Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Обнаружение необнаруживаемого

6,014 views

Published on

Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.

Published in: Technology

Обнаружение необнаруживаемого

  1. 1. Бизнес-консультант по безопасности Обнаружение необнаруживаемого Алексей Лукацкий 24 ноября 2016 г.
  2. 2. Нарушитель реализует действия против цели приводящие к последствиям Что такое киберугроза?
  3. 3. 95% 5% 95% Сложности ИБ § Управляемые/неуправ ляемые десктопы § Спам/Вредоносы § DDoS § Удаленно контролируемые скомпрометированные узлы § Постоянные изменения в сети Базовые решения § Антивирус § МСЭ § IDS/IPS § WSA/ESA § Сетевая сегментация § Сбор и анализ логов § Incident Response Team Вы обнаруживаете 100% угроз?
  4. 4. Инцидент попадает к CISO КТО это сделал? КАК это произошло ? ЧТО пострадало ? ОТКУДА начался инцидент? КОГДА это произошло? Оставшиеся 5% и составляют кошмар CISO
  5. 5. • Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки) • Высокий уровень доработки продуктов для очередной кампании • Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей • Известно, что вредоносное ПО будут искать • Известно про запуск в песочницах • Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности • Все лучшие методологии разработки и отладки Что мы знаем о современном вредоносном ПО?
  6. 6. К чему это приводит? Bitglass 205 Trustwave 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305
  7. 7. Как защититься от киберугроз? Identify (идентификация) Protect (защита) Detect (обнаружение) Respond (реагирование) Recover (восстановление) Сети Устройства Приложения Пользователи Данные Identify (идентификация) Protect (защита) Detect (обнаружение) Respond (реагирование) Recover (восстановление) Сети Устройства Приложения Пользователи Данные
  8. 8. • В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие • В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны • Открытая • Слепая • Спрятанная • Неизвестная Окно Джохари
  9. 9. 4 зоны окна Джохари В скрытой зоне находятся качества, известные человеку, но неизвестные окружающим В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим ? В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие
  10. 10. Открытая Слепая Скрытая Неизвестная Окно Джохари применительно к ИБ Известно аналитику ИБ Не известно аналитику ИБ Известно другим Не известно другим Другие – это исследователи, хакеры, спецслужбы…
  11. 11. Открытая зона
  12. 12. Плохие файлы Плохие IP, URL Спам/Фишинговые Email Сигнатуры Уязвимости Индикаторы компрометации Открытая зона Известно аналитику Известно другим
  13. 13. • NGFW, IPS, Web/Email Security, WAF, песочницы… Решения для обнаружения угроз • API, pxGrid и т.п. Интерфейсы для обмена информацией об угрозах • Сканеры уязвимостей, SAST/DAST, Vulners, БДУ и др. Системы анализа защищенности • OpenIOC, STIX , TAXII, и т.д. Индикаторы компрометации Как обнаруживать известное?
  14. 14. Откуда мы получаем данные об угрозах?
  15. 15. • Получение информации с ошибками • Отсутствие или исчезновение информации на конкретные угрозы • Отсутствие учета вертикальной или страновой специфики • Смена политики лицензирования • Смена собственника • Поглощение компании-разработчика • Сотрудничество со спецслужбами • Санкции… Риски получения данных об угрозах из одного источника
  16. 16. Вы доверяете своему вендору? 16 апреля 2015 года http://www.zdnet.com/article/pal o-alto-networks-mcafee- websense-gateway-systems- allow-malicious-traffic-to-slip- through-the-net/ Дело СОВСЕМ не в названиях компаний, проблема в методологии
  17. 17. Может увеличить число источников?
  18. 18. Источники поступления информации об угрозах Информация об угрозах Вендор СрЗИ 3rd party СрЗИ OSINT фиды Поставщики фидов и сигнатур
  19. 19. 3rd party поставщики сигнатур атак Сигнатуры Cisco Talos Бесплатные Платные Под заказ Emerging Threats ET Open ET Pro Idappcom Платные Wurldtech Платные (для ICS) • Все поставщики сигнатур разрабатывают их под Snort (стандарт де-факто) • Bro и Surricata могут использовать сигнатуры Snort-style • Российские «разработчики» IDS обычно используют сигнатуры ET
  20. 20. А где брать сведения об уязвимостях помимо сканеров безопасности?
  21. 21. Почему так важна Threat Intelligence сегодня?! • Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им • Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.
  22. 22. Что у нас с атрибуцией нарушителя?
  23. 23. США атакованы «Россией»! Кто в действительности стоит за атакой?
  24. 24. • Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки • Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке • Изучение «почерка» программистов Методы атрибуции обычно применяются в совокупности
  25. 25. • Стилометрия (изучение стилистики языка в комментариях и иных артефактах) • Обманные системы (honeypot) • Анализ активности на форумах и в соцсетях • Анализ постфактум (продажа украденной информации…) • Оперативная разработка Методы атрибуции обычно применяются в совокупности
  26. 26. • Хакеры действовали из часового пояса, в котором находится Москва • Хакеры действовали в то время, когда в Москве рабочие часы • Хакеры действовали с IP-адресов, зарегистрированных в России • Хакеры использовали сервисы, у которых был русскоязычный интерфейс Одиночные «доказательства» русского следа
  27. 27. Геополитические Правовые Технические Почему точная атрибуция невозможна? © 2015 Cisco and/or its affiliates. All rights reserved. 27 Экономические Психологические
  28. 28. TTP Инструменты Сетевые / хостовые артефакты Доменные имена IP-адреса Хеши Тривиально Элементарно Просто Раздражающе Сложно Тяжело Вернемся к данным об угрозах (IoC)
  29. 29. Адреса IPv4 Домены / FQDN Хэши (MD5, SHA1) URL Транзакционные (MTA, User- Agent) Имя файла / путь Mutex Значение реестра Имена пользователей Адреса e-mail Распространенные IoC
  30. 30. Разведка Оснащение Доставка Заражение Инсталляция Получение управления Выполнение действий Файл – имя Файл URI – URL HTTP - GET HTTP – User Agent URI – имя домена Адрес – e-mail Адрес – IPv4 Файл – путь Файл URI – URL Поведение Файл – имя Файл – путь Файл URI – URL HTTP – POST Заголовок e-mail – Тема Заголовок e-mail – X-Mailer URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Ключ реестра Win Файл – имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – CIDR Адрес – IPv4 Код – Бинарный код Процессы Win Ключ реестра Win Файл – имя Файл – путь Файл URI – URL HTTP – GET HTTP – User Agent URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Ключ реестра Win Файл URI – URL HTTP – GET HTTP – POST HTTP – User Agent URI – имя домена Хеш – MD5 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Сервисы Win Файл – Путь Файл – Имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – IPv4 IoC в привязке к Kill Chain
  31. 31. • Фиды (feeds) – способ представления данных об угрозах • Поддержка различных языков программирования и форматов данных • JSON • XML • CyBOX • STiX • CSV • И другие Фиды Threat Intelligence
  32. 32. Этапы зрелости использования фидов Эпизодическое применение фидов Регулярное использование отдельных ресурсов с фидами Использование платформы TI Использование API для автоматизации Обмен фидами
  33. 33. Источники фидов http://atlas.arbor.net/ Инициатива Arbor ATLAS (Active Threat Level Analysis System) • Глобальная сеть анализа угроз (обманные системы) • Информация берется от обманных систем (honeypot), IDS, сканеров, данных C&C, данных о фишинге и т.д. • Публичная информация о Топ10 угрозах • Для доступа к некоторым данным требуется регистрация http://www.spamhaus.org Проект для борьбы со спамом • Поддерживает различные базы данных (DNSBL) с данными по угрозам (IP-адреса) – спамеры, фишеры, прокси, перехваченные узлы, домены из спама • Реестр ROKSO с самыми известными спамерами в мире • Проверка и исключение своих узлов из «черных списков»
  34. 34. Источники фидов https://www.spamhaustech.com SpamTEQ – коммерческий сервис Spamhaus • Фиды по репутациям IP- и DNS-адресов • Ценовая политика зависит от типа организации и типа запрашиваемых данных • Годовой абонемент https://www.virustotal.com Проект для борьбы со спамом • Проверка файлов и URL на вредоносность • Бесплатный сервис • Система поиска
  35. 35. Источники фидов https://www.threatgrid.com Фиды по сетевым коммуникациям • IRC, DNS, IP • Россия и Китай • Сетевые аномалии • RAT и банковские троянцы • И др. https://www.alienvault.com/open-threat-exchange Открытое community по обмену информацией об угрозах • IP- и DNS-адреса • Имена узлов • E-mail • URL и URI • Хеши и пути файлов • CVE-записи и правила CIDR Форматы: • JSON • CyBOX • STiX • CSV • Snort • Raw
  36. 36. Источники фидов https://www.cisco.com/security IntelliShield Security Information Service • Уязвимости • Бюллетени Microsoft • Сигнатуры атак Cisco • Web- и обычные угрозы • Уязвимые продукты (вендор-независимый) http://www.malwaredomains.com Проект DNS-BH (Black Holing) • Обновляемый «черный» список доменов, участвующих в распространении вредоносного кода • Список доступен в формате AdBlock и ISA
  37. 37. Какие еще источники фидов есть? IOC • Abuse.ch • Blocklist.de • CleanMX • EmergingThreats • ForensicArtifacts • MalwareIOC • Nothink • Shadowserver DNS • ISC DNSDB • BFK edv- consulting Вредоносное ПО • VirusShare.com
  38. 38. А еще? • CrowdStrike • FarSight Security • Flashpoint Partners • IOCmap • iSightPartners • Microsoft CTIP • Mirror-ma.com • ReversingLabs • SenderBase.org • Threat Recon • Team Cymru • Webroot • ZeusTracker • И другие
  39. 39. А в России?
  40. 40. На что обратить внимание при выборе фидов? • Тип источника • Уровни представления информации • Широта охвата • Число записей • Языковая поддержка/покрытие • Доверие к источнику (популярность и отзывы) • Оперативность/частота предоставления фидов • Платность • Формализованность представления информации • Возможность автоматизации • Соответствие вашей инфраструктуре • Частота ложных срабатываний • Возможность отката назад или пересмотра статуса угрозы (например, для вылеченного сайта)
  41. 41. От фидов к платформе • Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа • Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir, Paterva/Maltego CaseFile, SharePoint, ThreatConnect • В простых случаях можно обойтись решениями open source
  42. 42. Платформы Threat Intelligence https://www.threatconnect.com 6 уровней: • Индивидуальный • Базовый • Команда • Предприятие • MSSP • ISAC/ISAO Возможности: • Премиум и open source фиды • Наличие API • Неструктурированые данные • Приватная маркировка • Облако или on-premise • Тактический / стратегический https://crits.github.io Платформа open source от MITRE • Использует другие open source решения, объединяя их вместе • Анализ и обмен данных об угрозах • Изолированная или разделяемая архитектура
  43. 43. Что такое CRiTs? • Python/Django front end UI • Apache или Django runserver • MongoDB backend • Fault Tolerant • High Performance • NO SQL • Mongo FS для файлов • Document based • Files and metadata
  44. 44. Применение CRiTs в Cisco
  45. 45. Обнаруживать Применение CRiTS в Cisco Предотвращать DNS RPZ host IDSBGP NetFlow Syslog В процессе pDNS Делиться Govt Сейчас Планы CSIRTESA HIPS LUPA WSA Партнеры CRITS MD5 IPV4 Regkey AV SBG TIP Клиенты
  46. 46. Платформы Threat Intelligence https://www.threatgrid.com Возможности: • Премиум и open source фиды • Наличие API • Неструктурированые данные • Приватная маркировка • Облако или on-premise • Индикаторы компрометации • Интеграция с различными SIEM https://www.iocbucket.com Возможности: • Редактор IOC (индикаторов компрометации) • Поддержка YARA и OpenIOC • Обмен IOC • Бесплатная • Готовится сервис фидов (коммерческих и бесплатных) • Готовится поддержка TAXII
  47. 47. Платформы Threat Intelligence https://www.threatstream.com Возможности: • Премиум и open source фиды • Наличие API • Неструктурированные данные • Приватная маркировка • Интеграция с различными поставщиками фидов • Гибкость • Работа на мобильных платформах (Apple Watch) • Интеграция с различными SIEM http://csirtgadgets.org/collective-intelligence-framework/ Возможности: • Open source платформа • Собирает данные из различных источников, поддерживающих стандарт CIF • Позволяет идентифицировать инциденты • Может формировать правила для IDS • Есть фиды и API
  48. 48. Популярный Maltego • Maltego – open source решение для анализа данных, полученных из разных источников, и связей между ними • Canari Framework – инфраструктура, позволяющая более эффективно использовать Maltego • Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.
