2. 2
Архитектура безопасности Cisco
Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический
центр Talos
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица ASA,
(сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
3. 3
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
Периметр защищен, но инцидентов полно. Почему?
4. 4
Проблемы с традиционной моделью
«эшелонированной» безопасности на периметре
Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность
Ручные и статические
механизмы
Медленный отклик,
ручное управление,
низкая
результативностьНаличие обходных
каналов
Мобильные устройства, Wi-
Fi, флешки, ActiveSync, CD/
DVD и т.п.
5. 5
Какие проблемы мы должны решить во внутренней
сети?
Единая политика доступа, привязанная
к пользователям, а не устройствам
Разграничение
доступа на
уровне сетевой
инфраструктуры
Мониторинг
подозрительной
активности на
уровне сети
Защита от угроз
во внутренней
сети
Мониторинг
беспроводного
эфира
Сквозная защита
на уровне ЦОД,
периметра,
удаленного
доступа и BYOD
6. 6
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Software-Defined Segmentation based on business policy
Что такое единая политика на уровне сети?
Традиционная политика
Политика TrustSec
Источник
Назначение
Политика поддерживается везде
Коммутатор Роутер VPN &
МСЭ
Коммутатор
ЦОД
Контроллер
Wi-Fi
Упрощение правил МСЭ, ACL и VLAN
Предотвращение скрытых угроз
Снижение затрат на перестройку архитектуры сети
7. 7
Сервисы
аутентификации
Сервисы авторизации
Управление жизненным
циклом гостевого доступа
Сервисы
профилирования
Сервисы
оценки состояния
Доступ для групп
безопасности
Identity Services
Engine
Упрощенное
управление
политиками
Мне нужно разрешать подключение к сети только
определенных пользователей и устройств
Мне нужно, чтобы пользователь и устройства
пользовались соответствующими сетевыми сервисами
Мне нужно разрешить гостям доступ в сеть и управлять их
настройками
Мне нужно разрешать/блокировать использование iPad в
моей сети (BYOD)
Мне нужно, чтобы в моей сети были чистые устройства
Мне необходим масштабируемый способ реализации
политики доступа в сети
Реализация единой политики сетевого доступа с
помощью Cisco ISE
8. 8
Аутентификация пользователей и устройств
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных настольных
систем
Коммутатор Cisco Catalyst®
Web-аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по MAC-
адресам
Web-аутентификация
Сетевое устройство
802.1X
IP-телефоныАвторизо-ванные
пользователи
Гости
MAB и профилирование
Планшеты
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
9. 9
Защита комплексных и динамичных сетей
ISE Certificate Authority
ü Простое и гибкое внедрение
ü Устранение предположений
относительно управления
сертификатами BYOD
ü Предлагает возможность
запрашивать, замораживать и/
или отзывать сертификаты
ü Аутентификация и сбор атрибутов в
динамично изменяемых сетях
ü Расширенные алгоритмы для
управления неопределенностью
идентификации
ü Автоматизация управления доступом
в сети с несколькими Active Directorie
Множество Active Directory
Поддержка 1M зарегистрированных устройств и 250K АКТИВНЫХ,
одновременно подключаемых устройств
10. 10
Идентификация устройств
ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ
Множество устройств
в проводной и
беспроводной сети
Должно быть предусмотрено
управление политиками для
каждого типа устройств
Необходима гарантия того,
что устройство соответствует
цифровым меткам
Классификация устройств вручную и реализация политик
Быстрый рост числа устройств
и идентификация для реализации
политик
Проблема
11. 11
Политика для
личного iPad
[ограниченный доступ]
Точка доступа
Политика для
принтера
[поместить в VLAN X]
Автоматическое распознавание и идентификация
миллионов устройств
Принтер Личный iPad
ISE
CDP
LLDP
DHCP
MAC-адрес
CDP
LLDP
DHCP
MAC-адрес
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ
Для проводных и беспроводных сетей
ПОЛИТИКА
Точка
доступа
СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
СБОР ДАННЫХ
Коммутатор собирает данные, относящиеся к
устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯ
ISE производит классификацию устройства,
сбор данных о трафике и формирует отчет об
использовании устройства
АВТОРИЗАЦИЯ
ISE реализует доступ на основе политик для
данного пользователя и устройства
Эффективная классификация
устройств с использованием
инфраструктуры
Решение
13. 13
Снижение числа неизвестных устройств в среднем на 74%
Облегчение корпоративной мобильности
Снижение сложности управления BYOD и доступа с устройства
Настраиваемый дизайн и брендирование
Новый опыт пользователей
Всесторонняя защита устройства
Улучшенное распознавание устройств
ПК &
мобильные
платформы
14. 14
Оценка соответствия узлов требованиям политик
ИТ и безопасности и корпоративным стандартам
Временный ограниченный доступ к
сети до устранения проблем
Пример политики для сотрудника
• Исправления и обновления Microsoft установлены
• Антивирус McAfee установлен,
обновлен и работает
• Корпоративный ресурс проходит проверку
• Приложение предприятия выполняется
Проблема:
• Наличие сведений о работоспособности
устройства
• Различие уровней контроля над устройствами
• Затраты на устранение проблем
Ценность:
• Временный (на web-основе) или постоянный
агент
• Автоматическое устранение проблем
• Реализация дифференцированных политик на
основе ролей
Пользователь проводной,
беспроводной,
виртуальной сети
Не соответствует
требованиям
15. 15
Гостевые политики
Управление гостевым доступом
Гости
Web-аутентификация
Беспроводный или
проводной доступ
Доступ только к Интернету
Выделение ресурсов:
гостевые учетные записи на
спонсорском портале
Уведомление:
сведения о гостевой учетной записи в
бумажном виде, по электронной почте
или SMS
Управление:
права спонсоров,
гостевые учетные записи и политики,
гостевой портал
Отчет:
по всем аспектам гостевых учетных
записей
Интернет
16. 16
Модернизированный гостевой доступ с ISE 1.3
Простота доступа без снижения уровня безопасности
Брендирование и
использование тем
«Спонсорство» для мобильного
гостевого доступа
Модернизированный гостевой
доступ
Собственные шаблоны за минуты, внедрение за часы (не дни)
Your credentials
username: trex42
password: littlearms
Create Accounts
Print Email SMS
Уведомление по SMS
Поддержка для ПК, Mac
и мобильных платформ
17. 17
Масштабируемая
реализация
Сети VLAN
Списки управления доступом (ACL)
Метки групп безопасности *
Шифрование MACSec *
Управление доступом
на основе политик
Обеспечивает реализацию политик
Абсолютный контроль
Удаленный
пользователь VPN
Пользователь с
беспроводным
доступом
Пользователь с
проводным доступом
Устройства
* =
СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ
ДАННЫХ
И УЧЕТОМ КОНТЕКСТА
Виртуальный рабочий стол
Центр обработки
данных Интранет Интернет Зоны безопасности
Инновации
Cisco
18. 18
Маркировка трафика данными о контексте
Доступ для групп безопасности (SGA)
Медицинские карты пациентов
(конфиденциальная информация)
Неограниченный доступ для
сотрудников
Интернет
Врач
Финансовая
служба
Гость
СНИЖЕНИЕ ЭКСПЛУАТАЦИОННЫХ
РАСХОДОВ
Масштабируемая реализация политик
независимо от топологии сети
МАСШТАБИРУЕМАЯ И
ЕДИНООБРАЗНАЯ РЕАЛИЗАЦИЯ
ПОЛИТИК
Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ ДЛЯ ГРУПП
БЕЗОПАСНОСТИ (SGA)
ПОВЫШЕНИЕ МАНЕВРЕННОСТИ
КОМПАНИИ
Инновации
Cisco
19. 19
Политики на основе
понятного технического языка
Повышение уровня реализации политик во всей сети
Таблица доступа согласно
политике на основе ролей
Ресурсы
D1
(10.156.78.100)
Медицинские карты
пациентов
D3
(10.156.54.200)
Электронная почта
в интранет-сети
D5
(10.156.100.10)
Финансовая
служба
D6
D4
D2
Разрешения
Интранет-
портал
Почтовый
сервер
Серверы
финансовой
службы
Медицинские карты
пациентов
Врач Интернет IMAP Нет доступа
Совместный web-доступ
к файлам
Финансовая
служба
Интернет IMAP Интернет Нет доступа
ИТ-админист-
ратор
WWW, SQL,
SSH
Полный
доступ
SQL SQL
Матрица политик
Совместный web-
доступ к файлам
permit tcp S1 D1 eq https
permit tcp S1 D1 eq 8081
deny ip S1 D1
……
……
permit tcp S4 D6 eq https
permit tcp S4 D6 eq 8081
deny ip S4 D6
Требует затрат времени
Ручные операции
Предрасположенность к ошибкам
Простота
Гибкость
Учет характера деятельности
permit tcp dst eq 443
permit tcp dst eq 80
permit tcp dst eq 445
permit tcp dst eq 135
deny ip
ACL-список "Врач - карта пациента"
Врачи
Финансовая служба
ИТ-администраторы
S1
(10.10.24.13)
S2
(10.10.28.12)
S3
(10.10.36.10)
S4
(10.10.135.10)
Отдельные пользователи
20. 20
• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный
источник (источник = Any (любой))
• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый
Пример снижения TCO
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —
для группы-источника используются диапазоны адресов подсети
4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE
С использованием Cisco ISE
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
21. 21
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана —
для группы-источника используются диапазоны адресов подсети
• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный
источник (источник = Any (любой))
• 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый
Пример снижения TCO (2)
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE
С использованием Cisco ISE
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
22. 22
Эксплуатация
Эффективное управление
Объединенный мониторинг безопасностью и политиками
Состояние контекста и панели мониторинга для проводных и беспроводных
сетей
Централизованное планирование задач управления
на несколько дней
Рабочие потоки настройки инструктивного характера
Сокращение сроков диагностики и устранения неполадок
Интеграция с Cisco NCS Prime
24. 24
Вовлечение конечного пользователя в управление
Эффективное управление
Снижение нагрузки на ИТ-персонал
Адаптационный период для устройств, саморегистрация, выделение ресурсов
запрашивающему клиенту*
Снижение нагрузки на службу технической поддержки
Простой, интуитивно понятный интерфейс пользователя
Модель самообслуживания
Портал регистрации устройства пользователя*, портал для приглашения гостей
* запланировано на лето 2012 г.
26. 26
Как контролируется доступ в сети Cisco?!
Тип
устройства МестоположениеПользователь
Оценка Время Метод доступа
Прочие
атрибуты
27. 27
Что более полезно с точки зрения безопасности?
“Адрес скомпрометированного устройства 192.168.100.123”
- ИЛИ -
“Скомпрометировано устройство iPad Васи Иванова в стр.1”
Cisco ISE собирает контекстуальные “big data” из
множества источников в сети. С помощью Cisco pxGrid
эта информация «делится» с решениями партнеров.
С контекстуальными данными ISE, решения партнеров могут
более аккуратно и быстро идентифицировать,
нейтрализовывать и реагировать на сетевые угрозы.
Cisco Platform Exchange Grid (pxGrid)
Повышение эффективности решений партнеров через обмен контекстом
28. 28
Экосистема партнеров Cisco ISE
Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения
• Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и
привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства
• ISE связывает привилегии доступа с контекстом соответствия
29. 29
Интеграция с MDM
Оценка соответствия мобильного устройства
Всесторонний защищенный доступ
Initial Posture Validation
MS Patches
Av and AS Installation
Application and Process Running State
Интеграция с MDM
Проверка корпоративных и личных мобильных устройств
MDM Policy Check
Статус регистрации устройства
Статус соответствия устройства
Статус шифрования диска
Статус установки блокировки экрана
Стасус Jailbreak
Производитель
Модель
IMEI
Серийный номер
Версия ОС
Номер телефона
31. 31
Быстрое реагирование на угрозы через SIEM / TD
Расширение политик доступа & соответствия с MDM
Устранение уязвимостей оконечных устройств
Политика защиты индустриальных сетей и IoT
Облегченное расследование инцидентов и проблем
SSO защищенный доступ к защищаемым данным на
мобильных устройствах
Усиление эффекта Cisco Security через партнерство
Распределение контекста с широким спектром решений партнеров
32. 32
Преимущества экосистема партнеров
Cisco pxGrid делает решения партнеров более эффективными
Адаптивная аутентификация
Ø Ассоциация контекстных данных с приложениями & аутентификацией пользователя
Ø Снижение риска кражи данных и проникновений за счет более гибкой аутентификации
Политика доступа для индустриальных сетей
Ø Сегментация на основе политик с контекстом и контролем АСУТП сетей
Ø Быстрая идентификация, изоляция и нейтрализация посторонних устройств
Захват пакетов и расследование инцидентов
Ø Ассоциация контекстных данных пользователей/ролей с сетевыми дампами
Ø Рост аккуратности и скорости расследования инцидентов
Новые SIEM / TD партнеры присоединяются к экосистеме партнеров ISE
Приоритезация уязвимостей оконечных устройств
Ø Идентификация и приоритезация сетевых уязвимостей оконечных устройств
Ø Снижение времени на расследование и уведомление для снижения векторов атак
33. 33
Cisco ISE поддерживает трехзвенную схему и
объединяет решения Cisco в единый комплекс
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Контроль
сетевого
доступа
Передача
контекста
Ограничение доступа
и локализация
нарушителей
• Cisco ASA
• Cisco FireSIGHT
• S-Terra CSP VPN
• Cisco ISR
• Cisco Catalyst
• Cisco Nexus
• Cisco WSA
• Cisco CTD
• SIEM
• pxGRID
34. 34
Cisco ASA with FirePOWER / Cisco FirePOWER помогают
мониторить активность внутри сети
► Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
► Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
► Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
► Фильтрация URL-адресов на основе
репутации и классификации
► Система Advanced Malware Protection с
функциями ретроспективной защиты
Cisco ASA
VPN и политики
аутентификации
Фильтрация URL-
адресов
(по подписке)FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль
приложений
Межсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование
сети
Предотвращение
вторжений (по
подписке)
FW + NGFW + NGIPS + AMP + URL + SSL VPN + IPSec VPN
35. 35
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное
приложение
обнаружено
Событие нарушения
зафиксировано,
пользователь
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует
Skype. Пользователь
идентифицирован, IT и HR
уведомлены.
IT & HR
провели с
пользователем
работу
Идентификация приложений «на лету»
37. 37
Создание «белых списков» / «списков соответствия»
• Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого уровней
• Разрешенные адреса / диапазоны
адресов
• И т.д.
38. 38
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение
зафиксировано,
уведомления
отправлены
IT
восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA
with FirePOWER обнаружил хост и
ненормальное поведение сервера в
ЦОД и уведомил IT.
Новый актив
обнаружен
Поведение
обнаружено
Обнаружение посторонних / аномалий /
несоответствий
39. 39
Встроенная система корреляции событий (без SIEM)
• Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
• Приложения
• Уязвимости
• Протоколы
• Пользователи
• Операционные системы
• Производитель ОС
• Адреса
• Место в иерархии компании
• Статус узла и т.п.
40. 40
Cisco FirePOWER не только мониторит активность,
но и обнаруживает угрозы внутри сети
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Firewall
NGFW
Управление уязвимостями
VPN
UTM
NGIPS
Web Security
Исследования
ИБ
Advanced Malware Protection
Ретроспективный анализ
IoC / реагирование на инциденты
41. 41
Идентификация и блокирование посторонних
беспроводных устройств в Cisco
• Само мобильное устройство не может сказать, что оно «чужое»
• Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и
беспроводного
• Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location
Services помогают контролировать беспроводной эфир
• Все это часть функционала платформы Cisco Mobility Services Engine
42. 42
Cisco AMP Everywhere объединяет…
MAC
Май 2014
Выделенные
устройства
Февраль 2013
NGIPS / NGFW
на FirePOWER
Октябрь 2012
ПК
Январь 2012
Cloud Web Security
& Hosted Email
Март 2014
SaaS
Web & Email Security
Appliances
Март 2014
Мобильные устройства
Июнь 2012
Cisco ASA с
FirePOWER Services
Сентябрь 2014
43. 43
Cisco Advanced Malware Protection проводит анализ
и пост-фактум
ДО
Контроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕ
Обнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Контроль
сетевого
доступа
Обнаружение и
блокирование
вредоносного
кода
Ретроспективный
анализ
44. 44
Управление инцидентами с помощью FireSIGHT
Кто
Что
Где
Когда
Как
Сфокусируйтесь
сначала на этих
пользователях
Эти приложения
пострадали
Взлом затронул эти
области сети
Такова картина
атака с течением
времени
Это источник
угрозы и путь ее
распространения
45. 45
Анализ траектории вредоносного кода
• Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло?
• Когда это произошло?
• Что еще произошло?
46. 46
Признаки (индикаторы) компрометации
События
СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы эксплойтов
Получение
администраторских
полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера