SlideShare ist ein Scribd-Unternehmen logo

Трудовые будни охотника на угрозы

Sergey Soldatov
Sergey Soldatov

Презентация на CISO-Forum 2017

Technologie
1 von 22
Downloaden Sie, um offline zu lesen
ТРУДОВЫЕ БУДНИ ОХОТНИКА НА УГРОЗЫ «CISO FORUM 2017», АПРЕЛЬ 2017 Sergey Soldatov, Head of SOC
ПЛАН Причины актуальности Контекст угроз (ТТР) Как работает ТН Подход к реагированию ТТР в примерах Реагирование
ПРИЧИНЫ АКТУАЛЬНОСТИ Выше зависимость от ИТ  Выше уровень безопасности  – Выше сложность атаки Больше рисков в области ИТ (мотивация) Выше стоимость атаки  Процессы и организация Разведка и подготовка Профессионализм атакующих Много векторов, технологий, инструментов Скрытность Атакующий: - Pentest-like - Нет права на ошибку
КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Постоянный сбор артефактов Анализ памяти Контекст среды, Исследования, Неточные сигнатуры Хранение сырых данных Исследования Непрерывный мониторинг, Исследования Антифоренсика Бестелесность Применение легальных инструментов и технологий Многоэтапность Свежие, загадочные ТТР (горизонтальные перемещения, закрепление, пр.) Pentest-like
http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Предотвращение Своевременное обнаружение Реакция и восстановление Ресурсы атакующего – безграничны!
ДВА ПОДХОДА К ОБНАРУЖЕНИЮ МОНИТОРИНГ (ALERTING): Реактивно – обнаружение известного Уничтожает после поиска сигнатуры ПОИСК УГРОЗ (HUNTING): Проактивно – обнаружение неизвестного Хранит все данные – многократная проверка («Машина времени») Вендор ITW IRAlerting Гипотеза Hunting MA DF Alerting IR Вендор ITW http://reply-to-all.blogspot.ru/2016/07/blog-post.html Инструменты Инструменты и Поведение
КОНКРЕТНАЯ ЦЕННОСТЬ Поиск новых атак, ВПО, APT Поиск атак без применения ВПО 100% релевантность «Машина времени» Возможность оперативной защиты РискИБдопримененияконтролей Автоматизи- рованные средстваСервисОстаточныйриск Продукты SOС Threat hunting
КАК И ПОЧЕМУ ЭТО РАБОТАЕТ Данные  Детекты*  Поведение процессов  События ОС Микрокорреляция:  Все технологии в составе EP со всеми базами: поведение, неточные сигнатуры, подозрительная активность, пр.  Анализ трафика с периметра  События ОС и приложений  Репутация Макрокорреляция, гипотезы:  Все знания о ТТР:  Внутренние исследования  Анализ защищенности  Расследование инцидентов  Мониторинг SOC Постоянноесовершенствование http://reply-to-all.blogspot.ru/2016/10/bis-summit.html Зацепки! (Hunt)
ЗАЦЕПКИ ЗА {KILL CHAIN}*
РАБОТА ПО ИНЦИДЕНТУ http://reply-to-all.blogspot.ru/2016/12/blog-post.html
COBALT ГОБЛИНS Антифоренсика – sdelete, очистка журналов, … Бестелесность – powershell Легальные инструменты – ps, mipko, psexec, … Pentest-like – Cobalt Strike+
MIPKO & PS MEM:Trojan.Script.AngryPower.gen, MEM:Backdoor.Win32.Carbanak.gen, … Службы Сетевые входы Инструменты … Служба ps cmd Служба с с$ Сетевой вход с… под УЗ ..
AUTOIT Подозрительная активность «белых» инструментов… Где svchost  Где AutoIt  Планировщик задач… Планировщик vbs cmd autoit svchost Планировщик
PROXYCHANGER Почему-то все процессы идут в Интернет… … на сайт МН
СЛЕДЫ BUHTRAP Легальный LiteManager, но по нестандартному пути Опционально – руткит для сокрытия иконки
ТОЖЕ «БЕЛЫЙ ФАЙЛ» Закрепление через bitsadmin http://0xthem.blogspot.ru/2014/03/t-emporal-persistence-with-and-schtasks.html
ENFAL/PLUGX/ZERO.T Офис по почте выбрасывает PE PE грузит из Интернет остальное…
ENFAL/PLUGX/ZERO.T … и пошло- поехало…
НОВЫЙ GOZI Смотрели [нелегальные] инжекты
РЕАГИРОВАНИЕ Вычислить все C2 Все сразу отключить Можно не спеша вычищаться, контролируя С2 & Lateral movement («поддержка с воздуха»)
ПОСЛЕСЛОВИЕ: ВПО  АРТ AV  AAPT & TH Точно и Сразу  Неточно и Спустя время Полностью автоматически  С участием Человека Обнаруживать инструменты  Обнаруживать ТТР атакующих Глобальный Intelligence - популярность, репутация, взаимосвязи, fuzzy-хеши, т.п. Машобуч, нейросети и т.п. Аккумуляция опыта - SOC, Security assessment & pentest, Anit- malware research, Incident response, Targeted attack research, …
ПОГОВОРИМ? Sergey Soldatov, CISA, CISSP Head of Security Operations Center

Empfohlen

Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПОSergey Borisov
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APTDmitry Evteev
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информацииSergey Borisov
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 

Empfohlen

Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Sergey Soldatov
 
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПОSergey Borisov
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APTDmitry Evteev
 
Модель нарушителя безопасности информации
Модель нарушителя безопасности информацииМодель нарушителя безопасности информации
Модель нарушителя безопасности информацииSergey Borisov
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингSergey Borisov
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Dmitry Evteev
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемого4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемогоКомпания УЦСБ
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банковDmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для RiscAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийDmitry Evteev
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийDmitry Evteev
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Denis Bezkorovayny
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПAlexander Dorofeev
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Denis Bezkorovayny
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемого4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемогоКомпания УЦСБ
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банковDmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийDmitry Evteev
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийDmitry Evteev
 

Was ist angesagt? (19)

Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемого4. Обнаружение необнаруживаемого
4. Обнаружение необнаруживаемого
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банков
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
 

Ähnlich wie Трудовые будни охотника на угрозы

Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Denis Bezkorovayny
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПAlexander Dorofeev
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийAleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Expolink
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibExpolink
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Презентация проекта i-Protect
Презентация проекта i-ProtectПрезентация проекта i-Protect
Презентация проекта i-Protectkulibin
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалинDiana Frolova
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йAleksey Lukatskiy
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Tim Parson
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days
 

Ähnlich wie Трудовые будни охотника на угрозы (20)

Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Презентация проекта i-Protect
Презентация проекта i-ProtectПрезентация проекта i-Protect
Презентация проекта i-Protect
 
03
0303
03
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалин
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойны
 

Mehr von Sergey Soldatov

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security OperationsSergey Soldatov
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?Sergey Soldatov
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноSergey Soldatov
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!Sergey Soldatov
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsSergey Soldatov
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationSergey Soldatov
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protectionSergey Soldatov
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureSergey Soldatov
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5Sergey Soldatov
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!Sergey Soldatov
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииSergey Soldatov
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensourceSergey Soldatov
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDMSergey Soldatov
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovSergey Soldatov
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройствSergey Soldatov
 
How to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securityHow to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securitySergey Soldatov
 

Mehr von Sergey Soldatov (20)

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security Operations
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратно
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformation
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protection
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
Вопросы к DLP
Вопросы к DLPВопросы к DLP
Вопросы к DLP
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5
 
IDM - это непросто!
IDM - это непросто!IDM - это непросто!
IDM - это непросто!
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографии
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensource
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
 
How to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securityHow to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift security
 

Kürzlich hochgeladen

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 

Kürzlich hochgeladen (9)

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 

Трудовые будни охотника на угрозы

  • 1. ТРУДОВЫЕ БУДНИ ОХОТНИКА НА УГРОЗЫ «CISO FORUM 2017», АПРЕЛЬ 2017 Sergey Soldatov, Head of SOC
  • 2. ПЛАН Причины актуальности Контекст угроз (ТТР) Как работает ТН Подход к реагированию ТТР в примерах Реагирование
  • 3. ПРИЧИНЫ АКТУАЛЬНОСТИ Выше зависимость от ИТ  Выше уровень безопасности  – Выше сложность атаки Больше рисков в области ИТ (мотивация) Выше стоимость атаки  Процессы и организация Разведка и подготовка Профессионализм атакующих Много векторов, технологий, инструментов Скрытность Атакующий: - Pentest-like - Нет права на ошибку
  • 4. КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Постоянный сбор артефактов Анализ памяти Контекст среды, Исследования, Неточные сигнатуры Хранение сырых данных Исследования Непрерывный мониторинг, Исследования Антифоренсика Бестелесность Применение легальных инструментов и технологий Многоэтапность Свежие, загадочные ТТР (горизонтальные перемещения, закрепление, пр.) Pentest-like
  • 5. http://reply-to-all.blogspot.ru/2017/03/blog-post_22.html КОНТЕКСТ УГРОЗЫ – ОПРЕДЕЛЯЕТ ЗАЩИТУ Предотвращение Своевременное обнаружение Реакция и восстановление Ресурсы атакующего – безграничны!
  • 6. ДВА ПОДХОДА К ОБНАРУЖЕНИЮ МОНИТОРИНГ (ALERTING): Реактивно – обнаружение известного Уничтожает после поиска сигнатуры ПОИСК УГРОЗ (HUNTING): Проактивно – обнаружение неизвестного Хранит все данные – многократная проверка («Машина времени») Вендор ITW IRAlerting Гипотеза Hunting MA DF Alerting IR Вендор ITW http://reply-to-all.blogspot.ru/2016/07/blog-post.html Инструменты Инструменты и Поведение
  • 7. КОНКРЕТНАЯ ЦЕННОСТЬ Поиск новых атак, ВПО, APT Поиск атак без применения ВПО 100% релевантность «Машина времени» Возможность оперативной защиты РискИБдопримененияконтролей Автоматизи- рованные средстваСервисОстаточныйриск Продукты SOС Threat hunting
  • 8. КАК И ПОЧЕМУ ЭТО РАБОТАЕТ Данные  Детекты*  Поведение процессов  События ОС Микрокорреляция:  Все технологии в составе EP со всеми базами: поведение, неточные сигнатуры, подозрительная активность, пр.  Анализ трафика с периметра  События ОС и приложений  Репутация Макрокорреляция, гипотезы:  Все знания о ТТР:  Внутренние исследования  Анализ защищенности  Расследование инцидентов  Мониторинг SOC Постоянноесовершенствование http://reply-to-all.blogspot.ru/2016/10/bis-summit.html Зацепки! (Hunt)
  • 11. COBALT ГОБЛИНS Антифоренсика – sdelete, очистка журналов, … Бестелесность – powershell Легальные инструменты – ps, mipko, psexec, … Pentest-like – Cobalt Strike+
  • 12. MIPKO & PS MEM:Trojan.Script.AngryPower.gen, MEM:Backdoor.Win32.Carbanak.gen, … Службы Сетевые входы Инструменты … Служба ps cmd Служба с с$ Сетевой вход с… под УЗ ..
  • 13. AUTOIT Подозрительная активность «белых» инструментов… Где svchost  Где AutoIt  Планировщик задач… Планировщик vbs cmd autoit svchost Планировщик
  • 14. PROXYCHANGER Почему-то все процессы идут в Интернет… … на сайт МН
  • 15. СЛЕДЫ BUHTRAP Легальный LiteManager, но по нестандартному пути Опционально – руткит для сокрытия иконки
  • 16. ТОЖЕ «БЕЛЫЙ ФАЙЛ» Закрепление через bitsadmin http://0xthem.blogspot.ru/2014/03/t-emporal-persistence-with-and-schtasks.html
  • 17. ENFAL/PLUGX/ZERO.T Офис по почте выбрасывает PE PE грузит из Интернет остальное…
  • 20. РЕАГИРОВАНИЕ Вычислить все C2 Все сразу отключить Можно не спеша вычищаться, контролируя С2 & Lateral movement («поддержка с воздуха»)
  • 21. ПОСЛЕСЛОВИЕ: ВПО  АРТ AV  AAPT & TH Точно и Сразу  Неточно и Спустя время Полностью автоматически  С участием Человека Обнаруживать инструменты  Обнаруживать ТТР атакующих Глобальный Intelligence - популярность, репутация, взаимосвязи, fuzzy-хеши, т.п. Машобуч, нейросети и т.п. Аккумуляция опыта - SOC, Security assessment & pentest, Anit- malware research, Incident response, Targeted attack research, …
  • 22. ПОГОВОРИМ? Sergey Soldatov, CISA, CISSP Head of Security Operations Center