  49. 49. Facebook тоже вышел на рынок Threat Intelligence 11 февраля 2015 года! http://threatexchange.fb.com/
  50. 50. Платформы и источники для TI Коммерческая или бесплатная? Коммерческая • Масштаб • Удобство • Оперативность • Гарантия • Поддержка • Функциональность Бесплатная • Цена • Энтузиазм
  51. 51. • Большое количество угроз и непредсказуемость времени их получения требует автоматизации процесса Threat Intelligence и его интеграции с существующими решениями класса SIEM или SOC • Автоматизация может быть достигнута за счет API / SDK, который сможет • Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая платформы TI • Поддержка различных языков программирования • Go и Ruby • Java и .NET • Perl и PHP • Powershell и Python • RESTful • WSDL и SOAP Threat Intelligence API
  52. 52. API для автоматизации процесса VirusTotal https://www.virustotal.com/en/documentation/public-api/ • Загрузка и сканирование файлов • Загрузка и сканирование URL • Получение отчетов ThreatGRID Широкие возможности по загрузке и получении ответа • Артефакты (хэш, путь) • URL • Ключ реестра • Домен / имя узла • IP • IOC • Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)
  53. 53. API для автоматизации процесса OpenDNS Анализ DNS/IP-адресов на предмет их вредоносности
  54. 54. • Угроза должна быть описана • Угрозы должны быть объединены в признаки компрометации • Информация об угроза должна быть передана Взаимосвязь стандартов Threat Intelligence
  55. 55. • Описание различных проблем с ИБ • CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак • CCE (http://cce.mitre.org/) - описание конфигураций • CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными средствами защиты (аналог SDEE/RDEP) • CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры • CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей • CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей • CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО • MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME • MARF (http://datatracker.ietf.org/wg/marf/documents/) • OVAL (http://oval.mitre.org/) - язык описания уязвимостей • CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки защищенности Стандарты Threat Intelligence
  56. 56. • Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях • OpenIOC (http://openioc.org) - преимущественно хостовые признаки • CybOX (http://cybox.mitre.org) • OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) • STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей • IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется • RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга • IODEF-SCI – расширение IODEF для добавления дополнительных данных • VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon • x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях Стандарты Threat Intelligence
  57. 57. • Обмен информацией • TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX • VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA • SecDEF – европейский стандарт ENISA • CAIF (http://www.caif.info) - европейский стандарт • DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт • IODEF • RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики • MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX, IODEF, STIX и TAXII в единое целое • RFC 5941 – обмен информацией о мошенничестве (фроде) • MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного кода Стандарты Threat Intelligence
  58. 58. • Разное • TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг распространения информации • CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и нейтрализовать угрозы путем генерации правил для Snort, iptables и др. Стандарты Threat Intelligence
  59. 59. 3rd party тоже не панацея. Оцените риски!
  60. 60. У меня есть фиды (IoC) и что дальше? Фиды «Yara» SIEM СрЗИ Руки J
  61. 61. Средства для поиска угроз на базе IoC • Yara • PowerShell • AutoRuns – Utility • Loki • Wireshark – tshark
  62. 62. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62 Слепая зона
  63. 63. Нехватка логов Разрыв в процессах Нехватка интеграции/масштабирования Нехватка корреляции Ложные срабатывания Слепая зона Неизвестно аналитику Известно другим
  64. 64. Нехватка данных для анализа • Syslog, CDR…Логи • Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги • E-mail, файлы, Web-страницы, видео/аудио…Контент • Netflow, IPFIX…Потоки • Имена пользователей, сертификаты… Идентификационные данные
  65. 65. Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг Откуда брать данные?
  66. 66. Объединяя типы данных и места их сбора Место съема данных Источник данных Сигналы тревоги Контент Потоки Логи Идентиф икация Интернет- периметр Сервер DHCP ✔ Сервер DNS ✔ DLP ✔ ✔ ✔ WAF ✔ ✔ NAC ✔ ✔ Маршрутизатор ✔ ✔ …
  67. 67. Объединяя типы данных и индикаторы Категория индикатора Индикатор Сигналы тревоги Контент Потоки Логи Идентиф икация Системная активность Неудачные попытки входа ✔ ✔ Доступ к нетипичным ресурсам ✔ ✔ Утечка данных ✔ ✔ ✔ ✔ ✔ Изменение привилегий ✔ ✔ ✔ ✔ Нетипичные команды ✔ ✔ ✔ Нетипичные поисковые запросы ✔ ✔ ✔ ✔ …
  68. 68. • Elastic Search • Log Stash • Kibana • Splunk • Security Onion • Flowplotter • Wireshark - tshark • Network Miner • Snort • Suricata • BRO • Flowbat Средства сбора и анализа сетевой телеметрии
  69. 69. Для слепой зоны нужны корреляция Корреляция Пользователи Приложения Сеть Физический мир
  70. 70. Threat Intelligent Platforms • Агрегация телеметрии из множества источников Аналитика ИБ • OpenSOC (Metron), Splunk, SIEM, ELK Облачные решения • CTA, OpenDNS • Sec-aaS Что помогает обнаруживать угрозы в слепой зоне?
