Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
NetResident - мониторинг и контент-анализ трафикаMilla Bren
A brief description of NetResident - a network content monitoring program that captures, stores, analyzes, and reconstructs network events such as e-mail messages, Web pages, downloaded files, instant messages and VoIP conversations (in Russian).
Краткое описание NetResident - программы сетевого мониторинга, предназначенной для перехвата, хранения, анализа и восстановления различных сетевых событий: сообщений электронной почты, веб-страниц, загруженных файлов, сообщений коммуникационных программ (ICQ/AIM, MSN) и разговоров по IP-телефонии (VoIP). (На русском языке).
Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
NetResident - мониторинг и контент-анализ трафикаMilla Bren
A brief description of NetResident - a network content monitoring program that captures, stores, analyzes, and reconstructs network events such as e-mail messages, Web pages, downloaded files, instant messages and VoIP conversations (in Russian).
Краткое описание NetResident - программы сетевого мониторинга, предназначенной для перехвата, хранения, анализа и восстановления различных сетевых событий: сообщений электронной почты, веб-страниц, загруженных файлов, сообщений коммуникационных программ (ICQ/AIM, MSN) и разговоров по IP-телефонии (VoIP). (На русском языке).
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
Возможность наблюдать все потоки трафика, приложения, пользователей и устройства, как известные, так и неизвестные, имеет решающее значение для выявления аномальных процессов в вашей сети. Система StealthWatch с помощью продвинутых методов поведенческого анализа преобразует данные о работе существующей инфраструктуры в полезную аналитическую информацию, позволяющую улучшить контроль состояния сети и информационную безопасность, а также быстрее реагировать на инциденты.
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиCisco Russia
В полугодовом отчете Cisco по безопасности за 2014 год представлена аналитика угроз и тенденций в области кибербезопасности за первое полугодие 2014 года. Исследование Cisco позволяет оценить количество разнообразных типов уязвимостей в системах, которые мы используем ежедневно, включая, собственно, Интернет, а также способы сокращения их числа и минимизации плачевных последствий. Основные выводы: состоят в следующем.
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
В условиях тотальной экономии и необходимости развития банка в мире онлайн-сервисов, обеспечение информационной безопасности становится неподъемной задачей. Использование управляемых услуг по информационной безопасности позволяют реализовать любые сценарии в максимально сжатые сроки при минимальном бюджете.
Комплексная система защиты Websense TRITON APX, обеспечивает защиту от веб-угроз и управление доступом к ресурсам сети Интернет, защиту электронной почты и полноценную промышленную систему защиты от утечек.
Спикер:
Роман Ванерке, Руководитель отдела технических решений ЗАО «ДиалогНаука»
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Cisco Russia
The document discusses several new innovations from Cisco for routing and switching, including the Cisco Catalyst 9000 series of switches. Key innovations discussed include DNA Center for network management, DNA Assurance & Analytics for network monitoring and issue detection, Software-Defined Access for microsegmentation, and using network traffic as a sensor to detect malware in encrypted traffic flows. New Catalyst 9000 switches like the Catalyst 9300 for fixed access and Catalyst 9400 for modular access are also introduced.
3. Угрозы ОкружениеПериметр
Анатомия современной атаки
Email-вектор
Web-вектор
3
Жертв
кликает на
резюме
Инсталляция бота,
установка соединения с
сервером C2
4 5
Сканирование LAN &
альтернативный бэкдор и
поиск привилегированных
пользователей
Система скомпрометирована и
данные утекли. Бэкдор сохранен8
Архивирует данные, разделение на
разные файлы и отправка их на
внешние сервера по HTTPS или DNS
7
Посылка
фальшивого
резюме
(you@gmail.com)
2
Админ
Изучение
жертвы
(SNS)
1
Привилегированные
пользователи найдены.
6
Админ ЦОДПК
Елена
Елена Иванова
• HR-координатор
• Нужны инженеры
• Под давлением времени
4. Из чего состоит последовательность атаки?
Разведка Сбор e-mail Социальные сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного кода
Система
доставки
Приманка
Доставка Фишинг Заражение сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение на
другие ресурсы
Инсталляция
Троян или
backdoor
Повышение привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения
Утечка
данных
Перехват
управления
Вывод из строя
Уничтожение следов
Поддержка
незаметности
Зачистка
логов
6. Пример набора модулей для борьбы с последовательностью атаки
РАЗВЕДКА ДОСТАВКА
ЦЕЛЬ
СВЯЗЬ ВЫЖИВАНИЕ
ВЗЛОМ
ЗАПУСК ЭКСПЛОЙТ УСТАНОВКА
ЗАРАЖЕНИЕ
Host
Anti-
Malware
DNSЗащита
DNS
Защита
web
Защита
почты
DNSЗащита
DNS
Защита
Web
NGIPS
Телеметрия
Анализ
Netflow
NGIPS
NGFW
NGIPS
NGFW
Анализ
Netflow
NGFW
Анализ
Netflow
Host
Anti-
Malware
Сегментация
7. “Нельзя защищать то чего не видишь”
Обеспечить прозрачность сетевого
взаимодействия через межсетевые экраны
Malware
Client applications
Operating systems
Mobile devices
VoIP phones
Routers and switches
Printers
Command
and control
servers
Network servers
Users
File transfers
Web applications
Application
protocols
Threats
Обычный IPS
Обычный NGFW
Cisco Firepower™ NGFW
9. Инвентаризация и профилирование узлов
• Профиль хоста
включает всю
необходимую для
анализа информацию
• IP-, NetBIOS-, MAC-
адреса
• Операционная система
• Используемые
приложения
• Зарегистрированные
пользователи
• И т.д.
• Идентификация и
профилирование
мобильных устройств
12. • Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого
уровней
• Разрешенные адреса /
диапазоны адресов
• И т.д.
Создание «белых списков»
13. Встроенная система корреляции событий
• Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
• Приложения
• Уязвимости
• Протоколы
• Пользователи
• Операционные системы
• Производитель ОС
• Адреса
• Место в иерархии компании
• Статус узла и т.п.
14. Встроенная система корреляции событий
• Различные типы события для
системы корреляции
• Атаки / вторжение
• Активность пользователя
• Установлено соединение
• Изменение профиля трафика
• Вредоносный код
• Изменение инвентаризационных
данных (например, появление
нового узла в сети или ОС на узле)
• Изменение профиля узла
• Появление новой уязвимости
15. Встроенная система корреляции событий
• В зависимости от типа
события могут быть
установлены
дополнительные
параметры системы
корреляции
• Возможность создания
динамических политик
безопасности
17. • Расширение IP черных списков
• TALOS динамические обновление,
сторонние фиды и списки
• Множество категорий: Malware,
Phishing, CnC,…
• Множество действий: Allow, Monitor,
Block, Interactive Block,…
• Политики настраиваются либо в
Access Rules либо в black-list
• IoC теги для CnC и Malware URLs
• Новые Dashboard widget для URL SI
• Черные/Белые списки URL по одному
клику
Основанный на URL метод фильтрации
злоумышленников
URL-SI
Категории
18. Геолокация и визуализация местонахождения атакующих
Визуализация карт, стран и городов для
событий и узлов
19. • Security Intelligence поддерживает
домены;
• Проблемы с адресов fast-flux
доменов;
• Предлагаемые Cisco и
настраиваемые пользователем DNS
списки: CnC, Spam, Malware,
Phishing;
• Множество действий: Block, Domain
Not Found, Sinkhole, Monitor;
• Индикаторы компрометации
дополнены поддержкой DNS Security
Intelligence;
DNS Инспекция
DNS List Action
22. Реагирование на события
• Запуск сканирования NMAP с
заданными параметрами на
источник/направление атаки
• Блокировка нарушителя на
маршрутизаторе Cisco (RTBH)
• Блокировка нарушителя на
МСЭ Cisco ASA
• Установка необходимого
атрибута на хост
• Уведомление администратора
посредством
Email/SNMP/Syslog
• Выполнение самописной
программы, написанной на
C/BASH/TCSH/PERL с
возможностью передачи
переменных из события
23. Быстрое сдерживание распространения угроз
С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)
Быстрое сдерживание распространения угроз с помощью FMC и ISEЧто даёт FMC + ISE?
Центр FMC Cisco совместно с
ISE идентифицирует и
обращается к подозрительному
действию на основании
предустановленных политик
безопасности.
Преимущества
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
Возможности
FMC обнаруживает
подозрительный файл и
уведомляет ISE с
помощью pxGrid,
изменяя тег группы
безопасности (SGT)
на подозрительный
Доступ запрещается
каждой политикой
безопасности
Автоматические уведомления
Максимальное использование
ANC ISE для уведомления сети о
подозрительной активности в
соответствии с политикой
Раннее обнаружение угроз
FireSight аналищирует активность
и публикует события в pxGrid
Корпоративный
пользователь
загружает файл
Максимальное использование
растущей экосистемы партнеров
и обеспечение быстрого
сдерживания распространения
угроз благодаря интеграции с ISE
FMC сканирует
действия
пользователя и файл
В соответствии
с новым тегом,
ISE распространяет
политику по сети
24. Cisco AMP расширяет защиту NGFW и NGIPS и
позволяет блокировать ВПО раньше
Ретроспективная безопасностьТочечное обнаружение
Непрерывная и постоянна защитаРепутация файла и анализ его поведения
25. Cisco AMP защищает с помощью репутационной фильтрации
и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
26. Какие файлы можно анализировать?
• Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно
захватывать и сохранять для дальнейшего анализа
27. Сила в комбинации методов обнаружения
• На оконечных узлах не всегда хватает ресурсов для анализа все
усложняющегося вредоносного кода;
• Не существует универсального метода обнаружения вредоносного кода – у
каждого метода есть своя область применения, свою достоинства и
недостатки;
• Каждый метод может быть обойден вредоносным кодом; особенно
специально подготовленным!
7 методов обнаружения в Cisco AMP повышают
эффективность защиты!!!
28. Cisco AMP Threat Grid – анализ ВПО и не только
Подозрительный
файл
Отчет об
анализе
Оконечное
оборудование
Хосты
Firewalls
& UTM
Email
Security
Security
Analytics
Web
Security
Endpoint
Security
Network
Security
3rd Party
интеграция
S E C U R I T Y
TIP
Deep Packet
Inspection
Gov, Risk,
Compliance
SIEM
Динамический анализ
Статический анализ
Интеллектуальная база угроз
AMP Threat Grid
Cisco Security Solutions Network Security Solutions
Подозрительный
файл
Премиум
контент фиды
Команда ИБ
29. Изучение файлов с учетом контекста
Подход “Взгляд со стороны”
Нет присутствия внутри VM
Собственные разработки статического и
динамического анализа
Наблюдение за всеми изменениями в хосте и сетевыми
соединениями
Загружаемый результат анализа JSON через минуты
Возможность отслеживания каждого элемента
данных
Детальные отчеты с идентификацией ключевых
индикаторов поведения и уровнем угрозы
Детальная идентификация атак в реальном времени
Статический и динамический анализ в автоматическом режиме
F
R
S
Process with additional activity
File activity
Registry activity
Sample process
Legend:
Динамический анализ: Визуализация дерева процессов
30. Легко идентифицировать и приоритизировать угрозы
780+ индикаторов поведения (и кол-во растет)
• Семейства malware, вредоносное поведение, и другое
• Детальное описание и информация для действия
Приоритизируйте угрозы с уверенностью
• Улучшите SOC аналитику базу знаний и эффективность
Простой для понимания Уровень угрозы ведет к быстрому принятию решений
33. AMP Threat Grid – возможности интеграции
Поддерживаемые интеграции и партнеры Получение сэмплов от партнеров
34. МСЭ / NGFW / NAC
IDS / IPS
NBAD
AV / BDS
SIEM / LogManagement
X
X
X
X
Что такое горизонт событий с точки зрения ИБ?
X
Фильтрация контента
И еще ОС, СУБД,
сетевые и прикладные
службы и сервисы…
35. За горизонтом события ИБ – ретроспективная
безопасность
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо =
Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение =
Плохо = Блокировано
Ретроспективное
обнаружение, анализ
продолжается
36. Cisco AMP обеспечивает ретроспективную защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак
37. Сетевая траектория – история распространения атаки
NGIPS с FireAMP
Отслеживание отправителей /
получателей в континиуме
атаки
Файловая диспозиция изменилась на MALWARE
История распространения
файла
Детали
хоста
42. ИМЯ DNS IP NO C&C TOR ОПЛАТА
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNS
Шифрование канала управления ботнетом Шантаж
Какие протоколы использует ВПО?
44. NOTE1: Visual Investigations of Botnet Command and Control Behavior (link)
• malware reached out to 150,000 C2 servers over 100,000 TCP/UDP ports
• malware often used 866 (TCP) & 1018 (UDP) “well known” ports,
whereas legitimate traffic used 166 (TCP) & 19 (UDP) ports
NOTE2: 2016 Cisco Annual Security Report (link)
• 9% had IP connections only and/or legitimate DNS requests
• 91% had IP connections, which were preceded by malicious DNS lookups
• very few had no IP connections
Как использовать DNS для борьбы с угрозами?
Почти вся command & control (C2) инфраструктура инициализируется с помощью DNS-
запросов с некоторым количеством не-Web ответов в качестве канала обратной связи
Zbot
ZeroAccess
njRAT
Regin
Gh0st
Storm
Pushdo/Cutwail DarkComet
Bifrose
Lethic
Kelihos
Gameover Zeus
CitadelTinba
Hesperbot
Bouncer (APT1)
Glooxmail (APT1)
Longrun (APT1)
Seasalt (APT1)
Starsypound (APT1)
Biscuit (APT1)PoisonIvy
NON-WEB C2 EXAMPLES
DNS
WEBNON-WEB
IP IP
Миллионы
уникальных
образцов ВПО из
сетей филиалов за
последние два года
Lancope Research
(часть Cisco)1
15%C2 обходят
Web-порты 80 & 443
Миллионы уникальных
образцов ВПО,
загруженных для
проверки за
последние 6 месяцев
Cisco AMP Threat
Grid Research2
91%C2 может быть
заблокировано на
уровне DNS
45. ПРОДУКТЫ И ТЕХНОЛОГИИ
UMBRELLA
Применение политик и защита
Служба сетевой безопасности защищает
любое устройство, в любом месте
INVESTIGATE
Аналитика
Обнаружение и
прогнозирование атак до
того, как они происходят
46. DNS запросов
в день
80B BGP пиринговых
партнеров
500
Ежедневно
использующих
пользователей
65M Корпоративных
заказчиков
10K
Масштаб имеет значение
47. 208.67.222.222
MALWARE
BOTNET
PHISHING
Новый уровень обнаружения
проникновений с возможностью внутри
сети видеть то, что обычно видно только
в Интернет
Расширение ATDs (AMP Threat Grid,
FireEye, Check Point) за периметром и
получение немедленного ответа на ваши
IOCs
Обнаружение целевых атак на вашу
компанию по сравнению с тем, что
происходит в мире
Расследование атак, используя «живую»
карту Интернет-активности
Cisco Umbrella
48. Предотвращение угроз
Не просто обнаружение угроз
Защита внутри и вне сети
Не ограничивается устройствами, передающими трафик через локальные
устройства
Интеграция с партнерским и пользовательским ПО
Не требует услуг профессионалов при настройке
Блокировка каждого домена для всех портов
Не только IP-адреса или домены только через порты 80/443
Постоянное обновление
Устройству не нужно обращаться к VPN на локальном сервере для
получения обновлений
UMBRELLA
Применение политик
Что отличает Cisco Umbrella?
50. Живая карта DNS запросов и других
контекстных данных
Корреляция и статистические модели
Обнаружение & прогнозирование
вредоносных доменов
Интеграция данных ИБ с глобальной
информацией
Console API
OpenDNS INVESTIGATE
51. Единый источник коррелированной информации о DNS
Cisco Investigate
INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и
геораспределение
База пассивной инф. DNS
Вендоры -конкуренты
Not available
Not available
Not available
52. Вся мощь Investigate + AMP Threat Grid
Ускорение реакции и охота за новыми угрозами
Investigate
Знает про инфраструктуру
атакующего
AMP Threat Grid
Знает про payload/file,
используемый атакующим
173.236.173.144
Source & destination IP
likelybad.com
HTTP/DNS traffic
Hosted in 22
countries
baddomain.com
162.17.5.245 suspicious.com
creates .exe file in
admin directory
.doc file modifies
WINWORD.exe
modifies registry
entry
other file system
activity and
artifacts created
Request spike
53. Где Cisco Umbrella и Investigate полезны?
ВРЕДОНОС
Exploit Kit или Свой код
Известная или Zero-Day уязвимость
Жестко забитые или DGA отзвоны
Порты и протоколы связи
АТАКУЮЩИЙ
Инструменты, Тактика и процедуры
Стратегия и целеполагание
Мотивация и связи
Языки и Регионы
Инфраструктура
Сети развертывания (и ASNы)
Сервера инфр-ры ( и DNS )
Выделенное IP поле
Регистрация (и Flux) Домены
НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ
Последовательность атаки
Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
ДАЛЬНЕЙШЕЕ
РАСПРОСТРАНЕНИЕ
54. Защита внутри и снаружи, в VPN и без нее
Защита мобильных
пользователей в корпоративной
сети и вне ее:
• Активация через AnyConnect
• Защита от вредоносного ПО,
фишинга и взаимодействия с
C2
• Использование OpenDNS
• Расширение защиты NGFW
55. Какие техники используют хакеры для запуска ВПО?
Подход
Тактика
Результат
Вектор
Заражение или использование
доверенного сайта
Предварительная разведка цели
Доставка и исполнение эксплойта
Заставить пользователя нажать на
скомпрометированную ссылку
Методы социальной инженерии
Доставка и исполнение эксплойта
Скрытая доставка ВПО, заметание
следов деятельности
Получение доступа через DLL-
инъекцию, обход защиты
Компрометация систем и данных
DropperWatering hole Spear phishing
57. Сложности миграции e-mail в облака
Переход в Office 365 создает новые риски
Gartner ожидает 60% перехода к облакам в 20221
Контроль
доступа
Утечки
данных
Доступность
и SLA
Видимость
и аудит
1Gartner Report “Office 365, Google Apps for Work and Other
Cloud Office Key Initiative Overview” July 2015
58. Обнаружение угроз, внедренных в e-mail
Threat
outbreak
filters
Антиспам Обнаружение
Graymail
Фильтры
контента
Оптимизация
обнаружения с
машинным и
человеческим
участием
Останавливает
более 99% спама
Уровень ложных
срабатываний < 1
на 1M
?
Репутационные
фильтры
-10
Движок CASE
+10
59. Защита против вредоносных вложений
Virus
outbreak
filters
Ретроспектива
безопасности
Отслеживание
поведения e-mail
с 560
индикаторами
Быстрая
нейтрализация
угроз с Zero Hour
Malware Protection
Непрерывное
отслеживание
файлов с
помощью
ретроспективной
безопасности
Репутация
файла
Advanced Malware Protection (AMP)
?
Песочница
?
Антивирус
Автолечение
для Office 365
61. Вредоносный код: техники обнаружения и
обхода
Техники обнаружения Техники обхода
Известные сайты и узлы в
Интернет
Смена узлов / страницы перенаправления
Песочница Обнаружение виртуализации
Антивирус Обнаружение антивируса / безфайловое
инфицирование
Сигнатурные системы
(IDS/IPS)
Обфускация файлов / полиморфный код
62. Что может быть использовано для
обнаружения Web-угроз? Разве это все?!
Анализ файлов в Web-
трафике на лету
Отправка файлов
для анализа в
песочнице
Анализ DNS-
запросов и ответов
Категоризация и
контроль репутации
URL
ThreatGRID
Cisco Web
Security
Appliance
64. Идентификация
аномального web-трафика
с помощью
статистического анализа
Распознавание атак
путем анализа имени
доменов в каждом
запросе HTTP/HTTPS
Обнаружение
инфекций в web-
запросах
Обнаружение широкого
спектра угроз путем
анализа коммуникаций с
серверами C2
Определение опасного
трафика,
тунелированного в
HTTP/HTTPS-запросы
путем использования
IOC
Что может обнаруживать CTA?
Утечки данных Domain Generation
Algorithm (DGA)
Exploit KitКоммуникации с C2-
серверами
Туннелирование
через HTTP/S
65. Confirmed Threats – Threat Campaigns
The threat was first detected in your network on Aug 18, 2015 and last observed on Aug 26,
2015. A total of 6 users have shown this threat behavior within the past 45 days. The threat
was also detected in 50+ other companies affecting 100+ other users.
Threat related to a module of the Gamarue/Andromeda botnet.
Gamarue is a modular botnet which can load different modules and present different
behaviors. Threat can communicate through HTTP/HTTPS and has anti-VM and anti-debug
features. Threat can remain dormant before contacting the command-and-control
communication channel to receive instructions. Perform a full scan of the infected device for
the record and then reimage the device.
100% Confidence
67. Процесс реагирования
Сила в интеграции с другими решениями Cisco
Подтвержденные взломы:
Автоматическое создание тикета, используя
существующий SIEM для команды на очистку или
переустановку ПК
Подозреваемые взломы и целевые атаки:
Комбинация высокого риска и высокой уверенности с
подозреваемой утечкой данных может быть
эскалирована на аналитиков 3-го уровня поддержки
для ручного анализа
68. CTA: что происходит после обнаружения
IPS
ISE ИТ-служба
CTA AMP For Endpoint
SIEM
AMP For Endpoint
Обнаружение угрозы Немедленная реакция Финальная реакция
Быстрота и автоматизация
Цель: блокировать каналы,
по которым работает ВПО
для предотвращения утечки
данных
Тщательность и адаптация
Цель: понять причину и
источник, оценить потери,
обновить политики
74. AMP4E+SIEM: разбор полетов 1 день
Ошибка пользователя? Уязвимое приложение? Новый эксплойт?
Обнаружение угрозы Немедленная реакция Финальная реакция
75. О чём мы забыли?
РАЗВЕДКА ДОСТАВКА
ЦЕЛЬ
СВЯЗЬ ВЫЖИВАНИЕ
ВЗЛОМ
ЗАПУСК ЭКСПЛОЙТ УСТАНОВКА
ЗАРАЖЕНИЕ
Host
Anti-
Malware
DNSЗащита
DNS
Защита
web
Защита
почты
DNSЗащита
DNS
Защита
Web
NGIPS
Телеметрия
Анализ
Netflow
NGIPS
NGFW
NGIPS
NGFW
Анализ
Netflow
NGFW
Анализ
Netflow
Host
Anti-
Malware
Сегментация
77. Как TrustSec может помочь?
Enterprise Network
Attacker
Perimeter
(Inbound)
Perimeter
(Outbound)
Research targets
(SNS)
1
C2 Server
Spear Phishing
(you@gmail.com)
2
http://welcome.to.jangle.com/exploit.php
Victim clicks link unwittingly3
Bot installed, back door established
and receives commands from C2
server
4
TrustSec блокирует общение между рабочими станциями, что
сильно усложняет сканирование, OS Finger printing,
exploitation, и privilege escalation
5
Admin Node
Используем возможности
TrustSec чтобы замедлить
потенциальную атаку,
усложнить жизнь
атакующему и увеличить
шансы на его обнаружение
78. Контроль сетевого обмена между рабочими станциями
1 Сканирование
Distribution Switch
Access Switch
BYOD Device PC
AP
Беспроводная сеть Проводной сегмент
2 Эксплуатация
уязвимостиЗаражённый
PC
Employee Tag
Anti-Malware-ACL
deny icmp
deny udp src dst eq domain
deny tcp src dst eq 3389
deny tcp src dst eq 1433
deny tcp src dst eq 1521
deny tcp src dst eq 445
deny tcp src dst eq 137
deny tcp src dst eq 138
deny tcp src dst eq 139
deny udp src dst eq snmp
deny tcp src dst eq telnet
deny tcp src dst eq www
deny tcp src dst eq 443
deny tcp src dst eq 22
deny tcp src dst eq pop3
deny tcp src dst eq 123
Пример ACL для
блокирования PtH
(SMB over TCP),
используемый
эксплойтом
SGACL Policy
• Замена Private Isolated / Community
VLAN централизованно заданной
политикой;
• Работает для мобильных устройств
(с DHCP-адресами).
• Статичные ACL не могут
обеспечить такой же уровень
гибкости;
• Ни один конкурент не может
предоставить подобной
функциональности!
80. Перенаправление трафика для расследования
инцидента
User
Scanning
Скомпрометированный
хост
1
Exploitation
2
SGACL
Коммутатор
Маршрутизатор
NGIDS
Flow Collector
SIEM
NetFlow
NetFlow
Event Log NetFlow
ISE
PxGrid EPS
Назначаем
Quarantine SGT
скомпрометированному
пользователю
Перенаправление
трафика
Коммутатор
• Работает на ASA,
ISR4000 и ASR1000;
• Policy-based routing с
использованием SGT;
• Перенаправление на
основе SGT,
например, для
карантина или
анализа
подозрительного
трафика.
81. - Threat events
- CVSS
- IOC
- Vulnerability assessments
- Threat notifications
Threat Centric NAC – угрозоцентричные
проверки на соответствие политикам здоровья
Изоляция угроз
AMP Qualys
Cisco ISE
Устройства
Cisco ISE защищает сеть путём
сегментации
скомпрометированных или
уязвимых устройств с
последующим лечением
Дополняет проверки
Используется информация об
уязвимостях
Расширенный контроль
на основе информации об
угрозах и критических
уязвимостей
Быстрая реакция
полностью автоматическая, в
реальном времени реакция на
изменения в статусе хоста с
точки зрения угрозы или
критических уязвимостей
Кто
Что
Когда
Где
Как
Здоровье
Угроза
Уязвимость
Создаём политику авторизации в ISE основанную на информации об угрозах и уязвимостях
Network Access Policy
Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC)
82. Threat Centric NAC в деталях
Уменьшить количество уязвимостей, ограничить распространение угроз
Изоляция угроз
Проблема
Скомпрометированные хосты распространяют ВПО по
всей сети используя уязвимости
1
Malware infection
Malware scans for vulnerable endpoints2
Vulnerability detected3
Infection spread
4
Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC) | Advanced Malware Protection (AMP)
Решение
Ограничить доступ скомпрометированных и уязвимым
хостам в сеть, пока уязвимости и угрозы не будут
устранены
Cisco AMP Vulnerable host
Quarantine and
Remediate
IOC CVSS
“Threat detected” Vulnerability scan
83. ‘Vulnerable Endpoints’ – уязвимые хосты
на основе Common Vulnerability Scoring System (CVSS)
Изоляция угроз
84. ‘Compromised Endpoints’ – скомпрометированные
устройства
на основе инцидентов и индикаторов компрометации
Изоляция угроз
85. Пример политики TC-NAC
Изоляция угроз
Authorization policy for ‘vulnerability’
Первоначально ‘ограниченный’ доступ + Сканирование на уязвимости
86. Как это коррелирует с моделью безопасности,
ориентированной на борьбу угрозами?
ДО
Обнаружение
Применение
Усиление
ПОСЛЕ
Область
Состояние
Лечение
Жизненный цикл атаки
Обнаружение
Блокирование
Защита
ВО ВРЕМЯ
Сегментация
Ограничение возможностей
атакующего/зловредного кода
Добавляем информацию о
роли к сообщениям NetFlow,
журналам ASA и WSA
Отправка в карантин при
обнаружении прозрачна
для пользователя
Перенаправление трафика
на анализ прозрачно для
пользователя
Контроль возможной области
заражения
Возможность лечения
поражённых систем
Ещё большее сужение области
заражения по мере анализа и
лечения
88. Что у вас есть?
Чего вам не хватает?
Что вам понадобится?
Идентифицируйте используемые вами
технологии ИБ, используемые данные
и способы их получения, не забывая
про моделирование угроз
Определите ваши краткосрочные,
среднесрочные и долгосрочные планы и
возможные риски и угрозы для них, а
затем определите данные, которые вам
нужны для их обнаружения
Выберите необходимые источники
данных, обучите персонал и, по
необходимости, внедрите новые
решения по кибербезопасности и
анализу информации для ИБ
Что делать после Коннекта?
89. Свяжитесь с
нами
Тестируйте
Составьте план
внедрения
Напишите нам на security-request@cisco.com
или своему менеджеру Cisco для организации
встречи для более глубокого обсуждения
ваших потребностей и того, как мы можем их
удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план
внедрения решений по кибербезопасности
под ваши задачи
Что делать после Коннекта?