Date post: | 07-Apr-2017 |
Category: |
Technology |
Upload: | dmitry-ragushin |
View: | 74 times |
Download: | 1 times |
Алексей Белоглазов, системный инженер, Россия и СНГ
Противодействие продвинутым кибер-атакам: инновационные методы защиты и системный
подход к решению инцидентов
Mandiant: тенденции развития кибер-угроз в 2015 г.
SOURCE: MANDIANT M-TRENDS 2016 REPORT, PONEMON COST OF DATA BREACH STUDY
• Русскоязычные хакеры – № 1 в 2015 г., китайские хакеры были на втором месте и проявили особый интерес к персональным данным
• Разрабатываются новые незаметные методы обеспечения постоянного присутствия: – bootkits (MBR, VBR), задачи по расписанию Windows, WMI, и др.
• В 100% атак злоумышленники крадут и используют учетные записи пользователей • Злоумышленники берут курс на анонимность:
– Вымогатели все чаще прибегают к анонимным электронным кошелькам и Bitcoin (пример: крипто-локеры, угрозы обнародовать украденные конфиденциальные данные)
– Используются хорошо известные утилиты (включая PowerShell, WMI), готовые библиотеки (например: Tor) и кастомизированные дистрибутивы (примеры: Zeus, Carberp)
– Используются онлайн-переводчики (попытки выдать себя за русских, и др.) – Ассоциировать атаки с деятельностью конкретных хакерских групп становится все сложнее.
Стоимость и значение достоверной аналитики растет
• Достоверность данных в сети Интернет все больше под вопросом
ЧЕЛОВЕЧЕСКОЕ ДОВЕРИЕ – УЯЗВИМОСТЬ № 1
0%5%10%15%20%25%30%35%
Ден
ьне
дели
,когда
на
правля
лисьписьм
а
CurrentEvents12%
Delivery15%
Document15%
Invita:on3%
IT&Security36%
Other17%
Translate1%
Video1%
89%фишинговыхписембылиполученыврабочиедни
36%писемнаправлено«отлица»собственныхдепартаментовИТ,ИБилиантивирусноговендора
SOURCE: MANDIANT M-TRENDS 2016 REPORT, PONEMON COST OF DATA BREACH STUDY
СтремительнорастетчисловзломовчерезсетипартнеровиаутсорсеровИТ-услуг
ДЕСТРУКТИВНЫЕ АТАКИ НА ИТ-СИСТЕМЫ
• Удаление папки Windows на серверах критических бизнес-систем с помощью утилиты Microsoft robocopy mkdir“C:\emptydir”robocopy“C:\emptydir”“C:\windows\system32”/MIR|shutdown/s/t1800
• Несколько вариантов Ransomware для автоматизированного распространения в сети через MS Active Directory и последующего стирания данных и системных файлов:
– На рабочих станциях – отключение AV и изменение загрузочной записи (MBR) – На серверах – отключение удаленного рабочего стола, остановка сервиса эл. почты – На контроллерах домена – отключение удаленного рабочего стола и стирание данных с задержкой,
необходимой для успешной аутентификации и распространения вредоносного кода
• Скрипт для стирания данных, который обеспечивает разное поведение в разных ОС. – Например, на сервере VMware ESXi: повреждение всех образов виртуальных машин (запись 400 блоков
нулей по 512К), удаление всех файлов в каталогах /boot/*, /vmfs/*, /*, /bin/*, /sbin/*
• Удаление точки восстановления, повреждение резервных копий
SOURCE: MANDIANT M-TRENDS 2016 REPORT, PONEMON COST OF DATA BREACH STUDY
НЕДОСТАТКИ ТРАДИЦИОННОГО ПОДХОДА
32 ДНЯ
НА УСТРАНЕНИЕ ПОСЛЕДСТВИЙ
146 ДНЕЙ СРЕДНЕЕ ВРЕМЯ ОБНАРУЖЕНИЯ УСПЕШНОГО ВЗЛОМА
SOURCE: MANDIANT M-TRENDS REPORT, PONEMON COST OF DATA BREACH STUDY
53%
УЗНАЛИ О КОМПРОМЕНТАЦИИ ИЗ ВНЕШНИХ ИСТОЧНИКОВ
100%
ИСПОЛЬЗОВАЛИ МЕЖСЕТЕВЫЕ ЭКРАНЫ И АНТИВИРУСЫ С АКТУАЛЬНЫМИ ОБНОВЛЕНИЯМИ
$3.5M СРЕДНИЙ УЩЕРБ ОТ ВЗЛОМА
О ТОМ, КТО ВАМ ПРОТИВОСТОИТ
ЭТО “КТО”, А НЕ “ЧТО”
ЗА КАЖДОЙ АТАКОЙ СТОЯТ КОНКРЕТНЫЕ ЛЮДИ ОНИ АДАПТИРУЮТ АТАКИ ПОД ВАШУ ИНФРАСТРУКТУРУ ИХ ЦЕЛЬ – ИМЕННО ВЫ
ОНИ ПРОФЕССИО-НАЛЬНЫ И ОРГАНИЗОВАНЫ
У НИХ ЕСТЬ ФИНАНСИРОВАНИЕ ОНИ МОГУТ ИСПОЛЬЗОВАТЬ УНИКАЛЬНЫЙ ИНСТРУМЕНТАРИЙ ОНИ МОГУТ РАБОТАТЬ ГОДАМИ
ОНИ ПОЧТИ ВСЕГДА ВОЗВРАЩАЮТСЯ
У НИХ ЕСТЬ ЧЕТКО ОПРЕДЕЛЕННЫЕ ЦЕЛИ ОНИ ДОБИВАЮТСЯ ПОСТОЯННОГО ПРИСУТСТВИЯ ОНИ ХОТЯТ ОБЕСПЕЧИТЬ БЕСПРЕПЯТСТВЕННЫЙ ДОСТУП В ВАШУ СЕТЬ
Пример 1: Clandestine Fox (2014), Wolf (2015) Китайские хакерские группы (АРТ3, АРТ18)
EXPLOITATION
Пример 2: HAMMERTOSS (2015) Русскоязычная хакерская группа (АРТ29)
1.АвтоматическаяежедневнаягенерацияидентификаторапользователяTwiler(зависитотдатыичасовогопояса)
2.ПосещениестраницыTwiler,поискURL(вт.ч.наGitHub)ихэш-тегасчастьюключа
3.Скачиваниеизображениясзашифрованнымиинструкциями(стеганография)
4.Декодированиеизображения,используяключсTwiler
5.Выполнениеинструкций,включаякомандыPowerShell,отправкаданныхвоблако
КРИВАЯ ЗРЕЛОСТИ ПРОГРАММЫ ИБ
НонасамомделеВыздесь
Выхотелибыбытьздесь
ТЕХНОЛОГИЯ ОБНАРУЖЕНИЕ ИЗВЕСТНЫХ, НЕИЗВЕСТНЫХ И NON-MALWARE УГРОЗ
ИНТЕГРАЦИЯ ДЛЯ ЗАЩИТЫ ОСНОВНЫХ ВЕКТОРОВ АТАК
ПАТЕНТОВАННЫЙ СОБСТВЕННЫЙ ГИПЕРВИЗОР
ОПЫТ и ЭКСПЕРТИЗА MANDIANT - ЛИДЕР В РАССЛЕДОВАНИИ
ИНЦИДЕНТОВ И ИЗВЕСТНЫХ ВЗЛОМОВ
СОТНИ КОНСУЛЬТАНТОВ И АНАЛИТИКОВ
НЕПРЕВЗОЙДЕННЫЙ ОПЫТ В БОРЬБЕ С APT
THREAT INTELLIGENCE ОБНАРУЖЕНИЕ 25 ИЗ ПОСЛЕДНИХ 41 ZERO-DAYS
ДАННЫЕ ИЗ РАССЛЕДОВАНИЙ ИНЦИДЕНТОВ
МИЛЛИОНЫ СЕНСОРОВ
СОТНИ ЭКСПЕРТОВ ПО УГРОЗАМ И MALWARE
ОТСЛЕЖИВАНИЕ ТЫСЯЧ ХАКЕРСКИХ ГРУПП
СИСТЕМНЫЙ ПОДХОД FIREEYE
ТЕХНОЛОГИЯ ОБНАРУЖЕНИЯ И ПРЕДОТВРАЩЕНИЯ
Корреляция событий внутри и между виртуальными машинами,
по всему предприятию Мульти-версионный анализ, до 2000 одновременно
Защищенный гипервизор
ZERO-DAYS, обнаруженные с сер. 2012 – кон. 2015
FireEye+iSightобнаружилииопубликовали61%уязвимостей«нулевого»дня,использованныхвнедавнихАРТ-атаках
КРИВАЯ ЗРЕЛОСТИ ПРОГРАММЫ ИБ
РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ НА КОНЕЧНЫХ ТОЧКАХ
MVX Отчет о поведе-нии =>
IoC
Головной офис
Филиал
Домашний офис
Отель
Кафе
Обнаружение эксплойтов «нулевого» дня непосредственно на рабочей станции
РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ НА УРОВНЕ СЕТИ
MVX
ПереходкPCAP
• Записьдо20Гбит/сек.cиндексированием• БыстрыйпоискPCAPпопараметрам• Декодирование200+протоколовприкладногоуровня
ИНФОРМАЦИЯ О ПРОТИВНИКЕ
• Отслеживание более 300 семейств АРТ и несколько тысяч международных хакерских групп
• Детальные досье
• Информация, полученная при расследовании инцидентов
• 300+ локальных аналитиков iSight по всему миру (включая русскоязычных)
• Горячая линия и аналитика по запросу
• Интеграция с SIEM
АВТОМАТИЗАЦИЯ ПРОЦЕССА РЕШЕНИЯ ИНЦИДЕНТОВ ИБ
• АвтоматизациярутинныхпровероквнесколькихсистемахИБивнешнихсервисах,созданиезаявоквсистемахHelpDesk
• ПрименениеготовыхCyberPlaybookнаосновеопытаFireEye
• Снижениетрудозатратистоимостирешенияинцидентов
• ПовышениеэффективностиSOC,IR,CERT,CDC
СЕНСОРЫ ЧТО Я ХОЧУ ЗАЩИЩАТЬ?
ВЫ ОПРЕДЕЛЯЕТЕ ВАШУ СТРАТЕГИЮ ЗАЩИТЫ
INTELLIGENCE ЧТО Я ХОЧУ ЗНАТЬ ОБ АТАКУЮЩЕМ?
DYNAMIC THREAT INTEL
ОБНАРУЖЕНИЕ
ADVANCED THREAT INTEL
КОНТЕКСТ УГРОЗЫ
ADVANCED THREAT INTEL PLUS
ПРОФИЛЬ АТАКУЮЩЕГО
ЭКСПЕРТИЗА КАК Я ХОЧУ УПРАВЛЯТЬ И РЕАГИРОВАТЬ? Расследование
атак и тесты на проникновение
Постоянное наблюдение и проактивная защита
FIREEYE AS A SERVICE УСЛУГИ ПАРТНЕРОВ FIREEYE