Вячеслав Медведев
Ведущий аналитик отдела развития в Доктор Веб
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Ростов-на-Дону
13 февраля 2020, Ростов-на-Дону, Россия
Код ИБ 2020 | Ростов-на-Дону
Запросить Q&A
Видеозапись
Как не защитить данные. Реальный случай анализа инцидента
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
18
Мне понравилось 1
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Вячеслав Медведев
Ведущий аналитик отдела развития в Доктор Веб

С антивирусной безопасностью связался в начале знаменитого 1998го года - и с тех пор ни разу не работал в какой-либо компании, не связанной с этой областью деятельности. Сам писал антивирусные программы и руководил их созданием. Старается постоянно развиваться и узнавать новое.

Перейти в профиль

О докладе

Тематика: Информационная безопасность

Несмотря на то, что рекомендации по защите сети от хакеров, инсайдеров и поставщиков можно уже смело считать "капитанскими" - они не исполняются. Меняются имена, названия компаний, типы вредоносного ПО - но от расследования к расследованию не меняются рекомендации. Рассмотрим всего один пример инцидента

Поделиться

выступление Она адресована всем специалистам в любой Я надеюсь из него сможете здесь какой-то урок для себя Потому что организаторы я ему крайне благодарен за это не предоставили новый формат рассказ случаев реальный случай то есть мы переходим не рекламе какую-то который мы там рассказывай все слушать пропускать не мужик потому что понимаю Причём здесь это приехали Мы хотим рассказать как обстоит дело в конкретной компании конкретно которой столкнулся инцидентам к чему это привело и не просто Прикольно а

приказать меры которые нас отличают тоже Я очень рад что мы так хорошо встретились нашли нашу увлекательный разговор средства защиты и сейчас мы будем продолжать разговор о том что не хватает нашей системы безопасности для того чтобы ну скажи нам было непробиваемая хотя бы так для большинства угроз Дело в том что наша компания она занимается Ну расследование компьютерных преступлений Так нельзя говорить по закону потому что нас расследование может заниматься Ну типа две-три организации типа милиции и ФСБ а Преступление это это решает суд

называется эта анализом компьютерных инцидентов к нам приходит достаточно много клиентов по-разному приходит то нас приходит специализированном а кто соответственно обращается с претензиями к нам что-то не работает и мы узнаём о том что их на самом деле по-разному но отказ вот источники проблем у них одни и те же вот так получается Смотрите дело в том что к нам вот один из студентов котором я хочу рассказать обратились в этом случае ну всем известно Кто виноват Если всё тормозит антивирус если

мы у этого клиента стояли действительно настал Dr.Web они скажут Вот наши сервера в Случайный момент времени 100% нагрузка работать невозможно потешно быстро разобралась что в этом не виноват антивирус работает совершенно другое поис4 с ними договора на то чтобы проанализировать Что там такое у них случилось провести анализ используем плохо возможно выявить и вредоносное исполнении вредоносная если это так узнать способ атаки методы про них Ну и выработать естественно

рекомендации по усилению средств защиты через некоторое время Наши специалисты нашли это вредоносное по определению такие ну и собственно говоря смотрите Я сейчас буду называть этапы внедрения вредоносного по и буду некоторые меры безопасности которые могли бы так предотвратить это он угрозу именно по вот этой этому этапу вы соответственно смет Я призываю вас дополнять исправлять делать мне замечания потому что мне нет желания просто так для вас тут донести моё

возмущение тем что всё плохо мне хочется нас был действительно диалог Ну уязвимость я не называю что это полоса уязвимость скажут А почему Дело в том что это известная по российского производителя Имя твоего все знаете скажем которая через которое происходило внедрение никого вредоносную программу что Никакой Потом расскажу это отдельный разговор на самом-то деле Соответственно что мы знаем вот на водной уязвимость есть всегда соответственно первое Вот вы все помните эпидемия на Украине связанных с ней по

документам породу странах это уже Петя Петя 2 по-другому назывался это тоже Честно почку которого задрожали и первое что говорили это сегментация сети то есть вредоносная программа попасть в один сегмент при бухгалтерии не должна расплатиться по другим сегментам и наоборот кстати говоря сайте Вот давайте проведем первый вопрос кто на самом деле из подразделений компаний чаще всего кликает по письмам и начинай заражение компании Судя по очереди руки такси секретариат нет, так-то

