Визуализация взломов в собственной сети
•Download as PPTX, PDF•
1 like•7,030 views
Palo Alto Network NGFW предоставляет возможность просмотра и безопасной работы с приложениями в сети
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Визуализация взломов в собственной сети
Similar to Визуализация взломов в собственной сети (20)
Визуализация взломов в собственной сети
- 1. Визуализация взломов в собственной сети Денис Батранков консультант по ИБ, CISSP, CNSE Palo Alto Networks russia@paloaltonetworks.com
- 3. 344 KBfile-sharing URL category PowerPoint file type “Confidential and Proprietary” content rivanov user marketing group canada destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol slideshare application slideshare-uploading application function
- 4. 344 KBunknown URL category EXE file type shipment.exe file name ipetrov user finance group china destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol web-browsing application
- 5. Shadow IT – несанкционированные информационные ресурсы и компоненты Опросили 129 ИТ руководителей привести примеры Shadow IT: макросы в Excel 19% программные продукты 17% облачные приложения 16% ERP 12% системы BI 9% веб-сайты 8% аппаратные устройства 6% неучтенный VoIP 5% неизвестная ИТ поддержка 5% неизвестные IT провекты 3% BYOD 3%.
- 6. Много заказчиков удивляются отчетом по приложениям
- 7. Лучше один раз увидеть SLR позволяет показать приложения, вирусы, атаки, бот-сети Security Lifecycle Report (SLR)
- 8. Сколько вирусов не знает ваш антивирус? Wildfire = 5 минут на определение Проверка файлов в песочнице
- 9. Сколько компьютеров в бот-сети?
- 10. URL фильтр DNS Sinkholing Динамиче ские DNS Detect and Block Threat Intelligence = блокировка центров управления и скачивания malware URL категория - malware, DNS Sinkholing, Anti-Spyware Сразу блокируем ненужные для работы URL Сразу видим DNS запросы к вредоносным ресурсам. Сразу блокируем сайты на динамических DNS Сигнатуры популярных систем удаленного управления
- 11. Кто из сотрудников пользуется SaaS?
- 12. User-ID позволяет сопоставить IP и аккаунт
- 13. Ваши средства мониторинга видят сеть вот так? Много трафика по порту 80 Много трафика по порту 53 Много трафика по порту 21 Много трафика по порту 25
- 14. Вы знаете что по сети передают данные 200-400 приложений?
- 15. Прокси-сервер изучает только web трафик. А остальные 200 приложений кто будет защищать? HTTP – Port 80 HTTPS – Port 443 ??? ??? ??? ??? ??? ??? • Фокус на HTTP and HTTPS оставляет злоумышленнику доступным большой арсенал атак по другим приложениям
- 17. Зачем тестирование? Показать реальную функциональность - без маркетинга Показать стабильность Показать производительность Показать интерфейс
- 18. Лабораторная работа с инструктором Palo Alto Networks. 18 | © 2016, Palo Alto Networks. Confidential and Proprietary. Мода на квесты? У нас есть Ultimate Test Drive
- 19. Какие задачи решает NGFW для ИТ Switching, Routing, VLAN, Trunks, Policy Based Routing, VPN Визуализация ВСЕХ приложений по стандартным и нестандартным портам стека TCP/IP Просмотр и контроль действий пользователей Mobile Device Management и HIP
- 20. Какие задачи решает NGFW для ИБ Новые правила на основе приложений имен/групп AD URL категорий типов файлов Единая точка контроля VPN Антивирус IPS URL категории Песочница Threat Intelligence DNS Sinkholing Туннелирование/обход firewall
- 21. Пример атак хакеров на Positive Hack Days 2017
- 22. Интеграция NGFW в сетевую инфраструктуру Порт Tap = SPAN порт – для аудита или составления отчетов Порт Virtual Wire = фильтрующий мост, самое легкое внедрение в сеть Порт L2 = свитч, поддержка VLAN и VLAN трансляции Порт L3 = маршрутизатор, поддержка RIP, OSPF, BGP, Multicast Tap Layer 3 OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN LACP VPN QoS Virtual Wire Layer 2
- 23. Какие есть способы обхода сетевой защиты?
- 24. Техники уклонения от IPS/IDS и Firewall 1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты нестандартное использование стандартных портов создание новых специализированных протоколов для атаки 2. Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования signatures Port 10000 HTTP Port 80
- 25. Туннелирование поверх DNS Примеры tcp-over-dns dns2tcp Iodine Heyoka OzymanDNS NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
- 26. Две стороны одного протокола SSL SSL для защиты данных или чтобы скрыть вредоносную активность? TDL-4 Poison IVY Rustock APT1Ramnit Citadel Aurora BlackPOS
- 27. Схема работы расшифрования SSL/SSH После расшифрования трафик будет проверен и он может быть также отослан на внешний зеркальный порт (например во внешний DLP) Decrypt mirror output ! Cleartext data is copied to decrypt mirror interface . ! TCP Handshake and TCP checksums are artificially recreated. 12 | ©2014, Palo Alto Networks. Confidential and Proprietary.
- 28. Использовать NGFW удобно для приложений 7 уровня – не нужно помнить стандартные порты приложений Разрешить MS Lync? Запросто! 1434(UDP), 5060, 5061, 444, 135, 5062, 8057, 8058, 5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061, 5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082, 5065, 49152-57500(TCP/UDP), 5073, 5075, 5076, 5066, 5071, 8404, 5080, 448, 445, 881, 5041 А как разрешить bittorent?
- 29. TRAPS – защита от эксплойтов и песочница Wildfire предотвращает атаки на хостах Документ открывает пользователь, ничего не ожидая Traps незаметно интегрируется в процесс Техника эксплуатации блокируется до начала вредоносной активности Когда происходит попытка взлома, то эксплойт вызывает ловушку и останавливается до того как вредоносная активность начинается Traps Traps оповещает о событии и собирает данные для анализа UserAdmin is Notified PDF PDF PDF Process is Terminated Forensic Data is Collected R R R
- 30. Блокировка WanaCrypt0r хостовой защитой
- 31. Советуют другимОценка заказчиками сервисной поддержки Customer satisfaction data is collected through post-support call surveys. Net Promoter Score (likelihood to recommend) = (% Promoters [10 or 9]) – (% Detractors [1-6]). Satisfaction = 1 (low) to 5 (high). An NPS of 50 is considered best-in-class. На 7.3 пункта с прошлого года! -100 to +100 75.3 из 10 8.95 31 | © 2016, Palo Alto Networks. Confidential and Proprietary. Заказчики впечатлены
- 32. Платформа Palo Alto Networks приносит удовольствие Обеспечиваем заданную производительность при всех включенных сервисах безопасности
- 33. Видеозапись демонстрации защиты от криптолокеров https://youtu.be/Z2jmzzZniMo Email офиса в России: Russia@paloaltonetworks.com
- 34. Решаемые задачи: защита Интернет-периметра • Контроль Интернет-доступа на уровне категорий приложений и пользователей • Расшифрование входящего/исходящего SSL/SSH трафика, интеграция с DLP • Анализ и контроль контента • URL-фильтрация • Защита от уязвимостей (IPS), Антивирус, защита от botnet • Защиты от угроз «нулевого дня» и APT (целенаправленных атак) • Удаленный доступ для мобильных пользователей c аутентификацией и проверкой соответствия корпоративной политике
- 35. Решаемые задачи: защита ЦОД и КСПД • Контроль пользователей и приложений в ЦОД • Защита от взлома, проникновений угроз и вирусов в ЦОД • Антивирус, защита от уязвимостей (IPS), защита от botnet • Защита от угроз «нулевого дня» и целенаправленных атак • Интеграция с виртуальными серверами (VMware, Hyper-V и др.) • Защита корпоративных, самописных приложений (пр. проект РЖД) • Защиты виртуализированных рабочих мест (VDI) • Интеграция с DLP, SIEM
- 36. Решаемые задачи: защита рабочих станций Предотвращение известных и неизвестных угроз за счёт применения уникальных методик анализа Дополнение новыми функциями безопасности существующего антивируса Защита физических (АРМ), виртуальных сред (VDI) и мобильных ПК Полноценная интеграция с компонентами платформы NGFW и Wildfire (песочницы)
- 37. Ресурсы для изучения технологий Palo Alto Networks https://applipedia.paloaltonetworks.com/ - список приложений http://researchcenter.paloaltonetworks.com/app-usage-risk-report- visualization-2014/ - пузырьковая диаграмма https://threatvault.paloaltonetworks.com/ - база данных вирусов и атак https://paloaltonetworks.com/resources/datasheets/product-summary- specsheet.html - спецификация всех продуктов www.projectnee.com/HOL/catalogs/catalog/134 - бесплатная лабораторная среда Vmware NSX + NGFW live.paloaltonetworks.com – портал с ответами на вопросы и материалами live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration- Tool/ta-p/56582 – скачать Migration Tool
- 38. Пузырьковая диаграмма приложений на Flash Ссылка на диаграмму http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/
- 39. База данных вирусов и атак https://threatvault.paloaltonetworks.com/
- 40. UTD - Unified Test Drive – Threat Prevention лучше Feature Highlights UTD-NGFW UTD-TP UTD-VDC UTD-MP UTD-AEP (New) AWS-TD as UTD (New) Application Control Yes Yes Yes Yes No Yes Modern Malware (WildFire) with VM-Series Yes Yes Yes No No No Decryption Yes Yes No No No No URL Filtering Yes Yes No No No No Control Apps on Non-Standard Port Yes Yes No No No No Evasive Apps (Block Web Proxy Sites) Yes No No No No No GlobalProtect Yes No No No No No In-depth Security Profile (w Threat Traffic) No Yes No No No Yes DNS Sinkhole No Yes No No No No Safe Search Enforcement No Yes No No No No Advanced Endpoint Protection - Traps Introduction No Yes No No Yes No Advanced Endpoint Protection -Malware and Exploit No No No No Yes No Review Exploit Chain and Exploit Techniques No No No No Yes No In-depth ESM Configuration No No No No Yes No Traps and WildFire Integration No No No No Yes No Dynamic Object Group No No Yes No No No Panorama No No Yes No No No vCenter and NSX Manager No No Yes No No No NSX traffic steering, security group and policies No No Yes No No No NSX VXLAN and DFW No No Yes No No No VM-to-VM traffic control / protection No No Yes No No Yes Use of VM-1000-HV and VM-100 No No Yes No No No Use of Migration Tool No No No Yes No No Import 3rd party config file to Migration Tool No No No Yes No No Migrate port-based policies to application-based policies No No No Yes No No PAN-OS verison 7.0 7.0 6.0 7.0 N.A. 7.0 Current Lab version 3.1 3.2 2.0 1.0 1.0 1.0 Я показываю обычно UTD-TP потому что там NGFW + TRAPS
- 42. NSX Demos + Palo Alto Networks NGFW http://www.projectnee.com/HOL/catalogs/catalog/134
- 43. SPLUNK + Palo Alto Networks http://splunkdemo.paloaltonetworks.com/
- 44. LIVE - ответы на все вопросы https://live.paloaltonetworks.com
- 45. Скачать Migration Tool 3.3. https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/MigrationTool-3-3-Info-and-Guide/ta-p/72559
- 48. Существующие подписки на NGFW 48 | ©2015, Palo Alto Networks. Confidential and Proprietary. Threat Prevention - обновления сигнатур антивируса, IPS, анти-spyware URL Filtering – обновления базы данных категорий URL Существует две версии баз собственная и сторонняя от BrightCloud. WildFire – отправка файлов в облако WildFire и получение сигнатур из облака Decryption Port Mirror (бесплатно) – отправка расшифрованного трафика на зеркальный порт Virtual Systems – дополнительные виртуальные системы на устройстве. Модели PA-500, PA-200, VM серия не поддерживают виртуальные системы Global Protect – поддержка мобильных устройств и large scale VPN Autofocus – доступ к базе AutoFocus для разбора инцидентов https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/getting- started/activate-licenses-and-subscriptions.html
- 49. Компания PALO ALTO NETWORKS • 2005 год - Санта-Клара (США) • Основатель - Нир Зук • Специализация - межсетевые экраны нового поколения, защита рабочих станций и облаков • 3800+ сотрудников Palo Alto Networks • 37000 + ЗАКАЗЧИКОВ ПО МИРУ: банки, финансовые услуги, нефтегазовые компании, производство, телеком, здравоохранение, ритейл, логистические компании и другие
- 50. Gartner Волшебный квадрант Межсетевые экраны нового поколения Лидерство 5 лет подряд!
- 51. Контакт офиса в Москве: RUSSIA@paloaltonetworks.com
Editor's Notes
- This is intended to be a first-touch introduction to Palo Alto Networks. The goal of this presentation is to introduce your audience to key Palo Alto Networks facts, our next-generation security platform, and the rich services and support that we offer directly and through our strategic partners. You should allocate a full 60 minutes to get through this presentation in its entirety.
- You can only see what you are looking for. With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.
- You can only see what you are looking for. With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.
- The list of applications and protocols supported by most proxies is limited to a handful of applications, such as web-based clients and media streaming. It is also limited to specific protocols, such as HTTP (port 80), HTTPS (port 443), and FTP (port 21). While many applications are web-based by design, and are using ports 80 or 443, some very common applications, like Skype, BitTorrent, or Lync are capable of dynamically seeking out and utilizing any available port on the network. We have to remember there are more than 65,000 ports available on any network. These port-hopping capabilities allow these applications to scale, be responsive, service the needs of the user… and bypass the limited visibility and security technologies of proxy-based devices. Along the same lines, proxies are limited in their ability to protect against evasive techniques used by tools such as open proxy servers such as PHProxy or CGIproxy, or anonymizers such as Tor.
- SSL or HTTPs specifically, was always intended to be used for security. There are many applications that use SSL as a means of security. But attackers are smart. <click> Here are some of the applications as well as the threats that we see on the network that use SSL as a means of hiding. Tor – ultrasurf – neither belong on your network…. APT 1, the attack found by mandiant, BlackPOS the recent attack on the US retailer target, RamNIT – a 2012 bot that has resurfaced in 2014 – all use SSL as a means of both privacy and hiding in plain sight. <click> The two faces of SSL present us with a challenge – how do you know?
- Let’s show how this looks to the individual user and admin. In this next example a user opens a document, then Traps seamlessly injects itself (in the form of prevention modules) into the process. It’s important to note that Traps isn’t scanning or monitoring for malicious activity. These are static “traps” set up within the processes ready to block any exploit technique the second it’s used. There’s a massive scalability benefit to this approach as very little CPU and memory are used. (We’ll cover this in more detail shortly.) Once Traps has injected itself into the process, that process is then shielded from any exploit. If an exploit attempt is made, Traps will immediately block the technique or techniques, terminate the process, and notify both the user and the admin that an attack was thwarted. In addition, Traps will collect detailed forensics and report that information to the Endpoint Security Manager (ESM). If no attack is made it’s business as usual for that user and process. The user has no idea any preventative measures were deployed behind the scenes given the minimal resource utilization. --------------------------------------- Optional when/if needed: We protect any process based on configuration. There are ~100 process by default that are protected within Traps, and there are up to 500 versions that are supported based on configuration so any time those processes are spun up Traps gets injected. You have to inject Traps at the time that the process is started, not necessarily the time the file is loaded. A good example of that would be - I open a Word document the Microsoft Word process is started – we have to inject as high up into that stack as we possibly can to be successful and regardless of whether that Word document was good or bad if I now open a second Word document it’s being opened in the same process – so we have to make sure that we’re always there.
- A BIG PART OF THIS SUCCESS IS BECAUSE OUR CUSTOMERS ARE DELIGHTED. AS I MENTIONED, CUSTOMER SUPPORT FOR US IS A COMPETITIVE DIFFERENTIATOR – ALMOST 9 OUT OF 10 FOR CUSTOMER SAT. AN NET PROMOTER SCORE OF 50 IS CONSIDERED VERY GOOD IN THE INDUSTRY. Out Net Promoter Score increased 7.3 points from last year! WE SPEND A LOT OF TIME TRAINING THIS TEAM AND MAKING SURE THEY ARE FOCUSED ON DRIVING CUSTOMER SUCCESS