Документ обсуждает внутренние угрозы безопасности и технологии их предотвращения, освещая примеры защиты и анализа данных для обнаружения этих угроз. Приводится множество статистических данных о ресурсах и трафике, а также рекомендации по управлению рисками, связанными с облачными приложениями и несанкционированными действиями сотрудников. Также рассматриваются этапы реакции на инциденты и выбор технологий для улучшения безопасности организаций.

1. 22 сентября 2016
Бизнес-консультант по безопасности
Внутренние угрозы. Обзор
технологий противодействия
Алексей Лукацкий

2. Один день из жизни CISO в Cisco
2
4TB
Данных для
сбора/анализа
NetFlow для
анализа в день
(Lancope)
15B
Инспектируется
трафика в день
47TB
Сигналов
тревоги в день
(NG-IPS)
1.5M
Сетевых
событий
1.2T
10K
Файлов для
анализа в день
(ThreatGRID)
4.8B
Записей DNS
в день
45M
Web-транзакций
блокируется
(WSA)
425
Защитных устройств
4.1M
Email-транзакций
блокируется в день
(ESA)

3. Не все ли вам равно, откуда
исходит угроза?
Может ли внутренняя угроза
исходить из внешнего источника?
Чем отличается внутренняя
угроза от внешней?
Что такое внутренняя угроза?
© 2015 Cisco and/or its affiliates. All rights reserved. 3

4. Атака через внутреннюю точку доступа –
это внутренняя угроза?

5. Подмена точки доступа и перехват
паролей
Видео-демонстрация

6. Что вы будете делать, если найдете
флешку у дверей офиса?
Любопытство возьмет верх или нет?

7. Многие подбирают 

8. Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…
Вы их контролируете?

9. Вы думаете это шутка?
Видео-демонстрация

10. Согласно оценкам Гартнер к 2018:
25% корпоративного трафика
будет миновать периметр ИБ

11. Облачные приложения становятся неотъемлемой
частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных
данных
Риски
несоответствия
правовым нормам
Риск
инсайдерских
действий
Вредоносное ПО
и вирусы

12. Понимание рисков, связанных с облачными
приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-отдел:
•Не видит, какие используются приложения
•Не может идентифицировать опасные приложения
•Не может настроить необходимые средства
управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72%72% ИТ-отделов используют 6 и более неутвержденных приложений2
26%26% корпоративной ИТ-инфраструктуры в 2015 году будет
управляться вне ИТ-отделов
35%35%
«Теневые» ИТ
Использование
несанкционированных
приложений
Источник: 1
CIO Insight; 2,3
Gartner

13. Понимание рисков использования данных в
облачных приложениях
Это проблема, так как ваш ИТ-отдел:
•Не может остановить утечку данных и устранить
риски несоблюдения нормативных требований
•Не в состоянии заблокировать входящий опасный
контент
•Не в силах остановить рискованные действия
пользователей
организаций сталкивались с утечкой конфиденциальных данных при совместном
использовании файлов1
90%90% приложений могут стать опасными при неправильном
использовании2
72%72% файлов на каждого пользователя открыто используется
в организациях3
185185
«Теневые» данные
Использование санкционированных
приложения для неправомерных целей
Источник: 1
Ponemon, 2013 Cost of Data Breach
Study;
2
CIO Insight; 3
Elastica

14. Надо учитывать весь жизненный цикл
угрозы
Защита в момент времени Непрерывная защита
Сеть ПК Мобильное устройство Виртуальная машина Облако
Жизненный цикл внутренней угрозы
Исследование
Внедрение политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановление
ДО
АТАКИ
ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ

15. Матрица экспресс-выбора технологий
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные

16. Сетевые и системные
ресурсы
Политика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативам

Что
Когда
Где
Как
Дверь в
сеть
Контекст
Давайте попробуем пойти чуть дальше

17. Шаг 1. Какие угрозы вам важны?
Разные угрозы требуют разных технологий!

18. Шаг 2. Какова ваша модель нарушителя?
Разные нарушители требуют разных технологий!

19. Нетипичные внутренние угрозы
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C
Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да

20. Шаг 3. На что обращать внимание?!

21. Шаг 4. Источники данных для анализа

22. Контроль физического местоположения с
помощью ИТ – это тоже важно

23. • Неудачные попытки входа в системы
• Доступ к нетипичным ресурсам
• Профиль сетевого трафика
• Утечки данных (по объему, типу сервиса и контенту)
• Нетипичные методы доступа
• Изменение привилегий
• Нетипичные команды
• Нетипичные поисковые запросы
Шаг 5. Выбрать индикаторы

24. • Модификация логов
• Нетипичное время доступа
• Нетипичное местонахождение
• Вредоносный код
• Модификация или уничтожение объектов ИТ-инфраструктуры
• Поведение конкурентов и СМИ
• Необычные командировки и персональные поездки
Примеры индикаторов

25. • Негативные сообщения в социальных сетях
• Наркотическая или алкогольная зависимость
• Потеря близких
• Проигрыш в казино
• Ухудшение оценок (review)
• Изменение финансовых привычек (покупка дорогих вещей)
• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)
Примеры индикаторов

26. Объединяя типы угрозы и индикаторы
Категория Индикатор 1 2 3 4 5 6 7 8 9
Системная
активность
Неудачные попытки
входа
1 1 1 1 1 1
Доступ к нетипичным
ресурсам
1 1 1 1 1 1
Утечка данных 1 2 2 1 2
Изменение привилегий 1 2 1 1 2 2
…

27. Шаг 6. 5 типов данных для анализа

28. Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
устройства
Доступ
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA,
(сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Откуда брать данные?

29. Объединяя типы данных и места их сбора

30. Объединяя типы данных и индикаторы

31. Инцидент
попадает к
CISO
КТО
это
сделал?
КАК
это
произошло?
ЧТО
пострадало
?
ОТКУДА
начался
инцидент?
КОГДА
это
произошло?
Шаг 7. Выбрать нужные технологии

32. Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32

33. Как Cisco ловит угрозы в своей сети?
Нейтрализовать и
реагировать
Метрики и
отчеты
Управление
конфигурацией
Инспекция
Регистрация
Идентификация
Телеметрия
IDS | IPS | NAM | NetFlow | Web Gateway| HIDS
Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN
Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1x
Address, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB
Execs
Auditors
Infosec
IT Orgs
HR-Legal
Line of Biz
Admins
End
Users
Partners
Business
Functions
Информирование Реагирование
РасследованиеОбнаружение
DBs
Внешние фиды об угрозах
Сканы Конфиги Логи Потоки События
4TB в день
Сист. управления
Incident Mgt System
Compliance Tracker
Incident Response Team
Playbook

34. Спасибо!