Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Обнаружение атак - из конца 90-х в 2018-й

1,525 views

Published on

Презентация описывает обзор изменений, произошедших в области обнаружения атак с конца 90-х годов до настоящего момента. Ключевой тезис - для обнаружения атак сегодня мало применять системы обнаружения атак

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Обнаружение атак - из конца 90-х в 2018-й

  1. 1. Системы обнаружения вторжений: из конца 90-х в 2018-й Алексей Лукацкий Бизнес-консультант, Cisco © 2017 Cisco and/or its affiliates. All rights reserved.
  2. 2. Почему я говорю про обнаружение атак? 20022001 2003
  3. 3. IDS (СОВ) конца 90-х годов 3 Методы обнаружения • Сигнатурные • Аномальные Источники данных • Журналы регистрации • Сетевой трафик Места установки • Периметр (NIDS) • Узел (HIDS)
  4. 4. Российские производители застыли в 90-х Сравнение по числу сигнатур атак Ограниченное количество распознаваемых приложений
  5. 5. 25000 сигнатур! Серьезно? Да хоть 1000000 = В мире прож ивает 7,3 миллиарда человек Около 3-х угроз на каж дого ж ителя Зем ли приходится еж едневно На самом деле число атак бесконечно J Будем и дальше меряться конечным числом в бесконечном множестве?
  6. 6. Атаки эволюционируют Механизмы доставки Хакеры используют разные каналы/вектора реализации угроз – почта, Web, флешки, Wi-Fi, цепочка поставок… Типы файлов Хакеры используют разные типы файлов - .zip, .exe, .js, .docm, .wsf Скорость эволюции Хакеры быстро эволюционируют и генерят новые атаки, так как старые становятся менее эффективными TTD Безопасникам нужно снижать TTD для того, чтобы идти в ногу с хакерами
  7. 7. Российские производители застыли в 90-х На дворе был 2015 год! Тестирование на датасетах 99-го года?! Smurf? Teardrop? Back Orifice 2000? В 2015-м? И нет 100% обнаружения?
  8. 8. • Заваливают нерелевантными событиями • Не дают информации для продолжения расследования • Требуют месяцев на тюнинг • “Черный ящик” – сложно определить, работает ли он • Результат: • IDS минимально эффективны или не используются • Много времени и ресурсов тратится на то, чтобы заставить IDS работать • Организации все равно ломают Проблемы с традиционными IDS 8
  9. 9. Как улучшить ситуацию с обнаружением атак? 9 Новые методы обнаружения (сигнатуры, правила, ИИ) Получение сигналов тревоги Приоритезация сигналовРеагирование Большинство вендоров (особенно отечественных) фокусируется только тут и увеличивает число сигнатур атак
  10. 10. Посмотрите с высоты птичьего полета 10 Производитель СОВ ЖертваЗлоумышленник СОВ стоит обычно здесь А ждем улучшений мы обычно здесь
  11. 11. © 2 0 1 7 C is c o a n d /o r its a ffilia te s . A ll rig h ts re s e rv e d . C is c o P u b lic 11 Вы действительно считаете, что обнаружение атак и система обнаружения атак – это одно и тоже?
  12. 12. • Уязвимости: слабости системы, которые позволяют хакерам эксплуатировать их • Пример: Microsoft Tuesday – каждый второй вторник каждого месяца Microsoft анонсирует уязвимости и выпускат патчи для них • Эксплойт: специфическая атака на уязвимость • На каждую уязвимость существует множество потенциальных эксплойтов • Например, WannaCry использовал одну уязвимость, но имел 400+ модификаций • Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а не условия эксплуатации уязвимостей Уязвимости vs. Эксплойты 12
  13. 13. Что надо анализировать? Угроза может скрываться не только в сетевом трафике или логах • Сетевой трафик • Трафик приложений (HTTP и т.п.) • DNS-трафик • URL • Netflow • E-mail • Логи прокси и SaaS • Файлы • Метаданные • Поведение процессов и пользователей
  14. 14. Разные алгоритмы обнаружения вредоносной активности Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
  15. 15. E Обучение с учителем Обучение без учителя Другие 75% 15% 10% © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Машинное обучение
  16. 16. Классификатор Предсказание © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Обучающая выборка Алгоритм машинного обучения Новые данные Важно помнить про машинное обучение, что… Откуда у вашего вендора обучающая выборка (на чем он учит своих СОВ)?
  17. 17. Миллиарды соединений • Statistical Methods • Information-Theoretical Methods • 70+ Unsupervised Anomaly Detectors • Dynamic Adaptive Ensemble Creation • Multiple-Instance Learning • Neural Networks • Rule Mining • Random Forests • Boosting • ML: Supervised Learning • Probabilistic Threat Propagation • Graph-Statistical Methods • Random Graphs • Graph Methods • Supervised Classifier Training Обнаружениеаномалий имоделированиедоверия Классификациясобытий имоделированиесущностей Моделирование взаимосвязей Многоуровневая система алгоритмовмашинногообучения © 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic Нет единственно верного метода ML/DL
  18. 18. • Получение информации с ошибками • Отсутствие или исчезновение информации на конкретные угрозы • Отсутствие учета вертикальной или страновой специфики • Смена политики лицензирования • Смена собственника • Поглощение компании-разработчика • Сотрудничество со спецслужбами • Санкции… Риски получения данных об угрозах из одного источника
  19. 19. От сигнатур к индикаторам компрометации Эпизодическое применение фидов Регулярное использование отдельных ресурсов с фидами Использование платформы TI Использование API для автоматизации Обмен фидами • SNORT • YARA • SIGMA • Государственные (ФинЦЕРТ и ГосСОПКА) и частные • Коммерческие и бесплатные • Закрытые и OSINT
  20. 20. Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет A S A IS R IP S A S A П о ч т а В е б IS E A c tiv e D ir e c to r y Б е с п р о в о д н а я с е т ь К о м м у т а т о р М а р ш р у т и з а т о р К о н т е н т П о л и т и к а И н т е г р и р о в а н н ы е с е р в и с ы IS R -G 2 C S M A S A ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП C T D ID S R A М С Э Б е с п р о в о д н а я с е т ь К о м м у т а т о р М а р ш р у т и з а т о р С е г м е н т а ц и яМ о н и т о р и н г Разные места установки
  21. 21. Обнаружение вторжений с учетом контекста и специфики приложения (NGIPS) Коммуникации Приложение/устройство 010111010010 10 010001101 010010 10 10 Пакеты данных Приоритезация реакции Смешанныеугрозы • Разведка сети • Фишинг • «Невинные» нагрузки • Редкие обращения 3 1 2 Accept Block Автомати- зация NPS Анализ сетевоготрафика Корреляция данных Обнаружениескрытных угроз Отклик наосновеприоритетов
  22. 22. Интеграция разных подсистем обнаружения Рабочие станции Сеть Ключ З а п и с ь B lo c kA le r tA llo w W eb и Em ail Усиленная защита Постоянный мониторинг активности файлов, обнаружение скрытых угроз, ограничение и реагирование Блокированиеизвестных иразвивающихсяугроз НепрерывнаяиретроспективнаябезопасностьIntelligence моментальнаязащита .exe С т а т и ч е с к и й и д и н а м и ч е с к и й а н а л и з К о н т р о л ь а т а к Р е т р о с п е к т и в а Т р а е к т о р и я у с т р о й с т в а Эластичный поиск РаспространенностьТраектрория файла У я з в и м о с т и E n d p o in t IO C s One-to-One Signatures FuzzyFingerprinting Machine Learning Advanced Analytics Глобальная информация об угрозах Р е п у т а ц и я Io C П о л и т и к и н а о с н о в е г р у п п и п о л ь з о в а т е л е й А н а л и з в п е с о ч н и ц е Развертывание К о н с о л ь у п р а в л е н и я A M P C lo u d А д м и н б е з о п а с н о с т и Управление Перед Во время После AdvancedThreats Sandboxing Web Global Intelligence Anom aly Detection Shadow IT & Data NGIPS & NGFW Identity & Access Control Email DNS, IP&BGP
  23. 23. • Анализ сертификата при установлении соединения SSL TLS и расшифровка TLS Контроль зашифрованного трафика Поддержкаразличныхвариантов расшифровки Журналирование Ядро расшифровки SSL Обеспечение политики Зашифрованный трафик AVC http://www.%$&^*#$@#$.com http://www.%$&^*#$@#$.com Анализрасшифрованныхпакетов Контрольижурналирование всехSSL-сеансов NGIPS g a m b lin g e lic it h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m h ttp :/ / w w w .% $ * # $ @ # $ .c o m û ü û ü ü ü û ü û û
  24. 24. Обнаружение в шифрованном трафике 24 Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD
  25. 25. Автоматизация Понимание инфраструктуры «Левые» узлы, аномалии, нарушения политики идр. Оценка ущерба Снижение числа событий, с которыми предстоит иметь дело Автоматизация тюнинга «Подкрутка» политик IPS, базируясь на изменениях в сети Идентификация пользователя Ассоциация пользователей с событиями безопасности для снижения времени расследования Индикаторы компрометации Идентификация узлов, которые были взломаны 25
  26. 26. За горизонтом событий ИБ: ретроспектива Антивирус Песочница СОВ Начальное значение = Чисто Точечноеобнаружение Начальное значение = Чисто Ретроспектива Пропущеныатаки Актуальное значение = Плохо = Поздно!! Регулярныйвозвратк ретроспективе Видимостьиконтроль– этоключ Не100% Анализ остановлен Sleep Techniques Unknown Protocols Encryption Polymorphism Актуальное значение = Плохо = Блокировано Ретроспективное обнаружение, анализ продолжается
  27. 27. • Полная видимость и прозрачность сети • Учет контекста (пользователи, устройства…) • Полная автоматизация • Оценка ущерба • Независимость от производителя в части получения сигнатур атак • Работа с индикаторами компрометации • Обнаружение аномалий Если IPS, то следующего поколения 27
  28. 28. • Интеграция с средствами предотвращения вторжений на оконечных устройствах • Интеграция с иными средствами защиты в сети • Ретроспективная безопасность • Встроенная корреляция событий • Отсутствие снижение производительности при включении нескольких защитных модулей Если IPS, то следующего поколения 28
  29. 29. Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способыизучения угроз Сетевые потоки | Поведение | Сигнатуры| Исследования
  30. 30. А можно предсказывать атаки? Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностическая аналитика Почему это случилось? Предсказательная аналитика Что случится? Предписывающ ая аналитика Что я должен сделать? Сложность Ценность
  31. 31. В 2018+ СОВ – это не одно средство Поархитектуре • Сетевые • Хостовые • Гибридные • Распределенные Пофокусу • На заказчика (традиционные) • На инфраструктуру злоумышленника (DNS / Darkweb) Повремени • До атаки (инфраструктура хакеров) • Во время (classic) • После (TH / IOC / SIEM) Поместуустановки • У заказчика • У оператора связи • У провайдера услуг Потипуатак • Традиционные IDS • DDoS • Netflow • EDR
  32. 32. Как улучшить ситуацию с обнаружением атак? 32 Повысить качество обнаружения • Снижение ложных срабатываний • Сдвиг от обнаружения эксплойтов • Использование разных поставщиков методов обнаружения • Новые методы обнаружения • Новые источники данных • Ретроспектива • Один источник – несколько инструментов анализа (IDS, SIEM, IOC) Быстрее обнаруживать • Собственная лаборатория • Обмен информацией об угрозах • Ловушки • Анализ инфраструктуры злоумышленников • Разные места установки • Улучшение методов уведомления об угрозах Быстрее создавать методы обнаружения • Автоматизация создания сигнатур на стороне потребителя • Автоматизация создания сигнатур на стороне вендора Быстрее доставлять методы обнаружения • Распределенные центры обновлений (облака) • Изменение частоты обновления
  33. 33. Если обнаружение не помогло. Threat Hunting 33 Формулируем гипотезу Ищем в инфраструктуре Найдено? Расширяем поиски Реагирование Новые методы обнаружения (сигнатуры, правила, ИИ) Не найдено? Начинаем с начала
  34. 34. В качестве резюме • Обнаружение атак ≠ система обнаружения атак • Даже системы обнаружения атак сильно изменились с конца 90-х годов и опираются не только на сигнатуры • Число сигнатур СОВ не является мерилом качества ее работы • Поймите ограничения своих методов обнаружения • Комбинируйте методы обнаружения, источники данных, места установки • Улучшайте обнаружение атак по разным направлениям • Занимаясь Detection, не забывайте про Hunting
  35. 35. Спасибо

×