Документ рассматривает широкий спектр вопросов, связанных с киберугрозами, методами их обнаружения и подходами к защите информации. Основное внимание уделяется анализу разных типов угроз, использованию аналитических инструментов и платформ для угроз, а также важности threat intelligence. Также обсуждаются проблемы атрибуции кибератак и значение различных источников информации о угрозах.

1. Бизнес-консультант по безопасности
Обнаружение
необнаруживаемого
Алексей Лукацкий
24 ноября 2016 г.

2. Нарушитель
реализует
действия
против цели
приводящие к
последствиям
Что такое киберугроза?

3. 95%
5%
95%
Сложности ИБ
§ Управляемые/неуправ
ляемые десктопы
§ Спам/Вредоносы
§ DDoS
§ Удаленно
контролируемые
скомпрометированные
узлы
§ Постоянные
изменения в сети
Базовые решения
§ Антивирус
§ МСЭ
§ IDS/IPS
§ WSA/ESA
§ Сетевая сегментация
§ Сбор и анализ логов
§ Incident Response Team
Вы обнаруживаете 100% угроз?

4. Инцидент
попадает
к CISO
КТО
это
сделал?
КАК
это
произошло
?
ЧТО
пострадало
?
ОТКУДА
начался
инцидент?
КОГДА
это
произошло?
Оставшиеся 5% и составляют кошмар
CISO

5. • Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%
приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном
вредоносном ПО?

6. К чему это приводит?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных
вторжений
Ponemon
206
HP
416
Symantec
305

7. Как защититься от киберугроз?
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные
Identify
(идентификация)
Protect
(защита)
Detect
(обнаружение)
Respond
(реагирование)
Recover
(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные

8. • В 1955-м году два американских психолога Джозеф Лифт и
Харингтон Инхам разработали технику, которая позволяет
людям лучше понять взаимосвязь между своими личными
качествами и тем, как их воспринимают окружающие
• В соответствии с методикой, названной «Окном Джохари»,
у каждого человека имеются четыре зоны
• Открытая
• Слепая
• Спрятанная
• Неизвестная
Окно Джохари

9. 4 зоны окна Джохари
В скрытой зоне
находятся качества,
известные человеку,
но неизвестные
окружающим
В слепой зоне
находятся качества
человека, которые
известны окружающим,
но неизвестные
самому человеку
В неизвестной зоне
находятся качества,
неизвестные ни
самому человеку, ни
окружающим
?
В открытой зоне
находятся качества,
известные самому
человеку и которые
признают за ним
окружающие

10. Открытая Слепая
Скрытая Неизвестная
Окно Джохари применительно к ИБ
Известно аналитику ИБ Не известно аналитику ИБ
Известно
другим
Не
известно
другим
Другие – это исследователи, хакеры, спецслужбы…

11. Открытая зона

12. Плохие файлы
Плохие IP, URL
Спам/Фишинговые Email
Сигнатуры
Уязвимости
Индикаторы компрометации
Открытая зона
Известно аналитику
Известно другим

13. • NGFW, IPS, Web/Email Security, WAF,
песочницы…
Решения для
обнаружения угроз
• API, pxGrid и т.п.
Интерфейсы для обмена
информацией об угрозах
• Сканеры уязвимостей, SAST/DAST, Vulners,
БДУ и др.
Системы анализа
защищенности
• OpenIOC, STIX , TAXII, и т.д.
Индикаторы
компрометации
Как обнаруживать известное?

14. Откуда мы получаем данные об угрозах?

15. • Получение информации с ошибками
• Отсутствие или исчезновение информации на конкретные
угрозы
• Отсутствие учета вертикальной или страновой специфики
• Смена политики лицензирования
• Смена собственника
• Поглощение компании-разработчика
• Сотрудничество со спецслужбами
• Санкции…
Риски получения данных об угрозах из одного
источника

16. Вы доверяете своему вендору?
16 апреля 2015 года
http://www.zdnet.com/article/pal
o-alto-networks-mcafee-
websense-gateway-systems-
allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в
методологии

17. Может увеличить число источников?

