Защита от современных и целенаправленных атак

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Защита от современных и
целенаправленных атак
Алексей Лукацкий
Бизнес-консультант по безопасности
2 April 2015

Архитектура безопасности Cisco
Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический
центр Talos
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
Матрица ASA,
(сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг

5 элементов борьбы с целенаправленными угрозами
Реальное время или
близкое к нему
Анализ пост-фактум
Сеть
Анализ сетевого
трафика
Расследование
инцидентов на уровне
сети
Содержимое Анализ содержимого
Оконечные устройства
Анализ поведения на
оконечных устройствах
Расследование
инцидентов на уровне
оконечных устройств

С помощью чего бороться с целенаправленными
угрозами?
Минимум
•  МСЭ и IPS
•  Сегментация сети
•  Системы контроля
доступа в Интернет
•  Защита ПК/ноутбуков
Неплохо бы
•  NAC
•  Контроль
приложений (черные/
белые списки)
•  МСЭ/IPS следующего
поколения
•  SIEM
•  Защита мобильных
устройств
Идеально
•  Анализ сетевого
трафика
•  Расследование
инцидентов
•  Анализ содержимого
•  Адаптивный
контроль доступа
•  Система
обнаружения брешей
(BDS)

Проблемы с традиционными NGFW
Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность
Ручные и статические
механизмы
Медленный отклик,
ручное управление,
низкая
результативность

Результат печален – потребитель проигрывает
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы

Эволюция механизмов безопасности
Уровеньбезопасности
Статические
механизмы
Вмешательство
человека
Полуавто-
матические
Механизмы
на основе
прогнозиро-
вания
Текущие
требования
Динами-
ческие
механизмы

AMP + FirePOWER
AMP > управляемая защита от угроз
Cisco: в центре внимания — безопасность!
Приобретение компании Cognitive
Security
•  Передовая служба исследований
•  Улучшенные технологии поведенческого
анализа в режиме реального времени
2013 2015...2014
Приобретение компании Sourcefire
Security
•  Ведущие в отрасли СОПВ нового поколения
•  Мониторинг сетевой активности
•  Advanced Malware Protection
•  Разработки отдела по исследованию уязвимостей
(VRT)
•  Инновации в ПО с открытым исходным кодом
(технология OpenAppID)
Malware Analysis & Threat Intelligence
Приобретение компании
ThreatGRID
•  Коллективный анализ вредоносного
кода
•  Анализ угроз
Коллективные исследования Cisco –
подразделение Talos по исследованию и
анализу угроз
•  Подразделение Sourcefire по исследованию уязвимостей — VRT
•  Подразделене Cisco по исследованию и информированию об
угрозах — TRAC
•  Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMP
Коллективный анализ вредоносного
кода > Система коллективной
информационной безопасности

100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
00 01000111 0100 11101 1000111010011101 1000111010011101 1100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101
Что не так с прежними МСЭ нового поколения?
Фокусируются на приложениях...
Но полностью упускают из вида
угрозу
Прежние МСЭ нового поколения могли уменьшить область атаки, но усовершенствованный
вредоносный код часто обходил защитные механизмы.
0100 1110101001 1101 111 0011 0
0111100 011 1010011101 1
0100 111001 1001 11 111 0

Современный ландшафт угроз требует большего, чем
просто контроль приложений
54%
компрометаций
остаются незамеченными
месяцами
60%
данных
похищается за
несколько
часов
Они стремительно атакуют и остаются
неуловимыми
Целое сообщество злоумышленников
остается нераскрытым, будучи у всех на виду
100%
организаций подключаются
к доменам, содержащим
вредоносные файлы или службы

Комплексная защита от угроз в течение всего
жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ

Первый в отрасли МСЭ нового поколения, смотрящий
шире и глубже других
CiscoASAс функциями FirePOWER
►  Межсетевое экранирование Cisco® ASA в сочетании с системой
предотвращения вторжений Sourcefire® нового поколения
►  Усиленная защита от вредоносного кода Advanced Malware
Protection (AMP)
►  Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и
контроля приложений (AVC) и фильтрации URL-адресов
Особенности
►  Непревзойденная, многоуровневая защита от угроз
►  Беспрецедентная прозрачность сетевой активности
►  Комплексная защита от угроз на всем протяжении атаки
►  Снижение стоимости и сложности систем
Преимущества
«С помощью многоуровневой
защиты организации смогут
расширить возможности для
мониторинга, внедрить
динамические механизмы
безопасности и обеспечить
усиленную защиту в течение
всего жизненного цикла
атаки»

