Увидеть все

Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

Увидеть все
Руслан Иванов
Инженер-консультант по
информационной безопасности
© 2017 Cisco and/or its affiliates. All rights reserved.

Высокая мотивация
киберкриминала
Изменение
бизнес-моделей
Динамичность
ландшафта угроз
Думать как хакер
© 2015 Cisco and/or its affiliates. All rights reserved. 4

Точечные и
статичные
решения
© 2015 Cisco and/or its affiliates. All rights reserved. 5
Фрагментация
Сложность
Требуют лишнего
управления

Чего больше всего опасаются сотрудники,
отвечающие за безопасность в компаниях?

Типы угроз
• Вредоносное ПО
• Фишинг
• Атаки на инфраструктуру
• Атаки нулевого дня
• Сложные целенаправленные
угрозы
• Атаки методом грубой силы
• Уязвимости аппаратного и
программного обеспечения
• Использование
сотрудниками личных
устройств в рабочих целях
• «Теневое IT» –
несанкционированное
использование облачных
сервисов
• Нарушение политик
безопасности сотрудниками
• Недостаток осведомлённости
и некомпетентность
сотрудников
• Недостаток знаний и навыков
у ответственных за ИБ и ИТ

Типы нарушителей и атакующих
• Нет мотивации на нанесение
ущерба конкретной
организации
• Работают «по площадям»
• Используют стандартные
инструменты и технологии,
широко известные
уязвимости или наборы
уязвимостей
Внешние атакующие/нарушители
• Мотивированы на «работу»
по конкретной организации
• Используют как стандартные
инструменты и технологии,
так и могут использовать
кастомизированные
инструменты, неизвестные
широкому кругу уязвимости
или эксплуатировать новые
уязвимости

Типы нарушителей и атакующих
• Нет мотивации на нанесение
ущерба
• Урон наносится из-за
недостаточной
осведомлённости или
пренебрежения
выполнением должностных
инструкций и политик ИТ/ИБ
• Как правило, не обладают
привилегированным
доступом или такой доступ
ограничен
Внутренние нарушители или атакующие
• Есть мотивация на нанесение
максимального ущерба (обида) или
на кражу информации («крот»)
• Нанесение целенаправленного вреда
• Хорошая осведомлённость о
внутренних практиках и процедурах
• Обычно используют стандартные
общедоступные инструменты и
технологии
• Могут обладать привилегированным
доступом к множеству систем

• Сложные программные продукты, созданные квалифицированными
программистами и системными архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН
вектор атаки);
• Высокий уровень доработки продуктов для очередной кампании;
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%
приведёт к внедрению следующих уникальных модулей;
• Известно, что вредоносное ПО будут искать;
• Известно про запуск в песочницах;
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности;
• Все лучшие методологии разработки и отладки.
Что мы знаем о современном вредоносном ПО?

Прямые атаки формируют большие доходы
Более эффективны и более прибыльны

Что такое последовательность атаки?

Из чего состоит последовательность атаки?
Разведка Сбор e-mail Социальные сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного кода
Система
доставки
Приманка
Доставка Фишинг Заражение сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение на
другие ресурсы
Инсталляция
Троян или
backdoor
Повышение привилегий Руткит
Обеспечение
незаметности
Управление
Канал
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
Реализация
Расширение
заражения
Утечка
данных
Перехват
Вывод из строя
Уничтожение следов
Поддержка
Зачистка
логов

Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
Всесторонняя
инфраструктура
защиты
NGIPS
NGFW
Анализ
аномалий
Network
Anti-
Malware
NGIPS
NGFW
Host
Anti-
Malware
DNSЗащита
DNS
Защита
Web
Защита
Email
NGIPS
DNSЗащита
DNS
Защита
Web
NGIPS
Threat
Intelligence
TALOS

Последовательность атаки:
Как мы можем обнаружить сбор информации
и разведку, а также попытки доставки ВПО?
17

• В 1955-м году два американских психолога Джозеф Лифт и
Харингтон Инхам разработали технику, которая позволяет
людям лучше понять взаимосвязь между своими личными
качествами и тем, как их воспринимают окружающие
• В соответствии с методикой, названной «Окном Джохари»,
у каждого человека имеются четыре зоны
• Открытая
• Слепая
• Спрятанная
• Неизвестная
Окно Джохари

4 зоны окна Джохари
В скрытой зоне находятся
качества, известные человеку,
но неизвестные окружающим
В слепой зоне находятся качества
человека, которые известны
окружающим, но неизвестные
самому человеку
В неизвестной зоне находятся
качества, неизвестные ни
самому человеку, ни
окружающим
?
В открытой зоне
находятся качества,
известные самому
человеку и которые
признают за ним
окружающие

Открытая Слепая
Скрытая Неизвестная
Окно Джохари применительно к ИБ
Известно аналитику ИБ Не известно аналитику ИБ
Известно
другим
Не известно
другим
Другие – это пользователи, исследователи, хакеры, спецслужбы…

Обнаружение угроз в открытой зоне
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21

• Плохие файлы
• Плохие IP, URL
• Спам/Фишинговые Email
• Сигнатуры
• Уязвимости
• Индикаторы компрометации
Открытая зона
Известно аналитику
Известно
другим

• NGFW, IPS, Web/Email Security, WAF, песочницы…Решения для
обнаружения угроз
• API, pxGrid и т.п.Интерфейсы для обмена
информацией об угрозах
• Сканеры уязвимостей, SAST/DAST, Vulners, БДУ и
др.
Системы анализа
защищенности
• OpenIOC, STIX , TAXII, и т.д.Индикаторы
компрометации
Как обнаруживать известное?

Сетевая траектория – Отслеживание
Firepower NGIPS с FireAMP
Отслеживание отправителей /
получателей в континиуме
атаки
Файловая диспозиция изменилась на MALWARE
История распространения
файла
Детали
хоста

• Получение информации с ошибками;
• Отсутствие или исчезновение информации на конкретные
угрозы;
• Отсутствие учета вертикальной или региональной
специфики;
• Смена политики лицензирования:
• Смена собственника
• Поглощение компании-разработчика
• Сотрудничество со спецслужбами
• Санкции…
Риски получения данных об угрозах из одного
источника

Почему так важна Threat Intelligence сегодня?!
• Threat Intelligence – знание (включая процесс его
получения) об угрозах и нарушителях, обеспечивающее
понимание методов, используемых злоумышленниками
для нанесения ущерба, и способов противодействия им
• Оперирует не только и не столько статичной
информацией об отдельных уязвимостях и угрозах,
сколько динамической и имеющей практическое
значение информацией об источниках угроз, признаках
компрометации (объединяющих разрозненные
сведения в единое целое), вредоносных доменах и IP-
адресах, взаимосвязях и т.п.

Адреса IPv4 Домены / FQDN
Хэши (MD5,
SHA1)
URL
Транзакционные
(MTA, User-
Agent)
Имя файла /
путь
Mutex
Значение
реестра
Имена
пользователей
Адреса e-mail
Распространенные IoC

Разведка Оснащение Доставка Заражение Инсталляция
Получение
Выполнение
действий
Файл – имя
Файл
URI – URL
HTTP - GET
HTTP – User
Agent
URI – имя
домена
Адрес – e-mail
Адрес – IPv4
Файл – путь
Файл
URI – URL
Поведение
Файл – имя
Файл
URI – URL
HTTP – POST
Заголовок e-mail
– Тема
Заголовок e-mail
– X-Mailer
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – IPv4
Поведение
Ключ реестра
Win
Файл – имя
Файл
URI – URL
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – CIDR
Адрес – IPv4
Код – Бинарный
код
Процессы Win
Win
Файл – имя
Файл
URI – URL
HTTP – GET
HTTP – User
Agent
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – IPv4
Поведение
Win
Файл
URI – URL
HTTP – GET
HTTP – POST
HTTP – User
Agent
URI – имя
домена
Хеш – MD5
Адрес – IPv4
Поведение
Сервисы Win
Файл – Путь
Файл – Имя
Файл
URI – URL
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – IPv4
IoC в привязке к последовательности атаки

• Подписки (feeds) – способ представления данных об
угрозах;
• Поддержка различных языков программирования
и форматов данных:
• JSON
• XML
• CyBOX
• STiX
• CSV
• И другие
Подписки Threat Intelligence

Этапы зрелости использования подписок TI
Эпизодическое применение подписок
Регулярное использование отдельных
ресурсов с подписок
Использование платформы TI
Использование API для автоматизации
Обмен подписками

Где брать подписки?
http://atlas.arbor.net/
Инициатива Arbor ATLAS (Active Threat Level Analysis
System):
• Глобальная сеть анализа угроз (обманные системы);
• Информация берется от обманных систем (honeypot),
IDS, сканеров, данных C&C, данных о фишинге и т.д.;
• Публичная информация о Топ10 угрозах;
• Для доступа к некоторым данным требуется регистрация.
http://www.spamhaus.org
Проект для борьбы со спамом SPAMHAUS:
• Поддерживает различные базы данных (DNSBL) с
данными;
по угрозам (IP-адреса) – спамеры, фишеры, прокси,
перехваченные узлы, домены из спама;
• Реестр ROKSO с самыми известными спамерами в
мире;
• Проверка и исключение своих узлов из «черных
списков».

https://www.spamhaustech.com
SpamTEQ – коммерческий сервис Spamhaus:
• Подписки по репутациям IP- и DNS-адресов;
• Ценовая политика зависит от типа организации и
типа запрашиваемых данных;
• Годовой абонемент.
https://www.virustotal.com
Проект по борьбе с вредоносным кодом:
• Проверка файлов и URL на вредоносность;
• Бесплатный сервис;
• Система поиска.

https://www.threatgrid.com
Фиды по сетевым
коммуникациям
• IRC, DNS, IP
• Россия и Китай
• Сетевые аномалии
• RAT и банковские троянцы
• И др.
https://www.alienvault.com/open-threat-exchange
Открытое community по обмену информацией об угрозах
• IP- и DNS-адреса
• Имена узлов
• E-mail
• URL и URI
• Хеши и пути файлов
• CVE-записи и правила CIDR
Форматы:
• JSON
• CyBOX
• STiX
• CSV
• Snort
• Raw

https://www.cisco.com/security
IntelliShield Security Information Service
• Бюллетени Microsoft
• Сигнатуры атак Cisco
• Web- и обычные угрозы
• Уязвимые продукты (вендор-независимый)
http://www.malwaredomains.com
Проект DNS-BH (Black Holing)
• Обновляемый «черный» список доменов, участвующих в
распространении вредоносного кода
• Список доступен в формате AdBlock и ISA

Обнаружение угроз в слепой зоне

• Нехватка журналов
• Разрыв в процессах
• Отсутствие интеграции
• Проблемы масштабирования
• Нет корреляции
• Ложные срабатывания
Слепая зона
Неизвестно аналитику
Известно
другим

Нехватка данных для анализа
• Syslog, CDR…Логи
• Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги
• E-mail, файлы, Web-страницы, видео/аудио…Контент
• Netflow, sFlow, jFlow, IPFIX…Потоки
• Имена пользователей, сертификаты…
Идентификационные
данные

Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
ВиртуальныйЦОД
ФизическийЦОД
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Откуда брать данные?

Объединяя типы данных и места их сбора
Место
съема
данных
Источник данных
Сигналы
тревоги
Контент
Потоки
Журналы
Идентифи
кация
Интернет-
периметр
Сервер DHCP ✔
Сервер DNS ✔
DLP ✔ ✔ ✔
WAF ✔ ✔
NAC ✔ ✔
Маршрутизатор ✔ ✔
…

Объединяя типы данных и индикаторы
Категория
индикатора
Индикатор
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Системная
активность
Неудачные попытки входа ✔ ✔
Доступ к нетипичным
ресурсам
✔ ✔
Утечка данных ✔ ✔ ✔ ✔ ✔
Изменение привилегий ✔ ✔ ✔ ✔
Нетипичные команды ✔ ✔ ✔
Нетипичные поисковые
запросы
✔ ✔ ✔ ✔
…

• Elastic Search
• Log Stash
• Kibana
• Yandex ClickHouse
• Splunk
• Security Onion
• Flowplotter
• Wireshark - tshark
• Network Miner
• Snort
• Suricata
• BRO
• Flowbat
• Tcpdump
• Cisco/joy
• Cisco StealthWatch
• Cisco Investigate
• Apache Metron (ex. OpenSOC)
Средства сбора и анализа сетевой телеметрии

Единый источник коррелированной информации о DNS
Cisco Investigate
INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и
геораспределение
База пассивной инф. DNS
Вендоры -конкуренты
Not available
Not available
Not available

Где Cisco Investigate полезен?
ВРЕДОНОС
Exploit Kit или Свой код
Известная или Zero-Day уязвимость
Жестко забитые или DGA отзвоны
Порты и протоколы связи
АТАКУЮЩИЙ
Инструменты, Тактика и процедуры
Стратегия и целеполагание
Мотивация и связи
Языки и Регионы
Инфраструктура
Сети развертывания (и ASNы)
Сервера инфр-ры ( и DNS )
Выделенное IP поле
Регистрация (и Flux) Домены
НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ
Последовательность атаки
Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
ДАЛЬНЕЙШЕЕ
РАСПРОСТРАНЕНИЕ

Для слепой зоны необходима корреляция
Корреляция
Пользователи
Приложения Сеть
Физический
мир

Threat Intelligent
Platforms
• Агрегация
телеметрии из
множества
источников и
обогащение
данных
Аналитика ИБ
• OpenSOC
(Metron),
Splunk, SIEM,
ELK,
ClickHouse,
StealthWatch
Облачные
решения
• Cognitive
Threat
Analytics,
• Cisco
Investigate
• Sec-aaS
Что помогает обнаруживать угрозы в слепой
зоне?

Обнаружение угроз в скрытой зоне

• Контекст
• Корреляция событий
• Исторический контекст
• Базовый профиль (эталон)
• Анализ данных
Скрытая зона
Известно аналитику
Не
известно
другим

• У вас могут быть свои подозрительные
файлы;
• Вы можете не хотеть «делиться» вашими
анализами с другими;
• Вас может не устраивать оперативность
фидов;
• Ваш источник фидов может плохо
охватывать Россию;
• У вас собственная служба расследования
инцидентов и аналитики вредоносного кода;
• Вы сами пишете вредоносный код 
А разве подписок недостаточно?
Данные об угрозах в RSA Security Analytics
Данные об угрозах в EnCase Endpoint Security

Возможность анализа собственных угроз
https://www.threatgrid.com
Загрузка собственных угроз
• С помощью API в облако
• С помощью API на локальное
устройство on-premise
• Вручную через портал
https://malwr.com
Сервис анализа вредоносного кода
• Базируется на VirusTotal и Cuckoo Sandbox
• Бесплатный

• Активы/Сеть
• Сетевая топология
• Профиль актива
• Адрес/местоположение
• Аппаратная платформа
• Операционная система
• Открытые порты/Сервисы/Протоколы
• Клиентское и серверное ПО и его версия
• Статус защищенности
• Пользователь
• Местоположение
• Профиль доступа
• Поведение
Что мы знаем и не знают другие?
Файл/Данные/Процесс
Движение
Исполнение
Метаданные
Источник
«Родитель»
Репутация
Безопасность
Точечные события
Телеметрия
Ретроспектива

МСЭ / NGFW / NAC
IDS / IPS
NBAD
AV / BDS
SIEM / LM
X
X
X
X
Откуда эти данные взять?
X
Фильтрация контента
И еще ОС, СУБД,
сетевые и прикладные
службы и сервисы…

