Документ представляет собой презентацию о цифровизации и безопасности в контексте киберугроз, в которой рассматриваются методы атаки и защиты сетевой инфраструктуры. Акцентируется внимание на цепочке атак 'Kill Chain' и важности мониторинга DNS трафика для предотвращения злонамеренных действий. Также обсуждаются инновационные методы программ-вымогателей и защиты конечных пользователей с помощью решений Cisco.

1. Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

3. Защита и
контроль
приложений
Назим Латыпаев
Technical Solutions Architect
nlatypae@cisco.com
© 2017 Cisco and/or its affiliates. All rights reserved.

4. Организационные вопросы
1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,
предложенные опросники, после каждой сессии!
2. Пожалуйста, помните, что в зале вэйпить запрещено!
3. Пожалуйста, переведите ваши мобильные телефоны в
беззвучный или вибро режим!
4. Пожалуйста, используйте мусорные ведра!
5. Пожалуйста, держите Ваш регистрационный пропуск при себе!

5. Как хакер проводит разведку вашей сети?

6. Красивая приманка

7. Не только через почту, но и через соцсети

8. Что такое убийственная цепочка?

9. 1. Разведка
Сбор информации для
создания стратегии атаки
и инструментов для атаки
2. Вооружение
Объединение эксплоита с
уязвимостью в
запускаемый код
3. Доставка
Доставка бандла жертве
через email, web, USB и
т.д.
4. Эксплуатация
Эксплуатация уязвимости
для выполнения кода на
системе жертвы
5. Инсталляция
Установка malware на
компьютере жертвы
6. Command & Control
Командный канал для
удаленной манипуляции
системой жертвы
7. Действия по цели
С полным доступом к системе
нарушитель достигает своей
цели
Подготовка Вторжение Активная брешь
Цепочка атаки “Kill Chain”

10. Какой ресурс более доверенный?
BRKSEC-2444 10
hxxp://google.com
hxxp://llanfairpwllgwyngyllgogerychwyrndrobwllllanty
siliogogogoch.co.uk

11. Какой ресурс более доверенный?
BRKSEC-2444 11
hxxp://google.com
Обычно используется злоумышленниками
hxxp://llanfairpwllgwyngyllgogerychwyrndrobwllllantysil
iogogogoch.co.uk
Всего лишь ресурс посвященный деревни в Великобритании

12. Индивидуальное шифрование
для каждой цели
Маркировка уже
зашифрованных систем
Использование биткойнов
для анонимных платежей
Установка крайних сроков:
1. Для увеличения выкупа
2. Для удаления ключа
шифрования
Инновации программ-вымогателей

13. Самораспространение
• Использование уязвимостей в широко
распространенных продуктах
• Репликация на все доступные накопители
• Заражение файлов
• Базовые функции для атак методом подбора
• Устойчивость управления и контроля, в т.ч. полное
отсутствие инфраструктуры контроля и управления
• Использование уже имеющегося в системе ВПО
Программы-вымогатели второго поколения
Модульность
• Распространение через файлы автозапуска и USB-
накопители большой емкости
• Эксплойты в инфраструктуре аутентификации
• Сложные системы управления, контроля и отчетности
• Ограничители потребления системных ресурсов
• Фильтрация целевых адресов для заражения
(RFC 1918)

14. Эволюция вариантов вымогателей
Стечение обстоятельств – легкое и эффективное
шифрование, популярность эксплойт-китов и фишинга, а
также готовность жертв платить выкуп шантажистам
PC Cyborg
2001
GPCoder
2005 2012 2013 2014
Fake
Antivirus
2006
Первый
коммерческий
смартфон
Android
2007
QiaoZhaz
20081989 2015 2016
CRYZIP
Redplus
Bitcoin
сеть запущена
Reveton
Ransomlock
Dirty Decrypt
Cryptorbit
Cryptographic Locker
Urausy
Cryptolocker
CryptoDefense
Koler
Kovter
Simplelock
Cokri
CBT-Locker
TorrentLocker
Virlock
CoinVault
Svpeng
TeslaCrypt
Virlock
Lockdroid
Reveton
Tox
Cryptvault
DMALock
Chimera
Hidden Tear
Lockscreen
Teslacrypt 2.0
Cryptowall
SamSam
Locky
Cerber
Radamant
Hydracrypt
Rokku
Jigsaw
Powerware
73V3N
Keranger
Petya
Teslacrypt 3.0
Teslacrypt 4.0
Teslacrypt 4.1

15. Уязвимая инфраструктура используется оперативно и широко
Рост атак на 221 процент на WordPress

18. • Threat intelligence – Накапливать и
использовать знания о
существующих зловредах и
векторах взаимодействия
• Безопасность E-mail – Блокировать
вложения и линки зловредов
• Web Безопасность – Блокировать
Веб сессии к зараженным ресурсам
и файлам
• Безопасность DNS – Прервать
общение с C&C (управление)
Что нужно для прерывания убийственной
цепочки (Kill Chain)
DNS
• Безопасность конечных
пользователей – Инспектировать
файлы на наличие зловредов,
отправлять их в карантин и удалять
• Сегментация инфраструктуры -
Проверять доступ, разделять
трафик по ролям или политикам
• Предотвращение вторжений-
Блокировать атаки, сбор и
использование данных
• Контролировать коммуникации
инфраструктуры – определять и
сообщать об анамалиях

19. Возможности для борьбы с убийственной цепочкой (Kill Chain)
Разведка Вооружение
ЦЕЛЬ
C&C
Действия
по цели
ВЗЛОМ
Доставка
Эксплуа
тация
Инсталляция
КОМПРОМЕНТАЦИЯ
Защита
инфраструктуры
End–to–End
NGIPS
NGFW
Flow
Analytics
Network
Anti-
Malware
NGIPS
NGFW
Host
Anti-
Malware
DNSDNS
Security
Web
Security
Email
Security
NGIPS
DNSDNS
Security
Web
Security
NGIPS
Threat
Intelligence

20. DNS: слепая зона для безопасности
91,3%Вредоносного ПО
использует DNS
68%Организаций не
мониторят его
Популярный протокол, который используют злоумышленники для управления, утечки данных и
перенаправления трафика

21. Что еще было выявлено?
• Адресное пространство заказчика
входит в блок-списки третьих
сторон по спаму и вредоносному
ПО
• Адресное пространство заказчиков
маркировано для известных
серверов внешнего управления
Zeus и Palevo
• Активные кампании вредоносного
ПО, в том числе CTB-Locker, Angler
и DarkHotel
• Подозрительные действия,
включая использование сети Tor,
автоматическое перенаправление
электронной почты и онлайн-
преобразование документов
• Повсеместное туннелирование
DNS на домены,
зарегистрированные в Китае
• «Тайпсквоттинг» DNS
• Внутренние клиенты, обходящие
доверенную инфраструктуру DNS
клиента

22. ИМЯ DNS IP NO C&C TOR ОПЛАТА
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNS
Шифрование C&C Шантаж
Какие протоколы используют вымогатели?

23. Первые шаги, Cisco OpenDNS

24. Где находится Umbrella? Malware
C2 Callbacks
Phishing
Центральный
Офис
Sandbox
NGFW
Proxy
Netflow
AV AV
Филиал
Router/UTM
AV AV
Роуминг
AV
Первая
линия
Сеть и хосты
Сеть и хосты
Хосты
Всё начинается с DNS
Предшествует открытию
файлов и установлению IP
соединения
Используется всеми
устройствами
Независимо от порта

25. UMBRELLA
Сервисы защиты
Сервис сетевой безопасности
Защита любого устройства везде
INVESTIGATE
Интеллект
Обнаружение и
прогнозирование атак
перед их началом
Продукты и технологии

26. Новый уровень защиты от угроз
UMBRELLA
Предотвращение угроз
Не только обнаружение угроз
Встроенные и настраиваемые API интеграции
Не требует профессионального сервиса для настройки
Защита внутри и снаружи сети
Не ограничивается устройствами отсылающими трафик на
устройства защиты внутри сети
Всегда актуально
Не требуется подключение VPN к офисной сети для обновлений
Блокировка по домену на всех портах
Не только адреса и домены только по портам 80/443

