Михаил Баранов

Проактивное реагирование на инциденты: уроки нейтрализации устойчивой целевой угрозы

Подробнее о спикере
 — В данный момент работает в качестве руководителя кибербезопасности и руковожу небольшой, но опытной командой
— Проектировал и развертывал решения по кибербезопасности, внедрял и управлял различными инструментами контроля безопасности, участвовал в проектах и аудитах по безопасности
— В свободное время изучает Web3

Подробное описание доклада
План доклада:
1. Раннее обнаружение аномальной активности:
— Как своевременное выявление отклонений в трафике и подозрительных событиях (даже на первый взгляд незначительных) позволяет зафиксировать начальные признаки Aтаки.
— Пример из реального инцидента, где мелкие аномалии в работе сети предвещали масштабное проникновение, что дало возможность оперативно начать расследование.

2. Эксплуатация уязвимости CVE-2021−22 205 в GitLab как входная точка для атаки:
— Механизм уязвимости, позволяющей злоумышленникам через неправильно проверяемые файлы получить удалённый доступ к инфраструктуре и затем распространяться внутри неё.

3. Анализ, корреляция событий и построение цепочки атаки:
— Роль систематического анализа логов, корреляции данных и использования threat intelligence для реконструкции хода атаки.
— Примеры того, как последовательное отслеживание действий злоумышленников помогло выявить индикаторы компрометации и смоделировать полную цепочку атаки, объясняя разницу между понятием «угроза» и «уязвимость».

4. Изоляция заражённых систем и нейтрализация угрозы:
— Основные меры по сегментации сети и оперативному изолированию инфицированных узлов для предотвращения дальнейшей экспансии атаки.

5. Уроки для управления уязвимостями и повышения безопасности:
— Как опыт данного инцидента формирует требования к проектированию систем с учётом потенциальных компромиссов между качеством, финансированием и сроками реализации.
—Важность не только превентивных мер, но и готовности к инцидентам: подготовка планов реагирования, понимание, что меры защиты могут быть преодолены злоумышленниками, и необходимость извлечения уроков из чужого опыта.

Михаил поделится своим опытом в анализе того, как на этапе проектирования можно предусмотреть как превентивные меры, так и решения на случай, если атака всё же произойдёт.

Секция: Архитектура