У вас произошел инцидент кибербезопасности? Телефон круглосуточной горячей линии: 8 (800) 100-2355.
Если авторизоваться не получается, то попробуйте восстановить пароль. Если у вас нет аккаунта на сайте, то вы можете зарегистрироваться.
Если авторизоваться не получается, то попробуйте восстановить пароль. Если у вас нет аккаунта на сайте, то вы можете зарегистрироваться.
Если авторизоваться не получается, то попробуйте восстановить пароль. Если у вас нет аккаунта на сайте, то вы можете зарегистрироваться.

Как работает хакер. Опыт отражения атак на конференции «Информзащиты»

29 июля 2021

В Санкт-Петербурге прошла выездная конференция «Информзащиты», на которой эксперты рассказали об опыте отражения кибератак на примере работы своего центра мониторинга и предотвращения киберинцидентов IZ:SOC. Целью мероприятия было продемонстрировать тактики и методы хакерских атак и представить руководителям ИБ-подразделений самые современные решения и способы обнаружения и расследования инцидентов.

В рамках мероприятия эксперты по кибербезопасности обсудили темы, касающиеся построения центра мониторинга и детектирования кибератак, защите информации значимых объектов КИИ, повышению осведомленности и многому другому.

В начале деловой программы с приветственным словом выступил директор по развитию «Информзащиты» Иван Мелехин. Слушателей познакомили с преимуществами центра противодействия кибератакам IZ:SOC, который оказывает услуги по управлению событиями информационной безопасности: от мониторинга и выявления компьютерных инцидентов до содействия в реагировании, включая оперативное управление процессом нейтрализации угрозы и минимизации возможного ущерба.

Руководитель направление расследований киберпреступлений IZ:SOC Максим Тумаков в своей презентации поделился техниками и тактиками, которые используют современные хакерские группировки при атаках на компании. Были рассмотрены действия, начиная от АРТ-атак, направленных на шпионаж, заканчивая распространением шифровальщиков и майнеров. Эксперт поделился некоторыми интересными кейсами, таких как использование серверов ВКС для взлома и веб-сервера IIS – для закрепления в инфраструктуре. Также был описан изощренный метод проникновения в систему с использованием шифрованного CobaltStrike, исполняемого в памяти за счет инжектирования кода в системные библиотки Windows.

В процессе работы с этими данными специалисты IZ:SOC выделили специфичные индикаторы компрометации , составили рекомендации по обнаружению. Докладчик подчеркнул необходимость привлечения киберспециалистов, так как способы и вектора атак постоянно эволюционируют и сложно детектируются при заражении.

Главный архитектор проектов «Информзащиты» Павел Демидов в своем докладе поднял тему защиты информации объектов КИИ (критической информационной инфраструктуры). Он рассказал о значимости бесперебойной работы промышленных предприятий и современных подходах к созданию системы защиты.

Были выделены следующие решаемые при создании системы защиты объектов КИИ задачи: определение перечня объектов КИИ, согласование со ФСТЭК России; категорирование объектов КИИ; предоставление во ФСТЭК России сведений о категорировании КИИ; выполнение требований ФСТЭК России по обеспечению безопасности КИИ; реагирование на инциденты и ликвидация последствий атак; немедленное информирование ФСБ России об инцидентах; содействие ФСБ России в части реагирования на инциденты; обеспечение сохранности и условий эксплуатации средств защиты. Также была изложена последовательность действий при создании системы защиты объектов КИИ: 1) определение объектов КИИ; 2) проведение категорирования; 3) определение требований и формирование плана достижения соответствия требованиям Закона; 4) проектирование системы безопасности объектов КИИ и проектирование центра обнаружения, предупреждения и ликвидации последствий компьютерных атак; 5) внедрение системы безопасности объектов КИИ и создание центра обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Центр мониторинга киберугроз IZ:SOC способен обеспечить полную защиту рабочих станций и серверов под управлением ОС Windows от таргетированных атак, вредоносного программного обеспечения и деструктивных действий пользователей по принципу «Все включено» (обеспечение инвентаризации инфраструктуры, анализ наличия уязвимостей и необходимости установки обновлений, обнаружение и реагирование на угрозы, расследование инцидентов, поиск следов компрометации в прошлом).