More Related Content Similar to Cisco AMP: платформа для борьбы с вредоносным кодом
Similar to Cisco AMP: платформа для борьбы с вредоносным кодом (20) More from Cisco Russia (20) Cisco AMP: платформа для борьбы с вредоносным кодом1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Cisco AMP: платформа для
борьбы с вредоносным кодом
Алексей Лукацкий
Бизнес-консультант по информационной безопасности
security-request@cisco.com
2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Реальность: организации все чаще атакуют
Source: 2014 Cisco Annual Security Report
95% крупных компаний столкнулись с
вредоносным трафиком 100% организаций столкнулись с Web-
сайтами, на которых было ВПО
20001990 1995 2005 2010 2015 2020
Вирусы
1990–2000
Черви
2000–2005
Руткиты и шпионы
2005–сегодня
APT / кибероружие
Сегодня +
Хакерство
становится
индустрией
Продвинутые атаки,
сложная структура
Фишинг,
низкая
квалификация
• Киберпреступность прибыльна, а барьер входа очень низок
• Хакеры умнеют и обладают ресурсами для атаки даже на крупные компании
• Вредоносное ПО усложняется
• Организации сталкиваются с десятками тысяч новых семплов ВПО в час
3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Почему традиционный периметр не защищает?
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до
утечки
От атаки до
компрометации
От утечки до
обнаружения
От обнаружения до
локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
А это подтверждение статистики
16 апреля 2015 года
http://www.zdnet.com/article/palo-alto-
networks-mcafee-websense-gateway-
systems-allow-malicious-traffic-to-slip-
through-the-net/
Дело СОВСЕМ не в названиях
компаний, проблема в методологии
5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Современный ландшафт угроз требует большего, чем
просто контроль приложений
54%
компрометаций
остаются незамеченными
месяцами
60%
данных
похищается за
несколько
часов
Они стремительно атакуют и остаются
неуловимыми
Целое сообщество злоумышленников
остается нераскрытым, будучи у всех на виду
100%
организаций подключаются
к доменам, содержащим
вредоносные файлы или службы
6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
AMP + FirePOWER
AMP > управляемая защита от угроз
Cisco: в центре внимания — анализ угроз!
Приобретение компании Cognitive
Security
• Передовая служба исследований
• Улучшенные технологии поведенческого
анализа в режиме реального времени
2013 2015...2014
Приобретение компании Sourcefire
Security
• Ведущие в отрасли СОПВ нового поколения
• Мониторинг сетевой активности
• Advanced Malware Protection
• Разработки отдела по исследованию уязвимостей
(VRT)
• Инновации в ПО с открытым исходным кодом
(технология OpenAppID)
Malware Analysis & Threat Intelligence
Приобретение компании
ThreatGRID
• Коллективный анализ вредоносного
кода
• Анализ угроз
Коллективные исследования Cisco –
подразделение Talos по исследованию и
анализу угроз
• Подразделение Sourcefire по исследованию уязвимостей — VRT
• Подразделене Cisco по исследованию и информированию об
угрозах — TRAC
• Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMP
Коллективный анализ вредоносного
кода > Система коллективной
информационной безопасности
7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Комплексная защита от угроз в течение всего
жизненного цикла атаки
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство Виртуальная машина Облако
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
ДО АТАКИ ВО ВРЕМЯ
АТАКИ
ПОСЛЕ
АТАКИ
8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
• Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%
приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном вредоносном ПО?
9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
9© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Cisco Advanced Malware
Protection (AMP): обзор
10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
CiscoAMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасностьТочечное обнаружение
Непрерывная и постоянна защита
Репутация файла и анализ его
поведения
11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
CiscoAMP: три основных преимущества
3
Защищает на всех
этапах жизненного
цикла атаки
Перед Во время После
2
Защита на
нескольких
рубежах
Контент Сеть Хосты
Cisco Talos
Точечное обнаружение Ретроспективная безопасность
1
Различные
механизмы
обнаружения
12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Установка не только на персоналках
Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический
центр Talos
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица ASA,
(сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Полная защита среды с помощью CiscoAMP
AMP Защита
Метод
Идеально для
Контент
Лицензия для ESA и WSA, а также
для CES и CWS
Пользователей решений Cisco
для защиты электронной почты и
обеспечения безопасности веб-
трафика
Сеть
Отдельное устройство
-или -
Включите AMP на устройствах
FirePOWER или ISR G2/4k
Пользователей NGIPS/NGFW и
ISR
Хост
Установка на стационарные и
мобильные устройства, включая
виртуальные
Windows, Mac, Android, VM
Cisco
Advanced
Malware
Protection
Вектор угроз Email и Web Сеть Оконечные устройства
14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Понимание разных платформ
• Обнаружение и блокирование malware,
проходящего через email- или веб-
трафик
• Подробные отчеты, отслеживание URL и
сообщений, ранжирование инцидентов по
степени опасности
• Просто добавьте лицензию на устройства
AMP
для ESA/WSA
• Идентификация точки входа, пути
распространения, используемых
протоколов, пользователей и хостов
• Полная картина вредоносной активности в
сети
• Контроль в сети устройств BYOD
AMP
для сетей
• Найти инфекцию, передвижения,
анализировать поведение
• Быстрое реагирование и предотвращение
повторной инфекции
• Найти индикаторы компрометации на
уровне сети и узлов
AMP
для оконечных
устройств
15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Защита сетей
• Сетевая платформа использует индикаторы компрометации, анализ
файлов и, в этом примере, траекторию файла для того, чтобы показать,
как вредоносный файл перемещается по сети и кого он успевает
заразить
Сеть
Хост
ESA/WSA
16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Защита оконечных устройств
• Платформа для оконечных устройств показывает траекторию,
обеспечивает гибкий поиск и контроль атак. В этом примере
вредоносный код отправлен в карантин
Сеть
Endpoint
Контент
17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
Защита Web и Email
• AMP для ESA/WSA защищает от Web и Email угроз в том числе и с
помощью ретроспективных предупреждений, когда malware обнаружено
Network
Endpoint
Content
• Платформа для средств контентной фильтрации (ESA/ESAv/WSA/WSAv/
CWS/CES) обеспечивает гибкий поиск и контроль атак в почтовом и Web-
трафике. В этом примере вредоносный код обнаружен в почтовом
сообщении
18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Коллективный разум принимает решение
10I000 0II0 00 0III000 II1010011 101 1100001 110
110000III000III0 I00I II0I III0011 0110011 101000 0110 00
I00I III0I III00II 0II00II I0I000 0110 00
> 180 000 образцов файлов в день
FireAMP™ Community, 3+ млн
Advanced Microsoft
и Industry Disclosures
Snort и ClamAV Open Source Communities
Honeypots
Программа Sourcefire AEGIS™
Публичные и частные Threat Feeds
Динамический анализ
1010000II0000III000III0I00IIIIII0000III0
1100001110001III0I00III0IIII00II0II00II101000011000
100III0IIII00II0II00III0I0000II000 Sourcefire
VRT®
(Vulnerability
Research Team)
Обновления каждые 3-5
мин
1.6 млн сенсоров
100 Тбайт
данных в день
> 150 миллионов
конечных точек
> 600
инженеров, техников и
исследователей
35%
мирового почтового
трафика
13 млрд
web запросов
24x7x365
операций
> 40
языков
Cisco®
SIO
Email Endpoints Web Networks IPS Devices
WWW
Коллективная
информация
безопасности Cisco
19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
19© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Cisco Advanced Malware
Protection (AMP): детали
20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
CiscoAMP защищает с помощью репутационной
фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Динамический
анализ
Обучение
компьютеров
Нечеткие
идентифицирующ
ие метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
вторжения
Сопоставление
потоков устройств
Фильтрация по репутации Поведенческое обнаружение
Collective Security
Intelligence Cloud
Сигнатура неизвестного файла
анализируется и отправляется
в облако
1
Сигнатура файла признана
невредоносной и принята2
Сигнатура неизвестного файла
анализируется и отправляется
в облако
3
Известно, что сигнатура файла
является вредоносной; ей
запрещается доступ в систему
4
Фильтрация по репутации основывается
на трех функциях
22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Техника: точные сигнатуры
Сигнатуры («точные»):
Очень простой подход, который
наверняка реализован в любом
решении любого поставщика
Точное соответствие файлу
Очень легко обходится простыми
модификациями с файлом L
• Так действуют традиционные
антивирусы
• Отпечаток файла снимается с помощью
SHA256 и отправляется в облако для
сравнения с базой сигнатур
• Сам файл не отправляется в облако
• Быстро и аккуратно обнаруживается
угроза
• Снижение нагрузки на другие
механизмы обнаружения
23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Возможность создания собственных сигнатур
• Создание собственных сигнатур, например, для контроля перемещения файлов с
конфиденциальной информацией или полученных из внешних источников семплов
вредоносного кода или даже приложений (для NGFW/NGIPS)
24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Динамический
анализ
Обучение
компьютеров
Нечеткие
идентифицирующ
ие метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
вторжения
Сопоставление
потоков устройств
Фильтрация по репутации основывается
на трех функциях
Collective Security
Intelligence Cloud
Сигнатура файла анализируется
и определяется как вредоносная1
Доступ вредоносному файлу запрещен2
Полиморфная модификация того же
файла пытается получить доступ
в систему
3
Сигнатуры двух файлов сравниваются
и оказываются аналогичными4
Доступ полиморфной модификации
запрещен на основании его сходства с
известным вредоносным ПО
5
25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Техника: ядро Ethos
• ETHOS - ядро формирования нечетких
отпечатков с помощью статической/
пассивной эвристики
• Полиморфные варианты угрозы часто
имеют общие структурные свойства
• Не всегда нужно анализировать все
содержимое бинарного файла
• Повышение масштабируемости -
обнаруживается и оригинал и модификации
• Традиционно создаются вручную
Лучшие аналитики = несколько общих сигнатур в
день
• У нас полная автоматизация =
МАСШТАБИРОВАНИЕ
Ethos: создание обобщенных сигнатур, что
опять же достаточно традиционно
для отрасли
Адресуются семейства
вредоносного кода
Потенциальное увеличение числа ложных
срабатываний
26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующ
ие метки
Расширенная
аналитика
нтичная
натура
Признаки
вторжения
Сопоставление
потоков устройств
Фильтрация по репутации основывается
на трех функциях
Collective Security
Intelligence Cloud
Метаданные неизвестного файла
отправляются в облако для анализа1
Метаданные признаются потенциально
вредоносными2
Файл сравнивается с известным
вредоносным ПО и подтверждается
как вредоносный
3
Метаданные второго неизвестного
файла отправляются в облако для
анализа
4
Метаданные аналогичны известному
безопасному файлу, потенциально
безопасны
5
Файл подтверждается как безопасный
после сравнения с аналогичным
безопасным файлом
6
Дерево решений машинного обучения
Потенциально
безопасный файл
Потенциально
вредоносное ПО
Подтвержденное
вредоносное ПО
Подтвержденный
безопасный
файл
Подтвержденный
безопасный
файл
Подтвержденное
вредоносное ПО
27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Техника: ядро Spero
• Метки AMP = более 400 атрибутов, полученных в процессе выполнения
• Сетевые подключения?
• Нестандартные протоколы?
• Использование интерфейсов API (каких)?
• Изменения в файловой системе?
• Самокопирование
• Самоперенос
• Запуск других процессов?
• Автоматизирует классификацию файлов
на основе общих схожих признаков
• Машинное обучение позволяет находить и классифицировать то, что не под силу
человеку – из-за возможности анализа больших объемов данных
Дерево принятия решений
Возможно,
чистый файл
Возможно,
ВПО
Да, ВПО
Да,
«чистый»
Да. чистый
Да, ВПО
28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28
Динамический
анализ
Машинное
обучение
четкие
фицирующ
метки
Расширенная
аналитика
Признаки
вторжения
Сопоставление
потоков устройств
Поведенческое обнаружение основывается
на четырех функциях
Collective Security
Intelligence Cloud
Неизвестный файл проанализирован,
обнаружены признаки
саморазмножения
1
Эти признаки саморазмножения
передаются в облако2
Неизвестный файл также производит
независимые внешние передачи3
Это поведение также отправляется в
облако4
Об этих действиях сообщается
пользователю для идентификации
файла как потенциально вредоносного
5
29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29
Техника: анализ вредоносных признаков
Bad
Guys
• Анализ поведения файла –
большое количество
анализируемых параметров
• Требует большего времени на
анализ, чем сигнатуры