18. Источники поступления информации об
угрозах
Информация
об угрозах
Вендор
СрЗИ
3rd party
СрЗИ
OSINT
фиды
Поставщики
фидов и
сигнатур

19. 3rd party поставщики сигнатур атак
Сигнатуры
Cisco Talos
Бесплатные
Платные
Под заказ
Emerging
Threats
ET Open
ET Pro
Idappcom Платные
Wurldtech
Платные
(для ICS)
• Все поставщики сигнатур
разрабатывают их под
Snort (стандарт де-факто)
• Bro и Surricata могут
использовать сигнатуры
Snort-style
• Российские
«разработчики» IDS
обычно используют
сигнатуры ET

20. А где брать сведения об уязвимостях
помимо сканеров безопасности?

21. Почему так важна Threat Intelligence
сегодня?!
• Threat Intelligence – знание (включая процесс его
получения) об угрозах и нарушителях, обеспечивающее
понимание методов, используемых злоумышленниками
для нанесения ущерба, и способов противодействия им
• Оперирует не только и не столько статической
информацией об отдельных уязвимостях и угрозах,
сколько более динамичной и имеющей практическое
значение информацией об источниках угроз, признаках
компрометации (объединяющих разрозненные сведения
в единое целое), вредоносных доменах и IP-адресах,
взаимосвязях и т.п.

22. Что у нас с атрибуцией нарушителя?

23. США атакованы «Россией»! Кто в
действительности стоит за атакой?

24. • Место регистрации IP-адресов и доменов, участвующих в
атаке, или предоставляющих инфраструктуру для
реализации атаки
• Трассировка атаки до ее источника
• ВременнЫе параметры
• Анализ программного кода, в котором могут быть найдены
комментарии, ссылки на сайты, домены, IP-адреса,
которые участвуют в атаке
• Изучение «почерка» программистов
Методы атрибуции обычно применяются в
совокупности

25. • Стилометрия (изучение стилистики языка в комментариях
и иных артефактах)
• Обманные системы (honeypot)
• Анализ активности на форумах и в соцсетях
• Анализ постфактум (продажа украденной информации…)
• Оперативная разработка
Методы атрибуции обычно применяются в
совокупности

26. • Хакеры действовали из часового пояса, в котором
находится Москва
• Хакеры действовали в то время, когда в Москве рабочие
часы
• Хакеры действовали с IP-адресов, зарегистрированных в
России
• Хакеры использовали сервисы, у которых был
русскоязычный интерфейс
Одиночные «доказательства» русского следа

27. Геополитические
Правовые
Технические
Почему точная атрибуция невозможна?
© 2015 Cisco and/or its affiliates. All rights reserved. 27
Экономические
Психологические

28. TTP
Инструменты
Сетевые / хостовые
артефакты
Доменные имена
IP-адреса
Хеши Тривиально
Элементарно
Просто
Раздражающе
Сложно
Тяжело
Вернемся к данным об угрозах (IoC)

29. Адреса IPv4 Домены / FQDN
Хэши (MD5,
SHA1)
URL
Транзакционные
(MTA, User-
Agent)
Имя файла /
путь
Mutex
Значение
реестра
Имена
пользователей
Адреса e-mail
Распространенные IoC

30. Разведка Оснащение Доставка Заражение Инсталляция
Получение
управления
Выполнение
действий
Файл – имя
Файл
URI – URL
HTTP - GET
HTTP – User
Agent
URI – имя
домена
Адрес – e-mail
Адрес – IPv4
Файл – путь
Файл
URI – URL
Поведение
Файл – имя
Файл – путь
Файл
URI – URL
HTTP – POST
Заголовок e-mail
– Тема
Заголовок e-mail
– X-Mailer
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – e-mail
Адрес – IPv4
Поведение
Ключ реестра
Win
Файл – имя
Файл
URI – URL
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – CIDR
Адрес – IPv4
Код – Бинарный
код
Процессы Win
Ключ реестра
Win
Файл – имя
Файл – путь
Файл
URI – URL
HTTP – GET
HTTP – User
Agent
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – e-mail
Адрес – IPv4
Поведение
Процессы Win
Ключ реестра
Win
Файл
URI – URL
HTTP – GET
HTTP – POST
HTTP – User
Agent
URI – имя
домена
Хеш – MD5
Адрес – e-mail
Адрес – IPv4
Поведение
Процессы Win
Сервисы Win
Файл – Путь
Файл – Имя
Файл
URI – URL
URI – имя
домена
Хеш – MD5
Хеш – SHA1
Адрес – IPv4
IoC в привязке к Kill Chain

31. • Фиды (feeds) – способ представления данных об угрозах
• Поддержка различных языков программирования
и форматов данных
• JSON
• XML
• CyBOX
• STiX
• CSV
• И другие
Фиды Threat Intelligence

32. Этапы зрелости использования фидов
Эпизодическое применение фидов
Регулярное использование отдельных
ресурсов с фидами
Использование платформы TI
Использование API для автоматизации
Обмен фидами

33. Источники фидов
http://atlas.arbor.net/
Инициатива Arbor ATLAS (Active Threat Level Analysis
System)
• Глобальная сеть анализа угроз (обманные системы)
• Информация берется от обманных систем (honeypot),
IDS, сканеров, данных C&C, данных о фишинге и т.д.
• Публичная информация о Топ10 угрозах
• Для доступа к некоторым данным требуется регистрация
http://www.spamhaus.org
Проект для борьбы со спамом
• Поддерживает различные базы данных (DNSBL) с
данными
по угрозам (IP-адреса) – спамеры, фишеры, прокси,
перехваченные узлы, домены из спама
• Реестр ROKSO с самыми известными спамерами в мире
• Проверка и исключение своих узлов из «черных
списков»

34. Источники фидов
https://www.spamhaustech.com
SpamTEQ – коммерческий сервис Spamhaus
• Фиды по репутациям IP- и DNS-адресов
• Ценовая политика зависит от типа организации и
типа запрашиваемых данных
• Годовой абонемент
https://www.virustotal.com
Проект для борьбы со спамом
• Проверка файлов и URL на вредоносность
• Бесплатный сервис
• Система поиска

35. Источники фидов
https://www.threatgrid.com
Фиды по сетевым
коммуникациям
• IRC, DNS, IP
• Россия и Китай
• Сетевые аномалии
• RAT и банковские троянцы
• И др.
https://www.alienvault.com/open-threat-exchange
Открытое community по обмену информацией об угрозах
• IP- и DNS-адреса
• Имена узлов
• E-mail
• URL и URI
• Хеши и пути файлов
• CVE-записи и правила CIDR
Форматы:
• JSON
• CyBOX
• STiX
• CSV
• Snort
• Raw

36. Источники фидов
https://www.cisco.com/security
IntelliShield Security Information Service
• Уязвимости
• Бюллетени Microsoft
• Сигнатуры атак Cisco
• Web- и обычные угрозы
• Уязвимые продукты (вендор-независимый)
http://www.malwaredomains.com
Проект DNS-BH (Black Holing)
• Обновляемый «черный» список доменов, участвующих в
распространении вредоносного кода
• Список доступен в формате AdBlock и ISA

37. Какие еще источники фидов есть?
IOC
• Abuse.ch
• Blocklist.de
• CleanMX
• EmergingThreats
• ForensicArtifacts
• MalwareIOC
• Nothink
• Shadowserver
DNS
• ISC DNSDB
• BFK edv-
consulting
Вредоносное ПО
• VirusShare.com

38. А еще?
• CrowdStrike
• FarSight Security
• Flashpoint Partners
• IOCmap
• iSightPartners
• Microsoft CTIP
• Mirror-ma.com
• ReversingLabs
• SenderBase.org
• Threat Recon
• Team Cymru
• Webroot
• ZeusTracker
• И другие

39. А в России?

40. На что обратить внимание при выборе
фидов?
• Тип источника
• Уровни представления информации
• Широта охвата
• Число записей
• Языковая поддержка/покрытие
• Доверие к источнику (популярность и
отзывы)
• Оперативность/частота предоставления
фидов
• Платность
• Формализованность представления
информации
• Возможность автоматизации
• Соответствие вашей инфраструктуре
• Частота ложных срабатываний
• Возможность отката назад или
пересмотра статуса угрозы (например,
для вылеченного сайта)

41. От фидов к платформе
• Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа
• Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir,
Paterva/Maltego CaseFile, SharePoint, ThreatConnect
• В простых случаях можно обойтись решениями open source

42. Платформы Threat Intelligence
https://www.threatconnect.com
6 уровней:
• Индивидуальный
• Базовый
• Команда
• Предприятие
• MSSP
• ISAC/ISAO
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Тактический / стратегический
https://crits.github.io
Платформа open source от MITRE
• Использует другие open source решения, объединяя их вместе
• Анализ и обмен данных об угрозах
• Изолированная или разделяемая архитектура

