Документ рассматривает развитие и недостатки систем обнаружения вторжений (IDS) с конца 90-х годов до 2018 года, подчеркивая, что традиционные методы становятся менее эффективными в условиях быстро меняющихся атак. Приводятся примеры эволюции методов атаки и возможные новые подходы к обнаружению с использованием машинного обучения и анализа поведения. Делается вывод о важности комплексного подхода к обнаружению угроз, учитывающего различные источники данных и новейшие технологии.

1. Системы
обнаружения
вторжений: из конца
90-х в 2018-й
Алексей Лукацкий
Бизнес-консультант, Cisco
© 2017 Cisco and/or its affiliates. All rights reserved.

2. Почему я говорю про обнаружение атак?
20022001 2003

3. IDS (СОВ) конца 90-х годов
3
Методы
обнаружения
• Сигнатурные
• Аномальные
Источники
данных
• Журналы
регистрации
• Сетевой
трафик
Места
установки
• Периметр
(NIDS)
• Узел (HIDS)

4. Российские производители застыли в 90-х
Сравнение по числу сигнатур атак
Ограниченное количество
распознаваемых приложений

5. 25000 сигнатур! Серьезно? Да хоть 1000000
=
В мире прож ивает
7,3 миллиарда человек
Около 3-х угроз на
каж дого ж ителя Зем ли
приходится еж едневно
На самом деле число атак бесконечно J Будем и дальше меряться конечным числом в бесконечном множестве?

6. Атаки эволюционируют
Механизмы доставки
Хакеры используют разные
каналы/вектора
реализации угроз – почта,
Web, флешки, Wi-Fi,
цепочка поставок…
Типы файлов
Хакеры используют
разные типы файлов -
.zip, .exe, .js, .docm, .wsf
Скорость эволюции
Хакеры быстро
эволюционируют и
генерят новые атаки, так
как старые становятся
менее эффективными
TTD
Безопасникам нужно
снижать TTD для того,
чтобы идти в ногу с
хакерами

7. Российские производители застыли в 90-х
На дворе был 2015 год!
Тестирование на
датасетах 99-го года?!
Smurf? Teardrop? Back
Orifice 2000? В 2015-м? И
нет 100% обнаружения?

8. • Заваливают нерелевантными событиями
• Не дают информации для продолжения расследования
• Требуют месяцев на тюнинг
• “Черный ящик” – сложно определить, работает ли он
• Результат:
• IDS минимально эффективны или не используются
• Много времени и ресурсов тратится на то, чтобы заставить IDS работать
• Организации все равно ломают
Проблемы с традиционными IDS
8

9. Как улучшить ситуацию с обнаружением атак?
9
Новые методы
обнаружения
(сигнатуры,
правила, ИИ)
Получение
сигналов тревоги
Приоритезация
сигналовРеагирование
Большинство
вендоров (особенно
отечественных)
фокусируется только
тут и увеличивает
число сигнатур атак

10. Посмотрите с высоты птичьего полета
10
Производитель СОВ
ЖертваЗлоумышленник
СОВ стоит обычно
здесь
А ждем
улучшений мы
обычно здесь

11. © 2 0 1 7 C is c o a n d /o r its a ffilia te s . A ll rig h ts re s e rv e d . C is c o P u b lic
11
Вы действительно считаете, что
обнаружение атак и система
обнаружения атак – это одно и
тоже?

12. • Уязвимости: слабости системы, которые позволяют хакерам
эксплуатировать их
• Пример: Microsoft Tuesday – каждый второй вторник каждого месяца
Microsoft анонсирует уязвимости и выпускат патчи для них
• Эксплойт: специфическая атака на уязвимость
• На каждую уязвимость существует множество потенциальных
эксплойтов
• Например, WannaCry использовал одну уязвимость, но имел 400+
модификаций
• Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а
не условия эксплуатации уязвимостей
Уязвимости vs. Эксплойты
12

13. Что надо анализировать?
Угроза может
скрываться не только
в сетевом трафике
или логах
• Сетевой трафик
• Трафик приложений (HTTP и т.п.)
• DNS-трафик
• URL
• Netflow
• E-mail
• Логи прокси и SaaS
• Файлы
• Метаданные
• Поведение процессов и пользователей

14. Разные алгоритмы обнаружения вредоносной
активности
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств

15. E
Обучение с учителем Обучение без учителя Другие
75% 15% 10%
© 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic
Машинное обучение

16. Классификатор Предсказание
© 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic
Обучающая выборка
Алгоритм машинного обучения
Новые данные
Важно помнить про машинное обучение, что…
Откуда у вашего
вендора обучающая
выборка (на чем он
учит своих СОВ)?

