Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Сигнатуры и политики традиционных файерволов не справляются с современными видами атак. FireEye предлагает новый подход в борьбе с APT и Zero Day атаками. FireEye тестирует весь почтовый, web и файловый трафик в защищенной виртуальной среде и в считанные доли секунды выявляет угрозу.
Основные возможности системы обнаружения вторжений HP TippingPointDialogueScience
HP TippingPoint - линейная система предотвращения вторжений (IPS), работающая в реальном времени, обеспечивает непрерывную защиту критически важных данных и приложений от серьезных атак, не понижая производительность и эффективность систем.
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиCisco Russia
В полугодовом отчете Cisco по безопасности за 2014 год представлена аналитика угроз и тенденций в области кибербезопасности за первое полугодие 2014 года. Исследование Cisco позволяет оценить количество разнообразных типов уязвимостей в системах, которые мы используем ежедневно, включая, собственно, Интернет, а также способы сокращения их числа и минимизации плачевных последствий. Основные выводы: состоят в следующем.
Similar to Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз (20)
2. 2
Компания основана в 2004 году, поставляет свои решения с 2006
1000+ сотрудников в 6 странах.
Штаб-квартира:
Милпитас, Калифорния. ~1000 Клиентов, во всех регионах, в каждой индустрии
3. Клиенты компании
Small Medium Enterprise
Правительство Инфраструктура Высокие технологии здравоохранение Финансовые улуги Торговля
Малые и средние предприятия
4. 4
Угрозы нового
поколения
Атаки становятся более изощренными, их стало
сложнее детектировать и устранять
(к примеру – криптолокеры; отравление прошивки
HDD; web-injection; крипторы; атаки на SCADA )
Наблюдается беспрецедентный рост их количества
(ботнеты)
Социальные сети позволяют атаковать сотрудников
прямо на их рабочих местах
(соц инженерия, фишинг)
Под угрозой все индустрии
(промышленный шпионаж)
Хактивизм
(свобода информации)
5. 5
Stuxnet: вирус который вывел из строя
почти 20% центрифуг по обогащению
урана в Иране.
Shamoon: компьютерный вирус,
который был использован для
шпионажа в в энергетическом секторе.
Night Dragon: Атака была направленна на
глобальные нефтяные, газовые, нефтехимические
компании, а так же на отдельных лиц и
руководителей в Казахстане, Тайвани, Греции и США
с целью завладеть особо конфиденциальными
данными.
6. 6
Доступность эксплойтов и их паков на теневом рынке
…and free frameworks $$$$$$$$$
Aрест небезызвестного Paunch’а —
автора некогда самого популярного
набора эксплойтов Blackhole —
наверняка повлиял
на перераспределение основных
игроков на рынке
эксплойт-паков.
Популярные паки на сегодня
• Angler Exploit kit;
• Sweet Orange Exploit kit;
• Nuclear Exploit kit;
• Fiesta Exploit kit;
• Magnitude Exploit kit;
• Neutrino Exploit kit;
• Astrum Exploit kit;
• RIG Exploit kit;
• Archie Exploit kit.
7. 7
Выгрузка данных
(dump)
111011101101
Проксирование,
заражение
ближайших хостов
Эксплуатация
уязвимостей ПО
или ОС
Действия атакующего:
Важнейшим этапом является – обнаружение и подавление вторжения
Последующие действия после прохода эксплойта хорошо скрываются
Загрузка
вредоносного ПО
(трояны/раты)
Поднятие шелла
(Callback) на
командный сервер
CVE 2015-0311) позволяет
выполнить произвольный
код во Flash версий до 16.0.0.287
для Windows (CVE
2015-0310) — обойти ограничения
безопасности в Adobe Flash Player,
отключить ASLR и выполнить про-
извольный код.
reDuh • HTTP Tunnel
(bit.ly/1D9EPRY)
WSO
Netcat :)
SpyRat
Gh0stB
Zeus
XtremeRAT
Spy-Net
Hashdump
[*] Obtaining the boot key...
[*] Calculating the hboot key using
SYSKEY 84670f114b6...
[*] Obtaining the user list and keys...
[*] Decrypting user keys...
[*] Dumping password hashes...
Pivoting / Pivot
(recon сетевого периметра и
инвентаризация сервисов упущено)
8. 8
Из индустрии высоких технологий:
Топ ATP Воздействие
Backdoor.APT.
Gh0stRAT (40%) Средства удаленного доступа (RAT),
которые приводят к потере
интеллектуальной собственности,
коммерческой тайны и
конфиденциальной внутренней связи.
Backdoor.APT.
DarkComet (40%)
Топ приступного Воздействие
Malware.Binary
(67%)
Атаки нулевого дня. (Zero-Day)
Exploit.Kit.Neutrino
(67%)
Заражение нескольких типов
вредоносных программ, ворующих
полномочия или ограничить доступ к
компьютеру и требует выкуп.
FireEye Cli.
Беззащитность
клиентов
Целенаправленные
атаки
18 98% 28%
1.46 8.66
41486.9
43022.5
86.92
3011.14
Веб -
эксплойты
Загрузка
вредоносного
ПО
Уникальные
вредоносы
Отстуки
Зараженные
хосты
198.9
12.9
2708.9
2629.8
МаксимумСреднее(За неделю)
9. 9
Исследование Bitglass по краже
конфиденциальных данных
«Bitglass пишет, что в течение
нескольких дней после публикации
документа его скачали и открыли
пользователи в пяти странах на трёх
континентах, а общее количество
открытий превысило 200 штук.»
«К 12-му дню количество открытий составило
1080 штук, а география злоумышленников
распространилась на 22 страны на пяти
континентах. Наиболее часто документ
скачивали пользователи из России, Китая и
Бразилии.»
«Они выложили в онлайне таблицу Excel с
фальшивой информацией о 1568 якобы
сотрудниках. Затем проследили, где эта
информация всплыла для продажи.»
10. 10
Старый подход для борьбы с новыми угрозами?
Определение по
шаблонам
•Сигнатуры – черный список –
репутация– эвристика
•Только известные угрозы
•Ложные срабатывания
Новый метод Виртуальных Машин
•Без сигнатур
•Режим реального времени
•Известныене известные угрозы
•Минимум ложных срабатываний
11. 11
SANDBOX – РЕШЕНИЕ ДЛЯ ЗАЩИТЫ ОТ APT (ZD)
Производители FW:
“Now I have a Sandbox too!”…..
Обычный FW + Песочница:
<это исполняемый или PDF ?>
Ограничения данного подхода:
• Без мульти векторной защиты
• Файлы в «чистом» виде
• Время исследования и
обновления сигнатур
• Нет защиты от веб эксплойтов
12. 12
КАКИМ ДОЛЖНО БЫТЬ NGTP ?
• Никаких сигнатур;
• Не только определение, но и защита;
• Защита всех векторов распространения атак;
• Высокая точность;
• Глобальность.
FireEye FX Series
FireEye EX Series
FireEye AX Series
FireEye NX Series
FireEye CM
Dynamic Threat Intelligence (DTI)
Централизованное управление
Всеми устройствами и DTI
Защищает от угроз распространяющихся
через Web
Callback и блокирование
Расследование происхождения угроз
Анализ осуществляется на «борту» устройства!
13. 13
Multi Vector Execution Engine
Масштабируемость: Dynamic Threat
Intelligence
• Различные ОС, приложения,
браузеры, плагины и их версии
• Множество типов файлов
• Многозадачность
• Физический гипервизор
• Контрмеры от вредоносного ПО
Много-этапный анализ:
• Минимум ложных срабатываний
• Нет нагрузки на систему
14. 14
FireEye NX Series (Web защита)
• Установка «в разрез сети», режим реального времени
• Анализ всех web объектов (web страниц, flash, PDF, офисных документов и *.exe);
• Блокирование callback, прерывание несанкционированного использования данных;
• Динамическое создание профилей угроз нулевого дня и передача их в DTI;
• Интеграция с устройствами FireEye EX, FX и AX серий для динамического блокирования callback коммуникаций, выполненных вредоносным ПО.
• Блокировка входящего
и исходящего трафика
• Продвинутый анализ
содержимого(PDF,
JavaScript, URLs)
• Модели до 4 Gbps
FEATURES Windows 7 – SP1
Virtual Execution
Environment Analysis
Первона
чальный
анализ
Play Malware
Attack
Windows XP - Base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Мгновенная
Блокировка
Известных
уязвимостей
Захват
пакетов
1 2 3 4
C
A
L
L
B
A
C
K
E
N
G
I
N
E
5
Предотвращение
несанкц.
использования
данных
Port
0
65k
Исходящие
Профили атак
нулевого-дня
DTI
15. 15
FireEye EX Series (Email защита)
• Установка «в разрез сети», режим реального времени
• Карантин сообщений с Zero-day угрозами в режиме реального времени;
• Динамическое создание профилей угроз нулевого дня и передача их в DTI;
• Интеграция с NX для остановки смешанных атак
• Поддержка YARA-правил
• Интеграция с AV-Suite
8300 поддерживает 96 Virtual Execution
Environments (VXE)
Virtual Execution
Environment (VXE) Analysis
Play Malware
Attack
Windows XP - base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Windows 7 – SP1
Распределение
Объектов Анализа
1 2 3 4
✔
✔
✔
Профили атак
нулевого-дня
URL передаются в cписки
приоритетных URL на
FireEye NX через консоль
управления
DTI
16. 17
FireEye FX Series
(защита от угроз нового поколения находящихся в файловой системе)
• Защита общих папок от продвинутых угроз
• Поддержка нескольких режимов сканирования
• Поддержка множества типов файлов
• Возможность применять в различных ситуациях
• нтеграция с NX, EX и AX устройствами
• Интеграция с AV-Suite
• Поддержка YARA-правил
Первоначальный анализ
011011
110010
Сравнение с имеющейся
базой угроз Virtual Execution Environments (VXE)
Детальный анализ
Play Malware
Attack
Распространение
информации об угрозах
среди клиентов FireEye
Windows XP - base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Windows 7 – SP1
Управление
1 2
DTI
CLIWeb GUI
Отслеживание C&C
Действий (в режиме реального времени)
Детальны отчет
Карантин
NSF/SMB share
17. 19
Защита от смешанных атак
• Защита против комбинированных атак через URL-ссылки, содержащиеся в email-письмах
• Анализ высокоприоритетных URL-ссылок в FireEye NX Series MVX механизме;
• Интеграция FireEye NX, EX, FX Series через FireEye CM для:
корреляции вредоносных URL с электронными письмами направленного фишинга;
внесения в черный список IP адресов C&C серверов;
состояния файлового хралилища, карантина.
FireEye CM
FireEye NX
FireEye EX
FireEye FX
18. 20
Опасайтесь песочниц!
• Часто основаны на коммерческих гипервизорах
(Vmware, Xen, Hyper-V), а не на физических
• Нет защиты от мульти-векторных атак
• Нет анализа многопоточности
• Работа только с исполняемыми файлами
• Ограничения по пропускной способности
• Нет матрицы уязвимого ПО
• Нет способности обнаружить эксплоит
• Не способны создавать правила и сигнатуры
автоматически
• Анализ угроз в облаке
• Не видят полного цикла атаки
Способы обхода:
Чувствительность к настройкам
• «Режим ожидания» замирание на определенное время
• «Временной триггер» запуск в определенное время
• «Скрытый процесс»
• «Исполнение после перезагрузки»
Обход VMware
• Проверка сервисов присущих для Vmware
(vmicheatbeat, vmci, vmdebug,
vmmouse, vmscis… )
• Проверка наличия уникальных файлов (наличие
vmmouse.sys)
• Наличие порта VMX
Среда
• «Проверка версии»
• «Запрос загрузчика DLL»
• «Внедрение ifarmes в GIF и Flash»
20. 22
Установка FireEye NX (Web защита)
NG Firewall
Switch
SPAN / TAP
NX 1
NX N
Router
NG Firewall
INLINE
IPS (Optional)
NX
Router
NG Firewall
Switch
PROXY
NX
IPS
Switch
A1 A2
B1 B2
Router
http://
http:// http://
21. 23
Установка FireEye EX (Email защита)
Router
NG Firewall
MTA
Switch
DMZ
Email
Anti Spam
Gateway / MTA
EX
Router
NG Firewall
BCC
Switch
DMZ
Email
Anti Spam
Gateway / MTA
EX
Router
NG Firewall
SPAN
Switch
DMZ
Email
Anti Spam
Gateway / MTA
EX
http:// http:// http://
22. 24
Установка FireEye FX (Контент защита)
Router
NG Firewall
HR
MOUNT MODE
Switch
DC
Private
File AppFX
Mount Mode
FX
http://