Submit Search
Upload
DNS и искусственный интеллект на страже кибербезопасности
•
1 like
•
1,456 views
Aleksey Lukatskiy
Follow
Keynote с восточно-европейского DNS форума, устроенного ICANN в Москве
Read less
Read more
Technology
Slideshow view
Report
Share
Slideshow view
Report
Share
1 of 88
Download now
Download to read offline
Recommended
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Recommended
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное доверие
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Анатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Aleksey Lukatskiy
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
Aleksey Lukatskiy
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
Aleksey Lukatskiy
Аналитика над петабайтами в реальном времени
Аналитика над петабайтами в реальном времени
CodeFest
Аналитика над петабайтами в реальном времени
Аналитика над петабайтами в реальном времени
Alexander Demidko
More Related Content
What's hot
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
Aleksey Lukatskiy
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное доверие
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Анатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Aleksey Lukatskiy
Как построить SOC?
Как построить SOC?
Aleksey Lukatskiy
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Aleksey Lukatskiy
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
Aleksey Lukatskiy
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
Aleksey Lukatskiy
What's hot
(20)
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Big data: полная анонимность или полное доверие
Big data: полная анонимность или полное доверие
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Анатомия внешней атаки
Анатомия внешней атаки
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Как построить SOC?
Как построить SOC?
Новая триада законодательства по финансовой безопасности
Новая триада законодательства по финансовой безопасности
Искусственный интеллект в кибербезопасности
Искусственный интеллект в кибербезопасности
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
Similar to DNS и искусственный интеллект на страже кибербезопасности
Аналитика над петабайтами в реальном времени
Аналитика над петабайтами в реальном времени
CodeFest
Аналитика над петабайтами в реальном времени
Аналитика над петабайтами в реальном времени
Alexander Demidko
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресов
Cisco Russia
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
A popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practice
Philipp Kulin
Mmx cvk-2015
Mmx cvk-2015
Юрий Малеванный
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Cisco Russia
Смотрим в HTTPS
Смотрим в HTTPS
Denis Batrankov, CISSP
Как сравнить и выбрать хостинг-провайдера или О чем умалчивают маркетологи / ...
Как сравнить и выбрать хостинг-провайдера или О чем умалчивают маркетологи / ...
Ontico
HighLoad Junior '16 Как сравнить и выбрать хостинг-провайдера
HighLoad Junior '16 Как сравнить и выбрать хостинг-провайдера
Игорь Мызгин
ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)
MUK Extreme
DNS как улика
DNS как улика
Aleksey Lukatskiy
Cognitive Threat Analytics
Cognitive Threat Analytics
Cisco Russia
Аналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
Hpc Day
Hpc Day
Oleg Nazarevych
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Russia
Ключевые риски и лучшие практики информационной безопасности при переходе в о...
Ключевые риски и лучшие практики информационной безопасности при переходе в о...
Michael Kozloff
Similar to DNS и искусственный интеллект на страже кибербезопасности
(20)
Аналитика над петабайтами в реальном времени
Аналитика над петабайтами в реальном времени
Аналитика над петабайтами в реальном времени
Аналитика над петабайтами в реальном времени
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресов
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
алексей лукацкий 1
алексей лукацкий 1
A popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practice
Mmx cvk-2015
Mmx cvk-2015
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Смотрим в HTTPS
Смотрим в HTTPS
Как сравнить и выбрать хостинг-провайдера или О чем умалчивают маркетологи / ...
Как сравнить и выбрать хостинг-провайдера или О чем умалчивают маркетологи / ...
HighLoad Junior '16 Как сравнить и выбрать хостинг-провайдера
HighLoad Junior '16 Как сравнить и выбрать хостинг-провайдера
ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)
DNS как улика
DNS как улика
Cognitive Threat Analytics
Cognitive Threat Analytics
Аналитика в ЦОД
Аналитика в ЦОД
Hpc Day
Hpc Day
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угроз
Ключевые риски и лучшие практики информационной безопасности при переходе в о...
Ключевые риски и лучшие практики информационной безопасности при переходе в о...
More from Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Aleksey Lukatskiy
Атрибуция кибератак
Атрибуция кибератак
Aleksey Lukatskiy
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
More from Aleksey Lukatskiy
(13)
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
Атрибуция кибератак
Атрибуция кибератак
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
DNS и искусственный интеллект на страже кибербезопасности
1.
DNS и искусственный
интеллект 04 декабря 2018 На страже кибербезопасности
2.
© 2018 Cisco
and/or its affiliates. All rights reserved. Как DNS помогает киберпреступникам?
3.
© 2018 Cisco
and/or its affiliates. All rights reserved. Вы обратили внимание на ключевой момент, связанный с DNS?
4.
© 2018 Cisco
and/or its affiliates. All rights reserved. Вспомним 12 апостолов сотрудников ГРУ
5.
© 2018 Cisco
and/or its affiliates. All rights reserved. Как злоумышленники используют DNS DNS - цель DNS – инструмент • Подмена DNS • Отражение DNS • Туннелирование • DGA • Динамический DNS
6.
© 2018 Cisco
and/or its affiliates. All rights reserved. Мы часто ошибаемся, нажимая на клавиши, или что такое тайпсквотинг Что произойдет, если мы наберем «w» вместо «s» или «x» вместо «c»?
7.
© 2018 Cisco
and/or its affiliates. All rights reserved. вввееднсфорумточкару или где потерялась первая точка? wwwbankofamerica.com www.bankogamerica.com В данных примерах указанными доменами владеет сам Банк Америки
8.
© 2018 Cisco
and/or its affiliates. All rights reserved. Пример тайпсквотинга для Банка Америки
9.
© 2018 Cisco
and/or its affiliates. All rights reserved. Посмотрим на российские примеры Это «безобидная» угроза, в отличие от злоумышленного использования доменов, похожих по написанию на мишень www.sbirbank.ru www.sberbamk.ru
10.
© 2018 Cisco
and/or its affiliates. All rights reserved. Ну и что? Мы легко можем идентифицировать такие домены!
11.
© 2018 Cisco
and/or its affiliates. All rights reserved. Тайпсквотинговый домен распространяет вредоносный код?
12.
© 2018 Cisco
and/or its affiliates. All rights reserved. Locky – это вам не какой-то там WannaCry • Через вложение Email в фишинговой рассылке • Шифрует и переименовывает файлы с .locky расширением • Примерно 90,000 жертв в день • Выкуп порядка 0.5 – 1.0 BTC (1 BTC ~ $601 US) • Связан с операторами кампании Dridex
13.
© 2018 Cisco
and/or its affiliates. All rights reserved. 91.223.89.201185.101.218.206 600+ Threat Grid files SHA256:0c9c328eb66672e f1b84475258b4999d6df008 *.7asel7[.]top LOCKY Domain → IP Ассоциация AS 197569IP → Network Ассоциация 1,000+ DGA domains ccerberhhyed5frqa[.]8211fr[.]top IP → Domain Ассоциация IP → Sample Ассоциация CERBER
14.
© 2018 Cisco
and/or its affiliates. All rights reserved. -26 DAYS AUG 21 DNS AI JUL 18 JUL 21 DNS AI JUL 14 -7 ДНЯ jbrktqnxklmuf[.]info mhrbuvcvhjakbisd[.]xyz LOCKY LOCKY DGA Network → Domain Ассоциация DGA Угроза обнаружена в день регистрации домена Угроза обнаружена до регистрации домена. ДОМЕН ЗАРЕГИСТРИРОВАН JUL 22-4 ДНЯ
15.
© 2018 Cisco
and/or its affiliates. All rights reserved. Визуализация DGA для банковского трояна Tinba
16.
© 2018 Cisco
and/or its affiliates. All rights reserved. Как отслеживать около 100 тысяч вновь создаваемых доменов в сутки? Источник: http://dailychanges.domaintools.com = 1,2 домена/сек
17.
© 2018 Cisco
and/or its affiliates. All rights reserved. Нормальное распределение длин поддоменов Аномалии в названии поддоменов log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com Что скрывается в этой строке на 231 символ? На самом деле их больше
18.
© 2018 Cisco
and/or its affiliates. All rights reserved. Искусственный интеллект
19.
© 2018 Cisco
and/or its affiliates. All rights reserved. Эволюционирующая ИБ Постоянно изменчивая или не всегда хорошо распознаваемые/неизвестные Статическая ИБ Ограниченная вариабельность или хорошо известные/распознаваемые © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Почему нам нужен искусственный интеллект?
20.
© 2018 Cisco
and/or its affiliates. All rights reserved.© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential При традиционном подходе мы распознаем и заранее заносим в «черные списки» вредоносные домены Любая проблема, которая может быть «оцифрована» и имеет большие объемы собранных данных является кандидатом для машинного обучения «Живые» данные Программа Вывод 101000 0110 00 01 11000011100 01110 1001 1101 111 0011 101000 0110 00 01 11000011100 01110 1001 1101 111 0011 Традиционный подход
21.
© 2018 Cisco
and/or its affiliates. All rights reserved.© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ML фундаментально отличается от обычной разработки – вы даете машине ответы и она пишет по ним код (модель) Машинное обучение наиболее эффективно для новых и неизвестных данных Обучающие данные Вывод Программа (модель) Машинное обучение
22.
© 2018 Cisco
and/or its affiliates. All rights reserved. Талос, бронзовый воин, данный Зевсом и запрограммированный Гефестом для защиты о- ва Крит
23.
© 2018 Cisco
and/or its affiliates. All rights reserved. А в восьмидесятые все повторяли то, что было известно в 1960е годы. Такое чувство, что каждые 20 лет проходит волна интереса к одним и тем же темам. Майкл Джордан, почетный профессор Калифорнийского университета в Беркли
24.
© 2018 Cisco
and/or its affiliates. All rights reserved. 100 миллиардов нейронов 100 миллиардов глиальных клеток 100 триллионов соединений между нейронами Вы думаете, это можно повторить?
25.
© 2018 Cisco
and/or its affiliates. All rights reserved. Artificial Intelligence ≠ искусственный интеллект • Artificial = искусственный • Intelligence = умение рассуждать разумно • Intellect = интеллект !
26.
© 2018 Cisco
and/or its affiliates. All rights reserved. Исполнение Обучение Классификатор Предсказание © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Обучающие данные Машинное обучение Новые данные Основы машинного обучения
27.
© 2018 Cisco
and/or its affiliates. All rights reserved. 3 компонента машинного обучения Данные ПризнакиАлгоритмы
28.
© 2018 Cisco
and/or its affiliates. All rights reserved. Обучающие данные
29.
© 2018 Cisco
and/or its affiliates. All rights reserved. Ручной анализ: бесплатно, но удобно ли? Утилита dig Утилита whois
30.
© 2018 Cisco
and/or its affiliates. All rights reserved. Ручной vs автоматизированный анализ Традиционные сервисы / утилиты Whois Автоматизированные решения Данные по владельцу только одного домена Показывает список всех доменных имен владельца и список всех владельцев доменного имени Подтверждает связь домена с сервером имен (NS) Показывает все домены, связанные с сервером имен Подтверждает владельца домена, использующего вашу торговую марку Показывает список всех доменов, которые используют вашу торговую марку Не показывает взаимосвязи между доменами / IP / ASN Показывает все необходимые взаимосвязи между доменами / IP / ASN Не показывает вредоносной активности и не классифицирует тип домена Показывает вредоносную активность, связанную с доменом, и классифицирует их по типам
31.
© 2018 Cisco
and/or its affiliates. All rights reserved. Отсутствие стандартных датасетов NB: сложно сравнивать алгоритмы между собой
32.
© 2018 Cisco
and/or its affiliates. All rights reserved. Признаки
33.
© 2018 Cisco
and/or its affiliates. All rights reserved. Домен верхнего уровня Домен второго уровня Домен третьего уровня FQDN www.cisco.com
34.
© 2018 Cisco
and/or its affiliates. All rights reserved. Признаки для DNS-трафика: уровень I Тип записи Значение A или AAAA IP-адрес (IPv4 или IPv6) NS Отвечающий за домен сервер имен TXT Описание домена MX Почтовый обменник CNAME Альтернативное имя для ресурса (для перенаправления на другое имя) SOA Ключевые данные о зоне (например, TTL или контакты владельца)
35.
© 2018 Cisco
and/or its affiliates. All rights reserved. Признаки для DNS-трафика: уровень II Протокол DNS IP/Сеть Регистрация домена Длина FQDN Лексические данные FQDN IP-адреса ASN Контакты: регистратор и владелец Дата создания Длина домена 2-го/n-го уровня Лексические данные доменов 2- го/n-го уровня Запаркованные домены CNAME, NS, SOA, MX Дата окончания Последнее обновление Значения TTL Коды ответов Страна / геолокация Временная информация
36.
© 2018 Cisco
and/or its affiliates. All rights reserved. Признаки для DNS-трафика: уровень III • Энтропия / распределение символов в FQDN • Взаимосвязи между доменами / IP- адресами / e-mail владельцев / автономными системами (ASN) • Вредоносная активность, связанная с доменом / IP / e-mail владельцев / автономными системами (ASN) Кто нас атакует? Какова инфраструктура нападающих? Специфические детали угроз
37.
© 2018 Cisco
and/or its affiliates. All rights reserved. На что обращать внимание? 1 2 3 4 5 В какое количество IP резолвится домен? Число стран в которых размещаются IP домена? Длина имени домена? Минимальный, средний и максимальный TTL домена? Как часто за сутки менялись IP домена? 6 7 8 Каков возраст домена Насколько равномерно распределены символы в домене? Насколько осмыслен домен?
38.
© 2018 Cisco
and/or its affiliates. All rights reserved. Длина домена имеет значение 0 45 90 135 180 0 2250 4500 6750 9000 Число субдоменов Фишинг YouTube, Amazon AWS, CDN, anti-virus, anti-spam slack-msgs.com Средняядлина
39.
© 2018 Cisco
and/or its affiliates. All rights reserved. Сеть посредников ZBot Fast Flux
40.
© 2018 Cisco
and/or its affiliates. All rights reserved. Алгоритмы
41.
© 2018 Cisco
and/or its affiliates. All rights reserved. Что-то не так? Почему все повторяется Вредоносные домены Происходит что-то плохое: - Всегда одни и те же два домена - Через регулярные интервалы времени
42.
© 2018 Cisco
and/or its affiliates. All rights reserved. Простые шаблоны (сигнатуры, IoC…) Статистические методы Правила Почему нельзя по старинке?
43.
© 2018 Cisco
and/or its affiliates. All rights reserved. Идентификация подозрительных DNS Норма Непонятно Аномалия DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request DNS Request Десятки миллиардов DNS- запросов в сутки Различные алгоритмы обнаружения аномалий Агрегированный рейтинг угрозы позволяет разделять трафик
44.
© 2018 Cisco
and/or its affiliates. All rights reserved. Миллиарды DNS-доменов • Statistical Methods • Information-Theoretical Methods • 70+ Unsupervised Anomaly Detectors • Dynamic Adaptive Ensemble Creation • Multiple-Instance Learning • Neural Networks • Rule Mining • Random Forests • Boosting • ML: Supervised Learning • Probabilistic Threat Propagation • Graph-Statistical Methods • Random Graphs • Graph Methods • Supervised Classifier Training Обнаружение аномалий и моделирование доверия Классификация событий и моделирование сущностей Моделирование взаимоотношений © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Множество алгоритмов
45.
© 2018 Cisco
and/or its affiliates. All rights reserved. Основные алгоритмы машинного обучения Входные данные Классификация Вывод Выделение признаков Собака Машинное обучение с учителем 75% Собака Машинное обучение без учителя 25%
46.
© 2018 Cisco
and/or its affiliates. All rights reserved. Классификация vs кластеризация • Классификация – машинное обучение с учителем, то есть обучение с помощью примеров. При известных входе и выходе, неизвестна зависимость между ними. Машинное обучение позволяет обнаружить эту зависимость • Кластеризация – машинное обучение без учителя, то есть обучение, при котором испытуемая система спонтанно обучается выполнять поставленную задачу без вмешательства со стороны экспериментатора
47.
© 2018 Cisco
and/or its affiliates. All rights reserved. Примеры алгоритмов Виновен по поведению § Модель совместных запросов § Геолокационная модель § Модель индекса безопасности Виновен по связям § Модель предсказуемого IP сегмента § Корреляция DNS и WHOIS данных Шаблон виновности § Модель всплесков активности § Модель оценки языкового шаблона (NLP) § Обнаружение DGA
48.
© 2018 Cisco
and/or its affiliates. All rights reserved. Модель совместных запросов a.com b.com c.com x.com d.com e.com f.com Время - Время + Совместное появление доменов означает что статистически значимое количество хостов запросило оба домена одновременно в короткий промежуток времени Возможно вредоносный домен Возможно вредоносный домен Известный вредоносный домен
49.
© 2018 Cisco
and/or its affiliates. All rights reserved. Пример Возвращает доменные имена, которые были просмотрены в тоже время, что и анализируемый. Эти домены могут быть частью той же кампании!
50.
© 2018 Cisco
and/or its affiliates. All rights reserved. Модель всплесков активности y.com ДНИ DNSЗАПРОСЫ Огромное количество запросов DNS собирается и анализируется Объем запросов DNS соответствует известному шаблону, характерному для exploit kit и предсказывает будущие атаки DGA MALWARE EXPLOIT KIT PHISHING y.com заблокирован до того как атака началась
51.
© 2018 Cisco
and/or its affiliates. All rights reserved. Пример Эээ, форма графика какая-то странная График запросов DNS показывает число запросов в час от всех пользователей за последние 30 дней
52.
© 2018 Cisco
and/or its affiliates. All rights reserved. 155.12.144. 25 179.67.73.66 72.78.28.73 Мониторинг предсказуемого IP сегмента Обнаруживает подозрительные домены и изучает их IP отпечатки Идентифицирует другие IP (хостящиеся на том же сервере) которые имеют схожие отпечатки Блокируем эти IP и их ассоциированные домены DOMAIN 209.67.132.176
53.
© 2018 Cisco
and/or its affiliates. All rights reserved. Пример
54.
© 2018 Cisco
and/or its affiliates. All rights reserved. Ранжирование по уровню безопасности Хороший, Плохой или Неизвестный DNS запросы в связи с Идентификацией Хороший, Плохой или Неизвестный Репутационный индекс DNS “Соседства” DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS Двудольный граф Интернет активности
55.
© 2018 Cisco
and/or its affiliates. All rights reserved. Читаем APT отчет Шаблоны в доменах используемых для атаки Проверили данные и подтвердили опасения Построили модель и продолжаем подстройку § Подлог домена использован для спуфинга § Частые имена брендов и слово “update” § Примеры: update-java[.]net adobe-update[.]net § Словарные слова и имена компаний слитно § Измененные строчные буквы # на символы для сокрытия § Домены хостятся на ASNах не ассоциированных с компанией § Изменённые отпечатки WEB страниц Обнаружение доменов для фрода: 1inkedin.net linkedin.com 1 2 3 4 NLP = natural language processing Типичные шаблоны фишинговых доменов и C2- серверов
56.
© 2018 Cisco
and/or its affiliates. All rights reserved. yfrscsddkkdl.com qgmcgoqeasgommee.org iyyxtyxdeypk.com diiqngijkpop.ru Анализ энтропии Не выглядит ли распределение символов случайным? “N-gram” анализ Соответствуют ли наборы рядом стоящих символов языковому шаблону? Обнаружение алгоритмов генерации доменов DGA
57.
© 2018 Cisco
and/or its affiliates. All rights reserved. Пример
58.
© 2018 Cisco
and/or its affiliates. All rights reserved. Предугадывание DGA на лету Предугадать >100,000 будущих доменов Комбинирование вновь идентифицированных конфигурации DGA с C2 доменами + DGA Configs b.com c.com, d.com, … Автоматизированный Реверсинг Комбинация C2 доменных пар и известных DGA для идентификации неизвестных конфигураций Configs a.com b.com DGA + Живой DNS поток логов Идентификация миллионов доменов, многие используются DGA и не регистрируются a1.com a2.com b1.com c2.com Автоматическое блокирование пулов C2 доменов Используется тысячами вредоносных сэмплов сегодня и в будущем fgpxmvlsxpsp.me[.]uk beuvgwyhityq[.]info gboondmihxgc.com pwbbjkwnkstp[.]com bggwbijqjckk[.]me yehjvoowwtdh.com ctwnyxmbreev[.]com upybsnuuvcye[.]net quymxcbsjbhh.info vgqoosgpmmur.it
59.
© 2018 Cisco
and/or its affiliates. All rights reserved. ИНФРАСТРУКТУРЫ Домен-к-IP-к-AS взаимоотношения через графы BGP данные маршрутов СОВМЕСТНЫЕ ЗАПРОСЫ Запросы вида домен-к- домену через рекурсивный DNS abc.org 00:34 def.co 00:35 igh.biz 00:36 bot.ru 4.3.2.1 8.7.6.5 2 FEB 4 FEB AS 346 AS 781 ПАССИВНЫЙ DNS И WHOIS Текущие и прошлые связи для домен-к-IP/nameserver/email через authoritative DNS и DNS registrars bad.cn 10 JAN bot.ru 11 JAN ok.com 12 JAN ns.dyn.com1.2.3.4 xxx@x.xx Корреляция DNS, WHOIS и BGP
60.
© 2018 Cisco
and/or its affiliates. All rights reserved. ХОСТ ИНФРАСТРУКТУРА Расположение сервера IP адреса, связанные с доменом Хостится в более чем 28+ странах DNS ЗАПРОШИВАЮЩИЕ ХОСТЫ Расположение сетевые и вне-сетевые IP адреса запрашивающих домен Только заказчики из US связываются с .RU TLD Геолокационный анализ IP
61.
© 2018 Cisco
and/or its affiliates. All rights reserved. Ранжирование отправителя Идентифицировать запросы на репутационные сервисы антиспама 85M+ DNS пользователей атакуются спамом и пользуются репутационными сервисами ПОЧТОВЫЕ СЕРВЕРА РЕПУТАЦИОННЫЕ СЕРВИСЫ a.spam.ru. checkspam.com b.spam.ru. checkspam.com Домен Сервиса Домен отправителя Модель агрегирует часовые графы по каждому домену Короткие всплески 1000 “Hailstorm” спам активностей использующих множество FQDN, таких как поддомены, чтобы скрыться от репутационных сервисов a.spam.ru … b.spam.ru z.spam.ru spam.ru Подозритель ный домен обнаружен Модель идентифицирует владельцев “Hailstorm” доменов После подтверждения, запрашивается WHOIS запись для понимания регистранта отсылающего домена ? ? ? Тип домена Популярность домена Историческая активность Подтверждаем “Hailstorm” домен Проверить поведенче ский шаблон Блокировка 10,000s доменов до осуществления новых атак Aзлоумышленники часто регистрируют больше доменов чтобы включить ссылки на фишинг или C&C сервера в Malware badguy Модель автоматически помещает регистрантов в список наблюдения Новые домены регистрируются в будушем Модель автоматически проверяет новые домены Новые вредоносные домены блокируются Umbrella
62.
© 2018 Cisco
and/or its affiliates. All rights reserved. Пример
63.
© 2018 Cisco
and/or its affiliates. All rights reserved. ‘Newly Seen Domains’ Категория 1. Любой пользователь (платный или бесплатный) запрашивает домен 2. Каждую минуту, мы сэмплируем из наших логов DNS. 3. Проверяем видели ли мы этот домен ранее и есть ли он в белых списках. 4. Если нет, добавляем в категорию, и через минуты, DNS сервис получает глобальное обновление. Домен используется в атаке. DNS AI модель Auto-WHOIS может распознать как вредоносную. Злоумышленник регистрирует домен. До истечения, если любой пользователь его запрашивает он логируется и блокируется как новый. Позднее DNS AI статистическим моделированием или репутацией идентифицирует его как вредоносный. СОБЫТИЯ Репутационные системы ЗАЩИЩЕН DNS AI 24 ЧАСА ЗАЩИЩЕН ОТ ДНЕЙ ДО НЕДЕЛЬ Еще не угроза Еще не угроза НЕ ЗАЩИЩЕН ПОТЕНЦИАЛЬНО УЯЗВИМ МИНУТЫ
64.
© 2018 Cisco
and/or its affiliates. All rights reserved. Пример
65.
© 2018 Cisco
and/or its affiliates. All rights reserved. ИИ – панацея?
66.
© 2018 Cisco
and/or its affiliates. All rights reserved. DNS over HTTPS или до победы еще далеко Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение
67.
© 2018 Cisco
and/or its affiliates. All rights reserved. Где взять людей? • У вас есть нужные данные, но нет правильных моделей. У вас есть правильные модели, но нет нужных данных CISO Summit, начало 2000-х годов • Сегодня у вас есть нужные данные (и их слишком много) и правильные (наверное) модели… но нет аналитиков, которые могут свести все это вместе Антон Чувакин, VP Gartner
68.
© 2018 Cisco
and/or its affiliates. All rights reserved. • Rovnix использует текст Декларации независимости США как входные данные для Domain Generation Algorithm (DGA): • kingwhichtotallyadminis.biz • thareplunjudiciary.net • townsunalienable.net • taxeslawsmockhigh.net • transientperfidythe.biz • inhabitantslaindourmock.cn • thworldthesuffer.biz • Ботнет Matsnu выстраивает DGA на базе словаря из 1300 существительных и глаголов (домены состоят из 24 символов) • scoreadmireluckapplyfitcouple.com • plentyclubplatewatermiss.com • benefitnarrowtowersliphabit.com • accountmoveseemsmartconcert.com • drawermodelattemptreview.com • carecommitshineshiftchip.com Злоумышленники не стоят на месте: NGDGA
69.
© 2018 Cisco
and/or its affiliates. All rights reserved. Есть ли реальные примеры?
70.
© 2018 Cisco
and/or its affiliates. All rights reserved. А как может быть? Поиск уязвимостей Модификация эксплойтов Фишинг Боты для обмана пользователя Подбор пароля Подмена личности
71.
© 2018 Cisco
and/or its affiliates. All rights reserved. Три типа атак на искусственный интеллект Извлечение • Нарушитель крадет модели и данные для обучения Уклонение • Белые пятна или обман моделей Отравление • Манипуляция обучающими данными для модификации поведения и принятия решений
72.
© 2018 Cisco
and/or its affiliates. All rights reserved. Когда злоумышленник знает как работает ИИ Компания Microsoft запустила основанного на машинном обучении чат-бота Тай в 2016-м году Группа злоумышленников, не имея доступа к исходным кодам, научила чат-бота ругаться и грубо общаться с пользователями
73.
© 2018 Cisco
and/or its affiliates. All rights reserved. Как можно атаковать ИИ? • Атака на алгоритм • Внесение изменений в алгоритм • Подстройка под алгоритм • Adversarial examples • Атака на данные • Внесение посторонних данных • Изменение существующих данных Copyright © 2015-2018 Kushnirenko Nikolay V.
74.
© 2018 Cisco
and/or its affiliates. All rights reserved. Искусственный интеллект тоже нуждается в защите Обучающие данные Обучение Модели Нарушитель Принятиерешений Эксперты Безопасность данных Безопасность моделей Безопасность операций
75.
© 2018 Cisco
and/or its affiliates. All rights reserved. А что дальше?
76.
© 2018 Cisco
and/or its affiliates. All rights reserved. У нас есть ИИ и что? Оптимизация Информация Взгляд в прошлое Взгляд в будущее В поле зренияОписательная аналитика Что случилось? Диагностичес- кая аналитика Почему это случилось? Предсказатель- ная аналитика Что случится? Предписываю- щая аналитика Что я должен сделать? Сложность Ценность
77.
© 2018 Cisco
and/or its affiliates. All rights reserved. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public#CLUS 4 Types of Analytics 77BRKSEC-1007
78.
© 2018 Cisco
and/or its affiliates. All rights reserved. Аналитика на примере «Игр престолов» deathtimeline.com Анализ каждой смерти во всех сезонах – жертва, убийца и время Отличный датасет по 200+ смертям сериала
79.
© 2018 Cisco
and/or its affiliates. All rights reserved. Разобьем серии на 15-тиминутные интервалы Смерти происходят преимущественно к концу эпизода
80.
© 2018 Cisco
and/or its affiliates. All rights reserved. Проанализируем каждый эпизод Смерти чаще всего происходят в конце сезона, чем в начале
81.
© 2018 Cisco
and/or its affiliates. All rights reserved. Строим модель Если (просмотр эпизода в последние 15 минут) И (эпизод в конце сезона) И если (Дейнерис Таргариен на экране) вероятность увидеть убитого = ?
82.
© 2018 Cisco
and/or its affiliates. All rights reserved. • Описательная Когда чаще всего умирают герои? • Диагностическая В какое время лучше всего смотреть «Игры престолов», чтобы увидеть меньше всего смертей? • Предсказательная В начале 8-го сезона будет меньше смертей, чем в его конце • Предписывающая Избегайте просмотра последних 15 минут каждого эпизода; особенно к концу сезона Делаем выводы: 4 типа аналитики
83.
© 2018 Cisco
and/or its affiliates. All rights reserved. До предсказательной и предписывающей аналитики мы еще не дошли
84.
© 2018 Cisco
and/or its affiliates. All rights reserved. К ИИ пока только присматриваются Изучают 59% изучают, собирают информацию или разрабатывают стратегию Пилотируют 25% пробуют поставщиков, взаимодействуют с потребителями, учатся на своих ошибках Внедряют 6% Реализовали 6% +4% планируют внедрить в 2018 Источник: Gartner
85.
© 2018 Cisco
and/or its affiliates. All rights reserved. Текущий статус кибербезопасности и ИИ Впервые стали говорить Много шума Не так страшен черт, как его малюют Наработаны контрмеры Плато продуктивност и технологии О безопасности никто не думает Первые уязвимости Страх и неопределенность Первые решения по безопасности с ИИ Атаки -> отражение -> атаки … ИИ тут! !
86.
© 2018 Cisco
and/or its affiliates. All rights reserved. Сигнатуры и IoC IDS, AV, NGIPS, EDR, TIP Правила NGFW, WSA, SIEM, ESA Статистические модели Netflow Алгоритмы ИИ © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public Поэтому: комбинация защитных технологий
87.
© 2018 Cisco
and/or its affiliates. All rights reserved. Вопросы?
88.
alukatsk@cisco.com
Download now