Denis Batrankov, CISSP, profile picture
Uploaded byDenis Batrankov, CISSP
PPTX, PDF11,154 views

Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности

Документ обсуждает вопросы выбора решений по информационной безопасности для финансовых организаций, основанные на опыте атак Anunak, которые показали уязвимость более 50 банков Российской Федерации. Рассматриваются методы атак, существующие защиты и возможности нового поколения межсетевых экранов, акцентируя внимание на необходимости глубокой аналитики приложений и сетевых потоков для предотвращения утечек данных и атак. В документе также обсуждаются технологии, используемые для защиты, такие как песочницы и анализ поведения, а также важность определения и сегментации приложений внутри сети.

Embed presentation

Downloaded 31 times
Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности Уральский форум по информационной безопасности финансовых организаций Денис Батранков Russia@paloaltonetworks.com twitter @batrankov
АТАКА ANUNAK Успешно получен доступ внутрь корпоративных сетей более чем 50 банков Как атаковали: • Инфицирование через drive-by-download: Andromeda и Pony • Трояны через Neutrino Exploit Kit • Поддельные письма с вредоносными вложениями от имени ЦБ РФ • Использование существующих ботнетов для проникновения в банк • Снятие денег из банкоматов и через Интернет-кошельки Подтверждено, что было под удаленным управлением 52 банкомата Украдено более 1 млрд. рублей с 2013 по 2014 год из банков в России http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
Везде была защита, но не помогла:  Классический «портовый» межсетевой экран  Системы предотвращения атак (IPS)  Технологии на базе HTTP прокси серверов  Классический антивирус на ПК (лучший из top10)
Почему?
На конференции мы обсуждали это:
Предлагаю механизм. Межсетевой экран может подгрузить список IP, URL, доменных имен с сервера ФинЦЕРТ из текстового файла и сразу заблокировать доступ Скачивает этот список автоматически www.paloaltonetworks.com/documentation/71/pan-os/pan-os/policy/external-dynamic-list.html
Threat Intelligence: Как решение блокирует обратный канал от зараженных пользователей и серверов к внешнему серверу управления злоумышленника (command & control)?
DNS Sinkholing: Как выполняется блокирование DNS запросов к С&C серверами? Что вендор говорит про fast-flux?
1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты  нестандартное использование стандартных портов  создание новых специализированных протоколов для атаки Техники уклонения от IPS/IDS и Firewall
2.Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования signatures Port 10000 HTTP Port 80 Техники уклонения от IPS/IDS и Firewall
Даже стандартные приложения являются источником рисков Приложения могут быть “несанкционированными” • P2P, туннельные приложения, анонимайзеры, мультимедиа, TOR, Bitcoin Угрозы есть внутри приложений • Угрозы переместились на уровень приложений – система защиты еще на уровне сети
Через периметр компании проходит 200-300 разных приложений
Пакет Source Address TCP Port 80 Данные приложения Destination Address Source Address TCP Port 80 Destination AddressПакет Как отличает приложения ваш межсетевой экран? Критерий: Порт – традиционно обозначал приложение (HTTP = порт 80). А что будет, если приложение использует нестандартный порт? Нужно добавить новый критерий проверки: данные приложения Приложение использует специфические передаваемые данные и по ним его можно определить вне зависимости от порта flash = данные для анимации внутри браузера от Adobe Данные приложения
Анализируя данные, мы начинаем идентифицировать приложения вне зависимости от порта. Например: другого способа определить в трафике Skype, TeamViewer, TOR, Bittorent не существует.
Может ли система защиты определять динамические приложения? Например: Skype, TeamViewer, TOR, Bittorent.
Может ли система защиты - и видеть приложения - и блокировать приложения? Пример: если skype блокировать один способ подключения, то он находит другие методы, обходя текущие блокировки
Может ли система защиты определять приложения по их нестандартным портам? Например: POP3 по порту 10000
Адаптируется ли аналитика средства защиты, если приложение использует нестандартный порт? Например: FTP по 80 порту
Квалификаторы Firewall и UTM rule1 • Если совпал source, destination, port • Действие rule2 • Если совпал source, destination, port • Действие rule3 • Если совпал source, destination, port • Действие По каким критериям мы принимаем решение о потоке трафика?
rule1 • Если совпал source, destination, port, приложение, URL, пользователь • Действие rule2 • Если совпал source, destination, port, приложение, URL, пользователь • Действие rule3 • Если совпал source, destination, port, приложение, URL, пользователь • Действие Есть разница? Квалификаторы NGFW Palo Alto Networks По каким критериям мы принимаем решение о потоке трафика?
Является ли приложение квалификатором в вашем межсетевом экране?
User-ID: Как вы распознаете пользователя на входе в сеть? Пользователь = SOURCE IP + SOURCE PORT в каждый момент времени 1) Соответствие пользователь-IP-порт получаем из : • активная аутентификация (Captive Portal, локальный агент) • пассивная идентификация • активная идентификация 2) user-group-mapping Чем больше источников информации, тем лучше: MS AD, сетевые ресурсы, VDI, Wi-Fi, NAC, SSL VPN, BYOD, …
User-ID в распределенной сети очень полезна Совмещение активной и пассивной аутентификации/идентификации, агентской и безагентской схемы, репликация данных User-ID между NGFW •Captive Portal •Event log monitoring •WMI Probing •Server session monitoring •User-ID Replication
Из каких источников средство защиты берет соответствие конкретного пользователя и его текущего IP? Например: из журналов Active Directory
Сегментация сети  Почему не смотреть свой же трафик внутри?  Разделите сеть на зоны и контролируйте приложения и угрозы внутри и заражения станций Пример: В атаке ANUNAK взломав компьютер сотрудника банка, следующим этапом проникали в банкоматы по RDP, потому что не было внутренней сегментации
Хватит ли производительности устройства защиты на внутренний трафик между сегментами? Например: вы хотите проверять приложения, вирусы и атаки на суммарной скорости 10Гбит/с
У вас 200-300 приложений в сети. Сколько из них вы защищаете сегодня? Чаще всего защита только HTTP и SMTP HTTP – Port 80 HTTPS – Port 443 ??? ??? ??? ??? ??? ??? Фокус на HTTP/SMTP оставляет злоумышленнику доступным большой арсенал атак по другим приложениям. Проверяете ли вы FTP, IMAP, POP3?
Проверка файлов на NGFW Межсетевые экраны нового поколения видят файлы (которые приложения передают), дают возможность блокировать передачу файлов по различным критериям, например: - Запретить передачу данного типа файлов - Запретить передачу файла, потому что там содержится вирус Например: запретить передачу зашифрованного архива RAR в GMAIL
В каких именно приложениях ваше средство защиты видит файлы?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
В каких именно приложениях работает сигнатурный антивирус?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
Как устройство защиты определяет тип файла: по имени или по внутреннему формату? Например: Злоумышленник может переименовать exe файл в расширение txt и передать Злоумышленник может переименовать doc файл в jpg и передать
Пример  Контроль файлов для разных веб-приложений  Разрешить веб-почту только по HTTPS (но не по HTTP)  Разрешить отдельные онлайн файловые сервисы для VIP  Запретить получение/скачивание исполняемых файлов (высокий уровень риска)  Запретить отправку архивов с паролем, которые не могут быть проверены на внешнем DLP  Разрешить отправку документов только для веб-почты, но не для файловых сервисов
Может ли ваш межсетевой экран пройти NGFW тест на сайте http://pdftest.ngfw-test.com/ ?  Включить блокировку pdf файлов только в приложении Application1. Показать в журнале межсетевого экрана соответствующую запись где есть следующие поля: имя приложения, имя файла (должно быть PowerShell_ISE_v4.pdf) и примененное действие (должно быть заблокировано)  Включить блокировку вирусов только от приложения Application1. Показать в журнале межсетевого экрана соответствующую запись где есть следующие поля: имя приложения, имя вируса (должно быть Eicar) и действие (должно быть заблокировано)
Две стороны одного протокола SSL SSL для защиты данных или чтобы скрыть вредоносную активность? TDL-4 Poison IVY Rustock APT1Ramnit Citadel Aurora BlackPOS
Исходящий SSL требует перехвата сессии Установить SSL соединение Session Key 1 Клиент думает, что проверяет сертификат от сервера, а на самом деле от NGFW Сервер отправляет свой сертификат на NGFW NGFW создает сертификат и отправляет пользователю Session Key 2 Внутренний пользователь Внешний сервер
Входящий SSL не требует перехвата Сессия между сервером и пользователем остается неизменной, однако NGFW видит сессионный ключ и расшифровывает трафик Создать SSL подключение Клиент проверяет сертификат сервера Сервер посылает свой сертификат NGFW уже содержит сертификат сервера Session Key Внешний пользователь Внутренний сервер
Схема работы расшифрования SSL  После расшифрования трафик будет проверен и он может быть также отослан на внешний зеркальный порт (например во внешний DLP) Decrypt mirror output ! Cleartext data is copied to decrypt mirror interface . ! TCP Handshake and TCP checksums are artificially recreated. 12 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Вы расшифровываете SSL?
Насколько сильно падает производительность оборудования при включении расшифрования SSL?
SSL и URL фильтрация  URL категории без расшифрования  IP адрес сервера  Common Name and SubjectAlternativeName in a Server Certificate  SNI (Server Name Indicator) in TLS Handshake Extension  URL фильтрация после расшифрования  URL база с категориями (60+ Cayegories, millions of URLs)  Собственные URL ссылки и категории  До 200K собственных URL ссылок в PA-7050
Как работает URL фильтрация для HTTPS?
Вы расшифровываете SSH?
Интеграция в сетевую инфраструктуру?  Tap режим - SPAN порт свитча для аудита или обзора приложений в сети  Virtual Wire - для прозрачного контроля и сохранения текущей топологии  На 2 уровне OSI идеально для фильтрации между VLAN  На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW Tap Layer 3 OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN LACP VPN QoS Virtual Wire Layer 2  Виртуальные системы, кластер А/А, А/Р
Какие системы виртуализации защищает решение? Например: VmWare, Hyper-V, KVM, Citrix
Построение защиты от современных угроз и целенаправленных атак (APT)
Anunak – письмо с вредоносным вложением
Технологии Palo Alto Networks, применяемые для защиты от современных угроз App-ID URL IPS ThreatLicense Spyware AV Files Sandboxing & Adv.Endpoint Protection Block high-risk apps Block known malware sites Block the exploit Prevent drive-by-downloads Detect / prevent unknown malware Block malware Block spyware, C&C traffic Block C&C on non-standard ports Block malware, fast-flux domains Correlate and block C&C: malware URL, DNS sinkholing Координи- рованное блокирование активных атак по сигнатурам, источникам, поведению Приманка Эксплоит Загрузка ПО для «черного хода» Установление обратного канала Разведка и кража данных Anti-Exploitation – prevent 0-day Check e-mail links
Анализируем поведение: помещаем файл в песочницу Wildfire – защита от неизвестных угроз на уровне сети Корпоративная сеть Internet Palo Alto Networks security platform center Локальная песочница (WF-500) Файлы Сигнатуры Публичная песочница – облачный сервис Сигнатуры Файлы WildFireTM Исполняемые файлы (*.exe,*.dll, *.bat, *.sys, и т.д.) , flash, JAR, Android APK, ссылки в почте Офисные документы, PDF Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.
Песочница для WEB Песочница для email Песочница для файл-сервера Центр управления Ручной анализ Много песочниц: на каждое приложение: HTTP, SMTP, POP3, IMAP, FTP, SMB При масштабировании нужны снова все эти песочницы WildFireTM WildFire облако или устройство WF-500 Один межсетевой экран + одна песочница Wildfire. При масштабировании новая песочница не нужна  Легкая интеграция  Легко расширяется  Эффективное расходование средств  Перехват файлов на NGFW и отправка в WildFire  Отправка файлов в WildFire через XML API  Сложно управлять  Сложно масштабировать  Дорого  Множество устройств для перехвата файлов из разных приложений Разные архитектуры песочниц
Сколько файлов может обработать песочница в день?
Скорость создания сигнатуры в песочнице?
Есть сигнатура в песочнице – чем блокировать теперь трафик с вредоносным кодом?
Будет ли перехватывать файлы песочница по нестандартному порту? Как работает с нестандартными портами потоковый антивирус? Как работает с нестандартными портами сетевой IPS?
Какие типы файлов можно запускать в песочнице? Пример: exe, dll, bat, sys, flash, jar, apk, doc, xls, pdf, Mach-O, DMG, PKG
В каких приложениях работает песочница?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
Проверяет ли песочница URL ссылки в почтовых сообщениях песочница?
Как «песочница» предотвращает отложенное исполнение вредоносных файлов с целью избежать обнаружения?
Что предлагает производитель делать с файлом, в то время пока файл анализируется и еще нет вердикта? Пример: сотрудник скачал файл по FTP на свой компьютер. Сигнатурный антивирус говорит, что файл чистый. Песочница еще не вернула результат анализа. Что делать?
Сколько будет стоить техническая поддержка на следующий год?
Есть ли у вендора первый уровень техподдержки на русском языке? Круглосуточно 24x7 или 8x5?
Как происходит замена оборудования? Сколько по времени это занимает?
Средний срок жизни системы?
Туннелирование в DNS запросах? tcp-over-dns – мы видим почти в каждой сети этот туннель Например: Номера кредитных карточек из компании Sony после взлома Sony Playstation Network отправляли внутри DNS запросов
А видите ли вы туннелирование? Например, внутри трафика DNS: Примеры  tcp-over-dns  dns2tcp  Iodine  Heyoka  OzymanDNS  NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
Какие туннели видит продукт? И как блокирует?
Платформа Palo Alto Networks Мы работаем для вашей защиты Обеспечиваем заданную производительность при всех включенных сервисах безопасности Email офиса в России: Russia@paloaltonetworks.com

More Related Content

PPTX
Zero Trust Networking with Palo Alto Networks Security
byDenis Batrankov, CISSP
 
PPTX
Визуализация взломов в собственной сети
byDenis Batrankov, CISSP
 
PPTX
Смотрим в HTTPS
byDenis Batrankov, CISSP
 
PPTX
Защита корпорации на платформе Palo Alto Networks
byDenis Batrankov, CISSP
 
PPTX
Решения для защиты корпоративных и коммерческих цод
byDenis Batrankov, CISSP
 
PDF
Expose the underground - Разоблачить невидимое
byDenis Batrankov, CISSP
 
PPTX
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
byDenis Batrankov, CISSP
 
PPTX
Отличие NGFW и UTM
byDenis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
byDenis Batrankov, CISSP
 
Визуализация взломов в собственной сети
byDenis Batrankov, CISSP
 
Смотрим в HTTPS
byDenis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
byDenis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
byDenis Batrankov, CISSP
 
Expose the underground - Разоблачить невидимое
byDenis Batrankov, CISSP
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
byDenis Batrankov, CISSP
 
Отличие NGFW и UTM
byDenis Batrankov, CISSP
 

What's hot

PDF
Архитектура защищенного периметра
byCisco Russia
 
PDF
Межсетевые экраны нового поколения Palo Alto Networks
byКРОК
 
PDF
Network Behaviour Analysis — новый подход к защите корпоративных сетей
byЭЛВИС-ПЛЮС
 
PDF
Тенденции кибербезопасности
byAleksey Lukatskiy
 
PPTX
Системы предотвращения потери данных
byPete Kuzeev
 
PPTX
12 причин хорошего SOC
byDenis Batrankov, CISSP
 
PDF
Методы современных кибепреступников
byCisco Russia
 
PDF
Доклад SiteSecure
byPositive Hack Days
 
PPTX
Nexthop lab-v4
byPete Kuzeev
 
PDF
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
PDF
Check point держи марку! Серия №1
byКомпания УЦСБ
 
PDF
McAfee Data Protection 2014
byVladyslav Radetsky
 
PDF
S-terra, держи марку!
byКомпания УЦСБ
 
PPTX
Сравнение ТОП 5 SIEM РФ
byPete Kuzeev
 
PDF
платформа кибер безопасности Palo alto networks
byDiana Frolova
 
PDF
Защита мобильных пользователей
byCisco Russia
 
PPT
Новые угрозы безопасности
byDenis Batrankov, CISSP
 
PDF
20% of investment and 80% of profit. How to implement security requirements a...
byIgor Gots
 
PPTX
Лучшие практики по защите IoT и ICS/SCADA
byDenis Batrankov, CISSP
 
PDF
Как правильно сделать SOC на базе SIEM
byDenis Batrankov, CISSP
 
Архитектура защищенного периметра
byCisco Russia
 
Межсетевые экраны нового поколения Palo Alto Networks
byКРОК
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
byЭЛВИС-ПЛЮС
 
Тенденции кибербезопасности
byAleksey Lukatskiy
 
Системы предотвращения потери данных
byPete Kuzeev
 
12 причин хорошего SOC
byDenis Batrankov, CISSP
 
Методы современных кибепреступников
byCisco Russia
 
Доклад SiteSecure
byPositive Hack Days
 
Nexthop lab-v4
byPete Kuzeev
 
Обнаружение необнаруживаемого
byAleksey Lukatskiy
 
Check point держи марку! Серия №1
byКомпания УЦСБ
 
McAfee Data Protection 2014
byVladyslav Radetsky
 
S-terra, держи марку!
byКомпания УЦСБ
 
Сравнение ТОП 5 SIEM РФ
byPete Kuzeev
 
платформа кибер безопасности Palo alto networks
byDiana Frolova
 
Защита мобильных пользователей
byCisco Russia
 
Новые угрозы безопасности
byDenis Batrankov, CISSP
 
20% of investment and 80% of profit. How to implement security requirements a...
byIgor Gots
 
Лучшие практики по защите IoT и ICS/SCADA
byDenis Batrankov, CISSP
 
Как правильно сделать SOC на базе SIEM
byDenis Batrankov, CISSP
 

Similar to Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности

PPTX
Вопросы для выбора решения NGFW и песочниц v3.pptx
byMaxMukhin
 
PPT
IBM Proventia IPS
byПетр Королев
 
PDF
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
byAleksey Lukatskiy
 
PDF
IBM Proventia IPS
byПетр Королев
 
PDF
ARinteg: Защита сетевого периметра
byExpolink
 
PPTX
Application security? Firewall it!
byPositive Hack Days
 
PDF
Application Visibility and Control - обзор технологии и функционала
byCisco Russia
 
PDF
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
byAleksey Lukatskiy
 
PDF
Какими функциями должен обладать современный NGFW?
byAleksey Lukatskiy
 
PDF
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
byDialogueScience
 
PDF
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
byCisco Russia
 
PDF
Системы предотвращения вторжений нового поколения
byCisco Russia
 
PDF
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
byCisco Russia
 
PPT
Емельянников_Безопасность электронного бизнеса
byMikhail Emeliyannikov
 
PDF
Тренды угроз для БД и веб-приложений
byАльбина Минуллина
 
PDF
Fortinet. Дмитрий Рагушин. "Проблемы защиты корпоративного периметра"
byExpolink
 
PDF
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
byCisco Russia
 
PDF
Cisco ASA CX обеспечивает безопасность с учетом контекста
byCisco Russia
 
PDF
безопасный удалённый доступ
byExpolink
 
PPTX
McAfee Enterpise Firewall v8
byAndrei Novikau
 
Вопросы для выбора решения NGFW и песочниц v3.pptx
byMaxMukhin
 
IBM Proventia IPS
byПетр Королев
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
byAleksey Lukatskiy
 
IBM Proventia IPS
byПетр Королев
 
ARinteg: Защита сетевого периметра
byExpolink
 
Application security? Firewall it!
byPositive Hack Days
 
Application Visibility and Control - обзор технологии и функционала
byCisco Russia
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
byAleksey Lukatskiy
 
Какими функциями должен обладать современный NGFW?
byAleksey Lukatskiy
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
byDialogueScience
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
byCisco Russia
 
Системы предотвращения вторжений нового поколения
byCisco Russia
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
byCisco Russia
 
Емельянников_Безопасность электронного бизнеса
byMikhail Emeliyannikov
 
Тренды угроз для БД и веб-приложений
byАльбина Минуллина
 
Fortinet. Дмитрий Рагушин. "Проблемы защиты корпоративного периметра"
byExpolink
 
Выбор межсетевого экрана нового поколения: 10 важнейших факторов
byCisco Russia
 
Cisco ASA CX обеспечивает безопасность с учетом контекста
byCisco Russia
 
безопасный удалённый доступ
byExpolink
 
McAfee Enterpise Firewall v8
byAndrei Novikau
 

Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности

  • 1.
    Какие вопросы чащевсего задают вендору при выборе решения по информационной безопасности Уральский форум по информационной безопасности финансовых организаций Денис Батранков Russia@paloaltonetworks.com twitter @batrankov
  • 2.
    АТАКА ANUNAK Успешно получендоступ внутрь корпоративных сетей более чем 50 банков Как атаковали: • Инфицирование через drive-by-download: Andromeda и Pony • Трояны через Neutrino Exploit Kit • Поддельные письма с вредоносными вложениями от имени ЦБ РФ • Использование существующих ботнетов для проникновения в банк • Снятие денег из банкоматов и через Интернет-кошельки Подтверждено, что было под удаленным управлением 52 банкомата Украдено более 1 млрд. рублей с 2013 по 2014 год из банков в России http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
  • 3.
    Везде была защита,но не помогла:  Классический «портовый» межсетевой экран  Системы предотвращения атак (IPS)  Технологии на базе HTTP прокси серверов  Классический антивирус на ПК (лучший из top10)
  • 4.
  • 5.
    На конференции мыобсуждали это:
  • 6.
    Предлагаю механизм. Межсетевойэкран может подгрузить список IP, URL, доменных имен с сервера ФинЦЕРТ из текстового файла и сразу заблокировать доступ Скачивает этот список автоматически www.paloaltonetworks.com/documentation/71/pan-os/pan-os/policy/external-dynamic-list.html
  • 7.
    Threat Intelligence: Как решениеблокирует обратный канал от зараженных пользователей и серверов к внешнему серверу управления злоумышленника (command & control)?
  • 8.
    DNS Sinkholing: Как выполняетсяблокирование DNS запросов к С&C серверами? Что вендор говорит про fast-flux?
  • 9.
    1. Распространение вредоносного ПОили нелегитимного трафика через открытые порты  нестандартное использование стандартных портов  создание новых специализированных протоколов для атаки Техники уклонения от IPS/IDS и Firewall
  • 10.
    2.Использование стандартных протоколов на нестандартныхпортах – уклонение от сигнатурного сканирования signatures Port 10000 HTTP Port 80 Техники уклонения от IPS/IDS и Firewall
  • 11.
    Даже стандартные приложенияявляются источником рисков Приложения могут быть “несанкционированными” • P2P, туннельные приложения, анонимайзеры, мультимедиа, TOR, Bitcoin Угрозы есть внутри приложений • Угрозы переместились на уровень приложений – система защиты еще на уровне сети
  • 12.
    Через периметр компаниипроходит 200-300 разных приложений
  • 13.
    Пакет Source Address TCP Port 80 Данные приложения Destination Address Source Address TCPPort 80 Destination AddressПакет Как отличает приложения ваш межсетевой экран? Критерий: Порт – традиционно обозначал приложение (HTTP = порт 80). А что будет, если приложение использует нестандартный порт? Нужно добавить новый критерий проверки: данные приложения Приложение использует специфические передаваемые данные и по ним его можно определить вне зависимости от порта flash = данные для анимации внутри браузера от Adobe Данные приложения
  • 14.
    Анализируя данные, мыначинаем идентифицировать приложения вне зависимости от порта. Например: другого способа определить в трафике Skype, TeamViewer, TOR, Bittorent не существует.
  • 15.
    Может ли системазащиты определять динамические приложения? Например: Skype, TeamViewer, TOR, Bittorent.
  • 16.
    Может ли системазащиты - и видеть приложения - и блокировать приложения? Пример: если skype блокировать один способ подключения, то он находит другие методы, обходя текущие блокировки
  • 17.
    Может ли системазащиты определять приложения по их нестандартным портам? Например: POP3 по порту 10000
  • 18.
    Адаптируется ли аналитика средствазащиты, если приложение использует нестандартный порт? Например: FTP по 80 порту
  • 19.
    Квалификаторы Firewall иUTM rule1 • Если совпал source, destination, port • Действие rule2 • Если совпал source, destination, port • Действие rule3 • Если совпал source, destination, port • Действие По каким критериям мы принимаем решение о потоке трафика?
  • 20.
    rule1 • Если совпалsource, destination, port, приложение, URL, пользователь • Действие rule2 • Если совпал source, destination, port, приложение, URL, пользователь • Действие rule3 • Если совпал source, destination, port, приложение, URL, пользователь • Действие Есть разница? Квалификаторы NGFW Palo Alto Networks По каким критериям мы принимаем решение о потоке трафика?
  • 21.
    Является ли приложение квалификаторомв вашем межсетевом экране?
  • 22.
    User-ID: Как выраспознаете пользователя на входе в сеть? Пользователь = SOURCE IP + SOURCE PORT в каждый момент времени 1) Соответствие пользователь-IP-порт получаем из : • активная аутентификация (Captive Portal, локальный агент) • пассивная идентификация • активная идентификация 2) user-group-mapping Чем больше источников информации, тем лучше: MS AD, сетевые ресурсы, VDI, Wi-Fi, NAC, SSL VPN, BYOD, …
  • 23.
    User-ID в распределеннойсети очень полезна Совмещение активной и пассивной аутентификации/идентификации, агентской и безагентской схемы, репликация данных User-ID между NGFW •Captive Portal •Event log monitoring •WMI Probing •Server session monitoring •User-ID Replication
  • 24.
    Из каких источниковсредство защиты берет соответствие конкретного пользователя и его текущего IP? Например: из журналов Active Directory
  • 25.
    Сегментация сети  Почемуне смотреть свой же трафик внутри?  Разделите сеть на зоны и контролируйте приложения и угрозы внутри и заражения станций Пример: В атаке ANUNAK взломав компьютер сотрудника банка, следующим этапом проникали в банкоматы по RDP, потому что не было внутренней сегментации
  • 26.
    Хватит ли производительности устройствазащиты на внутренний трафик между сегментами? Например: вы хотите проверять приложения, вирусы и атаки на суммарной скорости 10Гбит/с
  • 27.
    У вас 200-300приложений в сети. Сколько из них вы защищаете сегодня? Чаще всего защита только HTTP и SMTP HTTP – Port 80 HTTPS – Port 443 ??? ??? ??? ??? ??? ??? Фокус на HTTP/SMTP оставляет злоумышленнику доступным большой арсенал атак по другим приложениям. Проверяете ли вы FTP, IMAP, POP3?
  • 28.
    Проверка файлов наNGFW Межсетевые экраны нового поколения видят файлы (которые приложения передают), дают возможность блокировать передачу файлов по различным критериям, например: - Запретить передачу данного типа файлов - Запретить передачу файла, потому что там содержится вирус Например: запретить передачу зашифрованного архива RAR в GMAIL
  • 29.
    В каких именноприложениях ваше средство защиты видит файлы?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
  • 30.
    В каких именноприложениях работает сигнатурный антивирус?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
  • 31.
    Как устройство защиты определяеттип файла: по имени или по внутреннему формату? Например: Злоумышленник может переименовать exe файл в расширение txt и передать Злоумышленник может переименовать doc файл в jpg и передать
  • 32.
    Пример  Контроль файловдля разных веб-приложений  Разрешить веб-почту только по HTTPS (но не по HTTP)  Разрешить отдельные онлайн файловые сервисы для VIP  Запретить получение/скачивание исполняемых файлов (высокий уровень риска)  Запретить отправку архивов с паролем, которые не могут быть проверены на внешнем DLP  Разрешить отправку документов только для веб-почты, но не для файловых сервисов
  • 33.
    Может ли вашмежсетевой экран пройти NGFW тест на сайте http://pdftest.ngfw-test.com/ ?  Включить блокировку pdf файлов только в приложении Application1. Показать в журнале межсетевого экрана соответствующую запись где есть следующие поля: имя приложения, имя файла (должно быть PowerShell_ISE_v4.pdf) и примененное действие (должно быть заблокировано)  Включить блокировку вирусов только от приложения Application1. Показать в журнале межсетевого экрана соответствующую запись где есть следующие поля: имя приложения, имя вируса (должно быть Eicar) и действие (должно быть заблокировано)
  • 34.
    Две стороны одногопротокола SSL SSL для защиты данных или чтобы скрыть вредоносную активность? TDL-4 Poison IVY Rustock APT1Ramnit Citadel Aurora BlackPOS
  • 35.
    Исходящий SSL требуетперехвата сессии Установить SSL соединение Session Key 1 Клиент думает, что проверяет сертификат от сервера, а на самом деле от NGFW Сервер отправляет свой сертификат на NGFW NGFW создает сертификат и отправляет пользователю Session Key 2 Внутренний пользователь Внешний сервер
  • 36.
    Входящий SSL нетребует перехвата Сессия между сервером и пользователем остается неизменной, однако NGFW видит сессионный ключ и расшифровывает трафик Создать SSL подключение Клиент проверяет сертификат сервера Сервер посылает свой сертификат NGFW уже содержит сертификат сервера Session Key Внешний пользователь Внутренний сервер
  • 37.
    Схема работы расшифрованияSSL  После расшифрования трафик будет проверен и он может быть также отослан на внешний зеркальный порт (например во внешний DLP) Decrypt mirror output ! Cleartext data is copied to decrypt mirror interface . ! TCP Handshake and TCP checksums are artificially recreated. 12 | ©2014, Palo Alto Networks. Confidential and Proprietary.
  • 38.
  • 39.
  • 40.
    SSL и URLфильтрация  URL категории без расшифрования  IP адрес сервера  Common Name and SubjectAlternativeName in a Server Certificate  SNI (Server Name Indicator) in TLS Handshake Extension  URL фильтрация после расшифрования  URL база с категориями (60+ Cayegories, millions of URLs)  Собственные URL ссылки и категории  До 200K собственных URL ссылок в PA-7050
  • 41.
    Как работает URLфильтрация для HTTPS?
  • 42.
  • 43.
    Интеграция в сетевуюинфраструктуру?  Tap режим - SPAN порт свитча для аудита или обзора приложений в сети  Virtual Wire - для прозрачного контроля и сохранения текущей топологии  На 2 уровне OSI идеально для фильтрации между VLAN  На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW Tap Layer 3 OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN LACP VPN QoS Virtual Wire Layer 2  Виртуальные системы, кластер А/А, А/Р
  • 44.
    Какие системы виртуализации защищаетрешение? Например: VmWare, Hyper-V, KVM, Citrix
  • 45.
    Построение защиты от современныхугроз и целенаправленных атак (APT)
  • 46.
    Anunak – письмос вредоносным вложением
  • 47.
    Технологии Palo AltoNetworks, применяемые для защиты от современных угроз App-ID URL IPS ThreatLicense Spyware AV Files Sandboxing & Adv.Endpoint Protection Block high-risk apps Block known malware sites Block the exploit Prevent drive-by-downloads Detect / prevent unknown malware Block malware Block spyware, C&C traffic Block C&C on non-standard ports Block malware, fast-flux domains Correlate and block C&C: malware URL, DNS sinkholing Координи- рованное блокирование активных атак по сигнатурам, источникам, поведению Приманка Эксплоит Загрузка ПО для «черного хода» Установление обратного канала Разведка и кража данных Anti-Exploitation – prevent 0-day Check e-mail links
  • 48.
    Анализируем поведение: помещаемфайл в песочницу Wildfire – защита от неизвестных угроз на уровне сети Корпоративная сеть Internet Palo Alto Networks security platform center Локальная песочница (WF-500) Файлы Сигнатуры Публичная песочница – облачный сервис Сигнатуры Файлы WildFireTM Исполняемые файлы (*.exe,*.dll, *.bat, *.sys, и т.д.) , flash, JAR, Android APK, ссылки в почте Офисные документы, PDF Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.
  • 49.
    Песочница для WEB Песочницадля email Песочница для файл-сервера Центр управления Ручной анализ Много песочниц: на каждое приложение: HTTP, SMTP, POP3, IMAP, FTP, SMB При масштабировании нужны снова все эти песочницы WildFireTM WildFire облако или устройство WF-500 Один межсетевой экран + одна песочница Wildfire. При масштабировании новая песочница не нужна  Легкая интеграция  Легко расширяется  Эффективное расходование средств  Перехват файлов на NGFW и отправка в WildFire  Отправка файлов в WildFire через XML API  Сложно управлять  Сложно масштабировать  Дорого  Множество устройств для перехвата файлов из разных приложений Разные архитектуры песочниц
  • 50.
  • 51.
  • 52.
    Есть сигнатура впесочнице – чем блокировать теперь трафик с вредоносным кодом?
  • 53.
    Будет ли перехватыватьфайлы песочница по нестандартному порту? Как работает с нестандартными портами потоковый антивирус? Как работает с нестандартными портами сетевой IPS?
  • 54.
    Какие типы файловможно запускать в песочнице? Пример: exe, dll, bat, sys, flash, jar, apk, doc, xls, pdf, Mach-O, DMG, PKG
  • 55.
    В каких приложенияхработает песочница?  HTTP (S)  SMTP (S)  POP3 (S)  IMAP (S)  FTP (S)  SMB Например:
  • 56.
    Проверяет ли песочницаURL ссылки в почтовых сообщениях песочница?
  • 57.
    Как «песочница» предотвращает отложенноеисполнение вредоносных файлов с целью избежать обнаружения?
  • 58.
    Что предлагает производитель делатьс файлом, в то время пока файл анализируется и еще нет вердикта? Пример: сотрудник скачал файл по FTP на свой компьютер. Сигнатурный антивирус говорит, что файл чистый. Песочница еще не вернула результат анализа. Что делать?
  • 59.
    Сколько будет стоитьтехническая поддержка на следующий год?
  • 60.
    Есть ли увендора первый уровень техподдержки на русском языке? Круглосуточно 24x7 или 8x5?
  • 61.
    Как происходит заменаоборудования? Сколько по времени это занимает?
  • 62.
  • 63.
    Туннелирование в DNSзапросах? tcp-over-dns – мы видим почти в каждой сети этот туннель Например: Номера кредитных карточек из компании Sony после взлома Sony Playstation Network отправляли внутри DNS запросов
  • 64.
    А видите ливы туннелирование? Например, внутри трафика DNS: Примеры  tcp-over-dns  dns2tcp  Iodine  Heyoka  OzymanDNS  NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
  • 65.
    Какие туннели видитпродукт? И как блокирует?
  • 66.
    Платформа Palo AltoNetworks Мы работаем для вашей защиты Обеспечиваем заданную производительность при всех включенных сервисах безопасности Email офиса в России: Russia@paloaltonetworks.com

Editor's Notes

  • #3 meThoDs of mAlwAre DisTribuTion At the very beginning of their activity in 2013 due to lack of the target Trojan the attackers began to distribute Andromeda and Pony. They distributed these malware using Driveby through a bunch of Neutrino Exploit Kit exploits. Parallel to this technique they also use another infection method, which was one of the principal methods. The main method of distribution is sending emails with malicious attachments on behalf of the Central Bank of the Russian Federation. Another used method is to install a special malware to carry out targeted attacks via another malware that might appear in the local network by accident. To find such malicious programs the criminal group keeps in touch with several owners of large botnets that massively distributes their malware. The attackers buy from these botnet owners the information about IP-addresses of computers where the botnet owners have installed malware and then check whether the IP-address belongs to the financial and government institutions. If the malware is in the subnet of interest, the attackers pay the large botnet owner for installation of their target malware. Such partner relations were established with owners of botnets Zeus, Shiz Ranbyus. All of these trojans are bank Trojans, their usage is explained by the previously established relationships. Availability of access to bank internal networks opens great opportunities for the hackers. One of these opportunities is access to ATMs from special network segments that had to be isolated. It is confirmed that this criminal group gained access to 52 ATMs. Having access, the attackers downloaded malicious scripts and changed denominations of issued banknotes in the ATM operating system registry. As a result, for query to get 10 notes with denomination of 100 rubles the attackers received 10 banknotes with denomination of 5,000 rubles. When the attackers had obtained control of ATM management service (attacker purpose), money were withdrawn directly from the ATM by the attacker command. In this case the whole cashout process consisted in that a drop person had to be near the ATM at the specified time with a bag to empty the dispenser In addition to all the above methods, cash sending channels were also employed through the settlements systems, electronic wallets and payment systems, such as web money, Yandex Money. The average time from the moment of penetration into the financial institutions internal network till successful theft is 42 days. --------------------------------------------------------- Facts & Credits http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
  • #28 The list of applications and protocols supported by most proxies is limited to a handful of applications, such as web-based clients and media streaming. It is also limited to specific protocols, such as HTTP (port 80), HTTPS (port 443), and FTP (port 21). While many applications are web-based by design, and are using ports 80 or 443, some very common applications, like Skype, BitTorrent, or Lync are capable of dynamically seeking out and utilizing any available port on the network. We have to remember there are more than 65,000 ports available on any network. These port-hopping capabilities allow these applications to scale, be responsive, service the needs of the user… and bypass the limited visibility and security technologies of proxy-based devices. Along the same lines, proxies are limited in their ability to protect against evasive techniques used by tools such as open proxy servers such as PHProxy or CGIproxy, or anonymizers such as Tor.
  • #33 No way with any Firewall other than Palo Alto Networks ones to allow internal users download files from a given webApp and deny downloads on another WebApp if these apps live in the same Web Application Server (same IP and TCP Port)
  • #35 SSL or HTTPs specifically, was always intended to be used for security. There are many applications that use SSL as a means of security. But attackers are smart. <click> Here are some of the applications as well as the threats that we see on the network that use SSL as a means of hiding. Tor – ultrasurf – neither belong on your network…. APT 1, the attack found by mandiant, BlackPOS the recent attack on the US retailer target, RamNIT – a 2012 bot that has resurfaced in 2014 – all use SSL as a means of both privacy and hiding in plain sight. <click> The two faces of SSL present us with a challenge – how do you know?
  • #44 Palo Alto Networks next-generation firewalls are able to integrate with your existing data center architecture, making it easier to add our security and threat prevention framework into your data center. With our Tap Mode, you can tap into your existing switching infrastructure via their span ports for traffic visibility, or to audit what’s going on throughout your network. Our Layer 1 deployment approach is called Vwire Mode, and it allows you to slip our firewall within your existing topology without the need to reallocate your IP addresses or redesign your network. Layer 2 mode enables you to securely segment 2 or more different networks together, which is ideal for firewalling between your VLANs, as well as securely bridging a Layer 2 network with a Layer 3 network. The most common deployment method within data centers, especially at the edge of the data center – is using our Layer 3 mode for deployment. This is when you replace your existing legacy firewall with our next-generation firewall at a time that’s convenient for you, usually when your existing equipment is up for renewals. [Click] In addition to these deployment modes, our NGFW includes a rich set of networking features that set us apart from other solutions, including… [read off the various network and routing technologies/protocols that we support]
  • #47 The most dangerous emailings are those that are sent on behalf of partners with whom financial and government institutions communicates permanently by email. An example of such emailing occurred on September 25, 2014, at 14:11, from the e-mail address “Elina Shchekina <e.shekina@rbkmoney.com>” with the subject “Updated agreement version”. The attachment “agreement.doc” exploits the vulnerability CVE-2012-2539 and CVE-2012-0158. The emailing was conducted for more than 70 addresses of various companies (where multiple recipient addresses may be within one company). --------------------------------------------------------- Facts & Credits http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
  • #50 Just how does the WildFire architecture scale? Because all files are send the the WildFire public or private cloud – you only need to put a single security platform in the key ingress/egress or points of segmentation throughout your network. This is one device that covers all traffic, all protocols, with automated in-line prevention. Not only this, but a single management pane and one security policy. The “APT Add-on approach” quickly becomes more of a challenge then a help. These solutions are focused on detection, creating alerts for security teams to manually remediate. Not only this, but they often require individual appliances to just detect threats for EACH PROTOCOL. Think about one expensive device for Port 80 Web, Port 23 SMTP, SMB file shares, and a central management box to tie them all together. Can you image deploying and managing this on your network, let alone the up-front and annual renewal cost? All without preventing a threat? It does not scale.