Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (19)
Similar to Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных атак
Similar to Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных атак (20)
More from Expolink
More from Expolink (20)
Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных атак
- 1. Тимур Кабатаев Начальник отдела Информационной Безопасности ARinteg Средства защиты от нестандартных целенаправленных атак 1 ARinteg – Ваш гарант информационной безопасности!
- 2. План • Введение • Стандартные средства защиты • Продвинутые средства защиты • Успешный опыт внедрения • Передовые технологии • Итоги
- 3. Employees В старые добрые времена.. Файлы/папки, съемные носители Почта и сообщения Доступ в Веб Сотрудники Администраторы
- 4. Employees Сейчас! Файлы/папки, съемные носители Почта и сообщения Доступ в Веб Смена устройств Облачная синхронизация Совместная работа Социальные сети Сотрудники Администраторы
- 5. 91% нацеленных атак начались адресной фишинг- рассылки 1 миллион вредоносных приложений для Android 1 из 5 использует Dropbox на работев 95% компаний из списка Fortune 500 Сейчас! Файлы/папки, съемные носители Почта и сообщения Доступ в Веб Смена устройств Облачная синхронизация Совместная работа Социальные сети Сотрудники Администраторы Безопасность
- 6. Copyright 2014 Trend Micro Inc. 6 • Атакует ли кто-то нас или может быть уже взломали? • Какой ущерб? • Какова природа атаки? - Случайная или нацеленная атака? - Пытается ли избежать детектирования? • Как предотвратить повторение? Ключевые вопросы:
- 7. Целевые атаки – миф или реальность? Международная группировка хакеров атаковала более 100 финансовых организаций за два года Самая крупная атака за всю историю (1 млрд.$)
- 8. Злоумышленники используют все точки проникновения Изменяющиеся Атаки Мобильные устройства и ПК Разные ОС и ПО FTP IRC Порт 2056 Известные Угрозы Неизвестные Угрозы Сотни протоколов Десятки сетевых портов i i i i i i i i i i HTTP
- 9. Ключевые этапы современной сетевой атаки Приманка 1 Завлечь использовать специальное ПО, открыть файл или перейти на веб-сайт с вредоносами •Эксплоит 2 Зараженный контент использует уязвимости установлен- ного ПО без ведома пользователя •Загрузка ПО для «черного хода» 3 В фоне загружается и устанавли- вается второй вредонос Установление обратного канала 4 Вредонос устанавливает исходящее подключение для связи с злоумышлен- ником •Разведка и кража данных 5 Удаленный злоумышлен- ник имеет доступ внутри сети и проводит атаку
- 10. Ключевой вывод №1 Широкий спектр атаки повышает шансы на успех киберпреступников Для этого им нужна всего одна точка входа.
- 11. Ключевой вывод №2 Человеческий фактор – суть атаки: Сотрудники оказываются соучастниками злоумышленников за счет использования изощренных методов социнженерии
- 12. Ключевой вывод №3 Защиты периметрическими средствами уже не хватает. Контроль доступа к данным и разумность доступа к ним требуют иного подхода.
- 13. «У нас уже есть межсетевые экраны и антивирусная защита, зачем нам что-то еще?» Стандартные средства защиты Антивирус Windows Firewall
- 14. Advanced Persistent Threats (APT) Изощренные угрозы обходят существующие типы защиты Средства защиты периметра и конечных узлов не панацея! Границы размыты Нацеленные атаки • Более сложные • Нацеленные •Все чаще • Кража ценных данных
- 16. Борьба с подобными угрозами требует индивидуализации решения
- 17. Инновационные методы борьбы с нацеленными атаками Решения для защиты Встроенные механизмы обнаружения изощренных угроз 2 Автоматизированное обновление индивидуальных «черных списков» и сигнатур 3 Реагирование на основе облачных баз знаний о существующих угрозах 4 Индивидуальная защита Обнаружение угроз и их анализ Уникальные методики обеспечения индивидуальной защиты, сбора данных об угрозах и реагирования 1
- 18. Антивирус Защита от атак Резидентный МСЭ Контроль целостности Анализ событий Веб- репутация Физический ЦОД Виртуальный ЦОД Частное облако Публичное облако Дополнительные компоненты защиты
- 19. 19 Поддержка всех основных ОС, используемых предприятиями
- 20. Файлы/папки, съемные носители Почта и сообщения Доступ в Веб Смена устройств Облачная синхронизация Совместная работа Социальные сети Сотрудники Полная защита пользователя Антивирус Шифрование Контроль приложений Управление устройствами Защита от утечек Фильтрация данных Администраторы Безопасность
- 21. Новая защита Обнаружение вредоносного кода Контекстуальный анализ угроз Автоматические обновления Обнаружение коммуникации с C&C Выявление действий злоумышленника Оценка ущерба Корпоративная сеть Конечные узлыШлюз электронной почты Сторонние решения Администратор сети Безопасность Комплексная защита
- 22. Какие решения обеспечивают необходимую защиту Продукты для всесторонней защиты физических серверов и виртуальных машин от традиционных атак, неизвестных и новых атак, а также специфичных угроз, характерных для виртуальных и облачных сред
- 23. Рекомендуемый комплексный подход к предотвращению угроз Снижение риска
- 24. • Известное вредоносное ПО обнаружено в 98% случаев • Действующие ботнеты — 94% • Недопустимые приложения — 88% • Вредоносные файлы нацеленные на банки — 75% • Вредоносные документы — 75% • Неизвестное вредоносное ПО – 49% • Сетевые атаки — 84% • Вредоносные приложения для Андроид — 28% • Использование облачных хранилищ — 60% Выявление изощренных угроз – статистика в пилотных проектах!
- 25. Защиты от угроз нулевого дня в Альфа-Банке • Внедрение инновационных средств защиты в Альфа-Банке!
- 26. Поставленные задачи и достигнутые результаты • Анализ всех возможных протоколов, используемых вредоносными программами и хакерами • Выявление «поперечного» перемещения • Обнаружение попыток взлома • Детектирование вредоносных документов и файлов, в том числе в почтовых вложениях • Возможность использования индивидуальных песочниц • Адаптивная блокировка • Интеграция с SIEM • Сопоставление с глобальной информацией о ландшафте угроз • Использование аппаратной или виртуальной платформы
- 27. Обнаружение Технологии обнаружения и анализа скрытых угроз Анализируется более 80 протоколов Модуль Network Content Inspection Модуль Advanced Threat Security Репутация IP & URL Виртуальный анализатор Модуль корреляции сетевых данных DNS SQL P2P HTTP SMTP CIFS FTP ----- Эксплоиты, внедренные в документы Незаметная загрузка Дропперы Неизвестный ВПК Доступ к C&C Кража данных Черви/распространение Бекдор-активность Передача данных наружу Подход 360° • Анализ содержимого • Эмуляция открытия документов • Анализ «полезной нагрузки» • Анализ поведения • Обнаружение взлома • Мониторинг сети Расползание в сети Взлом Точка входа
- 28. Виртуальный Анализатор • «Свой» образ ОС • Ускоренное выполнение • Обнаружение Anti-VM • 32/64 бит • Исполняемые файлы, документы, URL... WinXP SP3 Win7 Base Isolated Network Индивидуальная песочница «Живой» мониторинг • Интеграция с ядром (хуки, инъекции в dll) • Анализ сетевых потоков • Корреляция событий Filesystem monitor Registry monitor Process monitor Rootkit scanner Network driver Fake Explorer Fake Server Fake AV API Hooks Win7 Hardened Core Threat Simulator LoadLibraryA ARGs: ( NETAPI32.dll ) Return value: 73e50000 LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000 LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000 key: HKEY_CURRENT_USERLocal SettingsMuiCache4852C64B7ELanguageList value: key: HKEY_CURRENT_USERSoftwareMicrosoftOnheem20bi1d4f Write: path: %APPDATA%Ewadaeqawoc.exe type: VSDT_EXE_W32 Injecting process ID: 2604 Inject API: CreateRemoteThread Target process ID: 1540 Target image path: taskhost.exe socket ARGs: ( 2, 2, 0 ) Return value: 28bfe socket ARGs: ( 23, 1, 6 ) Return value: 28c02 window API Name: CreateWindowExW ARGs: ( 200, 4b2f7c, , 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2 internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050, , , 3, 0, 0 ) Return value: cc0008 ....... Модификация заражаемого файла: eqawoc.exe Инъекция в процесс: 2604 taskhost.exe Подключение к подозрительному серверу: mmlzntponzkfuik.biz ! Анализ
- 30. Эмуляция окружения Извлечение и корреляция Методы детектирования • Сценарии • Взлом • Скрипты (JS/AS) • Структура файла • «полезная нагрузка»... Win32 DLLs Process Environment Virtual Processor File & Registry Simulation • Быстрый анализ • Типы документов • Microsoft Office • Adobe PDF • Adobe Flash и др. Высокий уровень детектирования Анализ документов Разбор форматов Эмулятор Обнаружение
- 31. Smart Protection Network Песочница MARS Защита от мобильных угроз Облачная пеcочница для Android • Сбор приложений из разных «маркетов» (Play, Amazon, SlideMe…) • Автоматическая загрузка неизвестных приложений Android • Охват большего числа приложений • Детектирование подозрительного поведения • Связь с C&C • Передача данных • Вредоносный «довесок» • Неправильный сертификат • Нарушение приватности • Права доступа… Permission Check Unpack Variant Scanning Privacy Data Tracking Resource Analysis Статический APK Smart Protection Network Log Collector Syscall hook Behavior Logging Динамический UI Trigger Data Spoofing Анализ
- 32. • Результат виртуального анализатора • URL • Домен • IP:порт • Сигнатура файла • Глобальная база C&C • Пользовательская база C&C • Правила анализа данных ! Защита от связи с C&C Блокировка TCP Reset ICMP Code DNS Spoofing HTTP Redirect Скрытая связь со злоумышленником Поведение похоже на ботнет Выявление троянов TCP UDP ICMP HTTP SMTP FTP DNS CIFS SQL ---- Анализ протоколов Оценка по множеству источников Блокировка
- 33. Продвинутая защита конечной точки Защита любой конечной точки • Отдельный агент • OfficeScan плагин • Режимы расследования и Live • Совместимость с любым АВ движком Глубокий мониторинг поведенияСистемные активности Изменения критических сист.файлов, создание Autorun в реестре, API Hooking, самораспространение… Эксплойт браузера Известные эксплойты CVE, Управление Javascript/ActiveX… Эксплойты в документах Вшитый шелл-код, эксплойты SWF/PDF, подозрительные файлы OLE… Сетевые активности Идентификация сессий и приложений, обнаружение ботнетов и червей… Отправка подозрительных файлов в песочницы на анализ
- 34. Источники атаки
- 35. Корреляция
- 38. Почтовый шлюз Динамические черные списки App Server Storage Проверка трафика Анализ трафика ! SMTP relay Web proxy ! ! Mail Server Endpoint af12e45b49cd23... 48.67.234.25:443 68.57.149.56:80 d4.mydns.cc b1.mydns.cc ... ВПО Движение внутри C&C отклики Консоль управления Архитектура
- 39. Интеграция всех компонентов Динамический черный список App Server Storage Анализ трафика ! Endpoint af12e45b49cd23... 48.67.234.25:443 68.57.149.56:80 d4.mydns.cc b1.mydns.cc ... ! ScanMail Веб-шлюз Почтовый шлюз Перемещение ВПО C&C отклик 3c4çba176915c3ee3df8 7b9c127ca1a1bcçba17 Специально сформированная сигнатура
- 40. Результаты на понятном языке
- 41. Итоги: преимущества современных средств защиты
- 42. Преимущества современных средств защиты от угроз нулевого дня • Мульти-модульный анализ и корреляция • Использование Smart Protection Network • Индивидуальные песочницы Динамическая безопасность Подключи и защити • Высокая пропускная способность • Гибкая архитектура: HW/VM • Оперативные расследования & индивидуальные сигнатуры
- 43. Открытая архитектура Динамический «черный» список af12e45b49cd23... 48.67.234.25:443 68.57.149.56:80 d4.mydns.cc b1.mydns.cc ... 3c4çba176915c3ee 3df87b9c127ca1a1b cçba17 Индивидуальные сигнатуры 3rd party SIEM (CEF/LEEF) WEB API Web Proxy SMTP Relay Network Capture Firewall * Notable Characteristics Network packet Детектирование Профили угрозАнализ Пользовательские C&C
- 44. Центральный офис в Москве +7 (495) 221 21 41 security@ARinteg.ru Спасибо за внимание! Представительство в Екатеринбурге +7 (343) 247 83 68 Ural@ARinteg.ru www.ARinteg.ru
Editor's Notes
- В прошлом техническому департаменту было легче справляться с сотрудниками в компаниях и их деятельностью, так как они пользовались исключительно корпоративной почтой, выходили в интернет и работали локально с документами или на файловых серверах и использовали USB накопители, в 90% это были ОС Windows и Microsoft приложения. У Вас имелся антивирус на каждой рабочей станции, один gateway и почтовый сервер и жизнь была прекрасна! In the past, IT had an easier time dealing with employees and all their activities. Users did email, surfed the web, and created documents locally and on file servers as well as USB drives, almost exclusively using Windows and Microsoft applications. You had av at the enpoint, gateway and mailserver. You had antispam at the mail server and gateway, and you had web url filtering at the gateway, and life was good.
- Today, users are doing more activities – using mobile devices, synchronizing files to the cloud with Drop box and other applications, sharing and collaborating with others using multiple web based applications, and using social networks. The range of devices, operating systems, and client and web based applications make this a very tough environment for IT to support, let alone secure. Сегодня, пользователи более активны, так как используют мобильные устройства, синхронизируют файлы в облаке с использованием Drop box или других приложений, обмениваются файлами и используют для этого также соц. Сети. Количество устройств, операционных систем и веб приложений дает больший спектр атаки и проникновения для злоумышленников.
- У пользователей появилось больше привилегий и они создают дополнительные риски для ИБ и для бизнеса, так как сохраняют критически важные документы в Drop Box и не имеют паролей на мобильных устройствах. В связи с этим, 91% целенаправленных атак начинаются с адресной фишинг-рассылки Существует уже более миллионов вредоносных приложений под Андроид Каждый пятый синхронизирует свои документы в облако 91% of targeted attacks begin with spear phishing - and they are getting more and more sophisticated (Source: Trend Micro Spear Phishing Email Most Favored APT Attack Bait, Nov 2012) There are currently 1M malicious Android apps as of September 2013, up from 350,000 at the end of 2012 – which makes leaking information a serious risk. (Source: Trend Micro Mobile App Reputation – Blog post September 30, 2013) 1 out of 5 of 1,300 business users surveyed said they use the consumer file-sync-and-share system with work documents. (Source: according to new research by Nasuni, an enterprise storage management company. ) And, half of those Dropbox users do this even though they know it’s against the rules. (Source: Global survey of 1300 Enterprise customers: Shadow IT in the Enterprise, Natsuni, Sept 2012) DropBox is used in 95% of the Fortune 500 (Source: Dropbox.com)
- Организации сталкиваются с проблемой нестандартного вредоносного ПО как поиск иголки в стоге сена. Действительно, как определить эти атаки? Если постоянно растет количество бизнес данных? Если постоянно растет количество используемых приложений и спектр атаки? Если неизвестна природа атаки? Если нас атаковали, то какой ущерб атаки? Как предотвратить массовое заражение и утечку данных? Organizations face a “find needle in a haystack”” problem. Specifically, how to identify attacks that are custom built to permeate your organization and remain evasive given: Growing Volumes of Data Increasing quantities of business data: both in premise and in the cloud Increasing quantities of IT and InfoSec related data and the growing Legislative and regulatory compliance such as PCI & European Data Protection Regulation IT & Info Sec Events End user, application and third party driven events and service level agreements Resource Constraints Doing more with less Concerns over additional workload Complex computing environments Existing Security Investments Need to rationalize expenditures on Firewalls, Endpoint, Gateway, IPS and other technology Yet the dichotomy is recognizing the new breed of attack and attacker while determining how to leverage an existing investment Flexible Workforce & BYOD Increase in mobile workforce Use of uncontrolled networks and devices Increasing prevalence of applications and computing platforms that are beyond corporate control CISO Defend against multiple points of attack Constrained by budget, process & resources Very diverse IT / Security environments Data rich yet insight poor Specialized expertise required to detect, analyze, adapt and remediate an attack Spread thin: Motivated & remunerated to ensure integrity of all corporate data, assets, information and communication
- APT (Advanced Persistent Threat) – целенаправленная атака, которая использует средства соц.инженерии и уязвимости нулевого дня, чтобы оставаться незамеченной после заражения сети для стандартных средств защиты и в итоге приводит к краже конфиденциальной информации и денег: номера счетов, банковских карт, реквизиты, секретные данные, переписка и многое другое
- The adoption of new and varied software platforms, devices and technologies and network segments, the interaction of all these with each other in the conduct of business inevitably broadens the attack surface available for cybercriminals. Консьюмеризация Consumerization, the trend for new information technology to emerge first in the consumer space forcing enterprises to embrace, adapt or follow suit contributes to the inherent difficulty of keeping total control over data access. The mobile workforce culture presents additional challenges to enterprises wanting to protect their data. Broader Attack Surface: Remember that cybercriminals only need to find a single weakness that they can exploit, and the opportunities to do so are greater because of this. Consumerization: Employees carry and lose company data in their phones, they access their work mail on the road using public WiFi, they are vulnerable to shoulder surfing when they work on their laptops in public. Even the devices themselves, their sheer variety and different configurations, make data difficult to secure on a management perspective.
- The Human Element No matter how solid a company's safeguards are, all it takes is a single employee, acting innocently but unknowingly against the company's best interests, to defeat the security perimeter. The Solution: End-to-End Protection Any network-connected data should be able to defend themselves from attack. This holistic approach, in addition to strong employee education, should strengthen overall security.
- Активное продвижение вредоносных компонентов внутри сети может оставаться незамеченным в течение длительного времени. Если по ряду активностей выявляются взаимосвязанные инциденты (например, в течение определенного промежутка времени с некоторых точек идет попытка перебора паролей к файловым ресурсам, базам данных или используются средства администрирования, которые явно не связаны с характером работы сотрудника), то данные активности позволят выявить внутреннее перемещение по сети и вовремя пресечь проникновение кода или потерю контроля на системами и данными.
- Фото: keepmywords.com
- Trend supports all the leading operating systems used in the cloud. In addition, the dynamic nature of cloud means rapid change…which is why we support over 400 different Linux kernel versions and have a rapid response program for continually adding new kernel versions.
- Collected from real-life POCs of Deep Discovery conducted by Trend
- Network Correlation Inspection Engine 80+ protocoles analysés : HTTP, SMTP, DNS, FTP, CIFS, P2P, TCP, UDP... Extraction des fichiers Détection des exploits et des comportements suspicieux Network Content Correlation Engine Advanced Threat Security Engine Malware signature Scripted content Heuristics analysis IP & URL Reputation Virtual Analyzer 0-day Code inconnu Document Exploit
- Образы можно построить на следующих ОС: WinXP (x32/x64); Win 7 (x32/x64); Win 8/8.1 (x32/x64); Win 2k8 (x32/x64);
- Major product differentiation,
- Malicious Content: Deep Discovery detects zero-day and advanced malware – including document exploits and drive-by downloads – used during the initial compromise or later C&C downloads. Suspect Communications: Deep Discovery detects the C&C communications used by modern malware, as well as backdoor manipulations by remote attackers. Attack Behavior: Deep Discovery detects both malware and hacker network behaviors that indicate propagation, scanning, irregular activity, and suspect data access and transmission.
- Trend Micro Deep Discovery Key Features Ability to analyze malicious traffic across several application layer protocols (HTTP, SMTP, POP3, FTP, IRC etc.). For example, emails containing embedded document exploits, drive-by downloads, and known malicious traffic. Ability to analyze binary and document file types for unknown threats. Communication analysis - ability to detect command and control (C&C) traffic for bots and malwares and back door activity. Network traffic analysis for – malware propagation, network scanning, brute force attacks, service exploitation and data exfiltration. Approved application monitoring – unapproved applications like P2P, IRC chat and streaming media detection. Only Trend provide: • Fully customizable scalable sandboxing • Detection of attacker behavior • Fully flexible deployment options Note that McAfee and Symantec do not have an equivalent product to Deep Discovery Inspector.