Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать неизвестные угрозы?"

Бизнес-консультант по безопасности
Обнаружение
необнаруживаемого
Алексей Лукацкий
24 ноября 2016 г.

Нарушитель
реализует
действия
против цели
приводящие к
последствиям
Что такое киберугроза?

95%
5%
95%
Сложности ИБ
§ Управляемые/неуправ
ляемые десктопы
§ Спам/Вредоносы
§ DDoS
§ Удаленно
контролируемые
скомпрометированные
узлы
§ Постоянные
изменения в сети
Базовые решения
§ Антивирус
§ МСЭ
§ IDS/IPS
§ WSA/ESA
§ Сетевая сегментация
§ Сбор и анализ логов
§ Incident Response Team
Вы обнаруживаете 100% угроз?

Инцидент
попадает
к CISO
КТО
это
сделал?
КАК
это
произошло
?
ЧТО
пострадало
?
ОТКУДА
начался
инцидент?
КОГДА
это
произошло?
Оставшиеся 5% и составляют кошмар
CISO

• Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%
приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном
вредоносном ПО?

К чему это приводит?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных
вторжений
Ponemon
206
HP
416
Symantec
305

Как защититься от киберугроз?
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Приложения
Данные

• В 1955-м году два американских психолога Джозеф Лифт и
Харингтон Инхам разработали технику, которая позволяет
людям лучше понять взаимосвязь между своими личными
качествами и тем, как их воспринимают окружающие
• В соответствии с методикой, названной «Окном Джохари»,
у каждого человека имеются четыре зоны
• Открытая
• Слепая
• Спрятанная
• Неизвестная
Окно Джохари

4 зоны окна Джохари
В скрытой зоне
находятся качества,
известные человеку,
но неизвестные
окружающим
В слепой зоне
находятся качества
человека, которые
известны окружающим,
но неизвестные
самому человеку
В неизвестной зоне
неизвестные ни
самому человеку, ни
окружающим
?
В открытой зоне
известные самому
человеку и которые
признают за ним
окружающие

Открытая Слепая
Скрытая Неизвестная
Окно Джохари применительно к ИБ
Известно аналитику ИБ Не известно аналитику ИБ
Известно
другим
Не
известно
другим
Другие – это исследователи, хакеры, спецслужбы…

Плохие файлы
Плохие IP, URL
Спам/Фишинговые Email
Сигнатуры
Уязвимости
Индикаторы компрометации
Открытая зона
Известно аналитику
Известно другим

• NGFW, IPS, Web/Email Security, WAF,
песочницы…
Решения для
обнаружения угроз
• API, pxGrid и т.п.
Интерфейсы для обмена
информацией об угрозах
• Сканеры уязвимостей, SAST/DAST, Vulners,
БДУ и др.
Системы анализа
защищенности
• OpenIOC, STIX , TAXII, и т.д.
Индикаторы
компрометации
Как обнаруживать известное?

Откуда мы получаем данные об угрозах?

• Получение информации с ошибками
• Отсутствие или исчезновение информации на конкретные
угрозы
• Отсутствие учета вертикальной или страновой специфики
• Смена политики лицензирования
• Смена собственника
• Поглощение компании-разработчика
• Сотрудничество со спецслужбами
• Санкции…
Риски получения данных об угрозах из одного
источника

Вы доверяете своему вендору?
16 апреля 2015 года
http://www.zdnet.com/article/pal
o-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии

Может увеличить число источников?

Источники поступления информации об
угрозах
Информация
об угрозах
Вендор
СрЗИ
3rd party
СрЗИ
OSINT
фиды
Поставщики
фидов и
сигнатур

3rd party поставщики сигнатур атак
Сигнатуры
Cisco Talos
Бесплатные
Платные
Под заказ
Emerging
Threats
ET Open
ET Pro
Idappcom Платные
Wurldtech
Платные
(для ICS)
• Все поставщики сигнатур
разрабатывают их под
Snort (стандарт де-факто)
• Bro и Surricata могут
использовать сигнатуры
Snort-style
• Российские
«разработчики» IDS
обычно используют
сигнатуры ET

А где брать сведения об уязвимостях
помимо сканеров безопасности?

