5. • Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%
приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном
вредоносном ПО?
6. К чему это приводит?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных
вторжений
Ponemon
206
HP
416
Symantec
305
7. Как защититься от киберугроз?
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные
8. • В 1955-м году два американских психолога Джозеф Лифт и
Харингтон Инхам разработали технику, которая позволяет
людям лучше понять взаимосвязь между своими личными
качествами и тем, как их воспринимают окружающие
• В соответствии с методикой, названной «Окном Джохари»,
у каждого человека имеются четыре зоны
• Открытая
• Слепая
• Спрятанная
• Неизвестная
Окно Джохари
9. 4 зоны окна Джохари
В скрытой зоне
находятся качества,
известные человеку,
но неизвестные
окружающим
В слепой зоне
находятся качества
человека, которые
известны окружающим,
но неизвестные
самому человеку
В неизвестной зоне
находятся качества,
неизвестные ни
самому человеку, ни
окружающим
?
В открытой зоне
находятся качества,
известные самому
человеку и которые
признают за ним
окружающие
10. Открытая Слепая
Скрытая Неизвестная
Окно Джохари применительно к ИБ
Известно аналитику ИБ Не известно аналитику ИБ
Известно
другим
Не
известно
другим
Другие – это исследователи, хакеры, спецслужбы…
12. Плохие файлы
Плохие IP, URL
Спам/Фишинговые Email
Сигнатуры
Уязвимости
Индикаторы компрометации
Открытая зона
Известно аналитику
Известно другим
13. • NGFW, IPS, Web/Email Security, WAF,
песочницы…
Решения для
обнаружения угроз
• API, pxGrid и т.п.
Интерфейсы для обмена
информацией об угрозах
• Сканеры уязвимостей, SAST/DAST, Vulners,
БДУ и др.
Системы анализа
защищенности
• OpenIOC, STIX , TAXII, и т.д.
Индикаторы
компрометации
Как обнаруживать известное?
15. • Получение информации с ошибками
• Отсутствие или исчезновение информации на конкретные
угрозы
• Отсутствие учета вертикальной или страновой специфики
• Смена политики лицензирования
• Смена собственника
• Поглощение компании-разработчика
• Сотрудничество со спецслужбами
• Санкции…
Риски получения данных об угрозах из одного
источника
16. Вы доверяете своему вендору?
16 апреля 2015 года
http://www.zdnet.com/article/pal
o-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии
18. Источники поступления информации об
угрозах
Информация
об угрозах
Вендор
СрЗИ
3rd party
СрЗИ
OSINT
фиды
Поставщики
фидов и
сигнатур
19. 3rd party поставщики сигнатур атак
Сигнатуры
Cisco Talos
Бесплатные
Платные
Под заказ
Emerging
Threats
ET Open
ET Pro
Idappcom Платные
Wurldtech
Платные
(для ICS)
• Все поставщики сигнатур
разрабатывают их под
Snort (стандарт де-факто)
• Bro и Surricata могут
использовать сигнатуры
Snort-style
• Российские
«разработчики» IDS
обычно используют
сигнатуры ET
20. А где брать сведения об уязвимостях
помимо сканеров безопасности?
21. Почему так важна Threat Intelligence
сегодня?!
• Threat Intelligence – знание (включая процесс его
получения) об угрозах и нарушителях, обеспечивающее
понимание методов, используемых злоумышленниками
для нанесения ущерба, и способов противодействия им
• Оперирует не только и не столько статической
информацией об отдельных уязвимостях и угрозах,
сколько более динамичной и имеющей практическое
значение информацией об источниках угроз, признаках
компрометации (объединяющих разрозненные сведения
в единое целое), вредоносных доменах и IP-адресах,
взаимосвязях и т.п.
