Презентация Ольги Пасько, engineer BAKOTECH на вебинаре Threat prevention от Palo Alto Networks – защита вашей сети от киберугроз. Часть 2 (2015/05/29).
3. 3
Ключевые этапы вебинара
современные тенденции в сети
«прорыв периметра», многоуровневые механизмы защиты от Palo Alto Networks
демонстрация обеспечения видимости трафика и защиты от Palo Alto NGFW
ответы на вопросы/задачи по предыдущему вебинару
5. 5
«Эволюция» атак, 2014 г.
1
Браузер
23 306 218
2 Обход защиты
6 026 982
3
Скрытная атака
6 424 187
SSL
9 758 310
4
5
Злоумышленное
использование сети
37 575 249
2. Методы проведения атак1. Активность вредоносного ПО
(2015 DATA BREACH INVESTIGATIONS REPORT)
6. 6
Методология проведения целенаправленной атаки
Активные действия
Разведка и управление
рабочей станцией
Доставка вредоносного
кода
Прорыв периметра
Сетевой доступ
Физический доступ
Соц. инженерия
Ошибка конфигурации
Инсайд
Уязвимость ОС/ПО
Самосохранение
Загрузка вредоносных
модулей
Эскалация привилегий
Скрытие присутствия
Кража информации
Отказ оборудования
Подмена документов
Мошенничество
12. 12
Методология проведения атаки и защита (продолжение)
Активные действия
Разведка и управление
рабочей станцией
Доставка вредоносного
кода
Прорыв периметра
невозможность выполнения одного из компонентов цепочки проведения атаки – не
дает злоумышленнику свершить атаку
14. 14
Многоуровневой подход к защите сети
Активные действия
NEXT-GENERATION
FIREWALL
Threat Prevention (IPS/IDS)
WILDFIRE
Threat Prevention
(Network Antivirus, IPS)
Разведка и управление
рабочей станцией
Доставка вредоносного
кода
Прорыв периметра
полная видимость всего
трафика и дешифрация SSL
гранулярный контроль
приложений
блокирование зараженных
файлов
сегментация ресурсов
подлежащих защите
Блокирование известных:
эксплойтов
вредоносных программ
C2-трафика
Выявление неизвестных
вредоносных программ
Выявление неизвестных
эксплойтов
Защита от эксплойтов
нулевого дня
Применение защитных
политик на рабочие
станции и мобильные
устройства
блокировка URL/ІР/доменов
с плохой репутацией
URL Filtering
NEXT-GENERATION
ENDPOINT
& GLOBALPROTECT
16. 16
Видимость трафика. SSL
• Импортированный СА
• Сгенерированный СА с помощью
встроенных средств Palo Alto NGFW
17. 17
Видимость трафика. Контроль приложений и пользователей
• Логирование URL-фильтрации
Логирование обработки
трафика
Контроль пользователей
Контроль приложений
18. 18
SSL и защита от угроз
Активные
действия
Разведка и
управление
рабочей
станцией
Доставка
вредоносного
кода
Прорыв
периметра
1. Запуск атаки с использованием SSL в сети без Palo Alto Next Generation Firewall
цель
2. Запуск атаки с использованием SSL в сети, где установлен Palo Alto Next Generation Firewall
цель
23. 23
Задачи
1. Публикация наружу сервисов.
2. Интеграция агентской части на устройства. Пример работы агента на основных платформах:
Windows, MacOS, iOS, Android. Конфигурирование агента.
3. Сопряжение сетей филиалов (Branches) на примере Site-To-Site VPN – есть ли соотв.
функционал?
4. Получение отчетности (логов) и построение отчетов. Интересуют сводные отчеты по
пользователю (куда, чем, трафик, типы), по подразделению (AD: OU&Group).
25. 25
Задача 2
1. Global Protect. Интеграция агентской части на устройства. Пример работы агента на основных
платформах: Windows, MacOS, iOS, Android. Конфигурирование агента.
26. 26
Сегментация ресурсов. Global Protect
Internal Gateway –
внутренний интерфейс
Palo Alto NGFW,
сконфигурирован как
Global Protect Gateway для
доступа к внутренним
ресурсам, подлежащим
защите.
External Gateway –
внешний интерфейс
Palo Alto NGFW,
сконфигурирован как
Global Protect Gateway для
VPN-доступа
удаленных пользователей