Почему так важна Threat Intelligence
сегодня?!
• Threat Intelligence – знание (включая процесс его
получения) об угрозах и нарушителях, обеспечивающее
понимание методов, используемых злоумышленниками
для нанесения ущерба, и способов противодействия им
• Оперирует не только и не столько статической
информацией об отдельных уязвимостях и угрозах,
сколько более динамичной и имеющей практическое
значение информацией об источниках угроз, признаках
компрометации (объединяющих разрозненные сведения
в единое целое), вредоносных доменах и IP-адресах,
взаимосвязях и т.п.

Что у нас с атрибуцией нарушителя?

США атакованы «Россией»! Кто в
действительности стоит за атакой?

• Место регистрации IP-адресов и доменов, участвующих в
атаке, или предоставляющих инфраструктуру для
реализации атаки
• Трассировка атаки до ее источника
• ВременнЫе параметры
• Анализ программного кода, в котором могут быть найдены
комментарии, ссылки на сайты, домены, IP-адреса,
которые участвуют в атаке
• Изучение «почерка» программистов
Методы атрибуции обычно применяются в
совокупности

• Стилометрия (изучение стилистики языка в комментариях
и иных артефактах)
• Обманные системы (honeypot)
• Анализ активности на форумах и в соцсетях
• Анализ постфактум (продажа украденной информации…)
• Оперативная разработка
Методы атрибуции обычно применяются в
совокупности

• Хакеры действовали из часового пояса, в котором
находится Москва
• Хакеры действовали в то время, когда в Москве рабочие
часы
• Хакеры действовали с IP-адресов, зарегистрированных в
России
• Хакеры использовали сервисы, у которых был
русскоязычный интерфейс
Одиночные «доказательства» русского следа

Геополитические
Правовые
Технические
Почему точная атрибуция невозможна?
© 2015 Cisco and/or its affiliates. All rights reserved. 27
Экономические
Психологические

TTP
Инструменты
Сетевые / хостовые
артефакты
Доменные имена
IP-адреса
Хеши Тривиально
Элементарно
Просто
Раздражающе
Сложно
Тяжело
Вернемся к данным об угрозах (IoC)

Адреса IPv4 Домены / FQDN
Хэши (MD5,
SHA1)
URL
Транзакционные
(MTA, User-
Agent)
Имя файла /
путь
Mutex
Значение
реестра
Имена
пользователей
Адреса e-mail
Распространенные IoC

Разведка Оснащение Доставка Заражение Инсталляция
Получение
управления
Выполнение
действий
Файл – имя
Файл
URI – URL
HTTP - GET
HTTP – User
Agent
URI – имя
домена
Адрес – e-mail
Адрес – IPv4
Файл – путь
Файл
URI – URL
Поведение
Файл – имя
Файл
URI – URL
HTTP – POST
Заголовок e-mail
– Тема
Заголовок e-mail
– X-Mailer
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – IPv4
Поведение
Ключ реестра
Win
Файл – имя
Файл
URI – URL
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – CIDR
Адрес – IPv4
Код – Бинарный
код
Процессы Win
Win
Файл – имя
Файл
URI – URL
HTTP – GET
HTTP – User
Agent
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – IPv4
Поведение
Win
Файл
URI – URL
HTTP – GET
HTTP – POST
HTTP – User
Agent
URI – имя
домена
Хеш – MD5
Адрес – IPv4
Поведение
Сервисы Win
Файл – Путь
Файл – Имя
Файл
URI – URL
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – IPv4
IoC в привязке к Kill Chain

• Фиды (feeds) – способ представления данных об угрозах
• Поддержка различных языков программирования
и форматов данных
• JSON
• XML
• CyBOX
• STiX
• CSV
• И другие
Фиды Threat Intelligence

Этапы зрелости использования фидов
Эпизодическое применение фидов
Регулярное использование отдельных
ресурсов с фидами
Использование платформы TI
Использование API для автоматизации
Обмен фидами

Источники фидов
http://atlas.arbor.net/
Инициатива Arbor ATLAS (Active Threat Level Analysis
System)
• Глобальная сеть анализа угроз (обманные системы)
• Информация берется от обманных систем (honeypot),
IDS, сканеров, данных C&C, данных о фишинге и т.д.
• Публичная информация о Топ10 угрозах
• Для доступа к некоторым данным требуется регистрация
http://www.spamhaus.org
Проект для борьбы со спамом
• Поддерживает различные базы данных (DNSBL) с
данными
по угрозам (IP-адреса) – спамеры, фишеры, прокси,
перехваченные узлы, домены из спама
• Реестр ROKSO с самыми известными спамерами в мире
• Проверка и исключение своих узлов из «черных
списков»

https://www.spamhaustech.com
SpamTEQ – коммерческий сервис Spamhaus
• Фиды по репутациям IP- и DNS-адресов
• Ценовая политика зависит от типа организации и
типа запрашиваемых данных
• Годовой абонемент
https://www.virustotal.com
Проект для борьбы со спамом
• Проверка файлов и URL на вредоносность
• Бесплатный сервис
• Система поиска

https://www.threatgrid.com
Фиды по сетевым
коммуникациям
• IRC, DNS, IP
• Россия и Китай
• Сетевые аномалии
• RAT и банковские троянцы
• И др.
https://www.alienvault.com/open-threat-exchange
Открытое community по обмену информацией об угрозах
• IP- и DNS-адреса
• Имена узлов
• E-mail
• URL и URI
• Хеши и пути файлов
• CVE-записи и правила CIDR
Форматы:
• JSON
• CyBOX
• STiX
• CSV
• Snort
• Raw

https://www.cisco.com/security
IntelliShield Security Information Service
• Уязвимости
• Бюллетени Microsoft
• Сигнатуры атак Cisco
• Web- и обычные угрозы
• Уязвимые продукты (вендор-независимый)
http://www.malwaredomains.com
Проект DNS-BH (Black Holing)
• Обновляемый «черный» список доменов, участвующих в
распространении вредоносного кода
• Список доступен в формате AdBlock и ISA

Какие еще источники фидов есть?
IOC
• Abuse.ch
• Blocklist.de
• CleanMX
• EmergingThreats
• ForensicArtifacts
• MalwareIOC
• Nothink
• Shadowserver
DNS
• ISC DNSDB
• BFK edv-
consulting
Вредоносное ПО
• VirusShare.com

А еще?
• CrowdStrike
• FarSight Security
• Flashpoint Partners
• IOCmap
• iSightPartners
• Microsoft CTIP
• Mirror-ma.com
• ReversingLabs
• SenderBase.org
• Threat Recon
• Team Cymru
• Webroot
• ZeusTracker
• И другие

На что обратить внимание при выборе
фидов?
• Тип источника
• Уровни представления информации
• Широта охвата
• Число записей
• Языковая поддержка/покрытие
• Доверие к источнику (популярность и
отзывы)
• Оперативность/частота предоставления
фидов
• Платность
• Формализованность представления
информации
• Возможность автоматизации
• Соответствие вашей инфраструктуре
• Частота ложных срабатываний
• Возможность отката назад или
пересмотра статуса угрозы (например,
для вылеченного сайта)

От фидов к платформе
• Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа
• Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir,
Paterva/Maltego CaseFile, SharePoint, ThreatConnect
• В простых случаях можно обойтись решениями open source

Платформы Threat Intelligence
https://www.threatconnect.com
6 уровней:
• Индивидуальный
• Базовый
• Команда
• Предприятие
• MSSP
• ISAC/ISAO
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Тактический / стратегический
https://crits.github.io
Платформа open source от MITRE
• Использует другие open source решения, объединяя их вместе
• Анализ и обмен данных об угрозах
• Изолированная или разделяемая архитектура

Что такое CRiTs?
• Python/Django front end UI
• Apache или Django runserver
• MongoDB backend
• Fault Tolerant
• High Performance
• NO SQL
• Mongo FS для файлов
• Document based
• Files and metadata

Применение CRiTs в Cisco

Обнаруживать
Применение CRiTS в Cisco
Предотвращать
DNS RPZ
host IDSBGP NetFlow
Syslog
В процессе
pDNS
Делиться
Govt
Сейчас
Планы
CSIRTESA
HIPS LUPA
WSA
Партнеры
CRITS
MD5
IPV4
Regkey
AV SBG
TIP
Клиенты

• Неструктурированые данные
• Облако или on-premise
• Индикаторы компрометации
• Интеграция с различными SIEM
https://www.iocbucket.com
• Редактор IOC (индикаторов компрометации)
• Поддержка YARA и OpenIOC
• Обмен IOC
• Бесплатная
• Готовится сервис фидов (коммерческих и
бесплатных)
• Готовится поддержка TAXII

https://www.threatstream.com
• Неструктурированные данные
• Интеграция с различными поставщиками фидов
• Гибкость
• Работа на мобильных платформах (Apple Watch)
• Интеграция с различными SIEM
http://csirtgadgets.org/collective-intelligence-framework/
• Open source платформа
• Собирает данные из различных источников,
поддерживающих стандарт CIF
• Позволяет идентифицировать инциденты
• Может формировать правила для IDS
• Есть фиды и API

Популярный Maltego
• Maltego – open source решение для
анализа данных, полученных из
разных источников, и связей между
ними
• Canari Framework –
инфраструктура, позволяющая
более эффективно использовать
Maltego
• Malformity – Maltego-проект,
базирующийся на Canari, для
проведения исследования
вредоносного кода и др.

Facebook тоже вышел на рынок Threat
Intelligence
11 февраля 2015 года!
http://threatexchange.fb.com/

Платформы и источники для TI
Коммерческая или бесплатная?
Коммерческая
• Масштаб
• Удобство
• Оперативность
• Гарантия
• Поддержка
• Функциональность
Бесплатная
• Цена
• Энтузиазм

• Большое количество угроз и непредсказуемость времени их получения требует
автоматизации процесса Threat Intelligence и его интеграции с существующими
решениями класса SIEM или SOC
• Автоматизация может быть достигнута за счет API / SDK, который сможет
• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая
платформы TI
• Поддержка различных языков программирования
• Go и Ruby
• Java и .NET
• Perl и PHP
• Powershell и Python
• RESTful
• WSDL и SOAP
Threat Intelligence API

API для автоматизации процесса
VirusTotal
https://www.virustotal.com/en/documentation/public-api/
• Загрузка и сканирование файлов
• Загрузка и сканирование URL
• Получение отчетов
ThreatGRID
Широкие возможности по загрузке и получении ответа
• Артефакты (хэш, путь)
• URL
• Ключ реестра
• Домен / имя узла
• IP
• IOC
• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)

API для автоматизации процесса
OpenDNS
Анализ DNS/IP-адресов на предмет их вредоносности

• Угроза должна
быть описана
• Угрозы должны
быть объединены
в признаки
компрометации
• Информация об
угроза должна
быть передана
Взаимосвязь стандартов Threat Intelligence

• Описание различных проблем с ИБ
• CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак
• CCE (http://cce.mitre.org/) - описание конфигураций
• CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными
средствами защиты (аналог SDEE/RDEP)
• CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры
• CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей
• CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей
• CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО
• MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME
• MARF (http://datatracker.ietf.org/wg/marf/documents/)
• OVAL (http://oval.mitre.org/) - язык описания уязвимостей
• CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки
защищенности
Стандарты Threat Intelligence

• Признаки компрометации (Indicators of Compromise) и информация о
нарушителях и хакерских кампаниях
• OpenIOC (http://openioc.org) - преимущественно хостовые признаки
• CybOX (http://cybox.mitre.org)
• OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox)
• STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей
• IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется
• RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга
• IODEF-SCI – расширение IODEF для добавления дополнительных данных
• VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon
• x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях

• Обмен информацией
• TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX
• VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA
• SecDEF – европейский стандарт ENISA
• CAIF (http://www.caif.info) - европейский стандарт
• DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт
• IODEF
• RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики
• MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX,
IODEF, STIX и TAXII в единое целое
• RFC 5941 – обмен информацией о мошенничестве (фроде)
• MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного
кода

• Разное
• TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг
распространения информации
• CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и
нейтрализовать угрозы путем генерации правил для Snort, iptables и др.

3rd party тоже не панацея. Оцените риски!

У меня есть фиды (IoC) и что дальше?
Фиды
«Yara»
SIEM
СрЗИ
Руки
J

Средства для поиска угроз на базе IoC
• Yara
• PowerShell
• AutoRuns – Utility
• Loki
• Wireshark – tshark

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
Слепая зона

Нехватка логов
Разрыв в процессах
Нехватка
интеграции/масштабирования
Нехватка корреляции
Ложные срабатывания
Слепая зона
Неизвестно аналитику
Известно другим

Нехватка данных для анализа
• Syslog, CDR…Логи
• Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги
• E-mail, файлы, Web-страницы, видео/аудио…Контент
• Netflow, IPFIX…Потоки
• Имена пользователей, сертификаты…
Идентификационные
данные

Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Откуда брать данные?

Объединяя типы данных и места их сбора
Место съема
данных
Источник данных
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Интернет-
периметр
Сервер DHCP ✔
Сервер DNS ✔
DLP ✔ ✔ ✔
WAF ✔ ✔
NAC ✔ ✔
Маршрутизатор ✔ ✔
…

Объединяя типы данных и индикаторы
Категория
индикатора
Индикатор
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Системная
активность
Неудачные попытки входа ✔ ✔
Доступ к нетипичным ресурсам ✔ ✔
Утечка данных ✔ ✔ ✔ ✔ ✔
Изменение привилегий ✔ ✔ ✔ ✔
Нетипичные команды ✔ ✔ ✔
Нетипичные поисковые запросы ✔ ✔ ✔ ✔
…

• Elastic Search
• Log Stash
• Kibana
• Splunk
• Security Onion
• Flowplotter
• Wireshark - tshark
• Network Miner
• Snort
• Suricata
• BRO
• Flowbat
Средства сбора и анализа сетевой
телеметрии

Для слепой зоны нужны корреляция
Корреляция
Приложения Сеть
Физический
мир

Threat Intelligent
Platforms
• Агрегация
телеметрии из
множества
источников
Аналитика ИБ
• OpenSOC
(Metron),
Splunk, SIEM,
ELK
Облачные
решения
• CTA,
OpenDNS
• Sec-aaS
Что помогает обнаруживать угрозы в слепой
зоне?

Контекст
Корреляция событий
Исторический контекст
Базовый профиль (эталон)
Анализ данных
Скрытая зона
Известно аналитику
Не
известно
другим

• У вас могут быть свои подозрительные
файлы
• Вы можете не хотеть «делиться» вашими
анализами с другими
• Вас может не устраивать оперативность
фидов
• Ваш источник фидов может плохо
охватывать Россию
• У вас собственная служба расследования
инцидентов и аналитики вредоносного кода
• Вы пишете вредоносный код J
А разве фидов недостаточно?
Данные об угрозах в RSA Security Analytics
Данные об угрозах в EnCase Endpoint Security

Возможность анализа собственных угроз
Загрузка собственных угроз
• С помощью API в облако
• С помощью API на локальное
устройство on-premise
• Вручную через портал
https://malwr.com
Сервис анализа вредоносного кода
• Базируется на VirusTotal и Cuckoo Sandbox
• Бесплатный

• Активы/Сеть
• Сетевая топология
• Профиль актива
• Адрес/местоположение
• Аппаратная платформа
• Операционная система
• Открытые порты/Сервисы/Протоколы
• Клиентское и серверное ПО и его версия
• Статус защищенности
• Уязвимости
• Пользователь
• Местоположение
• Профиль доступа
• Поведение
Что мы знаем и не знают другие?
• Файл/Данные/Процесс
• Движение
• Исполнение
• Метаданные
• Источник
• «Родитель»
• Репутация
• Безопасность
• Точечные события
• Телеметрия
• Ретроспектива

èМСЭ / NGFW / NAC
èIDS / IPS
èNBAD
èAV / BDS
SIEM / LM
X
X
X
X
Откуда эти данные взять?
X
èФильтрация контента
èА еще ОС, СУБД…

На что обращать внимание?!
Активность
• Системная
(изменение
поведения ИТ-
систем или
шаблонов
доступа)
• Объектовая
(шаблоны
местонахождения
и времени)
• Бизнес
Контекст
• Социальный
(социальные
коммуникации)
• Здоровье /
психология
(изменения в
психологии и
здоровье)
• HR (непростые
жизненные
события)
Телеметрия
• Финансовая
(непредвиденные
или неожиданные
траты)
• Безопасность
(нарушения
политик ИБ)
• Криминальная

Источники данных для анализа
Внутренние
• Телеметрия (Netflow, DNS,
PCAP, syslog, телефония,
GSM и т.п.)
• Критичные ресурсы
• СКУД (местоположение,
GSM, CCTV, бейджи и т.п.)
• Данные о персонале (HR,
проверки СЭБ и т.п.)
Внешние
• Данные от
правоохранительных
органов
• Банковские выписки
• Выписки ДМС,
медосмотры

• Неудачные попытки входа в системы
• Доступ к нетипичным ресурсам
• Профиль сетевого трафика
• Утечки данных (по объему, типу сервиса и контенту)
• Нетипичные методы доступа
• Изменение привилегий
• Нетипичные команды
• Нетипичные поисковые запросы
Выбрать индикаторы

• Модификация логов
• Нетипичное время доступа
• Нетипичное местонахождение
• Вредоносный код
• Модификация или уничтожение объектов ИТ-инфраструктуры
• Поведение конкурентов и СМИ
• Необычные командировки и персональные поездки
Примеры индикаторов

• Негативные сообщения в социальных сетях
• Наркотическая или алкогольная зависимость
• Потеря близких
• Проигрыш в казино
• Ухудшение оценок (review)
• Изменение финансовых привычек (покупка дорогих вещей)
• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)
Примеры индикаторов

Обычно мы оперируем только
низкоуровневыми данными
Данные Информация Знания

Время Внутр.адрес Внеш.адрес
2:03 10.0.0.1 64.25.1.2
8:03 10.0.0.2 33.79.3.14
8:30 10.0.0.2 121.9.12.5
8:32 10.0.0.1 64.25.1.2

Время Внутр.адрес Пользователь Внеш.адрес
2:03 10.0.0.1 Гость 64.25.1.2
8:03 10.0.0.2 Иван Петров 33.79.3.14
8:30 10.0.0.2 Иван Петров 121.9.12.5
8:32 10.0.0.1 Гоьст 64.25.1.2

Время Внутр.адрес Пользователь Внеш.адрес Репутация
2:03 10.0.0.1 Гость 64.25.1.2 Unknown
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted
8:32 10.0.0.1 Гость 64.25.1.2 Bad
?

Время Внутр.адрес Пользователь Внеш.адрес Время Приложение
2:03 10.0.0.1 Гость 64.25.1.2 Unknown Web
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted Web
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted Email
8:32 10.0.0.1 Гость 64.25.1.2 Bad Unknown
?

От данных к анализу информации
Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение

От анализа информации к знаниям
Пользователь ‘Гость’
вероятно был
инфицирован в 2:03,
посещая 64.25.1.2,
затем контактируя с
сервером C&C в 8:32
Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение

Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативамP
Что
Когда
Где
Как
Дверь в
сеть
Контекст
Обмен
данными
Контекст очень помогает в слепой зоне

Доступ
Доверие
Меньше доверия
Меньше доступа
Больше доверия
Меньше доступа
Меньше доверия
Больше доступа
Больше доверия
Больше доступа
«Интернета вещей»
(BMS, принтеры,
СКУД и т.п.)
Другое
Управляемые Cisco
Устройства других
компаний
• Ограниченные возможности
по управлению
• Политика ограниченного доступа
• Регистрация устройств
• Пользовательские устройства
• Устройства, зарегистрированные
Cisco Device Management Suite
• Управляемые, но не входящие в
Cisco Device Management Suite
• Бизнес или технические
ограничения
Опыт использования контекста в Cisco

Кто?
Известные пользователи
(Сотрудники, продавцы, HR)
Неизвестные пользователи
(Гости)
Что?
Идентификатор устройства
Классификация устройств
(профиль)
Состояние устройства (posture)
Как?
Проводное подключение
Беспроводное
подключение
VPN-подключение
Где / куда / откуда?
Географическое
местоположение
Департамент / отдел
SSID / Порт коммутатора
Когда?
Дата
Время
Другие?
Пользовательские
атрибуты
Статус устройства /
пользователя
Используемые
приложения
Опыт использования контекста в Cisco

Что помогает обнаруживать угрозы в
скрытой зоне?
Визуализация
• Траектория
файлов
• Вектора атак
• Имитация пути
злоумышленника
Аналитика ИБ
• Пользовательские
запросы в
OpenSOC (Metron),
Splunk, SIEM, ELK
Контекст
• Identity Firewall
• NAC
• ISE

Визуализация угрозы

• Threatcrowd.org позволяет
организовать поиск
взаимосвязей между IOCs:
• IP-адреса
• Доменные имена
• Хеши файлов
• Имена файлов
• Аналогичную задачу можно
реализовать с помощью
OpenDNS, Maltego, а также
OpenGraphitti
Визуализация скрытых связей

Визуализация скрытых связей
OpenGraphitti

Неизвестная зона

Есть известные известные — вещи,
о которых мы знаем, что знаем их.
Есть также известные неизвестные
— вещи, о которых мы знаем, что не
знаем. Но еще есть неизвестные
неизвестные — это вещи, о которых
мы не знаем, что не знаем их
Бывший министр обороны США
Дональд Рамсфельд

Выпадающие события / «Черный
лебедь»
Аномальное поведение
0-Days
Еще нет сигнатур/решающих правил
Не известно аналитику
Не
известно
другим

Обнаружение угроз в неизвестной зоне
Неизвестное
неизвестное
Анализ
поведения
Машинное
обучение
Статистический
анализ

Обнаружение аномалий и классификация
событий
Обнаружение
аномалий
• Скажи мне если
произойдет что-
то необычное
Классификация
• Скажи мне
когда ты
увидишь нечто,
похожее на это

Анализ NetFlow – путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информации
для каждого сетевого соединения
Каждое сетевое соединения
в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты,
время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент
для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n
семплов

THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
Вспомним распечатку мобильного оператора

Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
Вспомним распечатку мобильного оператора

Кто КудаЧто
Когда
Как
Откуда
Больше контекста
Высокомасштабиуремый сбор
Высокое сжатие => долговременное
хранилище
NetFlow с точки зрения контекста

NetFlow может обнаруживать не столько
известные угрозы, сколько аномалии
Стадия атаки Обнаружение
Использование уязвимостей
Злоумышленник сканирует IP-адреса и порты для поиска
уязвимостей (ОС, пользователи, приложения)
1
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе
Установка вредоносного ПО на первый узел
Хакер устанавливает ПО для получения доступа2
§ NetFlow может обнаружить входящий управляющий
трафик с неожиданного месторасположения
Соединение с “Command and Control”
Вредоносное ПО создает соединение с C&C серверами
для получения инструкций
3
§ NetFlow может обнаружить исходящий трафик к
известным адресам серверов C&C
Распространение вредоносного ПО на другие узлы
Атака других систем в сети через использование
уязвимостей
4
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе внутреннего узла
Утечка данных
Отправка данных на внешние сервера5
§ NetFlow может обнаружить расширенные потоки (HTTP, FTP,
GETMAIL, MAPIGET и другие) и передачу данных на внешние
узлы

Не только NetFlow
• Поймите, что для вас норма и отслеживайте отклонения от нее с
учетом дельты
Визуализация аномалии в виде превышения числа HTTP ошибок

Попробуйте определить аномалию в DNS-
трафике

Машинное обучение (искусственный интеллект)
Известные
варианты
угроз
Автоматическая
классификация
Неизвестные
угрозы
Полностью
автоматическое
обучение
Автоматическая
интерпретация
результатов
Глобальная
корреляция по
всем источникам
IoC по одному
или нескольким
источникам
Один источник
(DNS, e-mail, web,
файл и т.п.)
1-е поколение
2-е поколение
3-е поколение • Машинное обучение –
не панацея
• Интернет движется к
тотальному шифрованию
• Злоумышленники
остаются незамеченными –
стеганография
• За искусственным
интеллектом в ИБ – будущее

95%
Security Challenges
§ Managed/Unmanaged
Desktops
§ Spam/Malware
§ DDoS
§ Compromised Hosts
Remotely Controlled
§ Rapidly Changing
Environment
Продвинутые угрозы
§ Targeted Spear Phishing
Trojans
§ Watering Hole Attacks
§ Social Networking Attacks
§ Nation State Attacks
5%
Foundational Solutions
§ Anti-virus
§ Firewalls
§ IDS/IPS
§ IronPort WSA/ESA
§ Network Segmentation
§ Log Capture/Analysis
§ Incident Response Team
§ Expanded Data Collection
§ Netflow, IP-Attribution, DNS…
§ Big Data Analysis & Playbooks
§ Rapid Containment
§ DNS/RPZ, Quarantine, On-line
Host Forensics
§ Threat/Situational Awareness
Новые решения
Не забывайте про оставшиеся 5%

Опыт Cisco: комбинируйте методы
обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

Открытая
• NGFW / NGIPS
• Защита от вредоносного
ПО
• Спам-фильтры
• Безопасность Web
Слепая
• Платформы Threat Intelligence
• Аналитика Big data
• Корреляция
• Облачные решения
Скрытая
• Визуализация
• Пользовательские
запросы
• Контекст
Неизвестная
• Машинное обучение
• Статистический анализ
• Анализ сетевого поведения
Подводим итоги
Известно аналитику Не известно аналитику
Известно
другим
Не
известно
другим

Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте используемые
вами технологии ИБ, используемые
данные и способы их получения, не
забывая про моделирование угроз
Определите ваши краткосрочные,
среднесрочные и долгосрочные планы
и возможные угрозы для них, а затем
определите данные, которые вам
нужны для их обнаружения
Выберите необходимые источники
данных, обучите персонал и, по
необходимости, внедрите новые
решения по кибербезопасности и
анализу информации для ИБ
Что сделать после семинара?

Спасибо
alukatsk@cisco.com

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать неизвестные угрозы?"

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать неизвестные угрозы?"

Similar to Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать неизвестные угрозы?" (20)

More from Expolink

More from Expolink (20)

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать неизвестные угрозы?"