24. • Место регистрации IP-адресов и доменов, участвующих в
атаке, или предоставляющих инфраструктуру для
реализации атаки
• Трассировка атаки до ее источника
• ВременнЫе параметры
• Анализ программного кода, в котором могут быть найдены
комментарии, ссылки на сайты, домены, IP-адреса,
которые участвуют в атаке
• Изучение «почерка» программистов
Методы атрибуции обычно применяются в
совокупности
25. • Стилометрия (изучение стилистики языка в комментариях
и иных артефактах)
• Обманные системы (honeypot)
• Анализ активности на форумах и в соцсетях
• Анализ постфактум (продажа украденной информации…)
• Оперативная разработка
Методы атрибуции обычно применяются в
совокупности
26. • Хакеры действовали из часового пояса, в котором
находится Москва
• Хакеры действовали в то время, когда в Москве рабочие
часы
• Хакеры действовали с IP-адресов, зарегистрированных в
России
• Хакеры использовали сервисы, у которых был
русскоязычный интерфейс
Одиночные «доказательства» русского следа
29. Адреса IPv4 Домены / FQDN
Хэши (MD5,
SHA1)
URL
Транзакционные
(MTA, User-
Agent)
Имя файла /
путь
Mutex
Значение
реестра
Имена
пользователей
Адреса e-mail
Распространенные IoC
30. Разведка Оснащение Доставка Заражение Инсталляция
Получение
управления
Выполнение
действий
Файл – имя
Файл
URI – URL
HTTP - GET
HTTP – User
Agent
URI – имя
домена
Адрес – e-mail
Адрес – IPv4
Файл – путь
Файл
URI – URL
Поведение
Файл – имя
Файл – путь
Файл
URI – URL
HTTP – POST
Заголовок e-mail
– Тема
Заголовок e-mail
– X-Mailer
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – e-mail
Адрес – IPv4
Поведение
Ключ реестра
Win
Файл – имя
Файл
URI – URL
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – CIDR
Адрес – IPv4
Код – Бинарный
код
Процессы Win
Ключ реестра
Win
Файл – имя
Файл – путь
Файл
URI – URL
HTTP – GET
HTTP – User
Agent
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – e-mail
Адрес – IPv4
Поведение
Процессы Win
Ключ реестра
Win
Файл
URI – URL
HTTP – GET
HTTP – POST
HTTP – User
Agent
URI – имя
домена
Хеш – MD5
Адрес – e-mail
Адрес – IPv4
Поведение
Процессы Win
Сервисы Win
Файл – Путь
Файл – Имя
Файл
URI – URL
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – IPv4
IoC в привязке к Kill Chain
31. • Фиды (feeds) – способ представления данных об угрозах
• Поддержка различных языков программирования
и форматов данных
• JSON
• XML
• CyBOX
• STiX
• CSV
• И другие
Фиды Threat Intelligence
32. Этапы зрелости использования фидов
Эпизодическое применение фидов
Регулярное использование отдельных
ресурсов с фидами
Использование платформы TI
Использование API для автоматизации
Обмен фидами
33. Источники фидов
http://atlas.arbor.net/
Инициатива Arbor ATLAS (Active Threat Level Analysis
System)
• Глобальная сеть анализа угроз (обманные системы)
• Информация берется от обманных систем (honeypot),
IDS, сканеров, данных C&C, данных о фишинге и т.д.
• Публичная информация о Топ10 угрозах
• Для доступа к некоторым данным требуется регистрация
http://www.spamhaus.org
Проект для борьбы со спамом
• Поддерживает различные базы данных (DNSBL) с
данными
по угрозам (IP-адреса) – спамеры, фишеры, прокси,
перехваченные узлы, домены из спама
• Реестр ROKSO с самыми известными спамерами в мире
• Проверка и исключение своих узлов из «черных
списков»
34. Источники фидов
https://www.spamhaustech.com
SpamTEQ – коммерческий сервис Spamhaus
• Фиды по репутациям IP- и DNS-адресов
• Ценовая политика зависит от типа организации и
типа запрашиваемых данных
• Годовой абонемент
https://www.virustotal.com
Проект для борьбы со спамом
• Проверка файлов и URL на вредоносность
• Бесплатный сервис
• Система поиска
35. Источники фидов
https://www.threatgrid.com
Фиды по сетевым
коммуникациям
• IRC, DNS, IP
• Россия и Китай
• Сетевые аномалии
• RAT и банковские троянцы
• И др.
https://www.alienvault.com/open-threat-exchange
Открытое community по обмену информацией об угрозах
• IP- и DNS-адреса
• Имена узлов
• E-mail
• URL и URI
• Хеши и пути файлов
• CVE-записи и правила CIDR
Форматы:
• JSON
• CyBOX
• STiX
• CSV
• Snort
• Raw
36. Источники фидов
https://www.cisco.com/security
IntelliShield Security Information Service
• Уязвимости
• Бюллетени Microsoft
• Сигнатуры атак Cisco
• Web- и обычные угрозы
• Уязвимые продукты (вендор-независимый)
http://www.malwaredomains.com
Проект DNS-BH (Black Holing)
• Обновляемый «черный» список доменов, участвующих в
распространении вредоносного кода
• Список доступен в формате AdBlock и ISA
37. Какие еще источники фидов есть?
IOC
• Abuse.ch
• Blocklist.de
• CleanMX
• EmergingThreats
• ForensicArtifacts
• MalwareIOC
• Nothink
• Shadowserver
DNS
• ISC DNSDB
• BFK edv-
consulting
Вредоносное ПО
• VirusShare.com
38. А еще?
• CrowdStrike
• FarSight Security
• Flashpoint Partners
• IOCmap
• iSightPartners
• Microsoft CTIP
• Mirror-ma.com
• ReversingLabs
• SenderBase.org
• Threat Recon
• Team Cymru
• Webroot
• ZeusTracker
• И другие
40. На что обратить внимание при выборе
фидов?
• Тип источника
• Уровни представления информации
• Широта охвата
• Число записей
• Языковая поддержка/покрытие
• Доверие к источнику (популярность и
отзывы)
• Оперативность/частота предоставления
фидов
• Платность
• Формализованность представления
информации
• Возможность автоматизации
• Соответствие вашей инфраструктуре
• Частота ложных срабатываний
• Возможность отката назад или
пересмотра статуса угрозы (например,
для вылеченного сайта)
41. От фидов к платформе
• Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа
• Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir,
Paterva/Maltego CaseFile, SharePoint, ThreatConnect
• В простых случаях можно обойтись решениями open source
42. Платформы Threat Intelligence
https://www.threatconnect.com
6 уровней:
• Индивидуальный
• Базовый
• Команда
• Предприятие
• MSSP
• ISAC/ISAO
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Тактический / стратегический
https://crits.github.io
Платформа open source от MITRE
• Использует другие open source решения, объединяя их вместе
• Анализ и обмен данных об угрозах
• Изолированная или разделяемая архитектура
43. Что такое CRiTs?
• Python/Django front end UI
• Apache или Django runserver
• MongoDB backend
• Fault Tolerant
• High Performance
• NO SQL
• Mongo FS для файлов
• Document based
• Files and metadata
45. Обнаруживать
Применение CRiTS в Cisco
Предотвращать
DNS RPZ
host IDSBGP NetFlow
Syslog
В процессе
pDNS
Делиться
Govt
Сейчас
Планы
CSIRTESA
HIPS LUPA
WSA
Партнеры
CRITS
MD5
IPV4
Regkey
AV SBG
TIP
Клиенты
46. Платформы Threat Intelligence
https://www.threatgrid.com
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Индикаторы компрометации
• Интеграция с различными SIEM
https://www.iocbucket.com
Возможности:
• Редактор IOC (индикаторов компрометации)
• Поддержка YARA и OpenIOC
• Обмен IOC
• Бесплатная
• Готовится сервис фидов (коммерческих и
бесплатных)
• Готовится поддержка TAXII
47. Платформы Threat Intelligence
https://www.threatstream.com
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированные данные
• Приватная маркировка
• Интеграция с различными поставщиками фидов
• Гибкость
• Работа на мобильных платформах (Apple Watch)
• Интеграция с различными SIEM
http://csirtgadgets.org/collective-intelligence-framework/
Возможности:
• Open source платформа
• Собирает данные из различных источников,
поддерживающих стандарт CIF
• Позволяет идентифицировать инциденты
• Может формировать правила для IDS
• Есть фиды и API
48. Популярный Maltego
• Maltego – open source решение для
анализа данных, полученных из
разных источников, и связей между
ними
• Canari Framework –
инфраструктура, позволяющая
более эффективно использовать
Maltego
• Malformity – Maltego-проект,
базирующийся на Canari, для
проведения исследования
вредоносного кода и др.
49. Facebook тоже вышел на рынок Threat
Intelligence
11 февраля 2015 года!
http://threatexchange.fb.com/
50. Платформы и источники для TI
Коммерческая или бесплатная?