  71. 71. Скрытая зона
  72. 72. Контекст Корреляция событий Исторический контекст Базовый профиль (эталон) Анализ данных Скрытая зона Известно аналитику Не известно другим
  73. 73. • У вас могут быть свои подозрительные файлы • Вы можете не хотеть «делиться» вашими анализами с другими • Вас может не устраивать оперативность фидов • Ваш источник фидов может плохо охватывать Россию • У вас собственная служба расследования инцидентов и аналитики вредоносного кода • Вы пишете вредоносный код J А разве фидов недостаточно? Данные об угрозах в RSA Security Analytics Данные об угрозах в EnCase Endpoint Security
  74. 74. Возможность анализа собственных угроз https://www.threatgrid.com Загрузка собственных угроз • С помощью API в облако • С помощью API на локальное устройство on-premise • Вручную через портал https://malwr.com Сервис анализа вредоносного кода • Базируется на VirusTotal и Cuckoo Sandbox • Бесплатный
  75. 75. • Активы/Сеть • Сетевая топология • Профиль актива • Адрес/местоположение • Аппаратная платформа • Операционная система • Открытые порты/Сервисы/Протоколы • Клиентское и серверное ПО и его версия • Статус защищенности • Уязвимости • Пользователь • Местоположение • Профиль доступа • Поведение Что мы знаем и не знают другие? • Файл/Данные/Процесс • Движение • Исполнение • Метаданные • Источник • «Родитель» • Репутация • Безопасность • Точечные события • Телеметрия • Ретроспектива
  76. 76. èМСЭ / NGFW / NAC èIDS / IPS èNBAD èAV / BDS SIEM / LM X X X X Откуда эти данные взять? X èФильтрация контента èА еще ОС, СУБД…
  77. 77. На что обращать внимание?! Активность • Системная (изменение поведения ИТ- систем или шаблонов доступа) • Объектовая (шаблоны местонахождения и времени) • Бизнес Контекст • Социальный (социальные коммуникации) • Здоровье / психология (изменения в психологии и здоровье) • HR (непростые жизненные события) Телеметрия • Финансовая (непредвиденные или неожиданные траты) • Безопасность (нарушения политик ИБ) • Криминальная
  78. 78. Источники данных для анализа Внутренние • Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.) • Критичные ресурсы • СКУД (местоположение, GSM, CCTV, бейджи и т.п.) • Данные о персонале (HR, проверки СЭБ и т.п.) Внешние • Данные от правоохранительных органов • Банковские выписки • Выписки ДМС, медосмотры
  79. 79. • Неудачные попытки входа в системы • Доступ к нетипичным ресурсам • Профиль сетевого трафика • Утечки данных (по объему, типу сервиса и контенту) • Нетипичные методы доступа • Изменение привилегий • Нетипичные команды • Нетипичные поисковые запросы Выбрать индикаторы
  80. 80. • Модификация логов • Нетипичное время доступа • Нетипичное местонахождение • Вредоносный код • Модификация или уничтожение объектов ИТ-инфраструктуры • Поведение конкурентов и СМИ • Необычные командировки и персональные поездки Примеры индикаторов
  81. 81. • Негативные сообщения в социальных сетях • Наркотическая или алкогольная зависимость • Потеря близких • Проигрыш в казино • Ухудшение оценок (review) • Изменение финансовых привычек (покупка дорогих вещей) • Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.) Примеры индикаторов
  82. 82. Обычно мы оперируем только низкоуровневыми данными Данные Информация Знания
  83. 83. Время Внутр.адрес Внеш.адрес 2:03 10.0.0.1 64.25.1.2 8:03 10.0.0.2 33.79.3.14 8:30 10.0.0.2 121.9.12.5 8:32 10.0.0.1 64.25.1.2
  84. 84. Время Внутр.адрес Пользователь Внеш.адрес 2:03 10.0.0.1 Гость 64.25.1.2 8:03 10.0.0.2 Иван Петров 33.79.3.14 8:30 10.0.0.2 Иван Петров 121.9.12.5 8:32 10.0.0.1 Гоьст 64.25.1.2
  85. 85. Время Внутр.адрес Пользователь Внеш.адрес Репутация 2:03 10.0.0.1 Гость 64.25.1.2 Unknown 8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted 8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted 8:32 10.0.0.1 Гость 64.25.1.2 Bad ?
  86. 86. Время Внутр.адрес Пользователь Внеш.адрес Время Приложение 2:03 10.0.0.1 Гость 64.25.1.2 Unknown Web 8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted Web 8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted Email 8:32 10.0.0.1 Гость 64.25.1.2 Bad Unknown ?
  87. 87. От данных к анализу информации Данные Информация Знания Время, Внутренний адрес, Внешний адрес, Пользователь, Репутация, Приложение
  88. 88. От анализа информации к знаниям Пользователь ‘Гость’ вероятно был инфицирован в 2:03, посещая 64.25.1.2, затем контактируя с сервером C&C в 8:32 Данные Информация Знания Время, Внутренний адрес, Внешний адрес, Пользователь, Репутация, Приложение
  89. 89. Сетевые ресурсыПолитика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативамP Что Когда Где Как Дверь в сеть Контекст Обмен данными Контекст очень помогает в слепой зоне
  90. 90. Доступ Доверие Меньше доверия Меньше доступа Больше доверия Меньше доступа Меньше доверия Больше доступа Больше доверия Больше доступа Устройства «Интернета вещей» (BMS, принтеры, СКУД и т.п.) Другое Управляемые Cisco устройства Устройства других компаний • Ограниченные возможности по управлению • Политика ограниченного доступа • Регистрация устройств • Пользовательские устройства • Устройства, зарегистрированные Cisco Device Management Suite • Управляемые, но не входящие в Cisco Device Management Suite устройства • Бизнес или технические ограничения Опыт использования контекста в Cisco
  91. 91. Кто? Известные пользователи (Сотрудники, продавцы, HR) Неизвестные пользователи (Гости) Что? Идентификатор устройства Классификация устройств (профиль) Состояние устройства (posture) Как? Проводное подключение Беспроводное подключение VPN-подключение Где / куда / откуда? Географическое местоположение Департамент / отдел SSID / Порт коммутатора Когда? Дата Время Другие? Пользовательские атрибуты Статус устройства / пользователя Используемые приложения Опыт использования контекста в Cisco
  92. 92. Что помогает обнаруживать угрозы в скрытой зоне? Визуализация • Траектория файлов • Вектора атак • Имитация пути злоумышленника Аналитика ИБ • Пользовательские запросы в OpenSOC (Metron), Splunk, SIEM, ELK Контекст • Identity Firewall • NAC • ISE
  93. 93. Визуализация угрозы
  94. 94. • Threatcrowd.org позволяет организовать поиск взаимосвязей между IOCs: • IP-адреса • Доменные имена • Хеши файлов • Имена файлов • Аналогичную задачу можно реализовать с помощью OpenDNS, Maltego, а также OpenGraphitti Визуализация скрытых связей
  95. 95. Визуализация скрытых связей OpenGraphitti
  96. 96. Неизвестная зона
  97. 97. Неизвестная зона Есть известные известные — вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные — вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные — это вещи, о которых мы не знаем, что не знаем их Бывший министр обороны США Дональд Рамсфельд
  98. 98. Выпадающие события / «Черный лебедь» Аномальное поведение 0-Days Еще нет сигнатур/решающих правил Неизвестная зона Не известно аналитику Не известно другим
  99. 99. Обнаружение угроз в неизвестной зоне Неизвестное неизвестное Анализ поведения Машинное обучение Статистический анализ
  100. 100. Обнаружение аномалий и классификация событий Обнаружение аномалий • Скажи мне если произойдет что- то необычное Классификация • Скажи мне когда ты увидишь нечто, похожее на это
  101. 101. Анализ NetFlow – путь к самообучаемым сетям Сетевые потоки как шаблоны вторжений Мощный источник информации для каждого сетевого соединения Каждое сетевое соединения в течение длительного интервала времени IP-адрес источника и назначения, IP-порты, время, дата передачи и другое Сохранено для будущего анализа Важный инструмент для идентификации взломов Идентификация аномальной активности Реконструкция последовательности событий Соответствие требованиям и сбор доказательств NetFlow для полных деталей, NetFlow-Lite для 1/n семплов
  102. 102. THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out Вспомним распечатку мобильного оператора
  103. 103. Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out Вспомним распечатку мобильного оператора
  104. 104. Кто КудаЧто Когда Как Откуда Больше контекста Высокомасштабиуремый сбор Высокое сжатие => долговременное хранилище NetFlow с точки зрения контекста
  105. 105. NetFlow может обнаруживать не столько известные угрозы, сколько аномалии Стадия атаки Обнаружение Использование уязвимостей Злоумышленник сканирует IP-адреса и порты для поиска уязвимостей (ОС, пользователи, приложения) 1 § NetFlow может обнаружить сканирование диапазонов IP § NetFlow может обнаружить сканирование портов на каждом IP-адресе Установка вредоносного ПО на первый узел Хакер устанавливает ПО для получения доступа2 § NetFlow может обнаружить входящий управляющий трафик с неожиданного месторасположения Соединение с “Command and Control” Вредоносное ПО создает соединение с C&C серверами для получения инструкций 3 § NetFlow может обнаружить исходящий трафик к известным адресам серверов C&C Распространение вредоносного ПО на другие узлы Атака других систем в сети через использование уязвимостей 4 § NetFlow может обнаружить сканирование диапазонов IP § NetFlow может обнаружить сканирование портов на каждом IP-адресе внутреннего узла Утечка данных Отправка данных на внешние сервера5 § NetFlow может обнаружить расширенные потоки (HTTP, FTP, GETMAIL, MAPIGET и другие) и передачу данных на внешние узлы
  106. 106. Не только NetFlow • Поймите, что для вас норма и отслеживайте отклонения от нее с учетом дельты Визуализация аномалии в виде превышения числа HTTP ошибок
  107. 107. Попробуйте определить аномалию в DNS- трафике
  108. 108. Машинное обучение (искусственный интеллект) Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее
  109. 109. 95% Security Challenges § Managed/Unmanaged Desktops § Spam/Malware § DDoS § Compromised Hosts Remotely Controlled § Rapidly Changing Environment Продвинутые угрозы § Targeted Spear Phishing Trojans § Watering Hole Attacks § Social Networking Attacks § Nation State Attacks 5% Foundational Solutions § Anti-virus § Firewalls § IDS/IPS § IronPort WSA/ESA § Network Segmentation § Log Capture/Analysis § Incident Response Team § Expanded Data Collection § Netflow, IP-Attribution, DNS… § Big Data Analysis & Playbooks § Rapid Containment § DNS/RPZ, Quarantine, On-line Host Forensics § Threat/Situational Awareness Новые решения Не забывайте про оставшиеся 5%
  110. 110. Как Cisco ловит эти 5% в своей сети? Нейтрализовать и реагировать Метрики и отчеты Управление конфигурацией Инспекция Регистрация Идентификация Телеметрия IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1x Address, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB Execs Auditors Infosec IT Orgs HR-Legal Line of Biz Admins End Users Partners Business Functions Информирование Реагирование РасследованиеОбнаружение DBs Внешние фиды об угрозах Сканы Конфиги Логи Потоки События 4TB в день Сист. управления Incident Mgt System Compliance Tracker Incident Response Team Playbook
  111. 111. Опыт Cisco: комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  112. 112. Открытая • NGFW / NGIPS • Защита от вредоносного ПО • Спам-фильтры • Безопасность Web Слепая • Платформы Threat Intelligence • Аналитика Big data • Корреляция • Облачные решения Скрытая • Визуализация • Пользовательские запросы • Контекст Неизвестная • Машинное обучение • Статистический анализ • Анализ сетевого поведения Подводим итоги Известно аналитику Не известно аналитику Известно другим Не известно другим
  113. 113. Что у вас есть? Чего вам не хватает? Что вам понадобится? Идентифицируйте используемые вами технологии ИБ, используемые данные и способы их получения, не забывая про моделирование угроз Определите ваши краткосрочные, среднесрочные и долгосрочные планы и возможные угрозы для них, а затем определите данные, которые вам нужны для их обнаружения Выберите необходимые источники данных, обучите персонал и, по необходимости, внедрите новые решения по кибербезопасности и анализу информации для ИБ Что сделать после семинара?
  114. 114. Спасибо alukatsk@cisco.com

×