Источники данных для анализа
Внутренние
• Телеметрия (Netflow, DNS,
PCAP, syslog, телефония, GSM и
т.п.)
• Критичные ресурсы
• СКУД (местоположение, GSM,
CCTV, бейджи и т.п.)
• Данные о персонале (HR,
проверки СЭБ и т.п.)
Внешние
• Данные от
правоохранительных органов
• Банковские выписки
• Выписки ДМС, медосмотры

• Неудачные попытки входа в системы
• Доступ к нетипичным ресурсам
• Профиль сетевого трафика
• Утечки данных (по объему, типу сервиса и контенту)
• Нетипичные методы доступа
• Изменение привилегий
• Нетипичные команды
• Нетипичные поисковые запросы
Выбрать индикаторы

• Модификация логов
• Нетипичное время доступа
• Нетипичное местонахождение
• Вредоносный код
• Модификация или уничтожение объектов ИТ-инфраструктуры
• Поведение конкурентов и СМИ
• Необычные командировки и персональные поездки
Примеры индикаторов

• Негативные сообщения в социальных сетях
• Наркотическая или алкогольная зависимость
• Потеря близких
• Проигрыш в казино
• Ухудшение оценок (review)
• Изменение финансовых привычек (покупка дорогих вещей)
• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)
Примеры индикаторов

От данных к анализу информации
Данные Информация Знания

Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение

Время,
Репутация,
Пользователь ‘Гость’
вероятно был
инфицирован в 2:03,
посещая 64.25.1.2, затем
контактировал с сервером
C&C в 8:32

Время,
Репутация,
Пользователь ‘Гость’
вероятно был
инфицирован в 2:03,
посещая 64.25.1.2, затем
контактировал с сервером
C&C в 8:32
Пользователь ‘Гость’,
использовавший планшет на
базе Windows 8.1 был
инфицирован в 2:03, посещая
64.25.1.2 (nyt.com), из
гостевой беспроводной
сети, контактировал с
сервером C&C
(инфраструктура Shamoon)
в 8:32

Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и оценка
состояния
Кто
Соответствие
нормативам

Что
Когда
Где
Как
Дверь в
сеть
Контекст
Обмен
данными
Контекст очень помогает в скрытой зоне

Netflow
NGIPS
Lancope StealthWatch
AMP
CTA
FireSIGHT Console
CWS
WSA
ESA
FirePOWER Services
ISE это краеугольный камень сквозной сетевой
безопасности Cisco
ISE
Как ЧтоКтоГдеКогда
Во время ПослеДо

Безопасность начинается с понимания окружения

Профилирование с помощью Cisco ISE
Feed Service
(Online/Offline)
Netflow DHCP DNS HTTP RADIUS NMAP SNMP
CDP LLDP DHCP HTTP H323 SIP MDNS
ACTIVE PROBES
DEVICE SENSOR
1.5
million
550+
250+
1,5М устройств и 50
аттрибутов на каждого
Предустановленных
профилей + фиды
Профилей для
специализированных
устройств
Cisco ISE
Cisco Network

Гибкие методы классификации
Динамические
Статичные
VPN
V. Port
Profile
IP Address VLANsSubnets
L3
Interface
Port
ACI (App-
Centric)
Идеально для
пользовательских и
мобильных устройств
Пользовательские
устройства
Политики на основе
топологии и ресурсов
Внутренние ресурсы
Партнёры и иные
третьи лица
Внешние ресурсы
StaticDynamic
SGT #1
SGT #2
SGT #3
SGT #4
Виртуальные машины
Passive ID
(Easy
Connect)
MAB,
Profiling
802.1X.
WebAuth
pxGrid &
REST APIs

Модуль ‘Visibility’ для Anyconnect – обнаружение
приложений
Cisco Anyconnect с
модулем‘Network Visibility’
IPFIX/NetFlow
Collector
КСПД Public
Прозрачность
процесс, хэши, URL, и т.д.
Контекст
для поведенческого анализа
Контроль
допуск на основе политик безопасности

Что помогает обнаруживать угрозы в скрытой
зоне?
Визуализация
• Траектория
файлов
• Вектора атак
• Имитация пути
злоумышленника
Аналитика ИБ
• Пользовательские
запросы в
OpenSOC
(Metron), Splunk,
другие SIEM,
Yandex ClickHouse,
ELK
Контекст
• Identity Firewall
• NGFW
• NAC
• ISE
• Информация об
уязвимостях

Визуализация угрозы

• Threatcrowd.org позволяет
организовать поиск
взаимосвязей между IOCs:
• IP-адреса
• Доменные имена
• Хеши файлов
• Имена файлов
• Аналогичную задачу можно
реализовать с помощью
OpenDNS, Maltego, а также
OpenGraphitti
Визуализация скрытых связей

Визуализация скрытых связей
OpenGraphitti

Обнаружение угроз в неизвестной зоне

• Выпадающие события /
«Черный лебедь»
• Аномальное поведение
• 0-Days
• Нет сигнатур/решающих
правил
Неизвестная зона
Не известно аналитику
Не
известно
другим

Выпадающие события типа «чёрный лебедь»
«В России такого никогда не было и вот опять повторилось»
В. С. Черномырдин

Обнаружение угроз в неизвестной зоне
Неизвестное
неизвестное
Анализ
поведения
Машинное
обучение
Статистический
анализ

Обнаружение аномалий и классификация
событий
Обнаружение
аномалий
• Скажи мне если
произойдет что-
то необычное
Классификация
• Скажи мне когда
ты увидишь
нечто, похожее
на это

Анализ сетевой телеметрии Netflow (jFlow, sFlow,
IPFIX) – путь к самообучаемым сетям
Использование шаблонов сетевых потоков для поиска угроз
Мощный источник информации для каждого
сетевого соединения
Каждое сетевое соединения
в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты,
время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент
для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n семплов

Кто КудаЧто
Когда
Как
Откуда
Больше контекста
Высокомасштабиуремый сбор
Высокое сжатие => долговременное
хранилище
NetFlow с точки зрения контекста

С помощью NetFlow можно обнаруживать не столько
известные угрозы, сколько аномалии
Стадия атаки Обнаружение
Использование уязвимостей
Злоумышленник сканирует IP-адреса и порты для поиска
уязвимостей (ОС, пользователи, приложения)
1
 NetFlow может обнаружить сканирование диапазонов IP
 NetFlow может обнаружить сканирование портов на
каждом IP-адресе
Установка вредоносного ПО на первый узел
Хакер устанавливает ПО для получения доступа
2
 NetFlow может обнаружить входящий управляющий
трафик с неожиданного месторасположения
Соединение с “Command and Control”
Вредоносное ПО создает соединение с C&C серверами
для получения инструкций
3
 NetFlow может обнаружить исходящий трафик к
известным адресам серверов C&C
Распространение вредоносного ПО на другие узлы
Атака других систем в сети через использование
уязвимостей
4
 NetFlow может обнаружить сканирование диапазонов IP
 NetFlow может обнаружить сканирование портов на
каждом IP-адресе внутреннего узла
Утечка данных
Отправка данных на внешние сервера
5
 NetFlow может обнаружить расширенные потоки (HTTP, FTP,
GETMAIL, MAPIGET и другие) и передачу данных на внешние
узлы

Сетевое обнаружение аномалий (NBAD)
Cisco StealthWatch
Concern Index отслеживает хосты, компрометирующие сеть
• File Sharing Index показывает активность пиринговых сессий
• Target Index показывает хосты являющиеся жертвами вредоносной активности
• Отчёты по группам хостов выдают сетевые шаблоны и шаблоны приложений
Отчет по
приложениям
Inbound/Outbound
Отчет по трафику

