2. Как мы обычно боремся с вредоносным ПО?
• ИБ или ИТ-службы, которые привыкли
делать «потому что так принято», не
задумываясь о актуальной модели угроз
• Традиционный (или даже продвинутый)
антивирус на ПК
• МСЭ на периметре для блокирования
вредоносных коммуникаций (C&C или
139-й порт)
• Настройки антивируса обычно
используются по умолчанию
Антивирус
МСЭ
3. C чем может бороться данный сценарий?
• Широко
распространенное
вредоносное ПО
• Сигнатуры для него
известны в течение
месяцев
• Если используются
командные C&C-
сервера, то их IP-адреса
обычно известны
• Вложения в e-mail,
содержащие старые
исполняемые файлы
• Старое вредоносное ПО
на флешках
• Прямая загрузка
вредоносного ПО из
Интернет (например,
бесплатные антивирусы
или дефрагментаторы)
Уровень обнаружения на VT – выше 80%
5. Жизненный цикл уязвимости
tv te td t0 ts tp ta
Уязвимость
появилась
Эксплойт выпущен
в
мир
Уязвимость
известна
вендору
Уязвимость
публично
раскрыта
Выпущена
сигнатура
для
AV/IDS
Выпущен
патч
Патч
внедрен
Окно незащищенности
Атака 0day
6. Кто вовлечен в бизнес по поиску 0day?
Приват
Приват
Паблик
t
Государства,
оборонные
подрядчики,
разработчики
эксплойтов,
исследователи
уязвимостей
«Плохие
парни»
Вендора,
ищущие 0day в
своих
решениях,
охотники bug
bounty, Google
Project Zero…
8. Биржа скупки уязвимостей Zerodium
В отличие от легальных
программ Bug Bounty,
предлагаемых ИТ-
производителями, биржи
скупки уязвимостей платят
на порядок больше денег,
мотивируя
«исследователей»
работать с ними
10. • 0-Day для Adobe – 30000$
• 0-Day для Apple – 250000$
• Эксплойт-кит – 200-600$
• Blackhole эксплойт-кит – 700$
в месяц (лизинг) или 1500$ в
год
• Шпионское ПО – 200$
Разработка на заказ
Примечание: цены могут постоянно меняться в ту или иную сторону
11. 0day встречаются не только в APT
1%
9%
90%
Сигнатуры и
правила
Поведенческий анализ,
облачная репутация,
Threat Intelligence, NTA
Машинное обучение,
песочницы, threat hunting,
forensics
Широко
распространенное,
обычное ВПО
Сложное ВПО
Целевое и
уникальное ВПО
21. История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др.
• 44-ФЗ как угроза информационной безопасности…
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод
заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
Начало 2000-х годов
30. Для защиты от 0day надо учитывать Kill chain
Доставка
Эксплойт
Инсталляция
C&C
Действие
Анализ
Расширение
плацдарма
Инсталляция /
исполнение
Запуск
Захват Сбор Утечка Удаление
Разведка
Вооружение Определение цели
Подготовка
Планирование
Вторжение
32. Threat Intelligence - это не только фиды и IoCи
•Инструменты
•Артефакты
•Индикаторы
•Кампании
•Тактика
•Техника
•Процедуры
•Атрибуция
•Цели
•Стратегия
Стратегический Тактический
ТехническийОперационный
Долгосрочные
Краткосрочные
Менее детальные Более детальные
33. Откуда можно брать данные TI?
• Открытые источники фидов
• Частные (закрытые) источники фидов
• Социальные сети
• Twitter
• Сайты и блоги исследователей
• Youtube
• Deep Web / Darknet
🔍
35. Продвинутая защита для большинства случаев
• Threat Intelligence для всех элементов
системы защиты
• Расширение функционала решения за
счет контроля поведения трафика и
пользователей
• Дополнение функционала EPP
функциями обнаружения и
реагирования на инциденты (EDR) и
круглосуточный мониторинг и
реагирование (MDR)
• Интеграция хостовых и сетевых средств
обнаружения и реагирования
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Мониторинг DNS
ИБ IaaS/PaaS
Mobile Device
Management (MDM)
Защита
серверов
CASB
36. C чем может бороться данный сценарий?
• Отсутствие повтора
поведения
• Обфускация файлов для
обхода продвинутых
песочниц
• Маскировка под
нормальные файлы,
удаление индикаторов
заражение
• 0Day в пользовательских
приложениях
• Модификация известных
техник, адаптированных
под новые приложения и
ОС
• Распространение по сети
(например, после
компрометации ПК)
Уровень обнаружения на VT – менее 5%
48. Ключевые особенности технологии
поведенческой аналитики
• Анализ активности не столько пользователей,
сколько активностей, с ними связанной (действия,
процессы, приложения, сетевой трафик и т.п.)
• Анализу подлежит активность и поведение
пользователей, а не роли, атрибуты или параметры
доступа (хотя они важны в контексте)
• Анализ подразумевает не использование жестко
зафиксированных правил корреляции, а
применение более интеллектуальных методов
(например, машинного обучения и т.п.),
позволяющих без описанных ранее шаблонов
зафиксировать аномалии в поведении
49. 3 причины обращения заказчиков к UEBA
• Нехватка возможностей существующих
решений и технологий по обнаружение
угроз, связанных с деятельностью
пользователей
• Необходимость мониторить окружение,
которое не покрывается другими
решениями и технологиями
• Высокая стоимость сортировки и
приоритезации событий ИБ в
существующих SIEM-решений, которые
как-то оперируют событиями, связанными
с пользователями
50. Продукт или технология?
• Вы можете выбрать
отдельный продукт или
встроенную в
существующее решение
технологию / функцию
• Возможно сегмент
отдельных продуктов
UEBA «вымрет»,
слившись с другими
классами продуктов,
повысивших свою
эффективность работы с
пользовательским
контекстом
UEBA
Технология
SIEM DLP NTA EDR IAG/PAM
Продукт
65. Как бороться со спецслужбами?
• Фокус на обнаружении
• Стратегия разрешения только хорошо
известного
• Белые списки приложений и изоляция
сегментов сети, приложений и узлов на
уровне данных, не допуская взаимодействия
доверенных и недоверенных активов
• Виртуализация, удаленные браузеры на
уровне ПК
• TPM, контроль целостности ОС, подпись всех
e-mail, контроль потоков, удаленная
верификация
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Контроль
приложений
ЛокализацияЗащита
серверов
Изоляция
Мониторинг DNS
Mobile Device
Management (MDM)
66. • Начать с пересмотра стратегии кибербезопасности
• Понять мотивацию злоумышленников для их предприятия
• Учесть тактику, техники и процедуры (TTP), используемые
злоумышленниками
• Идентифицировать слабые звенья в их организации, в их сети,
в их системе защиты
• Думать как злоумышленники – действовать как безопасники
(применяйте Red Team / Blue Team)
• Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ»
Что надо делать компаниям?
67. • Пересмотреть их систему защиты
• Сбалансировать технологии защиты (предотвращение,
обнаружение и реагирование) – вместо соотношения 80-15-5
перейдите к 33-33-34
• Задуматься о безопасности внутренней сети также, как они
защищают периметр
• Мониторить даже то, чего у них по политике нет (Wi-Fi,
мобильные устройства, 3G/4G-модемы, облака и т.п.)
• Внедрить систему Threat Intelligence для раннего
предупреждения об угрозах
Что надо делать компаниям?