Palo Alto Networks approach to stop APT with next technologies: WildFire Traps NGFW Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html

1. Разоблачить невидимое:
Обнаружить и остановить APT
Ноябрь 2014
Денис Батранков

2. О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы

3. Текущие угрозы
Организованные
хакеры
Растущее
число атак
Сложность
Задачи руководителя ИБ
Вносить
исправления в
процессы
Предотвратить
атаки на
периметре в
облаке и на
мобильных
устройствах
Связать воедино
сигналы от
средств
безопасности
Успех несмотря на
ограниченные
ресурсы у службы
безопасности
Избавить сотрудников от стрессовых ситуаций

4. Угрозы стали нормальным фоном в работе
Необходимые утилиты в общем доступе
Сложные и многоплановые
Использование пользовательских
приложений
SSL шифрование
Перемещения червей внутри сети
Известные угрозы
Риск в компании
Эксплойты/уязвимости нулевого
дня
Неизвестное и изменяющееся ПО
Обходящие защиту каналы
управления/туннелирование
Ограниченный список
известных протоколов
Явные
Известный вредоносный код и
эксплойты
Известные уязвимости
Известные сервера
управления
РАНЬШЕ СЕГОДНЯШНИЕ APT

5. Сдвиги в базовом ИТ ведут к взрывному интересу
хакеров
Соц. сети
SaaS Новые продукты
Облака и
виртуализация
Мобильность и
удаленная работа
Шифрование
Столько новых
возможностей для
хакеров
Атаки все проще реализовать

6. Целевая атака – APT в действии
Получение доступа
Заражение
партнера
занимающегося
кондиционирова
нием
Установка ПО
для управления
Вывод нужной
информации
скрытыми
каналами
Обследование
Выбор целей
Сбор данных и
укрепление в
новых
сегментах сети
Проникновение в
сеть с
украденным
паролем

7. О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы

8. Техники уклонения от защиты развиваются
– системы защиты тоже должны
1. Распространение
вредоносного ПО или
нелегитимного трафика
через открытые порты
§ нестандартное использование
стандартных портов
§ создание новых
специализированных протоколов
для атаки
2. Использование
стандартных протоколов
на нестандартных портах –
уклонение от сигнатурного
сканирования
• Port
80
• IRC
signatures Port
10000
Port
80
HTTP

9. Что передается через зашифрованные каналы туда и обратно?
Применение шифрования:
• SSL
• Специальные протоколы
шифрования

10. Пример: использование туннелирования поверх DNS
Примеры
§ tcp-over-dns
§ dns2tcp
§ Iodine
§ Heyoka
§ OzymanDNS
§ NSTX
Использование рекурсивных запросов для передачи инкапсулированных
сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту

11. Почему традиционные антивирусы не справляются
Современный вредоносный код может:
§ Обойти ловушки антивирусов создав специальный целевой вирус под
компанию
§ До того как антивирус создаст сигнатуру он будет уклоняться, используя
полиморфизм, перекодирование, используя динамические DNS и URL
☣ Целевое создание под компанию
☣ Полиморфизм
☣ Неизвестный еще никому код
Сложно защититься

12. Для защиты важны первые 24 часа
9,000
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
0
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
Часы
95% заражений конкретным видом кода в
первые 24 часа

13. Текущие методы не работают
Anti-APT для
порта 80
Anti-APT для
порта 25
Хостовой AV
Облачная защита DNS
Сетевой AV
DNS защищен
для исходящих
запросов
Интернет
Anti-APT облако
Корпоративная сеть
UTM
DNS Alert
Endpoint Alert
Web Alert
SMTP Alert
SMTP Alert
SMTP Alert
SMTP Alert
Web Alert
DNS Alert
DNS Alert
SMTP Alert
APT
Web Alert
Web Alert
AV Alert
AV Alert
Web Alert
DNS Alert
SMTP Alert
Endpoint Alert
Только обнаружение Много событий Нужен человек для анализа
Vendor 1
Vendor 2
Internet
Connection
Vendor 3
Vendor 4
Malware
Intelligence

