Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Комплекты для защиты серверов и рабочих станций от Intel Security (McAfee).
Рассмотрены основные комплекты EPS и модули, которые в них входят. Более подробно описана работа с консолью еРО и средствами шифрования.
В заключительной части даны практические советы и ссылки на источники достоверной информации.
Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Комплекты для защиты серверов и рабочих станций от Intel Security (McAfee).
Рассмотрены основные комплекты EPS и модули, которые в них входят. Более подробно описана работа с консолью еРО и средствами шифрования.
В заключительной части даны практические советы и ссылки на источники достоверной информации.
Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Новая Cisco ASA: тотальный контроль над пользователемSkillFactory
Эксперт школы SkillFactory, специалист в области информационной безопасности Сергей Кучеренко – о том, как использовать новую версию ПО Cisco ASA для решения актуальных задач и уверенно ориентироваться в функциях всей линейки Cisco ASA.
Защита от эксплойтов и новых, неизвестных образцов.
Рассмотрены технические аспекты работы решения.
Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.
Все решения Cisco по информационной безопасности за 1 часCisco Russia
Компания Cisco очень много внимания уделяет решениям по информационной безопасности, предлагаемым нашим заказчикам.
Видео: https://www.youtube.com/watch?v=9S0YmA-15mA
Презентация с InfoSecurity Russia 2017, в которой я попробовал описать, какими функциями должен обладать современный NGFW и почему у разных вендоров совершенно разное восприятие этого термина и его наполнения.
На вебинаре «Arbor, держи марку!» будет представлен общероссийский анонс нового решения компании Arbor Networks – Spectrum™, включающего технологии по мониторингу угроз информационной безопасности и расследованию инцидентов в корпоративной вычислительной сети.
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
В ходе вебинара была рассмотрена Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП, предпосылки к её внедрению на предприятии, цели создания, принципы построения, архитектура и основные функции САМСИБ.
Дата вебинара 10 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/RowwYe8aFQU
Докладчик: Антон Ёркин
Similar to Технология защиты от Malware на базе SourceFire FireAMP (20)
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
4. “78% вторжений было обнаружено лишь спустя две и более недели
“70% было обнаружено третьими сторонами”
2013Verizon Data Breach Investigation Report
Симптом:Malware на устройстве
Защитапериметра
Защита сети
Защита устройств
Устройство
Несмотря на уровни защиты
5. VIRUSES
MACROVIRUSES
APTsMALWARE
WORMSHACKERS
1985
1995
2000
2005
2010
SPYWARE / ROOTKITS
Icons: attack vectors
Атакующие и защищающиеся провоцируют друг друга развиваться… …приводя к последовательному развитию сложности атак
Индустриализация хакерства
6. Серебрянной пули, ее не существует!…
“Самозащищающаяся
сеть”
“Совпадение шаблона”
“Нет False Positives,
Нет False negatives.”
Application
Control
FW/VPN
IDS / IPS
UTM
NAC
AV
PKI
“Разрешить/Запретить”
“Fix the
Firewall - NGFW”
“Нет ключа – нет доступа”
В процессе развития индустрии атак, каждый раз вендоры приходят и
обещают нам решение, которое закроет проблемы InfoSec раз и навсегда!
….. И когда же это реально работало?
7. Проблема: Слабый акцент на реагировании
Предотвращение
Исторические
исследования
Реакция на
инцидент
Нужно сильнее
фокусироваться
и развивать
“…СогласноUS Cert, Среднее время от взлома до обнаружения486 days и обычно взлом обнаруживается сторонней компанией”
US CERT
По результатам расследования, возвращаясь на месяцы назад, хакер взломалThe Times компьютеры ещеSept. 13.”
NY Times, Jan 30, 2013
11. За горизонтом события ИБ
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо= Поздно!!
Регулярный возврат к ретроспективе
Видимость и контроль –это ключ
Не 100%
Анализ остановлен
Отложенный пуск
Неизв. протоколы
Шифрование
Полиморфизм
Актуальное значение = Плохо= Блокировано!
Ретроспективное обнаружение,анализ продолжается
Убирает ограничения обнаружения в текущем времени
17. Так что же такое FireAMP?
Работает совместно с существующей системой защиты хостов
Беспрецедентная Видимость и Контроль внутрьMalware
Защищает Вас Изнутри и Снаружи Вашей сети
Излечение за Секунды нежели чем за Дни…..
19. FireSIGHT Management Console
(Defense Center)
FirePOWER Appliance
AMP для Сетей с интеграцией AMP для Хостов
VRT Dynamic Analysis Cloud
Файл направляется
на динамический
анализ
(по политике)
Запрос диспозиции файла в Облаке AMP(SHA256, Spero)
-Захват файлов с сетевых потоков
-Локальное хранение
-Калькуляция Хэшадля запросов
(по политике)
Конфигурация (политика) -
Файловая траектория-
AMP корреляция событий -
Ссылка на публичное облако AMP для Хостов
События с Агента
ХостовыеАгенты
Ручной динамический анализ
для ХостовыхАгентов
AMP Cloud
20. Конкретный
(ОДИН К ОДНОМУ)
(•)
Механизмы обнаружения AMP
Общий
(ETHOS)
{•••}
Дерево решений
(SPERO)
Интегративный
(Расширенный анализ)
∫
1
пользователи, механизмы
Момент
сопротивления
при обнаружении
Основной
Хэш
Функция
отпечатков
ОДИН К ОДНОМУ
Перехватывает «известные» вредоносные программы с помощью первичного сопоставления SHA. Эквивалентно системе на базе сигнатур.
ETHOS
Перехватывает семейства вредоносных программ с помощью «нечеткого хэша», встроенного в функцию печати. Противодействует обходу правил вредоносными программами за счет «битового жонглирования».
SPERO
Использует методы технологии искусственного интеллекта для обнаружения вредоносных программ в режиме реального времени с учетом среды и поведения. Периодически проверяет хранилище больших данных для выполнения ретроспективного анализа
РАСШИРЕННЫЙ АНАЛИЗ
Интегрирует функции эвристического анализа из среды вредоносной программы, хранилища больших данных, ETHOS и SPERO позволяют разъяснить результаты признания программ вредоносными
21. Какие процессы происходят на хосте
Хостовыйагент
Файловые операции
Сетевые операции
Захват I/O операций
Генерация отпечатка(SHA256)
Запрос диспозиции в облако
Отсылка SHA256+ Нечеткий Хэшв облако
Захват сетевого трафика
Отсылка TCP+UDP в Облако
Если Malware – Блокируем!
Нет PII
PII
Вкл/Выкл
Операции управления
Имя Хоста
IP адрес хоста
Heartbeat(Keepalive)
Логин (опция)
PII
Вкл/Выкл
PII
PII
Если Malware – Блокируем!
22. FireAMPДизайн частного облака
•
Административный портал для быстрого развертывания и управления
•
Анонимные запросы файловой диспозиции
•
Ретроспективный анализ
•
Траектория устройства
•
Файловая траектория
•
Поиск причин заражения
•
Отслеживание и блокирование
23. Публичное облако, связи и ретроспектива
File Query, Enterprise
(Connector ID, SHA, Spero, Ethos)
Ответ с диспозицией
Хостовыеагенты
PING2 Query
Изменение диспозиции
Ретроспективная очередь
SHA Conviction
AMP
Облако
24. Частное облако, связи и ретроспектива
File Query, Enterprise First / Unique
(Connector ID, SHA, Spero, Ethos)
Spero, Ethos
(Локальный анализ)
Ретроспективная
очередь
Ответ с диспозицией
Upstream File Query
(Device ID, SHA)
Ответ с диспозицией
Ретроспективная очередь
SHA Conviction
Изменение диспозиции
Изменение диспозиции
PING2 Query
PING2 Query
Хостовыеагенты
Частное облако
(Серверная клиента)
AMP
Cloud
File Query, Previously Seen in Ent.
(Connector ID, SHA, Spero, Ethos)
Spero, Ethos
(Локальный анализ)
Ответ с диспозицией
26. Анализ траектории файла
•
Траектория распространения
•
Используемые протоколы
•
Используемые приложения
•
Пациент номер 0
•
Диспозиция файла и SHA256 хэш
•
История транзацкий
27. Неизвестный файл находится на станции сIP: 10.4.10.183, был загружен через Firefox
В10:57, неизвестный файл пересылается с IP 10.4.10.183 на IP: 10.5.11.8
Семью часами позже файл перемещается на третий хост(10.3.4.51) используя приложение SMB
Cisco Collective Security Intelligence Cloud обнаружила что файл вредоносен и ретроспективное действие вызывается для всех 4-х станций мгновенно.
Файл копируется на 4-ю станцию (10.5.60.66) через тожеSMB приложение через пол часа
В тоже время хост сFireAMPагентом реагирует на ретроспективное событие и мгновенно блокирует и помещает в карантин новое обнаруженное Malware
8 спустя первой атаки, the Malware пытается пройти в систему через оригинальную точку входа, но распознается и блокируется.
28. Анализ траектории хоста
•
Извлекаемые процессы
•
Скачиваемые файлы
•
I/O операции
•
Используемые приложения
•
Сетевые транзакции
•
Хэшфайла
•
Родительские процессы
•
Диспозиция файла
•
Облачный ретроспективный анализ
30. Анализ в песочнице
•
Выживаемость в системе
•
Особенности инсталляции
•
Попытки скрыться
•
Защита от удаления
•
Механизм обхода защиты
•
Anti Debugging
•
Обнаружение песочницы
•
Распространение
•
Использование эксплоит
•
Сетевая активность
•
Сниффинг, кейлоггинги т.д.
32. FireSIGHT
FireAMP
FirePOWER
ASA
ESA
WSA
CWS
Dynamic Analysis
Dynamic Analysis
FireAMP Private Cloud
События/
Корреляция
Облачные
сервисы
Локальные сервисы
Хосты
Сеть
Шлюзы
Песочница
Cisco обладает наиболее всесторонней системой защиты от Malware
AMP Везде
33. Признаки (индикаторы) компрометации
События СОВ
Бэкдоры
Подключения к серверам управления и контроля ботнетов
Наборы эксплойтов
Получение администраторских полномочий
Атаки на веб- приложения
События анализа ИБ
Подключения к известным IP серверов управления и контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
37. Collective Security Intelligence
Private & PublicThreat Feeds
Honeypots
Advanced Microsoft & Industry Disclosures
50,000 MalwareSamples per Day
Snort®& ClamAV™ Open SourceCommunities
SourcefireAEGIS™ Program
SourcefireFireCLOUD™
IPS правила
Защита от
Malware
IP & URLBlacklists
Обновление баз
уязвимостей
Sourcefire Vulnerability
Research
Team
Глобальная видимость через открытое комьюнити
38. Интеллект в цифрах
14,443,920экземпляров
malware отправлено на анализ
>2,250,000 хостов отчитывают атаки в FireCLOUD
Лучшее в индустрии покрытие уязвимостей получено в NSS Labs IPS групповом тесте
В первый день закрытие уязвимостей Microsoft