Семинар «Next Generation Security: новый взгляд на интернет-угрозы» http://www.croc.ru/action/detail/29814/
Дружинин Евгений, эксперт по информационной безопасности
Инновационные технологии в области сетевой безопасности
1. ИННОВАЦИОННЫЕ ТЕХНОЛОГИИ
В ОБЛАСТИ СЕТЕВОЙ БЕЗОПАСНОСТИ
Евгений Дружинин,
эксперт направления информационной безопасности
Москва, 05.06.2014
2. 2
АТАКА НА СЕТЕВУЮ ИНФРАСТРУКТУРУ
Сбор информации
Вторжение
Закрепление влияния
Извлечение данных
Удержание влияния
3. 3
ЭТАП 1 – СБОР ИНФОРМАЦИИ
Традиционные средства защиты от раскрытия информации
об инфраструктуре компании:
• Межсетевые экраны
• Системы обнаружения и предотвращения вторжений
4. 4
ЭТАП 1 – СБОР ИНФОРМАЦИИ
Недостатки традиционных средств:
• Сложность обнаружения медленных и распределенных
сканирований
• Отсутствие корреляции между результатами работы систем
5. 5
ЭТАП 1 – СБОР ИНФОРМАЦИИ
NEXT GENERATION FIREWALL (NGFW)
Функционал Результат
• Межсетевое
экранирование
• Обнаружение
и предотвращение
вторжений
Сопоставление
результатов
позволяет
обнаружить факт
подготовки к атаке
• Глубокая инспекция
сетевого трафика на
уровне приложений
• Фильтрация
информационных
потоков с
использованием
метаданных о
пользователях
Определение
потенциальных
целей
злоумышленника
и своевременное
принятие мер
по усилению
защиты
6. 6
ЭТАП 2 - ВТОРЖЕНИЕ
Традиционные средства защиты от вторжений:
• Межсетевые экраны
• Системы обнаружения и предотвращения вторжений
• Фильтрация запросов к веб-серверам
• Антивирусное ПО на серверах и рабочих станциях
7. 7
ЭТАП 2 - ВТОРЖЕНИЕ
Недостатки традиционных средств:
• Невозможность обнаружения 0-day атак при передаче вредоносного
ПО
• Невозможность обнаружения 0-day атак
на сетевые приложения
8. 8
ЭТАП 2 - ВТОРЖЕНИЕ
Средства защиты:
• Межсетевые экраны нового поколения (NGFW)
• Специализированные средства защиты от APT
• Специализированные средства защиты веб-приложений (WAF)
9. 9
ЭТАП 2 - ВТОРЖЕНИЕ
Специализированные системы обнаружения 0-day:
• Обнаружение потенциально-опасных файлов
• Эмуляция их работы в «песочнице»
Антивирусный сигнатурный анализ
Проверка IP по репутационной базе
Анализ модели поведения
(статический анализ кода)
Динамический анализ кода
Проверка по базе доверенных файлов
10. 10
ЭТАП 2 - ВТОРЖЕНИЕ
Специализированные средства защиты веб-приложений (WAF)
обеспечивают:
• Создание базового профиля запросов к веб-серверам
и обнаружение отклонений от шаблона
• Анализ поведения отдельных пользователей
в используемом приложении
• Виртуальное исправление уязвимостей web-сайтов
11. 11
ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ
ВНУТРИ СЕТИ
Традиционные средства анализа аномалий внутри сети:
• Системы обнаружения и предотвращения вторжений
• SIEM-системы
Не обнаруживают:
• Медленные
сканирования
• Нестандартные
алгоритмы сбора
информации
• Зашифрованные
каналы связи
с командным центром
12. 12
Средства защиты:
• Межсетевые экраны нового поколения (NGFW)
• Специализированные средства выявления сетевых аномалий
• Специализированные компоненты контроля сетевых
взаимодействий
ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ
ВНУТРИ СЕТИ
13. 13
ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ
ВНУТРИ СЕТИ
Инструменты анализа сетевых потоков данных обеспечивают:
• Выявление аномального трафика
• Обнаружение новых типов сетевых атак
• Проведение детального расследования сетевых аномалий
14. 14
ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ
ВНУТРИ СЕТИ
Механизмы контроля сетевых взаимодействий позволяют:
• Сформировать профиль типовых взаимодействий между системами
• Выявить отклонения от него
15. 15
СНИЖЕНИЕ РИСКОВ ПРИ УПРАВЛЕНИИ
РАСПРЕДЕЛЕННЫМИ СЕТЯМИ
• Своевременное
выявление ошибок в
конфигурациях
• Контроль изменений
конфигураций
• Оптимизация структуры
правил фильтрации
Централизованный контроль
конфигураций и управления
сетевой инфраструктурой:
16. 16
ЗАКЛЮЧЕНИЕ
Для обеспечения защиты от направленных атак
необходим комплекс средств защиты:
• Системы класса NGFW
• Системы обнаружения потенциально-опасных файлов
• Специализированные средства защиты веб-приложений
• Системы обнаружения аномалий
в сетевом трафике
• Системы анализа и управления
конфигурациями сетевого оборудования
17. 17
Евгений Дружинин
Эксперт направления информационной безопасности
111033, Москва, ул. Волочаевская, д.5, корп.1
+7 495 974 2274, доб. 6423, +7 495 974 2277 (факс)
EDruzhinin@croc.ru
www.croc.ru
СПАСИБО ЗА ВНИМАНИЕ!