Вячеслав Медведев
Ведущий аналитик отдела развития в Доктор Веб
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Уфа
6 февраля 2020, Уфа, Россия
Код ИБ 2020 | Уфа
Запросить Q&A
Видеозапись
Как изменится ваша ИБ в 2020 году
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
10
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Вячеслав Медведев
Ведущий аналитик отдела развития в Доктор Веб

С антивирусной безопасностью связался в начале знаменитого 1998го года - и с тех пор ни разу не работал в какой-либо компании, не связанной с этой областью деятельности. Сам писал антивирусные программы и руководил их созданием. Старается постоянно развиваться и узнавать новое.

Перейти в профиль

О докладе

Тематика: Информационная безопасность


Поделиться

выступление адресованы всем специалистам в любой Я надеюсь из него сможете здесь какой-то урок для себя то что организаторы я им крайне благодарен за это не предоставили новый формат рассказ случаев реально случаях то есть мы переходим не рекламе какую-то которую мы там рассказывай все Слушай пропускать мимо ушей понимаю Причём здесь Да приехали Мы хотим рассказать как обстоит дело в конкретной компании конкретно которой столкнулся инцидентам к чему это привело и не просто Прикольно а приказать меры которые нас

отличают тоже мы будем рассказывать так кликер я сразу просьба вокзала Если есть вопросы задавайте Я как подруга Походу дела более того на самом деле меня будет даже интересней так приключается приключается соответственно я не буду минимум только завершение скажу про наш продукт потому что проблемы информированности стоит крайне остро и реальное О функционале даже самых распространенных решений знает мало но основной поговорим о случае когда не исходит использование правильных продуктов Дело в том что мы занимаемся

не только разработкой продуктов У нас есть раздел отдела расследований инцидентов на самом деле так нельзя говорить насколько это поставил Дело в том что раз это невозможно заниматься МВД ФСБ Возможно там военная полиция и о преступлении может назвать только суд поэтому мы занимаемся анализа инцидентов но как бы слово просторечие плохо используется поэтому буду говорить расследование Заранее извиняюсь и вот по расследованию нас получается что проблему все разные Кто вирус шифровальщик кто майнер Но вот что всех наших клиентов рано или поздно

вы является то что низкая информированность и не до использования стандартных вещей для защиты но не будем какой-то ввод на говорить так плохо не переключается она вот один реальный инцидент началось всё с того что к нам в прошлом году обратилась одна компания и пожаловалась стоял у них наши антивирус не буду скрывать что всё тормозит непонятные времена не понял что срабатывает но Почему к нам обратились Ну в общем-то известно что всегда всё тормозит антивирус тормозит Ну и начали мы соответственно разбираться через время

Выяснилось что так не отвечала виноват не антивирус антивирус потреблял совсем мало ресурсов виновата что-то другое запятая перед что было выявлено внедрение вредоносные программы после начального тега некогда было выяснено что это не антивирус виноват перед нашими экспертами была поставлена задача если найти и обезвредить ответьте источник распространения То есть откуда внедряется программа Каким образом злоумышленник получает доступ к системе если злоумышленник делаем неавтоматизированная

соответственно разработать рекомендации по мерам защитой ну и соответственно во взаимодействии с мышцами можно Машенька посадить найти и передать в руки правосудия ответственного человека если и так этом виноват Ну как бы со злоумышленниками внутренние сотрудник который по незнанию что-то как всё как выяснилось происходил то есть мы взяли образ системы потом следили за систему удалённо перебирали процессы смотреть Кот который входит систем там там последовательно Выяснилось что был систему удалённый доступ

Ответь на звоночек вручную заходил на сервер по FTP устанавливал process Hacker Уснула что ли совсем как-то плохо сегодня скольки работает Максим давай я тебе буду говорить Назад Flight А то так вот скрестно внедрялся exploit настроение пострадавший Дело в том что скажешь сразу скажем на клиенте клиента использовался программное обеспечение достаточно известной компании которые вы все знаете Именно поэтому я не привожу уязвимость через который всё это проникала то есть злоумышленник знал что можно поставить