14. О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы

15. Понимание проникновения - по шагам
Взлом периметра
Начальная
компрометация
Установка
вредоносного
кода
Вредоносный код
устанавливается и
соединяется с
атакующим
Управление Вывод данных
рабочей станцией
Проникновение
глубже и заражение
других хостов
Кража
интеллектуальной
собственности
Предотвращение возможно на каждом шаге атаки

16. Задача: Обнаружить и отбить атаку
Автоматически
определять
неизвестную атаку и
делать ее известной
всем
Блокировать угрозы
на:
• Периметре
• ЦОД
• Между
виртуальными
машинами/VDI
• Мобильных и
стационарных
станциях
Полный цикл
защиты
Обмен информацией
о новых видах
вредоносного кода
защищает всех
заказчиков по всему
миру
Предотвращение
во всей сети
Обнаружить
неизвестную
атаку, остановить
известные

17. Пять подходов Palo Alto Networks
к блокированию APTs
Платформа безопасности может обнаруживать и блокировать атаки на
каждом этапе 1 проникновения в сеть.
2
3
4
5
Полностью видеть приложения использующие сеть вне зависимости
от методов сокрытия.
Разрешить только необходимые приложения для работы компании –
минимизирует возможности атакующего.
Создать собственную закрытую сеть обмена о новом вредоносном
коде между заказчиками по всему миру.
Конечные устройства, виртуальная инфраструктура мобильные
устройства являются следующей целью стратегии ИБ.

18. О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы

19. Настоящий платформенный подход
Автоматическая
защита и
подготовка
материала для
расследования
Сеть Хост
Традиционное ИТ Облака
Мобильные устройства
Public
Cloud
Private
Cloud
SaaS
Определить,
ограничить и
расшифровать
приложения
Обнаружить и
предотвратить
известные и
неизвестные
вирусы
Облако угроз

20. Palo Alto Networks и APT
Кража данных
ОПЕРАЦИЯ ВЗЛОМ ПЕРИМЕТРА ПРИСЛАТЬ КОД С ХОСТОМ
Next Generation Firewall
Предотвращение угроз (IPS)
URL Filtering
WildFire
Сетевой антивирус
Поведенческий контроль
(URL, DNS, IP)
TRAPS - защита хоста и
GlobalProtect
§ Обзор всего трафика и
выборочное расшифрование
SSL
§ Пропуск только нужных
приложений
§ Пропуск только нужных
типов файлов
Блокировка известных:
§ Эксплойтов
§ Вредоносных программ
§ Систем управления ботами
§ Обнаружение
неизвестного
вредоносного кода
§ Обнаружение
неизвестных эксплойтов
§ Обнаружение
неизвестных центров
управления
§ Блокировка zero-day
эксплойтов без знания об
уязвимости
§ Расширить политику и
защиту на все устройства
включая мобильные
§ Контроль всех процессов и
сторонних приложений
безопасности на хостах
§ Блокировать плохие
URLs, домены, IP адреса

21. Платформа безопасности нового поколения
Palo Alto Networks
Next-Generation Threat Cloud
Palo Alto Networks
Next-Generation Endpoint
Next-Generation Firewall
§ Инспекция трафика
§ Контроль приложений и
пользователей
§ Защита от угроз 0-ого дня
§ Блокировка угроз и вирусов на
уровне сети
Palo Alto Networks
Next-Generation Firewall
Next-Generation Threat Cloud
§ Анализ подозрительных файлов
в облаке
§ Распространение сигнатур
безопасности на МЭ
Next-Generation Endpoint
§ Инспекция процессов и файлов
§ Защиты от известных и неизвестных угроз
§ Защиты стационарных, виртуальных и
мобильных пользователей
§ Интеграция с облачной защитой от угроз

22. О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы

23. Разрешить нужные приложения,
нужным пользователям и для нужного контента

24. Сделайте межсетевой экран важным инструментом
для контроля бизнес процессов в сети
Приложения: Классификация трафика
приложений в сети - App-ID.
Пользователи: Связать пользователей и
устройства с приложениями которыми они
пользуются - User-ID и GlobalProtect.
Содержимое приложений: Сканировать
контент - Content-ID and WildFire.

25. Однопроходная архитектура = параллельная работа
движков защиты

26. О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы

27. WildFire – специализированная виртуальная среда
3000+ пользователей
Защита улучшается по
мере работы и
блокирует сразу
Собираются данные из:
Web
WildFire
Обнаруживает
неизвестные
§ Вредоносный код
§ Эксплойты
§ Центры управления ботами
§ DNS запросы
§ Вредоносные URL
WildFire Threat
Prevetntion
URL
Filtering
All ports
Email
SSL encryption All traffic
Perimeter
All commonly
exploited file types
3rd party data
Data center
Endpoint
FTP
SMTP
SMB

28. Основные техники работы WildFire
Этап III
Этап IV
Исполняем в спец среде
Анализ без исполнения Найти неизвестный вредоносный
код анализируя 130+ типов
вредоносного поведения
Создать защиту
Этап I
Подозрительные
файлы идущие
по различным
приложениям
отправляются
сенсорами в сети
в единую
платформу
анализа
Этап II
Точно хорошие?
Статический анализ
PDF, Microsoft Office,
Java и Android APKs
Динамический анализ
Списки хороших
Подписаны
доверенным
сертификатом
Внедренные файлы
Внедренный код
Аномалии структуры
Внедренный шелкод
Сетевой трафик
Файловая активность
Процессы и сервисы
Изменения реестра
Создать защиту
… …

29. WildFire облачная архитектура
Подход WildFire § Легкая интеграция
Песочница для WEB
WildFireTM
WildFire облако или
свое устройство
Песочница для email Песочница для файл-сервера
Ручной анализ
Центр управления
Подход к частной защите от APT
WF-500
§ Легко расширяется
§ Эффективное
расходование
средств
§ Перехват файлов
на NGFW и
отправка в WildFire
§ Отправка файлов
в WildFire через
XML API
§ Сложно управлять
§ Сложно масштабировать
§ Дорого
§ Множество устройств для
перехвата файлов из
разных приложений

30. Wildfire: Remote Access Trojan (RAT) в Arcom
§ WildFire обнаружил целенаправленную атаку на крупную производственную
компанию в центральной Азии
§ Вредоносное ПО было предназначено для промышленного шпионажа и
кражи данных
§ Строит обратный канал
§ Принимает более 40 команд от центра управления
§ Было отправлено как фишинговое электронное письмо
§ “The end of Syrian President Bashar al-Assad.exe”
§ Не использовался внешний упаковщик
§ Обычно для целенаправленных атак
• Для маскировки код
инжектировался в браузер
по умолчанию и notepad.exe 7
• Command&Control в Ливан7

31. Сравнение работы Wildfire с обычными антивирусами
100%
80%
60%
40%
20%
0%
% вредоносного кода неизвестного антивирусным
вендорам
60% от вредоносного кода
найденного WildFire
неизвестно традиционным
вендорам антивирусов
40% вредоносного
кода найденного
WildFire еще
неизвестно
вендорам
антивирусов
Day 0 Day 1 Day 2 Day 3 Day 4 Day 5 Day 6 Day 7

32. Корреляция угроз в облаке
C2
14.17.95.XXX
Match & block
Enterprise
London
Malicious
executable
C2
14.17.95.XXX
Match & block
1 Enterprise
Singapore
2
Malicious
Android APK

33. Корреляция угроз в облаке
Known C2
Malware
Exploit
DNS
Download URL
Known C2
Malware
Exploit
DNS
Download URL
Match & block Match & block
Malicious
executable
Malicious
Android APK

34. Облачная защита нового поколения
Облако знаний
WildFire Threat Prevention URL Filtering
Malware Exploits Malicious
URLs
DNS
queries
Command-and-
control
3000
WildFire
заказчиков
уже
делают
мир лучше
13500
заказчиков
пользуются
результатами
исследований
Исследовательская работа

35. Информация из облака идет на NGFW
благодаря WildFire
AV Signatures DNS Signatures Malware URL Filtering Anti-C&C Signatures
Threat Intelligence
Sources
WildFire Users

36. Что дает подписка на сервис WildFire
NGFW получает WildFire сигнатуры
каждые 15 минут
Все отчеты и описания работы
вредоносного кода в устройстве
Специальный REST API для
загрузки файлов на проверку

37. Использование встроенного WildFire API
§ WildFire API может быть использован чтобы интегрироваться с
выбранным агентом использующим какие-то свои скрипты для анализа
файлов
§ Отчеты для расследований в XML формате могут автоматически
забираться из хранилища журналов WildFire через этот API. Это полезно
если вы ставите задачу
§ Коррелировать IP и URL из отчета с другими журналами IP/URL
§ Коррелировать DNS и журналы DNS
§ Проверять агентами, что заражение было
§ Использовать хеш и другие параметры атаки для анализа
§ Автоматически отдавать файлы для анализа в Wildfire с клиентов
§ API позволяет интегрироваться с другими системами автоматизации и
оркестрации

38. TRAPS - Next-Generation Endpoint Protection
Защита рабочей станции пользователя
Не просто обнаружить, а
Forensic data
предотвратить!
Exploit traps
injected in
process
No scanning
or monitoring
File collected
opened
Process
killed
Blocked
before malware
is delivered

39. Пример цепочки доставки эксплойта
IE Zero-Day CVE-2014-1776
Подготовка Запуск Внедрение Работа Вредоносная
Heap-spray Use After Free ROP
Utilizing OS
functions
активность
Предотвращение хотя бы одной из
техник блокирует всю атаку

40. Уверенность в завтрашней защите
Останавливаем сегодня завтрашние атаки!
March
2012
EP- Series
Первый
релиз
June
2013
NetTraveler
Campaign
The “Mask”
Campaign
April
2014
Без
обновлений!
Будущие Zero-Days
February
2014
IE- Zero Days
CVE-2014-1776
CVE-2014-032

41. О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы

42. Как вы боретесь с неизвестными
угрозами?
2014 Page 42 | © 2007 Palo Alto Networks. Proprietary and Confidential .

43. • 1. Пускаем только нужные и известные приложения
Forrester Zero Trust Model
• А) Разрешаем явный доступ всем необходимым приложениям
• Б) Запрещаем все остальное

44. 2. Межсетевой экран нового поколения
Многоэшелонированая защита
App-ID
URL
IPS
Threat License
Spyware
AV
Files
WildFire
Block 7
high-risk apps7
Block 7
known malware
sites7
Block 7
the exploit7
Block malware7
Prevent drive-by-downloads
7
Detect unknown
malware7
Block C&C on
non-standard
ports7
Block malware,
fast-flux domains7
Block spyware,
C&C traffic7
Block new C&C
traffic7
Координи-
рованное
интеллек-
туальное
блокирование
активных атак
по сигнатурам,
источникам,
поведению
Приманка • Эксплоит
• Загрузка ПО
для «черного
хода»
Установление
обратного
канала
• Разведка и
кража
данных
Этапы
атаки

45. 3. Анализируем поведение - блокируем вредоносное
Технология WildFire
Internet
• Анализируем протоколы SMB, FTP,
HTTP, SMTP, POP3, IMAP
• Анализируем файлы exe, dll, bat, sys,
flash, jar, apk, doc, pdf и т.д.

46. 4. Отслеживаем «репутацию» DNS, URL и IP
Репутационная база данных

47. 5. Не создаем пробок
• Обеспечиваем заданную производительность при
всех включенных сервисах безопасности

48. Платформа безопасности нового поколения
Palo Alto Networks
Next-Generation Threat Cloud
Palo Alto Networks
Next-Generation Endpoint
Next-Generation Firewall
§ Инспекция трафика
§ Контроль приложений и
пользователей
§ Защита от угроз 0-ого дня
§ Блокировка угроз и вирусов на
уровне сети
Palo Alto Networks
Next-Generation Firewall
Next-Generation Threat Cloud
§ Анализ подозрительных файлов
в облаке
§ Распространение сигнатур
безопасности на МЭ
Next-Generation Endpoint
§ Инспекция процессов и файлов
§ Защиты от известных и неизвестных угроз
§ Защиты стационарных, виртуальных и
мобильных пользователей
§ Интеграция с облачной защитой от угроз