бухгалтерия сказать нет. вот здесь рука отдел закупок и сбыта Правильно Потому что они получаются самые странные письма работа самые странные они привыкли открывать всё вот их как бы не учи о том что не открывайте странные письма они все равно будут их открывать и не mariwan из бухгалтерии виноват как правило вот кого нужно изолировать от сети на самом-то деле потому что из посмотреть большинство Атак который называется на систему АСУ ТП на заводы и прочее как правило сражаясь именно

подразделение начало там сбыта закупок и так далее именно них ведется атака Но об этом сайте мало говорится далее соответственно дополнительно к уязвимости это контроль целостности у нас а есть превентивная защита которая контролирует целостность процессов запущенных на компьютере очень состою отключают то есть отключается контроль целостности процесса в них можно вредоносный код 0 код какой-то плагин для защиты эксплойтов Ну это туда же самое то есть в компанию проник какой-то код дополнительный код который

куда-то хотят ставить то есть опять же состав пива которое на компьютере есть время то же самое ну уж Сто лет назад Как прошёл это ванна край уязвимость пропускаешь ни впо-1 уровне операционной системы червь Но мы его ловили просто в момент про то есть Какая будет зима не было через которую проходит к вам что-то даже если её не знаем а мы не знали про эту уязвимость там это неинтересно сам до сих пор мы ловили просто по факту того чтобы компьютер вредоносный код его Видишь что что-то проникла в систему всё Вот ещё контроль целостности того что есть Ну вот я

иллюстрирована состав наш путь через центр управления Как говорится моменты это как раз от превентивной защиты контроля целостности два первых пункта Который час отвечает вот по нашему опыту но этот случай футбол доступа Сами понимаете то есть на брандмауэр Это была не закрыта То есть можно было проникать какой Выполни поставили можно было проникнуть в компанию покидай сервисом соответственно очень часто что мы это не отличаются например на Windows сервисы удаленной установки программного обеспечения

то есть не проводится анализ Какие сервисы на ваших операционных системах вам нужны вам нужны и так далее и тому подобное Ну пароль Это уже Стандарт на самом деле что не меняются и слабые но еще разок А тут запрет на запуск нового по Ну как бы стандарт тоже самое контроль целостности дальше Вот ещё один контроль целостности стоял специальный хакерские утилиты ansambel легальная потому что может ставиться для других целей мы её заблокировал племена по поведению анализатора Что смотрим Что она делает она может убивать процессор любые процессы потому что

ставить драйвер соответственно еще направление контролируемые установка драйверов пусть никто не ставит ну не скажу за всех очень сейчас не контролирует что система перезагружается либо ставит с ней dropped перезагрузки тут же вторая проблема Если не удалось вставить этому товару еще процесс хакер то он просто тупо срезал антивирус потому что не был запрещен к нему доступ Ну тут разных антивирусов Как вы тут Dr.Web это и все остальные тут же были за это права пользователя на отключение антивируса либо

в других программных продуктах отсутствие пароля на доступ в настройках антивируса на его удаление Ну вот тут списка грамотний на самом-то деле я думаю что все его видят что ты можешь зачитывать это и белый список отсутствие от белого списка программ обеспечения это контроль за изменением состава по системе появилась новая понял кто это не контролирует что у него что-то ставит эта установка программ в ней белого списка упорстве и справа на установке нового по в том числе по кликам

из писем что чаще всего происходит это пришло письмо крикнули на ссылку начинается ставить новый по это соответственно должно быть запрещено просто тупо для подавляющего большинства для тех же самых менеджера установка новую позу зачем она им Ну удалённый доступ Понятно Опять же драйвера разрешение отключения антивирусов отсутствие централизованной защиты очень часто А нас закупают без централизованной защиты хотя у нас централизованной защиты бесплатно Я вообще ещё разок напоминаю то есть покупай столько лицензии теме не ставится однопользовательский версии

централизованное управление нет-нет контроля за правами плюс не ставятся в этом случае пароль на доступ на удаление его пароль на антивирус совпадает с пароль на доступ в эту операционную систему всё соответственно контроль приложение минутка рекламы опять же позволяет делать запрещающее правило разрешающее правило и так далее То есть правило позволяет настроить которого должен защищаться для конкретных пользователей локальной позе либо после от либо конкретной станции всё это можно сделать но скриншоты для нашего антивируса позволяет

контролировать вот тут правило это связано список правил для контроля приложений вот одинаковые правила что я могу ещё сказать на всю компанию то есть без ограничений руководство это бухгалтерия пользователей в Саппорт или какой-то который уже притча во языцех Зачем уборщице доступ в компанию для всю локальную сеть и доступ ей кто-то есть офисный контроль как правило не настраивается на доступ в папку на документом сменным носителем и так далее Далее следующий этап

запускался майнер в общем-то самом деле не очень стильно музыка на данный момент заработать но хочу обратить внимание очень часто не дает опасный майнеров но манеры они как бы умные люди а не понимаю что заработал снял шкурат надо снять шкуру 2 Поэтому если майнер видишь что его начинает обнаруживать начиная там поиск по протезам Запускай список процессов он может запустить шифровальщика Это следующий этап что собственно вот злоумышленника собирался сделать поэтому нагрузка

на сервера это Повод задуматься animal.ru и отработать я забегаю вперёд Поразительно это самом деле Побыл распространённое соответственно работал это майнер на большом количестве компаний и только одна компания за счёт у них загрузка такая большая только одна компания пришла за анализом соответственно вот здесь список наших глаз многозначно технологии к чему этот слайд Я хочу сказать мы можем нарушить неизвестным Renault в которой приложение перечислял но без вас тех кто настроит эти меры защиты мы бессильны

потому что мы например не знаем кто поставил Вы поставили ртп или злоумышленник ртпк момент на остановке поставил кто поставил майнер с домашним поставила манер либо это компания которая прислали занимается Монино мы же в России не такие попросили заниматься майнингом омоньер легальный и нелегальный ставится фактически из одного и того же года и по сигнатуру Money практически одинаковые пройти процедуру на самом деле мы этого не видим Мы не знаю список вашего пыла мы не знаем что вас legally что может вы разработчики и процесс хакер это

ваше рабочее по мы этого не знаем мы можем автоматически автоматически срезаем истинный черви стены трояны и цены вирусы Но вот такое скажем так условно вредоносное по ли британские вредоносное по которое может использовать так и сяк мы не знаем кто виноват поэтому поставили антивирус Посмотрите средства защиты ограничение У нас есть офисный контроль У нас есть контроль приложений У нас тоже там превентивной защиты есть много чего есть один раз на час но вот мы провели анализ

по нашей статистике подавляющее число поставил антивирусы забыла вот сейчас двенадцатой версии в прошлом году ещё нам обращались упражнение 444 версии которая несколько лет назад уже не знаю лет назад - выпускаем поставил забыл антивирус сожалению это очень частая ситуация далее но вот красота того что мы выловили еще несколько уже когда начали расширенной несколько вариантов этого пострадал смешного получили мы уже после анализа на список пострадавших к нему ВКонтакте

зашли предупредили с гранитом пролечились Но вот теперь самое интересное Как всё началось мы нашли через Skype это всё распространялась ну зашли в рукава соответственно потому что Кому ещё писать официальное письмо помощью члена руководства Проходит ли не долго думая выдал нам накопитель украсили свои разработки оказался он был виноват то есть руководитель разработки он сам решил заработать Вот то есть вот еще раз о разделении сети вы не можете доверять никому сожалению вот таком параллельном мире мы живем угроза поставщика

Ну соответственно мы нашли этого вы указали до этого человека и передали данные на него в полицию ну как бы это наши ответственности по договору мы были обязаны сделать выдали руководство Мы надеемся что вот это маленькая презентация она как бы вам поможет в том чтобы что антивирус это ещё не всё я вот уже упоминал опросники на нашем стенде нельзя надеяться на то что вот вы поставили средства защиты какое-то оно будет защищать просто потому что вы за него заплатили деньги

сожалению любые средства защиты и вот я думал что повару селемам как раз про это будет говорить они хороши когда их контролируют У нас есть возможность следить за составом в программно аппаратных компонентов можно это всё сделать это всё есть есть статистика по присоединению сменных носителей тоже всё есть но вот управление этом это ваша обязанность То есть если вы это можете сделать Вы должны знать Я понимаю что у вас нет бюджетов в зачастую обмен один на всю компанию мы всё это понимаем Но вопрос в том что когда всё это

случится виноват он будет обмен они тот кто не дал ему денег Ну собственно говоря ещё разок ответственность потому что вот сейчас вышла очень нехорошее статья это 274 Прим один если 274 она начиналась За ущерб в работе локальной сети от миллиона и попасть под неё было админу практически нереально доказать уже фамилион очень было сложно то сейчас нижнего предела нет Поэтому если и такие и нарушение работы локальной сети то админу загреметь по ней лёг детская что будет воля того кто хочет туда попасть

Ну собственно говоря небольшой и того того что я говорил выше Я просто подбил список он не весь я что вы как специалист и можете вполне его добавить вариантов очень защиты много программных аппаратных средств много которые могут использоваться для предотвращения вот такого Это не единственный К сожалению случайном обращение там в банке обращались все остальные Ну вот начать можно собственного контроля например Потому что граничит список коза вредоносным ресурсам откуда точно вирусы идут это пара кликов почему

это не сделать Кто из вас идёт белый списки доступа к ресурсам компании? Вот почему этот угол самой активной здесь? Ну вот Маловато человек, наверное, в 8 на всех присутствующих. Сергей не хочешь выступить дополнение с мерами защиты? Я думаю Сергея в большинстве своем знаете специалист известный поэтому я хотел просто рекламу нижних резцов Ну я наверное расскажу про несколько киса связаны с антивирусами раз об антивирусе я понял да Ну значит что касается Сейчас отвечу на вопрос по поводу белых списков

значит белый список мы ведем но к сожалению нет ну или к счастью не через антивируса а именно через прокси-сервер допустим вот Но если белого списка не web-ресурсов а программного обеспечения Да у нас есть но его очень сложно вести в основном это для критических объектов У нас есть отдельные объекты обычные электрические для критических объектов мы ведем такой список это у нас АСУ ТПК системы значит что касается кейсов Ну у нас был на 11 кейсов недавно связаны с антивирусами говорил что часто приходят сотрудники обращают внимание на то что это ваш антивирус

во всём виноват начинаем разбираться антивирус здесь вообще ни при чём 1С пример это когда пришёл разработчик говорит у меня антивирус перебивает время постоянно системное время сбрасывает из-за этого система не работает значит начинаем разбираться Я говорю антивирус в принципе не может системное время сбрасывать Это не его разбирались разбирались оказывается он подключил туда системную библиотеку какую-то которая отслеживала время и при синхронизации через сервер времени у него синхронизации то сбрасывала это первый

момент второй момент это значит проблема у нас было с подключением мы Ну не конкретно доктор любви у нас был другой антивирус и есть и на том антивирусе у нас значит было настройка на верующих поиск вируса шифровальщика и значит антивирус постоянно регистрировал события при передаче из значит там какая процедура была системный администратор из каталога серверного перекидывал в каталог пользователя файлы копировал при копировании антивирус жаловался на подозрительное поведение начали оказалось что подозрительном поведении нет но сначала самостоятельности если разбирались не поймём в чём

дело проверили все файлы по крышам даже virustotal закинули ничего нет не поймём в техподдержку начали обращаться техподдержка Значит мы разбирались с этой ситуацией порядка 5 месяцев переписка очень тщательно явилась отключали различные модули антивирус значит в итоге где-то работала таким образом антивирусной эвристика значит в проверке в стороннем каталоге папки находился еще 2015 году зашифрованные файлы вирусом шифровальщиком и антивирус значит проверял полностью всю

общую папку нету конкретно котором и находился там дерутся зашифрованный файл и жаловался полностью на действия которые копировались в общем совсем не связанные события значит очень долго разбирались с говорю 5 месяцев и для меня конечно было странно вот такой вот поведение антивируса Ну антивирусных вендоров заявил что это в общем заложенное алгоритм и на него никак повлиять нельзя кроме как не компьютеры которые Значит на сработку в исключения но естественно мы этого не допускали наверное не допустили поэтому мы отказались от этого от этой рекомендации Ну в принципе

такие два момента которые я вспомнил вот в принципе Если есть вопросы конкретно Я думал в кулуарах пообщаемся обращайтесь

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Как не защитить данные. Реальный случай анализа инцидента»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
150
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
+ 4 докладчика
Николай Мисник
директор в РЭАЦ «Эксперт»
+ 4 докладчика
Вячеслав Медведев
Ведущий аналитик отдела развития в Доктор Веб
+ 4 докладчика
Сергей Богатырев
Руководитель в Союз негосударственных служб безопасности
+ 4 докладчика
Антон Дедков
Руководитель проектов в SearchInform
+ 4 докладчика
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Глеб Косоруков
Менеджер коммерческого отдела в RuSIEM
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Андрей Арбатский
Руководитель московского подразделения отдела продаж в StaffCop
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Как не защитить данные. Реальный случай анализа инцидента»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно