SlideShare a Scribd company logo

Найти и обезвредить

Cisco Russia
Cisco Russia

Руслан Иванов Инженер-консультант по информационной безопасности

Technology
1 of 90
Download to read offline
Cisco Connect Москва, 2017 Цифровизация: здесь и сейчас
Найти и обезвредить Руслан Иванов Инженер-консультант по информационной безопасности © 2017 Cisco and/or its affiliates. All rights reserved.
Угрозы ОкружениеПериметр Анатомия современной атаки Email-вектор Web-вектор 3 Жертв кликает на резюме Инсталляция бота, установка соединения с сервером C2 4 5 Сканирование LAN & альтернативный бэкдор и поиск привилегированных пользователей Система скомпрометирована и данные утекли. Бэкдор сохранен8 Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS или DNS 7 Посылка фальшивого резюме (you@gmail.com) 2 Админ Изучение жертвы (SNS) 1 Привилегированные пользователи найдены. 6 Админ ЦОДПК Елена Елена Иванова • HR-координатор • Нужны инженеры • Под давлением времени
Из чего состоит последовательность атаки? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на другие ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
Последовательность атаки: Как мы можем предотвратить попытки доставки и запуска ВПО? 5
Пример набора модулей для борьбы с последовательностью атаки РАЗВЕДКА ДОСТАВКА ЦЕЛЬ СВЯЗЬ ВЫЖИВАНИЕ ВЗЛОМ ЗАПУСК ЭКСПЛОЙТ УСТАНОВКА ЗАРАЖЕНИЕ Host Anti- Malware DNSЗащита DNS Защита web Защита почты DNSЗащита DNS Защита Web NGIPS Телеметрия Анализ Netflow NGIPS NGFW NGIPS NGFW Анализ Netflow NGFW Анализ Netflow Host Anti- Malware Сегментация
“Нельзя защищать то чего не видишь” Обеспечить прозрачность сетевого взаимодействия через межсетевые экраны Malware Client applications Operating systems Mobile devices VoIP phones Routers and switches Printers Command and control servers Network servers Users File transfers Web applications Application protocols Threats Обычный IPS Обычный NGFW Cisco Firepower™ NGFW
Все в одном
Инвентаризация и профилирование узлов • Профиль хоста включает всю необходимую для анализа информацию • IP-, NetBIOS-, MAC- адреса • Операционная система • Используемые приложения • Зарегистрированные пользователи • И т.д. • Идентификация и профилирование мобильных устройств
Инвентаризация и профилирование «больных» узлов
«Черные списки»: свои или централизованные
• Разрешенные типы и версии ОС • Разрешенные клиентские приложения • Разрешенные Web-приложения • Разрешенные протоколы транспортного и сетевого уровней • Разрешенные адреса / диапазоны адресов • И т.д. Создание «белых списков»
Встроенная система корреляции событий • Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных • Приложения • Уязвимости • Протоколы • Пользователи • Операционные системы • Производитель ОС • Адреса • Место в иерархии компании • Статус узла и т.п.
Встроенная система корреляции событий • Различные типы события для системы корреляции • Атаки / вторжение • Активность пользователя • Установлено соединение • Изменение профиля трафика • Вредоносный код • Изменение инвентаризационных данных (например, появление нового узла в сети или ОС на узле) • Изменение профиля узла • Появление новой уязвимости
Встроенная система корреляции событий • В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции • Возможность создания динамических политик безопасности
Анализ и мониторинг событий ИБ с учётом контекста
• Расширение IP черных списков • TALOS динамические обновление, сторонние фиды и списки • Множество категорий: Malware, Phishing, CnC,… • Множество действий: Allow, Monitor, Block, Interactive Block,… • Политики настраиваются либо в Access Rules либо в black-list • IoC теги для CnC и Malware URLs • Новые Dashboard widget для URL SI • Черные/Белые списки URL по одному клику Основанный на URL метод фильтрации злоумышленников URL-SI Категории
Геолокация и визуализация местонахождения атакующих Визуализация карт, стран и городов для событий и узлов
• Security Intelligence поддерживает домены; • Проблемы с адресов fast-flux доменов; • Предлагаемые Cisco и настраиваемые пользователем DNS списки: CnC, Spam, Malware, Phishing; • Множество действий: Block, Domain Not Found, Sinkhole, Monitor; • Индикаторы компрометации дополнены поддержкой DNS Security Intelligence; DNS Инспекция DNS List Action
DNS Инспекция : Пример
Реагирование на события • Запуск сканирования NMAP с заданными параметрами на источник/направление атаки • Блокировка нарушителя на маршрутизаторе Cisco (RTBH) • Блокировка нарушителя на МСЭ Cisco ASA • Установка необходимого атрибута на хост • Уведомление администратора посредством Email/SNMP/Syslog • Выполнение самописной программы, написанной на C/BASH/TCSH/PERL с возможностью передачи переменных из события
Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE) Быстрое сдерживание распространения угроз с помощью FMC и ISEЧто даёт FMC + ISE? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности. Преимущества • Интеграция с решением Cisco AMP для защиты от вредоносных программ • Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE • Разрешение или отказ в доступе к порталу подрядчиков Возможности FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный Доступ запрещается каждой политикой безопасности Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой Раннее обнаружение угроз FireSight аналищирует активность и публикует события в pxGrid Корпоративный пользователь загружает файл Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE FMC сканирует действия пользователя и файл В соответствии с новым тегом, ISE распространяет политику по сети
Cisco AMP расширяет защиту NGFW и NGIPS и позволяет блокировать ВПО раньше Ретроспективная безопасностьТочечное обнаружение Непрерывная и постоянна защитаРепутация файла и анализ его поведения
Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
Какие файлы можно анализировать? • Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно захватывать и сохранять для дальнейшего анализа
Сила в комбинации методов обнаружения • На оконечных узлах не всегда хватает ресурсов для анализа все усложняющегося вредоносного кода; • Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки; • Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным! 7 методов обнаружения в Cisco AMP повышают эффективность защиты!!!
Cisco AMP Threat Grid – анализ ВПО и не только Подозрительный файл Отчет об анализе Оконечное оборудование Хосты Firewalls & UTM Email Security Security Analytics Web Security Endpoint Security Network Security 3rd Party интеграция S E C U R I T Y TIP Deep Packet Inspection Gov, Risk, Compliance SIEM Динамический анализ Статический анализ Интеллектуальная база угроз AMP Threat Grid Cisco Security Solutions Network Security Solutions Подозрительный файл Премиум контент фиды Команда ИБ
Изучение файлов с учетом контекста Подход “Взгляд со стороны” Нет присутствия внутри VM Собственные разработки статического и динамического анализа Наблюдение за всеми изменениями в хосте и сетевыми соединениями Загружаемый результат анализа JSON через минуты Возможность отслеживания каждого элемента данных Детальные отчеты с идентификацией ключевых индикаторов поведения и уровнем угрозы Детальная идентификация атак в реальном времени Статический и динамический анализ в автоматическом режиме F R S Process with additional activity File activity Registry activity Sample process Legend: Динамический анализ: Визуализация дерева процессов
Легко идентифицировать и приоритизировать угрозы 780+ индикаторов поведения (и кол-во растет) • Семейства malware, вредоносное поведение, и другое • Детальное описание и информация для действия Приоритизируйте угрозы с уверенностью • Улучшите SOC аналитику базу знаний и эффективность Простой для понимания Уровень угрозы ведет к быстрому принятию решений
Пример отчёта
Индикаторы компрометации могут быть полезны
AMP Threat Grid – возможности интеграции Поддерживаемые интеграции и партнеры Получение сэмплов от партнеров
МСЭ / NGFW / NAC IDS / IPS NBAD AV / BDS SIEM / LogManagement X X X X Что такое горизонт событий с точки зрения ИБ? X Фильтрация контента И еще ОС, СУБД, сетевые и прикладные службы и сервисы…
За горизонтом события ИБ – ретроспективная безопасность Антивирус Песочница Начальное значение = Чисто Точечное обнаружение Начальное значение = Чисто AMP Пропущены атаки Актуальное значение = Плохо = Поздно!! Регулярный возврат к ретроспективе Видимость и контроль – это ключ Не 100% Анализ остановлен Sleep Techniques Unknown Protocols Encryption Polymorphism Актуальное значение = Плохо = Блокировано Ретроспективное обнаружение, анализ продолжается
Cisco AMP обеспечивает ретроспективную защиту ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак
Сетевая траектория – история распространения атаки NGIPS с FireAMP Отслеживание отправителей / получателей в континиуме атаки Файловая диспозиция изменилась на MALWARE История распространения файла Детали хоста
Локальная проверка Malware Обнаружение
Анализ параметров файлов Отчет о структуре файла
Согласно оценкам Гартнер к 2018: 25% корпоративного трафика будет миновать периметр ИБ.
DNS используется в вашей сети каждым устройством
ИМЯ DNS IP NO C&C TOR ОПЛАТА Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Шифрование канала управления ботнетом Шантаж Какие протоколы использует ВПО?
Почему DNS? Malware C2 Callbacks Phishing HQ Sandbox NGFW Proxy Netflow AV AV BRANCH Router/UTM AV AV ROAMING AV Периметр Сети и устройства Сеть и устройства Устройство Всё завязано на DNS Предшествует запуску на выполнение файла и установке IP-соединения Используется всеми устройствами
NOTE1: Visual Investigations of Botnet Command and Control Behavior (link) • malware reached out to 150,000 C2 servers over 100,000 TCP/UDP ports • malware often used 866 (TCP) & 1018 (UDP) “well known” ports, whereas legitimate traffic used 166 (TCP) & 19 (UDP) ports NOTE2: 2016 Cisco Annual Security Report (link) • 9% had IP connections only and/or legitimate DNS requests • 91% had IP connections, which were preceded by malicious DNS lookups • very few had no IP connections Как использовать DNS для борьбы с угрозами? Почти вся command & control (C2) инфраструктура инициализируется с помощью DNS- запросов с некоторым количеством не-Web ответов в качестве канала обратной связи Zbot ZeroAccess njRAT Regin Gh0st Storm Pushdo/Cutwail DarkComet Bifrose Lethic Kelihos Gameover Zeus CitadelTinba Hesperbot Bouncer (APT1) Glooxmail (APT1) Longrun (APT1) Seasalt (APT1) Starsypound (APT1) Biscuit (APT1)PoisonIvy NON-WEB C2 EXAMPLES DNS WEBNON-WEB IP IP Миллионы уникальных образцов ВПО из сетей филиалов за последние два года Lancope Research (часть Cisco)1 15%C2 обходят Web-порты 80 & 443 Миллионы уникальных образцов ВПО, загруженных для проверки за последние 6 месяцев Cisco AMP Threat Grid Research2 91%C2 может быть заблокировано на уровне DNS
ПРОДУКТЫ И ТЕХНОЛОГИИ UMBRELLA Применение политик и защита Служба сетевой безопасности защищает любое устройство, в любом месте INVESTIGATE Аналитика Обнаружение и прогнозирование атак до того, как они происходят
DNS запросов в день 80B BGP пиринговых партнеров 500 Ежедневно использующих пользователей 65M Корпоративных заказчиков 10K Масштаб имеет значение
208.67.222.222 MALWARE BOTNET PHISHING Новый уровень обнаружения проникновений с возможностью внутри сети видеть то, что обычно видно только в Интернет Расширение ATDs (AMP Threat Grid, FireEye, Check Point) за периметром и получение немедленного ответа на ваши IOCs Обнаружение целевых атак на вашу компанию по сравнению с тем, что происходит в мире Расследование атак, используя «живую» карту Интернет-активности Cisco Umbrella
Предотвращение угроз Не просто обнаружение угроз Защита внутри и вне сети Не ограничивается устройствами, передающими трафик через локальные устройства Интеграция с партнерским и пользовательским ПО Не требует услуг профессионалов при настройке Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443 Постоянное обновление Устройству не нужно обращаться к VPN на локальном сервере для получения обновлений UMBRELLA Применение политик Что отличает Cisco Umbrella?
Уникальная аналитика для классификации Анализ Статистические модели и человеческий интеллект Идентификация вероятно вредоносных сайтов Захват С миллионов точек данных за секунды a.ru b.cn 7.7.1.3 e.net 5.9.0.1 p.com/jpg
Живая карта DNS запросов и других контекстных данных Корреляция и статистические модели Обнаружение & прогнозирование вредоносных доменов Интеграция данных ИБ с глобальной информацией Console API OpenDNS INVESTIGATE
Единый источник коррелированной информации о DNS Cisco Investigate INVESTIGATE WHOIS база записей ASN атрибуция IP геолокация IP индексы репутации Доменные индексы репутации Домены связанных запросов Обнаружение аномалий (DGA, FFN) DNS запросы по шаблону и геораспределение База пассивной инф. DNS Вендоры -конкуренты Not available Not available Not available
Вся мощь Investigate + AMP Threat Grid Ускорение реакции и охота за новыми угрозами Investigate Знает про инфраструктуру атакующего AMP Threat Grid Знает про payload/file, используемый атакующим 173.236.173.144 Source & destination IP likelybad.com HTTP/DNS traffic Hosted in 22 countries baddomain.com 162.17.5.245 suspicious.com creates .exe file in admin directory .doc file modifies WINWORD.exe modifies registry entry other file system activity and artifacts created Request spike
Где Cisco Umbrella и Investigate полезны? ВРЕДОНОС Exploit Kit или Свой код Известная или Zero-Day уязвимость Жестко забитые или DGA отзвоны Порты и протоколы связи АТАКУЮЩИЙ Инструменты, Тактика и процедуры Стратегия и целеполагание Мотивация и связи Языки и Регионы Инфраструктура Сети развертывания (и ASNы) Сервера инфр-ры ( и DNS ) Выделенное IP поле Регистрация (и Flux) Домены НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ Последовательность атаки Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ
Защита внутри и снаружи, в VPN и без нее Защита мобильных пользователей в корпоративной сети и вне ее: • Активация через AnyConnect • Защита от вредоносного ПО, фишинга и взаимодействия с C2 • Использование OpenDNS • Расширение защиты NGFW
Какие техники используют хакеры для запуска ВПО? Подход Тактика Результат Вектор Заражение или использование доверенного сайта Предварительная разведка цели Доставка и исполнение эксплойта Заставить пользователя нажать на скомпрометированную ссылку Методы социальной инженерии Доставка и исполнение эксплойта Скрытая доставка ВПО, заметание следов деятельности Получение доступа через DLL- инъекцию, обход защиты Компрометация систем и данных DropperWatering hole Spear phishing
Электронная почта остается вектором угроз #1
Сложности миграции e-mail в облака Переход в Office 365 создает новые риски Gartner ожидает 60% перехода к облакам в 20221 Контроль доступа Утечки данных Доступность и SLA Видимость и аудит 1Gartner Report “Office 365, Google Apps for Work and Other Cloud Office Key Initiative Overview” July 2015
Обнаружение угроз, внедренных в e-mail Threat outbreak filters Антиспам Обнаружение Graymail Фильтры контента Оптимизация обнаружения с машинным и человеческим участием Останавливает более 99% спама Уровень ложных срабатываний < 1 на 1M ? Репутационные фильтры -10 Движок CASE +10
Защита против вредоносных вложений Virus outbreak filters Ретроспектива безопасности Отслеживание поведения e-mail с 560 индикаторами Быстрая нейтрализация угроз с Zero Hour Malware Protection Непрерывное отслеживание файлов с помощью ретроспективной безопасности Репутация файла Advanced Malware Protection (AMP) ? Песочница ? Антивирус Автолечение для Office 365
Реалии современных киберугроз Злоумышленники вероятнее всего будут контролировать вашу инфраструктурой через web Вероятнее всего вас взломают через email Ваше окружение будет взломано
Вредоносный код: техники обнаружения и обхода Техники обнаружения Техники обхода Известные сайты и узлы в Интернет Смена узлов / страницы перенаправления Песочница Обнаружение виртуализации Антивирус Обнаружение антивируса / безфайловое инфицирование Сигнатурные системы (IDS/IPS) Обфускация файлов / полиморфный код
Что может быть использовано для обнаружения Web-угроз? Разве это все?! Анализ файлов в Web- трафике на лету Отправка файлов для анализа в песочнице Анализ DNS- запросов и ответов Категоризация и контроль репутации URL ThreatGRID Cisco Web Security Appliance
Как работает Cognitive Threat Analytics? Обработка, близкая к реальному времени 1K-50K инцидентов в день10B запросов в день +/- 1% аномалий 10M событий в день HTTP(S) Request Классифик атор X Классифик атор A Классифик атор H Классифик атор Z Классифик атор K Классифик атор M Кластер 1 Кластер 2 Кластер 3 HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Кластер 1 Кластер 2 Кластер 3 HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Обнаружение аномалий Моделирование доверия Классификация Моделирование сущностей Моделирование отношений HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request ПОДТВЕРЖДЕН взлом (нескольких пользователей) ОБНАРУЖЕНА угроза (unique)
Идентификация аномального web-трафика с помощью статистического анализа Распознавание атак путем анализа имени доменов в каждом запросе HTTP/HTTPS Обнаружение инфекций в web- запросах Обнаружение широкого спектра угроз путем анализа коммуникаций с серверами C2 Определение опасного трафика, тунелированного в HTTP/HTTPS-запросы путем использования IOC Что может обнаруживать CTA? Утечки данных Domain Generation Algorithm (DGA) Exploit KitКоммуникации с C2- серверами Туннелирование через HTTP/S
