В Санкт-Петербурге прошла выездная конференция «Информзащиты», на которой эксперты рассказали об опыте отражения кибератак на примере работы своего центра мониторинга и предотвращения киберинцидентов IZ:SOC. Целью мероприятия было продемонстрировать тактики и методы хакерских атак и представить руководителям ИБ-подразделений самые современные решения и способы обнаружения и расследования инцидентов.
В рамках мероприятия эксперты по кибербезопасности обсудили темы, касающиеся построения центра мониторинга и детектирования кибератак, защите информации значимых объектов КИИ, повышению осведомленности и многому другому.
В начале деловой программы с приветственным словом выступил директор по развитию «Информзащиты» Иван Мелехин. Слушателей познакомили с преимуществами центра противодействия кибератакам IZ:SOC, который оказывает услуги по управлению событиями информационной безопасности: от мониторинга и выявления компьютерных инцидентов до содействия в реагировании, включая оперативное управление процессом нейтрализации угрозы и минимизации возможного ущерба.
Руководитель направление расследований киберпреступлений IZ:SOC Максим Тумаков в своей презентации поделился техниками и тактиками, которые используют современные хакерские группировки при атаках на компании. Были рассмотрены действия, начиная от АРТ-атак, направленных на шпионаж, заканчивая распространением шифровальщиков и майнеров. Эксперт поделился некоторыми интересными кейсами, таких как использование серверов ВКС для взлома и веб-сервера IIS – для закрепления в инфраструктуре. Также был описан изощренный метод проникновения в систему с использованием шифрованного CobaltStrike, исполняемого в памяти за счет инжектирования кода в системные библиотки Windows.
В процессе работы с этими данными специалисты IZ:SOC выделили специфичные индикаторы компрометации , составили рекомендации по обнаружению. Докладчик подчеркнул необходимость привлечения киберспециалистов, так как способы и вектора атак постоянно эволюционируют и сложно детектируются при заражении.
Главный архитектор проектов «Информзащиты» Павел Демидов в своем докладе поднял тему защиты информации объектов КИИ (критической информационной инфраструктуры). Он рассказал о значимости бесперебойной работы промышленных предприятий и современных подходах к созданию системы защиты.
Были выделены следующие решаемые при создании системы защиты объектов КИИ задачи: определение перечня объектов КИИ, согласование со ФСТЭК России; категорирование объектов КИИ; предоставление во ФСТЭК России сведений о категорировании КИИ; выполнение требований ФСТЭК России по обеспечению безопасности КИИ; реагирование на инциденты и ликвидация последствий атак; немедленное информирование ФСБ России об инцидентах; содействие ФСБ России в части реагирования на инциденты; обеспечение сохранности и условий эксплуатации средств защиты. Также была изложена последовательность действий при создании системы защиты объектов КИИ: 1) определение объектов КИИ; 2) проведение категорирования; 3) определение требований и формирование плана достижения соответствия требованиям Закона; 4) проектирование системы безопасности объектов КИИ и проектирование центра обнаружения, предупреждения и ликвидации последствий компьютерных атак; 5) внедрение системы безопасности объектов КИИ и создание центра обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Центр мониторинга киберугроз IZ:SOC способен обеспечить полную защиту рабочих станций и серверов под управлением ОС Windows от таргетированных атак, вредоносного программного обеспечения и деструктивных действий пользователей по принципу «Все включено» (обеспечение инвентаризации инфраструктуры, анализ наличия уязвимостей и необходимости установки обновлений, обнаружение и реагирование на угрозы, расследование инцидентов, поиск следов компрометации в прошлом).