17. Миллиарды
соединений
• Statistical Methods
• Information-Theoretical Methods
• 70+ Unsupervised Anomaly Detectors
• Dynamic Adaptive Ensemble Creation
• Multiple-Instance Learning
• Neural Networks
• Rule Mining
• Random Forests
• Boosting
• ML: Supervised Learning
• Probabilistic Threat Propagation
• Graph-Statistical Methods
• Random Graphs
• Graph Methods
• Supervised Classifier Training
Обнаружениеаномалий
имоделированиедоверия
Классификациясобытий
имоделированиесущностей
Моделирование
взаимосвязей
Многоуровневая система алгоритмовмашинногообучения
© 2 0 1 8 C is c o a n d / o r it s a f f ilia t e s . A ll r ig h t s r e s e r v e d . C is c o P u b lic
Нет единственно верного метода ML/DL

18. • Получение информации с ошибками
• Отсутствие или исчезновение информации на конкретные угрозы
• Отсутствие учета вертикальной или страновой специфики
• Смена политики лицензирования
• Смена собственника
• Поглощение компании-разработчика
• Сотрудничество со спецслужбами
• Санкции…
Риски получения данных об угрозах из одного
источника

19. От сигнатур к индикаторам компрометации
Эпизодическое применение фидов
Регулярное использование отдельных
ресурсов с фидами
Использование платформы TI
Использование API для автоматизации
Обмен фидами
• SNORT
• YARA
• SIGMA
• Государственные
(ФинЦЕРТ и
ГосСОПКА) и
частные
• Коммерческие и
бесплатные
• Закрытые и
OSINT

20. Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
A S A
IS R
IP S
A S A
П о ч т а
В е б IS E
A c tiv e
D ir e c to r y
Б е с п р о в о д н а я
с е т ь
К о м м у т а т о р
М а р ш р у т и з а т о р
К о н т е н т П о л и т и к а
И н т е г р и р о в а н н ы е с е р в и с ы IS R -G 2
C S M
A S A
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
C T D
ID S R A
М С Э
Б е с п р о в о д н а я
с е т ь
К о м м у т а т о р
М а р ш р у т и з а т о р
С е г м е н т а ц и яМ о н и т о р и н г
Разные места установки

21. Обнаружение вторжений с учетом контекста и
специфики приложения (NGIPS)
Коммуникации
Приложение/устройство
010111010010
10 010001101
010010 10 10
Пакеты данных
Приоритезация
реакции
Смешанныеугрозы
• Разведка
сети
• Фишинг
• «Невинные»
нагрузки
• Редкие
обращения
3
1
2
Accept
Block
Автомати-
зация
NPS
Анализ сетевоготрафика Корреляция
данных Обнаружениескрытных угроз Отклик наосновеприоритетов

22. Интеграция разных подсистем обнаружения
Рабочие
станции
Сеть
Ключ З а п и с ь B lo c kA le r tA llo w
W eb и Em ail
Усиленная защита Постоянный мониторинг активности файлов, обнаружение скрытых
угроз, ограничение и реагирование
Блокированиеизвестных
иразвивающихсяугроз
НепрерывнаяиретроспективнаябезопасностьIntelligence моментальнаязащита
.exe
С т а т и ч е с к и й и
д и н а м и ч е с к и й
а н а л и з
К о н т р о л ь
а т а к
Р е т р о с п е к т и в а
Т р а е к т о р и я
у с т р о й с т в а
Эластичный
поиск
РаспространенностьТраектрория файла
У я з в и м о с т и
E n d p o in t
IO C s
One-to-One
Signatures
FuzzyFingerprinting Machine
Learning
Advanced
Analytics
Глобальная
информация
об угрозах
Р е п у т а ц и я
Io C
П о л и т и к и н а
о с н о в е г р у п п и
п о л ь з о в а т е л е й
А н а л и з в
п е с о ч н и ц е
Развертывание
К о н с о л ь у п р а в л е н и я A M P C lo u d
А д м и н
б е з о п а с н о с т и
Управление
Перед Во время После
AdvancedThreats
Sandboxing
Web
Global Intelligence
Anom aly Detection
Shadow IT &
Data
NGIPS &
NGFW
Identity & Access
Control
Email
DNS, IP&BGP

23. • Анализ сертификата при установлении соединения SSL TLS и
расшифровка TLS
Контроль зашифрованного трафика
Поддержкаразличныхвариантов
расшифровки
Журналирование
Ядро
расшифровки SSL
Обеспечение
политики
Зашифрованный
трафик
AVC
http://www.%$&^*#$@#$.com
http://www.%$&^*#$@#$.com
Анализрасшифрованныхпакетов Контрольижурналирование
всехSSL-сеансов
NGIPS
g a m b lin g
e lic it
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
h ttp :/ / w w w .% $ * # $ @ # $ .c o m
û
ü
û
ü
ü
ü
û
ü
û
û

24. Обнаружение в шифрованном трафике
24
Acc. FDR
SPLT+BD+TLS+HTTP+DNS 99.993% 99.978%
TLS 94.836% 50.406%
DNS 99.496% 94.654%
HTTP 99.945% 98.996%
TLS+DNS 99.883% 96.551%
TLS+HTTP 99.955% 99.660%
HTTP+DNS 99.985% 99.956%
SPLT+BD+TLS 99.933% 70.351%
SPLT+BD+TLS+DNS 99.968% 98.043%
SPLT+BD+TLS+HTTP 99.983% 99.956%
TLS DNS
HTTP
SPLT+BD

25. Автоматизация
Понимание инфраструктуры
«Левые» узлы, аномалии,
нарушения политики идр.
Оценка ущерба
Снижение числа событий, с
которыми предстоит иметь дело
Автоматизация тюнинга
«Подкрутка» политик IPS, базируясь на
изменениях в сети
Идентификация пользователя
Ассоциация пользователей с событиями
безопасности для снижения времени
расследования
Индикаторы
компрометации
Идентификация
узлов, которые были
взломаны
25

26. За горизонтом событий ИБ: ретроспектива
Антивирус
Песочница
СОВ Начальное значение = Чисто
Точечноеобнаружение
Начальное значение = Чисто
Ретроспектива
Пропущеныатаки
Актуальное значение = Плохо = Поздно!!
Регулярныйвозвратк
ретроспективе
Видимостьиконтроль–
этоключ
Не100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение = Плохо =
Блокировано
Ретроспективное
обнаружение, анализ
продолжается

27. • Полная видимость и прозрачность сети
• Учет контекста (пользователи, устройства…)
• Полная автоматизация
• Оценка ущерба
• Независимость от производителя в части получения сигнатур атак
• Работа с индикаторами компрометации
• Обнаружение аномалий
Если IPS, то следующего поколения
27

28. • Интеграция с средствами предотвращения вторжений на оконечных
устройствах
• Интеграция с иными средствами защиты в сети
• Ретроспективная безопасность
• Встроенная корреляция событий
• Отсутствие снижение производительности при включении нескольких
защитных модулей
Если IPS, то следующего поколения
28

29. Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способыизучения угроз
Сетевые потоки | Поведение | Сигнатуры| Исследования

30. А можно предсказывать атаки?
Оптимизация
Информация
Взгляд в прошлое
Взгляд в будущее
В поле зренияОписательная
аналитика
Что
случилось?
Диагностическая
аналитика
Почему это
случилось?
Предсказательная
аналитика
Что
случится?
Предписывающ ая
аналитика
Что я должен
сделать?
Сложность
Ценность

31. В 2018+ СОВ – это не одно средство
Поархитектуре
• Сетевые
• Хостовые
• Гибридные
• Распределенные
Пофокусу
• На заказчика
(традиционные)
• На инфраструктуру
злоумышленника
(DNS / Darkweb)
Повремени
• До атаки
(инфраструктура
хакеров)
• Во время (classic)
• После (TH / IOC /
SIEM)
Поместуустановки
• У заказчика
• У оператора связи
• У провайдера
услуг
Потипуатак
• Традиционные IDS
• DDoS
• Netflow
• EDR

32. Как улучшить ситуацию с обнаружением атак?
32
Повысить качество
обнаружения
• Снижение ложных
срабатываний
• Сдвиг от обнаружения
эксплойтов
• Использование
разных поставщиков
методов обнаружения
• Новые методы
обнаружения
• Новые источники
данных
• Ретроспектива
• Один источник –
несколько
инструментов анализа
(IDS, SIEM, IOC)
Быстрее обнаруживать
• Собственная
лаборатория
• Обмен информацией
об угрозах
• Ловушки
• Анализ
инфраструктуры
злоумышленников
• Разные места
установки
• Улучшение методов
уведомления об
угрозах
Быстрее создавать
методы обнаружения
• Автоматизация
создания сигнатур на
стороне потребителя
• Автоматизация
создания сигнатур на
стороне вендора
Быстрее доставлять
методы обнаружения
• Распределенные
центры обновлений
(облака)
• Изменение частоты
обновления

33. Если обнаружение не помогло. Threat Hunting
33
Формулируем
гипотезу
Ищем в
инфраструктуре
Найдено?
Расширяем
поиски
Реагирование
Новые методы
обнаружения
(сигнатуры,
правила, ИИ)
Не найдено?
Начинаем с
начала

34. В качестве резюме
• Обнаружение атак ≠ система обнаружения атак
• Даже системы обнаружения атак сильно
изменились с конца 90-х годов и опираются не
только на сигнатуры
• Число сигнатур СОВ не является мерилом качества
ее работы
• Поймите ограничения своих методов
обнаружения
• Комбинируйте методы обнаружения, источники
данных, места установки
• Улучшайте обнаружение атак по разным
направлениям
• Занимаясь Detection, не забывайте про Hunting

35. Спасибо