SlideShare a Scribd company logo

24_glebov

O
Oleg Glebov
1 of 19
Download to read offline
ЦЕНТР МОНИТОРИНГА КАК СРЕДСТВО ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ БЕЗОПАСНОСТИ Олег Глебов Менеджер по сопровождению корпоративных продаж
Тенденции и статистика ПЕРЕДОВЫЕ УГРОЗЫ БЕЗОПАСНОСТИ
ТЕНДЕНЦИИ КОРПОРАТИВНОЙ ИБ 3  Рост нетехнических элементов «атак»  Усложнение IT-инфраструктуры  Сокращение стоимости атаки  Атаки на поставщиков и 3-их лиц  «Перегрев» периметровой защиты
ЧТО ВЫГЛЯДИТ НАИБОЛЕЕ КРИТИЧНЫМ? 29%70% 1% 6 Автоматизация Слабая мотивация Низкая отдача Высокая мотивация Постоянный контроль Большая отдача Известные угрозы Проактивные технологииРеактивные технологии Неизвестные угрозы Передовые угрозы APT
ЗАЛОГ УСПЕХА В КОНСОЛИДАЦИИ ДАННЫХ И УНИФИКАЦИИ ПРОЦЕССОВ 29%70% 1% 6 Security Operational Center FirewallsAntivirus IPS DLP… SIEM GRC SIP FM SI NGFW PIM Sandboxing…VM Известные угрозы Проактивные технологииРеактивные технологии Неизвестные угрозы Передовые угрозы APT TIP
Центр обеспечения безопасности (SOC) и работа с контекстом ЦЕНТРАЛИЗОВАННЫЙ АНАЛИЗ СИТУАЦИИ
ТИПОВЫЕ СТАДИИ ЦЕЛЕВОЙ АТАКИ 7 ЗАРАЖЕНИЕ ПОДГОТОВКАИЗВЛЕЧЕНИЕ РАСПРОСТРАНЕНИЕ ЦЕЛЕВАЯ АТАКА МОЖЕТ ДЛИТЬСЯ ГОДАМИ… ОСТАВАТЬТСЯ НЕОБНАРУЖЕННОЙ • скрытое управление • выгрузка данных по шифрованному каналу • сокрытие следов • «тихий» уход • кража идентификационных данных • повышение привилегий • налаживание связей • легитимизация действий • дроппер/руткит/бот • сбор и передача данных • модульность • проверка доменных имен • анализ корп. сайта • поиск в соц. сетях • зараженные URL • Вредоносное ПО • иные средства (USB, BYOD и тд)
8 ЗАРАЖЕНИЕ ПОДГОТОВКАИЗВЛЕЧЕНИЕ РАСПРОСТРАНЕНИЕ ВЫЯВЛЕНИЕ ЦЕЛЕВОЙ АТАКИ ИЛИ APT? • DLP • поведенческий анализ исходящего трафика • прокси (MITM) • NIDS • PIM • защита баз данных • контроль доверенной среды • IoC • mail прокси • межсетевой экран • сенсоры трафика • HIDS, EPP • логи доступа • логи межсетевого экрана • логи web-сервера • web-firewall SOC – РАБОТА С «СУЩЕСТВУЮЩИМ» КОНТЕКСТОМ
Технологии и процессы ПРОТИВОДЕЙСТВИЕ ЦЕЛЕВЫМ АТАКАМ В КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЕ
ПРОТИВОДЕЙСТВИЕПРОГНОЗИРОВАНИЕ РЕАГИРОВАНИЕ ОБНАРУЖЕНИЕ *GARTNER’S ADAPTIVE SECURITY STRATEGY СТРАТЕГИЯ АДАПТИВНОЙ ЗАЩИТЫ ОТ ПЕРЕДОВЫХ УГРОЗ БЕЗОПАСНОСТИ* УПРОЧНЕНИЕ ЗАЩИТА ОБУЧЕНИЕ АНАЛИЗРАССЛЕДОВАНИЕ ВОССТАНОВЛЕНИЕ ДИАГНОСТИКА ПЛАНИРОВАНИЕ
ПРОТИВОДЕЙСТВИЕ ПРОГНОЗИРОВАНИЕ РЕАГИРОВАНИЕ и ОБНАРУЖЕНИЕ ТЕХНОЛОГИИ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ Сетевое расследование DPI, аналитические решения Расследование рабочих станций Сервисы безопасности Анализ поведения сети HTTP/HTTPS/Mail/FTP/DNS сенсоры, агенты рабочих станций Анализ объектов Песочница Анализ поведения рабочих станций Мониторинг процессов и конфигураций
ПОДВОДНЫЕ КАМНИ ИНТЕГРАЦИИ АНТИ-APT В СОК 12 Сложная архитектура сети Множество точек контроля – раздувание бюджетов Требования мультивендорности Невозможность отказа от существующих решений Изолированные сети и соответствия требованиям Невозможность использовать глобальную статистику, подрыв доверия Уникальные атаки и методы обхода средств защиты Невидимы для «сигнатурных» и поведенческих средств анализа
Оценка и прогнозы развития ПЕРСПЕКТИВЫ СОВРЕМЕННЫХ СОКОВ
ОЦЕНКА ЗРЕЛОСТИ СОВРЕМЕННОГО SOC* *CARNEGIE MELLON SOFTWARE ENGINEERING INSTITUTE CAPABILITY MATURITY MODEL FOR INTEGRATION (SEI-CMMI) Уровень зрелости Описание Неполный Элементы управления (SOC) не внедрены Начальный Неорганизованные и хаотичные процессы мониторинга Регулируемый Централизация управления и унификация операций Рекомендованный Внедренные стандарты, отражающие уникальные аспекты и задачи организации Измерительный Сбор и анализ данных в реальном времени с отражением в процессах управления и мониторинга ИБ Оптимизированный Прогнозирование и постоянный анализ результатов ранее принятых решений, их пересмотр и адаптация в реальном времени
15 РЕЗУЛЬТАТ ОЦЕНКИ 87 СОК В 18 СТРАНАХ* не достигли рекомендованного «уровня 3» 87% не соответствуют даже «уровню 1» 20% Самый низкий Телеком Наивысший уровень Промышленность * Источник HP State of security operations 2015 По сравнению с 2014 годом главным драйвером эффективности СОК становится информация об угрозах (Threat Intelligence Sharing)
КОМПЛЕКСНЫЕ ЗАДАЧИ ДЕПАРТАМЕНТА ИБ И SOC 16 Атака целевая или широконаправленная? Сталкивался в мире кто-то с аналогичным вредоносом или аномалией? Как противодействовать заражению пока не выпущена сигнатура? Как оперативно выявлять неизвестные ранее угрозы? Как оценить степень опасности аномального ПО? Как выявить источник заражения и предотвратить повторение? Как минимизировать ущерб в случае заражения? Комплексный подход к обеспечению корпоративной защиты требует глобального мониторинга и глубокой компетенции в киберугрозах для ответа на ключевые вопросы служб ИБ:
ПРОТИВОДЕЙСТВИЕПРОГНОЗИРОВАНИЕ РЕАГИРОВАНИЕ ОБНАРУЖЕНИЕ ИНТЕЛЛЕКТУАЛЬНЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ ЛАБОРАТОРИИ КАСПЕРСКОГО • повышение осведомленности (+ Cybersecurity games) • базовые курсы офицеров ИБ • информация об угрозах (Threats Intelligence) • обучение офицера по противодействию целевым атакам • расследование инцидентов • анализ вредоносного кода • реагирование на инциденты целевых атак • оценка уязвимости приложений • тесты на проникновение • расширенные курсы офицеров ИБ
ОСНОВНЫЕ НЕДОСТАТКИ СУЩЕСТВУЮЩИХ SOC 18 Точечные технологии в угоду ROI Нехватка квалифицированного персонала Размытые задачи и цели Обнаружение без реагирования Сбор «раздутых» объёмов данных
СПАСИБО! АО «Лаборатория Касперского» www.kaspersky.com Олег Глебов Менеджер по сопровождению корпоративных продаж Oleg.Glebov@kaspersky.com D: +7 495 797 87 00 x5609 M: +7 910 476 94 10 https://ru.linkedin.com/in/glebovoleg

Recommended

Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВМЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВVladislav Chernish
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рискамиАлександр Лысяк
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 

Recommended

Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВМЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВVladislav Chernish
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рискамиАлександр Лысяк
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
SCIPorgua, CompetitiveCamp-2010, Раннее предупреждение рисков
SCIPorgua, CompetitiveCamp-2010, Раннее предупреждение рисковSCIPorgua, CompetitiveCamp-2010, Раннее предупреждение рисков
SCIPorgua, CompetitiveCamp-2010, Раннее предупреждение рисков«ОБЩЕСТВО АНАЛИТИКОВ И ПРОФЕССИОНАЛОВ КОНКУРЕНТНОЙ РАЗВЕДКИ»
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Банковское обозрение
 
Кузнецов_v1
Кузнецов_v1Кузнецов_v1
Кузнецов_v1Aleksandr Kuznetcov, CISM
 
Антология антифрода: переход к математическим моделям с применением элементов...
Антология антифрода: переход к математическим моделям с применением элементов...Антология антифрода: переход к математическим моделям с применением элементов...
Антология антифрода: переход к математическим моделям с применением элементов...Positive Hack Days
 
Electronika Security Manager (ESM) - программный комплекс PSIM-класса
Electronika Security Manager (ESM) - программный комплекс PSIM-классаElectronika Security Manager (ESM) - программный комплекс PSIM-класса
Electronika Security Manager (ESM) - программный комплекс PSIM-классаАндрей Кучеров
 
6 qualys minsk_june_25_2015
6 qualys minsk_june_25_20156 qualys minsk_june_25_2015
6 qualys minsk_june_25_2015trenders
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Александр Лысяк
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPKКомпания УЦСБ
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRCКомпания УЦСБ
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПТиповые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПКомпания УЦСБ
 
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПAlexey Komarov
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurementAleksey Lukatskiy
 
How SAP make secure SAP
How SAP make secure SAPHow SAP make secure SAP
How SAP make secure SAPPositive Hack Days
 
Threat Modeling (Part 2)
Threat Modeling (Part 2)Threat Modeling (Part 2)
Threat Modeling (Part 2)Aleksey Lukatskiy
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!Компания УЦСБ
 
Security Metrix
Security MetrixSecurity Metrix
Security Metrixguest430c97
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Expolink
 

More Related Content

What's hot

Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Банковское обозрение
 
Антология антифрода: переход к математическим моделям с применением элементов...
Антология антифрода: переход к математическим моделям с применением элементов...Антология антифрода: переход к математическим моделям с применением элементов...
Антология антифрода: переход к математическим моделям с применением элементов...Positive Hack Days
 
Electronika Security Manager (ESM) - программный комплекс PSIM-класса
Electronika Security Manager (ESM) - программный комплекс PSIM-классаElectronika Security Manager (ESM) - программный комплекс PSIM-класса
Electronika Security Manager (ESM) - программный комплекс PSIM-классаАндрей Кучеров
 
6 qualys minsk_june_25_2015
6 qualys minsk_june_25_20156 qualys minsk_june_25_2015
6 qualys minsk_june_25_2015trenders
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Александр Лысяк
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPKКомпания УЦСБ
 
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПТиповые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПКомпания УЦСБ
 
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПAlexey Komarov
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurementAleksey Lukatskiy
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!Компания УЦСБ
 

What's hot (20)

Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
 
SCIPorgua, CompetitiveCamp-2010, Раннее предупреждение рисков
SCIPorgua, CompetitiveCamp-2010, Раннее предупреждение рисковSCIPorgua, CompetitiveCamp-2010, Раннее предупреждение рисков
SCIPorgua, CompetitiveCamp-2010, Раннее предупреждение рисков
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
 
Кузнецов_v1
Кузнецов_v1Кузнецов_v1
Кузнецов_v1
 
Антология антифрода: переход к математическим моделям с применением элементов...
Антология антифрода: переход к математическим моделям с применением элементов...Антология антифрода: переход к математическим моделям с применением элементов...
Антология антифрода: переход к математическим моделям с применением элементов...
 
Electronika Security Manager (ESM) - программный комплекс PSIM-класса
Electronika Security Manager (ESM) - программный комплекс PSIM-классаElectronika Security Manager (ESM) - программный комплекс PSIM-класса
Electronika Security Manager (ESM) - программный комплекс PSIM-класса
 
6 qualys minsk_june_25_2015
6 qualys minsk_june_25_20156 qualys minsk_june_25_2015
6 qualys minsk_june_25_2015
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБ
 
Типовые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТПТиповые уязвимости компонентов АСУ ТП
Типовые уязвимости компонентов АСУ ТП
 
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТП
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
 
How SAP make secure SAP
How SAP make secure SAPHow SAP make secure SAP
How SAP make secure SAP
 