• Потенциально ложные
срабатывания
• Подробная информация о
причинах принятия того или
иного решения
• Выдача финального Threat
Score
30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30
Уровень угрозы может быть настроен
30
На примере Cisco AMP for Content Security (WSA)
31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31
Динамический
анализ
чение
пьюте
ров
Расширенная
аналитика
Признаки
вторжения
Сопоставление
потоков устройств
Поведенческое обнаружение основывается
на четырех функциях
Неизвестные файлы загружаются
в облако, где механизм динамического
анализа запускает их в изолированной
среде
1
Два файла определяются как вредоносные,
один подтвержден как безопасный2
Сигнатуры вредоносных файлов
обновляются в облаке информации
и добавляются в пользовательскую базу
3
Collective Security
Intelligence Cloud Коллективная
пользователь-
ская база
32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32
Техника: динамический анализ
Bad
Guys
• Файлы для динамического анализа (песочница) могут быть загружены
автоматически или в ручном режиме
• Загрузка файла осуществляется только в случае его неизвестности
(неизвестен статус и Threat Score)
«Чистые», уже проверенные ранее файлы или вредоносное ПО с вычисленным Threat
Score в песочницу не загружаются, чтобы не снижать производительность решения
• Файлы могут загружать через прокси-сервера
• Результат представляется в виде обзора и детального анализа
33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33
Анализ в облаке может занимать время
На примере Cisco AMP for Content Security (ESA)
34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34
Динамический
анализ
Расширенная
аналитика
изнаки
ржения
Сопоставление
потоков устройств
Поведенческое обнаружение основывается
на четырех функциях
Получает информацию
о неопознанном ПО от устройств
фильтрации по репутации
1
Анализирует файл в свете полученной
информации и контекста3
Идентифицирует вредоносное ПО
и добавляет новую сигнатуру
в пользовательскую базу
4
Получает контекст для неизвестного
ПО от коллективной пользовательской
базы
2 Коллективная
пользователь-
ская база
Collective Security
Intelligence Cloud
35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35
Индикаторы компрометации
• Индикатор компрометации –
объединение нескольких связанных
событий безопасности в единое
мета-событие
• IOC “CNC Connected” (узел вероятно
находится под чужим управлением)
Узел подключился к серверу C&C
Сработала система обнаружения вторжений
по сигнатуре “Malware-CNC”
На узле запущено приложение, которое
установило соединение с сервером C&C
• Встроенные и загружаемые
индикаторы компрометации
На примере Cisco AMP for Endpoint
На примере Cisco AMP for Networks
36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36
мический
ализ
Расширенная
аналитика
Сопоставление
потоков устройств
Поведенческое обнаружение основывается
на четырех функциях
Collective Security
Intelligence Cloud
Обнаруживаются два неизвестных файла,
связывающихся с определенным
IP-адресом
2
Один передает информацию за пределы
сети, другой получает команды с этого
IP-адреса
3
Collective Security Intelligence Cloud
распознает внешний IP-адрес как
подтвержденный вредоносный сайт
4
Из-за этого неизвестные файлы
идентифицируются как вредоносные5
IP-адрес:
64.233.160.0
Сопоставление потоков устройств
производит мониторинг источника
и приемника входящего/исходящего
трафика в сети
1
37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37
Техника: Анализ потоков устройств
37
• Мониторятся внутренние и
внешние сети
• Данные по репутации IP-адресов
• Регистрация URL / доменов
• Временные метки
• Передаваемые файлы
Корреляция потоков устройств: Анализ
сетевых потоков на уровне ядра. Позволяет
блокировать или предупреждать
о любых сетевых действия
Cisco обеспечивает:
Известные сервера CnC,
фишинговые сайты,
сервера ZeroAccess CnC, и т.д.
Пользовательские списки
38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38
Сила в комбинации методов обнаружения
Bad
Guys
• На оконечных узлах не хватает ресурсов для анализа все усложняющегося
вредоносного кода
• Не существует универсального метода обнаружения вредоносного кода – у
каждого метода есть своя область применения, свою достоинства и
недостатки
• Каждый метод может быть обойден вредоносным кодом; особенно
специально подготовленным
7 методов обнаружения в Cisco AMP повышают
эффективность защиты!!!
39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39
В CiscoAMP реализован и план Б
Ретроспективная безопасностьТочечное обнаружение
Постоянная защитаРепутация и поведенческий анализ
Уникальный Cisco AMP
40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40
CiscoAMP также предлагает ретроспективную защиту
41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41
Почему необходима непрерывная защита?
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная подача
Непрерывный анализ
Поток
телеметрических
данных
Интернет
WWW
Оконечные устройства СетьЭл. почта УстройстваСистема
предотвращения
вторжений IPS
Идентифицирующие метки
и метаданные файла
Файловый и сетевой ввод/вывод
Информация о процессе
Объем и контрольные
точки
42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42
Почему необходима непрерывная защита?
Контекст Применение Непрерывный анализ
Кто Что
Где Когда
Как
История событий
Collective Security
Intelligence
43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43
Cisco AMP обеспечивает ретроспективную защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак
44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак
Ретроспективная безопасность основана на…
Выполняет анализ при
первом обнаружении
файлов
1
Постоянно анализирует
файл с течением
времени, чтобы видеть
изменения ситуации
2
Обеспечивает
непревзойденный контроль
пути, действий или связей,
касающихся конкретного
элемента ПО
3
45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак
Ретроспективная безопасность основана на…
Использует ретроспективные
возможности тремя способами:
Ретроспективный анализ файлов
Записывает траекторию ПО от устройства к устройству
Ретроспективный анализ файлов1
Ретроспектива процесса2
Ретроспектива связи3
Ретроспектива процесса
Производит мониторинг активности ввода/вывода для всех устройств
в системе
Ретроспектива связей
Производит мониторинг, какие приложения выполняют действия
Создание цепочки атак
Анализирует данные, собранные
ретроспекцией файлов, процессов
и связи для обеспечения нового
уровня интеллектуальных средств
мониторинга угроз
46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46
Пример ретроспективы файла и связей
На примере Cisco AMP for Content Security (ESA)
На примере Cisco AMP
for Networks
47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47
Пример ретроспективы процессов
На примере Cisco AMP for Endpoints
48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
оспектива Создание
цепочек атак
Ретроспективная безопасность основана на…
Поведенческие признаки вторжения используют ретроспективу для мониторинга систем на наличие
подозрительной и неожиданной активности
Неизвестный файл
допущен в сеть1
Неизвестный файл
копирует себя
на несколько машин
2
Копирует содержимое с
жесткого диска3
Отправляет
скопированное
содержимое на
неизвестный IP-адрес
4
С помощью связывания цепочки атак Cisco® AMP способна распознать шаблоны и действия
указанного файла и идентифицировать действия, производя поиск в среде, а не по меткам или сигнатурам
файлов
49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
оздание
почек атак
Ретроспективная безопасность основана на…
Траектория файла автоматически
записывает время, способ, входную
точку, затронутые системы
и распространение файла
Неизвестный файл загружается
на устройство1
Сигнатура записывается
и отправляется в облако для анализа2
Неизвестный файл перемещается
по сети на разные устройства
3
Аналитики изолированной зоны
определяют, что файл вредоносный, и
уведомляют все устройства
4
Траектория файла обеспечивает
улучшенную наглядность масштаба
заражения
5 Вычислительные
ресурсы
Виртуальная
машина
Мобильные
системы
Мобильные
системы
Виртуальная
машина
Вычислительные
ресурсы
Сеть
Мобильные
системы
Мобильные
системы
Collective Security
Intelligence Cloud
50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50
Траекторияенческие
знаки
жения
Поиск
нарушений
Вычислительные ресурсы
Неизвестный файл загружается
на конкретное устройство1
Файл перемещается на устройстве,
выполняя различные операции2
При этом траектория устройства
записывает основную причину,
происхождение и действия файлов
на машине
3
Эти данные указывают точную причину
и масштаб вторжения на устройство4
Ретроспективная безопасность основана на…
Диск 1 Диск 2 Диск 3
51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51
Пример траектории файла
52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52
Неизвестный файл находится
по IP-адресу: 10.4.10.183.
Он был загружен через Firefox
Пример траектории файла
53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53
В 10:57 неизвестный файл
с IP-адреса 10.4.10.183 был
передан на IP-адрес 10.5.11.8
Пример траектории файла
54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54
Семь часов спустя файл был
передан через бизнес-
приложение на третье
устройство (10.3.4.51)
Пример траектории файла
55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55
Полчаса спустя с помощью
того же приложения файл был
скопирован еще раз на
четвертое устройство
(10.5.60.66)
Пример траектории файла
56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56
Решение Cisco® Collective
Security Intelligence Cloud
определило, что этот файл
является вредоносным. Для
всех устройств было
немедленно создано
ретроспективное событие
Пример траектории файла
57. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57
Тотчас же устройство
с AMP для Endpoints
среагировало на
ретроспективное событие
и немедленно остановило ВПО
и поместило в карантин только
что определенное вредоносное
ПО
Пример траектории файла
58. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58
Через 8 часов после первой
атаки вредоносное ПО
пыталось повторно проникнуть
в систему через исходную
входную точку,
но было распознано
и заблокировано
Пример траектории файла
59. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59
Траекторияенческие
знаки
жения
Поиск
нарушений
Ретроспективная безопасность основана на…
Поиск нарушений — это
возможность использования
индикаторов, встречающихся также
и на других узлах сети, для
мониторинга и поиска конкретного
поведения в среде
1
При идентификации индикаторов
компрометации на одном узле их
можно использовать для поиска и
идентификации наличия или
отсутствия этого поведения в
каком-либо другом месте
2
Эта функция позволяет
производить быстрый поиск
поведения, а не сигнатуры, давая
возможность определять файлы,
остающиеся неизвестными, но
являющиеся вредоносными
3
60. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60
60© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Что делать в случае
обнаружения?
61. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61
Что делать в случае обнаружения вредоносного кода?
Bad
Guys
• Вариант реагирования на обнаруженный вредоносный код зависит от
варианта реализации AMP
• AMP for Endpoints
Режим аудита – разрешить запускать вредоносный код
Пассивный режим – не ждать ответа из облака и запустить вредоносный код (блокировать
после)
Активный режим – ждать ответа из облака, не запуская файл
• AMP for Content Security
Пропустить, заблокировать или поместить в карантин (для ESA)
• AMP for Networks
Пропустить, заблокировать или сохранить вредоносный код
62. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 62
62© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Расследование и
реагирование на инциденты с
помощью Cisco AMP
63. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 63
Какие файлы можно анализировать?
Bad
Guys
• Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно
захватывать и сохранять для дальнейшего анализа
64. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 64
Обнаружение известного вредоносного кода
Bad
Guys
65. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 65
Полная информация о вредоносном коде
Bad
Guys
66. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 66
Увеличение числа устройств с
вредоносным ПО
Анализ вредоносного ПО и атак
Подтверждение атаки и заражения
• С чего начать?
• Насколько тяжела ситуация?
• Какие системы были затронуты?
• Что сделала угроза?
• Как можно восстановить?
• Как можно предотвратить ее
повторение?
Исправление
Поиск сетевого
трафика
Поиск журналов
устройств
Сканирование
устройств
Задание правил
(из профиля)
Создание
системы
испытаний
Статический
анализ
Анализ
устройств
Сетевой анализ
Анализ
увеличения
числа устройств
Уведомление Карантин Сортировка
Профиль
вредоносного
ПО
Стоп
Не удалось обнаружить заражение
Заражениеобнаружено
Поиск повторного заражения
Обновление профиля
Подтверждение
Заражение
отсутствует
Вопрос не в том, произойдет ли заражение, а как скоро
мы его обнаружим, устраним и поймем причины?
67. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 67
Поиск уязвимостей, используемых вредоносным ПО
• В дополнение к анализу
уязвимостей путем пассивного
сканирования сетевого трафика в
AMP для Endpoints реализован
механизм анализа уязвимого ПО
на узлах
68. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 68
Ретроспективный анализ файлов позволяет определить
• Какие системы были
инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной
точкой?
• Почему это произошло?
• Что еще произошло?
69. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 69
Ретроспективный анализ процессов позволяет
определить
• Как угроза попала на узел?
• Что плохого происходит на
моем узле?
• Как угроза взаимодействует с
внешними узлами?
• Чего я не знаю на своем
узле?
• Какова последовательность
событий?
70. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 70
Трекинг каждого вредоносного файла
Пользователи и IP, которые загрузили
вредоносный файл к себе
SHA-256
71. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 71
А можно анализировать вручную?
• Нередко бывает необходимость
анализировать файлы, попавшие в
службу безопасности на флешках
или иных носителях, а также
проводить более глубокий анализ
обнаруженных с помощью Cisco
AMP вредоносных программ
• Не у всех бывает реализована
автоматическая защита с помощью
Cisco AMP
• Организация может захотеть
создать собственную службу Threat
Intelligence или Security Operations
Center
72. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 72
72© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Cisco AMP Threat Grid
73. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 73
CiscoAMP Threat Grid
• Платформа для глубокого анализа
вредоносного кода
Доступ через портал, выделенное устройство или с
помощью API
• Может применяться при построении
собственных систем Threat Intelligence или
SOC
• Уже используется многими компаниями при
проведении расследований – EnCase,
Maltego и т.п.
74. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 74
Детальный анализ вредоносного ПО в AMP Threat Grid
75. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 75
Типовые сценарии использования AMP Threat Grid
• Доступ к порталу
Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода
Приватная маркировка загружаемых семплов (опционально)
Устройство Threat Grid (опционально) позволяет загружать семпы на него, без загрузки в облако
• Интеграция с решениями Cisco
AMP for Endpoints
AMP for Networks (FP / ASA)
AMP for WSA / CWS
AMP for ESA / CES
• API для автоматизации передачи семплов в Threat Grid включен во все лицензии с
подпиской
76. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 76
7676
AMP for
Endpoint
AMP for
FP | ASA
ESA | WSA
CWS | CES
AMP for Endpoint
Private Cloud
Динамический
анализ
AMP for
Endpoint
AMP for
FP | ASA
ESA | WSA
CWS | CES
Threat Grid
(Cloud)
Сценарий 3: Threat Grid Intelligence, API,
аналитика и визуализация
Сценарий 4:
a)Threat Grid Appliance (ограничен ТОЛЬКО
динамическим анализом) с Private Cloud
b)Threat Grid Appliance (ограничен ТОЛЬКО
динамическим анализом ) с NW AMP или Content
Gateway AMP
Сценарий 5: Threat Grid Appliance с
Intelligence, API, аналитикой и визуализацией
Сценарий 2: Выделенный TG Appliance
Сценарий 1: Загрузка в облако через портал
CloudConnectedOn-PremisesStandalone
Threat Grid
Appliance с
подпиской
Threat Grid
(Cloud)
Threat Grid
(подписка)
Private Tagging
(опция)
Threat Grid
Облачная аналитика, API, глубокий анализ
AMP
Анализ, базовые отчеты, уровень угрозы
Опциональные
дополнения к
AMP
Private Tagging
(опция)
Threat Grid
Appliance
1
2
3
5
4
77. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 77
Интеграция и автоматизация механизмов обеспечения
безопасности
§ Cisco® AMP Threat Grid REST API позволяет автоматизировать отправку образцов, получение новой
информации и получение результатов
− Автоматизация отправки из различных модулей
− Простой возврат результатов
Your Existing Security
Обеспечение максимальной отдачи от вложений в безопасность
Получение
данных об
угрозах
Потоки аналитики
об угрозах
МСЭ
Сенсоры
в сети SIEM Управление
журналами
Партнеры по
отрасли
Средства
защиты хостов
Шлюз/прокси
IPS/IDS
Threat Grid
78. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 78
Развертывание вне облака – на территории заказчика
§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid
§ В целях соблюдения нормативных требований все данные остаются на территории заказчика
§ Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для
актуализации контекста
§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§ TG5000:
§ Анализ до 1500 образцов в день
§ Cisco UCS C220 M3 Chasis (1U)
§ 6 x 1TB SAS HDD (аппаратный RAID)
§ TG5500:
§ Анализ до 5000 образцов в день
§ Cisco UCS C220 M3 Chasis (1U)
§ 6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты
79. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 79
79© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Cisco AMP Private Cloud
80. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 80
А если я не хочу передавать файлы для анализа в
облако?
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
Непрерывная передача
Непрерывный анализ
Поток
телеметрических
данных
Интернет
WWW
Оконечные устройства СетьЭл. почта УстройстваСистема
предотвращения
вторжений IPS
Идентифицирующие метки
и метаданные файла
Файловый и сетевой ввод/вывод
Информация о процессе
Объем и контрольные
точки
81. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 81
Как работаетAMP Private Cloud?
• Управление политиками
• Траектория файлов
• Траектория процессов
• Пользовательские сигнатуры
• Анализ инцидентов
• Генерация отчетов
• Кеш вердиктов
• Персональные данные
SHA256
Вердикт
AMP Private Cloud
Virtual Appliance
AMP for Endpoints
AMP for Networks
82. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 82
Вопросы конфиденциальности:AMP Private Cloud 1.0
AMP Threat Grid
Dynamic Analysis
Appliance
Windows, Mac
Endpoint
Cisco
FirePOWER Sensor
Cisco Web
Security Appliance
Cisco Email
Security Appliance
Cisco ASA with
FirePOWER Services
Cisco AMP
Private Cloud
Appliance 1.0
Talos
Федерированные
данные
Хэши файлов
Анализируемые файлы
83. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 83
Вопросы конфиденциальности:AMP Private Cloud 2.0
AMP Threat Grid
Dynamic Analysis
Appliance
Windows, Mac
Endpoint
Cisco
FirePOWER Sensor
Cisco Web
Security Appliance
Cisco Email
Security Appliance
Cisco ASA with
FirePOWER Services
Talos
Cisco AMP
Private Cloud
Appliance 2.x
Федерированные
данные
Хэши файлов
Анализируемые файлы
Опционально
Планы
Поддержка “air gap”
84. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 84
84© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
В заключение
85. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 85
Заключение
¤ Современное вредоносное ПО хорошо избегает обнаружения
¤ У AMP прекрасные показатели обнаружения по отчетам NSS,
но его «сила» не в этом
¤ Увы, вопрос не в том, будет ли безопасность нарушена…
¤ Ретроспективная безопасность = возможность управления безопасностью
¤ AMP Everywhere позволяет администраторам контролировать всю среду
86. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 86
• Традиционных вирусов уже почти нет, но и совсем сбрасывать со счетов их
нельзя
А нужен ли нам тогда традиционный антивирус?
Эксплойт 9,86%
Кража информации
3,49%
Загрузчики 1,12% Червь 0,89%
Вирус 0,48%
Мобильный код 0,42%
Поддельное
антивирусное ПО
0.16%
Вредоносный
сценарии/Iframe-
атаки 83,43%
87. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 87
Как соотносятся CiscoAMP и Cisco SecurityAgent?
Функция Cisco Security Agent Cisco AMP
Защита ПК Да Да
Защита мобильных устройств Нет Да
Защита на уровне сети Нет Да
Защита контента Нет Да
Ретроспективная защита Нет Да
Корреляция событий Через внешние SIEM Встроенная
Зависимость от облачной аналитики Нет Да
Создание собственных сигнатур Частично Да
Проведение расследования
инцидентов
Нет Да
88. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 88
CiscoAMP предоставляет три выгоды
3
Защищает на всех
этапах атаки
Перед Во время После
2
Защита на
нескольких
рубежах
Контент Сеть Хосты
Cisco Talos
Точечное обнаружение Ретроспективная безопасность
1
Несколько
методов
обнаружения
89. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 89
Выберите правильное решение
Потребности Функция WSA, ESA, CWS Network Endpoint
Я хочу описать политики для вредоносного ПО… Репутация файла ✔ ✔ ✔
Я хочу изолировать вредоносное ПО для анализа… Песочница ✔ ✔ ✔
Я хочу узнать, если вредоносное ПО попало ко мне в систему… Ретроспективная защита ✔ ✔ ✔
Мне нужно идентифицировать зараженные узлы в моей сети… Индикаторы компрометации ✔ ✔
Я хочу отслеживать поведение файлов и что они делают… Анализ файлов ✔ ✔
Я хочу видеть, как угрозы распространяется по сети… Траектория файлов ✔ ✔
Я хочу видеть системную активность и взаимодействие
событий…
Траектория процессов ✔
Я хочу организовать поиск в большом объеме данных… Эластичный поиск ✔
Я хочу останавливать распространение вредоносного кода с
пользовательскими настроками…
Контроль эпидемий ✔
90. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 90
Полная защита среды сAMP
Каждая опция развертывания
предлагает полную защиту в
рамках одного вектора угрозы
Адресует
вектор угроз
Так как инфекция
распространяется всевозможными
способами, то защиты по одному
или двум векторам может
оказаться недостаточно
Предотвращает
заражение
Развертывание AMP для Content,
Network и Endpoint вместе – это
наиболее оптимальный сценарий
для полной защиты, карантина и
устранения последствий
Работает
вместе
91. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 91
Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/
92. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 92
Благодарю
за внимание