Embed Size (px)
Citation preview
ЗАЩИТА ОТ ЦЕЛЕВЫХ АТАКИ УГРОЗ «НУЛЕВОГО» ДНЯ
Евгений КлимовЗАО НИП «Информзащита»
ТОЛЬКО ЦИФРЫ
~203 млрд руб.
Ущерб от киберпреступленийв России в 2015г. составил ~203 млрд руб.**
Источник: Фонд развития интернет-инициатив(ФРИИ), Microsoft, Group-IB. https://goo.gl/ua9eBe
ТОЛЬКО ЦИФРЫ
~104 млрд руб.
Источник: «Федеральные целевые программы России» http://fcp.economy.gov.ru/cgi-bin/cis/fcp.cgi/Fcp/ViewFcp/View/2016/443
ВВЕДЕНИЕ
АРТ (Advanced Persistent Threats)
Целевые атакиИЛИ Целенаправленные
атаки ИЛИ Таргетированные атаки
АТАКА НА ГОСУДАРСТВЕННЫЕ ОРГАНИЗАЦИИ РФВ июле 2016 ФСБ сообщила* об обнаружении ВПО для кибершпионажа в более чем 20 госорганизациях РФ, включая:
органы государственной власти и управления
научные и военные учреждения предприятий оборонно-промышленного
комплекса иные объекты критически важной
инфраструктуры
Источник: ФСБ РФ http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10437870%40fsbMessage.html
АТАКА НА ГОСОРГАНИЗАЦИИ (PROJECT SAURON) Более 30 зараженных госорганизаций в РФ,
Иране, Руанде Атака проводилась как минимум с 2011г. по
2016г. Уникальный набор индикаторов
компрометации для каждой жертвы Кража данных из систем, не подключенных к
Интернет (через USB-флешки) Кража ключей шифрования СКЗИ,
используемого в госорганизациях РФ Кража учетных данных, скриншоты экрана,
доступ к микрофону и web-камере – более 50 функциональных плагинов
Источник: «Лаборатория Касперского» https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt/
АТАКА НА АЭРОКОСМИЧЕСКУЮ ОТРАСЛЬ (KOMPLEX)
Источник: Palo Alto Networks https://goo.gl/R8VzLs
ПРИМЕР ФИШИНГОВОГО ПИСЬМА
ТЕНДЕНЦИИ
Повышение сложности АРТ-атак Типизация АРТ-атак Модифицированное ВПО в массовых атаках Кибервойны
Теневой рынок
https://forum.zloy.bz/http://darkmoney.cc/https://verifieasmspsemk.onion/ https://forum.exploit.in/
РЕШЕНИЯ ДЛЯ ЗАЩИТЫ ОТ АРТ
«Песочницы» Анализ «аномалий», «поведенческий» анализ
• Network Behaviour Analysis (NBA)• User and Entity Behaviour Analysis (UBA/UEBA)
Решения Next-Generation Endpoint Security
«ПЕСОЧНИЦЫ» Возможность не только детектировать, но и блокировать атаку. Не требует высокой квалификации обслуживающего персонала Анализ выполняемых операций в безопасной виртуальной среде Часто в состав решения входит агент для защиты конечных точек (Next-Generation Endpoint Security)
«Мониторинг сетевого трафика» «Поведенческий» анализ сетевого трафика на предмет аномалий, вредоносной активности, атак. Корреляция с учетом контекста – пользователи, приложения, сервисы «Архив» сетевого трафика – может быть использован при расследовании инцидентов
LAN Internet
Сенсор
TAPNetflow
SPAN
ТЕСТИРОВАНИЕ «ПЕСОЧНИЦ» 3 вендора Головной офис крупной телеком-компании Срок тестирования 1 месяц На тестирование в «песочницы» попадали только тот трафик, который не был
заблокирован сигнатурными СЗИ Синтетический тест и тест на реальном Интернет-трафике
СХЕМА СТЕНДА
Secure Web Gateway
Secure Email Gateway
TAP
Web Email
Sandbox B Sandbox CSandbox A
Интернет
РЕЗУЛЬТАТЫ СИНТЕТИЧЕСКОГО ТЕСТА (WEB)
Интернет Web Gateway ЛВС Заказчика
55шт 32шт
55шт 32шт 3шт
Интернет Web Gateway ЛВС ЗаказчикаПесочница
55 сэмплов ВПО, 23/55 заблокировано существующими СЗИ, 29/32 оставшихся заблокировано «песочницей»
РЕЗУЛЬТАТЫ СИНТЕТИЧЕСКОГО ТЕСТА (E-MAIL)
Интернет E-Mail Gateway ЛВС Заказчика
15шт 14шт
15шт 14шт 5шт
Интернет E-Mail Gateway ЛВС ЗаказчикаПесочница
15 сэмплов ВПО, 1/15 заблокировано существующими СЗИ, 9/14 оставшихся заблокировано «песочницей»
РЕЗУЛЬТАТЫ ТЕСТА НА ИНТЕРНЕТ-ТРАФИКЕ
Интернет E-Mail / Web Gateway
ЛВС Заказчика
1мес 72 шт
Интернет-трафик пользователей в головном офисе крупной телеком-компании. Срок анализа трафика – 1 месяц Сигнатурными СЗИ не обнаружено 72 угрозы!
Песочница
РЕЗУЛЬТАТЫ ТЕСТА НА РЕАЛЬНОМ ИНТЕРНЕТ-ТРАФИКЕ
Тип ВПО Количество
Trojan 34Worm 2Backdoor 5 Trojan.Downloader 18Ransomware 2Spyware 2Riskware/Adware 7Web.Exploit 1Mal/FakeAV-SE 1Botnet callbacks 25Итого 72
ОБНАРУЖЕННЫЕ ИНЦИДЕНТЫ (INFOSTEALER.FAREIT) Fareit – семейство ВПО, первые экземпляры появились в 2012 г. Функционал:
• кража данных, учетных записей• удаленное управление• кейлоггер
Попытки «обойти» песочницу (таймер)
Дополнительный материал: https://goo.gl/SyLc8u
ОБНАРУЖЕННЫЕ ИНЦИДЕНТЫ (TROJAN.ADWIND)Adwind – платформа ВПО Malware-as-a-Service.
Функционал: кража данных, учетных записей снятие скриншотов, запись микрофона и web-камеры кража ключей для криптовалют и т.д.
Дополнительный материал: https://goo.gl/HLGNFi
КРИТЕРИИ ВЫБОРА «ПЕСОЧНИЦЫ»
Режим блокирования Защита конечных точек Перечень эмулируемых ОС (Windows, Android, MacOS) Отчетность Возможность и виды интеграции с существующими СЗИ
ЗАКЛЮЧЕНИЕ Традиционные сигнатурные/репутационные СЗИ неэффективны «Серебрянной пули» для защиты от АРТ не существует Комплексный подход + Решения нового поколения + Экспертиза
ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ http://www.anti-malware.ru/compare/
Test_protection_against_targeted_attacks_comparison_network_sandboxes
https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt/ http://researchcenter.paloaltonetworks.com/2016/09/unit42-sofacys-komplex-os-x-
trojan/
https://securelist.ru/blog/issledovaniya/25106/bolshoe-bankovskoe-ograblenie-apt-kampaniya-carbanak/
https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