27. Единый источник коррелированной информации
INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и
геораспределение
База пассивной инф. DNS
Вендоры
конкуренты
Not available
Not available
Not available

28. Интеграция для усиления имеющейся защиты
Блокировка вредоносных доменов из системы партнера или собственных
систем
Umbrella
Ваш текущий набор решений ИБ
Appliance-based detection + Другие
Threat intelligence platform + Другие
AMP Threat GridThreat analysis feed + Другие
Python Script Bro IPSCustom integrations + Другие
IOCs

29. Где находится OpenDNS в KillChain
RECON STAGE
ЦЕЛЬ
CALLBACK PERSIST
ВЗЛОМ
LAUNCH EXPLOIT INSTALL
(often w/callback)
КОМПРОМЕТАЦИЯ
ДАЛЬНЕЙШЕЕ
РАСПРОСТРАНЕНИЕ
ВРЕДОНОС
Exploit Kit или Свой код
Известная или Zero-Day уязвимость
Жестко забитые или DGA отзвоны
Порты и протоколы связи
АТАКУЮЩИЙ
Инструменты, Тактика и процедуры
Индустрии и целеполагание
Мотивация и связи
Языки и Регионы
Инфраструктура
Сети развертывания (и ASNы)
Сервера инфр-ры ( и DNS )
Выделенное IP поле
Регистрация (и Flux) Домены
НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ
УБИЙСТВЕННАЯ ЦЕПОЧКА

30. Статистическое
моделирование
Виновен по поведению
 Модель совместных запросов
 Геолокационная модель
 Модель индекса безопасности
Виновен по связям
 Модель предсказуемого IP сегмента
 Корреляция DNS и WHOIS данных
Шаблон виновности
 Модель всплесков активности
 Модель оценки языкового
шаблона (NLP)
 Обнаружение DGA
2M+ событий в секунду
11B+ исторических событий

31. Модель совместных запросов
Домены виновные по модели связанных вызовов
a.com b.com c.com x.com d.com e.com f.com
Время - Время +
Совместное появление доменов означает что статистически значимое
количество хостов запросило оба домена одновременно в короткий
промежуток времени
Возможно вредоносный домен Возможно вредоносный домен
Известный вредоносный домен

32. Модель всплесков активности
Шаблоны виновности
y.com
ДНИ
DNSЗАПРОСЫ
Огромное
количество
запросов DNS
собирается и
анализируется
Объем запросов DNS соответствует
известному шаблону, характерному для
exploit kit и предсказывает будущие атаки
DGA MALWARE EXPLOIT KIT PHISHING
y.com заблокирован до
того как атака началась

33. 155.12.144. 25
179.67.73.66
72.78.28.73
Мониторинг предсказуемого IP сегмента
Виновен по ассоциации
Обнаруживает подозрительные
домены,
и изучает их IP отпечатки
Идентифицирует другие IP
(хостящиеся на том же сервере)
которые имеют схожие отпечатки
Блокируем эти IP и их
ассоциированные домены
DOMAIN
209.67.132.176

34. IP ГЕО-локационный анализ
ХОСТ ИНФРАСТРУКТУРА
Расположение сервера
IP адреса связанные с
доменом
Хостится в более чем 28+
странах
DNS ЗАПРАШИВАЮЩИЕ ХОСТЫ
Расположение сетевые и вне сети
IP адреса запрашивающих домен
Только заказчики из US связываются с .RU TLD

35. Модель языкового моделирования (NLPRank)
Идентификация вредоносных доменов и направленных C2 или
фишинговых доменов
Читаем APT отчет Шаблоны в доменах
используемых для
атаки
Проверили данные и
подтвердили
опасения
Построили модель
и продолжаем
подстройку
 Подлог домена
использован для
спуфинга
 Частые имена брендов
и слово “update”
 Примеры:
update-java[.]net
adobe-update[.]net
 Словарные слова и
имена компаний слитно
 Измененные строчные
буквы # на символы для
сокрытия
 Домены хостятся на
ASNах не
ассоциированных с
компанией
 Изменённые отпечатки
WEB страниц
Обнаружение
доменов для фрода:
1inkedin.net
linkedin.com
1 2 3 4
NLP = natural language processing

36. Обнаружение алгоритмов генерации доменов DGA
Domain Generation Algorithms: техника избежания задания статичных имен
доменов в вредоносе
yfrscsddkkdl.com
qgmcgoqeasgommee.org
iyyxtyxdeypk.com
diiqngijkpop.ru
Анализ энтропии
Не выглядит ли
распределение
символов случайным?
“N-gram” анализ
Соответствуют ли
наборы рядом
стоящих символов
языковому шаблону?

37. Cisco Email Security

38. Защита от угроз Cisco Email
Полная защита от угроз
Cisco® Talos
Репутационная фильтрация SenderBase
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Drop
Drop/Quarantine
Антивирус Drop/Quarantine
Advanced Malware Protection (AMP) Drop/Quarantine
Quarantine/Rewrite
Deliver Quarantine Rewrite URLs Drop
Обнаружение Graymail Rewrite

39. Защита от malware нулевого дня
Advanced Malware Protection
Outbreak FiltersAdvanced Malware Protection
Репутация
файлов
Известная репутация
«песочница»
Неизвестные файлы загружаются
в песочницу
(archived, Windows PE, PDF, MS Office)
Cisco® AMP
интеграция
Обновление
репутации

40. Cisco AMP сетевых устройств, AMP4E

41. AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security
AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud
Virtual Appliance
AMP on Firepower NGIPS Appliance
(AMP for Networks)
AMP on Cloud Web Security
& Hosted Email
CWS
Threat Grid
Malware Analysis + Threat Intelligence
Engine
AMP on ISR with Firepower Services
AMP Везде
AMP for Endpoints
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect

42. Cisco AMP расширяет защиту NGFW и
NGIPS
Ретроспективная безопасностьТочечное обнаружение
Непрерывная и постоянна защитаРепутация файла и анализ его поведения

43. Cisco AMP защищает с помощью репутационной фильтрации
и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств

44. Cisco AMP обеспечивает ретроспективную
защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек
атак

45. Контроль по типам файлов

46. Сетевая траектория – Отслежвание
NGIPS с FireAMP
Отслеживание отправителей
/ получателей в континиуме
атаки
Файловая диспозиция изменилась на MALWARE
История распространения
файла
Детали
хоста

47. Описание собственных приложений
Приложения могут
быть описаны
шаблонами:
• ASCII
• HEX
• PCAP-файл
• OpenAppID
(NEW!)

48. OpenAppID Интеграция
Сила Open Source приходит к безопасности уровня
приложений
• Создавайте, обменивайтесь и применяйте
собственные правила обнаружения приложений
• Отдайте контроль в руки клиентов и большого
сообщества ИБ
• Групповая разработка в рамках сообщества
ускоряет создание сигнатур обнаружения и
контроля
Что такое OpenAppID ?
• Open-Source язык: специализированный на
обнаружение приложений
• > 2500 детекторов привнесено Cisco
• > 20,000 загрузок пакетов детекторов с
прошлого Сентября
• Поддерживается со стороны Snort
сообщества
• Простой язык
• Уменьшенная зависимость от производителя
и его релизов
• Пишется с использованием скриптового
языка Lua
Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям
создавать, обмениваться и внедрять собственное обнаружение приложений.

49. Cisco CloudLock

50. Куда все движутся?..

51. Десктопы Бизнес-
приложения
Критическая
инфраструктура
Пора выйти за
пределы периметра

52. Корпоративная
инфраструктура
(AWS, Azure, Force.com)
Бизнес-приложения
(Salesforce, Box,
DocuSign, и т.д.)
Дистанционные
пользователи
Филиалы
Десктопы Бизнес-
приложения
Критическая
инфраструктура
К удаленной
работе

53. Согласно оценкам Гартнер к 2018:
25% корпоративного трафика
будет миновать периметр ИБ.

54. 75% это не 100%

55. Что происходит в
облаках?

56. Не забыть про
облака Корпоративная
инфраструктура
(AWS, Azure, Force.com)
Бизнес-приложения
(Salesforce, Office365,
Box и т.д.)
Дистанционные
пользователи
Филиалы
Десктопы Бизнес-
приложения
Критическая
инфраструктура

57. Объединяя ИБ из облака и для облака
DDoS
ASAv
OpenDNS
Stealthwatch
Cloud License
AMP
Безопасность из облака
Безопасность для облака
CWS
OpenDNS
UmbrellaAMP
Cisco Defense
Orchestrator
Cognitive Threat
Analytics
Active Threat
Analytics
Hosted Identity
Service
Cloud consumption
services NGIPSv
NGFWv
CSRv
Cloud Email Security

59. CloudLock обеспечивает видимость и
контроль защищаемых облачных
приложений и инфраструктуры.

60. Что такое CASB? (Cloud Access Security
Broker)
Утечки данных
Защита данных и
соответствие требованиям
Риски теневых
ИТ и приложений
Контроль и видимость
приложений
Скомпрометирован-
ные учетные записи
и внутренние
угрозы
Защита от угроз и UEBA
ПриложенияУчетные записи
Данные

61. Technology for Information Security in 2016
CASBCloud Access Security Broker
1
#

62. Технологии CloudLock CASB
Защита применения
бизнес-приложений в
облаках
CASB для
SaaS
Защита критической
инфраструктуры в
облаках
CASB для
IaaS/PaaS

63. Cisco AnyConnect

64. Модуль сетевой видимости
Расширенный контекст об
активностях устройства
Коллектор и
системы отчетов
Расширяет сбор данных об устройстве
информацией о сетевой активности приложений/пользователей
АналитикаАудитНаблюдаемость
. . .

65. Модуль ‘Visibility’ для Anyconnect – обнаружение
приложений
Cisco Anyconnect with
‘Network Visibility’ module
IPFIX/NetFlow
Collector
КСПД Public
Visibility
in to process, process hash, URLs, and more
Context
for Network Behavioral Analysis
Control
run-time applications via ’Posture Policies’
Asset Visibility

66. AMP коннектор расширяет защиту от malware
Обеспечивает быстрый и удобный путь
включения функционала Advanced Malware
Protection (AMP)
Обеспечивает защиту конечного устройства до
туннелирования трафика в сеть
Минимизирует потенциальное влияние путем
обеспечения проактивной защиты и быстрого
устранения заражения
Больше защиты
Windows/MAC Mobile
Мобильное устройство

67. AnyConnect и OpenDNS модуль

68. Обучение сотрудников

70. Инфраструктура

71. The A.S. не The A.I.

72. The A.S. не The A.I.Инфраструктура

73. “Всегда стройте защиту своей
инфраструктуры так, как будто
человек, который будет ей управлять
после Вас, является жестоким
психопатом, знающим где Вы живёте”
BRKSEC-3303 74
Неизвестная девушка или парень @9GAG

74. НеутомимыеНеослабевающие

75. Выводы
• Комплексная интегрированная архитектура безопасности Cisco помогает снизить время
расследования инцидентов и увидеть невидимое.
• Методики глубокой интеграции средств защиты дают возможность эффективного
автоматического обмена контекстом и событиями, что дает:
• Обогащение контекстом событий для расследования;
• Снижения ложных срабатываний ввиду лучшей видимости;
• Автоматической зонтичной защиты сети в периметре и за ее пределами;
• Предоставит эффективный План B, ретроспективную безопасность;
• Каждая организация БУДЕТ страдать от взломов.
7

76. Запомните этот адрес:
dcloud.cisco.com

77. Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
request@cisco.com или своему менеджеру
Cisco для организации встречи для более
глубокого обсуждения ваших потребностей
и того, как мы можем их удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после семинара?

78. #CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia