threat intelligence · угроз ит.д. ... • Сбор данных для...
TRANSCRIPT
![Page 1: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/1.jpg)
Threat Intelligence
как составляющая
корпоративного SOC
Азат Шайхутдинов
Инженер предпродажной поддержки в ПФО
![Page 2: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/2.jpg)
2
Центр обеспечения безопасности (SOC) – это централизованное подразделение, которое занимается вопросами безопасности на уровне организации процессов и техники. ©1
Что такое SOC?
1 https://en.wikipedia.org/wiki/Security_operations_center
2 https://digitalguardian.com/blog/what-security-operations-center-soc
Процессы Люди Технологии
SOC
![Page 3: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/3.jpg)
3
Различия между традиционными и современными SOC
ОПОВЕЩЕНИЕ ОБ УГРОЗАХ
АКТИВНЫЙ ПОИСК УГРОЗ
РЕАГИРОВАНИЕ СИЛАМИ
СПЕЦИАЛИСТОВ
В ОСНОВЕ: РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ
АВТОМАТИЗАЦИЯ ИОРКЕСТРАЦИЯ
В ОСНОВЕ: АНАЛИТИКА
ИНСТРУМЕНТЫ ОБНАРУЖЕНИЯ
АНАЛИТИЧЕСКИЕ СРЕДСТВА
ОБНАРУЖЕНИЯ
ВНУТРЕННЯЯ КОМАНДА СМЕШАННАЯ
КОМАНДА
![Page 4: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/4.jpg)
ТЕСТИРОВАНИЕ НА
ПРОНИКНОВЕНИЕ И
ТЕСТЫ С УЧАСТИЕМ
«RAD TEAM»
РА
СШ
ИР
ЕН
НЫ
Й
ВА
РИ
АН
ТБ
АЗ
ОВ
ЫЙ
ВА
РИ
АН
Т
АНАЛИЗ
ВРЕДОНОСНОГО ПО
ЦИФРОВАЯ
КРИМИНАЛИСТИКААНАЛИЗ
ТЕНДЕНЦИЙ
ОЦЕНКА
УЯЗВИМОСТЕЙ
АКТИВНЫЙ ПОИСК
УГРОЗ
РАСПРОСТРАНЕНИЕ
АНАЛИТИЧЕСКИХ
ДАННЫХ ОБ
УГРОЗАХ
СТРАТЕГИЧЕСКОЕ
ИНФОРМИРОВАНИЕ
4
Услуги SOC
ТРАДИЦИОННЫЙ SOC
АНАЛИТИКА УГРОЗ В SOC
Реагирование
на инциденты
Мониторинг и
оповещение об
угрозах
Формирование
отчетов
![Page 5: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/5.jpg)
Техническая организация SOC
Источники данных,
целевые ресурсыТикет-
система
Отчеты
и визуализация
данных
Платформа
аналитики
угроз
SOAR
Устранение
уязвимостейАУ
EDR
SIEMЖурналы
событий
Обнаружения
реагирование
Журналы
событий
Автоматизация
Автоматизация
Автоматизация
Автоматизация
Отчеты ВМ
Сводная
информация
Статистика по
инцидентам
Информация
о ресурсах
IOC
Потоки данных,
сводные отчеты
разные
аналит.
данныеАвтоматизация Защита
от APT-угроз
Обнаружения
Жур
нал
ы
собы
тий
![Page 6: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/6.jpg)
Рабочие процессы SOC
Мониторинг и
обнаружение
Анализ угроз
TIРеагирование
на инциденты
Формирование
отчетов
Устранение
уязвимостей
IOC
TTP
Анализ
полученного
опыта
IOC
Контекс
т
Тенденции,
ландшафт
угроз и т. д.
Статистика по
инцидентам и КПЭ
Статистика,
обнаружения
Отчеты об
оценке
уязвимостей
Приоритет
Эксплуатация,
обслуживание,
управление
![Page 7: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/7.jpg)
7
Основные роли в SOC
Роль Описание Обязанности
Линия 1
ИБ-аналитикПриоритизация
• Регистрация и эскалация инцидентов
• Приоритизация инцидентов и первоначальный анализ
• Сбор данных для расследования инцидентов
• Поиск уязвимостей (дополнительно)
• Мониторинг состояния сенсоров безопасности
Линия 2
ИБ-аналитик
Реагирование
на инциденты
• Глубокий анализ инцидентов
• Реагирование на инциденты
• Периодическая оценка качества работы аналитиков первой линии
Руководитель
SOC
Управление
и разработка
стратегий
• Управление сотрудниками SOC: набор кадров, обучение и оценка работы
• Разработка стратегии и плана работы для SOC
• Взаимодействие с директором по информационной безопасности и другими
заинтересованными сторонами
• Контроль КПЭ
![Page 8: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/8.jpg)
8
Роли в SOC – расширенная версия
Роль Описание Обязанности
Линия 3
ИБ-эксперт
Активный поиск угроз:
исследования и
разработки
• Активный поиск угроз
• Разработка сценариев использования
• Разработка и улучшение системы мониторинга службы безопасности
Эксперт по
цифровой
криминалистике
Цифровая
криминалистика
• Сбор и анализ цифровых улик
• Расследование инцидентов и анализ их первопричин
• Сбор индикаторов компрометации и анализ методов работы киберпреступников
Аналитик
вредоносного ПО
Анализ вредоносного
ПО
• Анализ и обратная разработка вредоносного ПО
• Сбор индикаторов компрометации и анализ методов работы киберпреступников
Специалист по
анализу угрозАнализ угроз
• Сбор, объединение, фильтрация и анализ данных об угрозах
• Распространение аналитических данных об угрозах
• Управление базой данных индикаторов компрометации и методов работы киберпреступников
• Управление потоками данных об угрозах
• Создание аналитических отчетов об угрозах для различных заинтересованных сторон
• Подготовка актуальных аналитических материалов для рабочей команды SOC и внешних
партнеров
Специалист по
тестированию на
проникновение
Анализ уровня
безопасности
• Анализ уровня безопасности
• Тестирование с участием «красной команды»
![Page 9: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/9.jpg)
9
Challenge #1: Global shortage of cybersecurity talents
2 million - global
shortage by 20191
1ISACA “2016 Cybersecurity Skills Gap”
2Cybersecurity Ventures “Cybersecurity Jobs Report 2018-2021”
3,5 million - global
shortage by 20222
Rare combination
of skills
![Page 10: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/10.jpg)
10
Основные проблемы
1. Масштабность и высокая стоимость проекта (срок реализации – от 2 до 5 лет)
2. Глобальная нехватка специалистов по кибербезопасности, в т.ч. аналитиков SOC.
3. Концентрация только на технологической стороне проекта («SOC – SIEM»)
4. Сосредоточенность на анализе локальных данных без Глобальной экспертизы
![Page 11: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/11.jpg)
Ключевые факторы успешности SOC
ПОДДЕРЖКА СО СТОРОНЫ РУКОВОДСТВА
ПРАВИЛЬНЫЕ ИНСТРУМЕНТЫ
ХОРОШО ПРОДУМАННЫЕ
РАБОЧИЕ ПРОЦЕССЫ
НАДЕЖНЫЕ АНАЛИТИЧЕСКИЕ ДАННЫЕ ОБ УГРОЗАХ,
ИМЕЮЩИЕ ПРАКТИЧЕСКУЮ ЦЕННОСТЬ
КВАЛИФИЦИРОВАННЫЙ ПЕРСОНАЛ
ИТЕРАЦИОННЫЙ ПОДХОД
![Page 12: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/12.jpg)
Что может предложить «Лаборатория Касперского»?
![Page 13: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/13.jpg)
КИБЕРПОЛИЦИЯ, А ТАКЖЕ НАЦИОНАЛЬНЫЕ ГРУППЫ CERT И CSIRT ИСПОЛЬЗУЮТ РЕШЕНИЯ «ЛАБОРАТОРИИ КАСПЕРСКОГО»
79групп CERT, CSIRT и
FinCERT, а также
киберполиция и
государственные SOC
пользуются продуктами и
услугами «Лаборатории
Касперского»
2международные
организации
сотрудничают с
«Лабораторией
Касперского»
Северная Америка
Европа Ближний Восток, Турция и Африка (META)
Латинская Америка
Азиатско-Тихоокеанский регион
Канада (1) Бельгия (2)
Франция (2)
Германия (5)
Венгрия (1)
Израиль (2)
Италия (3)
Люксембург (1)
Нидерланды
(1)
Польша (1)
Румыния (1)
Россия (12)
Испания (2)
Швейцария (1)
Великобритан
ия (4)
Бразилия (3)
Колумбия (2)
Чили (1)
Египет (3)
Руанда (2)
ЮАР (3)
Кувейт (1)
Оман (1)
Катар (2)
Саудовская
Аравия (4)
Сингапур (1)
Турция (2)
ОАЭ (1)
Китай (5)
Индия (1)
Япония (5)
Южная Корея (4)
Индонезия (1)
Сингапур (1)
![Page 14: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/14.jpg)
Kaspersky для SOC
Тренинги по
кибербезопасности– Реагирование на инциденты
– Анализ вредоносного ПО
– Цифровая криминалистика
– Расширенный анализ вредоносного ПО
– Цифровая криминалистика (экспертный уровень)
– Обучающий курс по YARA
– Kaspersky Security Awareness (Программа повышения
осведомленности)
Информирование об угрозах
– Аналитические отчеты об APT-угрозах
– Подготовка аналитических отчетов об
угрозах для конкретных стран
– Подготовка аналитических отчетов об
угрозах для конкретных клиентов
– Потоки данных об угрозах
Управляемые услуги
– Kaspersky Managed Protection
– Реагирование на инциденты
– Анализ вредоносного ПО
– Цифровая криминалистика
– Анализ уровня защиты
Инструменты
– Kaspersky Threat Lookup
– Песочница для проведения исследований
– Облачная песочница
– Kaspersky CyberTrace
– Kaspersky Managed Protection on Premise
– Kaspersky Anti-Targeted Attack Platform
– Kaspersky EDR
![Page 15: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/15.jpg)
Анализ угроз
![Page 16: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/16.jpg)
«Лаборатория Касперского» | Сила защиты16
Комплексный анализ угроз
ОБОБЩЕННАЯ ИНФОРМАЦИЯ О
РИСКЕ
МЕТОДЫ, ИНСТРУМЕНТЫ И
ТАКТИКА ЗЛОУМЫШЛЕННИ
КА
МАШИНОЧИТАЕМЫЕ ИНДИКАТОРЫ
УГРОЗ
СВЕДЕНИЯ О КОНКРЕТНОЙ
ПОТЕНЦИАЛЬНОЙ АТАКЕ
ДО
ЛГО
СР
ОЧ
НЫ
ЙК
РА
ТК
ОС
РО
ЧН
ЫЙ
БОЛЕЕ ВЫСОКИЙ УРОВЕНЬ БОЛЕЕ НИЗКИЙ УРОВЕНЬ
•Потоки данных об угрозах
•CyberTrace
ТЕХНИЧЕСКИЙ
•Подготовка персонализированных
отчетов об угрозах
(для конкретных стран или клиентов)
СТРАТЕГИЧЕСКИЙ
•Threat Lookup
•Облачная песочница
ОПЕРАТИВНЫЙ
•Аналитические отчеты об APT-угрозах
•Аналитические отчеты об угрозах для
финансовых организаций
ТАКТИЧЕСКИЙ
![Page 17: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/17.jpg)
17
Источники аналитических данных об угрозах
Клиент
Пользователи
решений «Лаборатории Касперского»
во всем мире
Поисковые роботы
Мониторинг ботнет-
угроз
Ловушки для спама
Сенсоры
Группа исследования
APT-угроз
Партнеры
Открытые
источники (OSINT)
4 5
1
3
Статистика
«Лаборатории
Касперского»
Экспертные системы
«Лаборатории
Касперского»
Аналитик «Лаборатории
Касперского»
Белые списки
Анализ
угроз
2
![Page 18: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/18.jpg)
Потоки данных об угрозах
ХЕШИ ВРЕДОНОСНЫХ ОБЪЕКТОВ (WIN / *nix / MacOS / AndroidOS / iOS)
РЕПУТАЦИЯ IP-АДРЕСА
ИНДИКАТОРЫ КОМПРОМЕТАЦИИ APT
URL-АДРЕСА (вредоносные,
фишинговые и командных серверов)
URL-АДРЕСА ПРОГРАММ-ВЫМОГАТЕЛЕЙ
ХЕШИ ВРЕДОНОСНЫХ ОБЪЕКТОВ ДЛЯ
ОПЕРАТОРОВ СВЯЗИ
ДАННЫЕ БЕЛЫХ СПИСКОВ
ПОТОКИ
ДАННЫХ
ОБ УГРОЗАХ
Рабочие
места
Центр обработки
данных
Почтовые
серверы
Прокси-
серверы
Сетевой
экранОблачный
сервер
Предотвращение
утечки данных
SIEM /
ПЛАТФОРМА
АНАЛИТИКИ
УГРОЗ
ПОТОКИ ДАННЫХ О ПАССИВНЫХ DNS (pDNS)
URL-АДРЕСА IoT-УСТРОЙСТВ
ПОТОКИ ДАННЫХ ОБ УЯЗВИМОСТЯХ
![Page 19: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/19.jpg)
19
Kaspersky CyberTrace
Источники
журналов
Панели мониторинга
CyberTrace Web
Корпоративная сеть
SIEM-система собирает журналы из различных сетевых
устройств и IT-систем и отправляет данные о событиях с
URL-адресами, хешами и IP-адресами на анализ в службу
корреляции
SIEM
Необработанные
журналы
Пересылаемые
события
CyberTrace
События
обнаружения
Потоки данных
«Лаборатории Касперского» об
угрозах, коммерческие и
пользовательские потоки,
данные из открытых источников
(OSINT)
12
3
CyberTrace быстро сопоставляет поступающие
события с потоками и отправляет события
обнаружения в SIEM-систему и CyberTrace Web
– Просмотр событий в контексте
безопасности и получение
оповещений
– Расследование инцидентов
безопасности в соответствии с
контекстом4
Внутренние
источники потоков
ИБ-специалист
![Page 20: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/20.jpg)
SIEM
«Лаборатория Касперского» | Сила защиты20
ПЛАТФОРМЫ ДЛЯ АНАЛИЗА УГРОЗ
ИНСТРУМЕНТЫ СБОРА ДАННЫХ
СРЕДСТВА УПРАВЛЕНИЯ СЕТЕВОЙ БЕЗОПАСНОСТЬЮ
Готовые возможности по интеграции
![Page 21: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/21.jpg)
22
Аналитические отчеты об угрозах
АНАЛИТИЧЕСКИЕ ОТЧЕТЫ ОБ APT-УГРОЗАХ
АНАЛИТИЧЕСКИЕ ОТЧЕТЫ ОБ УГРОЗАХ ДЛЯ ФИНАНСОВЫХ
ОРГАНИЗАЦИЙ
ПЕРСОНАЛИЗИРОВАННЫЕ АНАЛИТИЧЕСКИЕ ОТЧЕТЫ ОБ
УГРОЗАХ
![Page 22: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/22.jpg)
Сервисы «Лаборатории Касперского»
![Page 23: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/23.jpg)
Kaspersky managed protection
Поиск новых атак, ВПО, APT
Поиск атак без применения ВПО
«Машина времени»
Оперативная защита через KES
![Page 24: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/24.jpg)
25
Kaspersky Managed Protection (KMP)
Метаданные
Клиентское решение KES
Команда KMP
• Круглосуточно
• В рабочие дни
Расположение• Франкфурт
• Торонто
• Москва
• Пекин
• Гонконг
Мета
да
нны
е
Расположение• Дублин
• Москва
Внутреннее устройство KMP
Отдел IT-
безопасности
клиента
• Регулярные отчеты
раз в неделю
• Отчеты о
чрезвычайных
ситуациях
Ре
аги
ро
вани
е
на
инц
ид
енты
Активность, которую выявляет KMP
• Создание дампа учетных данных (Mimikatz)
• Внедрение кода в другие процессы
• Средства удаленного администрирования (Ammy Admin, Team Viewer, Lite Admin)
• Установка системных служб Windows (например, назначенное задание)
• Функции автозапуска (в реестре Windows)
• Запуск исполняемого файла с украденным сертификатом подписи кода
• Загрузка и выполнение неизвестных файлов
• Подозрительное использование стандартных служебных программ (cmd/powershell/certutil/mshta/bits/regsvr32/rundll32)
• Использование WMI
• Замена компонентов Windows с помощью Центра специальных возможностей, что позволяет запускать командную строку с системными привилегиями
• Атака на Active Directory
• Сканирование портов
![Page 25: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/25.jpg)
Охват матрицы
MITRE ATT&CK –
80%
Охват базы знаний MITRE ATT&CK
![Page 26: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/26.jpg)
27
Kaspersky Managed Protection on Premise (KMPoP)
Метаданные
KES
Серверы
KSN• Франкфурт
• Торонто
• Москва
• Пекин
• Гонконг
KES
Сеть клиента
Обновления
KPSN
Мета
да
нны
е
«Лаборатория
Касперского»
KES
Персонал SOC
клиентаKMPoP
Активный поиск угрозЭксперты «Лаборатории
Касперского»• Техническая поддержка
• Поддержка анализа инцидентов
• Обучение
Обновление логики
обнаружения
![Page 27: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/27.jpg)
Дополнительная ценность для клиента
Cyber Threat Hunting
Атаки не обнаруженные используемыми продуктами:• Целевые/кастомизированные атаки• Атаки без применения ВПО
«Машина времени»
Повышение эффективности(результативности) существующих продуктов
Оперативная защита через KES*
* Если технически возможно
В случае KMP-KES через KSN –
Никаких инфраструктурных затрат!
![Page 28: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/28.jpg)
Зачем KMP?
Клиенты желают решение проблем,
• А не приобретение продуктов
Ценность текущих продуктов (KES) может быть увеличена
• Адаптация под регион\клиента
Современные продукты (Аnti-APT) хороши, но требуют опытных пользователей
CAPEX OPEX
Ри
ск И
Б д
о п
ри
ме
не
ния к
онт
рол
ей
Авт
ом
ат
изи
-
ро
ва
нны
е
ср
едст
ва
Сер
вис
Ост
ат
очны
й р
иск
KES
KATA
SOС
Threat
hunting
![Page 29: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/29.jpg)
Как это выглядит со стороны клиента (сейчас)
30
Автоматическое реагирование с помощью продуктов ЛК (выпуск детекта по результатам инцидента) или же ручное реагирование в рамках предоставления сервиса Incident Response
Коммуникация с заказчиком через e-mail [исп S/MIME, PGP]:
Карточка инцидента
Еженедельный отчёт
Отчёт по расследованию инцидента
![Page 30: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/30.jpg)
SANS & GaRTNER 2016 (Threat hunting, MDR*)
* Managed detection and response
![Page 31: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/31.jpg)
Расширенные возможности обнаружения инцидентов и реагирования на них
![Page 32: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/32.jpg)
Kaspersky Security
Network
Источники
Партнеры
Ловушки для спама
Сети сенсоров
Поисковые роботы
Мониторинг ботнет-
угроз
Облачная
песочница
Автоматическое
сопоставление
Портал Kaspersky
Threat Intelligence
Объекты
анализа
Анализ
Контекстно
зависимая
аналитикаПроверка
Веб-сервис
Инцидент
Соглашение
о реагировании
– Вызван ли он
вредоносным ПО?
– Какая уязвимость
используется?
– Какие есть
взаимосвязи?
– Подвергается ли
система опасности?
URL-
адреса
Домены
IP-адреса
Хеши
Именование
угроз
Файлы
Threat Lookup
![Page 33: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/33.jpg)
34
Контекст сервиса Threat LookupПоиск хешей Поиск URL-адресов и доменов Поиск IP-адресов
MD5, SHA1, SHA256 URL-адрес IP-адрес
Популярность Имя узла Оценка угрозы
Название угрозы Категория веб-сайта Категория
Метки времени (время первой и последней регистрации) Популярность Популярность
Размер файла Количество файлов Связанный MD5-хеш
Формат файла Установленные IP-адреса Обнаруженные URL-адреса
Архиватор Связанный MD5-хеш Геоположение
Подписант Указание на другие URL-адреса ASN
Имена файлов Указание с других URL-адресов Имя AS
Пути к файлам Временной график Имя сети
Размещаемые URL-адреса Число URL-адресов (для доменов) Описание сети
Размещаемые IP-адреса Информация Whois о домене Информация о сети (диапазон)
Запущенные объекты Информация Nserver Владелец
Объекты, запускающие файл Информация о регистраторе ID владельца
Загруженные файлы Информация о регистранте Местонахождение владельца
Объекты, загружающие файл Информация об администраторе Контактная информация
Запрашиваемые URL-адреса Технические сведения Дата создания
Карта геораспределения Платежная информация Информация об обновлении
Временной график Контактная информация зоны
Сертификаты Карта геораспределения посетителей
Контейнеры
![Page 34: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/34.jpg)
Kaspersky Lab | The Power of Protection35
Kaspersky Cloud SandboxWeb Interface
RESTful API
Обнаружение APT,
целевых и
комплексных угроз
Инструментарий для
эффективного
расследования
киберинцидентов
Простая интеграция с существующими
системами ИБ
Глубокий анализ файлов
вне зависимости от формата
Настройки оптимизации
производительности
Обнаружение попыток
«обмана» песочницы
Интуитивно понятный
интерфейс
![Page 35: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/35.jpg)
Обзор архитектуры исследовательской песочницы
WIN XPx86
Стандартные образы песочницы
Специализированные
образы песочницы
WIN 7x86
WIN 7x64
WIN 10x64
WIN XPx86
WIN 7x86
WIN 7x64
WIN 10x64
Дополнительное
ПО
• MS Office
• MS Edge
• MS IE
• Firefox
• 7-zip
• MS .NET
• Oracle Java
+ пользовательские
приложения
Веб-интерфейс/API
НА ВХОДЕ
-> Отправка файла
-> Выбор ОС
-> Выбор среды выполнения
НА ВЫХОДЕ
-> Отчеты песочницы, KPSN,
эмуляции и TDF
-> график активности
-> журналы
-> файлы PCAP
-> снимки экрана
-> индикаторы компрометации
(CSV, JSON, STIX)
и другие данные
Интернет-
канал 1
Интернет-
канал 2
Репутация
файлов и
URL-
адресов
KPSN
Хеши
• Хороший
• Плохой
URL-
адреса/домены
• Хороший
• Плохой
Группы CERT
Анализ
песочницы
Отчет о
песочнице
Версия 1.0
• Стандартная песочница
• Специализированная песочница
• KPSN как часть решения
• Веб-интерфейс пользователя
• Поддержка API на основе REST
![Page 36: Threat Intelligence · угроз ит.д. ... • Сбор данных для расследования инцидентов ... siem-система собирает журналы](https://reader036.vdocuments.net/reader036/viewer/2022062602/5ec67ed00a2d8124256205e1/html5/thumbnails/36.jpg)
KATA/KEDR
Ретроспективные данныеЗаключения
Нормализация и
анализ данных
Собранные
данные
Данные
глобального
анализа угроз
Связанный
инцидент
Сбор
данных
Телеметрические данные с
рабочих мест
Метаданные сети
Kaspersky Anti Targeted Attack Platform (KATA) & EDR