Сергей Маковец, ISSP Целевые атаки на информационные системы банка Сергей Поята, ISSP Владимир Илибман, Cisco Systems. - презентация

1 Сергей Маковец, ISSP Целевые атаки на информационные системы банка Сергей Поята, ISSP Владимир Илибман, Cisco Systems

2 Примеры известных атаки

3 McAfee Threats Report – August

4 Атака распространяется по сети и захватывает как можно больше данных ФИНАНСОВАЯ ОРГАНИЗАЦИЯ ЦОД/ Core Systems Атака проходит на самое слабое звено после тщательной разведки Интернет и облака УЯЗВИМЫЕ ПОЛЬЗОВАТЕЛИ Продвинутые атаки обходят средства защиты периметра и антивирусы ПОЛЬЗОВАТЕЛИ ПЕРИМЕТР Анатомия современной направленной атаки (Advance Persistent Threat)

5 Злоумышленники быстрее служб безопасности Источник: 2012 Verizon Data Breach Investigations Report От компрометации до утечки От атаки до компрометации От утечки до обнаружения От обнаружения до локализации и устранения Секунды МинутыЧасы ДниНедели МесяцыГоды 10% 8% 0% 75% 38% 0% 1% 12% 14% 2% 9% 2% 25% 13% 32% 0% 8% 29% 38% 1% 8% 54% 17% 1% 0% 2% 4% Временная шкала событий в % от общего числа взломов Взломы осуществляются за минуты Обнаружение и устранение занимает недели и месяцы

6 Классическое точечное выявление угроз в определенный момент времени Антивирус / IDS Песочница Первоначальное предположение: Файл чистый На самом деле: Файл заражен Но уже поздно Анализ в определенный момент времени Момент события Спячка Zero-day Шифрование Полиморфный код Отсутствие видимости после события

7 Точечное выявление атак не может быть эффективно на 100% Будет поймано Но 99% 1% угроз приведет ко взлому

8 В безопасности не существует единой серебряной пули Контроль доступа в сеть Поиск по сигнатурам Выявляем известные атаки Application Control FW/V PN IDS / IPS UTM NAC AV PKI Разрешить или запретить Улучшаем FW Ключ для доступа Sandboxing Выявляем неизвестные атаки

9 От продуктов к постоянному процессу защиты ДО Контроль Применение Усиление Контроль Применение Усиление ВО ВРЕМЯПОСЛЕ Обнаружение Блокирование Защита Обнаружение Блокирование Защита Видимость Сдерживание Устранение Видимость Сдерживание Устранение Временная шкала атаки Видимость и контекст Межс. экран Контроль приложений VPN Патчи Оценка уязвимостей Управление доступом IPS Антивирусы /Web Анализ аномалий Packet Capture Сбор улик Breach Detection Анализ вред. кода SIEM