Successfully reported this slideshow.
Your SlideShare is downloading. ×

Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 66 Ad

Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности

Download to read offline

Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.

Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.

Advertisement
Advertisement

More Related Content

Slideshows for you (20)

Similar to Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности (20)

Advertisement

Recently uploaded (18)

Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности

  1. 1. Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности Уральский форум по информационной безопасности финансовых организаций Денис Батранков Russia@paloaltonetworks.com twitter @batrankov
  2. 2. АТАКА ANUNAK Успешно получен доступ внутрь корпоративных сетей более чем 50 банков Как атаковали: • Инфицирование через drive-by-download: Andromeda и Pony • Трояны через Neutrino Exploit Kit • Поддельные письма с вредоносными вложениями от имени ЦБ РФ • Использование существующих ботнетов для проникновения в банк • Снятие денег из банкоматов и через Интернет-кошельки Подтверждено, что было под удаленным управлением 52 банкомата Украдено более 1 млрд. рублей с 2013 по 2014 год из банков в России http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
  3. 3. Везде была защита, но не помогла:  Классический «портовый» межсетевой экран  Системы предотвращения атак (IPS)  Технологии на базе HTTP прокси серверов  Классический антивирус на ПК (лучший из top10)
  4. 4. Почему?
  5. 5. На конференции мы обсуждали это:
  6. 6. Предлагаю механизм. Межсетевой экран может подгрузить список IP, URL, доменных имен с сервера ФинЦЕРТ из текстового файла и сразу заблокировать доступ Скачивает этот список автоматически www.paloaltonetworks.com/documentation/71/pan-os/pan-os/policy/external-dynamic-list.html
  7. 7. Threat Intelligence: Как решение блокирует обратный канал от зараженных пользователей и серверов к внешнему серверу управления злоумышленника (command & control)?
  8. 8. DNS Sinkholing: Как выполняется блокирование DNS запросов к С&C серверами? Что вендор говорит про fast-flux?
  9. 9. 1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты  нестандартное использование стандартных портов  создание новых специализированных протоколов для атаки Техники уклонения от IPS/IDS и Firewall
  10. 10. 2.Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования signatures Port 10000 HTTP Port 80 Техники уклонения от IPS/IDS и Firewall
  11. 11. Даже стандартные приложения являются источником рисков Приложения могут быть “несанкционированными” • P2P, туннельные приложения, анонимайзеры, мультимедиа, TOR, Bitcoin Угрозы есть внутри приложений • Угрозы переместились на уровень приложений – система защиты еще на уровне сети
  12. 12. Через периметр компании проходит 200-300 разных приложений
  13. 13. Пакет Source Address TCP Port 80 Данные приложения Destination Address Source Address TCP Port 80 Destination AddressПакет Как отличает приложения ваш межсетевой экран? Критерий: Порт – традиционно обозначал приложение (HTTP = порт 80). А что будет, если приложение использует нестандартный порт? Нужно добавить новый критерий проверки: данные приложения Приложение использует специфические передаваемые данные и по ним его можно определить вне зависимости от порта flash = данные для анимации внутри браузера от Adobe Данные приложения
  14. 14. Анализируя данные, мы начинаем идентифицировать приложения вне зависимости от порта. Например: другого способа определить в трафике Skype, TeamViewer, TOR, Bittorent не существует.
  15. 15. Может ли система защиты определять динамические приложения? Например: Skype, TeamViewer, TOR, Bittorent.
  16. 16. Может ли система защиты - и видеть приложения - и блокировать приложения? Пример: если skype блокировать один способ подключения, то он находит другие методы, обходя текущие блокировки
  17. 17. Может ли система защиты определять приложения по их нестандартным портам? Например: POP3 по порту 10000
  18. 18. Адаптируется ли аналитика средства защиты, если приложение использует нестандартный порт? Например: FTP по 80 порту
  19. 19. Квалификаторы Firewall и UTM rule1 • Если совпал source, destination, port • Действие rule2 • Если совпал source, destination, port • Действие rule3 • Если совпал source, destination, port • Действие По каким критериям мы принимаем решение о потоке трафика?
  20. 20. rule1 • Если совпал source, destination, port, приложение, URL, пользователь • Действие rule2 • Если совпал source, destination, port, приложение, URL, пользователь • Действие rule3 • Если совпал source, destination, port, приложение, URL, пользователь • Действие Есть разница? Квалификаторы NGFW Palo Alto Networks По каким критериям мы принимаем решение о потоке трафика?
  21. 21. Является ли приложение квалификатором в вашем межсетевом экране?
  22. 22. User-ID: Как вы распознаете пользователя на входе в сеть? Пользователь = SOURCE IP + SOURCE PORT в каждый момент времени 1) Соответствие пользователь-IP-порт получаем из : • активная аутентификация (Captive Portal, локальный агент) • пассивная идентификация • активная идентификация 2) user-group-mapping Чем больше источников информации, тем лучше: MS AD, сетевые ресурсы, VDI, Wi-Fi, NAC, SSL VPN, BYOD, …
  23. 23. User-ID в распределенной сети очень полезна Совмещение активной и пассивной аутентификации/идентификации, агентской и безагентской схемы, репликация данных User-ID между NGFW •Captive Portal •Event log monitoring •WMI Probing •Server session monitoring •User-ID Replication
  24. 24. Из каких источников средство защиты берет соответствие конкретного пользователя и его текущего IP? Например: из журналов Active Directory
  25. 25. Сегментация сети  Почему не смотреть свой же трафик внутри?  Разделите сеть на зоны и контролируйте приложения и угрозы внутри и заражения станций Пример: В атаке ANUNAK взломав компьютер сотрудника банка, следующим этапом проникали в банкоматы по RDP, потому что не было внутренней сегментации
  26. 26. Хватит ли производительности устройства защиты на внутренний трафик между сегментами? Например: вы хотите проверять приложения, вирусы и атаки на суммарной скорости 10Гбит/с
  27. 27. У вас 200-300 приложений в сети. Сколько из них вы защищаете сегодня? Чаще всего защита только HTTP и SMTP HTTP – Port 80 HTTPS – Port 443 ??? ??? ??? ??? ??? ??? Фокус на HTTP/SMTP оставляет злоумышленнику доступным большой арсенал атак по другим приложениям. Проверяете ли вы FTP, IMAP, POP3?
  28. 28. Проверка файлов на NGFW Межсетевые экраны нового поколения видят файлы (которые приложения передают), дают возможность блокировать передачу файлов по различным критериям, например: - Запретить передачу данного типа файлов - Запретить передачу файла, потому что там содержится вирус Например: запретить передачу зашифрованного архива RAR в GMAIL
  29. 29. В каких именно приложениях ваше средство защиты видит файлы?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
  30. 30. В каких именно приложениях работает сигнатурный антивирус?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
  31. 31. Как устройство защиты определяет тип файла: по имени или по внутреннему формату? Например: Злоумышленник может переименовать exe файл в расширение txt и передать Злоумышленник может переименовать doc файл в jpg и передать
  32. 32. Пример  Контроль файлов для разных веб-приложений  Разрешить веб-почту только по HTTPS (но не по HTTP)  Разрешить отдельные онлайн файловые сервисы для VIP  Запретить получение/скачивание исполняемых файлов (высокий уровень риска)  Запретить отправку архивов с паролем, которые не могут быть проверены на внешнем DLP  Разрешить отправку документов только для веб-почты, но не для файловых сервисов
  33. 33. Может ли ваш межсетевой экран пройти NGFW тест на сайте http://pdftest.ngfw-test.com/ ?  Включить блокировку pdf файлов только в приложении Application1. Показать в журнале межсетевого экрана соответствующую запись где есть следующие поля: имя приложения, имя файла (должно быть PowerShell_ISE_v4.pdf) и примененное действие (должно быть заблокировано)  Включить блокировку вирусов только от приложения Application1. Показать в журнале межсетевого экрана соответствующую запись где есть следующие поля: имя приложения, имя вируса (должно быть Eicar) и действие (должно быть заблокировано)
  34. 34. Две стороны одного протокола SSL SSL для защиты данных или чтобы скрыть вредоносную активность? TDL-4 Poison IVY Rustock APT1Ramnit Citadel Aurora BlackPOS
  35. 35. Исходящий SSL требует перехвата сессии Установить SSL соединение Session Key 1 Клиент думает, что проверяет сертификат от сервера, а на самом деле от NGFW Сервер отправляет свой сертификат на NGFW NGFW создает сертификат и отправляет пользователю Session Key 2 Внутренний пользователь Внешний сервер
  36. 36. Входящий SSL не требует перехвата Сессия между сервером и пользователем остается неизменной, однако NGFW видит сессионный ключ и расшифровывает трафик Создать SSL подключение Клиент проверяет сертификат сервера Сервер посылает свой сертификат NGFW уже содержит сертификат сервера Session Key Внешний пользователь Внутренний сервер
  37. 37. Схема работы расшифрования SSL  После расшифрования трафик будет проверен и он может быть также отослан на внешний зеркальный порт (например во внешний DLP) Decrypt mirror output ! Cleartext data is copied to decrypt mirror interface . ! TCP Handshake and TCP checksums are artificially recreated. 12 | ©2014, Palo Alto Networks. Confidential and Proprietary.
  38. 38. Вы расшифровываете SSL?
  39. 39. Насколько сильно падает производительность оборудования при включении расшифрования SSL?
  40. 40. SSL и URL фильтрация  URL категории без расшифрования  IP адрес сервера  Common Name and SubjectAlternativeName in a Server Certificate  SNI (Server Name Indicator) in TLS Handshake Extension  URL фильтрация после расшифрования  URL база с категориями (60+ Cayegories, millions of URLs)  Собственные URL ссылки и категории  До 200K собственных URL ссылок в PA-7050
  41. 41. Как работает URL фильтрация для HTTPS?
  42. 42. Вы расшифровываете SSH?
  43. 43. Интеграция в сетевую инфраструктуру?  Tap режим - SPAN порт свитча для аудита или обзора приложений в сети  Virtual Wire - для прозрачного контроля и сохранения текущей топологии  На 2 уровне OSI идеально для фильтрации между VLAN  На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW Tap Layer 3 OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN LACP VPN QoS Virtual Wire Layer 2  Виртуальные системы, кластер А/А, А/Р
  44. 44. Какие системы виртуализации защищает решение? Например: VmWare, Hyper-V, KVM, Citrix
  45. 45. Построение защиты от современных угроз и целенаправленных атак (APT)
  46. 46. Anunak – письмо с вредоносным вложением
  47. 47. Технологии Palo Alto Networks, применяемые для защиты от современных угроз App-ID URL IPS ThreatLicense Spyware AV Files Sandboxing & Adv.Endpoint Protection Block high-risk apps Block known malware sites Block the exploit Prevent drive-by-downloads Detect / prevent unknown malware Block malware Block spyware, C&C traffic Block C&C on non-standard ports Block malware, fast-flux domains Correlate and block C&C: malware URL, DNS sinkholing Координи- рованное блокирование активных атак по сигнатурам, источникам, поведению Приманка Эксплоит Загрузка ПО для «черного хода» Установление обратного канала Разведка и кража данных Anti-Exploitation – prevent 0-day Check e-mail links
  48. 48. Анализируем поведение: помещаем файл в песочницу Wildfire – защита от неизвестных угроз на уровне сети Корпоративная сеть Internet Palo Alto Networks security platform center Локальная песочница (WF-500) Файлы Сигнатуры Публичная песочница – облачный сервис Сигнатуры Файлы WildFireTM Исполняемые файлы (*.exe,*.dll, *.bat, *.sys, и т.д.) , flash, JAR, Android APK, ссылки в почте Офисные документы, PDF Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.
  49. 49. Песочница для WEB Песочница для email Песочница для файл-сервера Центр управления Ручной анализ Много песочниц: на каждое приложение: HTTP, SMTP, POP3, IMAP, FTP, SMB При масштабировании нужны снова все эти песочницы WildFireTM WildFire облако или устройство WF-500 Один межсетевой экран + одна песочница Wildfire. При масштабировании новая песочница не нужна  Легкая интеграция  Легко расширяется  Эффективное расходование средств  Перехват файлов на NGFW и отправка в WildFire  Отправка файлов в WildFire через XML API  Сложно управлять  Сложно масштабировать  Дорого  Множество устройств для перехвата файлов из разных приложений Разные архитектуры песочниц
  50. 50. Сколько файлов может обработать песочница в день?
  51. 51. Скорость создания сигнатуры в песочнице?
  52. 52. Есть сигнатура в песочнице – чем блокировать теперь трафик с вредоносным кодом?
  53. 53. Будет ли перехватывать файлы песочница по нестандартному порту? Как работает с нестандартными портами потоковый антивирус? Как работает с нестандартными портами сетевой IPS?
  54. 54. Какие типы файлов можно запускать в песочнице? Пример: exe, dll, bat, sys, flash, jar, apk, doc, xls, pdf, Mach-O, DMG, PKG
  55. 55. В каких приложениях работает песочница?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
  56. 56. Проверяет ли песочница URL ссылки в почтовых сообщениях песочница?
  57. 57. Как «песочница» предотвращает отложенное исполнение вредоносных файлов с целью избежать обнаружения?
  58. 58. Что предлагает производитель делать с файлом, в то время пока файл анализируется и еще нет вердикта? Пример: сотрудник скачал файл по FTP на свой компьютер. Сигнатурный антивирус говорит, что файл чистый. Песочница еще не вернула результат анализа. Что делать?
  59. 59. Сколько будет стоить техническая поддержка на следующий год?
  60. 60. Есть ли у вендора первый уровень техподдержки на русском языке? Круглосуточно 24x7 или 8x5?
  61. 61. Как происходит замена оборудования? Сколько по времени это занимает?
  62. 62. Средний срок жизни системы?
  63. 63. Туннелирование в DNS запросах? tcp-over-dns – мы видим почти в каждой сети этот туннель Например: Номера кредитных карточек из компании Sony после взлома Sony Playstation Network отправляли внутри DNS запросов
  64. 64. А видите ли вы туннелирование? Например, внутри трафика DNS: Примеры  tcp-over-dns  dns2tcp  Iodine  Heyoka  OzymanDNS  NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
  65. 65. Какие туннели видит продукт? И как блокирует?
  66. 66. Платформа Palo Alto Networks Мы работаем для вашей защиты Обеспечиваем заданную производительность при всех включенных сервисах безопасности Email офиса в России: Russia@paloaltonetworks.com

Editor's Notes

  • meThoDs of mAlwAre DisTribuTion
    At the very beginning of their activity in 2013 due to lack of the target Trojan the attackers began to distribute Andromeda and Pony. They distributed these malware using Driveby through a bunch of Neutrino Exploit Kit exploits.
    Parallel to this technique they also use another infection method, which was one of the principal methods. The main method of distribution is sending emails with malicious attachments on behalf of the Central Bank of the Russian Federation.
    Another used method is to install a special malware to carry out targeted attacks via another malware that might appear in the local network by accident. To find such malicious programs the criminal group keeps in touch with several owners of large botnets that massively distributes their malware. The attackers buy from these botnet owners the information about IP-addresses of computers where the botnet owners have installed malware and then check whether the IP-address belongs to the financial and government institutions. If the malware is in the subnet of interest, the attackers pay the large botnet owner for installation of their target malware. Such partner relations were established with owners of botnets Zeus, Shiz Ranbyus. All of these trojans are bank Trojans, their usage is explained by the previously established relationships.
    Availability of access to bank internal networks opens great opportunities for the hackers. One of these opportunities is access to ATMs from special network segments that had to be isolated. It is confirmed that this criminal group gained access to 52 ATMs.
    Having access, the attackers downloaded malicious scripts and changed denominations of issued banknotes in the ATM operating system registry. As a result, for query to get 10 notes with denomination of 100 rubles the attackers received 10 banknotes with denomination of 5,000 rubles.
    When the attackers had obtained control of ATM management service (attacker purpose), money were withdrawn directly from the ATM by the attacker command. In this case the whole cashout process consisted in that a drop person had to be near the ATM at the specified time with a bag to empty the dispenser
    In addition to all the above methods, cash sending channels were also employed through the settlements systems, electronic wallets and payment systems, such as web money, Yandex Money.
    The average time from the moment of penetration into the financial institutions internal network till successful theft is 42 days.

    ---------------------------------------------------------
    Facts & Credits

    http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf



  • The list of applications and protocols supported by most proxies is limited to a handful of applications, such as web-based clients and media streaming. It is also limited to specific protocols, such as HTTP (port 80), HTTPS (port 443), and FTP (port 21).

    While many applications are web-based by design, and are using ports 80 or 443, some very common applications, like Skype, BitTorrent, or Lync are capable of dynamically seeking out and utilizing any available port on the network. We have to remember there are more than 65,000 ports available on any network.

    These port-hopping capabilities allow these applications to scale, be responsive, service the needs of the user… and bypass the limited visibility and security technologies of proxy-based devices.

    Along the same lines, proxies are limited in their ability to protect against evasive techniques used by tools such as open proxy servers such as PHProxy or CGIproxy, or anonymizers such as Tor.
  • No way with any Firewall other than Palo Alto Networks ones to allow internal users download files from a given webApp and deny downloads on another WebApp if these apps live in the same Web Application Server (same IP and TCP Port)
  • SSL or HTTPs specifically, was always intended to be used for security. There are many applications that use SSL as a means of security.


    But attackers are smart.

    <click>

    Here are some of the applications as well as the threats that we see on the network that use SSL as a means of hiding. Tor – ultrasurf – neither belong on your network….

    APT 1, the attack found by mandiant, BlackPOS the recent attack on the US retailer target, RamNIT – a 2012 bot that has resurfaced in 2014 – all use SSL as a means of both privacy and hiding in plain sight.

    <click>
    The two faces of SSL present us with a challenge – how do you know?
  • Palo Alto Networks next-generation firewalls are able to integrate with your existing data center architecture, making it easier to add our security and threat prevention framework into your data center.

    With our Tap Mode, you can tap into your existing switching infrastructure via their span ports for traffic visibility, or to audit what’s going on throughout your network.
    Our Layer 1 deployment approach is called Vwire Mode, and it allows you to slip our firewall within your existing topology without the need to reallocate your IP addresses or redesign your network.
    Layer 2 mode enables you to securely segment 2 or more different networks together, which is ideal for firewalling between your VLANs, as well as securely bridging a Layer 2 network with a Layer 3 network.
    The most common deployment method within data centers, especially at the edge of the data center – is using our Layer 3 mode for deployment. This is when you replace your existing legacy firewall with our next-generation firewall at a time that’s convenient for you, usually when your existing equipment is up for renewals.

    [Click]
    In addition to these deployment modes, our NGFW includes a rich set of networking features that set us apart from other solutions, including… [read off the various network and routing technologies/protocols that we support]
  • The most dangerous emailings are those that are sent on behalf of partners with whom financial and government institutions communicates permanently by email. An example of such emailing occurred on September 25, 2014, at 14:11, from the e-mail address “Elina Shchekina <e.shekina@rbkmoney.com>” with the subject “Updated agreement version”. The attachment “agreement.doc” exploits the vulnerability CVE-2012-2539 and CVE-2012-0158. The emailing was conducted for more than 70 addresses of various companies (where multiple recipient addresses may be within one company).

    ---------------------------------------------------------
    Facts & Credits

    http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
  • Just how does the WildFire architecture scale?
    Because all files are send the the WildFire public or private cloud – you only need to put a single security platform in the key ingress/egress or points of segmentation throughout your network. This is one device that covers all traffic, all protocols, with automated in-line prevention. Not only this, but a single management pane and one security policy.
    The “APT Add-on approach” quickly becomes more of a challenge then a help. These solutions are focused on detection, creating alerts for security teams to manually remediate. Not only this, but they often require individual appliances to just detect threats for EACH PROTOCOL. Think about one expensive device for Port 80 Web, Port 23 SMTP, SMB file shares, and a central management box to tie them all together. Can you image deploying and managing this on your network, let alone the up-front and annual renewal cost? All without preventing a threat? It does not scale.

×