4. Обнаружение необнаруживаемого

Бизнес-консультант по безопасности
Обнаружение
необнаруживаемого
Алексей Лукацкий
6 апреля 2017 г.

Нарушитель
реализует
действия
против цели
приводящие к
последствиям
Что такое киберугроза?

Cisco Confidential –
95%
5%
95%
Сложности ИБ
§ Управляемые/неуправ
ляемые десктопы
§ Спам/Вредоносы
§ DDoS
§ Удаленно
контролируемые
скомпрометированные
узлы
§ Постоянные
изменения в сети
Базовые решения
§ Антивирус
§ МСЭ
§ IDS/IPS
§ WSA/ESA
§ Сетевая сегментация
§ Сбор и анализ логов
§ Incident Response Team
Вы обнаруживаете 100% угроз?

AMP + FirePOWER
AMP > управляемая защита от угроз
В центре внимания Cisco — анализ угроз!
Приобретение компании
Cognitive Security
• Передовая служба исследований
• Улучшенные технологии поведенческого
анализа в режиме реального времени
2013 2015...2014
Приобретение компании Sourcefire
Security
• Ведущие в отрасли СОПВ нового поколения
• Мониторинг сетевой активности
• Advanced Malware Protection
• Разработки отдела по исследованию уязвимостей
(VRT)
• Инновации в ПО с открытым исходным кодом
(технология OpenAppID)
Malware Analysis & Threat Intelligence
ThreatGRID
• Коллективный анализ вредоносного
кода
• Анализ угроз
• «Песочница»
Коллективные исследования Cisco –
подразделение Talos по исследованию и
анализу угроз
• Подразделение Sourcefire по исследованию уязвимостей —
VRT
• Подразделене Cisco по исследованию и информированию об
угрозах — TRAC
• Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMP
Коллективный анализ вредоносного
кода > Система коллективной
информационной безопасности
OpenDNS
• Анализ DNS/IP-трафика
• Анализ угроз
Lancope
• Исследования угроз

• Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%
приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном
вредоносном ПО?

К чему это приводит?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных
вторжений
Ponemon
206
HP
416
Symantec
305

Как защититься от киберугроз?
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Приложения
Данные

• В 1955-м году два американских психолога Джозеф Лифт и
Харингтон Инхам разработали технику, которая позволяет
людям лучше понять взаимосвязь между своими личными
качествами и тем, как их воспринимают окружающие
• В соответствии с методикой, названной «Окном Джохари»,
у каждого человека имеются четыре зоны
• Открытая
• Слепая
• Спрятанная
• Неизвестная
Окно Джохари

4 зоны окна Джохари
В скрытой зоне
находятся качества,
известные человеку,
но неизвестные
окружающим
В слепой зоне
находятся качества
человека, которые
известны окружающим,
но неизвестные
самому человеку
В неизвестной зоне
неизвестные ни
самому человеку, ни
окружающим
?
В открытой зоне
известные самому
человеку и которые
признают за ним
окружающие

Открытая Слепая
Скрытая Неизвестная
Окно Джохари применительно к ИБ
Известно аналитику ИБ Не известно аналитику ИБ
Известно
другим
Не
известно
другим
Другие – это исследователи, хакеры, спецслужбы…

Плохие файлы
Плохие IP, URL
Спам/Фишинговые Email
Сигнатуры
Уязвимости
Индикаторы компрометации
Открытая зона
Известно аналитику
Известно другим

• NGFW, IPS, Web/Email Security, WAF,
песочницы…
Решения для
обнаружения угроз
• API, pxGrid и т.п.
Интерфейсы для обмена
информацией об угрозах
• Сканеры уязвимостей, SAST/DAST, Vulners,
БДУ и др.
Системы анализа
защищенности
• OpenIOC, STIX , TAXII, и т.д.
Индикаторы
компрометации
Как обнаруживать известное?

Откуда мы получаем данные об угрозах?

• Получение информации с ошибками
• Отсутствие или исчезновение информации на конкретные
угрозы
• Отсутствие учета вертикальной или страновой специфики
• Смена политики лицензирования
• Смена собственника
• Поглощение компании-разработчика
• Сотрудничество со спецслужбами
• Санкции…
Риски получения данных об угрозах из одного
источника

Источники поступления информации об
угрозах
Информация
об угрозах
Вендор
СрЗИ
3rd party
СрЗИ
OSINT
фиды
Поставщики
фидов и
сигнатур
Преимущественно
статическая
информация
Динамическая

3rd party тоже не панацея. Оцените риски!

Усилить и защитить сети от продвинутых угроз
VPN
Админ
с сервисами FirePOWER NGIPS
Анализ угроз
угроз и AVC
Управление
угрозами
ASA
Next Gen Firewall (NGFW)
Блокирование
файлов по типуSSL расшифровкаЗнание контекста
AMP
Сетевой трафик
FireSIGHT
Management Console
Advanced
Threats
Sandboxing
Web
Email
Global
Intelligence
Talos
Identity & Access
Control
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
DNS, IP & BGP
Специализированные платформы для филиалов, периметра, ядра,
терминалов, ЦОД в традиционном, виртуальном, ACI и облачном
окружении
Традиционный Firewall
Контроль политик NAT и ACLs
Продвинутая
кластеризация

Введение в устройства Firepower NGFW
Advanced
Threats
Sandboxing
Web
Email
Global
Intelligence
Talos
Identity & Access
Control
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
DNS, IP & BGP
NGFW
Блокирование
и мониторинг
неавтори-
зованного
доступа и
активности на
L2-7
NGIPS
Обнаружение,
предотвра-
щение и
реагирование
на угрозы сети
в режиме
реального
времени.
URL
фильтрация
Ограничение
доступа к
определенным
узлам и
подузлам, как
и к категориям
веб сайтов.
VPN
Защита
удаленных
пользовате-
лей и
подключений
узел-узел с
детальным
контролем.
W W W
Integrated Intelligent Services Framework
Интеллектуальная обработка для более эффективного
обнаружения, высокой производительности и упрощенного управления.
AMP
Идентифика-
ция и
нацеливание
на бреши и
malware для
анализа и
реагирования
Third Party
Открытый API
позволяет
применять
диапазон
дополнительных
инструментов
для
настраиваемой
защиты.

Остановите спам, фишинговые атаки и
предотвратите утечку данных
Кто
Механизмы
антиспам и
антифишинг
Антивирусы
Talos блокирует
плохие письма
на входе
Cisco
Anti-Spam
IMS
Что
Когда
Где Как
> Уровень
обнаружения 99%
< Ложных
срабатываний <1 на 1
млн
Репутация
файлов и
ThreatGrid
Advanced
Threats
Sandboxing
Web
Email
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
DNS, IP & BGP
А также защита исходящей почты (DLP, DMARC, DKIM, SPF, объем)

Получите детальный контроль над веб-угрозами
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP

Контроль теневых ИТ и облаков
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Talos
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity &
Access Control
Email
DNS, IP & BGP

Защита вне зависимости от нахождения в
периметре или за ним
Глобальная видимость
Блокирование malware, C2
callbacks, &
фишинга через любой порт/протокол
Глобальная сеть
Управляет 80B+ DNS запросов
ежедневно с 100% uptime
208.67.222.222
Интернет-
активность на
уровнях DNS и IP
ЛАБОРАТОРИИ
БЕЗОПАСНОСТИ
Домены, IP, URL
Детектирование угроз на месте
Пользовательские и другие потоки
информации
Платформы информации об угрозах
IOCs
Игтеграция под ключ и пользовательски API
Облачная консоль управления
Фильтрация на основе местоположения
и безопасности
Настраиваемые страницы блокировки
Интеграция с AD
Off-network, Roaming Devices
Облачная консоль постороения отчетов
реального времени
Policies
Logs
Logs
On-Network Devices
Category Identity
WEB КОНТЕНТ AD USERNAME
CLOUD SERVICE INTERNAL NETWORK
ODNS THREAT INTEL ROAMING COMPUTER
CUSTOM IOC FEED AD COMPUTER
OpenDNS Umbrella
Прогностические технологии
Контроль 2% всей мировой Интернет-
активности и возможность
долговременного хранения логов
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Talos
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity &
Access Control
Email
DNS, IP & BGP

Сокращение времени на обнаружение и
снижение влияния
Рабочие
станции
Сеть
Ключ Запись BlockAlertAllow
Web и Email
Усиленная защита
Постоянный мониторинг активности файлов, обнаружение
скрытых угроз, ограничение и реагирование
Блокирование известных и
развивающихся угроз
Continuous Analysis & Retrospective SecurityIntelligence моментальная защита
.exe
Статический и
динамический
анализ
Контроль
атак
Ретроспектива
Траектория
устройства
Эластичный
поиск
Распространенность
Траектрория файла
Уязвимости
Endpoint
IOCs
One-to-One
Signatures
Fuzzy
Fingerprinting
Machine
Learning
Advanced
Analytics
Глобальная
об угрозах
Репутация
IoC
Политики на
основе групп и
пользователей
Анализ в
песочнице
Развертывание
Консоль управления AMP Cloud
Админ
безопасности
Перед Во время После
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP

Вы доверяете своему вендору?
16 апреля 2015 года
http://www.zdnet.com/article/pal
o-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии

Почему так важна Threat Intelligence
сегодня?!
• Threat Intelligence – знание (включая процесс его
получения) об угрозах и нарушителях, обеспечивающее
понимание методов, используемых злоумышленниками
для нанесения ущерба, и способов противодействия им
• Оперирует не только и не столько статической
информацией об отдельных уязвимостях и угрозах,
сколько более динамичной и имеющей практическое
значение информацией об источниках угроз, признаках
компрометации (объединяющих разрозненные сведения
в единое целое), вредоносных доменах и IP-адресах,
взаимосвязях и т.п.

Решения Cisco Threat Intelligence
• Cisco AMP Threat Grid
• Cisco OpenDNS Investigate
• Cisco IntelliShield Information Service
• Cisco PSIRT openVuln API
• Cisco Threat Awareness Service
• Проекты Cisco AEGIS / ASPIS
• Cisco Active Threat Analytics (ATA)

Talos в основе всей ИБ-стратегии Cisco
Threat
Grid
ЦОД
OpenDNS
Umbrella
CWS/CES CloudLock
AnyConnect
ISE
Интернет
On-Premises
Телеработник
TrustSec
AMP
CloudCenter
Firepower
Management
Center
Cisco
Defense
Orchestrator
Multi-cloud API
NGIPS
Stealthwatch
Легенда
On-Premesis
Для облака
Из облака
Защита
Видимость
Контроль доступа
NGFWv
ASAv
CSRv
NGFW
DDoS
AMP
Cisco
Router
-или-
NGFW
NGFWvASAv AMP
Stealthwatch Cloud

Число угроз постоянно растет
= 10000
1,5 миллиона
образцов
(семплов)
вредоносного
кода ежедневно

Число угроз постоянно растет
Спам
составляет
86% от всего e-
mail-трафика

Оцените масштаб проблемы
=
В мире проживает
7,3 миллиарда человек
Около 3-х угроз
на каждого
жителя Земли
приходится
ежедневно

5 департаментов
DNS-запросов в день
80 МЛРД
Файлов / семплов в день
18.5 МЛРД / 1,5 МЛН
Web-запросов в день
16 МЛРД
сообщений email в день
600 МЛРД

С чем сравнить?
= 1 миллиард
(на начало декабря 2016 года)
1,5 миллиона
образцов
кода
ежедневно
(10 миллионов
в неделю)
Cisco
2 миллиона
образцов
кода в
неделю
ЛК

П Р О Д У К Т Ы
С Е Р В И С Ы О Б Н А Р У Ж Е Н И Я
Email
ESA | ClamAV
SpamCop
SenderBase
Email Reputation
Malware
Protection
URL, Domain, IP
Reputation
Phishing
Protection
Spoof & Spam
Detection
Open Source
Snort Rules
ClamAV Sigs
ClamAV
Vulnerability
Protection
Malware
Protection
Policy & Control
ПК
AMP
ClamAV
Cloud & End
Point IOCs
Malware
Protection
IP Reputation
Облака
CWS
CES
OpenDNS
URL, Domain, IP
Reputation
Malware
Protection
AVC
Web
WSA
CWS
URL, Domain, IP
Reputation
Malware
Protection
AVC
Сеть
FirePower/ASA
ISR
Meraki
Policy & Control
Malware
Protection
URL, Domain, IP
Reputation
Vulnerability
Protection
Услуги
ATA
IR
Cloud & End
Point IOCs
Malware
Protection
URL, Domain, IP
Reputation
Vulnerability
Protection
Custom
Protection
Разведка
ThreatGrid
Cloud & End
Point IOCs
Malware
Protection
URL, Domain, IP
Reputation
Network
Protection
«Продукты» Cisco Talos

Решения Open Source, разработанные
Cisco Talos
Публично доступные
инструменты
• Обнаружение и
предотвращение угроз: Snort,
ClamAV, Razorback,
Daemonlogger & MBRFilter
• Исследования угроз:
LockyDump, FIRST
• Обнаружение и
нейтрализация уязвимостей:
Moflow, FreeSentry

TTP
Инструменты
Сетевые / хостовые
артефакты
Доменные имена
IP-адреса
Хеши
Иерархия данных об угрозах (IoC)
Стандартное
предложение
Cisco
Cisco AEGIS
Cisco ATA

Адреса IPv4 Домены / FQDN
Хэши (MD5,
SHA1)
URL
Транзакционные
(MTA, User-
Agent)
Имя файла /
путь
Mutex
Значение
реестра
Имена
Адреса e-mail
Распространенные IoC

Решения безопасности Cisco Решения безопасности не-Cisco
Интегрированный анализ malware и информация об
угрозах
Подозрительный
файл
Отчет
анализа
Граница
Endpoints
ASA w/
FIREPOWER
Services
ESA
CTA
WSA
AMP для
Endpoints
AMP
для сетей
Динамический анализ
Статический анализ
Информация об угрозах
AMP Threat Grid
Основные
потоки контента
Интеграция
партнеров
Платформы
мониторинга
S E C U R I T Y
DPI
Риски,
законодательство
, соответствие
SIEM
SOC / CSIRT
Подозрительный
файл
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP

• Платформа для глубокого анализа
вредоносного кода
• Доступ через портал, выделенное устройство или
с помощью API
• Может применяться при построении
собственных систем Threat Intelligence,
SOC или при создании служб
реагирования на инциденты
• Может интегрироваться с различными
инструментами для проведения
расследований – EnCase, Maltego и т.п.
Cisco AMP Threat Grid

Детальный анализ вредоносного ПО в
AMP Threat Grid

• Доступ к порталу
• Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода
• Приватная маркировка загружаемых семплов (опционально)
• Устройство Threat Grid (опционально) позволяет загружать семплы на него, без
загрузки в облако
• Интеграция с решениями Cisco
• AMP for Endpoints
• AMP for Networks (FP / ASA)
• AMP for WSA / CWS
• AMP for ESA / CES
• API для автоматизации передачи семплов в Threat Grid включен во все
лицензии с подпиской
Типовые сценарии использования AMP
Threat Grid

Интеграция и автоматизация механизмов
обеспечения безопасности
§ Cisco® AMP Threat Grid REST API позволяет автоматизировать отправку образцов, получение новой
информации и получение результатов
− Автоматизация отправки из различных модулей
− Простой возврат результатов
Your Existing Security
Обеспечение максимальной отдачи от вложений в безопасность
Получение
данных об
угрозах
Потоки аналитики
об угрозах
МСЭ
Сенсоры
в сети
SIEM Управление
журналами
Партнеры по
отрасли
Средства
защиты хостов
Шлюз/прокси
IPS/IDS
Threat Grid

Развертывание вне облака – на
территории заказчика
§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid
§ В целях соблюдения нормативных требований все данные остаются на территории заказчика
§ Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для
актуализации контекста
§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§ TG5000:
§ Анализ до 1500 образцов в день
§ Cisco UCS C220 M3 Chasis (1U)
§ 6 x 1TB SAS HDD (аппаратный RAID)
§ TG5500:
§ Анализ до 5000 образцов в день
§ Cisco UCS C220 M3 Chasis (1U)
§ 6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты

Интеграция AMP Threat Grid с другими ИБ-
решениями

• Фиды (feeds) – способ представления данных об угрозах
• Поддержка различных языков программирования
и форматов данных
• JSON
• XML
• CyBOX
• STiX
• CSV
• И другие
Фиды Threat Intelligence

Фиды AMP Threat Grid
• autorun registry
• banking DNS
• dll-hijacking-dns
• document (PDF, Office) Network
Communications
• downloaded-pe-dns
• dynamic-dns
• irc-dns
• modified-hosts-dns
• parked-dns
• public-ip-check-dns
• ransomware-dns
• rat-dns
• scheduled-tasks
• sinkholed-ip-dns
• stolen-cert-dns

• Поддержка различных форматов данных
• JSON
• CSV
• Snort
• STIX
Форматы AMT Threat Grid

Мы можем стать поставщиком сигнатур
атак для отечественных IDS и ГосСОПКИ
Сигнатуры
Cisco Talos
Бесплатные
Платные
Под заказ
Emerging
Threats
ET Open
ET Pro
Idappcom Платные
Wurldtech
Платные
(для ICS)
• Все поставщики сигнатур
разрабатывают их под
Snort (стандарт де-факто)
• Bro и Surricata могут
использовать сигнатуры
Snort-style
• Российские
«разработчики» IDS
обычно используют
сигнатуры ET

OpenDNS
Umbrella (защита)
Реализация защиты на DNS & IP
уровнях
Investigate (разведка)
Понимание Интернет-
инфраструктуры, используемой
атакующими для атак и определение
текущих и будущих вредоносных
узлов
Что такое OpenDNS?

NOTE1: Visual Investigations of Botnet Command and Control Behavior (link)
• malware reached out to 150,000 C2 servers over 100,000 TCP/UDP ports
• malware often used 866 (TCP) & 1018 (UDP) “well known” ports,
whereas legitimate traffic used 166 (TCP) & 19 (UDP) ports
NOTE2: Forthcoming 2016 Cisco Annual Security Report
• 9% had IP connections only and/or legitimate DNS requests
• 91% had IP connections, which were preceded by malicious DNS lookups
• very few had no IP connections
Zbot
ZeroAccess
njRAT
Regi
n
Gh0st
Storm
Pushdo/Cutwail DarkComet
Bifrose
Lethic
Kelihos
Gameover Zeus
CitadelTinba
Hesperbot
Bouncer (APT1)
Glooxmail
(APT1)
Longrun (APT1)
Seasalt
(APT1)
Starsypound (APT1)
Biscuit (APT1)PoisonIvy
Tinba
НЕ-WEB C2 ПРИМЕРЫ
DNS
WEBНЕ-WEB
IP IP
миллионы
уникальных
семплов ВПО из
ЛВС за последние 2
года
Lancope Research
(сейчас Cisco)1
15%C2 не использует
Web-порты 80 & 443
миллионы
уникальных семплов
ВПО загружены в
песочницу за
последние 6 месяцев
Cisco AMP Threat
Grid Research2
91%C2 может быть
блокировано на
DNS уровне
Зачем нужна защита на DNS-уровне?

Визуализация DGA для трояна Tinba

OpenDNS Investigate
Обнаружение существующих и будущих
вредоносных доменов и IP
Обзор всего Internet
Обогащение данных безопасности
дополнительным контекстом
Прохождение через инфраструктуру
атакующего
Видимость, откуда атакующих инициирует атаки и как
соединяются домены, IP, ASN и URL
Предиктивная информация
Мы применяем статистическую модель к историческим
данным и данным реального времени для того, чтобы
предсказать вероятно вредоносные домены, которые
могут быть использованы в будущих атаках.
Веб-консоль или
API
Простой,
скоррелированный
источник информации
Зарпрос
дополнительного
контекста
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP
Начало
Имена
доменов
IP адреса
Автономные
системы
Email адреса
Все ассоциированные
домены, IP, и ASN
Исторические данные
DNS
Данные записей
WHOIS
Значения репутации
Ассоциированные
аномалии (fast flux,
DGA’s, и т.д.)
Шаблоны запросов
DNS и IP геолокация

Быстрая идентификация доменов,
использующих ваш бренд

Автоматизация поиска интересующих
доменов

216.35.221.76:43173.236.173.144157.166.226.25
То, что вы
видите
сегодня
malware.exeperviyclass.su
perviylich.ruStatecollegenow.com
AS 3561AS 5662
bobnpr.comwww.cnn.com igloofire.com
216.35.221.76:43173.236.173.144157.166.226.25
Что если бы
вы видели
это?

Investigate: Наиболее эффективный метод
видеть угрозы
Консоль
API
SIEM, TIP
Ключевые пункты
Знания о доменах, IP и malware в
Интернет
Живой граф DNS запросов и другой
контекстной информации
Корреляция по статистической модели
Обнаружить и предугадать вредоносные
домены и IP
Дополнить данные безопасности
глобальным интеллектом
домены, IPs, ASNs, хэши файлов

Сеть посредников ZBot Fast Flux

WHOIS данные
§ Кто зарегистрировал домен
§ Использованная контактная
§ Когда/где зарегистрирована
§ Дата истечения регистрации
§ Исторические данные
§ Корреляция с другими
вредоносными доменами
Видеть взаимосвязь
между инфраструктурой
злоумышленников

Анализ вредо-
носных файлов
С помощью Cisco
AMP Threat Grid

Наш глобальный
контекст
Мы знаем все его
взаимосвязи
Ваши локальные знания
Вам известен
один IOC

INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и
геораспределение
База пассивной инф. DNS
Вендоры
конкуренты
Not available
Not available
Not available
Единый источник информации

Чувствуете
Locky?
• Через вложение Email в
фишинговой рассылке
• Шифрует и
переименовывает файлы с
.locky расширением
• Примерно 90,000 жертв в
день [1]
• Выкуп порадка 0.5 – 1.0 BTC
(1 BTC ~ $601 US)
• Связанны с операторами
Dridex

TTE: механизмы доставки файлов (Locky)
Злоумышленники быстро и часто меняют векторы атаки, чтобы их сложнее было обнаружить*
Эл. почта Веб

Ransomware: обнаружение инфраструктуры
злоумышленника
СЕНТЯБРЬ 12-26 DAYS
Umbrella
АВГУСТ 17
LOCKY
*.7asel7[.]top
?
Domain → IP
Ассоциация
?
IP → Sample
?
IP → Network
?
IP → Domain
?
WHOIS
?
Network → IP

91.223.89.201185.101.218.206
600+
Threat Grid files
SHA256:0c9c328eb66672e
f1b84475258b4999d6df008
*.7asel7[.]top LOCKY
Domain → IP
AS 197569IP → Network
1,000+
DGA domains
ccerberhhyed5frqa[.]8211fr[.]top
IP → Domain
IP → Sample
CERBER

-26 DAYS AUG 21
Umbrella
JUL 18
JUL 21
Umbrella
JUL 14 -7 DAYS
jbrktqnxklmuf[.]info
mhrbuvcvhjakbisd[.]xyz
LOCKY
LOCKY
DGA
Network → Domain
DGA
Угроза обнаружена в
день регистрации домена
Угроза обнаружена до
регистрации домена.
ДОМЕН
ЗАРЕГИСТРИРОВАН
JUL 22-4 DAYS

Визуализация инфраструктуры
нападающего
91.223.89.201
AS197569

Блокировка ransomware: Locky пример
домена
taddboxers.com (Дата обнаружения: Октябрь 8, 2016)

OpenDNS Investigate
Информация об
инфраструктуре атакующих
AMP Threat Grid
Информация о файлах
атакующих
173.236.173.144
IP источника & получателя
likelybad.com
HTTP/DNS трафик
Хостятся в 22
странах
baddomain.com
162.17.5.245 suspicious.com
создает .exe
файл в папкке
admin
.doc файл
модифирует
WINWORD.exe
модифицирует
реестр
другая
файловая
активность и
артефакты
Динамика
Мощь AMP Threat Grid и
Investigate

• Большое количество угроз и непредсказуемость времени их получения требует
автоматизации процесса Threat Intelligence и его интеграции с существующими
решениями класса SIEM или SOC
• Автоматизация может быть достигнута за счет API / SDK, который сможет
• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая
платформы TI
• Поддержка различных языков программирования
• Go и Ruby
• Java и .NET
• Perl и PHP
• Powershell и Python
• RESTful
• WSDL и SOAP
Threat Intelligence API

API для автоматизации процесса
ThreatGRID
Широкие возможности по загрузке и получении ответа
• Артефакты (хэш, путь)
• URL
• Ключ реестра
• Домен / имя узла
• IP
• IOC
• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)
OpenDNS
Анализ DNS/IP-адресов на предмет их вредоносности

Запрос информации об IP, домене,
ASN, e-mail или хэше файла
Возврат рейтинга SecureRank2, RIP или
Threat Grid
Статус вредоносного домена
Вредоносные взаимосвязи
Семплы ВПО, ассоциированные с
доменом или IP-адресом
Домены, использующие общий IP
OpenDNS INVESTIGATE API
ДОМЕНЫ, IP & ASN
TIP SIEM и др.
API

У меня есть фиды (IoC) и что дальше?
Фиды
«Yara»
SIEM
СрЗИ
Руки
J

Средства для поиска угроз на базе IoC
• Yara
• PowerShell
• AutoRuns – Utility
• Loki
• Wireshark – tshark
• И другие

Интеграция AMP Threat Grid с решениями
Cisco

Обеспечивает взгляд на угрозы,
исходящие из своей компании, и
направленной на нее
Постоянно отслеживает новые угрозы
Предлагает меры нейтрализации
Доступная всегда, каждый день
Проста в настройке и использовании
Это важно для сохранения сети в
Заказчики хотят Threat Intelligence которая:

Cisco Threat Awareness Service
Cisco® Threat Awareness Service это портальный, сервис
анализа угроз, который расширяет видимость угроз и
является доступным 24-часа-в-сутки.
• Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной
активности
• Идентификация скомпрометированных сетей и
подозрительного поведения
• Помогает компаниям быстро идентифицировать
скомпрометированные системы
• Обеспечение рекомендаций
• Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации
• Позволяет улучшить общую защищенность

Cisco Threat Awareness Service:
просто внедрить
Базируясь на технологиях Cisco, сервис Threat Awareness
Service не требует:
• Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности,
и цены с ростом эффективности threat intelligence

Cisco Threat Awareness Service

Опции Cisco Threat Awareness Service
Базовое предложение Премиум-предложение
Цена • Включен в Cisco Smart Net Total
Care™
• Дополнительный, платный сервис
Доступ к порталу • 24x7 через SNTC Portal • 24x7 через SNTC Portal
Ежедневные обновления • Да • Да
Число доменных имен • Ограничен 3 • Неограничено
Число диапазонов 256 IP адресов • Ограничен 3 • Неограничено
Exposed services • Open services • Open services
• Vulnerable services
Вредоносная активность • IP-адреса • IP-адреса
• Домены и URLs
DNS observations • Неожидаемые DNS имена • Неожидаемые DNS имена
• Observed DNS resolvers
Suspicious DNS requests • Не включены • DNS запросы из вашей сети к
хорошо известным вредоносным
сайтам

Firepower Management
Center
Сбор данных об угрозах
Генерация обогащенных
отчетов об инцидентах
Корреляция с данными от
сенсоров
Уточнение состояния
Ingest
Данные
Сенсоры Cisco Security
• Firepower NGFW
• FirePOWER NGIPS
• AMP
Threat Intelligence
Director
Новый продукт Cisco Threat Intelligence
Director
CSV

Отраслевые
организации
…позволяет использовать данные не
только от Cisco Talos
Источники
данных об
угрозах
Платформы
Threat
Intelligence

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88
Слепая зона

Нехватка логов
Разрыв в процессах
Нехватка
интеграции/масштабирования
Нехватка корреляции
Ложные срабатывания
Слепая зона
Неизвестно аналитику
Известно другим

Нехватка данных для анализа
• Syslog, CDR…Логи
• Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги
• E-mail, файлы, Web-страницы, видео/аудио…Контент
• Netflow, IPFIX…Потоки
• Имена пользователей, сертификаты…
Идентификационные
данные

Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
T T
Thi
s
T
T
T
T
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
Доступ
Облачный
шлюз
T
hi
Облачный
шлюз
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Откуда брать данные?

Объединяя типы данных и места их сбора
Место съема
данных
Источник данных
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Интернет-
периметр
Сервер DHCP ✔
Сервер DNS ✔
DLP ✔ ✔ ✔
WAF ✔ ✔
NAC ✔ ✔
Маршрутизатор ✔ ✔
…

Объединяя типы данных и индикаторы
Категория
индикатора
Индикатор
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Системная
активность
Неудачные попытки входа ✔ ✔
Доступ к нетипичным ресурсам ✔ ✔
Утечка данных ✔ ✔ ✔ ✔ ✔
Изменение привилегий ✔ ✔ ✔ ✔
Нетипичные команды ✔ ✔ ✔
Нетипичные поисковые запросы ✔ ✔ ✔ ✔
…

Почему не только периметр…
16 апреля 2015 года
http://www.zdnet.com/article/pal
o-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии

Хакер не обязательно идет через периметр

И даже если у вас нет Wi-Fi, вас могут
через него атаковать

Подмена Wi-Fi-точки доступа и перехват
паролей
Видео-демонстрация

Помните кино «Хакеры»?

Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…
Вы их контролируете?

А еще существует взлом через
переговорную комнату

Как попасть в помещение?

Что вы будете делать, если найдете
флешку у дверей офиса?
Любопытство возьмет верх или нет?

Многие подбирают J

Еще немного кино

• Elastic Search
• Log Stash
• Kibana
• Splunk
• Security Onion
• Flowplotter
• Wireshark - tshark
• Network Miner
• Snort
• Suricata
• BRO
• Flowbat
Средства сбора и анализа сетевой
телеметрии

Сеть как масштабируемый источник знаний
Interwebs
Internal
Network
Ключевые NetFlow поля
• Packet count
• Byte count
• Source IP address
• Destination IP address
• Start sysUpTime
• End sysUpTime
• Packet count
• Byte count
• Input ifIndex
• Output ifIndex
• Type of Service
• TCP flags
• Protocol
• Next hop address
• Source AS number
• Dest. AS number
• Source prefix mask
• Dest. prefix mask
Использование
Время
Где
QoS
От/Куда
Использование
Роутинг и
пиринг
NetFlow Data
NetFlow Collector

Анализ NetFlow – путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информации
для каждого сетевого соединения
Каждое сетевое соединения
в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты,
время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент
для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n
семплов

THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
Вспомним распечатку мобильного оператора

Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
Вспомним распечатку мобильного оператора

Кто КудаЧто
Когда
Как
Откуда
Больше контекста
Высокомасштабиуремый сбор
Высокое сжатие => долговременное
хранилище
NetFlow с точки зрения контекста

© 2015 Lancope, Inc. All rights reserved. Lancope Confidential Information.
Stealthwatch
Management
Console
UDP Director
FlowCollector
NetFlow,
syslog, SNMP NetFlow-инфраструктура
FlowSensor
Cloud License
Контекст о
пользователях и
устройствах
Cisco ISE
Фиды по угрозам
Унифицированный вид:
Безопасность и Сетевой
Мониторинг
ProxyWatch

NAT/ProxyПользова-
тели
Угрозы LAYER 7TrustSec Группы /
сегменты
ОблакаИнтерфейсы
Клиент Сервер Трансляция Сервис Пользовател Приложение Трафик Группа MAC SGT
1.1.1.1 2.2.2.2 3.3.3.3 80/tcp Doug http 20M location 00:2b:1f 10
Основная идея
Сессии | 100% сетевая подотчетность
События ИБСобытия Поведенческая аналитика
Видимость и контекст
Планирование
МСЭ
Сегментация
Сетевые
операции
Визуализация
сети
Мониторинг
TrustSec
Угроза
инсайдеров
Сценарии применения

Унифицированный взгляд на внутреннюю ИБ

Невзирая на масштаб сети
Группирование
хостов

Категории тревог
Concern Index: Отслеживает
хосты нарушающие целостность
сети
Target Index: Показывает хосты,
которые являются жертвами атак.
Recon: Указывает на присутствие
неавторизованного и
потенциально опасного
сканирования
Command and Control:
Показывает наличие
инфицированных ботами
серверов и хостов
связывающихся с C&C серверами
Exploitation: Отслеживает
прямые попытки компрометации
между хостами, такие как
распространение червей и
перебор паролей.
DDoS Source: Показывает что
хост был идентифицирован
источником DDoS атаки.

Категории тревог
DDoS Target: Показывает что хост
был идентифицирован жертвой
DDoS атаки.
Data Hoarding: Показывает что
хосты источника или назначения в
сети загрузили необычно большой
объем данных с одного или
нескольких хостов
Exfiltration: Отслеживает
внутренние и внешние хосты к
которым передается необычно
большое количество данных
Policy Violation: Субъект
показывает поведение которое
нарушает нормальную сетевую
политику.
Anomaly: Отслеживает события
показывающие что хост ведется
себя не нормально или
генерирует активность
несовпадающую с другими
категориями активностей.

Отслеживание информационных потоков
и нарушений сегментации
Хостовые группы
Взаимодействие
Запрещенное
взаимодействие

Нарушение политик: Host Locking
Клиентская
группа Серверная группа
Условия клиентского
трафика
Условия серверного
трафика
Удачно или неудачно

Быстрое блокирование угрозы с помощью
Cisco StealthWatch и Cisco ISE
Quarantine/Unquarantine через pxGrid
Identity
Services
Engine
StealthWatch
Management
Console

Комбинируя nvzFlow с NetFlow
Sw1 ASA
Доверенная сеть VPN
• Вспомогательный NetFlow из сети требуется
• VPN и Trusted network
• Полная видимость и все алгоритмы работают
• Уникальные nvzFlow атрибуты применяются к
двусторонней записи потока что помогает
проводить работу по расследованию
инцидентов

Превратите вашу сеть в сенсор обнаружения
угроз
Разделение
информации
Реагирование
PRIME
BIG DATA
SDN
Будущее
SDN
Информация
Данные
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP
ISE
ASA
WSA
Router/Switch
AMP
AnyConnect
Телеметрия
SIO
ISE
CTA
Threat Grid
SLIC
Контекст

Cisco CSIRT о своей практике
использования Stealthwatch
https://youtu.be/FEmAmsajBtI

Cognitive Threat Analytics
Анализ web-логов от прокси
Интеграция
Интеграция с Cisco ISE, Cisco AMP for
Endpoint, Cisco AMP for Networks и SIEM
для блокирования и анализаугроз
Широкий спектр угроз
Утечки данных, коммуникации с C2-серверами,
DGA, эксплойт-киты, туннелирование через
HTTP/HTTPS
Мониторинг угроз
Мы применяем статистическую модель к историческим
данным и данным реального времени для того, чтобы
обнаружить зараженные и скомпрометированные узлы и
пользователей в сети
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Tal
os
Anomaly
Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP

Для слепой зоны нужны корреляция
Корреляция
Приложения Сеть
Физический
мир

Threat Intelligent
Platforms
• Агрегация
телеметрии из
множества
источников
Аналитика ИБ
• OpenSOC
(Metron),
Splunk, SIEM,
ELK
Облачные
решения
• CTA,
OpenDNS
• Sec-aaS
Что помогает обнаруживать угрозы в слепой
зоне?

Контекст
Корреляция событий
Исторический контекст
Базовый профиль (эталон)
Анализ данных
Скрытая зона
Известно аналитику
Не
известно
другим

• У вас могут быть свои подозрительные
файлы
• Вы можете не хотеть «делиться» вашими
анализами с другими
• Вас может не устраивать оперативность
фидов
• Ваш источник фидов может плохо
охватывать Россию
• У вас собственная служба расследования
инцидентов и аналитики вредоносного кода
• Вы пишете вредоносный код J
А разве фидов недостаточно?
Данные об угрозах в RSA Security Analytics
Данные об угрозах в EnCase Endpoint Security

Возможность анализа собственных угроз
https://www.threatgrid.com
Загрузка собственных угроз
• С помощью API в облако
• С помощью API на локальное
устройство on-premise
• Вручную через портал
OpenDNS
Запрос по собственным запросам
• С помощью API в облако
• Вручную через портал

• Активы/Сеть
• Сетевая топология
• Профиль актива
• Адрес/местоположение
• Аппаратная платформа
• Операционная система
• Открытые порты/Сервисы/Протоколы
• Клиентское и серверное ПО и его версия
• Статус защищенности
• Уязвимости
• Пользователь
• Местоположение
• Профиль доступа
• Поведение
Что мы знаем и не знают другие?
• Файл/Данные/Процесс
• Движение
• Исполнение
• Метаданные
• Источник
• «Родитель»
• Репутация
• Безопасность
• Точечные события
• Телеметрия
• Ретроспектива

èМСЭ / NGFW / NAC
èIDS / IPS
èNBAD
èAV / BDS
SIEM / LM
X
X
X
X
Откуда эти данные взять?
X
èФильтрация контента
èА еще ОС, СУБД…

На что обращать внимание?!
Активность
• Системная
(изменение
поведения ИТ-
систем или
шаблонов
доступа)
• Объектовая
(шаблоны
местонахождения
и времени)
• Бизнес
Контекст
• Социальный
(социальные
коммуникации)
• Здоровье /
психология
(изменения в
психологии и
здоровье)
• HR (непростые
жизненные
события)
• Финансовая
(непредвиденные
или неожиданные
траты)
• Безопасность
(нарушения
политик ИБ)
• Криминальная

Источники данных для анализа
Внутренние
• Телеметрия (Netflow, DNS,
PCAP, syslog, телефония,
GSM и т.п.)
• Критичные ресурсы
• СКУД (местоположение,
GSM, CCTV, бейджи и т.п.)
• Данные о персонале (HR,
проверки СЭБ и т.п.)
Внешние
• Данные от
правоохранительных
органов
• Банковские выписки
• Выписки ДМС,
медосмотры

• Неудачные попытки входа в системы
• Доступ к нетипичным ресурсам
• Профиль сетевого трафика
• Утечки данных (по объему, типу сервиса и контенту)
• Нетипичные методы доступа
• Изменение привилегий
• Нетипичные команды
• Нетипичные поисковые запросы
Выбрать индикаторы

• Модификация логов
• Нетипичное время доступа
• Нетипичное местонахождение
• Вредоносный код
• Модификация или уничтожение объектов ИТ-инфраструктуры
• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)
Выбрать индикаторы

Обычно мы оперируем только
низкоуровневыми данными
Данные Информация Знания

Время Внутр.адрес Внеш.адрес
2:03 10.0.0.1 64.25.1.2
8:03 10.0.0.2 33.79.3.14
8:30 10.0.0.2 121.9.12.5
8:32 10.0.0.1 64.25.1.2

Время Внутр.адрес Пользователь Внеш.адрес
2:03 10.0.0.1 Гость 64.25.1.2
8:03 10.0.0.2 Иван Петров 33.79.3.14
8:30 10.0.0.2 Иван Петров 121.9.12.5
8:32 10.0.0.1 Гоьст 64.25.1.2

Время Внутр.адрес Пользователь Внеш.адрес Репутация
2:03 10.0.0.1 Гость 64.25.1.2 Unknown
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted
8:32 10.0.0.1 Гость 64.25.1.2 Bad
?

Время Внутр.адрес Пользователь Внеш.адрес Время Приложение
2:03 10.0.0.1 Гость 64.25.1.2 Unknown Web
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted Web
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted Email
8:32 10.0.0.1 Гость 64.25.1.2 Bad Unknown
?

От данных к анализу информации
Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение

От анализа информации к знаниям
Пользователь ‘Гость’
вероятно был
инфицирован в 2:03,
посещая 64.25.1.2,
затем контактируя с
сервером C&C в 8:32
Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение

Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам
P
Что
Когда
Где
Как
Дверь в
сеть
Контекст
Обмен
данными
Контекст очень помогает в слепой зоне

Распознавание широкого спектра
устройств

Оценка соответствия устройств
Оценка состояния
Убедиться в соответствии политике устройства перед предоставлением доступа
Аутентификация
Authenticate
User
Authenticate
Endpoint
Posture =
Unknown/
Non-compliant
Карантин
dVLAN
dACLs
SGT
OS
Hotfix
AV / AS
Personal FW
More….
Исправить
WSUS
Launch App
Scripts
Etc…
Posture =
Compliant
Авторизовать
Permit
Access
•dACL
•dVLAN
•SGT
•Etc…
Возможности
• Различные агенты используются
для оценки состояния (Anyconnect
+ Web Agent)
• Обязательный, опциональные и
режим аудита дают гибкость в
развертывании
• Возможность построения
детальных правил с
использование разных критериев.
• Поддержка периодической
проверки и автоматического
исправления
AnyConnect

Оценка соответствия мобильных устройств
Интеграция решений MDM
Проверка соответствия мобильных устройств
• Позволяет делать
мультивендорную интеграцию в
ISE инфраструктуре
• Макро и микро-уровень оценки
(Pin Lock, Jailbroken status)
• MDM атрибуты доступны как
опциив политике (Производитель,
Модель, IMEI, Серийный номер,
ОС Версия, Номер телефона)
• Контроль устройства в ISE из
портала Мои устройства (Device
Stolen àWipe Corporate data)
Интернет
4
1 2
3
Регистрация в ISE
Разрешить интернет
доступ
Регистрация в MDM
Разрешить доступ
в корп. сеть

Данные об угрозах и уязвимостях для
принятия решений
Инциденты/угрозы Уязвимые устройства
VAF VAF
Учет данных об угрозах
и сведений об уязвимостях
при управлении доступом
Защита с
использованием
инфраструктуры
• Обнаружение уязвимых IOT-устройств
• Автоматизация изоляции уязвимых
устройств по CVSS
• Оперативное реагирование на конкретную
уязвимость
Cisco ISE
Показатели уязвимостей Метрика угроз

Типовая для отрасли практика оценки уязвимости с помощью CVSS
Контроль доступа уязвимых узлов

Улучшенный контроль с помощью авторизации на
основе местоположения
Авторизация на основе местоположения
Администратор определяет
иерархию местоположения и
предоставляет пользователям
конкретные права доступа на
основе их местоположения.
Преимущества
Что нового в ISE 2.0?
Интеграция платформы Cisco Mobility
Services Engine (MSE) позволяет
администраторам максимально
использовать ISE для авторизации
сетевого доступа на основе
местоположения пользователя.
Улучшенная реализация
политики
с помощью автоматического
определения местоположения и
повторной авторизации
Упрощенное управление
благодаря настройке авторизации
с помощью инструментов
управления ISE
Детализированный контроль
сетевого доступа с помощью
авторизации на основе
местоположения для отдельных
• Конфигурация иерархии местоположений по всем объектам местоположения
• Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения
• Повторное предоставление доступа на основе нового местоположения
С интеграцией платформы Cisco Mobility Services Engine (MSE)
Холл Палата Лаборатория
Скорая
помощь
Врач
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Данные
пациента
Местоположения для
доступа к данным
пациента
Палата
Скорая помощь
Лаборатория
Холл

Включите средство унифицированного реагирования с
обменом контекста
Cisco Platform Exchange Grid (pxGrid)
Когда
Где
Кто
Как
Что
Cisco и партнеры
Экосистемы
ISE
Cisco сеть
pxGrid
controller
ISE собирает контекст
из сети
1
Контекст обменивается
по технологии pxGRID
2
Партнеры используют
контекст для повышения
видимости и борьбы с
угрозами
3
Партнеры могут
запросить ISE о
блокировке угрозы
4
ISE использует данные
партнера для
обновления контекста и
политики доступа
5
Контекст
32
1
45

Netflow
NGIPS
StealthWatch
AMP
AMP Threat Grid
FireSIGHT MC
CWS
WSA
ESA
FirePOWER Services
ISE это краеугольный камень ваших Cisco решений
ISE
Как ЧтоКтоГдеКогда
Во
время
ПослеДо

Быстрое сдерживание распространения угроз
Быстрое сдерживание распространения угроз с помощью FMC и ISEЧто нового в ISE 2.0?
Центр FMC Cisco совместно с ISE
идентифицирует и обращается к
подозрительному действию на основании
предустановленных политик безопасности.
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
FMC обнаруживает
подозрительный файл и
уведомляет ISE с помощью
pxGrid, изменяя тег группы
безопасности (SGT)
на подозрительный
Доступ запрещается
каждой политикой
Автоматические уведомления
Максимальное использование
ANC ISE для уведомления сети о
подозрительной активности в
соответствии с политикой
Раннее обнаружение угроз
FireSight сканирует активность и
публикует события в pxGrid
Корпоративный
пользователь загружает
файл
растущей экосистемы партнеров и
обеспечение быстрого сдерживания
распространения угроз благодаря
интеграции с ISE
FMC сканирует
действия пользователя
и файл
В соответствии
с новым тегом,
ISE распространяет
политику по сети

Легко интегрируется с партнерскими
решениями
Как ЧтоКтоГдеКогда
ISE pxGrid
controller
Cisco
Meraki
SIEM EMM/MDM Firewall
Vulnerability
Assessment
Threat
Defense
IoT IAM/SSO PCAP
Web
Security
CASB
Performance
Management

Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы —
новые партнеры pxGrid
Межсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы
Структура pxGrid позволяет Cisco
интегрироваться с партнерами экосистемы
для предоставления пользователям решения,
которое соответствует существующей
инфраструктуре.
Снижение затрат
Сокращение ресурсов, требуемых для
событий безопасности и сети, благодаря
упрощению доступа
к сети Cisco
Улучшенный мониторинг сети
Обеспечение мониторинга действий
пользователей и устройств в целях
аналитики и создание отчетов
о событиях
Упрощенное управление
Единое место для управления
политиками благодаря интеграции ISE с
решениями сторонних производителей
Новые партнеры ... войдут в экосистему быстрого сдерживания распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и
создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев
нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из
многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события
безопасности.
Межсетевой экран и контроль доступа

Теперь заказчики могут разворачивать
такие сервисы ISE, как профилирование,
оценка состояния, гостевой доступ и
BYOD на устройствах сетевого доступа,
произведенных сторонними
производителями (не Cisco).
Обеспечение такого же высокого уровня безопасности,
но для большого количества устройств
Систематическая защита
Развертывание платформы ISE на
всех сетевых устройствах, включая
сторонних производителей
Упрощение администрирования
заранее настроенных шаблонов
профилей для автоматического
конфигурирования доступа
устройств сторонних
производителей (не Cisco)
Увеличение ценности
Получение дополнительной
ценности на базе
существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных
устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для
работы с ISE
• Устройства сетевого доступа сторонних
производителей (не Cisco) могут работать с
обычными стандартами 802.1x
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
Интеграция с устройствами сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в
ISE 2.0
Профилирование
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco

Доступ
Доверие
Меньше доверия
Меньше доступа
Больше доверия
Меньше доступа
Меньше доверия
Больше доступа
Больше доверия
Больше доступа
«Интернета вещей»
(BMS, принтеры,
СКУД и т.п.)
Другое
Управляемые Cisco
Устройства других
компаний
• Ограниченные возможности
по управлению
• Политика ограниченного доступа
• Регистрация устройств
• Пользовательские устройства
• Устройства, зарегистрированные
Cisco Device Management Suite
• Управляемые, но не входящие в
Cisco Device Management Suite
• Бизнес или технические
ограничения
Опыт использования контекста в Cisco

Кто?
Известные пользователи
(Сотрудники, продавцы, HR)
Неизвестные пользователи
(Гости)
Что?
Идентификатор устройства
Классификация устройств
(профиль)
Состояние устройства (posture)
Как?
Проводное подключение
Беспроводное
подключение
VPN-подключение
Где / куда / откуда?
Географическое
местоположение
Департамент / отдел
SSID / Порт коммутатора
Когда?
Дата
Время
Другие?
Пользовательские
атрибуты
Статус устройства /
пользователя
Используемые
приложения
Опыт использования контекста в Cisco

Опыт Cisco: контроль доступа с Cisco ISE
Тип
МестоположениеПользователь Оценка Время Метод доступа
Прочие
атрибуты

Что помогает обнаруживать угрозы в
скрытой зоне?
Визуализация
• Траектория
файлов
• Вектора атак
• Имитация пути
злоумышленника
Аналитика ИБ
• Пользовательские
запросы в
OpenSOC (Metron),
Splunk, SIEM, ELK
Контекст
• Identity Firewall
• NAC
• ISE

Визуализация угрозы

• Threatcrowd.org позволяет
организовать поиск
взаимосвязей между IOCs:
• IP-адреса
• Доменные имена
• Хеши файлов
• Имена файлов
• Аналогичную задачу можно
реализовать с помощью
OpenDNS, Maltego, а также
OpenGraphitti
Визуализация скрытых связей

Визуализация скрытых связей
OpenGraphitti

Неизвестная зона

Есть известные известные — вещи,
о которых мы знаем, что знаем их.
Есть также известные неизвестные
— вещи, о которых мы знаем, что не
знаем. Но еще есть неизвестные
неизвестные — это вещи, о которых
мы не знаем, что не знаем их
Бывший министр обороны США
Дональд Рамсфельд

Выпадающие события / «Черный
лебедь»
Аномальное поведение
0-Days
Еще нет сигнатур/решающих правил
Не известно аналитику
Не
известно
другим

Обнаружение угроз в неизвестной зоне
Неизвестное
неизвестное
Анализ
поведения
Машинное
обучение
Статистический
анализ

Обнаружение аномалий и классификация
событий
аномалий
• Скажи мне если
произойдет что-
то необычное
Классификация
• Скажи мне
когда ты
увидишь нечто,
похожее на это

Обнаружение аномалий по поведению
Collect & Analyze Flows
1 2
• # Concurrent flows
• Packets per second
• Bits per second
• New flows created
• Number of SYNs sent
• Time of day
• Number of SYNs received
• Rate of connection resets
• Duration of the flow
• Over 80+ other attributes
Установление базового уровня
поведения
Alarm on Anomalies & Changes in Behavior
Граничное значение
Граничное
значение
Критичные
сервера
Exchange
Сервер
Web Сервера Маркетинг
Аномалия обнаружена в
поведении хоста
3
Сбор и анализ потоков

От телеметрии к угрозам
Аномалии
Вредоносная
активность
• Без сбора и анализа
телеметрии мы никогда не
получим информации об
аномалиях
• Знание аномалий еще не
дает нам знания об угрозах и
вредоносной активности

172
Network as a Sensor
Сеть
CAT
ISR
ASR
Nexus
ИБ/Контекст
Firewall
VPN
Proxy
Identity
Meraki
UCS
ISE
Stealthwatch + ISE
Stealthwatch ISE
Stealthwatch
Learning Network

173
Сеть
Network as a Sensor
ИБ/КонтекстStealthwatch + ISE
Firewall
VPN
Proxy
Identity
Meraki
UCS
ISE
CAT
ISR
ASR
Nexus Stealthwatch ISE
Stealthwatch
Learning Network

174
Обнаружение аномалий в удаленных офисах
Безопасность для Cisco 4000 Series Integrated Services Router
Stealthwatch
Learning
Network
License
Cisco Umbrella
Branch
(OpenDNS)
Zone-Based
Firewall
(ZBFW)
VPN
Cloud
Web Security
(CWS)
FirePOWER

175
Что надо сделать, чтобы запустить процесс обучения
аномалиям в филиале?
Определить пути трафика
Построить карту адресов
IP для изучения
окружения
Изучить движение
трафика, объемы,
шаблоны, временные
характеристики
Идентифицировать
приложения в сети по
протоколам и портам
Изучение отклонений
нормального от
аномального
Точное обнаружение
аномалий; возможность
оператору реагировать
на них
3
2
6
4
1
5

176
В чем новизна обучающихся сетей?
Текущие решения по безопасности Stealthwatch Learning Network License
§ Состоят из специализированных
устройств безопасности, подключенных к
сети, такие как МСЭ и IDS/IPS
§ Сильно зависят от известных сигнатур
для обнаружения известных угроз
§ Обладают ограниченной
приспособляемостью, приводящей к
пропуску угроз
§ Адаптивная
§ Использует машинное обучение для
обнаружения продвинутых и скрытных
угроз
§ Фокусировка на 0-day атаках
§ Использует ISR 4000 как
распределенный аналитический движок
(сенсор) и систему безопасности
(enforcer)

177
Преимущество обучающихся сетей
Традиционные системы обнаружения
аномалий
Stealthwatch Learning Network License
§ Фокусировка на обнаружении как можно
большего числа событий
§ Создает множество ложных
срабатываний и не относящихся к делу
угроз
§ Работает в одиночку и число
обнаружений не является лучшим
показателем эффективности
§ Централизованное решение, зависящее
от сетевой телеметрии
§ Быстрое, эффективное, точное
обнаружение
§ Сеть учится на собственных ошибках и
сводит к минимуму количество ложных
срабатываний
§ Обнаруживает и объединяет множество
индикаторов в аномалию
§ Распределенное решение, независящее
от полосы пропускания и мощности
процессора

178
Архитектура обучающихся сетей
• Управляет агентами на множестве
маршрутизаторов
• Обеспечивает расширенную визуализацию
аномалий
• Интерфейс централизованного управления
• Взаимодействие с другими источниками
данных ИБ
• Сбор данных с извлечением знаний из NetFlow
или захваченных сетевых пакетов и сессий
• Встроенное моделирование поведения и
обнаружение аномалий в реальном времени
• Встроенный автономный контроль, применение
политик безопасности локально
Филиал 1 Филиал 2
Public/
Private
Internet
Threat
Intelligence
Feeds
Cisco
Identity
Services
Engine ISE

Не только NetFlow
• Поймите, что для вас норма и отслеживайте отклонения от нее с
учетом дельты
Визуализация аномалии в виде превышения числа HTTP ошибок

Попробуйте определить аномалию в DNS-
трафике

Машинное обучение (искусственный интеллект)
Известные
варианты
угроз
Автоматическая
классификация
Неизвестные
угрозы
Полностью
автоматическое
обучение
Автоматическая
интерпретация
результатов
Глобальная
корреляция по
всем источникам
IoC по одному
или нескольким
источникам
Один источник
(DNS, e-mail, web,
файл и т.п.)
1-е поколение
2-е поколение
3-е поколение • Машинное обучение –
не панацея
• Интернет движется к
тотальному шифрованию
• Злоумышленники
остаются незамеченными –
стеганография
• За искусственным
интеллектом в ИБ – будущее

Не забывайте про оставшиеся 5%
Сложности ИБ
• Неуправляемые десктопы и ПК руководства
• Спам/Вредоносное ПО
• DDoS
• Удаленно контролируемые зараженные узлы
• Быстро меняющееся окружение
Базовые решения
• Anti-virus
• Firewalls
• IDS/IPS
• IronPort WSA/ESA
• Сегментация сети
• Захват и анализ логов
• Incident response team
95%
Расширенные решения
• Расширенный сбор данных
• Netflow, IP атрибуция, DNS…
• Анализ Big data и playbooks
• Быстрая локализация
• DNS/RPZ, карантин, On-line форензика на узлах
• Осведомленность об угрозах
Продвинутых угроз
• Целевой фишинг с троянами
• Атаки Watering hole
• Атаки через соцсети
• Атаки спецслужб
5%

Инфраструктура под
расследованием
Меры защиты и
восстановлени
я
Системы коммуникаций и
взаимодействия
РасследованиеМониторинг и
реагирование
Обогащение/TI
Телеметрия и
другие
источники
Решения провайдеров
по ИБ
сервисами
Security Analytics
Suite
AV Intel
Providers
Cloud
Infra
Service
Provider
Solutions
Digital
Forensics
Tools
Security
Case
Management
Enrichment
Providers
Threat Intel
Providers
Платформы для разведки
Threat
Intelligence
Malware
Analysis
Knowledg
e Base
Log
Management
Native
Logs
Cyber Security
Controls
Wiki
Comm &
Collab Apps
Internal
Infra
Ticketing
Training
Platforms
Physical Security
Controls
Cisco SOC
Sensor
Telemetry
Other Data
Sources

Опыт Cisco: комбинируйте методы
обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

Открытая
• NGFW / NGIPS
• Защита от вредоносного
ПО
• Спам-фильтры
• Безопасность Web
Слепая
• Платформы Threat Intelligence
• Аналитика Big data
• Корреляция
• Облачные решения
Скрытая
• Визуализация
• Пользовательские
запросы
• Контекст
Неизвестная
• Машинное обучение
• Статистический анализ
• Анализ сетевого поведения
Подводим итоги
Известно аналитику Не известно аналитику
Известно
другим
Не
известно
другим

00001111
1110
Интегрированная защита от угроз – это единственный
путь заблокировать продвинутые угрозы
00001111
1110
TalosTalos
Мобильное ВиртуальноеEndpoint
СетьОблако
Email
и Web
Точечное
Постоянное
Advanced
Threats
Sandboxing
Web
Global
Intelligence
Tal
os
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP & BGP
Anomaly
Detection
Anomaly
Detection
Sandboxing
Advanced
Threats
DNS, IP & BGP
Shadow IT &
Data
Global
Intelligence
Tal
os
NGIPS &
NGFW
Identity & Access
Control
Email
Web
Среднее время обнаружения
с Cisco: 17 часов
Среднее время обнаружения
без Cisco: 200 дней

Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте используемые
вами технологии ИБ, используемые
данные и способы их получения, не
забывая про моделирование угроз
Определите ваши краткосрочные,
среднесрочные и долгосрочные планы
и возможные угрозы для них, а затем
определите данные, которые вам
нужны для их обнаружения
Выберите необходимые источники
данных, обучите персонал и, по
необходимости, внедрите новые
решения по кибербезопасности и
анализу информации для ИБ
Что сделать после семинара в целом?

4. Обнаружение необнаруживаемого

4. Обнаружение необнаруживаемого

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 4. Обнаружение необнаруживаемого

Similar to 4. Обнаружение необнаруживаемого (20)

More from Компания УЦСБ

More from Компания УЦСБ (20)

4. Обнаружение необнаруживаемого