Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
Надеемся, что данные предложения помогут Вам эффективно и быстро реализовать защищенный и надежный удаленный доступ для ваших сотрудников, и реагировать на вызовы новых бизнес практик.
Документ как настраивать GlobalProtect на NGFW: http://tiny.cc/GLobalProtect
Запись этой презентации на youtube https://youtu.be/MqrNZ1J-7oE
Противостояние в Сети сегодня — это не война между ботами и людьми, а скорее война между армиями «умных» ботов, действия которых скоординированы и почти не отличаются от поведения живых пользователей. Из примитивного инструмента для DDoS ботнеты превратились в мощное оружие, позволяющее хакерам, злоумышленникам и спецслужбам решать задачи информационного противоборства. В докладе рассматривается ряд реальных примеров — от массового взлома паролей до влияния на ход выборов.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Анализ рынка средств и сервисов защиты от DDoS-атакКРОК
Cеминар «Защищенным системам не страшны DDoS-атаки» http://www.croc.ru/action/detail/20774/
Презентация Александра Кондрикова, технического менеджера направления информационной безопасности КРОК
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
Вебинар «Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников» http://www.croc.ru/action/webinars/41850/
Презентация Данила Дрожжина, эксперта по сетевой безопасности компании КРОК
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
Надеемся, что данные предложения помогут Вам эффективно и быстро реализовать защищенный и надежный удаленный доступ для ваших сотрудников, и реагировать на вызовы новых бизнес практик.
Документ как настраивать GlobalProtect на NGFW: http://tiny.cc/GLobalProtect
Запись этой презентации на youtube https://youtu.be/MqrNZ1J-7oE
Противостояние в Сети сегодня — это не война между ботами и людьми, а скорее война между армиями «умных» ботов, действия которых скоординированы и почти не отличаются от поведения живых пользователей. Из примитивного инструмента для DDoS ботнеты превратились в мощное оружие, позволяющее хакерам, злоумышленникам и спецслужбам решать задачи информационного противоборства. В докладе рассматривается ряд реальных примеров — от массового взлома паролей до влияния на ход выборов.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Анализ рынка средств и сервисов защиты от DDoS-атакКРОК
Cеминар «Защищенным системам не страшны DDoS-атаки» http://www.croc.ru/action/detail/20774/
Презентация Александра Кондрикова, технического менеджера направления информационной безопасности КРОК
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
Вебинар «Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников» http://www.croc.ru/action/webinars/41850/
Презентация Данила Дрожжина, эксперта по сетевой безопасности компании КРОК
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
FireEye - система защиты от целенаправленных атакDialogueScience
В настоящее время угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара будет рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Здоровье важнее - Fortinet решения для удаленных сотрудниковMUK Extreme
Fortinet Teleworker Solutions
- Leverages Existing FortiGate NGFW capabilities for large scale workforce support
- Extends Current Infrastructure & Management Tools
- Enables Secure, Remote Connectivity for the entire workforce
2. 2
Актуальность проблемы целенаправленных атак.
Стоит ли беспокоиться?
ФАКТ:
Технологии предотвращения иногда не срабатывают,
поэтому в СУИБ следует добавлять инструменты, процессы
и персонал для выявления и ответных действий
>200 дней
Средний период пребывания злоумышленников незамеченными
>2/3
жертв были оповещены третьими сторонами
ЦЕЛЬ:
⮚ снизить время на Поиск/Выявление инцидентов
⮚ снизить время на Расследование инцидентов
⮚ снизить время на Устранение последствий
6. 6
Методы внедрения FortiSandbox
• Интегрированный: интеграция с
FortiMail, FortiGate, FortiWeb,
FortiClient, посредством API или ICAP
• Сниффер/Тап: захват пакетов,
извлечение объектов
• По требованию/shares: проверка
общих папок – CIFS, NFSv2/v3/v4,
отправка и анализ по внешнему
запросу
11. 11
Интеграция FortiGate и FortiSandbox
Со стороны FortiGate
• Инспекция входящего/исходящего
трафика
• Передача подозрительных/всех
объектов в песочницу
• Получение результатов и локальных
обновлений
• Действия в один клик (карантин)
• Блокировка распространения атаки
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiGate
• Анализ всех объектов и сетевой
активности
• Определение рейтинга объектов
• Динамическая генерация и
распространения “threat intelligence”
12. 12
Интеграция FortiWeb и FortiSandbox
Со стороны FortiWeb
• Предотвращение эксплуатации
уязвимостей
• Блокировка выгрузки известного
вредоносного ПО (антивирус)
• Отправка подозрительны/всех выгрузок
на анализ в песочницу
• Прием результатов и предотвращение
вредоносного ПО или файлов с высоким
риском
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiWeb
• Определение рейтинга объектов
• Поддержание базы результатов
FortiSandbox
13. 13
▪ On-Premise and Cloud options
▪ FortiMail задерживает почту и
отправляет файлы и URL в
FortiSandbox для анализа
» AV Pre-filtering
» Поиск результатов в облаке –
известен ли образец как плохой
» Анализ объекта в виртуальной среде
» Callback detection – пытается ли
образец обратится куда-то в
Интернет за инструкциями
» Присвоить и вернуть рейтинг
объекта для представления
» FortiMail поддерживает кэш
результатов FortiSandbox
Интеграция FortiMail и FortiSandbox
14. 14
Интеграция FortiClient и FortiSandbox
Со стороны FortiClient
• Отправка объектов на анализ
• Опционально – задержка запуска
объекта до результата анализа
• Автоматический карантин вредоносных
объектов
• Прием «threat intelligence» от
локального FortiSandbox
• Блокировка объектов, признанных
вредоносными - FortiGuard
Со стороны FortiSandbox
• Сниффер извлекает объекты для
анализа и индикаторы активности C&C
• Прием объектов от FortiClient
• Анализ всех объектов и сетевой
активности
• Назначение и предоставление
рейтинга
• Поддержание базы результатов
FortiSandbox
16. 16
Результат сканирования файла
• Метаданные файла и полный результат сканирования
• Графическая сводка подозрительной активности
(графики, скриншоты экрана, запись видео…)
17. 17
Malware Package
Динамические сигнатуры генерируемые FortiSandbox:
✔ Любой образец определенный как Malicious, High или Medium Risk
может быть добавлен в Malware Package
✔ FortiGate и FortiClient подключенные к FortiSandbox, загружают Malware
Package по мере их появления
✔ FortiMail проверяет хэш файла в Malware Package до его отправки в
FortiSandbox (т.е. до пересылки файла на анализ)
✔ Содержимое Malware Package доступно в меню File-Based
Detection>File Input>Device
✔ STIX
18. 18
Sandboxing Evasion Techniques (техника уклонения, обхода)
- сокрытие исполнения файла в «песочнице»
- выявление техники обхода «песочницы»
системные вызовы – виртуальная
среда или нет?
попытки определить, является ли
среда виртуальной (memory, CPU,
MAC, NIC, disk …)
проверка наличия сетевого
трафика (Nx Number of Network
Packets)
проверка наличия adware cookies: google, facebook… etc
запросы наличия домена Windows
Проверка «времени жизни» рабочей
станции (test VM = short lifespan)
Excessive sleep time, NxMouse Click,
Scroll to page X, fast mouse
movements… И МНОГОЕ ДРУГОЕ
20. 20
Высокая доступность и балансировка нагрузки
• Master и Primary Slave должны
быть одинаковыми (одна и та
же модель)
• Regular Slave могут отличаться
от Master (подходят любые
модели)
• До 100 Slave в кластере
22. 22
Опции MSSP (Managed Security Service Provider)
Per Admin Files/Log View
VDOM based reporting
23. 23
Варианты FortiSandbox Appliance, VM, Cloud (SaaS and Public-AWS)
Market Size
Mid
Enterprise
Service
Provider
Mid Small
Mid
Mid Mid
Enterprise
Service
Provider
Enterprise
Service
Provider
Small
Mid
Enterprise
Performanc
e &
Scalability
Количество VMs
8 per node,
Up to 99
nodes/cluster
6
(base 2)
8
(base 2)
24
(base 4)
56
(base 8)
60
(base 36)
Согласно
лицензии
Pre-filter
(файлов/час)
Варьируется 4 500 6000 12 000 15 000 48 000
Согласно
лицензии
Sandboxing
(файлов/час)
Варьируется 120 160 480 1120 1200
Согласно
лицензии
Real-world
performance
(файлов/час)
Варьируется 360 480 1 440 3 360 3 600
Согласно
лицензии
FSA-VM FSA-500F
FSA-1000D
FSA-2000E
FSA-3000E
FSA-3500D
FSA-Cloud
SaaS
24. 24
File
Submission/
Result
Quarantine Devices/Block Traffic
FortiClient (ATP Agent)
Device/File
Quarantine
FortiGate/FortiMail/FortiWeb
Block Objects
FortiGuard Labs
Intelligence Sharing
Security Updates
Forensics and
Response
File
Submission/
Result
Real-time Intelligence Updates
FortiSandbox
Fortinet Advanced Threat Protection
Автоматизированный обмен данными и реакция на события
Fabric Ready
Endpoint Partners
25. 25
Заключение – 3 основных свойства FortiSandbox
FortiSandbox
лучший выбор для защиты от целенаправленных атак
Лучшая защита
⮚ Рекомендация NSS
Labs, 99%
эффективность,
выявление < 3 мин
⮚ Высокий рейтинг
антивируса (VB)
⮚ Антивирус, облачная
репутация файлов и
быстрая эмуляция
Лучшая стоимость /
производительность
⮚ Требуется меньше
устройств
⮚ SSL инспекция с
FortiGate
⮚ Возможность защиты от
большинства векторов в
интегрированном
развертывании
Гибкое
развертывание
⮚ Развертывание
standalone или
integrated
⮚ Устройство, VM или
облачный сервис
⮚ Ключевой элемент
единой архитектуры
защиты от
расширенных угроз