнаружение несанкционированных подключений
ТАНЕКО ЗАЩИЩАЕТ ПРОИЗВОДСТВЕННЫЕ МОЩНОСТИ
KASPERSKY ANTI TARGETED ATTACK PLATFORM
НАШИ ИССЛЕДОВАНИЯ Мы находим и пристально изучаем самые сложные в мире угрозы
Duqu
miniFlame
Gauss
Icefog
Winnti
NetTraveler
Miniduke
Epic Turla
Energetic Bear / Crouching Yeti
Красный октябрь
CosmicDuke
Darkhotel
Маска
Regin
2010 2011 2012 2013 2014
Sofacy
Carbanak
Desert Falcons
Equation
Naikon
Hellsing
2015
TeamSpy
Duqu 2.0
Animal Farm
Kimsuky
Stuxnet Flame
Darkhotel
MsnMMCampaigns
Satellite Turla
Wild Neutron
Blue Termite
Spring Dragon
KATA
Интернет
Ноутбуки
ПК
Сервера
Почта
Сетевые сенсоры
Сенсоры рабочих
мест
Песочница
SB Activity LogsPcaps, Sys-log
Инцидент
Офицер ИБ
Группа реагирования
Сбор данных Анализ данных Приоритезация РеагированиеВектора угроз
Аналитический центр
SIEM SOC• мета-данные• подозрительные объекты
• Сетевая активность рабочего места
Verdicts DB
Консоль администратора
ЕДИНАЯ ПЛАТФОРМА БЕЗОПАСНОСТИ Kaspersky Security для бизнеса
Изв
естн ые
угр
озы
Загрузка файлов
Запуск файлов
Выполнение файлов
29%70% 1%
Проактивные технологии
Реактивные технологии
Анти
фиш
инг
(поч
товы
й тр
афик
)
HIPS
и
сете
вой
экра
н (с
етев
ой
траф
ик)
Фил
ьтра
ция
URL-
адре
сов
(инт
ерне
т-тр
афик
)Ан
тисп
ам(п
очто
вый
траф
ик)
Черн
ые
спис
ки
Неи
звес
тн ые
угро
зыЭв
рист
ичес
кие
техн
олог
ии
Белы
е сп
иски
Кон
трол
ь пр
огра
мм
Сл
ожны
еуг
розыBS
S
AEP
Мон
итор
инг
сист
емы
Kaspersky Security Network
Мониторинг уязвимостей и патч-менеджмент
СТРАТЕГИЯ АДАПТИВНОЙ КОРПОРАТИВНОЙ ИБ
• Cybersecurity training
• Kaspersky Lab Enterprise security solutions
• Cyber safety Games• Threat simulation
ПОВЫШЕНИЕОСВЕДОМЛЕННОСТИ:
ЗАЩИТА:
ОБУЧЕНИЕ:
ПРЕДОТВРАЩЕНИЕ
• Targeted AttackInvestigation Training
• APT reporting• Botnet tracking• Threat data feeds
• Kaspersky Anti Targeted Attack Platform
РЕШЕНИЕ:
ЛАНДШАФТУГРОЗ:
ЭКСПЕРТИЗА:
ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ
• Incident response service
• Malware analysis service• Digital forensics services
РАССЛЕДОВАНИЕ:
ПРОГНОЗИРОВАНИЕ
• Penetration testing service
• Security assessment service
• Targeted Attack Discovery Service
САМОАНАЛИЗ:
Сетевые сенсоры
Интеграция с сетевым оборудованием
Интеграция с прокси серверами
Почтовые сенсоры
Сбор почты с серверов
Мониторинг конечных станций
Сбор информации
23Security Day 2016
Поиск аномалий
Статистическая модель
Машинное обучение
Репутационная информация
Корреляция данных с агентов
Сопоставление различных событий
Использование экспертизы
Анализ данных: Статистика
24Security Day 2016
Технологическая основа
Основана на внутреннем проекте компании
Больше 10 лет успешного использования
Поддержка платформ
Windows XP
Windows 7 x32
Windows 7 x64
Технология защиты от обхода Sandbox
Анализ данных: объекты
25Security Day 2016
Поддержка KSN/KPSN
Репутация файлов
Репутация сайтов/доменов
Известные центры управления
История доменов
Шаблоны поведения
Анализ данных: мнение большинства
26Security Day 2016
«Что знает Лаборатория Касперского?»
Поддержка настраиваемых правил
Обнаружение известных атак
Использование облака для связи
вредоносных объектов и соединений
Анализ данных: большая картина
27Security Day 2016
Мониторинг в реальном времени
Настраиваемые фильтры
Цепочки событий
Интеграция с SIEM
Вердикт: представление и расследование
28Security Day 2016
Экспертные сервисы
Объединенные с продуктом: поиск
целевых атак; расследование
инцидентов
Дополнительно: анализ защищенности,
информирование об угрозах, тренинги
по безопасности
Реагирование: необходима экспертиза
Обучение реагированию на инцидентыIncident response training
Обучение правильному построению процесса реагирования – это ключевая задача эффективного использования ЛЮБОГО анти-APT
решения
Расследовать как инцидент произошел
Быстро восстановить системы
Тренинги• Однодневный тренинг: Общий курс по проблемам безопасности в промышленных сетях
• Однодневный тренинг: Социальные атаки на промышленных предприятиях
• Деловая игра: Kaspersky Industrial Protection Simulation
СПАСИБО!
www.kaspersky.ru/enterprise-security