Интегрированная и многоуровневая защита
►  Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
►  Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
►  Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
►  Фильтрация URL-адресов на основе
репутации и классификации
►  Система Advanced Malware Protection с
функциями ретроспективной защиты
►  Система управления уязвимостями и
SIEM
Cisco ASA
VPN и политики
аутентификации
Фильтрация URL-
адресов
(по подписке)FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль
приложений
Межсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование
сети
Предотвращение
вторжений (по
подписке)

Платформа ASA
Управление и эксплуатация
Защита
унифицированных
коммуникаций
Защищенное
подключение
(IPSec / SSL VPN)
Защита
от угроз
Анализ
протоколов
IPv4/v6
Контроль
доступа
§  Высокопроизводительная масштабируемая платформа
§  Высокая доступность, надежность и отказоустойчивость
§  Интеллектуальные сетевые сервисы
§  Виртуализация, прозрачность функционирования
§  Широкий модельный ряд
§  Сертификация производства в ФСТЭК по 3-му классу для МСЭ
В основе лежит платформа Cisco ASA 5500-X

Что привносят FirePOWER Services?
•  Система предотвращения вторжений
нового поколения – проверка
содержимого
•  Учет контекста
•  Интеллектуальная система
безопасности – управление черными
списками
•  Полный контроль доступа
По зоне сети, сеть VLAN, IP, порту, протоколу, приложению,
пользователю, URL-адресу
•  И все эти компоненты прекрасно
интегрируются друг с другом
Используются политики системы предотвращения
вторжений
Политики контроля файлов
Политика
межсетевого экрана
Политика в отношении
системы предотвращения
вторжений нового поколения
файлов
вредоносных программ
Контролируемый
трафик
Коммутация,
маршрутизация, сеть VPN,
высокая доступность
Осведомленность об URL-
адресах
Интеллектуальная система
Определение местоположения
по IP-адресу

Беспрецедентная прозрачность сетевой активности
Категории Технологии FirePOWER Прежние IPS
Прежние МСЭ нового
поколения
Угрозы ü ü ü
Пользователи ü û ü
Веб-приложения ü û ü
Протоколы приложений ü û ü
Передача файлов ü û ü
Вредоносный код ü û û
Серверы управления и контроля
ботнета
ü û û
Клиентские приложения ü û û
Сетевые серверы ü û û
Операционные системы ü û û
Маршрутизаторы и коммутаторы ü û û
Мобильные устройства ü û û
Принтеры ü û û
VoIP-телефония ü û û
Виртуальные машины ü û û

Политика NGFW

Распознавание приложений
•  Анализ сетевого
трафика позволяет
распознавать широкий
спектр различных
приложений, которые
затем можно
использовать в правилах
политики безопасности
•  FirePOWER for ASA
распознает и
«российские»
приложения

3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
обнаружено
Событие нарушения
зафиксировано,
пользователь
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует
Skype. Пользователь
идентифицирован, IT и HR
уведомлены.
IT & HR
провели с
пользователем
работу
Идентификация приложений «на лету»

Блокирование передачи файлов Skype

Описание собственных приложений
•  Приложения могут
быть описаны
шаблонами
ASCII
HEX
PCAP-файл

Управление сигнатурами атак

Реагирование на события
•  Запуск сканирования NMAP с
заданными параметрами на
источник/направление атаки
•  Блокировка нарушителя на
маршрутизаторе Cisco (RTBH)
•  Блокировка нарушителя на
МСЭ Cisco ASA
•  Установка необходимого
атрибута на хост
•  Уведомление администратора
посредством Email/SNMP/Syslog
•  Выполнение самописной
программы, написанной на C/
BASH/TCSH/PERL с
возможностью передачи
переменных из события

Фильтрация URL
Различные
категории
URL

URLs
категорированы
по
уровню
рисков

Контроль по типам файлов и направлению передачи

Геолокация и визуализация местонахождения
атакующих
•  Визуализация
карт,
стран
и
городов
для

событий
и
узлов

Bad
Guys

Детали по геолокации
•  IP –адреса должны быть
маршрутизируемыми
•  Два типа геолокационных данных
Страна – включено по умолчанию
Full – Может быть загружено после
установки:
Почтовый индекс, координаты, TZ, ASN,
ISP, организация, доменное имя и т.д.
Ссылки на карты (Google, Bing и другие)
•  Страна сохраняется в запись о
событии
Для источника & получателя

«Черные списки»: свои или централизованные

Создание «белых списков» / «списков соответствия»
•  Разрешенные типы и версии ОС
•  Разрешенные клиентские
•  Разрешенные Web-приложения
•  Разрешенные протоколы
транспортного и сетевого уровней
•  Разрешенные адреса / диапазоны
адресов
•  И т.д.

3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение
зафиксировано,
уведомления
отправлены
IT
восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA
with FirePOWER обнаружил хост и
ненормальное поведение сервера в
ЦОД и уведомил IT.
Новый актив
обнаружен
Поведение
обнаружено
Обнаружение посторонних / аномалий / несоответствий

Инвентаризация и профилирование узлов
•  Профиль хоста
включает всю
необходимую для
анализа информацию
IP-, NetBIOS-, MAC-адреса
Операционная система
Используемые приложения
Зарегистрированные
пользователи
И т.д.
•  Идентификация и
профилирование
мобильных устройств

Профилирование протоколов
•  Профиль протокола включает
29+ параметров соединения
IP-, NetBIOS-, MAC-адреса
Сетевой протокол
Транспортный протокол
Прикладной протокол
И т.д.

Препроцессоры для отдельных протоколов
•  DCE/RPC
•  DNS
•  FTP и Telnet
•  HTTP
•  Sun RPC
•  SIP
•  GTP
•  IMAP
•  POP
•  SMTP
•  SSH
•  SSL
•  Modbus / DNP3

Анализ происходящего на узлах
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?

3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие
сохранено
LINUX
SERVER
WINDOWS
SERVER Linux не
уязвим
Windows
server уязвим
Атака
блокирована
Атака
скоррелирована с
целью
Новая Windows-атака направлена на
Windows и Linux сервера. Атаки
скоррелированы с профилем цели.
Событие об атаке сгенерировано.
Встроенная корреляция событий безопасности

Автоматизированная, комплексная защита от угроз
Непревзойденная защита в течение всего жизненного цикла атаки
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDFПочта
Админ.
запрос
PDF
Почта
Админ.
запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWWWWW
WWW
Динамические механизмы безопасности
http://
http://WWWВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Оценка вредоносного воздействия
5 ИК

Встроенная система корреляции событий
•  Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
Приложения
Уязвимости
Протоколы
Пользователи
Операционные системы
Производитель ОС
Адреса
Место в иерархии компании
Статус узла и т.п.

•  Различные типы события для
системы корреляции
Атаки / вторжение
Активность пользователя
Установлено соединение
Изменение профиля трафика
Вредоносный код
Изменение инвентаризационных
данных (например, появление нового
узла в сети или ОС на узле)
Изменение профиля узла
Появление новой уязвимости

•  В зависимости от типа
события могут быть
установлены
дополнительные
параметры системы
корреляции
•  Возможность создания
динамических политик

Автоматизация создания и настройки политик
Анализ сети, протоколов, приложений, сервисов,
устройств, ОС, уязвимостей и др. позволяет
автоматизировать создание политик и правил МСЭ и IPS

Оценка вредоносного воздействия
Каждому событию вторжения присваивается
уровень воздействия атаки на объект
1
2
3
4
0
УРОВЕНЬ
ВОЗДЕЙСТВИЯ
ДЕЙСТВИЯ
АДМИНИСТРАТОРА
ПРИЧИНЫ
Немедленно принять
меры, опасность
Событие соответствует
уязвимости,
существующей на данном
узле
Провести расследование,
потенциальная опасность
Открыт соответствующий
порт или используется
соответствующий
протокол, но уязвимости
отсутствуют
Принять к сведению,
опасности пока нет
Соответствующий порт
закрыт, протокол не
используется
неизвестный объект
Неизвестный узел в
наблюдаемой сети
неизвестная сеть
Сеть, за которой не
ведется наблюдение

Использование информации об уязвимостях

Признаки (индикаторы) компрометации
События
СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
дроппера

Анализ траектории движения вредоносных программ
•  Сетевая платформа использует индикаторы компрометации, анализ
файлов и траекторию движения файла для того, чтобы показать, как
вредоносный файл перемещается по сети, откуда он появился, что стало
причиной его появления и кто еще пострадал от него
Сеть
Endpoint
Контент

Обнаружение вредоносного кода с помощью AMP
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
Сопоставление
потоков устройств

анализ
Обучение
компьютеров
Нечеткие
идентифицирующ
ие метки
аналитика
сигнатура
Признаки
вторжения
Фильтрация по репутации Поведенческое обнаружение
Фильтрация по репутации основывается
на трех функциях
Collective Security
Intelligence Cloud
Сигнатура неизвестного файла
анализируется и отправляется
в облако
1
Сигнатура файла признана
невредоносной и принята.2
Сигнатура неизвестного файла
анализируется и отправляется
в облако
3
Известно, что сигнатура файла
является вредоносной; ей
запрещается доступ в систему
4
Cisco® Collective Security Intelligence
Ограниченное во времени обнаружение Ретроспективная безопасность

анализ
Обучение
Нечеткие
ие метки
аналитика
сигнатура
Признаки
вторжения
Collective Security
Intelligence Cloud
Сигнатура файла анализируется
и определяется как вредоносная1
Доступ вредоносному файлу запрещен2
Полиморфная модификация того же
файла пытается получить доступ
в систему
3
Сигнатуры двух файлов сравниваются
и оказываются аналогичными4
Доступ полиморфной модификации
запрещен на основании его ходства с
известным вредоносным ПО
5

анализ
Обучение
Нечеткие
ие метки
аналитика
нтичная
натура
Признаки
вторжения
Collective Security
Intelligence Cloud
Метаданные неизвестного файла
отправляются в облако для анализа1
Метаданные признаются потенциально
вредоносными2
Файл сравнивается с известным
вредоносным ПО и подтверждается
как вредоносный
3
Метаданные второго неизвестного
файла отправляются в облако для
анализа
4
Метаданные аналогичны известному
безопасному файлу, потенциально
безопасны
5
Файл подтверждается как безопасный
после сравнения
с аналогичным безопасным файлом
6
Дерево решений машинного обучения
Потенциально
безопасный файл
Потенциально
вредоносное ПО
Подтвержденное
Подтвержденный
безопасный
файл
Подтвержденный
безопасный
файл
Подтвержденное

анализ
Обучение
четкие
фицирующ
метки
аналитика
Признаки
вторжения
Поведенческое обнаружение основывается
на четырех функциях
Collective Security
Intelligence Cloud
Неизвестный файл проанализирован,
обнаружены признаки
саморазмножения
1
Эти признаки саморазмножения
передаются в облако2
Неизвестный файл также производит
независимые внешние передачи3
Это поведение также отправляется в
облако4
Об этих действиях сообщается
пользователю для идентификации
файла как потенциально вредоносного
5

анализ
чение
пьюте
ров
аналитика
Признаки
вторжения
Неизвестные файлы загружаются
в облако, где механизм динамического
анализа запускает их в изолированной
среде
1
Два файла определяются как вредоносные,
один подтвержден как безопасный2
Сигнатуры вредоносных файлов
обновляются в облаке информации
и добавляются в пользовательскую базу
3
Collective Security
Intelligence Cloud Коллективная
пользователь-
ская база

анализ
аналитика
изнаки
ржения
Получает информацию
о неопознанном ПО от устройств
фильтрации по репутации
1
Анализирует файл в свете полученной
информации и контекста3
Идентифицирует вредоносное ПО
и добавляет новую сигнатуру
в пользовательскую базу
4
Получает контекст для неизвестного
ПО от коллективной пользовательской
базы
2 Коллективная
пользователь-
ская база
Collective Security
Intelligence Cloud