43. Что такое CRiTs?
• Python/Django front end UI
• Apache или Django runserver
• MongoDB backend
• Fault Tolerant
• High Performance
• NO SQL
• Mongo FS для файлов
• Document based
• Files and metadata

44. Применение CRiTs в Cisco

45. Обнаруживать
Применение CRiTS в Cisco
Предотвращать
DNS RPZ
host IDSBGP NetFlow
Syslog
В процессе
pDNS
Делиться
Govt
Сейчас
Планы
CSIRTESA
HIPS LUPA
WSA
Партнеры
CRITS
MD5
IPV4
Regkey
AV SBG
TIP
Клиенты

46. Платформы Threat Intelligence
https://www.threatgrid.com
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированые данные
• Приватная маркировка
• Облако или on-premise
• Индикаторы компрометации
• Интеграция с различными SIEM
https://www.iocbucket.com
Возможности:
• Редактор IOC (индикаторов компрометации)
• Поддержка YARA и OpenIOC
• Обмен IOC
• Бесплатная
• Готовится сервис фидов (коммерческих и
бесплатных)
• Готовится поддержка TAXII

47. Платформы Threat Intelligence
https://www.threatstream.com
Возможности:
• Премиум и open source фиды
• Наличие API
• Неструктурированные данные
• Приватная маркировка
• Интеграция с различными поставщиками фидов
• Гибкость
• Работа на мобильных платформах (Apple Watch)
• Интеграция с различными SIEM
http://csirtgadgets.org/collective-intelligence-framework/
Возможности:
• Open source платформа
• Собирает данные из различных источников,
поддерживающих стандарт CIF
• Позволяет идентифицировать инциденты
• Может формировать правила для IDS
• Есть фиды и API

48. Популярный Maltego
• Maltego – open source решение для
анализа данных, полученных из
разных источников, и связей между
ними
• Canari Framework –
инфраструктура, позволяющая
более эффективно использовать
Maltego
• Malformity – Maltego-проект,
базирующийся на Canari, для
проведения исследования
вредоносного кода и др.

49. Facebook тоже вышел на рынок Threat
Intelligence
11 февраля 2015 года!
http://threatexchange.fb.com/

50. Платформы и источники для TI
Коммерческая или бесплатная?
Коммерческая
• Масштаб
• Удобство
• Оперативность
• Гарантия
• Поддержка
• Функциональность
Бесплатная
• Цена
• Энтузиазм

51. • Большое количество угроз и непредсказуемость времени их получения требует
автоматизации процесса Threat Intelligence и его интеграции с существующими
решениями класса SIEM или SOC
• Автоматизация может быть достигнута за счет API / SDK, который сможет
• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая
платформы TI
• Поддержка различных языков программирования
• Go и Ruby
• Java и .NET
• Perl и PHP
• Powershell и Python
• RESTful
• WSDL и SOAP
Threat Intelligence API

52. API для автоматизации процесса
VirusTotal
https://www.virustotal.com/en/documentation/public-api/
• Загрузка и сканирование файлов
• Загрузка и сканирование URL
• Получение отчетов
ThreatGRID
Широкие возможности по загрузке и получении ответа
• Артефакты (хэш, путь)
• URL
• Ключ реестра
• Домен / имя узла
• IP
• IOC
• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)

53. API для автоматизации процесса
OpenDNS
Анализ DNS/IP-адресов на предмет их вредоносности

54. • Угроза должна
быть описана
• Угрозы должны
быть объединены
в признаки
компрометации
• Информация об
угроза должна
быть передана
Взаимосвязь стандартов Threat Intelligence

55. • Описание различных проблем с ИБ
• CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак
• CCE (http://cce.mitre.org/) - описание конфигураций
• CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными
средствами защиты (аналог SDEE/RDEP)
• CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры
• CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей
• CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей
• CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО
• MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME
• MARF (http://datatracker.ietf.org/wg/marf/documents/)
• OVAL (http://oval.mitre.org/) - язык описания уязвимостей
• CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки
защищенности
Стандарты Threat Intelligence

