2. 2
2
ptsecurity.com
• Инвентаризация, анализ уязвимостей, менеджмент
инцидентов
• (( Xspider ))
• (( МaxPatrol 8 ))
• (( МaxPatrol SIEM ))
• Анализ трафика, анализ ПО
• (( PT NetForensic )) – Анализ сетевого трафика
• (( PT AF )) – Application Firewall
• (( PT AI )) – Application Inspector
• Продвинутые средства противодействия новым угрозам
• ((PT Multiscanner))
• ((PT Honeypot))
• PT Expert Security Center ((PT ESC))
• Пентест и выявление уязвимостей
• Мониторинг безопасности и
расследование инцидентов
• Экспертиза по угрозам и методам
противодействия
• Широкий спектр исследуемых
технологий (web, ICS/SCADA,
мобильные приложения, ДБО)
Positive Technologies: Expert Security Center
• 400 исследователей и разработчиков
• 5 офисов разработки в России
• 8 офисов-представительств в мире
Создали
SOC для PT
3. 3
3
ptsecurity.com
Вектора атак/инциденты – 2016: наша практика
• Безопасность приложений
• Веб-приложения
• Мобильные приложения
• Атаки на персонал
• Фишинг
• Атаки через веб-сайты (water-holing)
• Атаки на ИТ-инфраструктуру
• Эксплуатация уязвимостей компонентов
• Эксплуатация недочетов настройки
Самые серьезные атаки - комплексные
PT ESC: сочетание компетенций проведения атак и расследования инцидентов
4. 4
4
ptsecurity.com
Успешность атак
• Внешний атакующий может получить доступ к внутренней
сети
• В 90% случаев
• При проведении успешной атаки на периметр
корпоративной сети, атакующий может полностью взять
под контроль инфраструктуру
• с вероятностью 55%
• При этом для проведения успешных атак в 80% случаев
атакующему не требуется высокого уровня квалификации
По материалам “Positive Research: Enterprise information systems vulnerability statistics”
PT ESC: тесты на проникновение и аналитика возможностей атакующего
5. 5
5
ptsecurity.com
Новые и неизвестные уязвимости?
•Самый вероятный «возраст» уязвимости на
периметре?
•Около 80% уязвимостей на периметре старше
1 года (опубликованы более года назад)
По результатам регулярных проверок PT ESC ABC
PT ESC ABC: анализ эффективности управления уязвимостями
6. 6
6
ptsecurity.com
Уязвимы за год
•Какой процент систем на периметре
уязвимы были уязвимы в течение 1 года?
•Почти половина >40%
По результатам анализа статистики PT ESC ABC
PT ESC ABC: еженедельные проверки
7. 7
7
ptsecurity.com
Возможность эксплуатации уязвимости
• Вероятность доступности эксплойта для
опубликованных уязвимостей достигает 50%
• Менее чем за 1 месяц
• Вероятность публикации эксплойта в течение 1
года – 99%
* статистика Verizon, PT ESC/PT KB
PT ESC ABC: автоматическая проверка наличия эксплойта
8. 8
8
ptsecurity.com
Рекорд эффективности социальной инженерии
• В результате рассылки специально подготовленного
фишингового письма в рамках теста на проникновения было
получено
• 146% «откликов»
По результатам теста на проникновние PT
PT ESC: методы соц.инженерии в рамках пентестов
9. 9
9
ptsecurity.com
Расширяем словарь ИБ терминов
• RAT & LAT
• Stepping stone
• Lateral Movement
• Campaign
• Water holing
• Smokescreen
PT ESC: экспертиза по актуальным угрозам
10. 10
10
ptsecurity.com
PT Expert Security Center –
противодействие актуальным угрозам!
• Анализ уязвимостей
Веб-приложений
• Защита
Веб-приложений
• Расследование
инцидентов в
Веб-приложениях
• Усиленный контроль
периметра ИТ
• Тесты на проникновение
• Расследование
инцидентов
• Ретроспективный анализ
11. 11
11
ptsecurity.com
Усиленный контроль периметра (ESC ABC)
• Контроль ИБ периметра ИТ-инфраструктуры Компании
• Быстрая и точная оценка результатов сканирования
• Мониторинг глобальных угроз и оценка рисков
• Регулярный контроль изменений на периметре
• Система отчетности и KPI
13. 13
13
ptsecurity.com
• Инвентаризация, анализ уязвимостей,
менеджмент инцидентов
• (( Xspider ))
• (( МaxPatrol 8 ))
• (( МaxPatrol SIEM ))
• Анализ трафика, анализ ПО
• (( PT AF )) – Application Firewall
• (( PT NAD)) – Network Attack Detector
• (( PT AI )) – Application Inspector
• Продвинутые средства противодействия
новым угрозам
• ((PT Multiscanner))
• ((PT Honeypot))
PT Expert Security Center ((PT ESC))
• Пентест и выявление
уязвимостей
• Мониторинг безопасности и
расследование инцидентов
• Экспертиза по угрозам и
методам противодействия
• Широкий спектр исследуемых
технологий (web, ICS/SCADA,
мобильные приложения, ДБО)
О Positive Technologies
14. 14
14
ptsecurity.com
Исследовательский центр Positive
Одна из самых больших научно-исследовательских
лабораторий по безопасности в Европе
100+ обнаружений 0-day уязвимостей в год
150+ обнаружений 0-day уязвимостей в SCADA
30+ обнаружений 0-day уязвимостей в Telco
Наши знания используют ключевые промышленные центры
15. 15
15
ptsecurity.com
15
PT ESC
• Команда PT ESC. Команда экспертного центра обеспечивает оперативное реагирование на обращения и собираемую
информацию, работает с инцидентами и координирует взаимодействие с командой PT, партнерами, производителями и
сообществом.
• Команда экспертов PT. Исследовательский центр Positive Technologies насчитывает более 150 человек и является одним из
крупнейших в Европе. Специалисты центра заслужили репутацию экспертов мирового уровня по защите важнейших
современных отраслей — веб-порталов и онлайн-банков, АСУ ТП и ERP, сетей мобильной связи и облачных технологий.
• Взаимодействие с партнерами и производителями средств ИБ –возможности компании PT в рамках технологического
партнерства получения комментариев и содействия со стороны ключевых производителей, интеграторов,
эксплуатирующих организаций информации позволяет оперативно исключать ложные срабатывания систем обеспечения,
сузить область анализа инцидента, а также существенно масштабировать объем оказываемых услуг PT ESC.
• Взаимодействие с ИБ-сообществом. Компания PT активно участвует и развивает ИБ сообщество, являясь организатором
конференции PHDays.
• Специализированные методики инструменты и сервисы. Команда PT ESC непрерывно развивает компетенции по
ключевым областям специализации в ходе выполнения работ. Существенная доля этих знаний становится доступна
потребителям в виде обновлений сигнатур, правил и эвристик для продуктов PT.
• База знаний уязвимостей и угроз, используемая в PT ESC, — одна из крупнейших в мире. Эксперты Positive Technologies
обнаружили и помогли устранять множество уязвимостей в продуктах таких компаний, как Cisco, Google, Microsoft, Oracle,
SAP, Siemens, Huawei, Schneider Electric, Honeywell. База постоянно пополняется за счёт новых исследований и
аналитических сервисов.
• Сервис PT ESC – сделано для Вас! Обеспечение ИБ – это непрерывный процесс. В рамках наших услуг мы непрерывно
отслеживаем состояние зафиксированных обращений и открытых инцидентов. Мы предлагаем гибкие возможности
подключения систем сбора информации, различные варианты обращений для получения сервиса и возможность
интеграции с вашими системами отслеживания задач.
Editor's Notes
Обеспечение информационной безопасности — непрерывный процесс, требующий своевременного внедрения эффективных средств защиты и проведения новых исследований в области ИБ параллельно с развитием компании.
Большинство организаций, имея объективно высокие требования к безопасности, тем не менее не готовы развивать внутреннюю компетенцию в проблемах ИБ. Решение дилеммы подразумевает частичный или полный аутсорсинг: организация отчасти управляет процессами мониторинга и реагирования на инциденты (с выделением внутреннего центра мониторинга (SOC) или без такового), но большинство задач передается во внешний SOC.
Коммерческие центры мониторинга обладают богатым опытом в применении различных решений для обеспечения защиты и оперативно реагируют на инциденты. Это большой шаг вперед в повышении уровня безопасности, но такой подход ограничен. Следуя типовым сценариям и строгим договоренностям с компанией, поставщики услуг по управлению ИБ ориентированы на типовые проблемы и предлагают типовые решения.
Оценка защищенности и анализ уязвимостей широкого спектра инфраструктур и приложений, включая веб- и мобильные приложения, SCADA, ДБО, ATM и сети телекомов. Тесты на проникновение и анализ исходного кода для поиска уязвимостей и закладок.
Автоматизированные Сервисы такие как контроль внешнего периметра (Advanced Border Control) – непрерывно разрабатываются и поддерживаются специалистами PT и экспертами PT ESC, что позволяет получать Заказчику сервис экспертного уровня, содержащий актуальную информацию об угрозах и состоянии своих систем с высоким уровнем масштабируемости и по приемлемой цене.
Мониторинг и выявление инцидентов. Уникальные методики и опыт экспертов PT ESC в сочетании с передовыми технологиями и инструментами Positive Technologies позволяют оказывать услуги по выявлению инцидентов на ранних стадиях, а использование ретроспективного анализа дает возможность обнаружить инциденты, пропущенные штатными системами защиты, сократить возможности атакующих даже после успешного проникновения в систему.
Расследование инцидентов ИБ: восстановление хронологии атак, выявление затронутых активов и интересов злоумышленников, рекомендации по ликвидации последствий и предотвращению повторения инцидентов в будущем.
Анализ артефактов и аналитика угроз – исследование и формализация знаний о признаках возможных инцидентов, а также консолидация информации из различных отраслей и географических регионов о методах, инструментах и целях злоумышленников.
Консультации и исследования по ИБ. Клиенты PT ESC имеют возможность оперативно обратиться по вопросам к ведущим экспертам по ИБ и получить ответы на свои насущные вопросы, а также оперативно получать информацию об актуальных угрозах и резонансных уязвимостях, на которые стоит обратить внимание.
Анализ эффективности служб и систем ИБ – проведение аудита эффективности отдельных подсистем или службы в целом в режиме учений – лучший способ периодического контроля и проверки готовности к реальным вызовам. Доверяете аутсорсерам? Доказано: периодические проверки улучшат их работу.
Средства мониторинга и анализа. В рамках оказания услуг PT ESC активно использует собственные продукты Positive Technologies: систему оценки защищенности MaxPatrol, межсетевой экран PT Application Firewall, систему мониторинга событий безопасности MaxPatrol SIEM, модуль выявления вредоносных кодов PT Multiscanner и систему PT Network Forensics. Именно эти продукты стали ключевыми компонентами центров оперативного управления безопасностью, созданных для одного из крупнейших мировых операторов связи ОАО «Вымпелком» (2011), а также для защиты IT-инфраструктур Универсиады в Казани (2013) и зимней Олимпиады в Сочи (2014).