Threat Modeling (Part 2)
Threat Modeling (Part 2)Threat Modeling (Part 2)
Threat Modeling (Part 2)
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
 
Security Metrix
Security MetrixSecurity Metrix
Security Metrix
 

Viewers also liked

CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Expolink
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...SelectedPresentations
 
Andrey Bryzgin - Information security practices and industry specifics of law...
Andrey Bryzgin - Information security practices and industry specifics of law...Andrey Bryzgin - Information security practices and industry specifics of law...
Andrey Bryzgin - Information security practices and industry specifics of law...Infotropic Media
 
10 Worst Presentation Habits
10 Worst Presentation Habits10 Worst Presentation Habits
10 Worst Presentation Habitsjuansalas
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Worst PPT Presentation Ever
Worst PPT Presentation EverWorst PPT Presentation Ever
Worst PPT Presentation EverJennifer McMahon
 
7 Quick Tips to Rock Your Next Presentation
7 Quick Tips to Rock Your Next Presentation7 Quick Tips to Rock Your Next Presentation
7 Quick Tips to Rock Your Next PresentationStinson
 

Viewers also liked (8)

CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
 
Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014Device lock codeib - екатеринбург 2014
Device lock codeib - екатеринбург 2014
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Andrey Bryzgin - Information security practices and industry specifics of law...
Andrey Bryzgin - Information security practices and industry specifics of law...Andrey Bryzgin - Information security practices and industry specifics of law...
Andrey Bryzgin - Information security practices and industry specifics of law...
 
10 Worst Presentation Habits
10 Worst Presentation Habits10 Worst Presentation Habits
10 Worst Presentation Habits
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Worst PPT Presentation Ever
Worst PPT Presentation EverWorst PPT Presentation Ever
Worst PPT Presentation Ever
 
7 Quick Tips to Rock Your Next Presentation
7 Quick Tips to Rock Your Next Presentation7 Quick Tips to Rock Your Next Presentation
7 Quick Tips to Rock Your Next Presentation
 

Similar to 24_glebov

Security Metrix
Security MetrixSecurity Metrix
Security Metrixqqlan
 
Electronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиElectronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиАндрей Кучеров
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамDialogueScience
 
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10Компания УЦСБ
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
Яна Крухмалева. ПАО Газпром. Опыт внедрения системы управления рисками
Яна Крухмалева. ПАО Газпром. Опыт внедрения системы управления рискамиЯна Крухмалева. ПАО Газпром. Опыт внедрения системы управления рисками
Яна Крухмалева. ПАО Газпром. Опыт внедрения системы управления рискамиGlobal Innovation Labs
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБUISGCON
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...Expolink
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
CodeFest 2012. Телятников И. — Построение системы мониторинга ИТ-сервисов в С...
CodeFest 2012. Телятников И. — Построение системы мониторинга ИТ-сервисов в С...CodeFest 2012. Телятников И. — Построение системы мониторинга ИТ-сервисов в С...
CodeFest 2012. Телятников И. — Построение системы мониторинга ИТ-сервисов в С...CodeFest
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...Expolink
 
4 железняков код безопасности
4 железняков код безопасности4 железняков код безопасности
4 железняков код безопасностиjournalrubezh
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 

Similar to 24_glebov (20)

5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Security Metrix
Security MetrixSecurity Metrix
Security Metrix
 
Electronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможностиElectronika Security Manager - Основные возможности
Electronika Security Manager - Основные возможности
 
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакамВебинар: Подход Лаборатории Касперского к противодействию целевым атакам
Вебинар: Подход Лаборатории Касперского к противодействию целевым атакам
 
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Яна Крухмалева. ПАО Газпром. Опыт внедрения системы управления рисками
Яна Крухмалева. ПАО Газпром. Опыт внедрения системы управления рискамиЯна Крухмалева. ПАО Газпром. Опыт внедрения системы управления рисками
Яна Крухмалева. ПАО Газпром. Опыт внедрения системы управления рисками
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
[Short 16-00] Валентин Сысоев - Оценка эффективности СУИБ
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
CodeFest 2012. Телятников И. — Построение системы мониторинга ИТ-сервисов в С...
CodeFest 2012. Телятников И. — Построение системы мониторинга ИТ-сервисов в С...CodeFest 2012. Телятников И. — Построение системы мониторинга ИТ-сервисов в С...
CodeFest 2012. Телятников И. — Построение системы мониторинга ИТ-сервисов в С...
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
InfoWatch. Олег Коробейников. "InfoWatch. Защита от внутренних угроз и таргет...
 
4 железняков код безопасности
4 железняков код безопасности4 железняков код безопасности
4 железняков код безопасности
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 

24_glebov

  • 1. ЦЕНТР МОНИТОРИНГА КАК СРЕДСТВО ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ И ПЕРЕДОВЫМ УГРОЗАМ БЕЗОПАСНОСТИ Олег Глебов Менеджер по сопровождению корпоративных продаж
  • 3. ТЕНДЕНЦИИ КОРПОРАТИВНОЙ ИБ 3  Рост нетехнических элементов «атак»  Усложнение IT-инфраструктуры  Сокращение стоимости атаки  Атаки на поставщиков и 3-их лиц  «Перегрев» периметровой защиты
  • 4. ЧТО ВЫГЛЯДИТ НАИБОЛЕЕ КРИТИЧНЫМ? 29%70% 1% 6 Автоматизация Слабая мотивация Низкая отдача Высокая мотивация Постоянный контроль Большая отдача Известные угрозы Проактивные технологииРеактивные технологии Неизвестные угрозы Передовые угрозы APT
  • 5. ЗАЛОГ УСПЕХА В КОНСОЛИДАЦИИ ДАННЫХ И УНИФИКАЦИИ ПРОЦЕССОВ 29%70% 1% 6 Security Operational Center FirewallsAntivirus IPS DLP… SIEM GRC SIP FM SI NGFW PIM Sandboxing…VM Известные угрозы Проактивные технологииРеактивные технологии Неизвестные угрозы Передовые угрозы APT TIP
  • 6. Центр обеспечения безопасности (SOC) и работа с контекстом ЦЕНТРАЛИЗОВАННЫЙ АНАЛИЗ СИТУАЦИИ
  • 7. ТИПОВЫЕ СТАДИИ ЦЕЛЕВОЙ АТАКИ 7 ЗАРАЖЕНИЕ ПОДГОТОВКАИЗВЛЕЧЕНИЕ РАСПРОСТРАНЕНИЕ ЦЕЛЕВАЯ АТАКА МОЖЕТ ДЛИТЬСЯ ГОДАМИ… ОСТАВАТЬТСЯ НЕОБНАРУЖЕННОЙ • скрытое управление • выгрузка данных по шифрованному каналу • сокрытие следов • «тихий» уход • кража идентификационных данных • повышение привилегий • налаживание связей • легитимизация действий • дроппер/руткит/бот • сбор и передача данных • модульность • проверка доменных имен • анализ корп. сайта • поиск в соц. сетях • зараженные URL • Вредоносное ПО • иные средства (USB, BYOD и тд)
  • 8. 8 ЗАРАЖЕНИЕ ПОДГОТОВКАИЗВЛЕЧЕНИЕ РАСПРОСТРАНЕНИЕ ВЫЯВЛЕНИЕ ЦЕЛЕВОЙ АТАКИ ИЛИ APT? • DLP • поведенческий анализ исходящего трафика • прокси (MITM) • NIDS • PIM • защита баз данных • контроль доверенной среды • IoC • mail прокси • межсетевой экран • сенсоры трафика • HIDS, EPP • логи доступа • логи межсетевого экрана • логи web-сервера • web-firewall SOC – РАБОТА С «СУЩЕСТВУЮЩИМ» КОНТЕКСТОМ
  • 9. Технологии и процессы ПРОТИВОДЕЙСТВИЕ ЦЕЛЕВЫМ АТАКАМ В КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЕ
  • 10. ПРОТИВОДЕЙСТВИЕПРОГНОЗИРОВАНИЕ РЕАГИРОВАНИЕ ОБНАРУЖЕНИЕ *GARTNER’S ADAPTIVE SECURITY STRATEGY СТРАТЕГИЯ АДАПТИВНОЙ ЗАЩИТЫ ОТ ПЕРЕДОВЫХ УГРОЗ БЕЗОПАСНОСТИ* УПРОЧНЕНИЕ ЗАЩИТА ОБУЧЕНИЕ АНАЛИЗРАССЛЕДОВАНИЕ ВОССТАНОВЛЕНИЕ ДИАГНОСТИКА ПЛАНИРОВАНИЕ
  • 11. ПРОТИВОДЕЙСТВИЕ ПРОГНОЗИРОВАНИЕ РЕАГИРОВАНИЕ и ОБНАРУЖЕНИЕ ТЕХНОЛОГИИ ПРОТИВОДЕЙСТВИЯ ЦЕЛЕВЫМ АТАКАМ Сетевое расследование DPI, аналитические решения Расследование рабочих станций Сервисы безопасности Анализ поведения сети HTTP/HTTPS/Mail/FTP/DNS сенсоры, агенты рабочих станций Анализ объектов Песочница Анализ поведения рабочих станций Мониторинг процессов и конфигураций
  • 12. ПОДВОДНЫЕ КАМНИ ИНТЕГРАЦИИ АНТИ-APT В СОК 12 Сложная архитектура сети Множество точек контроля – раздувание бюджетов Требования мультивендорности Невозможность отказа от существующих решений Изолированные сети и соответствия требованиям Невозможность использовать глобальную статистику, подрыв доверия Уникальные атаки и методы обхода средств защиты Невидимы для «сигнатурных» и поведенческих средств анализа
  • 13. Оценка и прогнозы развития ПЕРСПЕКТИВЫ СОВРЕМЕННЫХ СОКОВ
  • 14. ОЦЕНКА ЗРЕЛОСТИ СОВРЕМЕННОГО SOC* *CARNEGIE MELLON SOFTWARE ENGINEERING INSTITUTE CAPABILITY MATURITY MODEL FOR INTEGRATION (SEI-CMMI) Уровень зрелости Описание Неполный Элементы управления (SOC) не внедрены Начальный Неорганизованные и хаотичные процессы мониторинга Регулируемый Централизация управления и унификация операций Рекомендованный Внедренные стандарты, отражающие уникальные аспекты и задачи организации Измерительный Сбор и анализ данных в реальном времени с отражением в процессах управления и мониторинга ИБ Оптимизированный Прогнозирование и постоянный анализ результатов ранее принятых решений, их пересмотр и адаптация в реальном времени
  • 15. 15 РЕЗУЛЬТАТ ОЦЕНКИ 87 СОК В 18 СТРАНАХ* не достигли рекомендованного «уровня 3» 87% не соответствуют даже «уровню 1» 20% Самый низкий Телеком Наивысший уровень Промышленность * Источник HP State of security operations 2015 По сравнению с 2014 годом главным драйвером эффективности СОК становится информация об угрозах (Threat Intelligence Sharing)
  • 16. КОМПЛЕКСНЫЕ ЗАДАЧИ ДЕПАРТАМЕНТА ИБ И SOC 16 Атака целевая или широконаправленная? Сталкивался в мире кто-то с аналогичным вредоносом или аномалией? Как противодействовать заражению пока не выпущена сигнатура? Как оперативно выявлять неизвестные ранее угрозы? Как оценить степень опасности аномального ПО? Как выявить источник заражения и предотвратить повторение? Как минимизировать ущерб в случае заражения? Комплексный подход к обеспечению корпоративной защиты требует глобального мониторинга и глубокой компетенции в киберугрозах для ответа на ключевые вопросы служб ИБ:
  • 17. ПРОТИВОДЕЙСТВИЕПРОГНОЗИРОВАНИЕ РЕАГИРОВАНИЕ ОБНАРУЖЕНИЕ ИНТЕЛЛЕКТУАЛЬНЫЕ СЕРВИСЫ БЕЗОПАСНОСТИ ЛАБОРАТОРИИ КАСПЕРСКОГО • повышение осведомленности (+ Cybersecurity games) • базовые курсы офицеров ИБ • информация об угрозах (Threats Intelligence) • обучение офицера по противодействию целевым атакам • расследование инцидентов • анализ вредоносного кода • реагирование на инциденты целевых атак • оценка уязвимости приложений • тесты на проникновение • расширенные курсы офицеров ИБ
  • 18. ОСНОВНЫЕ НЕДОСТАТКИ СУЩЕСТВУЮЩИХ SOC 18 Точечные технологии в угоду ROI Нехватка квалифицированного персонала Размытые задачи и цели Обнаружение без реагирования Сбор «раздутых» объёмов данных
  • 19. СПАСИБО! АО «Лаборатория Касперского» www.kaspersky.com Олег Глебов Менеджер по сопровождению корпоративных продаж Oleg.Glebov@kaspersky.com D: +7 495 797 87 00 x5609 M: +7 910 476 94 10 https://ru.linkedin.com/in/glebovoleg