Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный инструмент снижения
Информзащита. RISSPA. Евгений Климов. "Защита от целевых...
Transcript of Информзащита. RISSPA. Евгений Климов. "Защита от целевых...
ЗАЩИТА ОТ ЦЕЛЕВЫХ АТАКИ УГРОЗ «НУЛЕВОГО» ДНЯ
Евгений КлимовЗАО НИП «Информзащита»
ТОЛЬКО ЦИФРЫ
~203 млрд руб.
Ущерб от киберпреступленийв России в 2015г. составил ~203 млрд руб.**
Источник: Фонд развития интернет-инициатив(ФРИИ), Microsoft, Group-IB. https://goo.gl/ua9eBe
ТОЛЬКО ЦИФРЫ
~104 млрд руб.
Источник: «Федеральные целевые программы России» http://fcp.economy.gov.ru/cgi-bin/cis/fcp.cgi/Fcp/ViewFcp/View/2016/443
ВВЕДЕНИЕ
АРТ (Advanced Persistent Threats)
Целевые атакиИЛИ Целенаправленные
атаки ИЛИ Таргетированные атаки
АТАКА НА ГОСУДАРСТВЕННЫЕ ОРГАНИЗАЦИИ РФВ июле 2016 ФСБ сообщила* об обнаружении ВПО для кибершпионажа в более чем 20 госорганизациях РФ, включая:
органы государственной власти и управления
научные и военные учреждения предприятий оборонно-промышленного
комплекса иные объекты критически важной
инфраструктуры
Источник: ФСБ РФ http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10437870%40fsbMessage.html
АТАКА НА ГОСОРГАНИЗАЦИИ (PROJECT SAURON) Более 30 зараженных госорганизаций в РФ,
Иране, Руанде Атака проводилась как минимум с 2011г. по
2016г. Уникальный набор индикаторов
компрометации для каждой жертвы Кража данных из систем, не подключенных к
Интернет (через USB-флешки) Кража ключей шифрования СКЗИ,
используемого в госорганизациях РФ Кража учетных данных, скриншоты экрана,
доступ к микрофону и web-камере – более 50 функциональных плагинов
Источник: «Лаборатория Касперского» https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt/
АТАКА НА АЭРОКОСМИЧЕСКУЮ ОТРАСЛЬ (KOMPLEX)
Источник: Palo Alto Networks https://goo.gl/R8VzLs
ПРИМЕР ФИШИНГОВОГО ПИСЬМА
ТЕНДЕНЦИИ
Повышение сложности АРТ-атак Типизация АРТ-атак Модифицированное ВПО в массовых атаках Кибервойны
Теневой рынок
https://forum.zloy.bz/http://darkmoney.cc/https://verifieasmspsemk.onion/ https://forum.exploit.in/
РЕШЕНИЯ ДЛЯ ЗАЩИТЫ ОТ АРТ
«Песочницы» Анализ «аномалий», «поведенческий» анализ
• Network Behaviour Analysis (NBA)• User and Entity Behaviour Analysis (UBA/UEBA)
Решения Next-Generation Endpoint Security
«ПЕСОЧНИЦЫ» Возможность не только детектировать, но и блокировать атаку. Не требует высокой квалификации обслуживающего персонала Анализ выполняемых операций в безопасной виртуальной среде Часто в состав решения входит агент для защиты конечных точек (Next-Generation Endpoint Security)
«Мониторинг сетевого трафика» «Поведенческий» анализ сетевого трафика на предмет аномалий, вредоносной активности, атак. Корреляция с учетом контекста – пользователи, приложения, сервисы «Архив» сетевого трафика – может быть использован при расследовании инцидентов
LAN Internet
Сенсор
TAPNetflow
SPAN
ТЕСТИРОВАНИЕ «ПЕСОЧНИЦ» 3 вендора Головной офис крупной телеком-компании Срок тестирования 1 месяц На тестирование в «песочницы» попадали только тот трафик, который не был
заблокирован сигнатурными СЗИ Синтетический тест и тест на реальном Интернет-трафике
СХЕМА СТЕНДА
Secure Web Gateway
Secure Email Gateway
TAP
Web Email
Sandbox B Sandbox CSandbox A
Интернет
РЕЗУЛЬТАТЫ СИНТЕТИЧЕСКОГО ТЕСТА (WEB)
Интернет Web Gateway ЛВС Заказчика
55шт 32шт
55шт 32шт 3шт
Интернет Web Gateway ЛВС ЗаказчикаПесочница
55 сэмплов ВПО, 23/55 заблокировано существующими СЗИ, 29/32 оставшихся заблокировано «песочницей»
РЕЗУЛЬТАТЫ СИНТЕТИЧЕСКОГО ТЕСТА (E-MAIL)
Интернет E-Mail Gateway ЛВС Заказчика
15шт 14шт
15шт 14шт 5шт
Интернет E-Mail Gateway ЛВС ЗаказчикаПесочница
15 сэмплов ВПО, 1/15 заблокировано существующими СЗИ, 9/14 оставшихся заблокировано «песочницей»
РЕЗУЛЬТАТЫ ТЕСТА НА ИНТЕРНЕТ-ТРАФИКЕ
Интернет E-Mail / Web Gateway
ЛВС Заказчика
1мес 72 шт
Интернет-трафик пользователей в головном офисе крупной телеком-компании. Срок анализа трафика – 1 месяц Сигнатурными СЗИ не обнаружено 72 угрозы!
Песочница
РЕЗУЛЬТАТЫ ТЕСТА НА РЕАЛЬНОМ ИНТЕРНЕТ-ТРАФИКЕ
Тип ВПО Количество
Trojan 34Worm 2Backdoor 5 Trojan.Downloader 18Ransomware 2Spyware 2Riskware/Adware 7Web.Exploit 1Mal/FakeAV-SE 1Botnet callbacks 25Итого 72
ОБНАРУЖЕННЫЕ ИНЦИДЕНТЫ (INFOSTEALER.FAREIT) Fareit – семейство ВПО, первые экземпляры появились в 2012 г. Функционал:
• кража данных, учетных записей• удаленное управление• кейлоггер
Попытки «обойти» песочницу (таймер)
Дополнительный материал: https://goo.gl/SyLc8u
ОБНАРУЖЕННЫЕ ИНЦИДЕНТЫ (TROJAN.ADWIND)Adwind – платформа ВПО Malware-as-a-Service.
Функционал: кража данных, учетных записей снятие скриншотов, запись микрофона и web-камеры кража ключей для криптовалют и т.д.
Дополнительный материал: https://goo.gl/HLGNFi
КРИТЕРИИ ВЫБОРА «ПЕСОЧНИЦЫ»
Режим блокирования Защита конечных точек Перечень эмулируемых ОС (Windows, Android, MacOS) Отчетность Возможность и виды интеграции с существующими СЗИ
ЗАКЛЮЧЕНИЕ Традиционные сигнатурные/репутационные СЗИ неэффективны «Серебрянной пули» для защиты от АРТ не существует Комплексный подход + Решения нового поколения + Экспертиза
ВОПРОСЫ?
Евгений КлимовТехнический директор(495) 980 23 45 доб. [email protected]
ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ http://www.anti-malware.ru/compare/
Test_protection_against_targeted_attacks_comparison_network_sandboxes
https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt/ http://researchcenter.paloaltonetworks.com/2016/09/unit42-sofacys-komplex-os-x-
trojan/
https://securelist.ru/blog/issledovaniya/25106/bolshoe-bankovskoe-ograblenie-apt-kampaniya-carbanak/
https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf