SlideShare ist ein Scribd-Unternehmen logo

Атрибуция кибератак

Aleksey Lukatskiy
Aleksey Lukatskiy

Обзор методов атрибуции кибератак - их достоинств и недостатков

Technologie
1 von 54
Downloaden Sie, um offline zu lesen
06 декабря 2018 Бизнес-консультант по безопасности Атрибуция кибератак Алексей Лукацкий
Какие ваши доказательства?
США атакованы «Россией»! Кто в действительности стоит за атакой?
Что общего между серийным убийцей и киберпреступником? Евгений АникинТед Банди
…оставляемые следы Евгений АникинТед Банди
• Инструментарий • Код и его фрагменты • Адресное пространство • Web-сайты • Псевдонимы • E-mail • … Автоматизация – зло… для хакера Евгений АникинТед Банди
• Атрибуция отвечает на вопрос «Кто стоит за атакой?» • Мультидисциплинарное направление, включающее в себя знание и навыки в кибербезопасности, сетевых технологиях, законодательстве, криминалистике, социологии, геополитике, сборе данных, визуализации, математике (машинном обучении) Что такое атрибуция?
• Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки • Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке • Изучение «почерка» программистов Возможные методы атрибуции
• Стилометрия (изучение стилистики языка в комментариях и иных артефактах) • Обманные системы (honeypot) • Анализ активности на форумах и в соцсетях • Анализ постфактум (продажа украденной информации…) • Оперативная разработка Возможные методы атрибуции
• «817 of the 832 (98%) IP addresses logging into APT1 controlled systems using Remote Desktop resolved back to China» IP как улика (APT1)
Размер имеет значение (APT1) Количество Адресные блоки Владелец 445 223.166.0.0 - 223.167.255.255 China Unicom Shanghai Network 217 58.246.0.0 - 58.247.255.255 China Unicom Shanghai Network 114 112.64.0.0 - 112.65.255.255 China Unicom Shanghai Network 12 139.226.0.0 - 139.227.255.255 China Unicom Shanghai Network 1 114.80.0.0 - 114.95.255.255 China Telecom Shanghai Network 1 101.80.0.0 - 101.95.255.255 China Telecom Shanghai Network 27 Other (non-Shanghai) Chinese IPs
• «Over 96% of the malware samples we have attributed to APT28 were compiled between Monday and Friday. More than 89% were compiled between 8AM and 6PM in the UTC+4 time zone, which parallels the working hours in Moscow and St. Petersburg.» Часовой пояс
Кто находится в UTC+4 ±1? • Россия • Иран • Ирак • Грузия • Азербайджан • Армения • Турция • Афганистан • Пакистан • Сирия • И др.
• «In 1,849 of the 1,905 (97%) of the Remote Desktop sessions APT1 conducted under our observation, the APT1 operator’s keyboard layout setting was “Chinese (Simplified) — US Keyboard”. Microsoft’s Remote Desktop client configures this setting automatically based on the selected language on the client system. Therefore, the APT1 attackers likely have their Microsoft® operating system configured to display Simplified Chinese fonts» Раскладка клавиатуры и шрифты
Язык (APT28) Locale ID Основной язык Страна / регион Число семплов APT28 0x0419 Russian (ru) Россия (RU) 59 0x0409 English (en) США (US) 27 0x0000 или 0x0800 Neutral locale / System default locale language Нейтральный 16 0x0809 English (en) Великобритания (GB) 1 • Ресурсы PE-файлов содержат языковую информацию
Язык (Guccifer и DNC)
”Cyberresearchers found other clues pointing to Russia. Microsoft Word documents posted by Guccifer 2.0 had been edited by someone calling himself, in Russian, Felix Edmundovich — an obvious nom de guerre honoring the founder of the Soviet secret police, Felix Edmundovich Dzerzhinsky» Felix Edmundovich Тролли или подстава?
Русскоязычный хостинг
Русскоязычные VPN-сервера
Российские или американские?
Анализ владельца домена (Guccifer) sec.service@mail.ruinfo@vpn-service.us 2004Сегодня James Dermount Антон_Харьков Собственные NS- сервера NS-сервера Рустелекома vpn_support@mail.ru
Анализ фишинговых доменов onlimecorpwestpac.com
Анализ фишинговых доменов onlimecorpwestpac.com cs@now.cn 120 фишинговых доменов 178.33.213.12 - 178.33.213.15, OVH Khurran Nawaz khurram.nj@gmail.com 104.245.233.163 178.33.213.12 185.86.77.41 198.175.126.117 199.180.116.115 216.170.126.106 23.95.248.152 Westpac Amex Lloyds Chase Wells Fargo ANZ (Australia & New Zealand Banking Group) St.George Bank Standard Chartered Bank
Анализ фишинговых доменов aexp-support.com whois-agent@gmx.com 500 фишинговых доменов 37.187.222.168 - 37.187.222.171, OVH Khurran Nawaz khurram.nj@gmail.com 192.3.186.222 37.187.222.169 Банки, фарма, кардинг 192.3.186.216 - 192.3.186.223, AS-COLOCROSSING quexsolutions.com, Kabul Aladeen, Ali
Анализ доменов
Один метод обычно неэффективен – нужна совокупность
Атака на украинский ТЭК Relationship ID = rId1337 Relationship ID = rId1337
Анализ связей Twitter предлагает «друзей», опираясь на регион регистрации учетной записи
Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) • Систематизированный набор данных о техниках, тактиках и процедурах, используемых злоумышленниками • 10 тактик = 200 техник с подробным описанием в формате Wiki • «Корпоративная» версия матрицы рассчитана на Windows, Linux и MacOS • Разработана «Мобильная» версия • Готовится версия для АСУ ТП
Матрица ATT&CK
От ATT&CK к CAR • Какие известные нарушители (в базу CARET входит множество известных групп - Lazarus, Cobalt, APT28, APT3 и т.п.) могут быть детектированы или не детектированы? CARET – Cyber Analytics Repository Exploration Tool
Оперативная информация
Атрибуция в стиле «Highly Likely»
Galina Antova, co-founder of Claroty Reports about Russian actors being behind the Dragonfly 2.0 campaign are more than plausible. Highly Likely?..
Dmitri Alperovitch, Co-founder of Crowdstrike, a cybersecurity firm retained by the D.N.C There’s no plausible actor that has an interest in all those victims other than Russia. Highly Likely?..
Передергивание фактов «Это русские! Никаких доказательств нет, но кто еще? Да и Symantec говорит, что это русские!» «Мы не знаем кто, но в коде есть текст на русском и французском»
False Flag?
Vault 7: UMBRAGE Евгений АникинТед Банди • Коллекция хакерских техник и вредоносных программ разработанных другими хакерами Маскировка Коллекция
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ML фундаментально отличается от обычной разработки – вы даете машине ответы и она пишет по ним код (модель) Машинное обучение наиболее эффективно для новых и неизвестных данных Обучающие данные Вывод Программа (модель) Машинное обучение
Основные алгоритмы машинного обучения Входные данные Классификация Вывод Выделение признаков Собака Машинное обучение с учителем Собака Машинное обучение без учителя
3 компонента машинного обучения Данные ПризнакиАлгоритмы
• E-mail(ы) • Часовой пояс • Страна • Язык • Псевдоним(ы) и учетные записи • IP-адреса / домены / ASN • TTP Какие признаки могут быть?
Проект WOMBAT
Национальные проекты по атрибуции
Q-модель по атрибуции кибератак Концепция Практика Коммуникации
Геополитические Правовые Технические Почему точная атрибуция невозможна? © 2015 Cisco and/or its affiliates. All rights reserved. 47 Экономические Психологические
Кто виноват и что делать: геополитика - Политики не хотят разбираться, а хотят быстрого вердикта - Нужен «образ врага» - Отсутствие географическое привязки в киберпространстве - Налаживать взаимоотношения Почемунельзя? Чтоделать?
Кто виноват и что делать: юриспруденция - Юрисдикции разных стран - Отсутствие международных норм - Языковые проблемы взаимодействия - Выработка международных норм (СНВ, НЯВ) - Фокус локального законодательства на киберпреступления - Двусторонние соглашения Почемунельзя? Чтоделать?
Кто виноват и что делать: техника - Децентрализация и распределенность Интернет - IPv4 - Анонимайзеры и прокси (посредники) - Аренда abuse- устойчивого хостинга - Унификация правил мониторинга, учета и обмена трафиком - IPv6 - Межпровайдерские соглашения - ГосСОПКА Почемунельзя? Чтоделать?
Кто виноват и что делать: экономика - Бесперебойность функционирования и возврат в предатакованное состояние превыше безопасности - Сознательное скрытие следов - Долговременность хранения логов - Повышение культуры ИБ - Ответственность за сокрытие следов - Мотивация операторов связи Почемунельзя? Чтоделать?
Кто виноват и что делать: психология - Все неизвестное вызывает отторжение - Инертность мышления (ориентация на «войны» и «конфликты») - Повышение культуры ИБ - Привлечение экспертов Почемунельзя? Чтоделать?
• Однозначная атрибуция в современном мире невозможна даже на техническом уровне • Техническая атрибуция позволяет определить страну и, максимум, физическое/юридическое лицо/группировку, стоящее за кибератакой, но не позволяет определить умысел • В современном мире атрибуция – это скорее инструмент геополитической борьбы, чем способ поиска доказательств вины киберпреступников • Это высший пилотаж ИБ, который нужен далеко не всем В качестве резюме
Спасибо! alukatsk@cisco.com

Empfohlen

Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 

Empfohlen

Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиНовая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йAleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0Aleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомAleksey Lukatskiy
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 

Weitere ähnliche Inhalte

Was ist angesagt?

Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йAleksey Lukatskiy
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Aleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомAleksey Lukatskiy
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Aleksey Lukatskiy
 

Was ist angesagt? (20)

Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
 
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасностиИскусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Особенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежомОсобенности обеспечения безопасности КИИ за рубежом
Особенности обеспечения безопасности КИИ за рубежом
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБ
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 

Ähnlich wie Атрибуция кибератак

Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Expolink
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Cisco Russia
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеPt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеqqlan
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыAdvanced monitoring
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdftrenders
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалинDiana Frolova
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 

Ähnlich wie Атрибуция кибератак (20)

Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеPt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещение
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалин
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 

Mehr von Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 

Mehr von Aleksey Lukatskiy (19)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

Атрибуция кибератак

  • 1. 06 декабря 2018 Бизнес-консультант по безопасности Атрибуция кибератак Алексей Лукацкий
  • 3. США атакованы «Россией»! Кто в действительности стоит за атакой?
  • 4. Что общего между серийным убийцей и киберпреступником? Евгений АникинТед Банди
  • 6. • Инструментарий • Код и его фрагменты • Адресное пространство • Web-сайты • Псевдонимы • E-mail • … Автоматизация – зло… для хакера Евгений АникинТед Банди
  • 7. • Атрибуция отвечает на вопрос «Кто стоит за атакой?» • Мультидисциплинарное направление, включающее в себя знание и навыки в кибербезопасности, сетевых технологиях, законодательстве, криминалистике, социологии, геополитике, сборе данных, визуализации, математике (машинном обучении) Что такое атрибуция?
  • 8. • Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки • Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке • Изучение «почерка» программистов Возможные методы атрибуции
  • 9. • Стилометрия (изучение стилистики языка в комментариях и иных артефактах) • Обманные системы (honeypot) • Анализ активности на форумах и в соцсетях • Анализ постфактум (продажа украденной информации…) • Оперативная разработка Возможные методы атрибуции
  • 10. • «817 of the 832 (98%) IP addresses logging into APT1 controlled systems using Remote Desktop resolved back to China» IP как улика (APT1)
  • 11. Размер имеет значение (APT1) Количество Адресные блоки Владелец 445 223.166.0.0 - 223.167.255.255 China Unicom Shanghai Network 217 58.246.0.0 - 58.247.255.255 China Unicom Shanghai Network 114 112.64.0.0 - 112.65.255.255 China Unicom Shanghai Network 12 139.226.0.0 - 139.227.255.255 China Unicom Shanghai Network 1 114.80.0.0 - 114.95.255.255 China Telecom Shanghai Network 1 101.80.0.0 - 101.95.255.255 China Telecom Shanghai Network 27 Other (non-Shanghai) Chinese IPs
  • 12. • «Over 96% of the malware samples we have attributed to APT28 were compiled between Monday and Friday. More than 89% were compiled between 8AM and 6PM in the UTC+4 time zone, which parallels the working hours in Moscow and St. Petersburg.» Часовой пояс
  • 13. Кто находится в UTC+4 ±1? • Россия • Иран • Ирак • Грузия • Азербайджан • Армения • Турция • Афганистан • Пакистан • Сирия • И др.
  • 14. • «In 1,849 of the 1,905 (97%) of the Remote Desktop sessions APT1 conducted under our observation, the APT1 operator’s keyboard layout setting was “Chinese (Simplified) — US Keyboard”. Microsoft’s Remote Desktop client configures this setting automatically based on the selected language on the client system. Therefore, the APT1 attackers likely have their Microsoft® operating system configured to display Simplified Chinese fonts» Раскладка клавиатуры и шрифты
  • 15. Язык (APT28) Locale ID Основной язык Страна / регион Число семплов APT28 0x0419 Russian (ru) Россия (RU) 59 0x0409 English (en) США (US) 27 0x0000 или 0x0800 Neutral locale / System default locale language Нейтральный 16 0x0809 English (en) Великобритания (GB) 1 • Ресурсы PE-файлов содержат языковую информацию
  • 17. ”Cyberresearchers found other clues pointing to Russia. Microsoft Word documents posted by Guccifer 2.0 had been edited by someone calling himself, in Russian, Felix Edmundovich — an obvious nom de guerre honoring the founder of the Soviet secret police, Felix Edmundovich Dzerzhinsky» Felix Edmundovich Тролли или подстава?
  • 21. Анализ владельца домена (Guccifer) sec.service@mail.ruinfo@vpn-service.us 2004Сегодня James Dermount Антон_Харьков Собственные NS- сервера NS-сервера Рустелекома vpn_support@mail.ru
  • 23. Анализ фишинговых доменов onlimecorpwestpac.com cs@now.cn 120 фишинговых доменов 178.33.213.12 - 178.33.213.15, OVH Khurran Nawaz khurram.nj@gmail.com 104.245.233.163 178.33.213.12 185.86.77.41 198.175.126.117 199.180.116.115 216.170.126.106 23.95.248.152 Westpac Amex Lloyds Chase Wells Fargo ANZ (Australia & New Zealand Banking Group) St.George Bank Standard Chartered Bank
  • 24. Анализ фишинговых доменов aexp-support.com whois-agent@gmx.com 500 фишинговых доменов 37.187.222.168 - 37.187.222.171, OVH Khurran Nawaz khurram.nj@gmail.com 192.3.186.222 37.187.222.169 Банки, фарма, кардинг 192.3.186.216 - 192.3.186.223, AS-COLOCROSSING quexsolutions.com, Kabul Aladeen, Ali
  • 26. Один метод обычно неэффективен – нужна совокупность
  • 27. Атака на украинский ТЭК Relationship ID = rId1337 Relationship ID = rId1337
  • 28. Анализ связей Twitter предлагает «друзей», опираясь на регион регистрации учетной записи
  • 29. Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) • Систематизированный набор данных о техниках, тактиках и процедурах, используемых злоумышленниками • 10 тактик = 200 техник с подробным описанием в формате Wiki • «Корпоративная» версия матрицы рассчитана на Windows, Linux и MacOS • Разработана «Мобильная» версия • Готовится версия для АСУ ТП
  • 31. От ATT&CK к CAR • Какие известные нарушители (в базу CARET входит множество известных групп - Lazarus, Cobalt, APT28, APT3 и т.п.) могут быть детектированы или не детектированы? CARET – Cyber Analytics Repository Exploration Tool
  • 33. Атрибуция в стиле «Highly Likely»
  • 34. Galina Antova, co-founder of Claroty Reports about Russian actors being behind the Dragonfly 2.0 campaign are more than plausible. Highly Likely?..
  • 35. Dmitri Alperovitch, Co-founder of Crowdstrike, a cybersecurity firm retained by the D.N.C There’s no plausible actor that has an interest in all those victims other than Russia. Highly Likely?..
  • 36. Передергивание фактов «Это русские! Никаких доказательств нет, но кто еще? Да и Symantec говорит, что это русские!» «Мы не знаем кто, но в коде есть текст на русском и французском»
  • 37.
  • 39. Vault 7: UMBRAGE Евгений АникинТед Банди • Коллекция хакерских техник и вредоносных программ разработанных другими хакерами Маскировка Коллекция
  • 40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ML фундаментально отличается от обычной разработки – вы даете машине ответы и она пишет по ним код (модель) Машинное обучение наиболее эффективно для новых и неизвестных данных Обучающие данные Вывод Программа (модель) Машинное обучение
  • 41. Основные алгоритмы машинного обучения Входные данные Классификация Вывод Выделение признаков Собака Машинное обучение с учителем Собака Машинное обучение без учителя
  • 42. 3 компонента машинного обучения Данные ПризнакиАлгоритмы
  • 43. • E-mail(ы) • Часовой пояс • Страна • Язык • Псевдоним(ы) и учетные записи • IP-адреса / домены / ASN • TTP Какие признаки могут быть?
  • 46. Q-модель по атрибуции кибератак Концепция Практика Коммуникации
  • 47. Геополитические Правовые Технические Почему точная атрибуция невозможна? © 2015 Cisco and/or its affiliates. All rights reserved. 47 Экономические Психологические
  • 48. Кто виноват и что делать: геополитика - Политики не хотят разбираться, а хотят быстрого вердикта - Нужен «образ врага» - Отсутствие географическое привязки в киберпространстве - Налаживать взаимоотношения Почемунельзя? Чтоделать?
  • 49. Кто виноват и что делать: юриспруденция - Юрисдикции разных стран - Отсутствие международных норм - Языковые проблемы взаимодействия - Выработка международных норм (СНВ, НЯВ) - Фокус локального законодательства на киберпреступления - Двусторонние соглашения Почемунельзя? Чтоделать?
  • 50. Кто виноват и что делать: техника - Децентрализация и распределенность Интернет - IPv4 - Анонимайзеры и прокси (посредники) - Аренда abuse- устойчивого хостинга - Унификация правил мониторинга, учета и обмена трафиком - IPv6 - Межпровайдерские соглашения - ГосСОПКА Почемунельзя? Чтоделать?
  • 51. Кто виноват и что делать: экономика - Бесперебойность функционирования и возврат в предатакованное состояние превыше безопасности - Сознательное скрытие следов - Долговременность хранения логов - Повышение культуры ИБ - Ответственность за сокрытие следов - Мотивация операторов связи Почемунельзя? Чтоделать?
  • 52. Кто виноват и что делать: психология - Все неизвестное вызывает отторжение - Инертность мышления (ориентация на «войны» и «конфликты») - Повышение культуры ИБ - Привлечение экспертов Почемунельзя? Чтоделать?
  • 53. • Однозначная атрибуция в современном мире невозможна даже на техническом уровне • Техническая атрибуция позволяет определить страну и, максимум, физическое/юридическое лицо/группировку, стоящее за кибератакой, но не позволяет определить умысел • В современном мире атрибуция – это скорее инструмент геополитической борьбы, чем способ поиска доказательств вины киберпреступников • Это высший пилотаж ИБ, который нужен далеко не всем В качестве резюме