Confirmed Threats – Threat Campaigns The threat was first detected in your network on Aug 18, 2015 and last observed on Aug 26, 2015. A total of 6 users have shown this threat behavior within the past 45 days. The threat was also detected in 50+ other companies affecting 100+ other users. Threat related to a module of the Gamarue/Andromeda botnet. Gamarue is a modular botnet which can load different modules and present different behaviors. Threat can communicate through HTTP/HTTPS and has anti-VM and anti-debug features. Threat can remain dormant before contacting the command-and-control communication channel to receive instructions. Perform a full scan of the infected device for the record and then reimage the device. 100% Confidence
Cisco WSA (Web Security Appliance) Внешняя телеметрия (BlueCoat Sec. GW) Cisco CWS (Cloud Web Security) Cisco Cognitive Threat Analytics (CTA) Confirmed Threats Detected Threats Threat Alerts Реагирование на инциденты HQ STIX / TAXII API CTACTACTA SIEMs: Splunk, ArcSight, Q1 Radar, ... HQ Web Security Gateways Cloud Web Security Gateways CTA a-la-carte ATD bundle = CTA & AMP WSP bundle = CWS & ATD CTA a-la-carte CTA a-la-carte Логи Web (входная телеметрия) Обнаружение взломов & Видимость сложных угроз Архитектура Cognitive Threat Analytics
Процесс реагирования Сила в интеграции с другими решениями Cisco Подтвержденные взломы: Автоматическое создание тикета, используя существующий SIEM для команды на очистку или переустановку ПК Подозреваемые взломы и целевые атаки: Комбинация высокого риска и высокой уверенности с подозреваемой утечкой данных может быть эскалирована на аналитиков 3-го уровня поддержки для ручного анализа
CTA: что происходит после обнаружения IPS ISE ИТ-служба CTA AMP For Endpoint SIEM AMP For Endpoint Обнаружение угрозы Немедленная реакция Финальная реакция Быстрота и автоматизация Цель: блокировать каналы, по которым работает ВПО для предотвращения утечки данных Тщательность и адаптация Цель: понять причину и источник, оценить потери, обновить политики
ISE: Карантин пользователя 15мин Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Блокирование C2-канала 20мин Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Поиск файлов, генерящих трафик к C2 20мин Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Блокирование ВПО Unknown 30мин Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E и CTA 30мин Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E+SIEM: разбор полетов 1 день Ошибка пользователя? Уязвимое приложение? Новый эксплойт? Обнаружение угрозы Немедленная реакция Финальная реакция
О чём мы забыли? РАЗВЕДКА ДОСТАВКА ЦЕЛЬ СВЯЗЬ ВЫЖИВАНИЕ ВЗЛОМ ЗАПУСК ЭКСПЛОЙТ УСТАНОВКА ЗАРАЖЕНИЕ Host Anti- Malware DNSЗащита DNS Защита web Защита почты DNSЗащита DNS Защита Web NGIPS Телеметрия Анализ Netflow NGIPS NGFW NGIPS NGFW Анализ Netflow NGFW Анализ Netflow Host Anti- Malware Сегментация
Мы можем отправить хост на карантин с помощью StealthWatch 76
Как TrustSec может помочь? Enterprise Network Attacker Perimeter (Inbound) Perimeter (Outbound) Research targets (SNS) 1 C2 Server Spear Phishing (you@gmail.com) 2 http://welcome.to.jangle.com/exploit.php Victim clicks link unwittingly3 Bot installed, back door established and receives commands from C2 server 4 TrustSec блокирует общение между рабочими станциями, что сильно усложняет сканирование, OS Finger printing, exploitation, и privilege escalation 5 Admin Node Используем возможности TrustSec чтобы замедлить потенциальную атаку, усложнить жизнь атакующему и увеличить шансы на его обнаружение
Контроль сетевого обмена между рабочими станциями 1 Сканирование Distribution Switch Access Switch BYOD Device PC AP Беспроводная сеть Проводной сегмент 2 Эксплуатация уязвимостиЗаражённый PC Employee Tag Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123 Пример ACL для блокирования PtH (SMB over TCP), используемый эксплойтом SGACL Policy • Замена Private Isolated / Community VLAN централизованно заданной политикой; • Работает для мобильных устройств (с DHCP-адресами). • Статичные ACL не могут обеспечить такой же уровень гибкости; • Ни один конкурент не может предоставить подобной функциональности!
Сетевой сенсор StealthWatch NGFW Campus/DC Switches/WLC Угрозы API API ISE Сетевые сенсоры Применение политики Обмен Политика  Контекст TrustSec Security Group Tag SIEM Данные Реагирование на инциденты с помощью TrustSec
Перенаправление трафика для расследования инцидента User Scanning Скомпрометированный хост 1 Exploitation 2 SGACL Коммутатор Маршрутизатор NGIDS Flow Collector SIEM NetFlow NetFlow Event Log NetFlow ISE PxGrid EPS Назначаем Quarantine SGT скомпрометированному пользователю Перенаправление трафика Коммутатор • Работает на ASA, ISR4000 и ASR1000; • Policy-based routing с использованием SGT; • Перенаправление на основе SGT, например, для карантина или анализа подозрительного трафика.
- Threat events - CVSS - IOC - Vulnerability assessments - Threat notifications Threat Centric NAC – угрозоцентричные проверки на соответствие политикам здоровья Изоляция угроз AMP Qualys Cisco ISE Устройства Cisco ISE защищает сеть путём сегментации скомпрометированных или уязвимых устройств с последующим лечением Дополняет проверки Используется информация об уязвимостях Расширенный контроль на основе информации об угрозах и критических уязвимостей Быстрая реакция полностью автоматическая, в реальном времени реакция на изменения в статусе хоста с точки зрения угрозы или критических уязвимостей Кто Что Когда Где Как Здоровье Угроза Уязвимость  Создаём политику авторизации в ISE основанную на информации об угрозах и уязвимостях Network Access Policy Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC)
Threat Centric NAC в деталях Уменьшить количество уязвимостей, ограничить распространение угроз Изоляция угроз Проблема Скомпрометированные хосты распространяют ВПО по всей сети используя уязвимости 1 Malware infection Malware scans for vulnerable endpoints2 Vulnerability detected3 Infection spread 4 Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC) | Advanced Malware Protection (AMP) Решение Ограничить доступ скомпрометированных и уязвимым хостам в сеть, пока уязвимости и угрозы не будут устранены Cisco AMP Vulnerable host Quarantine and Remediate IOC CVSS “Threat detected” Vulnerability scan
‘Vulnerable Endpoints’ – уязвимые хосты на основе Common Vulnerability Scoring System (CVSS) Изоляция угроз
‘Compromised Endpoints’ – скомпрометированные устройства на основе инцидентов и индикаторов компрометации Изоляция угроз
Пример политики TC-NAC Изоляция угроз Authorization policy for ‘vulnerability’ Первоначально ‘ограниченный’ доступ + Сканирование на уязвимости
Как это коррелирует с моделью безопасности, ориентированной на борьбу угрозами? ДО Обнаружение Применение Усиление ПОСЛЕ Область Состояние Лечение Жизненный цикл атаки Обнаружение Блокирование Защита ВО ВРЕМЯ Сегментация Ограничение возможностей атакующего/зловредного кода Добавляем информацию о роли к сообщениям NetFlow, журналам ASA и WSA Отправка в карантин при обнаружении прозрачна для пользователя Перенаправление трафика на анализ прозрачно для пользователя Контроль возможной области заражения Возможность лечения поражённых систем Ещё большее сужение области заражения по мере анализа и лечения
Непобедимость заключена в себе самом, возможность победы заключена в противнике. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 87 Сунь Цзы, «Искусство войны»
Что у вас есть? Чего вам не хватает? Что вам понадобится? Идентифицируйте используемые вами технологии ИБ, используемые данные и способы их получения, не забывая про моделирование угроз Определите ваши краткосрочные, среднесрочные и долгосрочные планы и возможные риски и угрозы для них, а затем определите данные, которые вам нужны для их обнаружения Выберите необходимые источники данных, обучите персонал и, по необходимости, внедрите новые решения по кибербезопасности и анализу информации для ИБ Что делать после Коннекта?
Свяжитесь с нами Тестируйте Составьте план внедрения Напишите нам на security-request@cisco.com или своему менеджеру Cisco для организации встречи для более глубокого обсуждения ваших потребностей и того, как мы можем их удовлетворить Воспользуйтесь широким спектром возможностей по тестированию: • dCloud • Виртуальные версии всего ПО • Демо-оборудование • И не забудьте про Threat Awareness Service Мы поможем вам составить поэтапный план внедрения решений по кибербезопасности под ваши задачи Что делать после Коннекта?
#CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia

Recommended

20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
Igor Gots
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 
ИБ
ИБИБ
ИБ
malvvv
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
Cisco Russia
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Альбина Минуллина
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Expolink
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 

Recommended

20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
Igor Gots
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 
ИБ
ИБИБ
ИБ
malvvv
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
Cisco Russia
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Альбина Минуллина
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Expolink
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Cisco Russia
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
Cisco Russia
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
Cisco Russia
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
Positive Hack Days
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
Aleksey Lukatskiy
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
Альбина Минуллина
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
Cisco Russia
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Cisco Russia
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
Aleksey Lukatskiy
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
Aleksey Lukatskiy
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
NetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафикаNetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафика
Milla Bren
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
Expolink
 
Технология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPТехнология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMP
Cisco Russia
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
Denis Batrankov, CISSP
 
Система Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколенияСистема Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколенияCisco Russia
 
Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
trenders
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
 

More Related Content

What's hot

Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Cisco Russia
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
Cisco Russia
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
Cisco Russia
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
Positive Hack Days
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
Aleksey Lukatskiy
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
Альбина Минуллина
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
Cisco Russia
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Expolink
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Cisco Russia
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
Aleksey Lukatskiy
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
Aleksey Lukatskiy
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
NetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафикаNetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафика
Milla Bren
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
Expolink
 
Технология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPТехнология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMP
Cisco Russia
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
Denis Batrankov, CISSP
 
Система Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколенияСистема Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколенияCisco Russia
 

What's hot (20)

Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
Фильтры Cisco IronPort Outbreak Filters: блокировка почтовых угроз, которые т...
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
 
Доклад SiteSecure
Доклад SiteSecureДоклад SiteSecure
Доклад SiteSecure
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
NetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафикаNetResident - мониторинг и контент-анализ трафика
NetResident - мониторинг и контент-анализ трафика
 
Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"Check Point. Сергей Чекрыгин. "На шаг впереди"
Check Point. Сергей Чекрыгин. "На шаг впереди"
 
Технология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMPТехнология защиты от Malware на базе SourceFire FireAMP
Технология защиты от Malware на базе SourceFire FireAMP
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
 
Система Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколенияСистема Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколения
 

Similar to Найти и обезвредить

Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
trenders
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
trenders
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Expolink
 
Решение Lancope StealthWatch
Решение Lancope StealthWatchРешение Lancope StealthWatch
Решение Lancope StealthWatch
Cisco Russia
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007
atamur
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
 
Увидеть все
Увидеть всеУвидеть все
Увидеть все
Cisco Russia
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколения
Cisco Russia
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
Aleksey Lukatskiy
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Cisco Russia
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угроз
Cisco Russia
 
WEBSENSE TRITON APX
WEBSENSE TRITON APX WEBSENSE TRITON APX
WEBSENSE TRITON APX
DialogueScience
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 

Similar to Найти и обезвредить (20)

Использование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdfИспользование передовых возможностей кибербезопасности.pdf
Использование передовых возможностей кибербезопасности.pdf
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Решение Lancope StealthWatch
Решение Lancope StealthWatchРешение Lancope StealthWatch
Решение Lancope StealthWatch
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
 
Увидеть все
Увидеть всеУвидеть все
Увидеть все
 
Системы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколенияСистемы предотвращения вторжений нового поколения
Системы предотвращения вторжений нового поколения
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угроз
 
WEBSENSE TRITON APX
WEBSENSE TRITON APX WEBSENSE TRITON APX
WEBSENSE TRITON APX
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
Cisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
 

Найти и обезвредить

  • 2. Найти и обезвредить Руслан Иванов Инженер-консультант по информационной безопасности © 2017 Cisco and/or its affiliates. All rights reserved.
  • 3. Угрозы ОкружениеПериметр Анатомия современной атаки Email-вектор Web-вектор 3 Жертв кликает на резюме Инсталляция бота, установка соединения с сервером C2 4 5 Сканирование LAN & альтернативный бэкдор и поиск привилегированных пользователей Система скомпрометирована и данные утекли. Бэкдор сохранен8 Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS или DNS 7 Посылка фальшивого резюме (you@gmail.com) 2 Админ Изучение жертвы (SNS) 1 Привилегированные пользователи найдены. 6 Админ ЦОДПК Елена Елена Иванова • HR-координатор • Нужны инженеры • Под давлением времени
  • 4. Из чего состоит последовательность атаки? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на другие ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  • 5. Последовательность атаки: Как мы можем предотвратить попытки доставки и запуска ВПО? 5
  • 6. Пример набора модулей для борьбы с последовательностью атаки РАЗВЕДКА ДОСТАВКА ЦЕЛЬ СВЯЗЬ ВЫЖИВАНИЕ ВЗЛОМ ЗАПУСК ЭКСПЛОЙТ УСТАНОВКА ЗАРАЖЕНИЕ Host Anti- Malware DNSЗащита DNS Защита web Защита почты DNSЗащита DNS Защита Web NGIPS Телеметрия Анализ Netflow NGIPS NGFW NGIPS NGFW Анализ Netflow NGFW Анализ Netflow Host Anti- Malware Сегментация
  • 7. “Нельзя защищать то чего не видишь” Обеспечить прозрачность сетевого взаимодействия через межсетевые экраны Malware Client applications Operating systems Mobile devices VoIP phones Routers and switches Printers Command and control servers Network servers Users File transfers Web applications Application protocols Threats Обычный IPS Обычный NGFW Cisco Firepower™ NGFW
  • 9. Инвентаризация и профилирование узлов • Профиль хоста включает всю необходимую для анализа информацию • IP-, NetBIOS-, MAC- адреса • Операционная система • Используемые приложения • Зарегистрированные пользователи • И т.д. • Идентификация и профилирование мобильных устройств
  • 11. «Черные списки»: свои или централизованные
  • 12. • Разрешенные типы и версии ОС • Разрешенные клиентские приложения • Разрешенные Web-приложения • Разрешенные протоколы транспортного и сетевого уровней • Разрешенные адреса / диапазоны адресов • И т.д. Создание «белых списков»
  • 13. Встроенная система корреляции событий • Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных • Приложения • Уязвимости • Протоколы • Пользователи • Операционные системы • Производитель ОС • Адреса • Место в иерархии компании • Статус узла и т.п.
  • 14. Встроенная система корреляции событий • Различные типы события для системы корреляции • Атаки / вторжение • Активность пользователя • Установлено соединение • Изменение профиля трафика • Вредоносный код • Изменение инвентаризационных данных (например, появление нового узла в сети или ОС на узле) • Изменение профиля узла • Появление новой уязвимости
  • 15. Встроенная система корреляции событий • В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции • Возможность создания динамических политик безопасности
  • 16. Анализ и мониторинг событий ИБ с учётом контекста
  • 17. • Расширение IP черных списков • TALOS динамические обновление, сторонние фиды и списки • Множество категорий: Malware, Phishing, CnC,… • Множество действий: Allow, Monitor, Block, Interactive Block,… • Политики настраиваются либо в Access Rules либо в black-list • IoC теги для CnC и Malware URLs • Новые Dashboard widget для URL SI • Черные/Белые списки URL по одному клику Основанный на URL метод фильтрации злоумышленников URL-SI Категории
  • 18. Геолокация и визуализация местонахождения атакующих Визуализация карт, стран и городов для событий и узлов
  • 19. • Security Intelligence поддерживает домены; • Проблемы с адресов fast-flux доменов; • Предлагаемые Cisco и настраиваемые пользователем DNS списки: CnC, Spam, Malware, Phishing; • Множество действий: Block, Domain Not Found, Sinkhole, Monitor; • Индикаторы компрометации дополнены поддержкой DNS Security Intelligence; DNS Инспекция DNS List Action
  • 20. DNS Инспекция : Пример
  • 21.
  • 22. Реагирование на события • Запуск сканирования NMAP с заданными параметрами на источник/направление атаки • Блокировка нарушителя на маршрутизаторе Cisco (RTBH) • Блокировка нарушителя на МСЭ Cisco ASA • Установка необходимого атрибута на хост • Уведомление администратора посредством Email/SNMP/Syslog • Выполнение самописной программы, написанной на C/BASH/TCSH/PERL с возможностью передачи переменных из события
  • 23. Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE) Быстрое сдерживание распространения угроз с помощью FMC и ISEЧто даёт FMC + ISE? Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности. Преимущества • Интеграция с решением Cisco AMP для защиты от вредоносных программ • Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE • Разрешение или отказ в доступе к порталу подрядчиков Возможности FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный Доступ запрещается каждой политикой безопасности Автоматические уведомления Максимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой Раннее обнаружение угроз FireSight аналищирует активность и публикует события в pxGrid Корпоративный пользователь загружает файл Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE FMC сканирует действия пользователя и файл В соответствии с новым тегом, ISE распространяет политику по сети
  • 24. Cisco AMP расширяет защиту NGFW и NGIPS и позволяет блокировать ВПО раньше Ретроспективная безопасностьТочечное обнаружение Непрерывная и постоянна защитаРепутация файла и анализ его поведения
  • 25. Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
  • 26. Какие файлы можно анализировать? • Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно захватывать и сохранять для дальнейшего анализа
  • 27. Сила в комбинации методов обнаружения • На оконечных узлах не всегда хватает ресурсов для анализа все усложняющегося вредоносного кода; • Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки; • Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным! 7 методов обнаружения в Cisco AMP повышают эффективность защиты!!!
  • 28. Cisco AMP Threat Grid – анализ ВПО и не только Подозрительный файл Отчет об анализе Оконечное оборудование Хосты Firewalls & UTM Email Security Security Analytics Web Security Endpoint Security Network Security 3rd Party интеграция S E C U R I T Y TIP Deep Packet Inspection Gov, Risk, Compliance SIEM Динамический анализ Статический анализ Интеллектуальная база угроз AMP Threat Grid Cisco Security Solutions Network Security Solutions Подозрительный файл Премиум контент фиды Команда ИБ
  • 29. Изучение файлов с учетом контекста Подход “Взгляд со стороны” Нет присутствия внутри VM Собственные разработки статического и динамического анализа Наблюдение за всеми изменениями в хосте и сетевыми соединениями Загружаемый результат анализа JSON через минуты Возможность отслеживания каждого элемента данных Детальные отчеты с идентификацией ключевых индикаторов поведения и уровнем угрозы Детальная идентификация атак в реальном времени Статический и динамический анализ в автоматическом режиме F R S Process with additional activity File activity Registry activity Sample process Legend: Динамический анализ: Визуализация дерева процессов
  • 30. Легко идентифицировать и приоритизировать угрозы 780+ индикаторов поведения (и кол-во растет) • Семейства malware, вредоносное поведение, и другое • Детальное описание и информация для действия Приоритизируйте угрозы с уверенностью • Улучшите SOC аналитику базу знаний и эффективность Простой для понимания Уровень угрозы ведет к быстрому принятию решений
  • 33. AMP Threat Grid – возможности интеграции Поддерживаемые интеграции и партнеры Получение сэмплов от партнеров
  • 34. МСЭ / NGFW / NAC IDS / IPS NBAD AV / BDS SIEM / LogManagement X X X X Что такое горизонт событий с точки зрения ИБ? X Фильтрация контента И еще ОС, СУБД, сетевые и прикладные службы и сервисы…
  • 35. За горизонтом события ИБ – ретроспективная безопасность Антивирус Песочница Начальное значение = Чисто Точечное обнаружение Начальное значение = Чисто AMP Пропущены атаки Актуальное значение = Плохо = Поздно!! Регулярный возврат к ретроспективе Видимость и контроль – это ключ Не 100% Анализ остановлен Sleep Techniques Unknown Protocols Encryption Polymorphism Актуальное значение = Плохо = Блокировано Ретроспективное обнаружение, анализ продолжается
  • 36. Cisco AMP обеспечивает ретроспективную защиту ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак
  • 37. Сетевая траектория – история распространения атаки NGIPS с FireAMP Отслеживание отправителей / получателей в континиуме атаки Файловая диспозиция изменилась на MALWARE История распространения файла Детали хоста
  • 40. Согласно оценкам Гартнер к 2018: 25% корпоративного трафика будет миновать периметр ИБ.
  • 41. DNS используется в вашей сети каждым устройством
  • 42. ИМЯ DNS IP NO C&C TOR ОПЛАТА Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Шифрование канала управления ботнетом Шантаж Какие протоколы использует ВПО?
  • 43. Почему DNS? Malware C2 Callbacks Phishing HQ Sandbox NGFW Proxy Netflow AV AV BRANCH Router/UTM AV AV ROAMING AV Периметр Сети и устройства Сеть и устройства Устройство Всё завязано на DNS Предшествует запуску на выполнение файла и установке IP-соединения Используется всеми устройствами
  • 44. NOTE1: Visual Investigations of Botnet Command and Control Behavior (link) • malware reached out to 150,000 C2 servers over 100,000 TCP/UDP ports • malware often used 866 (TCP) & 1018 (UDP) “well known” ports, whereas legitimate traffic used 166 (TCP) & 19 (UDP) ports NOTE2: 2016 Cisco Annual Security Report (link) • 9% had IP connections only and/or legitimate DNS requests • 91% had IP connections, which were preceded by malicious DNS lookups • very few had no IP connections Как использовать DNS для борьбы с угрозами? Почти вся command & control (C2) инфраструктура инициализируется с помощью DNS- запросов с некоторым количеством не-Web ответов в качестве канала обратной связи Zbot ZeroAccess njRAT Regin Gh0st Storm Pushdo/Cutwail DarkComet Bifrose Lethic Kelihos Gameover Zeus CitadelTinba Hesperbot Bouncer (APT1) Glooxmail (APT1) Longrun (APT1) Seasalt (APT1) Starsypound (APT1) Biscuit (APT1)PoisonIvy NON-WEB C2 EXAMPLES DNS WEBNON-WEB IP IP Миллионы уникальных образцов ВПО из сетей филиалов за последние два года Lancope Research (часть Cisco)1 15%C2 обходят Web-порты 80 & 443 Миллионы уникальных образцов ВПО, загруженных для проверки за последние 6 месяцев Cisco AMP Threat Grid Research2 91%C2 может быть заблокировано на уровне DNS
  • 45. ПРОДУКТЫ И ТЕХНОЛОГИИ UMBRELLA Применение политик и защита Служба сетевой безопасности защищает любое устройство, в любом месте INVESTIGATE Аналитика Обнаружение и прогнозирование атак до того, как они происходят
  • 46. DNS запросов в день 80B BGP пиринговых партнеров 500 Ежедневно использующих пользователей 65M Корпоративных заказчиков 10K Масштаб имеет значение
  • 47. 208.67.222.222 MALWARE BOTNET PHISHING Новый уровень обнаружения проникновений с возможностью внутри сети видеть то, что обычно видно только в Интернет Расширение ATDs (AMP Threat Grid, FireEye, Check Point) за периметром и получение немедленного ответа на ваши IOCs Обнаружение целевых атак на вашу компанию по сравнению с тем, что происходит в мире Расследование атак, используя «живую» карту Интернет-активности Cisco Umbrella
  • 48. Предотвращение угроз Не просто обнаружение угроз Защита внутри и вне сети Не ограничивается устройствами, передающими трафик через локальные устройства Интеграция с партнерским и пользовательским ПО Не требует услуг профессионалов при настройке Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443 Постоянное обновление Устройству не нужно обращаться к VPN на локальном сервере для получения обновлений UMBRELLA Применение политик Что отличает Cisco Umbrella?
  • 49. Уникальная аналитика для классификации Анализ Статистические модели и человеческий интеллект Идентификация вероятно вредоносных сайтов Захват С миллионов точек данных за секунды a.ru b.cn 7.7.1.3 e.net 5.9.0.1 p.com/jpg
  • 50. Живая карта DNS запросов и других контекстных данных Корреляция и статистические модели Обнаружение & прогнозирование вредоносных доменов Интеграция данных ИБ с глобальной информацией Console API OpenDNS INVESTIGATE
  • 51. Единый источник коррелированной информации о DNS Cisco Investigate INVESTIGATE WHOIS база записей ASN атрибуция IP геолокация IP индексы репутации Доменные индексы репутации Домены связанных запросов Обнаружение аномалий (DGA, FFN) DNS запросы по шаблону и геораспределение База пассивной инф. DNS Вендоры -конкуренты Not available Not available Not available
  • 52. Вся мощь Investigate + AMP Threat Grid Ускорение реакции и охота за новыми угрозами Investigate Знает про инфраструктуру атакующего AMP Threat Grid Знает про payload/file, используемый атакующим 173.236.173.144 Source & destination IP likelybad.com HTTP/DNS traffic Hosted in 22 countries baddomain.com 162.17.5.245 suspicious.com creates .exe file in admin directory .doc file modifies WINWORD.exe modifies registry entry other file system activity and artifacts created Request spike
  • 53. Где Cisco Umbrella и Investigate полезны? ВРЕДОНОС Exploit Kit или Свой код Известная или Zero-Day уязвимость Жестко забитые или DGA отзвоны Порты и протоколы связи АТАКУЮЩИЙ Инструменты, Тактика и процедуры Стратегия и целеполагание Мотивация и связи Языки и Регионы Инфраструктура Сети развертывания (и ASNы) Сервера инфр-ры ( и DNS ) Выделенное IP поле Регистрация (и Flux) Домены НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ Последовательность атаки Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ
  • 54. Защита внутри и снаружи, в VPN и без нее Защита мобильных пользователей в корпоративной сети и вне ее: • Активация через AnyConnect • Защита от вредоносного ПО, фишинга и взаимодействия с C2 • Использование OpenDNS • Расширение защиты NGFW
  • 55. Какие техники используют хакеры для запуска ВПО? Подход Тактика Результат Вектор Заражение или использование доверенного сайта Предварительная разведка цели Доставка и исполнение эксплойта Заставить пользователя нажать на скомпрометированную ссылку Методы социальной инженерии Доставка и исполнение эксплойта Скрытая доставка ВПО, заметание следов деятельности Получение доступа через DLL- инъекцию, обход защиты Компрометация систем и данных DropperWatering hole Spear phishing
  • 56. Электронная почта остается вектором угроз #1
  • 57. Сложности миграции e-mail в облака Переход в Office 365 создает новые риски Gartner ожидает 60% перехода к облакам в 20221 Контроль доступа Утечки данных Доступность и SLA Видимость и аудит 1Gartner Report “Office 365, Google Apps for Work and Other Cloud Office Key Initiative Overview” July 2015
  • 58. Обнаружение угроз, внедренных в e-mail Threat outbreak filters Антиспам Обнаружение Graymail Фильтры контента Оптимизация обнаружения с машинным и человеческим участием Останавливает более 99% спама Уровень ложных срабатываний < 1 на 1M ? Репутационные фильтры -10 Движок CASE +10
  • 59. Защита против вредоносных вложений Virus outbreak filters Ретроспектива безопасности Отслеживание поведения e-mail с 560 индикаторами Быстрая нейтрализация угроз с Zero Hour Malware Protection Непрерывное отслеживание файлов с помощью ретроспективной безопасности Репутация файла Advanced Malware Protection (AMP) ? Песочница ? Антивирус Автолечение для Office 365
  • 60. Реалии современных киберугроз Злоумышленники вероятнее всего будут контролировать вашу инфраструктурой через web Вероятнее всего вас взломают через email Ваше окружение будет взломано
  • 61. Вредоносный код: техники обнаружения и обхода Техники обнаружения Техники обхода Известные сайты и узлы в Интернет Смена узлов / страницы перенаправления Песочница Обнаружение виртуализации Антивирус Обнаружение антивируса / безфайловое инфицирование Сигнатурные системы (IDS/IPS) Обфускация файлов / полиморфный код
  • 62. Что может быть использовано для обнаружения Web-угроз? Разве это все?! Анализ файлов в Web- трафике на лету Отправка файлов для анализа в песочнице Анализ DNS- запросов и ответов Категоризация и контроль репутации URL ThreatGRID Cisco Web Security Appliance
  • 63. Как работает Cognitive Threat Analytics? Обработка, близкая к реальному времени 1K-50K инцидентов в день10B запросов в день +/- 1% аномалий 10M событий в день HTTP(S) Request Классифик атор X Классифик атор A Классифик атор H Классифик атор Z Классифик атор K Классифик атор M Кластер 1 Кластер 2 Кластер 3 HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Кластер 1 Кластер 2 Кластер 3 HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) RequestHTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request Обнаружение аномалий Моделирование доверия Классификация Моделирование сущностей Моделирование отношений HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request HTTP(S) Request ПОДТВЕРЖДЕН взлом (нескольких пользователей) ОБНАРУЖЕНА угроза (unique)
  • 64. Идентификация аномального web-трафика с помощью статистического анализа Распознавание атак путем анализа имени доменов в каждом запросе HTTP/HTTPS Обнаружение инфекций в web- запросах Обнаружение широкого спектра угроз путем анализа коммуникаций с серверами C2 Определение опасного трафика, тунелированного в HTTP/HTTPS-запросы путем использования IOC Что может обнаруживать CTA? Утечки данных Domain Generation Algorithm (DGA) Exploit KitКоммуникации с C2- серверами Туннелирование через HTTP/S
  • 65. Confirmed Threats – Threat Campaigns The threat was first detected in your network on Aug 18, 2015 and last observed on Aug 26, 2015. A total of 6 users have shown this threat behavior within the past 45 days. The threat was also detected in 50+ other companies affecting 100+ other users. Threat related to a module of the Gamarue/Andromeda botnet. Gamarue is a modular botnet which can load different modules and present different behaviors. Threat can communicate through HTTP/HTTPS and has anti-VM and anti-debug features. Threat can remain dormant before contacting the command-and-control communication channel to receive instructions. Perform a full scan of the infected device for the record and then reimage the device. 100% Confidence
  • 66. Cisco WSA (Web Security Appliance) Внешняя телеметрия (BlueCoat Sec. GW) Cisco CWS (Cloud Web Security) Cisco Cognitive Threat Analytics (CTA) Confirmed Threats Detected Threats Threat Alerts Реагирование на инциденты HQ STIX / TAXII API CTACTACTA SIEMs: Splunk, ArcSight, Q1 Radar, ... HQ Web Security Gateways Cloud Web Security Gateways CTA a-la-carte ATD bundle = CTA & AMP WSP bundle = CWS & ATD CTA a-la-carte CTA a-la-carte Логи Web (входная телеметрия) Обнаружение взломов & Видимость сложных угроз Архитектура Cognitive Threat Analytics
  • 67. Процесс реагирования Сила в интеграции с другими решениями Cisco Подтвержденные взломы: Автоматическое создание тикета, используя существующий SIEM для команды на очистку или переустановку ПК Подозреваемые взломы и целевые атаки: Комбинация высокого риска и высокой уверенности с подозреваемой утечкой данных может быть эскалирована на аналитиков 3-го уровня поддержки для ручного анализа
  • 68. CTA: что происходит после обнаружения IPS ISE ИТ-служба CTA AMP For Endpoint SIEM AMP For Endpoint Обнаружение угрозы Немедленная реакция Финальная реакция Быстрота и автоматизация Цель: блокировать каналы, по которым работает ВПО для предотвращения утечки данных Тщательность и адаптация Цель: понять причину и источник, оценить потери, обновить политики
  • 69. ISE: Карантин пользователя 15мин Обнаружение угрозы Немедленная реакция Финальная реакция
  • 70. AMP4E: Блокирование C2-канала 20мин Обнаружение угрозы Немедленная реакция Финальная реакция
  • 71. AMP4E: Поиск файлов, генерящих трафик к C2 20мин Обнаружение угрозы Немедленная реакция Финальная реакция
  • 72. AMP4E: Блокирование ВПО Unknown 30мин Обнаружение угрозы Немедленная реакция Финальная реакция
  • 73. AMP4E и CTA 30мин Обнаружение угрозы Немедленная реакция Финальная реакция
  • 74. AMP4E+SIEM: разбор полетов 1 день Ошибка пользователя? Уязвимое приложение? Новый эксплойт? Обнаружение угрозы Немедленная реакция Финальная реакция
  • 75. О чём мы забыли? РАЗВЕДКА ДОСТАВКА ЦЕЛЬ СВЯЗЬ ВЫЖИВАНИЕ ВЗЛОМ ЗАПУСК ЭКСПЛОЙТ УСТАНОВКА ЗАРАЖЕНИЕ Host Anti- Malware DNSЗащита DNS Защита web Защита почты DNSЗащита DNS Защита Web NGIPS Телеметрия Анализ Netflow NGIPS NGFW NGIPS NGFW Анализ Netflow NGFW Анализ Netflow Host Anti- Malware Сегментация
  • 76. Мы можем отправить хост на карантин с помощью StealthWatch 76
  • 77. Как TrustSec может помочь? Enterprise Network Attacker Perimeter (Inbound) Perimeter (Outbound) Research targets (SNS) 1 C2 Server Spear Phishing (you@gmail.com) 2 http://welcome.to.jangle.com/exploit.php Victim clicks link unwittingly3 Bot installed, back door established and receives commands from C2 server 4 TrustSec блокирует общение между рабочими станциями, что сильно усложняет сканирование, OS Finger printing, exploitation, и privilege escalation 5 Admin Node Используем возможности TrustSec чтобы замедлить потенциальную атаку, усложнить жизнь атакующему и увеличить шансы на его обнаружение
  • 78. Контроль сетевого обмена между рабочими станциями 1 Сканирование Distribution Switch Access Switch BYOD Device PC AP Беспроводная сеть Проводной сегмент 2 Эксплуатация уязвимостиЗаражённый PC Employee Tag Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123 Пример ACL для блокирования PtH (SMB over TCP), используемый эксплойтом SGACL Policy • Замена Private Isolated / Community VLAN централизованно заданной политикой; • Работает для мобильных устройств (с DHCP-адресами). • Статичные ACL не могут обеспечить такой же уровень гибкости; • Ни один конкурент не может предоставить подобной функциональности!
  • 79. Сетевой сенсор StealthWatch NGFW Campus/DC Switches/WLC Угрозы API API ISE Сетевые сенсоры Применение политики Обмен Политика  Контекст TrustSec Security Group Tag SIEM Данные Реагирование на инциденты с помощью TrustSec
  • 80. Перенаправление трафика для расследования инцидента User Scanning Скомпрометированный хост 1 Exploitation 2 SGACL Коммутатор Маршрутизатор NGIDS Flow Collector SIEM NetFlow NetFlow Event Log NetFlow ISE PxGrid EPS Назначаем Quarantine SGT скомпрометированному пользователю Перенаправление трафика Коммутатор • Работает на ASA, ISR4000 и ASR1000; • Policy-based routing с использованием SGT; • Перенаправление на основе SGT, например, для карантина или анализа подозрительного трафика.
  • 81. - Threat events - CVSS - IOC - Vulnerability assessments - Threat notifications Threat Centric NAC – угрозоцентричные проверки на соответствие политикам здоровья Изоляция угроз AMP Qualys Cisco ISE Устройства Cisco ISE защищает сеть путём сегментации скомпрометированных или уязвимых устройств с последующим лечением Дополняет проверки Используется информация об уязвимостях Расширенный контроль на основе информации об угрозах и критических уязвимостей Быстрая реакция полностью автоматическая, в реальном времени реакция на изменения в статусе хоста с точки зрения угрозы или критических уязвимостей Кто Что Когда Где Как Здоровье Угроза Уязвимость  Создаём политику авторизации в ISE основанную на информации об угрозах и уязвимостях Network Access Policy Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC)
  • 82. Threat Centric NAC в деталях Уменьшить количество уязвимостей, ограничить распространение угроз Изоляция угроз Проблема Скомпрометированные хосты распространяют ВПО по всей сети используя уязвимости 1 Malware infection Malware scans for vulnerable endpoints2 Vulnerability detected3 Infection spread 4 Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC) | Advanced Malware Protection (AMP) Решение Ограничить доступ скомпрометированных и уязвимым хостам в сеть, пока уязвимости и угрозы не будут устранены Cisco AMP Vulnerable host Quarantine and Remediate IOC CVSS “Threat detected” Vulnerability scan
  • 83. ‘Vulnerable Endpoints’ – уязвимые хосты на основе Common Vulnerability Scoring System (CVSS) Изоляция угроз
  • 84. ‘Compromised Endpoints’ – скомпрометированные устройства на основе инцидентов и индикаторов компрометации Изоляция угроз
  • 85. Пример политики TC-NAC Изоляция угроз Authorization policy for ‘vulnerability’ Первоначально ‘ограниченный’ доступ + Сканирование на уязвимости
  • 86. Как это коррелирует с моделью безопасности, ориентированной на борьбу угрозами? ДО Обнаружение Применение Усиление ПОСЛЕ Область Состояние Лечение Жизненный цикл атаки Обнаружение Блокирование Защита ВО ВРЕМЯ Сегментация Ограничение возможностей атакующего/зловредного кода Добавляем информацию о роли к сообщениям NetFlow, журналам ASA и WSA Отправка в карантин при обнаружении прозрачна для пользователя Перенаправление трафика на анализ прозрачно для пользователя Контроль возможной области заражения Возможность лечения поражённых систем Ещё большее сужение области заражения по мере анализа и лечения
  • 87. Непобедимость заключена в себе самом, возможность победы заключена в противнике. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 87 Сунь Цзы, «Искусство войны»
  • 88. Что у вас есть? Чего вам не хватает? Что вам понадобится? Идентифицируйте используемые вами технологии ИБ, используемые данные и способы их получения, не забывая про моделирование угроз Определите ваши краткосрочные, среднесрочные и долгосрочные планы и возможные риски и угрозы для них, а затем определите данные, которые вам нужны для их обнаружения Выберите необходимые источники данных, обучите персонал и, по необходимости, внедрите новые решения по кибербезопасности и анализу информации для ИБ Что делать после Коннекта?
  • 89. Свяжитесь с нами Тестируйте Составьте план внедрения Напишите нам на security-request@cisco.com или своему менеджеру Cisco для организации встречи для более глубокого обсуждения ваших потребностей и того, как мы можем их удовлетворить Воспользуйтесь широким спектром возможностей по тестированию: • dCloud • Виртуальные версии всего ПО • Демо-оборудование • И не забудьте про Threat Awareness Service Мы поможем вам составить поэтапный план внедрения решений по кибербезопасности под ваши задачи Что делать после Коннекта?
  • 90. #CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia