УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных атак
1. Тимур Кабатаев
Начальник отдела Информационной Безопасности
ARinteg
Средства защиты от нестандартных
целенаправленных атак
1
ARinteg – Ваш гарант информационной безопасности!
2. План
• Введение
• Стандартные средства защиты
• Продвинутые средства защиты
• Успешный опыт внедрения
• Передовые технологии
• Итоги
5. 91% нацеленных атак начались адресной фишинг-
рассылки
1 миллион вредоносных приложений для
Android
1 из 5 использует Dropbox на работев 95%
компаний из списка Fortune 500
Сейчас!
Файлы/папки,
съемные носители
Почта и
сообщения
Доступ
в Веб
Смена устройств
Облачная
синхронизация
Совместная
работа
Социальные
сети
Сотрудники
Администраторы
Безопасность
6. Copyright 2014 Trend Micro Inc. 6
• Атакует ли кто-то нас или может
быть уже взломали?
• Какой ущерб?
• Какова природа атаки?
- Случайная или нацеленная
атака?
- Пытается ли избежать
детектирования?
• Как предотвратить повторение?
Ключевые вопросы:
7. Целевые атаки – миф или реальность?
Международная группировка хакеров атаковала
более 100 финансовых организаций за два года
Самая крупная атака за всю историю (1 млрд.$)
8. Злоумышленники используют все точки
проникновения
Изменяющиеся
Атаки
Мобильные устройства и ПК
Разные ОС и ПО FTP
IRC
Порт 2056
Известные
Угрозы
Неизвестные
Угрозы
Сотни протоколов
Десятки
сетевых
портов
i
i
i
i
i
i
i i
i
i
HTTP
9. Ключевые этапы современной сетевой
атаки
Приманка
1
Завлечь
использовать
специальное
ПО, открыть
файл или
перейти на
веб-сайт с
вредоносами
•Эксплоит
2
Зараженный
контент
использует
уязвимости
установлен-
ного ПО без
ведома
пользователя
•Загрузка
ПО для
«черного
хода»
3
В фоне
загружается и
устанавли-
вается второй
вредонос
Установление
обратного
канала
4
Вредонос
устанавливает
исходящее
подключение
для связи с
злоумышлен-
ником
•Разведка
и кража
данных
5
Удаленный
злоумышлен-
ник имеет
доступ внутри
сети и проводит
атаку
10. Ключевой вывод №1
Широкий спектр атаки
повышает шансы на успех
киберпреступников
Для этого им нужна всего
одна точка входа.
11. Ключевой вывод №2
Человеческий фактор – суть атаки:
Сотрудники оказываются соучастниками
злоумышленников за счет использования
изощренных методов социнженерии
12. Ключевой вывод №3
Защиты периметрическими
средствами уже не хватает.
Контроль доступа к данным
и разумность доступа к ним
требуют иного подхода.
13. «У нас уже есть межсетевые экраны и
антивирусная защита, зачем нам что-то еще?»
Стандартные средства защиты
Антивирус Windows
Firewall
14. Advanced Persistent
Threats (APT)
Изощренные угрозы обходят
существующие типы защиты
Средства защиты периметра и конечных узлов не
панацея!
Границы размыты
Нацеленные
атаки
• Более сложные
• Нацеленные
•Все чаще
• Кража ценных данных
17. Инновационные методы борьбы с
нацеленными атаками
Решения для
защиты
Встроенные
механизмы
обнаружения
изощренных угроз
2 Автоматизированное
обновление
индивидуальных
«черных списков» и
сигнатур
3
Реагирование на основе
облачных баз знаний о
существующих угрозах
4
Индивидуальная защита
Обнаружение угроз
и их анализ
Уникальные методики обеспечения
индивидуальной защиты, сбора
данных об угрозах и реагирования
1
20. Файлы/папки,
съемные носители
Почта и
сообщения
Доступ
в Веб
Смена устройств
Облачная
синхронизация
Совместная
работа
Социальные
сети
Сотрудники
Полная защита пользователя
Антивирус Шифрование
Контроль
приложений
Управление
устройствами
Защита от
утечек
Фильтрация
данных
Администраторы
Безопасность
21. Новая защита
Обнаружение
вредоносного кода
Контекстуальный
анализ угроз
Автоматические
обновления
Обнаружение
коммуникации с C&C
Выявление действий
злоумышленника
Оценка ущерба
Корпоративная
сеть
Конечные узлыШлюз электронной почты
Сторонние
решения
Администратор
сети
Безопасность
Комплексная защита
22. Какие решения обеспечивают
необходимую защиту
Продукты для всесторонней защиты физических
серверов и виртуальных машин от
традиционных атак,
неизвестных и новых атак,
а также специфичных угроз,
характерных для виртуальных
и облачных сред
24. • Известное вредоносное ПО обнаружено в 98%
случаев
• Действующие ботнеты — 94%
• Недопустимые приложения — 88%
• Вредоносные файлы нацеленные на банки —
75%
• Вредоносные документы — 75%
• Неизвестное вредоносное ПО – 49%
• Сетевые атаки — 84%
• Вредоносные приложения для Андроид — 28%
• Использование облачных хранилищ — 60%
Выявление изощренных угроз –
статистика в пилотных проектах!
25. Защиты от угроз нулевого дня в
Альфа-Банке
• Внедрение инновационных средств защиты в Альфа-Банке!
26. Поставленные задачи и достигнутые
результаты
• Анализ всех возможных протоколов, используемых вредоносными
программами и хакерами
• Выявление «поперечного» перемещения
• Обнаружение попыток взлома
• Детектирование вредоносных документов и файлов, в том числе в
почтовых вложениях
• Возможность использования индивидуальных песочниц
• Адаптивная блокировка
• Интеграция с SIEM
• Сопоставление с глобальной информацией о ландшафте угроз
• Использование аппаратной или виртуальной платформы
27. Обнаружение
Технологии обнаружения и анализа
скрытых угроз
Анализируется более
80 протоколов
Модуль Network
Content Inspection
Модуль Advanced
Threat Security
Репутация IP & URL
Виртуальный
анализатор
Модуль корреляции
сетевых данных
DNS
SQL P2P
HTTP SMTP
CIFS
FTP
-----
Эксплоиты, внедренные в
документы
Незаметная загрузка
Дропперы
Неизвестный ВПК
Доступ к C&C
Кража данных
Черви/распространение
Бекдор-активность
Передача данных наружу
Подход 360°
• Анализ содержимого
• Эмуляция открытия
документов
• Анализ «полезной
нагрузки»
• Анализ поведения
• Обнаружение
взлома
• Мониторинг сети
Расползание в сети
Взлом
Точка входа
30. Эмуляция
окружения
Извлечение и
корреляция
Методы детектирования
• Сценарии
• Взлом
• Скрипты
(JS/AS)
• Структура
файла
• «полезная
нагрузка»...
Win32 DLLs
Process
Environment
Virtual Processor
File & Registry
Simulation
• Быстрый
анализ
• Типы
документов
• Microsoft Office
• Adobe PDF
• Adobe Flash и др.
Высокий уровень
детектирования
Анализ
документов
Разбор
форматов
Эмулятор
Обнаружение
31. Smart Protection
Network
Песочница MARS
Защита от мобильных угроз
Облачная пеcочница для Android
• Сбор приложений из разных «маркетов»
(Play, Amazon, SlideMe…)
• Автоматическая загрузка неизвестных
приложений Android
• Охват большего числа приложений
• Детектирование подозрительного
поведения
• Связь с C&C
• Передача данных
• Вредоносный «довесок»
• Неправильный сертификат
• Нарушение приватности
• Права доступа…
Permission Check
Unpack
Variant
Scanning
Privacy Data Tracking
Resource Analysis
Статический
APK
Smart Protection
Network
Log Collector
Syscall
hook
Behavior
Logging
Динамический
UI
Trigger
Data
Spoofing
Анализ
32. • Результат виртуального
анализатора
• URL
• Домен
• IP:порт
• Сигнатура файла
• Глобальная база C&C
• Пользовательская база C&C
• Правила анализа данных
!
Защита от связи с C&C
Блокировка
TCP Reset
ICMP Code
DNS Spoofing
HTTP Redirect
Скрытая связь со
злоумышленником
Поведение похоже на
ботнет
Выявление троянов
TCP UDP ICMP HTTP SMTP
FTP DNS CIFS SQL
----
Анализ
протоколов
Оценка по множеству
источников
Блокировка
33. Продвинутая защита конечной точки
Защита любой конечной точки
• Отдельный агент
• OfficeScan плагин
• Режимы расследования и Live
• Совместимость с любым АВ
движком
Глубокий мониторинг
поведенияСистемные активности
Изменения критических сист.файлов, создание
Autorun в реестре, API Hooking,
самораспространение…
Эксплойт браузера
Известные эксплойты CVE, Управление
Javascript/ActiveX…
Эксплойты в документах
Вшитый шелл-код, эксплойты SWF/PDF,
подозрительные файлы OLE…
Сетевые активности
Идентификация сессий и приложений,
обнаружение ботнетов и червей…
Отправка подозрительных файлов
в песочницы на анализ
38. Почтовый шлюз
Динамические черные списки
App Server
Storage
Проверка трафика
Анализ трафика
!
SMTP relay
Web proxy
!
!
Mail Server
Endpoint
af12e45b49cd23...
48.67.234.25:443
68.57.149.56:80
d4.mydns.cc
b1.mydns.cc
...
ВПО
Движение внутри
C&C отклики
Консоль управления
Архитектура
39. Интеграция всех компонентов
Динамический черный список
App Server
Storage
Анализ трафика
!
Endpoint
af12e45b49cd23...
48.67.234.25:443
68.57.149.56:80
d4.mydns.cc
b1.mydns.cc
...
!
ScanMail
Веб-шлюз
Почтовый шлюз
Перемещение ВПО
C&C отклик 3c4çba176915c3ee3df8
7b9c127ca1a1bcçba17
Специально сформированная сигнатура
42. Преимущества современных средств
защиты от угроз нулевого дня
• Мульти-модульный анализ и корреляция
• Использование Smart Protection Network
• Индивидуальные песочницы
Динамическая безопасность
Подключи и защити
• Высокая пропускная способность
• Гибкая архитектура: HW/VM
• Оперативные расследования & индивидуальные
сигнатуры
43. Открытая архитектура
Динамический «черный» список
af12e45b49cd23...
48.67.234.25:443
68.57.149.56:80
d4.mydns.cc
b1.mydns.cc
...
3c4çba176915c3ee
3df87b9c127ca1a1b
cçba17
Индивидуальные
сигнатуры
3rd party SIEM
(CEF/LEEF)
WEB API
Web Proxy
SMTP Relay
Network
Capture
Firewall *
Notable
Characteristics
Network packet
Детектирование Профили угрозАнализ
Пользовательские
C&C
44. Центральный офис в Москве
+7 (495) 221 21 41
security@ARinteg.ru
Спасибо за внимание!
Представительство в Екатеринбурге
+7 (343) 247 83 68
Ural@ARinteg.ru
www.ARinteg.ru
Editor's Notes
В прошлом техническому департаменту было легче справляться с сотрудниками в компаниях и их деятельностью, так как они пользовались исключительно корпоративной почтой, выходили в интернет и работали локально с документами или на файловых серверах и использовали USB накопители, в 90% это были ОС Windows и Microsoft приложения.
У Вас имелся антивирус на каждой рабочей станции, один gateway и почтовый сервер и жизнь была прекрасна!
In the past, IT had an easier time dealing with employees and all their activities. Users did email, surfed the web, and created documents locally and on file servers as well as USB drives, almost exclusively using Windows and Microsoft applications.
You had av at the enpoint, gateway and mailserver. You had antispam at the mail server and gateway, and you had web url filtering at the gateway, and life was good.
Today, users are doing more activities – using mobile devices, synchronizing files to the cloud with Drop box and other applications, sharing and collaborating with others using multiple web based applications, and using social networks. The range of devices, operating systems, and client and web based applications make this a very tough environment for IT to support, let alone secure.
Сегодня, пользователи более активны, так как используют мобильные устройства, синхронизируют файлы в облаке с использованием Drop box или других приложений, обмениваются файлами и используют для этого также соц. Сети. Количество устройств, операционных систем и веб приложений дает больший спектр атаки и проникновения для злоумышленников.
У пользователей появилось больше привилегий и они создают дополнительные риски для ИБ и для бизнеса, так как сохраняют критически важные документы в Drop Box и не имеют паролей на мобильных устройствах.
В связи с этим, 91% целенаправленных атак начинаются с адресной фишинг-рассылки
Существует уже более миллионов вредоносных приложений под Андроид
Каждый пятый синхронизирует свои документы в облако
91% of targeted attacks begin with spear phishing - and they are getting more and more sophisticated (Source: Trend Micro Spear Phishing Email Most Favored APT Attack Bait, Nov 2012)
There are currently 1M malicious Android apps as of September 2013, up from 350,000 at the end of 2012 – which makes leaking information a serious risk. (Source: Trend Micro Mobile App Reputation – Blog post September 30, 2013)
1 out of 5 of 1,300 business users surveyed said they use the consumer file-sync-and-share system with work documents. (Source: according to new research by Nasuni, an enterprise storage management company. )
And, half of those Dropbox users do this even though they know it’s against the rules. (Source: Global survey of 1300 Enterprise customers: Shadow IT in the Enterprise, Natsuni, Sept 2012)
DropBox is used in 95% of the Fortune 500 (Source: Dropbox.com)
Организации сталкиваются с проблемой нестандартного вредоносного ПО как поиск иголки в стоге сена. Действительно, как определить эти атаки?
Если постоянно растет количество бизнес данных?
Если постоянно растет количество используемых приложений и спектр атаки?
Если неизвестна природа атаки?
Если нас атаковали, то какой ущерб атаки?
Как предотвратить массовое заражение и утечку данных?
Organizations face a “find needle in a haystack”” problem. Specifically, how to identify attacks that are custom built to permeate your organization and remain evasive given:
Growing Volumes of Data
Increasing quantities of business data: both in premise and in the cloud
Increasing quantities of IT and InfoSec related data and the growing
Legislative and regulatory compliance such as PCI & European Data Protection Regulation
IT & Info Sec Events
End user, application and third party driven events and service level agreements
Resource Constraints
Doing more with less
Concerns over additional workload
Complex computing environments
Existing Security Investments
Need to rationalize expenditures on Firewalls, Endpoint, Gateway, IPS and other technology
Yet the dichotomy is recognizing the new breed of attack and attacker while determining how to leverage an existing investment
Flexible Workforce & BYOD
Increase in mobile workforce
Use of uncontrolled networks and devices
Increasing prevalence of applications and computing platforms that are beyond corporate control
CISO
Defend against multiple points of attack
Constrained by budget, process & resources
Very diverse IT / Security environments
Data rich yet insight poor
Specialized expertise required to detect, analyze, adapt and remediate an attack
Spread thin: Motivated & remunerated to ensure integrity of all corporate data, assets, information and communication
APT (Advanced Persistent Threat) – целенаправленная атака, которая использует средства соц.инженерии и уязвимости нулевого дня, чтобы оставаться незамеченной после заражения сети для стандартных средств защиты и в итоге приводит к краже конфиденциальной информации и денег: номера счетов, банковских карт, реквизиты, секретные данные, переписка и многое другое
The adoption of new and varied software platforms, devices and technologies and network segments, the interaction of all these with each other in the conduct of business inevitably broadens the attack surface available for cybercriminals.
Консьюмеризация
Consumerization, the trend for new information technology to emerge first in the consumer space forcing enterprises to embrace, adapt or follow suit contributes to the inherent difficulty of keeping total control over data access. The mobile workforce culture presents additional challenges to enterprises wanting to protect their data.
Broader Attack Surface:
Remember that cybercriminals only need to find a single weakness that they can exploit, and the opportunities to do so are greater because of this.
Consumerization:
Employees carry and lose company data in their phones, they access their work mail on the road using public WiFi, they are vulnerable to shoulder surfing when they work on their laptops in public. Even the devices themselves, their sheer variety and different configurations, make data difficult to secure on a management perspective.
The Human Element
No matter how solid a company's safeguards are, all it takes is a single employee, acting innocently but unknowingly against the company's best interests, to defeat the security perimeter.
The Solution: End-to-End Protection
Any network-connected data should be able to defend themselves from attack. This holistic approach, in addition to strong employee education, should strengthen overall security.
Активное продвижение вредоносных компонентов внутри сети может оставаться незамеченным в течение длительного времени.
Если по ряду активностей выявляются взаимосвязанные инциденты (например, в течение определенного промежутка времени с некоторых точек идет попытка перебора паролей к файловым ресурсам, базам данных или используются средства администрирования, которые явно не связаны с характером работы сотрудника), то данные активности позволят выявить внутреннее перемещение по сети и вовремя пресечь проникновение кода или потерю контроля на системами и данными.
Фото: keepmywords.com
Trend supports all the leading operating systems used in the cloud. In addition, the dynamic nature of cloud means rapid change…which is why we support over 400 different Linux kernel versions and have a rapid response program for continually adding new kernel versions.
Collected from real-life POCs of Deep Discovery conducted by Trend
Образы можно построить на следующих ОС: WinXP (x32/x64); Win 7 (x32/x64); Win 8/8.1 (x32/x64); Win 2k8 (x32/x64);
Major product differentiation,
Malicious Content: Deep Discovery detects zero-day and advanced malware – including document exploits and drive-by downloads – used during the initial compromise or later C&C downloads.
Suspect Communications: Deep Discovery detects the C&C communications used by modern malware, as well as backdoor manipulations by remote attackers.
Attack Behavior: Deep Discovery detects both malware and hacker network behaviors that indicate propagation, scanning, irregular activity, and suspect data access and transmission.
Trend Micro Deep Discovery Key Features
Ability to analyze malicious traffic across several application layer protocols (HTTP, SMTP, POP3, FTP, IRC etc.). For example, emails containing embedded document exploits, drive-by downloads, and known malicious traffic.
Ability to analyze binary and document file types for unknown threats.
Communication analysis - ability to detect command and control (C&C) traffic for bots and malwares and back door activity.
Network traffic analysis for – malware propagation, network scanning, brute force attacks, service exploitation and data exfiltration.
Approved application monitoring – unapproved applications like P2P, IRC chat and streaming media detection.
Only Trend provide:
• Fully customizable scalable sandboxing
• Detection of attacker behavior
• Fully flexible deployment options
Note that McAfee and Symantec do not have an equivalent product to Deep Discovery Inspector.