56. • Признаки компрометации (Indicators of Compromise) и информация о
нарушителях и хакерских кампаниях
• OpenIOC (http://openioc.org) - преимущественно хостовые признаки
• CybOX (http://cybox.mitre.org)
• OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox)
• STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей
• IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется
• RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга
• IODEF-SCI – расширение IODEF для добавления дополнительных данных
• VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon
• x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях
Стандарты Threat Intelligence

57. • Обмен информацией
• TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX
• VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA
• SecDEF – европейский стандарт ENISA
• CAIF (http://www.caif.info) - европейский стандарт
• DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт
• IODEF
• RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики
• MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX,
IODEF, STIX и TAXII в единое целое
• RFC 5941 – обмен информацией о мошенничестве (фроде)
• MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного
кода
Стандарты Threat Intelligence

58. • Разное
• TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг
распространения информации
• CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и
нейтрализовать угрозы путем генерации правил для Snort, iptables и др.
Стандарты Threat Intelligence

59. 3rd party тоже не панацея. Оцените риски!

60. У меня есть фиды (IoC) и что дальше?
Фиды
«Yara»
SIEM
СрЗИ
Руки
J

61. Средства для поиска угроз на базе IoC
• Yara
• PowerShell
• AutoRuns – Utility
• Loki
• Wireshark – tshark

62. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
Слепая зона

63. Нехватка логов
Разрыв в процессах
Нехватка
интеграции/масштабирования
Нехватка корреляции
Ложные срабатывания
Слепая зона
Неизвестно аналитику
Известно другим

64. Нехватка данных для анализа
• Syslog, CDR…Логи
• Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги
• E-mail, файлы, Web-страницы, видео/аудио…Контент
• Netflow, IPFIX…Потоки
• Имена пользователей, сертификаты…
Идентификационные
данные

65. Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Откуда брать данные?

66. Объединяя типы данных и места их сбора
Место съема
данных
Источник данных
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Интернет-
периметр
Сервер DHCP ✔
Сервер DNS ✔
DLP ✔ ✔ ✔
WAF ✔ ✔
NAC ✔ ✔
Маршрутизатор ✔ ✔
…

67. Объединяя типы данных и индикаторы
Категория
индикатора
Индикатор
Сигналы
тревоги
Контент
Потоки
Логи
Идентиф
икация
Системная
активность
Неудачные попытки входа ✔ ✔
Доступ к нетипичным ресурсам ✔ ✔
Утечка данных ✔ ✔ ✔ ✔ ✔
Изменение привилегий ✔ ✔ ✔ ✔
Нетипичные команды ✔ ✔ ✔
Нетипичные поисковые запросы ✔ ✔ ✔ ✔
…

68. • Elastic Search
• Log Stash
• Kibana
• Splunk
• Security Onion
• Flowplotter
• Wireshark - tshark
• Network Miner
• Snort
• Suricata
• BRO
• Flowbat
Средства сбора и анализа сетевой
телеметрии

69. Для слепой зоны нужны корреляция
Корреляция
Пользователи
Приложения Сеть
Физический
мир

70. Threat Intelligent
Platforms
• Агрегация
телеметрии из
множества
источников
Аналитика ИБ
• OpenSOC
(Metron),
Splunk, SIEM,
ELK
Облачные
решения
• CTA,
OpenDNS
• Sec-aaS
Что помогает обнаруживать угрозы в слепой
зоне?

71. Скрытая зона

72. Контекст
Корреляция событий
Исторический контекст
Базовый профиль (эталон)
Анализ данных
Скрытая зона
Известно аналитику
Не
известно
другим

73. • У вас могут быть свои подозрительные
файлы
• Вы можете не хотеть «делиться» вашими
анализами с другими
• Вас может не устраивать оперативность
фидов
• Ваш источник фидов может плохо
охватывать Россию
• У вас собственная служба расследования
инцидентов и аналитики вредоносного кода
• Вы пишете вредоносный код J
А разве фидов недостаточно?
Данные об угрозах в RSA Security Analytics
Данные об угрозах в EnCase Endpoint Security

74. Возможность анализа собственных угроз
https://www.threatgrid.com
Загрузка собственных угроз
• С помощью API в облако
• С помощью API на локальное
устройство on-premise
• Вручную через портал
https://malwr.com
Сервис анализа вредоносного кода
• Базируется на VirusTotal и Cuckoo Sandbox
• Бесплатный

75. • Активы/Сеть
• Сетевая топология
• Профиль актива
• Адрес/местоположение
• Аппаратная платформа
• Операционная система
• Открытые порты/Сервисы/Протоколы
• Клиентское и серверное ПО и его версия
• Статус защищенности
• Уязвимости
• Пользователь
• Местоположение
• Профиль доступа
• Поведение
Что мы знаем и не знают другие?
• Файл/Данные/Процесс
• Движение
• Исполнение
• Метаданные
• Источник
• «Родитель»
• Репутация
• Безопасность
• Точечные события
• Телеметрия
• Ретроспектива

76. èМСЭ / NGFW / NAC
èIDS / IPS
èNBAD
èAV / BDS
SIEM / LM
X
X
X
X
Откуда эти данные взять?
X
èФильтрация контента
èА еще ОС, СУБД…

77. На что обращать внимание?!
Активность
• Системная
(изменение
поведения ИТ-
систем или
шаблонов
доступа)
• Объектовая
(шаблоны
местонахождения
и времени)
• Бизнес
Контекст
• Социальный
(социальные
коммуникации)
• Здоровье /
психология
(изменения в
психологии и
здоровье)
• HR (непростые
жизненные
события)
Телеметрия
• Финансовая
(непредвиденные
или неожиданные
траты)
• Безопасность
(нарушения
политик ИБ)
• Криминальная

78. Источники данных для анализа
Внутренние
• Телеметрия (Netflow, DNS,
PCAP, syslog, телефония,
GSM и т.п.)
• Критичные ресурсы
• СКУД (местоположение,
GSM, CCTV, бейджи и т.п.)
• Данные о персонале (HR,
проверки СЭБ и т.п.)
Внешние
• Данные от
правоохранительных
органов
• Банковские выписки
• Выписки ДМС,
медосмотры

79. • Неудачные попытки входа в системы
• Доступ к нетипичным ресурсам
• Профиль сетевого трафика
• Утечки данных (по объему, типу сервиса и контенту)
• Нетипичные методы доступа
• Изменение привилегий
• Нетипичные команды
• Нетипичные поисковые запросы
Выбрать индикаторы

80. • Модификация логов
• Нетипичное время доступа
• Нетипичное местонахождение
• Вредоносный код
• Модификация или уничтожение объектов ИТ-инфраструктуры
• Поведение конкурентов и СМИ
• Необычные командировки и персональные поездки
Примеры индикаторов

81. • Негативные сообщения в социальных сетях
• Наркотическая или алкогольная зависимость
• Потеря близких
• Проигрыш в казино
• Ухудшение оценок (review)
• Изменение финансовых привычек (покупка дорогих вещей)
• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)
Примеры индикаторов

82. Обычно мы оперируем только
низкоуровневыми данными
Данные Информация Знания

83. Время Внутр.адрес Внеш.адрес
2:03 10.0.0.1 64.25.1.2
8:03 10.0.0.2 33.79.3.14
8:30 10.0.0.2 121.9.12.5
8:32 10.0.0.1 64.25.1.2

84. Время Внутр.адрес Пользователь Внеш.адрес
2:03 10.0.0.1 Гость 64.25.1.2
8:03 10.0.0.2 Иван Петров 33.79.3.14
8:30 10.0.0.2 Иван Петров 121.9.12.5
8:32 10.0.0.1 Гоьст 64.25.1.2

85. Время Внутр.адрес Пользователь Внеш.адрес Репутация
2:03 10.0.0.1 Гость 64.25.1.2 Unknown
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted
8:32 10.0.0.1 Гость 64.25.1.2 Bad
?

86. Время Внутр.адрес Пользователь Внеш.адрес Время Приложение
2:03 10.0.0.1 Гость 64.25.1.2 Unknown Web
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted Web
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted Email
8:32 10.0.0.1 Гость 64.25.1.2 Bad Unknown
?

87. От данных к анализу информации
Данные Информация Знания
Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение

88. От анализа информации к знаниям
Пользователь ‘Гость’
вероятно был
инфицирован в 2:03,
посещая 64.25.1.2,
затем контактируя с
сервером C&C в 8:32
Данные Информация Знания
Время,
Внутренний адрес,
Внешний адрес,
Пользователь,
Репутация,
Приложение

89. Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция
угроз
Гостевой доступ
Ролевой доступ
Идентификация,
профилирование и
оценка состояния
Кто
Соответствие
нормативамP
Что
Когда
Где
Как
Дверь в
сеть
Контекст
Обмен
данными
Контекст очень помогает в слепой зоне

90. Доступ
Доверие
Меньше доверия
Меньше доступа
Больше доверия
Меньше доступа
Меньше доверия
Больше доступа
Больше доверия
Больше доступа
Устройства
«Интернета вещей»
(BMS, принтеры,
СКУД и т.п.)
Другое
Управляемые Cisco
устройства
Устройства других
компаний
• Ограниченные возможности
по управлению
• Политика ограниченного доступа
• Регистрация устройств
• Пользовательские устройства
• Устройства, зарегистрированные
Cisco Device Management Suite
• Управляемые, но не входящие в
Cisco Device Management Suite
устройства
• Бизнес или технические
ограничения
Опыт использования контекста в Cisco

91. Кто?
Известные пользователи
(Сотрудники, продавцы, HR)
Неизвестные пользователи
(Гости)
Что?
Идентификатор устройства
Классификация устройств
(профиль)
Состояние устройства (posture)
Как?
Проводное подключение
Беспроводное
подключение
VPN-подключение
Где / куда / откуда?
Географическое
местоположение
Департамент / отдел
SSID / Порт коммутатора
Когда?
Дата
Время
Другие?
Пользовательские
атрибуты
Статус устройства /
пользователя
Используемые
приложения
Опыт использования контекста в Cisco

92. Что помогает обнаруживать угрозы в
скрытой зоне?
Визуализация
• Траектория
файлов
• Вектора атак
• Имитация пути
злоумышленника
Аналитика ИБ
• Пользовательские
запросы в
OpenSOC (Metron),
Splunk, SIEM, ELK
Контекст
• Identity Firewall
• NAC
• ISE

93. Визуализация угрозы

94. • Threatcrowd.org позволяет
организовать поиск
взаимосвязей между IOCs:
• IP-адреса
• Доменные имена
• Хеши файлов
• Имена файлов
• Аналогичную задачу можно
реализовать с помощью
OpenDNS, Maltego, а также
OpenGraphitti
Визуализация скрытых связей

95. Визуализация скрытых связей
OpenGraphitti

96. Неизвестная зона

97. Неизвестная зона
Есть известные известные — вещи,
о которых мы знаем, что знаем их.
Есть также известные неизвестные
— вещи, о которых мы знаем, что не
знаем. Но еще есть неизвестные
неизвестные — это вещи, о которых
мы не знаем, что не знаем их
Бывший министр обороны США
Дональд Рамсфельд

98. Выпадающие события / «Черный
лебедь»
Аномальное поведение
0-Days
Еще нет сигнатур/решающих правил
Неизвестная зона
Не известно аналитику
Не
известно
другим

99. Обнаружение угроз в неизвестной зоне
Неизвестное
неизвестное
Анализ
поведения
Машинное
обучение
Статистический
анализ

100. Обнаружение аномалий и классификация
событий
Обнаружение
аномалий
• Скажи мне если
произойдет что-
то необычное
Классификация
• Скажи мне
когда ты
увидишь нечто,
похожее на это

101. Анализ NetFlow – путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информации
для каждого сетевого соединения
Каждое сетевое соединения
в течение длительного интервала времени
IP-адрес источника и назначения, IP-порты,
время, дата передачи и другое
Сохранено для будущего анализа
Важный инструмент
для идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n
семплов

102. THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
Вспомним распечатку мобильного оператора

103. Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Вспомним распечатку мобильного оператора

104. Кто КудаЧто
Когда
Как
Откуда
Больше контекста
Высокомасштабиуремый сбор
Высокое сжатие => долговременное
хранилище
NetFlow с точки зрения контекста

105. NetFlow может обнаруживать не столько
известные угрозы, сколько аномалии
Стадия атаки Обнаружение
Использование уязвимостей
Злоумышленник сканирует IP-адреса и порты для поиска
уязвимостей (ОС, пользователи, приложения)
1
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе
Установка вредоносного ПО на первый узел
Хакер устанавливает ПО для получения доступа2
§ NetFlow может обнаружить входящий управляющий
трафик с неожиданного месторасположения
Соединение с “Command and Control”
Вредоносное ПО создает соединение с C&C серверами
для получения инструкций
3
§ NetFlow может обнаружить исходящий трафик к
известным адресам серверов C&C
Распространение вредоносного ПО на другие узлы
Атака других систем в сети через использование
уязвимостей
4
§ NetFlow может обнаружить сканирование диапазонов IP
§ NetFlow может обнаружить сканирование портов на
каждом IP-адресе внутреннего узла
Утечка данных
Отправка данных на внешние сервера5
§ NetFlow может обнаружить расширенные потоки (HTTP, FTP,
GETMAIL, MAPIGET и другие) и передачу данных на внешние
узлы

106. Не только NetFlow
• Поймите, что для вас норма и отслеживайте отклонения от нее с
учетом дельты
Визуализация аномалии в виде превышения числа HTTP ошибок

107. Попробуйте определить аномалию в DNS-
трафике

108. Машинное обучение (искусственный интеллект)
Известные
варианты
угроз
Автоматическая
классификация
Неизвестные
угрозы
Полностью
автоматическое
обучение
Автоматическая
интерпретация
результатов
Глобальная
корреляция по
всем источникам
IoC по одному
или нескольким
источникам
Один источник
(DNS, e-mail, web,
файл и т.п.)
1-е поколение
2-е поколение
3-е поколение • Машинное обучение –
не панацея
• Интернет движется к
тотальному шифрованию
• Злоумышленники
остаются незамеченными –
стеганография
• За искусственным
интеллектом в ИБ – будущее

109. 95%
Security Challenges
§ Managed/Unmanaged
Desktops
§ Spam/Malware
§ DDoS
§ Compromised Hosts
Remotely Controlled
§ Rapidly Changing
Environment
Продвинутые угрозы
§ Targeted Spear Phishing
Trojans
§ Watering Hole Attacks
§ Social Networking Attacks
§ Nation State Attacks
5%
Foundational Solutions
§ Anti-virus
§ Firewalls
§ IDS/IPS
§ IronPort WSA/ESA
§ Network Segmentation
§ Log Capture/Analysis
§ Incident Response Team
§ Expanded Data Collection
§ Netflow, IP-Attribution, DNS…
§ Big Data Analysis & Playbooks
§ Rapid Containment
§ DNS/RPZ, Quarantine, On-line
Host Forensics
§ Threat/Situational Awareness
Новые решения
Не забывайте про оставшиеся 5%

110. Как Cisco ловит эти 5% в своей сети?
Нейтрализовать и
реагировать
Метрики и
отчеты
Управление
конфигурацией
Инспекция
Регистрация
Идентификация
Телеметрия
IDS | IPS | NAM | NetFlow | Web Gateway| HIDS
Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN
Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1x
Address, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB
Execs
Auditors
Infosec
IT Orgs
HR-Legal
Line of Biz
Admins
End
Users
Partners
Business
Functions
Информирование Реагирование
РасследованиеОбнаружение
DBs
Внешние фиды об угрозах
Сканы Конфиги Логи Потоки События
4TB в день
Сист. управления
Incident Mgt System
Compliance Tracker
Incident Response Team
Playbook

111. Опыт Cisco: комбинируйте методы
обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

112. Открытая
• NGFW / NGIPS
• Защита от вредоносного
ПО
• Спам-фильтры
• Безопасность Web
Слепая
• Платформы Threat Intelligence
• Аналитика Big data
• Корреляция
• Облачные решения
Скрытая
• Визуализация
• Пользовательские
запросы
• Контекст
Неизвестная
• Машинное обучение
• Статистический анализ
• Анализ сетевого поведения
Подводим итоги
Известно аналитику Не известно аналитику
Известно
другим
Не
известно
другим

113. Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте используемые
вами технологии ИБ, используемые
данные и способы их получения, не
забывая про моделирование угроз
Определите ваши краткосрочные,
среднесрочные и долгосрочные планы
и возможные угрозы для них, а затем
определите данные, которые вам
нужны для их обнаружения
Выберите необходимые источники
данных, обучите персонал и, по
необходимости, внедрите новые
решения по кибербезопасности и
анализу информации для ИБ
Что сделать после семинара?

114. Спасибо
alukatsk@cisco.com