Лучше поздно, чем никогда. Выкладываю свою презентацию с CISO Forum-а. Вот и я уже дошел до повторного использования некоторых слайдов в своих презентациях... Все возможнее падение до недопустимого - повторного рассказа одного и того же, но будем оптимистами!
Наибольшая ценность начинается со слайда 11 (но, конечно, предыдущее тоже не бессмысленны). Где приведены реальные Карточки выявленных инцидентов, дающие понимание как работают атакующие и как их можно обнаружить.Основная мысль всего доклада сосредоточена на слайде 21 "Послесловие". Здесь говорилось о том, что целевые атаки являются результатом эволюции "обычной малвары", что, в свою очередь, требует развития подходов безопасности:
- на смену AV приходят решения Anti-APT и Threat hunting
- вместо "продетектить точно и сразу" - "неточно (== зафиксировать аномалии) и спустя время (== предварительно понаблюдав, поскольку чтобы обнаружить атаки с использованием легальных инструментов нужно время)
- вместо полностью автоматически - с участием человека, как минимум, по причине необходимости анализа контекста (== situational awareness), - недостатки автоматики компенсируются преимуществами сервиса (работы людей)
- ну и наконец, надо сражаться не с применяемыми инструментами, коих великое множество и все чаще применяются лекальные, которые нельзя просто продетектить, а с конкретными шаблонами поведения, ТТР.
Огромную признательность выражаю моим коллегам по отделу SOC, которые, все это обнаружили и, где было необходимо, - скорректировали соответствующую автоматику для большего удобства работы в будущем :)
