Проактивное реагирование на инциденты: уроки нейтрализации устойчивой целевой угрозы
■ Подробнее о спикере — В данный момент работает в качестве руководителя кибербезопасности и руковожу небольшой, но опытной командой — Проектировал и развертывал решения по кибербезопасности, внедрял и управлял различными инструментами контроля безопасности, участвовал в проектах и аудитах по безопасности — В свободное время изучает Web3
■ Подробное описание доклада План доклада: 1. Раннее обнаружение аномальной активности: — Как своевременное выявление отклонений в трафике и подозрительных событиях (даже на первый взгляд незначительных) позволяет зафиксировать начальные признаки Aтаки. — Пример из реального инцидента, где мелкие аномалии в работе сети предвещали масштабное проникновение, что дало возможность оперативно начать расследование.
2. Эксплуатация уязвимости CVE-2021−22 205 в GitLab как входная точка для атаки: — Механизм уязвимости, позволяющей злоумышленникам через неправильно проверяемые файлы получить удалённый доступ к инфраструктуре и затем распространяться внутри неё.
3. Анализ, корреляция событий и построение цепочки атаки: — Роль систематического анализа логов, корреляции данных и использования threat intelligence для реконструкции хода атаки. — Примеры того, как последовательное отслеживание действий злоумышленников помогло выявить индикаторы компрометации и смоделировать полную цепочку атаки, объясняя разницу между понятием «угроза» и «уязвимость».
4. Изоляция заражённых систем и нейтрализация угрозы: — Основные меры по сегментации сети и оперативному изолированию инфицированных узлов для предотвращения дальнейшей экспансии атаки.
5. Уроки для управления уязвимостями и повышения безопасности: — Как опыт данного инцидента формирует требования к проектированию систем с учётом потенциальных компромиссов между качеством, финансированием и сроками реализации. —Важность не только превентивных мер, но и готовности к инцидентам: подготовка планов реагирования, понимание, что меры защиты могут быть преодолены злоумышленниками, и необходимость извлечения уроков из чужого опыта.
Михаил поделится своим опытом в анализе того, как на этапе проектирования можно предусмотреть как превентивные меры, так и решения на случай, если атака всё же произойдёт.