мический
ализ
аналитика
Collective Security
Intelligence Cloud
Обнаруживаются два неизвестных файла,
связывающихся с определенным
IP-адресом
2
Один передает информацию за пределы
сети, другой получает команды с этого
IP-адреса
3
Collective Security Intelligence Cloud
распознает внешний IP-адрес как
подтвержденный вредоносный сайт
4
Из-за этого неизвестные файлы
идентифицируются как вредоносные5
IP-адрес:
64.233.160.0
Сопоставление потоков устройств
производит мониторинг источника
и приемника входящего/исходящего
трафика в сети
1

Cisco AMP обеспечивает более эффективный подход
Ретроспективная безопасность
Ограниченное во времени
обнаружение
Непрерывная защитаРепутация файла и поведенческое обнаружение
Уникально для Cisco® AMP

Cisco AMP обеспечивает защиту с помощью
ретроспективной безопасности

Почему необходима непрерывная защита Cisco® Collective Security Intelligence
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Непрерывный анализ
Поток
телеметрических
данных
Интернет
WWW
Оконечные устройства СетьЭл. почта УстройстваСистема
предотвращения
вторжений IPS
Идентифицирующие метки
и метаданные файла
Файловый и сетевой ввод/вывод
Информация о процессе
Объем и контрольные
точки

Почему необходима непрерывная защита Cisco® Collective Security Intelligence
Контекст Применение Непрерывный анализ
Кто Что
Где Когда
Как
История событий
Collective Security
Intelligence

Cisco AMP обеспечивает защиту с помощью
ретроспективной безопасности
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспекция Создание
цепочек атак

признаки
вторжения
Поиск
нарушений
Ретроспективная безопасность основана на…
Выполняет анализ при
первом обнаружении
файлов
1
Постоянно анализирует
файл
с течением времени,
чтобы видеть изменения
ситуации
2
Обеспечивает
непревзойденный контроль
пути, действий или связей,
касающихся конкретного
элемента ПО
3

Анализ траектории вредоносного кода
•  Какие системы были инфицированы?
•  Кто был инфицирован?
•  Когда это произошло?
•  Какой процесс был отправной точкой?
•  Почему это произошло?
•  Когда это произошло?
•  Что еще произошло?

признаки
вторжения
Поиск
нарушений
Использует ретроспективные
возможности тремя способами:
Ретроспективный анализ файлов
Записывает траекторию ПО от устройства к устройству
Ретроспективный анализ файлов1
Ретроспекция процесса2
Ретроспекция связи3
Ретроспекция процесса
Производит мониторинг активности ввода/вывода для всех устройств
в системе
Ретроспекция связей
Производит мониторинг, какие приложения выполняют действия
Создание цепочки атак
Анализирует данные, собранные
ретроспекцией файлов, процессов
и связи для обеспечения нового
уровня интеллектуальных средств
мониторинга угроз

признаки
вторжения
Поиск
нарушений
роспекция Создание
Поведенческие признаки вторжения используют ретроспекцию для мониторинга систем на наличие
подозрительной и неожиданной активности
Неизвестный файл
допущен в сеть1
Неизвестный файл
копирует себя
на несколько машин
2
Копирует содержимое с
жесткого диска3
Отправляет
скопированное
содержимое на
неизвестный IP-адрес
4
С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия
указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам
файлов

Если статус файла неизвестен, он отправляется в
песочницу
Bad
Guys

признаки
вторжения
Поиск
нарушений
оздание
почек атак
Траектория файла автоматически
записывает время, способ, входную
точку, затронутые системы
и распространение файла
Неизвестный файл загружается
на устройство1
Сигнатура записывается
и отправляется в облако для анализа2
Неизвестный файл перемещается
по сети на разные устройства
3
Аналитики изолированной зоны
определяют, что файл вредоносный, и
уведомляют все устройства
4
Траектория файла обеспечивает
улучшенную наглядность масштаба
заражения
5 Вычислительные
ресурсы
Виртуальная
машина
Мобильные
системы
Мобильные
системы
Виртуальная
машина
Вычислительные
ресурсы
Сеть
Мобильные
системы
Мобильные
системы
Collective Security
Intelligence Cloud

Траекторияенческие
знаки
жения
Поиск
нарушений
Вычислительные ресурсы
Неизвестный файл загружается
на конкретное устройство1
Файл перемещается на устройстве,
выполняя различные операции2
При этом траектория устройства
записывает основную причину,
происхождение и действия файлов
на машине
3
Эти данные указывают точную причину
и масштаб вторжения на устройство4
Диск 1 Диск 2 Диск 3

Траекторияенческие
знаки
жения
Поиск
нарушений
Поиск нарушений — это
возможность использования
индикаторов, создаваемых
поведенческими интегрированными
центрами управления, для
мониторинга
и поиска конкретного поведения в
среде
1
При идентификации поведенческих
интегрированных центров
управления их можно использовать
для поиска
и идентификации наличия или
отсутствия этого поведения
в каком-либо другом месте
2
Эта функция позволяет
производить быстрый поиск
поведения, а не сигнатуры, давая
возможность определять файлы,
остающиеся неизвестными, но
являющиеся вредоносными
3

Выбор типов файлов для анализа
Bad
Guys

Обнаружение известного вредоносного кода
Bad
Guys

Как работает Cisco AMP: пример внедрения траектории файла

Неизвестный файл находится
по IP-адресу: 10.4.10.183.
Он был загружен через Firefox

В 10:57 неизвестный файл
с IP-адреса 10.4.10.183 был
передан на IP-адрес 10.5.11.8

Семь часов спустя файл был
передан через бизнес-
приложение на третье
устройство (10.3.4.51)

Полчаса спустя с помощью
того же приложения файл был
скопирован еще раз на
четвертое устройство
(10.5.60.66)

Решение Cisco® Collective
Security Intelligence Cloud
определило, что этот файл
является вредоносным. Для
всех устройств было
немедленно создано
ретроспективное событие

Тотчас же устройство
с коннектором FireAMP
среагировало на
ретроспективное событие
и немедленно остановило
и поместило в карантин только
что определенное вредоносное
ПО

Через 8 часов после первой
атаки вредоносное ПО
пыталось повторно проникнуть
в систему через исходную
входную точку,
но было распознано
и заблокировано

Полная информация о вредоносном коде
Bad
Guys

Мониторинг общей информации о сети
•  Корреляция событий безопасности,
трафика и вредоносного кода
•  Активность конкретных
пользователей и их приложений
•  Используемые ОС и активность
сетевого обмена
•  Оценка событий по уровню
воздействия и приоритета
•  Статистика по вредоносному коду и
зараженным файлам
•  Геолокационные данные
•  Категории сайтов и посещаемые URL

Мониторинг сетевых событий
•  Использование сервисов
•  Использование приложений
•  Использование операционных систем
•  Распределение соединений
•  Активность пользователей
•  Уязвимые узлы и приложения
•  И т.д.

Мониторинг событий безопасности
•  Основные нарушители
•  Основные атаки
•  Заблокированные атаки
•  Основные цели
•  Приоритет событий
•  Уровень воздействия

Детализация событий безопасности
•  Подробная информация о
событии безопасности
•  Возможность изменения
правил реагирования
•  Возможность тюнинга
правила / сигнатуры
•  Сетевой дамп

Анализ сетевого дампа

ASA with FirePOWER объединяет все вместе
Исследование
Внедрение
политик
Укрепление
Блокирование
Защита
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ
МСЭ/VPN NGIPS
Исследования ИБ
Защита Web
Advanced Malware
Protection
Видимость и автоматизация
Контроль приложений
Контроль угроз
Ретроспективный
анализ
IoCs/Реагирование
на инциденты

Увеличение числа устройств с
вредоносным ПО
Анализ вредоносного ПО и атак
Подтверждение атаки и заражения
•  С чего начать?
•  Насколько тяжела ситуация?
•  Какие системы были затронуты?
•  Что сделала угроза?
•  Как можно восстановить?
•  Как можно предотвратить ее
повторение?
Исправление
Поиск сетевого
трафика
Поиск журналов
устройств
Сканирование
устройств
Задание правил
(из профиля)
Создание
системы
испытаний
Статический
анализ
Анализ
устройств
Сетевой анализ
Анализ
увеличения
числа устройств
Уведомление Карантин Сортировка
Профиль
вредоносного
ПО
Стоп
Не удалось обнаружить заражение
Заражениеобнаружено
Поиск повторного заражения
Обновление профиля
Подтверждение
Заражение
отсутствует
Вопрос не в том, произойдет ли заражение, а как скоро
мы его обнаружим, устраним и поймем причины

Объединяя все вместе, ASA with FirePOWER
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная передача
Поток
данных
Интернет
WWW
Идентифицирующие метки
и метаданные файла
точки

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Поток
данных
Интернет
WWW
Сигнатура и метаданные файла
точки
…позволяет непрерывно анализировать широкий
спектр угроз и реагировать на них…
0001110 1001
01000 0110 00
01 10 100111
Повышенные уровни обнаружения, отслеживания
и реагирования
Анализ
пост-фактум
признаки
вторжения
Поиск
угроз
Ретроспективное
обнаружение

… что дает уверенность и контроль того, откуда именно
следует начать
Кто
Что
Где
Когда
Как
Сфокусируйтесь
сначала на этих
пользователях
Эти приложения
пострадали
Взлом затронул эти
области сети
Такова картина
атака с течением
времени
Это источник
угрозы и путь ее
распространения

Collective Security
Intelligence (Talos)
Понимание контекста (устройства, сеть, ПК)
Classic Stateful Firewall
Gen1 IPS
Application Visibility
Web—URL Controls
AV and Basic Protections
NGIPS
Управление
уязвимостями
*Anti-Malware для
ПК (AMP)
событиями
(SIEM)
инцидентами
Сетевой Anti-
Malware (AMP)
Поведенческие
признаки
User Identity
NGFW
Open APP-ID SNORT Open IPS
Host Trajectory Ретроспективный анализ
NG Sandbox for Evasive Malware Автоустранение / Динамические
политики
*Агент
Адаптивная
безопасность
Sandboxing
Обычный Stateful Firewall
Обнаружение пост-фактумMalware File Trajectory
Threat Hunting
Расследования и управление логами
Dynamic Outbreak ControlsРепутация URL и IP
1
2
ASA with FirePOWER - это не только NGFW ДО
ВО
ВРЕМЯ
ПОСЛЕ Только Cisco
Cisco и
конкуренты
Интерфейс
управленияn

Сравнение Cisco ASA с функциями FirePOWER и
прежних МСЭ нового поколения
Возможности
Cisco ASA с
функциями FirePOWER
Прежние МСЭ нового
поколения
Упреждающая защита на основе репутации На высшем уровне Не имеется
Автоматизация мониторинга, учета контекста и
интеллектуальной безопасности
На высшем уровне Не имеется
Репутация файлов, отслеживание активности файлов,
ретроспективный анализ
На высшем уровне Не имеется
Индикаторы компрометации На высшем уровне Не имеется
СОВ нового поколения На высшем уровне Имеется1
Мониторинг и
контроль приложений
На высшем уровне Имеется
Политика допустимого применения/Фильтрация URL-
адресов
На высшем уровне Имеется
Удаленный доступ по VPN На высшем уровне Не на уровне предприятия
Межсетевое экранирование с отслеживанием состояния,
высокая доступность, кластеризация
На высшем уровне Имеется2
1- Обычно для 1-го поколения СОВ. 2 - Возможности высокой доступности зависят от производителя МСЭ нового поколения

Варианты исполнения Cisco ASA with FirePOWER
FirePOWER Services for 5585-X (модуль)FirePOWER Services for 5500-X (ПО)
ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X ASA 5585-X

Производительностьимасштабируемостьсистемыпредотвращениявторжений
Центр
обработки
данных
Комплекс
зданийФилиал
Малый или
домашний офис
Интернет-
периметр
FirePOWER 7100
500 Мбит/с – 1 Гбит/с
FirePOWER
7120/7125/8120
1 - 2 Гбит/с
FirePOWER
8100/8200
2 - 10 Гбит/с
FirePOWER серии
8200 и 8300
10 – 120 Гбит/с
FirePOWER 7000 Series
50 – 250 Мбит/с
+ Сенсоры и консоль
управления в виде ВМ
Платформа Cisco FirePOWER

Выделенные устройства AMP for Network

Виртуальный сенсор
Виртуальные сенсоры
Виртуальный центр защиты
•  Встроенное или пассивное развертывание
•  Полный набор функциональных возможностей системы
предотвращения вторжений нового поколения
•  Развертывается как виртуальное устройство
•  Сценарии использования
Преобразование SNORT
Небольшие / удаленные площадки
Виртуализированные рабочие нагрузки (PCI)
•  Управляет до 25 сенсорами
физические и виртуальные
одно окно
•  Сценарии использования
Быстрая оценка
Предварительное тестирование перед производством
Операторы связи
ПРИМЕЧАНИЕ. Поддерживает ESX(i) 4.x and 5.x на платформах Sourcefire 5.x. Поддерживает
RHEV 3.0 and Xen 3.3.2/3.4.2 только на платформах Sourcefire 4.x.
DC

Новая модель CiscoASA5506-X
•  Производительность
МСЭ - 500 Мбит/сек
NGIPS или AVC – 85 Мбит/сек
NGIPS + AVC + AMP – 40 Мбит/сек
•  8 GE ports
•  Поддержка всех функций ASA with
FirePOWER Services
•  Планируется также выпустить
5506W-X – с встроенной точкой беспроводного
доступа
5506H-X – для индустриальных сетей (АСУ ТП и т.п.)
•  Локальное управление с помощью ASDM 7.3

Замена для 5505
FirePOWER Services
Desktop Form Factor
5506-X
Q3FY15
5506W-X
Wireless
Q3FY15
Идеальна для небольших
офисов за счет
встроенного коммутатора
и Wi-Fi
Integrated Wireless AP
5508-X
Q3FY15
Промежуточное
решение между 5506
и старшими моделями
1 RU Rack-Mount
5516-X
Q3FY15Уже доступно
1 RU Rack-Mount
Высокая
производительность
SSD уже включен
Что нас еще ждет?

Модульная функциональность
•  5 вариантов заказа защитных функций
•  Подписка на 1 или 3 года (включая обновления)
Возможны и иные временные периоды (некратные годам)
•  Функция AVC (NGFW) включена по умолчанию
Активирует функции FirePOWER Services
Постоянная и поставляется вместе с устройством
•  Обновления AVC включены в SMARTnet
IPS
URL
URL
IPS
TAMCTACTA
URL
URL
AMP
IPS
TAM
AMP
IPS

Управление ASA с FirePOWER Services
NetOPS Workflows - CSM 4.6/7 или ASDM-ASA-On-Box1
SecOPS Workflows - FireSIGHT Management Center2
Управление NGFW/NGIPS
Forensics / Управление логами
Network AMP / Trajectory
Управление уязвимостями
Управление инцидентами
Адаптивная политика ИБ
Ретроспективный анализ
Корреляция событий (SIEM)
Распознавание
Категории анализа
Угрозы
Пользователи
Web-приложения
Прикладные протоколы
Передача файлов
Вредоносный код
Command & Control Servers
Клиентские приложения
Сетевые сервера
Операционные системы
Рутера & коммутаторы
Мобильные устройства
Принтеры
VoIP-телефоны
Виртуальные машины
FireAMP Connector
(Managed by FMC)

Локальная система управления: ASDM 7.3.x
Новая
разработка!
Сочетает

в
себе
контроль
над

политиками
доступа
и

функциями
защиты
от

современных
угроз.
Улучшенный

пользовательский
интерфейс

позволяет
как
следить
за

событиями
в
общем,
так
и

углубляться
в
детали

Cisco ASA с функциями FirePOWER
Первый в отрасли МСЭ нового поколения, смотрящий шире и глубже
Непревзойденная прозрачность
Комплексная защита от угроз
▶  Лучшая в своем классе многоуровневая защита
в одном устройстве
▶  Полная осведомленность о сетевом контексте для
устранения уязвимостей
Автоматизация
▶  Простота управления, динамическое реагирование
и восстановление

Благодарю
за внимание

Защита от современных и целенаправленных атак

More Related Content

What's hot

Similar to Защита от современных и целенаправленных атак

More from Cisco Russia

Защита от современных и целенаправленных атак