Алексей Белоглазов, системный инженер, Россия и СНГ

Противодействие продвинутым кибер-атакам: инновационные методы защиты и системный

подход к решению инцидентов

Mandiant: тенденции развития кибер-угроз в 2015 г.

SOURCE: MANDIANT M-TRENDS 2016 REPORT, PONEMON COST OF DATA BREACH STUDY

•  Русскоязычные хакеры – № 1 в 2015 г., китайские хакеры были на втором месте и проявили особый интерес к персональным данным

•  Разрабатываются новые незаметные методы обеспечения постоянного присутствия: –  bootkits (MBR, VBR), задачи по расписанию Windows, WMI, и др.

•  В 100% атак злоумышленники крадут и используют учетные записи пользователей •  Злоумышленники берут курс на анонимность:

–  Вымогатели все чаще прибегают к анонимным электронным кошелькам и Bitcoin (пример: крипто-локеры, угрозы обнародовать украденные конфиденциальные данные)

–  Используются хорошо известные утилиты (включая PowerShell, WMI), готовые библиотеки (например: Tor) и кастомизированные дистрибутивы (примеры: Zeus, Carberp)

–  Используются онлайн-переводчики (попытки выдать себя за русских, и др.) –  Ассоциировать атаки с деятельностью конкретных хакерских групп становится все сложнее.

Стоимость и значение достоверной аналитики растет

•  Достоверность данных в сети Интернет все больше под вопросом

ЧЕЛОВЕЧЕСКОЕ ДОВЕРИЕ – УЯЗВИМОСТЬ № 1

0%5%10%15%20%25%30%35%

Ден

ьне

дели

,когда

на

правля

лисьписьм

а

CurrentEvents12%

Delivery15%

Document15%

Invita:on3%

IT&Security36%

Other17%

Translate1%

Video1%

89%фишинговыхписембылиполученыврабочиедни

36%писемнаправлено«отлица»собственныхдепартаментовИТ,ИБилиантивирусноговендора

SOURCE: MANDIANT M-TRENDS 2016 REPORT, PONEMON COST OF DATA BREACH STUDY

СтремительнорастетчисловзломовчерезсетипартнеровиаутсорсеровИТ-услуг

ДЕСТРУКТИВНЫЕ АТАКИ НА ИТ-СИСТЕМЫ

•  Удаление папки Windows на серверах критических бизнес-систем с помощью утилиты Microsoft robocopy mkdir“C:\emptydir”robocopy“C:\emptydir”“C:\windows\system32”/MIR|shutdown/s/t1800

•  Несколько вариантов Ransomware для автоматизированного распространения в сети через MS Active Directory и последующего стирания данных и системных файлов:

–  На рабочих станциях – отключение AV и изменение загрузочной записи (MBR) –  На серверах – отключение удаленного рабочего стола, остановка сервиса эл. почты –  На контроллерах домена – отключение удаленного рабочего стола и стирание данных с задержкой,

необходимой для успешной аутентификации и распространения вредоносного кода

•  Скрипт для стирания данных, который обеспечивает разное поведение в разных ОС. –  Например, на сервере VMware ESXi: повреждение всех образов виртуальных машин (запись 400 блоков

нулей по 512К), удаление всех файлов в каталогах /boot/*, /vmfs/*, /*, /bin/*, /sbin/*

•  Удаление точки восстановления, повреждение резервных копий

SOURCE: MANDIANT M-TRENDS 2016 REPORT, PONEMON COST OF DATA BREACH STUDY

НЕДОСТАТКИ ТРАДИЦИОННОГО ПОДХОДА

32 ДНЯ

НА УСТРАНЕНИЕ ПОСЛЕДСТВИЙ

146 ДНЕЙ СРЕДНЕЕ ВРЕМЯ ОБНАРУЖЕНИЯ УСПЕШНОГО ВЗЛОМА

SOURCE: MANDIANT M-TRENDS REPORT, PONEMON COST OF DATA BREACH STUDY

53%

УЗНАЛИ О КОМПРОМЕНТАЦИИ ИЗ ВНЕШНИХ ИСТОЧНИКОВ

100%

ИСПОЛЬЗОВАЛИ МЕЖСЕТЕВЫЕ ЭКРАНЫ И АНТИВИРУСЫ С АКТУАЛЬНЫМИ ОБНОВЛЕНИЯМИ

$3.5M СРЕДНИЙ УЩЕРБ ОТ ВЗЛОМА

О ТОМ, КТО ВАМ ПРОТИВОСТОИТ

ЭТО “КТО”, А НЕ “ЧТО”

ЗА КАЖДОЙ АТАКОЙ СТОЯТ КОНКРЕТНЫЕ ЛЮДИ ОНИ АДАПТИРУЮТ АТАКИ ПОД ВАШУ ИНФРАСТРУКТУРУ ИХ ЦЕЛЬ – ИМЕННО ВЫ

ОНИ ПРОФЕССИО-НАЛЬНЫ И ОРГАНИЗОВАНЫ

У НИХ ЕСТЬ ФИНАНСИРОВАНИЕ ОНИ МОГУТ ИСПОЛЬЗОВАТЬ УНИКАЛЬНЫЙ ИНСТРУМЕНТАРИЙ ОНИ МОГУТ РАБОТАТЬ ГОДАМИ

ОНИ ПОЧТИ ВСЕГДА ВОЗВРАЩАЮТСЯ

У НИХ ЕСТЬ ЧЕТКО ОПРЕДЕЛЕННЫЕ ЦЕЛИ ОНИ ДОБИВАЮТСЯ ПОСТОЯННОГО ПРИСУТСТВИЯ ОНИ ХОТЯТ ОБЕСПЕЧИТЬ БЕСПРЕПЯТСТВЕННЫЙ ДОСТУП В ВАШУ СЕТЬ

Пример 1: Clandestine Fox (2014), Wolf (2015) Китайские хакерские группы (АРТ3, АРТ18)

EXPLOITATION

Пример 2: HAMMERTOSS (2015) Русскоязычная хакерская группа (АРТ29)

1.АвтоматическаяежедневнаягенерацияидентификаторапользователяTwiler(зависитотдатыичасовогопояса)

2.ПосещениестраницыTwiler,поискURL(вт.ч.наGitHub)ихэш-тегасчастьюключа

3.Скачиваниеизображениясзашифрованнымиинструкциями(стеганография)

4.Декодированиеизображения,используяключсTwiler

5.Выполнениеинструкций,включаякомандыPowerShell,отправкаданныхвоблако

КРИВАЯ ЗРЕЛОСТИ ПРОГРАММЫ ИБ

НонасамомделеВыздесь

Выхотелибыбытьздесь

ТЕХНОЛОГИЯ ОБНАРУЖЕНИЕ ИЗВЕСТНЫХ, НЕИЗВЕСТНЫХ И NON-MALWARE УГРОЗ

ИНТЕГРАЦИЯ ДЛЯ ЗАЩИТЫ ОСНОВНЫХ ВЕКТОРОВ АТАК

ПАТЕНТОВАННЫЙ СОБСТВЕННЫЙ ГИПЕРВИЗОР

ОПЫТ и ЭКСПЕРТИЗА MANDIANT - ЛИДЕР В РАССЛЕДОВАНИИ

ИНЦИДЕНТОВ И ИЗВЕСТНЫХ ВЗЛОМОВ

СОТНИ КОНСУЛЬТАНТОВ И АНАЛИТИКОВ

НЕПРЕВЗОЙДЕННЫЙ ОПЫТ В БОРЬБЕ С APT

THREAT INTELLIGENCE ОБНАРУЖЕНИЕ 25 ИЗ ПОСЛЕДНИХ 41 ZERO-DAYS

ДАННЫЕ ИЗ РАССЛЕДОВАНИЙ ИНЦИДЕНТОВ

МИЛЛИОНЫ СЕНСОРОВ

СОТНИ ЭКСПЕРТОВ ПО УГРОЗАМ И MALWARE

ОТСЛЕЖИВАНИЕ ТЫСЯЧ ХАКЕРСКИХ ГРУПП

СИСТЕМНЫЙ ПОДХОД FIREEYE

ТЕХНОЛОГИЯ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ

Корреляция событий внутри и между виртуальными машинами,

по всему предприятию Мульти-версионный анализ, до 2000 одновременно

Защищенный гипервизор

ZERO-DAYS, обнаруженные с сер. 2012 – кон. 2015

FireEye+iSightобнаружилииопубликовали61%уязвимостей«нулевого»дня,использованныхвнедавнихАРТ-атаках

КРИВАЯ ЗРЕЛОСТИ ПРОГРАММЫ ИБ

РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ НА КОНЕЧНЫХ ТОЧКАХ

MVX Отчет о поведе-нии =>

IoC

Головной офис

Филиал

Домашний офис

Отель

Кафе

Обнаружение эксплойтов «нулевого» дня непосредственно на рабочей станции

РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ НА УРОВНЕ СЕТИ

MVX

ПереходкPCAP

•  Записьдо20Гбит/сек.cиндексированием•  БыстрыйпоискPCAPпопараметрам•  Декодирование200+протоколовприкладногоуровня

ИНФОРМАЦИЯ О ПРОТИВНИКЕ

•  Отслеживание более 300 семейств АРТ и несколько тысяч международных хакерских групп

•  Детальные досье

•  Информация, полученная при расследовании инцидентов

•  300+ локальных аналитиков iSight по всему миру (включая русскоязычных)

•  Горячая линия и аналитика по запросу

•  Интеграция с SIEM

АВТОМАТИЗАЦИЯ ПРОЦЕССА РЕШЕНИЯ ИНЦИДЕНТОВ ИБ

•  АвтоматизациярутинныхпровероквнесколькихсистемахИБивнешнихсервисах,созданиезаявоквсистемахHelpDesk

•  ПрименениеготовыхCyberPlaybookнаосновеопытаFireEye

•  Снижениетрудозатратистоимостирешенияинцидентов

•  ПовышениеэффективностиSOC,IR,CERT,CDC

СЕНСОРЫ ЧТО Я ХОЧУ ЗАЩИЩАТЬ?

ВЫ ОПРЕДЕЛЯЕТЕ ВАШУ СТРАТЕГИЮ ЗАЩИТЫ

INTELLIGENCE ЧТО Я ХОЧУ ЗНАТЬ ОБ АТАКУЮЩЕМ?

DYNAMIC THREAT INTEL

ОБНАРУЖЕНИЕ

ADVANCED THREAT INTEL

КОНТЕКСТ УГРОЗЫ

ADVANCED THREAT INTEL PLUS

ПРОФИЛЬ АТАКУЮЩЕГО

ЭКСПЕРТИЗА КАК Я ХОЧУ УПРАВЛЯТЬ И РЕАГИРОВАТЬ? Расследование

атак и тесты на проникновение

Постоянное наблюдение и проактивная защита

FIREEYE AS A SERVICE УСЛУГИ ПАРТНЕРОВ FIREEYE

Aleksey.Beloglazov@FireEye.com

Спасибо!