Коммерческая
• Масштаб
• Удобство
• Оперативность
• Гарантия
• Поддержка
• Функциональность
Бесплатная
• Цена
• Энтузиазм
51. • Большое количество угроз и непредсказуемость времени их получения требует
автоматизации процесса Threat Intelligence и его интеграции с существующими
решениями класса SIEM или SOC
• Автоматизация может быть достигнута за счет API / SDK, который сможет
• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая
платформы TI
• Поддержка различных языков программирования
• Go и Ruby
• Java и .NET
• Perl и PHP
• Powershell и Python
• RESTful
• WSDL и SOAP
Threat Intelligence API
52. API для автоматизации процесса
VirusTotal
https://www.virustotal.com/en/documentation/public-api/
• Загрузка и сканирование файлов
• Загрузка и сканирование URL
• Получение отчетов
ThreatGRID
Широкие возможности по загрузке и получении ответа
• Артефакты (хэш, путь)
• URL
• Ключ реестра
• Домен / имя узла
• IP
• IOC
• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)
53. API для автоматизации процесса
OpenDNS
Анализ DNS/IP-адресов на предмет их вредоносности
54. • Угроза должна
быть описана
• Угрозы должны
быть объединены
в признаки
компрометации
• Информация об
угроза должна
быть передана
Взаимосвязь стандартов Threat Intelligence
55. • Описание различных проблем с ИБ
• CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак
• CCE (http://cce.mitre.org/) - описание конфигураций
• CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными
средствами защиты (аналог SDEE/RDEP)
• CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры
• CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей
• CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей
• CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО
• MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME
• MARF (http://datatracker.ietf.org/wg/marf/documents/)
• OVAL (http://oval.mitre.org/) - язык описания уязвимостей
• CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки
защищенности
Стандарты Threat Intelligence
56. • Признаки компрометации (Indicators of Compromise) и информация о
нарушителях и хакерских кампаниях
• OpenIOC (http://openioc.org) - преимущественно хостовые признаки
• CybOX (http://cybox.mitre.org)
• OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox)
• STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей
• IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется
• RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга
• IODEF-SCI – расширение IODEF для добавления дополнительных данных
• VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon
• x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях
Стандарты Threat Intelligence
57. • Обмен информацией
• TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX
• VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA
• SecDEF – европейский стандарт ENISA
• CAIF (http://www.caif.info) - европейский стандарт
• DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт
• IODEF
• RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики
• MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX,
IODEF, STIX и TAXII в единое целое
• RFC 5941 – обмен информацией о мошенничестве (фроде)
• MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного
кода
Стандарты Threat Intelligence
58. • Разное
• TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг
распространения информации
• CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и
нейтрализовать угрозы путем генерации правил для Snort, iptables и др.
Стандарты Threat Intelligence
63. Нехватка логов
Разрыв в процессах
Нехватка
интеграции/масштабирования
Нехватка корреляции
Ложные срабатывания
Слепая зона
Неизвестно аналитику
Известно другим
64. Нехватка данных для анализа
• Syslog, CDR…Логи
• Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги
• E-mail, файлы, Web-страницы, видео/аудио…Контент
• Netflow, IPFIX…Потоки
• Имена пользователей, сертификаты…
Идентификационные
данные
65. Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Откуда брать данные?
66. Объединяя типы данных и места их сбора
Место съема
данных
Источник данных
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Интернет-
периметр
Сервер DHCP ✔
Сервер DNS ✔
DLP ✔ ✔ ✔
WAF ✔ ✔
NAC ✔ ✔
Маршрутизатор ✔ ✔
…
67. Объединяя типы данных и индикаторы
Категория
индикатора
Индикатор
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Системная
активность
Неудачные попытки входа ✔ ✔
Доступ к нетипичным ресурсам ✔ ✔
Утечка данных ✔ ✔ ✔ ✔ ✔
Изменение привилегий ✔ ✔ ✔ ✔
Нетипичные команды ✔ ✔ ✔
Нетипичные поисковые запросы ✔ ✔ ✔ ✔
…
69. Для слепой зоны нужны корреляция
Корреляция
Пользователи
Приложения Сеть
Физический
мир
70. Threat Intelligent
Platforms
• Агрегация
телеметрии из
множества
источников
Аналитика ИБ
• OpenSOC
(Metron),
Splunk, SIEM,
ELK
Облачные
решения
• CTA,
OpenDNS
• Sec-aaS
Что помогает обнаруживать угрозы в слепой
зоне?
73. • У вас могут быть свои подозрительные
файлы
• Вы можете не хотеть «делиться» вашими
анализами с другими
• Вас может не устраивать оперативность
фидов
• Ваш источник фидов может плохо
охватывать Россию
• У вас собственная служба расследования
инцидентов и аналитики вредоносного кода
• Вы пишете вредоносный код J
А разве фидов недостаточно?
Данные об угрозах в RSA Security Analytics
Данные об угрозах в EnCase Endpoint Security
74. Возможность анализа собственных угроз
https://www.threatgrid.com
Загрузка собственных угроз
• С помощью API в облако
• С помощью API на локальное
устройство on-premise
• Вручную через портал
https://malwr.com
Сервис анализа вредоносного кода
• Базируется на VirusTotal и Cuckoo Sandbox
• Бесплатный
75. • Активы/Сеть
• Сетевая топология
• Профиль актива
• Адрес/местоположение
• Аппаратная платформа
• Операционная система
• Открытые порты/Сервисы/Протоколы
• Клиентское и серверное ПО и его версия
• Статус защищенности
• Уязвимости
• Пользователь
• Местоположение
• Профиль доступа
• Поведение
Что мы знаем и не знают другие?
• Файл/Данные/Процесс
• Движение
• Исполнение
• Метаданные
• Источник
• «Родитель»
• Репутация
• Безопасность
• Точечные события
• Телеметрия
• Ретроспектива
76. èМСЭ / NGFW / NAC
èIDS / IPS
èNBAD
èAV / BDS
SIEM / LM
X
X
X
X
Откуда эти данные взять?
X
èФильтрация контента
èА еще ОС, СУБД…
77. На что обращать внимание?!
Активность
• Системная
(изменение
поведения ИТ-
систем или
шаблонов
доступа)
• Объектовая
(шаблоны
местонахождения
и времени)
• Бизнес
Контекст
• Социальный
(социальные
коммуникации)
• Здоровье /
психология
(изменения в
психологии и
здоровье)
• HR (непростые
жизненные
события)
Телеметрия
• Финансовая
(непредвиденные
или неожиданные
траты)
• Безопасность
(нарушения
политик ИБ)
• Криминальная
78. Источники данных для анализа
Внутренние
• Телеметрия (Netflow, DNS,
PCAP, syslog, телефония,
GSM и т.п.)
• Критичные ресурсы
• СКУД (местоположение,
GSM, CCTV, бейджи и т.п.)
• Данные о персонале (HR,
проверки СЭБ и т.п.)
Внешние
• Данные от
правоохранительных
органов
• Банковские выписки
• Выписки ДМС,
медосмотры
79. • Неудачные попытки входа в системы
• Доступ к нетипичным ресурсам
• Профиль сетевого трафика
• Утечки данных (по объему, типу сервиса и контенту)
• Нетипичные методы доступа
• Изменение привилегий
• Нетипичные команды
• Нетипичные поисковые запросы
Выбрать индикаторы
80. • Модификация логов
• Нетипичное время доступа
• Нетипичное местонахождение
• Вредоносный код
• Модификация или уничтожение объектов ИТ-инфраструктуры
• Поведение конкурентов и СМИ
• Необычные командировки и персональные поездки
Примеры индикаторов
81. • Негативные сообщения в социальных сетях
• Наркотическая или алкогольная зависимость
• Потеря близких
• Проигрыш в казино
• Ухудшение оценок (review)
• Изменение финансовых привычек (покупка дорогих вещей)
• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)
Примеры индикаторов
84. Время Внутр.адрес Пользователь Внеш.адрес
2:03 10.0.0.1 Гость 64.25.1.2
8:03 10.0.0.2 Иван Петров 33.79.3.14
8:30 10.0.0.2 Иван Петров 121.9.12.5
8:32 10.0.0.1 Гоьст 64.25.1.2
85. Время Внутр.адрес Пользователь Внеш.адрес Репутация
2:03 10.0.0.1 Гость 64.25.1.2 Unknown
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted
8:32 10.0.0.1 Гость 64.25.1.2 Bad
?
86. Время Внутр.адрес Пользователь Внеш.адрес Время Приложение
2:03 10.0.0.1 Гость 64.25.1.2 Unknown Web
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted Web
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted Email
8:32 10.0.0.1 Гость 64.25.1.2 Bad Unknown
?
87. От данных к анализу информации
Данные Информация Знания
Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение
88. От анализа информации к знаниям
Пользователь ‘Гость’
вероятно был
инфицирован в 2:03,
посещая 64.25.1.2,
затем контактируя с
сервером C&C в 8:32
Данные Информация Знания
Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение
89. Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативамP
Что
Когда
Где
Как
Дверь в
сеть
Контекст
Обмен
данными
Контекст очень помогает в слепой зоне
90. Доступ
Доверие
Меньше доверия
Меньше доступа
Больше доверия
Меньше доступа
Меньше доверия
Больше доступа
Больше доверия
Больше доступа
Устройства
«Интернета вещей»
(BMS, принтеры,
СКУД и т.п.)
Другое
Управляемые Cisco
устройства
Устройства других
компаний
• Ограниченные возможности
по управлению
• Политика ограниченного доступа
• Регистрация устройств
• Пользовательские устройства
• Устройства, зарегистрированные
Cisco Device Management Suite
• Управляемые, но не входящие в
Cisco Device Management Suite
устройства
• Бизнес или технические
ограничения
Опыт использования контекста в Cisco
91. Кто?
Известные пользователи
(Сотрудники, продавцы, HR)
Неизвестные пользователи
(Гости)
Что?
Идентификатор устройства
Классификация устройств
(профиль)
Состояние устройства (posture)
Как?
Проводное подключение
Беспроводное
подключение
VPN-подключение
Где / куда / откуда?
Географическое
местоположение
Департамент / отдел
SSID / Порт коммутатора
Когда?
Дата
Время
Другие?
Пользовательские
атрибуты
Статус устройства /
пользователя
Используемые
приложения
Опыт использования контекста в Cisco
92. Что помогает обнаруживать угрозы в
скрытой зоне?
Визуализация
• Траектория
файлов
• Вектора атак
• Имитация пути
злоумышленника
Аналитика ИБ
• Пользовательские
запросы в
OpenSOC (Metron),
Splunk, SIEM, ELK
Контекст
• Identity Firewall
• NAC
• ISE
94. • Threatcrowd.org позволяет
организовать поиск
взаимосвязей между IOCs:
• IP-адреса
• Доменные имена
• Хеши файлов
• Имена файлов
• Аналогичную задачу можно
реализовать с помощью
OpenDNS, Maltego, а также
OpenGraphitti
Визуализация скрытых связей
97. Неизвестная зона
Есть известные известные — вещи,
о которых мы знаем, что знаем их.
Есть также известные неизвестные
— вещи, о которых мы знаем, что не
знаем. Но еще есть неизвестные
неизвестные — это вещи, о которых
мы не знаем, что не знаем их
Бывший министр обороны США
Дональд Рамсфельд
98. Выпадающие события / «Черный
лебедь»
Аномальное поведение
0-Days
Еще нет сигнатур/решающих правил
Неизвестная зона
Не известно аналитику
Не
известно
другим
99. Обнаружение угроз в неизвестной зоне
Неизвестное
неизвестное
Анализ
поведения
Машинное
обучение
Статистический
анализ
100. Обнаружение аномалий и классификация
событий
Обнаружение
аномалий
• Скажи мне если
произойдет что-
то необычное
Классификация
• Скажи мне
когда ты
увидишь нечто,
похожее на это
101. Анализ NetFlow – путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информации
для каждого сетевого соединения
Каждое сетевое соединения
в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты,
время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент
для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n
семплов
102. THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
Вспомним распечатку мобильного оператора
103. Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Вспомним распечатку мобильного оператора
105. NetFlow может обнаруживать не столько
известные угрозы, сколько аномалии
Стадия атаки Обнаружение
Использование уязвимостей
Злоумышленник сканирует IP-адреса и порты для поиска
уязвимостей (ОС, пользователи, приложения)
1
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе
Установка вредоносного ПО на первый узел
Хакер устанавливает ПО для получения доступа2
§ NetFlow может обнаружить входящий управляющий
трафик с неожиданного месторасположения
Соединение с “Command and Control”
Вредоносное ПО создает соединение с C&C серверами
для получения инструкций
3
§ NetFlow может обнаружить исходящий трафик к
известным адресам серверов C&C
Распространение вредоносного ПО на другие узлы
Атака других систем в сети через использование
уязвимостей
4
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе внутреннего узла
Утечка данных
Отправка данных на внешние сервера5
§ NetFlow может обнаружить расширенные потоки (HTTP, FTP,
GETMAIL, MAPIGET и другие) и передачу данных на внешние
узлы
106. Не только NetFlow
• Поймите, что для вас норма и отслеживайте отклонения от нее с
учетом дельты
Визуализация аномалии в виде превышения числа HTTP ошибок
108. Машинное обучение (искусственный интеллект)
Известные
варианты
угроз
Автоматическая
классификация
Неизвестные
угрозы
Полностью
автоматическое
обучение
Автоматическая
интерпретация
результатов
Глобальная
корреляция по
всем источникам
IoC по одному
или нескольким
источникам
Один источник
(DNS, e-mail, web,
файл и т.п.)
1-е поколение
2-е поколение
3-е поколение • Машинное обучение –
не панацея
• Интернет движется к
тотальному шифрованию
• Злоумышленники
остаются незамеченными –
стеганография
• За искусственным
интеллектом в ИБ – будущее
109. 95%
Security Challenges
§ Managed/Unmanaged
Desktops
§ Spam/Malware
§ DDoS
§ Compromised Hosts
Remotely Controlled
§ Rapidly Changing
Environment
Продвинутые угрозы
§ Targeted Spear Phishing
Trojans
§ Watering Hole Attacks
§ Social Networking Attacks
§ Nation State Attacks
5%
Foundational Solutions
§ Anti-virus
§ Firewalls
§ IDS/IPS
§ IronPort WSA/ESA
§ Network Segmentation
§ Log Capture/Analysis
§ Incident Response Team
§ Expanded Data Collection
§ Netflow, IP-Attribution, DNS…
§ Big Data Analysis & Playbooks
§ Rapid Containment
§ DNS/RPZ, Quarantine, On-line
Host Forensics
§ Threat/Situational Awareness
Новые решения
Не забывайте про оставшиеся 5%
110. Как Cisco ловит эти 5% в своей сети?
Нейтрализовать и
реагировать
Метрики и
отчеты
Управление
конфигурацией
Инспекция
Регистрация
Идентификация
Телеметрия
IDS | IPS | NAM | NetFlow | Web Gateway| HIDS
Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN
Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1x
Address, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB
Execs
Auditors
Infosec
IT Orgs
HR-Legal
Line of Biz
Admins
End
Users
Partners
Business
Functions
Информирование Реагирование
РасследованиеОбнаружение
DBs
Внешние фиды об угрозах
Сканы Конфиги Логи Потоки События
4TB в день
Сист. управления
Incident Mgt System
Compliance Tracker
Incident Response Team
Playbook
111. Опыт Cisco: комбинируйте методы
обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования
112. Открытая
• NGFW / NGIPS
• Защита от вредоносного
ПО
• Спам-фильтры
• Безопасность Web
Слепая
• Платформы Threat Intelligence
• Аналитика Big data
• Корреляция
• Облачные решения
Скрытая
• Визуализация
• Пользовательские
запросы
• Контекст
Неизвестная
• Машинное обучение
• Статистический анализ
• Анализ сетевого поведения
Подводим итоги
Известно аналитику Не известно аналитику
Известно
другим
Не
известно
другим
113. Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте используемые
вами технологии ИБ, используемые
данные и способы их получения, не
забывая про моделирование угроз
Определите ваши краткосрочные,
среднесрочные и долгосрочные планы
и возможные угрозы для них, а затем
определите данные, которые вам
нужны для их обнаружения
Выберите необходимые источники
данных, обучите персонал и, по
необходимости, внедрите новые
решения по кибербезопасности и
анализу информации для ИБ
Что сделать после семинара?