3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию

3 скакуна, несущих информационную
безопасность вперед и стратегия
Cisco по их обузданию
Лукацкий Алексей
alukatsk@cisco.com
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.

Что заставляет ИБ (и Cisco) двигаться вперед?

Скакун №1: Угрозы
21.01.16 © 2015 Cisco and/or its affiliates. All rights reserved.3

4© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Глобальный
рынок кибер-
преступности:
$450B-$1TБанковский аккаунт
>$1000
зависит от типа и баланса
$
DDoS
as a Service
~$7/час
DDoS
Медицинские
записи
>$50
Мобильное ВПО
$150
Разработка ВПО
$2500
(коммерческое ВПО)
SSN
$1
Аккаунт Facebook
$1 за аккаунт с 15 друзьями
Данные кредиток
$0.25−$60
Спам
$50/500K emails
Эксплойты
$100k-$300K
Как хакеры зарабатывают деньги?

Время обнаружения вторжений очень велико
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – один из
самых долгих
инцидентов в 2014-м
году
Ponemon
206
HP
416
Symantec
305

Один пример: эксплойт-кит Angler
Постоянные обновления увеличили уровень проникновения Angler до 40%
В два раза эффективнее, чем другие exploit kits в 2014
Скомпрометированная
система
Уязвимости Flash
Смена цели
Вымогатели
Angler
Непрерывное забрасывание
«крючков в воду» увеличивает
шанс на компрометацию
Шифрованиетела ВПО
Социальный
инжиниринг
Смена IP Сайты-
однодневки
Ежедневные
доработки
TTD
Меры
защиты
Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email

Теневая инфраструктура устойчива и скрытна
Базовая инфраструктура Angler

Rombertik
Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и
пытаются воздействовать на него, он может уничтожить зараженную систему.
Уничтожение если
обнаружено
•  Уничтожение MBR
•  После перезагрузки
компьютер перестает
работать
Получение
доступа
•  Спам
•  Фишинг
•  Социальный
инжиниринг
Уход от
обнаружения
•  Записать случайные
данные в память 960
миллионов раз
•  Засорение памяти в
песочнице
Украсть данные
пользователя
•  Доставка данных
пользователя обратно
злоумышленникам
•  Кража любых данных, а
не только банковских
Анти-анализ Стойкость Вредоносное поведение

Обход «песочниц»
Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где
вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они
стали применяться все чаще.

76110
12/2014 1/2015 2/2015 3/2015 4/2015 5/2015
New URL
Scheme
CompromisedUsers
Old URL
Scheme
27425
24040
18960 20863
47688
76110
7369
13163
9010
11958
14730
12008
Постоянная модификация вредоносного кода
Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем
самым увеличивая «эффективность» по отношению к скомпрометированным пользователям
Число скомпрометированных
пользователей:
Новая схема URL vs. старая схема URL
Новая схема URL
драматически
опережает старую.
Изменение домена –
раз в 3 месяца (уже
500 доменов)
Непрерывное
изменение имен Add-
On для браузера (уже
4000 имен)

Эволюция вымогателей:
Цель – данные, а не системы
TOR
Вымогатели теперь
полностью автоматизированы
и работают через анонимные
сети
$300-$500
Злоумышленники
провели
собственное
исследование
идеальной точки
цены. Сумма выкупа
не чрезмерна
Личные файлы
Финансовые
данные
Email
Фото
Фокусировка
вымогателей –
редкие языки
(например,
исландский) или
группы
пользователей
(например,
онлайн-геймеры)

Прямые атаки формируют большие доходы
Более эффективные и более прибыльные

Dridex: воскрешение старых методов
Использование «старых» методов, краткосрочность и постоянная мутация
приводят к сложностям в блокировании макровирусов
Кампания
стартовала
Обнаружена с помощью
Outbreak Filters
Антивирусный движок
обнаруживает Dridex
Но злоумышленники все
равно проникли в систему
Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex,
действующих не более нескольких часов

Изменение в поведении атак
Ловкость Адаптация Уничтожение
Инновации, использование старых приемов на новый лад
и обход защитных механизмов
Скорость

Дополнительная информация по угрозам
Уже выпущен!

https://www.youtube.com/watch?v=uJOQJuhWR-E https://www.youtube.com/watch?v=dGrgI_S3yOA
Еще больше деталей про угрозы

Скакун №2: Изменение бизнес-моделей

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
$
3.3
55%
Мобильность
Устройств на
работника*
IP-траффик
мобильный к 2017**
* Cisco IBSG, ** Cisco 2013 VNI, *** IDC
545
44%
Облака
Облачных
приложений
на организацию*
Рост ежегодной
облачной
нагрузки***
* Skyhigh Networks Industry Report, ** Cisco Global Cloud Index,
*** Cisco VNI Global Mobile Data Traffic Forecast,
Рост в M2M
IP-траффике 2013–18**
50B Подключенных
“умных вещей” к 2020*
36X
* Cisco IBSG, ** Cisco VNI: Global Mobile Data Traffic
Forecast 2013-2018
IoE

Десктопы Бизнес-
приложения
Сетевая
инфраструктура
Так было в прошлом

Критическая
(Amazon, Rackspace,
Windows Azure и т.д.)
Бизнес-приложения
(Salesforce, Marketo,
DocuSign и т.д.)
Мобильные
пользователи
Удаленные
Десктопы Бизнес-
Сетевая
Что сегодня и завтра?
Операторы связи
Промышленные
сети

Что предлагает Cisco?

Гипотезы безопасности Cisco
Консалтинг Интеграция УправлениеЗнание угроз ПлатформыВидимость
Операционный фокус Нехватка людей
+
Цифровая эволюция
+
Требуются изменения в ИБ

AMP + FirePOWER
AMP > управляемая защита от угроз
В центре внимания Cisco — анализ угроз!
Приобретение компании
Cognitive Security
•  Передовая служба исследований
•  Улучшенные технологии поведенческого
анализа в режиме реального времени
2013 2015...2014
Приобретение компании Sourcefire
Security
•  Ведущие в отрасли СОПВ нового поколения
•  Мониторинг сетевой активности
•  Advanced Malware Protection
•  Разработки отдела по исследованию уязвимостей
(VRT)
•  Инновации в ПО с открытым исходным кодом
(технология OpenAppID)
Malware Analysis & Threat Intelligence
ThreatGRID
•  Коллективный анализ вредоносного
кода
•  Анализ угроз
•  «Песочница»
Коллективные исследования Cisco –
подразделение Talos по исследованию и
анализу угроз
•  Подразделение Sourcefire по исследованию уязвимостей —
VRT
•  Подразделене Cisco по исследованию и информированию об
угрозах — TRAC
•  Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMP
Коллективный анализ вредоносного
кода > Система коллективной
информационной безопасности
OpenDNS
•  Анализ DNS/IP-трафика
Lancope
•  Исследования угроз

24© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CLUS: AMP
Data Center
Закрыта
сделка по
Sourcefire
Security
for ACI
RSAC: AMP
Everywhere
OpenAppID
2014 ASR
Global
Security Sales
Organization
Приобретена
Neohapsis
AMP Everywhere
ThreatGRID
Cisco ASA with
FirePOWER
Services
Security
and Trust
Organization
Managed
Threat
Defense
Talos
Integrated
Threat
Defense
2013 2015
Security
Everywhere
Закрыта
сделка по
OpenDNS
Portcullis
Приобретение
Lancope
Последние инновации Cisco в области ИБ

Филиалы
ЛВС
Периметр
АСУ ТП
ЦОД
Оконечные
устройства
Интеграция и максимальное покрытие от уровня сети до
оконечных устройств, от ЦОДов до облаков, от ЛВС до
промышленных сегментов
– ДО, ВО ВРЕМЯ и ПОСЛЕ
Облака
Повсеместная безопасность

AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security
AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud
Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security
& Hosted Email
CWS
Threat Grid
Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower
Services
Повсеместный AMP
ПКПК
Периметрсети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect

Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам
Что
Когда
Где
Как
Повсеместно означает также и интеграцию между
решениями Cisco
ISE - это централизованное решение безопасности, которое позволяет автоматизировать доступ с учетом
контекста к сетевым ресурсам и предоставить общий доступ к контекстным данным
Дверь в
сеть
Физическая или
виртуальная
машина
Контекст
контроллер
ISE pxGrid

Интеграция с Cisco Mobility Services Engine (MSE)
Авторизация на основе местоположения
Администратор определяет
иерархию местоположения и
предоставляет пользователям
конкретные права доступа на
основе их местоположения.
Преимущества
Что нового в ISE 2.0?
Интеграция платформы Cisco Mobility
Services Engine (MSE) позволяет
администраторам максимально
использовать ISE для авторизации
сетевого доступа на основе
местоположения пользователя.
Улучшенная реализация
политики
с помощью автоматического
определения местоположения и
повторной авторизации
Упрощенное управление
благодаря настройке авторизации
с помощью инструментов
управления ISE
Детализированный контроль
сетевого доступа с помощью
авторизации на основе
местоположения для отдельных
Возможности
•  Конфигурация иерархии местоположений по всем объектам местоположения
•  Применение атрибутов местоположения MSE в политике авторизации
•  Периодическая проверка MSE на предмет изменения местоположения
•  Повторное предоставление доступа на основе нового местоположения
Холл Палата Лаборатория
Скорая
помощь
Врач
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Нет доступа
к данным
пациента
Доступ к
данным
пациента
Данные
пациента
Местоположения для
доступа к данным
пациента
Палата
Скорая помощь
Лаборатория
Холл

Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы —
новые партнеры в рамках pxGrid
Структура pxGrid позволяет Cisco
интегрироваться с партнерами
экосистемы для предоставления
пользователям решения, которое
соответствует существующей
инфраструктуре.
Снижение затрат
Сокращение ресурсов, требуемых для
событий безопасности и сети,
благодаря упрощению доступа
к сети Cisco
Улучшенный мониторинг сети
Обеспечение мониторинга действий
пользователей и устройств в целях
аналитики и создание отчетов
о событиях
Упрощенное управление
Единое место для управления
политиками благодаря интеграции
ISE с решениями сторонних
производителей Новые партнеры ... войдут в экосистему быстрого сдерживания
распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать
политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации
серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности
ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в
ответ на события безопасности.
Межсетевой экран и контроль доступа

Теперь заказчики могут разворачивать
такие сервисы ISE, как профилирование,
оценка состояния, гостевой доступ и
BYOD на устройствах сетевого доступа,
произведенных сторонними
производителями (не Cisco).
Повсеместно… Даже там, где еще нет Cisco. Пока нет J
Систематическая защита
Развертывание платформы ISE на
всех сетевых устройствах, включая
сторонних производителей
Упрощение администрирования
Максимальное использование
заранее настроенных шаблонов
профилей для автоматического
конфигурирования доступа
устройств сторонних
производителей (не Cisco)
Увеличение ценности
Получение дополнительной
ценности на базе
существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
•  Шаблон конфигурации MAB для определенных
устройств сторонних производителей (не Cisco)
•  Перенаправление CoA and URL-адресов для
работы с ISE
•  Устройства сетевого доступа сторонних
производителей (не Cisco) могут работать с
обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в
ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco

Повсеместно… с учетом жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ

Web
Filtering and
Reputation
Security
Intelligence
File Type
Blocking
Application
Visibility &
Control
Indicators of
Compromise
Traffic
Intelligence
File
Reputation
Cognitive
Threat
Analytics
До
После
www.website.com
Во время
File
Retrospection
Мобильный
пользователь
Отчеты
Работа с логами
Управление
Удаленный офис
Allow Warn Block
Partial
Block
Основной офис
ASA/NGIPS
AMP
Appliance
WSA ESA
AMP for
Endpoints
Админ
Перенапр
авление
трафика
Угрозы
HQ
File
Sandboxing
Пример: Cisco Advanced Malware Protection

www
Mobile UserУдаленный офис
www www
Allow Warn Block Partial Block
ASA StandaloneWSA ISR G2 AnyConnect®
АдминПеренаправ
ление
трафика
www
HQ
До
ПослеВо время
File
Retrospection
File
Sandboxing
Webpage
Outbreak
Intelligence
ISR 4k
Отчеты
Web
Reputation
and Filtering
SaaS
Anomaly
Detection
File
Reputation
Anti-Malware
Cognitive
Threat
Analytics
SaaS Visibility
CAS
CAS
Cloud Data
Loss
Prevention
CAS
Application
Visibility
and Control
Мобильный
SaaS
Anomaly
Detection
www.website.c
om
AMP AMP TG CTA
Пример: Cisco Cloud Web Security

Богатый контекст
Василий
Планшет
Здание 7, корпус 2, 1 этаж
11:00 AM Europe/Moscow 11-00 AM
Беспроводная сеть
Повсеместный контекст
Кто
Что
Где
Когда
Как
Отсутствие контекста
IP Address 192.168.1.51
Не известно
Нужный пользователь с нужным
устройством попадет в сеть только из
нужного места с необходимыми правами
Любой пользователь. Любое устройство
откуда угодно попадает в сеть
Результат
Контекст:

4 основных и 2 отраслевых набора решений
•  ASA 5585
•  ASAv
•  ISE
•  Lancope
•  AnyConnect
•  AMP
•  CWS
•  OpenDNS
•  ISE
•  TrustSec
•  StealthWatch
•  wIPS
•  FirePOWER
•  ESA
•  WSA
•  AMP
Защита
периметра
Защита
внутренней
сети
Защита ЦОДа
Защита
•  Firepower 9300
•  Cloud Web Security
и Cognitive Threat
Analytics
•  OpenDNS Umbrella
•  ISA 3000
•  ASA 5506H
•  StealthWatch
•  ISE
•  NGIPS
ICSSP
А также AMP
Threat Grid и
OpenDNS
Investigate для
глубокого
анализа угроз
А еще
различные
сервисы по
безопасности

От маркетинга к реальным решениям

•  Многие компании имеют
множество разных
продуктов, часто
поглощенных у других
игроков рынка
•  Обычно это выглядит так,
как будто кто-то вывалил
кучу деталей Lego на
ковёр
•  Заказчики вынуждены
либо использовать
продукты неправильно,
либо не на полную мощь
Как объединить продукты в решения?

•  Мы не знаем, что нам
делать со всеми этими
деталями, как нам
получить то, что на
картинке?
•  Нужны подробные
рекомендации по
превращению отдельных
продуктов в целостную
архитектуру,
протестированную на
совместимость с
прикладными решениями
Необходима стройная и понятная архитектура

Заголовок слайда

Пример Cisco SAFE для ритейла

Пример SAFE для защищенного периметра
© 2015 Cisco and/or its affiliates. All rights reserved.

Маршрутизатор ISR
S2S VPN, унифицированные
коммуникации, Trustsec, CWS,
анализ Netflow
Коммутатор Catalyst
Контроль доступа + Trustsec,
анализ Netflow, ISE
Безопасность хостов
Антивирус, AMP for Endpoints
Унифицированная БЛВС
Контроль доступа + Trustsec,
анализ Netflow, WirelessIPS, ISE
WAN
ASA с сервисами
FirePower
FW, NGIPS, AVC, AMP, фильтрация
URL
Email Security
Appliance
Централизованная защита
email, антиспам, антивирус,
DLP, AMP
ISE + Cisco Threat
Defense
Централизованные ISE и
CTD
Контроль доступа +
Trustsec, Проверка на
соответствие,
Защита от угро на основе
анализа потоков Netflow
Internet
От архитектуры к решению: защищаем филиал

Маршрутизатор ISR
ISR 4321
Коммутатор Catalyst
Catalyst 3850-48
Безопасность хостов
Антивирус, AnyConnect 4.0,
AMP for Endpoints
Унифицированная БЛВС
WLC 5508, AP3701i,MSEv
ASA с сервисами
FirePOWER
ASA 5515 w/ FP Services
Email Security
Appliance
ESA в центральном
офисе
ISE
ISE в центральном
офисе
Vlan 10
G1/1
G2/1
Trunk
G1/2
G1/23
G2/1
10.1.1.0/24
10.1.2.0/24
Vlan 12
12.1.1.0/24
WAN
Internet
От решения – к низкоуровневому дизайну

Пример: компоненты защиты периметра
Инфраструктура и
протоколы
Сетевой
МСЭ
МСЭ нового
поколения
IPS нового
поколения
Безопасность WEB и
контентная фильтрация
Мобильный и
удаленный доступ
SSL расшифровка
и инспектирование
Безопасность
электронной почты
Защита от
вредоносного кода
(AMP)
Атрибуция
пользователя Анализ сетевого
трафика
На каком этапе развития находитесь вы?

Сеть L2/
L3
доступом +
TrustSec
к комплексу
зданий
Зона общих
сервисов
Система
предотвра-
щения
вторжений
нового
поколения
Зона сервера
Зона
соответствия
стандартам PCI
Зона базы
данных
Анализ
потока
Безопасность
хоста
Баланси-
ровщик
нагрузки
Анализ
потока
МСЭ
Антивре-
доносное
ПО
Анали-
тика
угроз
доступом +
TrustSec
Система
предотвра-
щения
вторжений
нового
поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-
тор
МСЭ веб-
Централизованное управление
Политики/
Конфигурация
Мониторинг/
контекст
Анализ/
корреляция
Аналитика
Регистрация
в журнале/
отчетность
Аналитика
угроз
уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
Пример SAFE для ЦОДа: те же компоненты

Что такое платформа FirePOWER сегодня?
►  Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
►  Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
►  Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
►  Фильтрация URL-адресов на основе
репутации и классификации
►  Система Advanced Malware Protection с
функциями ретроспективной защиты
►  Система управления уязвимостями и
SIEM
VPN и политики
аутентификации
Фильтрация URL-
адресов
(по подписке)FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль
Межсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование
сети
Предотвращени
е вторжений (по
подписке)
Устройство ASA ISR Virtual

Внедрение ASAv : виртуальный МСЭ+VPN
§  Часто для фильтрации между зонами и
тенантами применяется МСЭ в режиме
мульти-контекст
§  Для передачи трафика используются транки
§  Проблема – масштабирование фильтрации
Запад-Восток требует ресурсов МСЭ и
масштабируемого транспортного решения Zone 1 Zone 2 Zone 3
VM 1
VM 2
VM 3
VM 4
VFW 1
VM 5
VM 6
VM 7
VM 8
VFW 2 VFW 3
§  ASAv – может быть пограничным МСЭ и
может обеспечивать фильтрацию Восток-
Запад
§  На каждого тенанта или зону можно
развернуть одну или несколько ASAv для FW
+ VPN
§  Масштабируемая терминация VPN S2S и RA
§  Поддержка сервисов vNGIPS, vAMP и другихVzone 1 Vzone 2
Multi Context Mode ASA

Видимость и прозрачность всего в сети
Типичный
NGFW
Cisco®
FirePOWER
Services
Типичный
IPS

Распознавание приложений
•  Анализ сетевого трафика
позволяет распознавать
широкий спектр различных
приложений, которые затем
можно использовать в
правилах политики
•  FirePOWER распознает и
«российские» приложения

3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
Событие нарушения
зафиксировано,
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует
Skype. Пользователь
идентифицирован, IT и HR
уведомлены.
IT & HR
провели с
пользователем
работу
Идентификация приложений «на лету»

Блокирование передачи файлов Skype

Описание собственных приложений
•  Приложения могут
быть описаны
шаблонами
ASCII
HEX
PCAP-файл

«Черные списки»: свои или централизованные

•  Разрешенные типы и версии ОС
•  Разрешенные клиентские
•  Разрешенные Web-приложения
•  Разрешенные протоколы
транспортного и сетевого
уровней
•  Разрешенные адреса /
диапазоны адресов
•  И т.д.
Создание «белых списков»

За счет анализа происходящего на узлах
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?

3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение
зафиксировано,
уведомления отправлены
IT
восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA
with FirePOWER обнаружил хост и
ненормальное поведение сервера в
ЦОД и уведомил IT.
Новый актив
обнаружен
Поведение
Обнаружение посторонних / аномалий

Инвентаризация и профилирование узлов
•  Профиль хоста
включает всю
необходимую для
анализа информацию
•  IP-, NetBIOS-, MAC-
адреса
•  Операционная система
•  Используемые
•  Зарегистрированные
•  И т.д.
•  Идентификация и
профилирование
мобильных устройств

Профилирование протоколов
•  Профиль протокола включает
29+ параметров соединения
•  IP-, NetBIOS-, MAC-адреса
•  Сетевой протокол
•  Транспортный протокол
•  Прикладной протокол
•  И т.д.

3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие
сохранено
LINUX
SERVER
WINDOWS
SERVER Linux не
уязвим
Windows
server уязвим
Атака
блокирована
Атака скоррелирована
с целью
Новая Windows-атака направлена на
Windows и Linux сервера. Атаки
скоррелированы с профилем цели.
Событие об атаке сгенерировано.
Встроенная корреляция событий безопасности

Автоматизированная, комплексная защита от угроз
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDFПочта
Админ.
запрос
PDF
Почта
Админ.
запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWWWWW
WWW
Динамические механизмы безопасности
http://
http://WWWВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Оценка вредоносного воздействия
5 ИК

Встроенная система корреляции событий
•  Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
•  Приложения
•  Уязвимости
•  Протоколы
•  Пользователи
•  Операционные системы
•  Производитель ОС
•  Адреса
•  Место в иерархии компании
•  Статус узла и т.п.

•  Различные типы события для
системы корреляции
•  Атаки / вторжение
•  Активность пользователя
•  Установлено соединение
•  Изменение профиля трафика
•  Вредоносный код
•  Изменение инвентаризационных
данных (например, появление
нового узла в сети или ОС на узле)
•  Изменение профиля узла
•  Появление новой уязвимости

•  В зависимости от типа
события могут быть
установлены
дополнительные
параметры системы
корреляции
•  Возможность создания
динамических политик

Автоматизация создания и настройки политик
Анализ сети, протоколов, приложений, сервисов,
устройств, ОС, уязвимостей и др. позволяет
автоматизировать создание политик и правил МСЭ и IPS

Оценка вредоносного воздействия
Каждому событию вторжения
присваивается уровень воздействия
атаки на объект
1
2
3
4
0
УРОВЕНЬ
ВОЗДЕЙСТВИЯ
ДЕЙСТВИЯ
АДМИНИСТРАТОРА
ПРИЧИНЫ
Немедленно принять
меры, опасность
Событие соответствует
уязвимости,
существующей на данном
узле
Провести расследование,
потенциальная опасность
Открыт соответствующий
порт или используется
соответствующий
протокол, но уязвимости
отсутствуют
Принять к сведению,
опасности пока нет
Соответствующий порт
закрыт, протокол не
используется
неизвестный объект
Неизвестный узел в
наблюдаемой сети
неизвестная сеть
Сеть, за которой не
ведется наблюдение

Использование информации об уязвимостях

•  Система MaxPatrol от Positive
Technologies – один из самых
распространенных отечественных
сканеров безопасности
•  Интеграция Cisco FireSIGHT с PT
MaxPatrol позволяет получать от сканера
безопасности информацию о сервисах и
приложениях, запущенных на узлах сети,
а также об их уязвимостях с целью
корреляции этой информации и более
эффективного использования Cisco
FirePOWER NGFW и Cisco FirePOWER
NGIPS
Интеграция с PT MaxPatrol

Признаки (индикаторы) компрометации
События СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Выполнение
Компрометация
Office/PDF/Java
дроппера

Мониторинг общей информации о сети
•  Корреляция событий безопасности,
трафика и вредоносного кода
•  Активность конкретных
пользователей и их приложений
•  Используемые ОС и активность
сетевого обмена
•  Оценка событий по уровню
воздействия и приоритета
•  Статистика по вредоносному коду и
зараженным файлам
•  Геолокационные данные
•  Категории сайтов и посещаемые
URL

Мониторинг сетевых событий
•  Использование сервисов
•  Использование приложений
•  Использование операционных систем
•  Распределение соединений
•  Активность пользователей
•  Уязвимые узлы и приложения
•  И т.д.

Мониторинг событий безопасности
•  Основные нарушители
•  Основные атаки
•  Заблокированные атаки
•  Основные цели
•  Приоритет событий
•  Уровень воздействия

Детализация событий безопасности
•  Подробная информация о
событии безопасности
•  Возможность изменения
правил реагирования
•  Возможность тюнинга
правила / сигнатуры
•  Сетевой дамп

Анализ сетевого дампа

Новые возможности в Firepower Threat Defense 6.0
Инновация борьбы с угрозами Управление Enterprise
уровня
DNS инспекция и Sink-holing
Сетевой интеллект URL-типа
SSL инспекция
ThreatGRID Analysis & Intelligence
OpenAppID Application Detectors
Captive Portal and Active Auth
File Property Analysis and Local Malware
Checks
ISE Identity/Device/SGT in Policy
Домены с ролевым доступом
Иерархические политики и
наследование

•  Много режимов развертывания
•  Passive Inbound (Известные ключи)
•  Inbound Inline (с/без ключей)
•  Outbound Inline (без ключей)
•  Гибкая поддержка SSL для HTTPS и приложений StartTLS
Пример: SMTPS, POP3S, FTPS, IMAPS, TelnetS
•  Расшифровка на базе URL категорий и др. аттрибутов
•  Централизованное применение политик сертификатов SSL
Пример Блокирование; Самоподписанный шифрованный трафик, SSL версия, типы
крипто-алгоритмов, неразрешенные мобильные устройства
Интегрированная SSL Decryption –
Теперь и на ASA с Firepower

•  Расширение IP черных списков
•  TALOS динамические обновление,
сторонние фиды и списки
•  Множество категорий: Malware,
Phishing, CnC,…
•  Множество действий: Allow, Monitor,
Block, Interactive Block,…
•  Политики настраиваются либо в
Access Rules либо в black-list
•  IoC теги для CnC и Malware URLs
•  Новые Dashboard widget для URL SI
•  Черные/Белые списки URL по одному
клику
Основанный на URL метод фильтрации
злоумышлеников
URL-SI
Категории

•  Security Intelligence поддерживает домены
•  Проблемы с адресов fast-flux доменах
•  Предлагаемые Cisco и настраиваемые
пользователем DNS списки: CnC, Spam,
Malware, Phishing
•  Множество действий: Block, Domain Not
Found, Sinkhole, Monitor
•  Индикаторы компрометации дополнены
поддержкой DNS Security Intelligence
•  Новый Dashboard виджет для DNS SI
DNS Инспекция
DNS List Action

OpenAppID Интеграция
Сила Open Source приходит к безопасности
уровня приложений
•  Создавайте, обменивайтесь и
применяйте собственные правила
обнаружения приложений
•  Отдайте контроль в руки клиентов и
большого комьюнити ИБ
•  Групповая разработка в рамках
комьюнити ускоряет создание сигнатур
обнаружения и контроля
Что такое OpenAppID ?
•  Open-Source язык: специализированный на
обнаружение приложений
•  > 2500 детекторов привнесено Cisco
•  > 20,000 загрузок пакетов детекторов с
прошлого Сентября
•  Поддерживается со стороны Snort
комьюнити
•  Простой Язык
•  Уменьшенная зависимость от вендора и
его релизов
•  Пишется с использованием скриптового
языка Lua
Open source язык сфокусированный для обнаружения приложений: позволяющий
пользователям создавать, обмениваться и внедрять собственное обнаружение
приложений.

•  Идентификация популярных и известных примеров вредоносного ПО на
appliance
•  Уменьшение необходимости отсылки сэмплов для динамического анализа в облако
•  Локальный анализ контейнерных файлов для обнаружения malware как
вложенного контента.
•  Отчет о содержимом файла с анализом уровня риска
•  Расширение типов файлов для динамического анализа:
•  PDF
•  Office Documents
•  Другие: EXE/DLL, MSOLE2…
Анализ параметров файлов и локальные
проверки вредоносного ПО

•  Принудительная аутентификация на уровне Appliance
•  Множество методов аутентификации(Passive, Active, Passive с активным Fallback)
•  Различные поддерживаемые типы аутентификации (пример. Basic, NTLM, Advanced,
Form)
•  Поддержка гостевого доступа
•  Поддержка различных доменов
Captive портал / Активная аутентификация
Метод Источник LDAP/AD Доверенный?
Active Принудительная аутентификация на
устройстве
LDAP и AD yes
Passive Identity and IP mapping from AD Agent AD yes
User Discovery Имя пользователя получено из
трафика пассивно.
LDAP и AD,
пассивно по
трафику
no

•  Получение учетных данных через pxGrid / ISE
•  Получение типа устройства/сети Security Group Tags из pxGrid / ISE
•  Возможность применять действия на основе вышеописанных данных
•  Такие как блокировка доступа HR пользователей с использованием iPAD
•  Уменьшение размера и сложности ACL
Интеграция с Cisco ISE

UK/London
Иерархия управления
Краснодар Москва
Поддержка до 50 доменов и 3 уровней
Доступно всем платформам с 6.0
Сочи
UK/Oxford
1
2
3

Иерархия политик доступа

Управление сервисами FirePOWER с ASDM
ASDM + Key Firepower
Configuration
ASA Firepower
Kenton
Раздельные политики и
объекты
Saleen
Spyker
ASA 5506/8/16-X
ASA 5515/12/25/45/55-X
ASA 5585-X
ASDM Расширяет поддержку на большее
число платформ

Дополнительная информация по FirePOWER

Cisco Advanced Malware Protection

Почему традиционный периметр не защищает?
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы

А это подтверждение статистики
16 апреля 2015 года
http://www.zdnet.com/article/
palo-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии

Современный ландшафт угроз требует
большего, чем просто контроль приложений
54%
компрометаций
остаются незамеченными
месяцами
60%
данных
похищается за
несколько
часов
Они стремительно атакуют и остаются
неуловимыми
Целое сообщество злоумышленников
остается нераскрытым, будучи у всех на виду
100%
организаций подключаются
к доменам, содержащим
вредоносные файлы или службы

•  Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
•  Высокий уровень доработки продуктов для очередной кампании
•  Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт
к внедрению следующих уникальных модулей
•  Известно, что вредоносное ПО будут искать
•  Известно про запуск в песочницах
•  Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
•  Все лучшие методологии разработки и отладки
Что мы знаем о современном вредоносном ПО?

AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security
AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud
Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security
& Hosted Email
CWS
Threat Grid
Malware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower
Services
AMP Everywhere
ПКПК
Периметрсети
AMP for Endpoints
ЦОД
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect

Cisco AMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасностьТочечное обнаружение
Непрерывная и постоянна защитаРепутация файла и анализ его поведения

Cisco AMP защищает с помощью репутационной
фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств

анализ
Обучение
компьютеров
Нечеткие
идентифицирую
щие метки
аналитика
сигнатура
Признаки
вторжения
Фильтрация по репутации Поведенческое обнаружение
Collective Security
Intelligence Cloud
Сигнатура неизвестного файла
анализируется и отправляется
в облако
1
Сигнатура файла признана
невредоносной и принята2
Сигнатура неизвестного файла
анализируется и отправляется
в облако
3
Известно, что сигнатура файла
является вредоносной; ей
запрещается доступ в систему
4
Фильтрация по репутации основывается
на трех функциях

Техника: точные сигнатуры
Сигнатуры («точные»):
Очень простой подход, который
наверняка реализован в любом
решении любого поставщика
Точное соответствие файлу
Очень легко обходится простыми
модификациями с файлом L
•  Так действуют традиционные
антивирусы
•  Отпечаток файла снимается с помощью
SHA256 и отправляется в облако для
сравнения с базой сигнатур
•  Сам файл не отправляется в облако
•  Быстро и аккуратно обнаруживается
угроза
•  Снижение нагрузки на другие
механизмы обнаружения

Возможность создания собственных сигнатур
•  Создание собственных сигнатур, например, для контроля перемещения файлов с
конфиденциальной информацией или полученных из внешних источников семплов
вредоносного кода или даже приложений (для NGFW/NGIPS)

анализ
Обучение
компьютеров
Нечеткие
щие метки
аналитика
сигнатура
Признаки
вторжения
Collective Security
Intelligence Cloud
Сигнатура файла анализируется
и определяется как вредоносная1
Доступ вредоносному файлу
запрещен2
Полиморфная модификация того же
файла пытается получить доступ
в систему
3
Сигнатуры двух файлов
сравниваются и оказываются
аналогичными
4
Доступ полиморфной модификации
запрещен на основании его
сходства с известным вредоносным
ПО
5

Техника: ядро Ethos
•  ETHOS - ядро формирования нечетких
отпечатков с помощью статической/
пассивной эвристики
•  Полиморфные варианты угрозы часто
имеют общие структурные свойства
•  Не всегда нужно анализировать все
содержимое бинарного файла
•  Повышение масштабируемости -
обнаруживается и оригинал и модификации
•  Традиционно создаются вручную
Лучшие аналитики = несколько общих сигнатур в
день
•  У нас полная автоматизация =
МАСШТАБИРОВАНИЕ
Ethos: создание обобщенных сигнатур, что
опять же достаточно традиционно
для отрасли
Адресуются семейства
Потенциальное увеличение числа ложных
срабатываний

анализ
Машинное
обучение
Нечеткие
щие метки
аналитика
нтичная
натура
Признаки
вторжения
Collective Security
Intelligence Cloud
Метаданные неизвестного файла
отправляются в облако для анализа1
Метаданные признаются
потенциально вредоносными2
Файл сравнивается с известным
вредоносным ПО и подтверждается
как вредоносный
3
Метаданные второго неизвестного
файла отправляются в облако для
анализа
4
Метаданные аналогичны
известному безопасному файлу,
потенциально безопасны
5
Файл подтверждается как
безопасный после сравнения с
аналогичным безопасным файлом
6
Дерево решений машинного обучения
Потенциально
безопасный файл
Потенциально
вредоносное ПО
Подтвержденное
Подтвержденный
безопасный
файл
Подтвержденный
файл
Подтвержденное

Техника: ядро Spero
Метки AMP = более 400 атрибутов, полученных в процессе выполнения
•  Сетевые подключения?
•  Нестандартные протоколы?
•  Использование интерфейсов API (каких)?
•  Изменения в файловой системе?
•  Самокопирование
•  Самоперенос
•  Запуск других процессов?
Автоматизирует классификацию файлов
на основе общих схожих признаков
Машинное обучение позволяет находить и классифицировать то, что не под
силу человеку – из-за возможности анализа больших объемов данных
Дерево принятия решений
Возможно,
чистый файл
Возможно,
ВПО
Да, ВПО
Да,
«чистый»
Да. чистый
Да, ВПО

анализ
Машинное
обучение
четкие
фицирую
е метки
аналитика
Признаки
вторжения
Поведенческое обнаружение основывается
на четырех функциях
Collective Security
Intelligence Cloud
Неизвестный файл
проанализирован, обнаружены
признаки саморазмножения
1
Эти признаки саморазмножения
передаются в облако2
Неизвестный файл также
производит независимые внешние
передачи
3
Это поведение также отправляется в
облако4
Об этих действиях сообщается
пользователю для идентификации
файла как потенциально
вредоносного
5

Техника: анализ вредоносных признаков
Bad
Guys

•  Анализ поведения файла –
большое количество
анализируемых параметров
•  Требует большего времени на
анализ, чем сигнатуры
•  Потенциально ложные
срабатывания
•  Подробная информация о
причинах принятия того или
иного решения
•  Выдача финального Threat
Score

Уровень угрозы может быть настроен
104
На примере Cisco AMP for Content Security (WSA)

анализ
чение
пьюте
ров
аналитика
Признаки
вторжения
Неизвестные файлы загружаются
в облако, где механизм динамического
анализа запускает их в изолированной
среде
1
Два файла определяются как
вредоносные, один подтвержден как
2
Сигнатуры вредоносных файлов
обновляются в облаке информации
и добавляются в пользовательскую базу
3
Collective Security
Intelligence Cloud Коллективная
пользователь-
ская база

Техника: динамический анализ
Bad
Guys

•  Файлы для динамического анализа (песочница) могут быть загружены
автоматически или в ручном режиме
•  Загрузка файла осуществляется только в случае его неизвестности
(неизвестен статус и Threat Score)
«Чистые», уже проверенные ранее файлы или вредоносное ПО с вычисленным Threat
Score в песочницу не загружаются, чтобы не снижать производительность решения
•  Файлы могут загружать через прокси-сервера
•  Результат представляется в виде обзора и детального анализа

Анализ в облаке может занимать время
На примере Cisco AMP for Content Security (ESA)

анализ
аналитика
изнаки
ржения
Получает информацию
о неопознанном ПО от устройств
фильтрации по репутации
1
Анализирует файл в свете
полученной информации
и контекста
3
Идентифицирует вредоносное ПО
и добавляет новую сигнатуру
в пользовательскую базу
4
Получает контекст для неизвестного
ПО от коллективной
пользовательской базы
2 Коллективная
пользователь-
ская база
Collective Security
Intelligence Cloud

Индикаторы компрометации
•  Индикатор компрометации –
объединение нескольких связанных
событий безопасности в единое
мета-событие
•  IOC “CNC Connected” (узел вероятно
находится под чужим управлением)
Узел подключился к серверу C&C
Сработала система обнаружения вторжений
по сигнатуре “Malware-CNC”
На узле запущено приложение, которое
установило соединение с сервером C&C
•  Встроенные и загружаемые
индикаторы компрометации
На примере Cisco AMP for Endpoint
На примере Cisco AMP for Networks

мический
ализ
аналитика
Collective Security
Intelligence Cloud
Обнаруживаются два неизвестных файла,
связывающихся с определенным
IP-адресом
2
Один передает информацию за пределы
сети, другой получает команды с этого
IP-адреса
3
Collective Security Intelligence Cloud
распознает внешний IP-адрес как
подтвержденный вредоносный сайт
4
Из-за этого неизвестные файлы
идентифицируются как вредоносные5
IP-адрес:
64.233.160.0
Сопоставление потоков устройств
производит мониторинг источника
и приемника входящего/исходящего
трафика в сети
1

•  Мониторятся внутренние и внешние
сети
•  Данные по репутации IP-адресов
•  Регистрация URL / доменов
•  Временные метки
•  Передаваемые файлы
Техника: Анализ потоков устройств
111
Корреляция потоков устройств: Анализ
сетевых потоков на уровне ядра.
Позволяет блокировать или
предупреждать
о любых сетевых действия
Cisco обеспечивает:
Известные сервера CnC,
фишинговые сайты,
сервера ZeroAccess CnC, и т.д.
Пользовательские списки

Сила в комбинации методов обнаружения
•  На оконечных узлах не хватает ресурсов для анализа все усложняющегося
•  Не существует универсального метода обнаружения вредоносного кода – у
каждого метода есть своя область применения, свою достоинства и
недостатки
•  Каждый метод может быть обойден вредоносным кодом; особенно
специально подготовленным
7 методов обнаружения в Cisco AMP повышают
эффективность защиты!!!

Почему необходима непрерывная защита?
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Непрерывный анализ
Поток
телеметрических
данных
Интернет
WWW
Оконечные устройства СетьЭл. почта УстройстваСистема
предотвращения
вторжений IPS
Идентифицирующие метки
и метаданные файла
Файловый и сетевой ввод/
вывод
Информация о процессе
Объем и контрольные
точки

Почему необходима непрерывная защита?
Контекст Применение Непрерывный анализ
Кто Что
Где Когда
Как
История событий
Collective Security
Intelligence

Cisco AMP обеспечивает ретроспективную
защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак

признаки
вторжения
Поиск
нарушений
Ретроспективная безопасность основана на…
Выполняет анализ при
первом обнаружении
файлов
1
Постоянно анализирует
файл с течением
времени, чтобы видеть
изменения ситуации
2
Обеспечивает
непревзойденный
контроль пути, действий
или связей, касающихся
конкретного элемента ПО
3

признаки
вторжения
Поиск
нарушений
Использует ретроспективные
возможности тремя способами:
Ретроспективный анализ файлов
Записывает траекторию ПО от устройства к устройству
Ретроспективный анализ
файлов1
Ретроспектива процесса2
Ретроспектива связи3
Ретроспектива процесса
Производит мониторинг активности ввода/вывода для всех устройств
в системе
Ретроспектива связей
Производит мониторинг, какие приложения выполняют действия
Создание цепочки атак
Анализирует данные,
собранные ретроспекцией
файлов, процессов и связи
для обеспечения нового
уровня интеллектуальных
средств мониторинга угроз

Пример ретроспективы файла и связей
На примере Cisco AMP for Content Security (ESA)
На примере Cisco
AMP for Networks

Пример ретроспективы процессов
На примере Cisco AMP for Endpoints

признаки
вторжения
Поиск
нарушений
оспектива Создание
Поведенческие признаки вторжения используют ретроспективу для мониторинга систем на наличие
подозрительной и неожиданной активности
допущен в сеть1
копирует себя
на несколько машин
2
Копирует содержимое
с жесткого диска3
Отправляет
скопированное
содержимое на
неизвестный IP-адрес
4
С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия
указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам файлов

признаки
вторжения
Поиск
нарушений
оздание
почек атак
Траектория файла автоматически
записывает время, способ, входную
точку, затронутые системы
и распространение файла
Неизвестный файл загружается
на устройство1
Сигнатура записывается
и отправляется в облако для анализа2
Неизвестный файл перемещается
по сети на разные устройства
3
Аналитики изолированной зоны
определяют, что файл вредоносный, и
уведомляют все устройства
4
Траектория файла обеспечивает
улучшенную наглядность масштаба
заражения
5 Вычислительные
ресурсы
Виртуальная
машина
Мобильные
системы
Мобильные
системы
Виртуальная
машина
Вычислительные
ресурсы
Сеть
Мобильные
системы
Мобильные
системы
Collective Security
Intelligence Cloud

Траекторияенческие
знаки
жения
Поиск
нарушений
Вычислительные ресурсы
Неизвестный файл загружается
на конкретное устройство1
Файл перемещается на устройстве,
выполняя различные операции2
При этом траектория устройства
записывает основную причину,
происхождение и действия файлов
на машине
3
Эти данные указывают точную причину
и масштаб вторжения на устройство4
Диск 1 Диск 2 Диск 3

Пример траектории файла

Неизвестный файл находится
по IP-адресу: 10.4.10.183.
Он был загружен через Firefox

В 10:57 неизвестный файл
с IP-адреса 10.4.10.183 был
передан на IP-адрес 10.5.11.8

Семь часов спустя файл был
передан через бизнес-
приложение на третье
устройство (10.3.4.51)

Полчаса спустя с помощью
того же приложения файл был
скопирован еще раз на
четвертое устройство
(10.5.60.66)

Решение Cisco® Collective
Security Intelligence Cloud
определило, что этот файл
является вредоносным. Для
всех устройств было
немедленно создано
ретроспективное событие

Тотчас же устройство
с AMP для Endpoints
среагировало на
ретроспективное событие
и немедленно остановило
ВПО
и поместило в карантин
только что определенное

Через 8 часов после первой
атаки вредоносное ПО
пыталось повторно
проникнуть в систему через
исходную входную точку,
но было распознано
и заблокировано

Что делать в случае обнаружения вредоносного
кода?
•  Вариант реагирования на обнаруженный вредоносный код зависит от
варианта реализации AMP
•  AMP for Endpoints
Режим аудита – разрешить запускать вредоносный код
Пассивный режим – не ждать ответа из облака и запустить вредоносный код (блокировать
после)
Активный режим – ждать ответа из облака, не запуская файл
•  AMP for Content Security
Пропустить, заблокировать или поместить в карантин (для ESA)
•  AMP for Networks
Пропустить, заблокировать или сохранить вредоносный код

Какие файлы можно анализировать?
•  Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно
захватывать и сохранять для дальнейшего анализа

Обнаружение известного вредоносного кода

Полная информация о вредоносном коде

Увеличение числа устройств с
вредоносным ПО
Анализ вредоносного ПО и атак
Подтверждение атаки и заражения
•  С чего начать?
•  Насколько тяжела ситуация?
•  Какие системы были затронуты?
•  Что сделала угроза?
•  Как можно восстановить?
•  Как можно предотвратить ее
повторение?
Исправление
Поиск сетевого
трафика
Поиск
журналов
устройств
Сканирование
устройств
Задание правил
(из профиля)
Создание
системы
испытаний
Статический
анализ
Анализ
устройств
Сетевой
анализ
Анализ
увеличения
числа
устройств
Уведомление Карантин Сортировка
Профиль
вредоносного
ПО
Стоп
Не удалось обнаружить заражение
Заражениеобнаружено
Поиск повторного заражения
Обновление профиля
Подтверждение
Заражение
отсутствует
Вопрос не в том, произойдет ли заражение, а как скоро мы
его обнаружим, устраним и поймем причины?

Ретроспективный анализ файлов позволяет
определить
•  Какие системы были
инфицированы?
•  Кто был инфицирован?
•  Когда это произошло?
•  Какой процесс был отправной
точкой?
•  Почему это произошло?
•  Что еще произошло?

Ретроспективный анализ процессов позволяет
определить
•  Как угроза попала на узел?
•  Что плохого происходит на
моем узле?
•  Как угроза взаимодействует с
внешними узлами?
•  Чего я не знаю на своем
узле?
•  Какова последовательность
событий?

Трекинг каждого вредоносного файла
Пользователи и IP, которые загрузили
вредоносный файл к себе
SHA-256

Вопросы конфиденциальности: AMP Private
Cloud 2.0
AMP Threat Grid
Dynamic Analysis
Appliance
Windows, Mac
Endpoint
Cisco
FirePOWER Sensor
Cisco Web
Security Appliance
Cisco Email
Security Appliance
Cisco ASA with
FirePOWER Services
Talos
Cisco AMP
Private Cloud
Appliance 2.x
Федерированные
данные
Хэши файлов
Анализируемые файлы
Опционально
Планы
Поддержка “air gap”

А можно анализировать вручную?
•  Нередко бывает необходимость
анализировать файлы, попавшие в
службу безопасности на флешках
или иных носителях, а также
проводить более глубокий анализ
обнаруженных с помощью Cisco
AMP вредоносных программ
•  Не у всех бывает реализована
автоматическая защита с помощью
Cisco AMP
•  Организация может захотеть
создать собственную службу Threat
Intelligence или Security Operations
Center

Cisco AMP Threat Grid
•  Платформа для глубокого анализа
Доступ через портал, выделенное устройство или с
помощью API
•  Может применяться при построении
собственных систем Threat Intelligence или
SOC
•  Уже используется многими компаниями при
проведении расследований – EnCase,
Maltego и т.п.

Детальный анализ вредоносного ПО в AMP
Threat Grid

Типовые сценарии использования AMP Threat
Grid
•  Доступ к порталу
•  Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода
•  Приватная маркировка загружаемых семплов (опционально)
•  Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в
облако
•  Интеграция с решениями Cisco
•  AMP for Endpoints
•  AMP for Networks (FP / ASA)
•  AMP for WSA / CWS
•  AMP for ESA / CES
•  API для автоматизации передачи семплов в Threat Grid включен во все лицензии с
подпиской

Развертывание вне облака – на территории
заказчика
§  Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid
§  В целях соблюдения нормативных требований все данные остаются на территории заказчика
§  Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для
актуализации контекста
§  Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§  TG5000:
§  Анализ до 1500 образцов в день
§  Cisco UCS C220 M3 Chasis (1U)
§  6 x 1TB SAS HDD (аппаратный RAID)
§  TG5500:
§  Анализ до 5000 образцов в день
§  Cisco UCS C220 M3 Chasis (1U)
§  6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты

Отличия портала от локального устройства AMP
Threat Grid
•  Масштабируемость
•  Отсутствуют ограничения на число загружаемых для анализа семплов (в устройстве – до 5000 в
день)
•  Скорость обработки семплов
•  Обработка 1000 семплов занимает около 30 минут. На устройстве такое же количество семплов
обрабатывается за 4 часа
•  Стоимость
•  Устройство стоит дороже доступа к порталу
•  Сопоставление угроз в облаке осуществляется со всеми семплами, загруженными в него и
помеченными как публичные. На устройстве сопоставление осуществляется только с
локальными семплами
•  Обновления поведенческих индикаторов
•  Обновления для устройства выпускаются каждый квартал, а для портала – каждые 2 недели

Преимущества и недостатки локального
устройства
•  Конфиденциальность данных
•  Возможность работы в
изолированной сети
•  Независимость от наличия
Интернет-канала
Недостатки
•  Обновления поведенческих
индикаторов приходят с
задержкой
•  Невозможность полного
анализа Интернет-активности
вредоносного ПО
•  Невозможность
сопоставления данных с
другими публичными
семплами

Повсеместный AMP Threat Grid
Подозрительный
файл
Отчет
Периметр
ПК
Firewall
& UTM
Email
Security
Analytics
Web
Security
Endpoint
Security
Network
Security
3rd Party
Integration
S E C U R I T
Y
Security
monitoring
platforms
Deep Packet
Inspection
Gov, Risk,
Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный
файл
Premium
content feeds
Security Teams

Решения Cisco по защите и контролю доступа в
Интернет
ASA с FirePOWER Services /
Cisco FirePOWER Appliance
Cloud Web Security
Web Security Appliance
(Physical & Virtual)
Cisco ISR с FirePOWER
Services

Web
Filtering
Cloud Access
Security
Web
Reputation
Application
Visibility and
Control
Parallel AV
Scanning
Data-Loss
Prevention
File
Reputation
Cognitive
Threat
Analytics*
До
ПослеВо время
File
Retrospection
www
Мобильный
Отчеты
Удаленный офис
www www
Allow Warn Block Partial Block
WCCP Explicit/PACLoad Balancer PBR AnyConnect® Client
АдминПеренаправле
-ние трафика
www
HQ
File
Sandboxing
Client
Authentication
Technique
* Roadmap feature: Projected release 2H CY15
Cisco® ISE
Cisco Web Security Appliance

1. Сканируем текст
Cisco Web Usage Controls
URL фильтрация и динамический анализ
WWW
URL Database
3. Вычисляем близость к
эталонным документам
4. Возвращаем самое
близкое значение
категории
2. Вычисляем релевантность
Finance
Adult
Health
Finance Adult Health
AllowWWW
WarnWWW WWW Partial
Block
BlockWWW
5. Enforces policy
If Unknown, the
Page Is Analyzed
BlockWWW
WarnWWW
AllowWWW
If Known

Репутационный анализ
Сила контекста реального времени
Suspicious
Domain Owner
Server in High
Risk Location
Dynamic IP
Address
Domain
Registered
< 1 Min
192.1.0.68example.comExample.org17.0.2.12 BeijingLondonSan JoseКиев HTTPSSLHTTPS
Domain
Registered
> 2 Year
Domain
Registered
< 1 Month
Web сервер < 1
места
Who HowWhere When
0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 1
0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 01
010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 011
-10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10
IP значение репутации

Сканирование malware в реальном времени
Dynamic Vectoring and Streaming
Сигнатурный и эвристический анализ
Эвристическое обнаружение
Идентификация необычного поведения
Сканирование antimalware
Параллельное, потоковое сканирование
Сигнатурная проверка
Идентификация известного поведения
Множество
механизмов
сканирования
malware
Оптимизация эффективности и уровня обнаружения с
интеллектуальным мультисканированием
Расширение сигнатурного покрытия с
использованием нескольких механизмов
Улучшение впечатления с помощью
параллельного потокового сканирования
Обеспечение полного и актуального сигнатурного
покрытия с помощью автоматических обновлений
Идентификация зашифрованного вредоносного
трафика с помощью перехвата и расшифровки SSL
соединений

Эмуляция в реальном времени
Sandbox реального времени
Анализ для защиты от атак 0-day

Layer 4 Traffic Monitor
Обнаружение зараженных узлов
Пользователи
Cisco®
S-Series
Network -
Layer
Analysis
Мощные данные antimalwareПредотвращение трафика
“Phone-Home”
§  Сканирует весь трафик, все порты и все
протоколы
§  Обнаружение malware, обходящее порт 80
§  Предотвращение трафика botnet
§  Автоматически обновляемые правила
§  Генерация правил в реальном времени
с помощью “dynamic discovery”
Инспекция
пакетов и
заголовков
Internet
Достуно на Cisco ASA как Botnet Traffic Filter

Предотвращение утечек данных
Снижение риска утечек чувствительной информации
x
Локально
Интеграция с 3rd-pary
вендорами по ICAP
CWS
WSA
Cloud
DLP Vendor Box
WSA
+
Базовый DLP
Расширенный
DLP
Базовый DLP
Dropbox
Facebook
Microsoft
Outlook
Gmail

Cisco Web Security
Полное управление пользователями
Data-Loss Prevention
(DLP)
Application Visibility and
Control (AVC)
Admin
AllowWWW
Централизованное
управление и
отчетность
Policy
Защита от угроз
Пользователь
Cisco® Web Usage
Controls
Partial
Block
WWW
BlockWWW

Что делать с мобильными пользователями?
Cisco AnyConnect Secure Mobility Client
Пользователь с
ноутбуком, планшетом
или телефоном
Роуминг-пользователь
с ноутбуком
Клиент развернут на машине
Web пользователи
Block
WWW
Warn
WWW
Allow
WWW
Delivers Verdict
WSA веб
безопасность
Расположение web
CWS web
безопасность
Router or firewall
re-route traffic to WSA or CWS
Перенаправление web
трафика
Работа с
WWW через
VPN
Перенаправление
трафика на
ближайший web
прокси
Cisco
AnyConnect®
Client
VPN
ACWS
VPN

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию

Similar to 3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию (20)

More from Cisco Russia

More from Cisco Russia (20)

3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их обузданию