StealthWatch – внутренние нарушители и угрозы
• Неавторизованный доступ: попытка нарушения политик, блокирована на МСЭ
• Внутренняя разведка: Concern Index событие , сканирование на порту tcp/445
• Накопление данных: передача больших объемов данных через сеть
– Подозрение на накопление данных – хост загружает данные со многих других хостов
– Таргетированный вывод данных– Хост выкачивает большой объем данных через
множество других хостов
• Утечка данных: идентификация подозрительной передачи данных через
Интернет-периметр в течение длительного времени

Обработка Индикаторов компрометации (IoCs)
Идентификация подозреваемых в заражении Malware хостов в группах клиентских
машин
• Визуализация распространения заражения
Malware с помощью Worm Tracker
– Основные и вторичные заражения
– Сканируемые подсети
• Применение контекстно-насыщенной телеметрии от ISE для понимания
вовлеченных пользователей
• Узнать все ли хосты затронуло изначальным заражение

Моделирование и контроль Business Critical процессов в
Cisco StealthWatch
PCI Zone Map
Общий профиль
системы
Межсистемное
взаимодействие

Машинное обучение (искусственный интеллект)
Известные
варианты
угроз
Автоматическая
классификация
Неизвестные
угрозы
Полностью
автоматическое
обучение
Автоматическая
интерпретация
результатов
Глобальная
корреляция по
всем источникам
IoC по одному или
нескольким
источникам
Один источник
(DNS, e-mail, web,
файл и т.п.)
1-е поколение
2-е поколение
3-е поколение • Машинное обучение –
не панацея
• Интернет движется к
тотальному шифрованию
• Злоумышленники
остаются незамеченными –
стеганография
• За искусственным
интеллектом в ИБ – будущее

Как работает самообучающаяся сеть?
Обнаружение путей
прохождения трафика
Создание карты IP-
адресов
Изучение изменений в
путях, объёмах,
шаблонов, зависимости
от времени суток
Обнаружение
приложений с помощью
NBAR и DPI
Учимся отличать плохое
от хорошего
Точное обнаружение
аномалии; оператору
отправляем запрос на
реагирование
3
2
6
4
1
5

Опыт Cisco: необходимо комбинировать
методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

Открытая
• NGFW / NGIPS
• Защита от вредоносного ПО
• Спам-фильтры
• Безопасность Web
Слепая
• Платформы Threat Intelligence
• Аналитика Big data
• Корреляция
• Облачные решения
Скрытая
• Визуализация
• Пользовательские запросы
Неизвестная
• Машинное обучение
• Статистический анализ
• Анализ сетевого поведения
Подводим итоги
Известно аналитику Не известно аналитику
Известно
другим
другим

Открытая
• NGFW / NGIPS
• Защита от вредоносного ПО
• Спам-фильтры
• Безопасность Web
Слепая
• Платформы Threat Intelligence
• Аналитика Big data
• Корреляция
• Облачные решения
Скрытая
• Визуализация
• Пользовательские запросы
Неизвестная
• Машинное обучение
• Статистический анализ
• Анализ сетевого поведения
Подводим итоги
Известно аналитику ИБ Не известно аналитику ИБ
Известно
другим
другим

Тот, кто знает, когда он может сражаться,
а когда не может, будет победителем.
Сунь Цзы, «Искусство войны»

000011111
110
Интегрированная защита от угроз – это единственный
путь обнаружить и остановить продвинутые угрозы
000011111
110
TalosTalos
Мобильное ВиртуальноеEndpoint
СетьОблако
Email
и Web
Точечное Постоянное
Advanced Threats
Sandboxing
Web
Global IntelligenceTal
os
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP
Anomaly DetectionAnomaly Detection
Sandboxing
Advanced Threats
DNS, IP & BGP
Shadow IT &
Data
Global IntelligenceTal
os
NGIPS &
NGFW
Identity & Access
Control
Email
Web
Среднее время обнаружения с
Cisco: 17 часов
Среднее время обнаружения
без Cisco: 200 дней

#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia

Пишитенаsecurity-request@cisco.com
Бытьвкурсевсехпоследнихновостейвампомогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

Увидеть все

More Related Content

What's hot

Similar to Увидеть все

More from Cisco Russia

Увидеть все