Каким образом зайти соответственно А я сразу привожу Возможные причины почему злоумышленник мог зайти в систему вы можете Вот вам предлагаю задать вопросы можете поднять руки и добавить что по-вашему как говорится мнению приводило к тому что уснуть не мог удаленно зайти в систему и поставить exploit Давайте отлично первое дело то есть если делаем VPN вот здесь против начальная водные спустя в этом говорили то получается что ВВП Ну ждать только тому кому полагается а всем

остальным открыть доступ либо назначить права пользователям которые только это имеет делать использовать хорошее пароли и запретить запуск осесть на новом вот нас есть продукты в Белом списке практически никто не использует не настраивается список по Хотя Вот потому что там заказали все паки требуется устанавливать только разрешенные программы Там даже прописан это в приказе соответственно после того как он заходил используя свой ум оставил process Hacker и используя его либо просто так отвечал антивирус Я в тачках потом вы стоит

Она очень многих клиентах с нашим и не нашим антивирусом Почему такой принцип водонос последней встречи на прошлых рассказывал и соответственно проблема вот почему люди от возможности синтезирующие Давайте вопрос взял как может меня антивирусы почему это возможно про Ваню не убрали назначили право на включение телефона по умолчанию нашим антивирусе прав на отключение антивируса просто тупо нет вторая проблема ставит доступной версии в которых естественно парализована

управления управления правами естественно нет в них есть возможность поставить пароль но я понимаю что есть критически важные объекты секретные документы там централизованное управление защитой Нет там просто ставят без пароля и пароль какая тебе некогда 345 Поэтому злоумышленник войдя в систему может лечить вирус можно проблема Это то что пароль на тему совпадает с паролем на доступ операционную систему пароли должны быть разные вот соответствует я перечислил то что мы снова встречались Ну вот

удалённый доступ сказали ненужные сервисы очень часто не отключаются системы то что не нужно например возможность удаленного управления возможность там в удаленной установки программы так далее он потом сами знаете сколько Windows самых различных сервисов которые нормально работе совершенно не нужны вот разрешение на загрузку драйверов собственно говоря Вы видели что позвоночник вставил process Hacker он ставится с установкой драйверов То есть если бы не было различно установка драйверов чтобы не происходило опять же нашем продукте есть возможность закрыть

выставку цветов полностью можно всегда отключить на тот момент когда вы делаете снов Тем более что обновление должно происходить не хаотично А после этой стирания какого-то программного продукта на приём количестве машин и потом уже распространяться почти по-хорошему можно делать Вот на этот момент Можно всегда отключить защиту взять профиль и так далее вот контроль за изменением как правило несут мёд как раз Максиму всем но у нас в принципе тоже поедешь Я тоже имеется то есть вот в принципе белый список тоже бы

Решил проблему потому что процесс хакер пой никогда не стал И что там проблема не установлено которая вписка просто Уже кончился Дело в том что у нас схватили Русинова всех на рынке вирусах так есть кроме самых самых которые упрощают система есть истина вредоносные программы это скажем трояны черви там А есть условно вредоносные программы А это Например программы удаленного управления потому что они могут испускать хакерами так системными администраторами поэтому мы антивирус Doctor Web Когда ставишь на систему то мы всегда автоматически

запрещаем запуск исполнения то мы тогда с ругаем короче идти на вредоносные программы А вот спи решенного кого должен поставить some System administrator То есть он должен заплатить всё а потом разрешить только нужно ему вот это не делают потому что считаю что как бы всё хорошо И так дальше соответственно стал там Аня вот нагрузка собственно говоря я была а сразу скажем что дальше он планировал уже шифровальщика и это кстати говоря точно широко распространенная практика Дело в том что манерой

достаточно часто имеют в своем составе модуль шифровальщика на то что вот сейчас если манер обнаруженный насчёт в руками удалять в систему ООН это контролирует естественно то в этот момент буду кусаться шифровальщик Поэтому если вы видите что у вас есть нагрузка есть манер то это уже звоночек очень опасный Потому что если вы начнете вручную удалить этого манер не обратиться например нашу техподдержка вполне возможно вас будет прочь просто автоматически и Нельзя бросать в систему на самотёк Если увидишь что идет резкий рост нагрузки

Вполне возможно что ты там же происходит Исходя из этого случая далее соответственно мы развернули коней потом на этой системе и на системах тех также на которых мы обнаружили уже подобной системы и нашли еще несколько спортов соответственно это были разные совершенно антивируса почему так происходит Дело в том что злоумышленникам крайне легко протестировать на совместимость с антивирусами разработал по прогнал на совместимость там с тремя четырьмя антивирусами которым точно знаешь ты потому что моё Как я уже говорил это был в полете мне оставишь снаружи и

всё он получается вместимость Именно поэтому нужно белый потому что мы ловим достаточно много процентов вредоносное по Но если нас Априори злоумышленник протестирована совместимость с антивирусами подобрал так вот который в этой версии после обнаружения моего снова будем обнаруживаться ничего не сделал ты мы не найдем А вторая проблема то что не использует поведенческий анализатор То есть если антивирусной базы даже не знают какое-то вредоносный код как вот этот например то поведенческий анализатор он его найдет по поведению попытка внедрения в процессе

Ну что он не просто так он стоит но снова поведение загрузка системы поведенческой анализатор ну и соответственно самое интересное пошло обратились Мы готовы если Откуда идет заражение откуда-то обратились в эту компанию и руководителей компании выдал нам накопите Ну это так просто уже почти позабытое но в растут у них используется именно этот термин такая по устаревшим так принято жёсткий диск руководителя Я сказал, что руководитель разработки решил подзаработать. То есть он

вход своей компании внедрял манера с последующей возможностью шифровальщика вот так вот мы и живём То есть фактически это ещё вот есть кто-то говорит, что вот есть, но сойдёт так дали, есть желающие заработать и вот таким методом. поэтому доверять даже поставщику Мы никогда не можем потому что есть да желающие заработать он вчера мы опубликовали на хабре статью очередной про шифровальщик там шифровальщика не было и в комментариях очень интересное там наши там интересно ты

справочник шифровалка вообще он изображал шифрование и кто-то сказал знакомый моего знакомого знает этого автора и он сказал Почему так сделана Потому что я как-то не умею но заработать не хочется Ну вот так вот так, Ну а соответственно стороне разработчика есть кто занимается? Я хочу сказать грустный вы не можете доверять своим сотрудникам. Ну принципа всем об этом уже говорил, никогда не можете доверить своих сотрудников, поэтому система контроля версий разные разные логины для всех разработчиков, в том числе руководство, Потому что когда узнают пароль и

заносят под чужой фамилией свой код, чтобы потом кого-то подставить, Это я лично с этим сталкивался. у меня это в принципе своё время было Вот Ну а самое главное, после всего остального мы передали сведения в правоохранительные органы, но руководители организации решил замять это дело ребёнок сбежал. То есть он ещё будет говорить ещё кому-то, потому что, естественно, его личное дело, не в трудовую книжку, ничего не был занисима. Ну средства рекомендации которые мы разработаем я сверху перечислил компания

общем тебя клиенты которые в конце концов благодаря потому что мы вышли на разработчика и провели проверку всех у тех с кем они взаимодействовали нашли у всех у них заражения легко отделались потому что злоумышленник ещё не дошёл до шифровальщик опять же потому что потери могли быть гораздо более серьезными но здесь еще один вывод к этому моменту обратилась нам всего одна компания Apple очень широко распро то есть большинство клиентов все клиенты Кроме того не заметили высокую нагрузку на сервера То есть почему System administrators не

видели, что манер почти всегда под 100% забивает сервера? и никто системных администраторов даже не подумала что это у них происходит на вчерашнем загрузка сироп 100% А это серая побыла вот собственно говоря обращайтесь мы найдем и попробуем наказать того кто виноват я Закир каменную наказывать потому что ну это всё чего-то не наказывать тех кто где-то нагадил кому-то в карман должно быть в минуту ходить Можно вопрос Да очень часто сталкиваются что крупная компания с вами желает наказать с другой стороны понимаю то что если начнёшь

наказывать полноценное качественное легально информация просочится Да ущерб репутации Я согласен и по-своему это или нет но просто вот можно говорить но она это обязательно стоит обратить внимание что репутация намного средних крупных компании репутация намного дороже это нужно обсуждать с пиром обсуждать с бизнесом и нередко средняя температура по больнице когда есть желание довести и наказать это так Тем более что в компаниях в принципе вот мы занимаешься Опять же студентов рекомендациями есть специалисты по уголовному праву А если говорить пациентах то крайне редко привлекается к

устранению студентов neatis специалисты контакт pr-специалист и маркетологи которые способны оценить что как повлияет на компанию инцидент с как его освещать Какие меры противодействия информирования клиентом рынку делать и так далее Потому что к сожалению сотрудники которые гадят они встречаются наверное у всех вот вопрос в том что зачастую давать им спуску они начинают подавать в суд обратно что их уволили некорректно не виноваты такие случаи тоже бывает и тут потому что к этому человеку нет

официальных на его сторону и выставленных на работе сами значит как правило носки увольняется не постатейные по выборам увольняется по соглашению вот-вот собственная статистика здесь как мы видим что большинство это майнинг крипты Downloader adware Это для Windows если говорить про Android там как ситуация обратная совершенно там в основном банковские трояны и прочее такое более серьезные по там ситуация Почему как странное там рекламы меньше делают чем для системы Windows

так список Ну собственно говоря я все его сверху зачитал некоторые еще добавлял к этому списку Кроме того что поэтому кратко подвожу пароли минимальный доступ в систему контроль за системой желательно постоянный отслеживание студентов типа того рост употреблений случайных какие-то срабатывание всплывающие окна и так далее и тому подобное Что может сигнализировать о нарушении системы соответственно Я обещал говорить Почему не очень-то я правда наши белые списки по поведению сигнализатор там возможность блокировки сменных носителей поминал и упоминал на наших предыдущих

встречах В общем так хочу я что сказать Вот у нас есть например скрипки листик Вот такая она технология можно очень много поэтому списку рассказывать ещё одно нарушение которое мы часто встречаем это отказ от использования проверки трафика то есть не стоит проверка трафика считает что это не нужно я в том что те же самое майнеры нут мода пошла просто маленько процесса майнинг в браузере сейчас мне спам сыпались раз 5 писем в день идут с предложением поставить майнер какой-то и вот этим в браузере это один из вариантов ещё присваивается Kate Ryan и прочее

а они не садятся в папку они сразу исполняются в памяти таким образом не дошло до File Analyzer Хватай файлов на уровне системы всё File Analyzer не видит этого трояна Потому что он на диск ещё не сел исполняет сразу в памяти поэтому отказ от проверки трафика он говорит тоже чревато тем что вы будете пропускать пиво которое не доходит до жесткого диска Нужно запомнить того что мы вот делаем любые наши системы не потому что там так хочется об этом узнаем угрозы которые проходят через это мы часто сталкиваемся с тем что они настраивают на наши

офисный контроль либо родительский контроль те же самые доступ к заветам не рекомендуем ресурсам Ну Казалось бы что сложного поставьте галочку от заветного вредоносные сайты это несложно для бухгалтерии если вы не можете разнести по нескольким компьютерам сделайте белый список там три сайта Куда хоть должен ходить главный бухгалтер всё но этого не делают вот статистика которая нас есть показывает что ставят забывает Ну так оно есть вот вот эти две вещи скрипки листик из жилгородка Некрасов следуют такие вот

внедрение как были указаны на сайтах выше А ну повернись назад Это понятно он контролирует систему после запуска если это Пока неизвестно но злоумышленник протестирована совместимость нашими антивирусными базами не нашими он смотрит обращение к ресурсам об этом предупреждение нужная вещь согласна Но придётся шифровальщиком выявляется с вероятностью почти под 98% Вячеслав тороплю всё это средство мне в процессе испытаний внедриться в процесс он на это контролировать ну и соответственно

еще разок ограничение и контроль всё пожалуйста я могу сказать

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Как изменится ваша ИБ в 2020 году»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Юрий Основский
Руководитель московского подразделения отдела технической поддержки в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Ольга Поздняк
Директор в Экспо-Линк
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Как изменится ваша ИБ в 2020 году»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно