SlideShare a Scribd company logo

Технология защиты от Malware на базе SourceFire FireAMP

Cisco Russia
Cisco Russia

Технология защиты от Malware на базе SourceFire FireAMP

Technology
1 of 39
Download to read offline
Дмитрий Казаков Системный инженер CCIE Security #29472 Технология защиты от Malwareна базе SourceFireFireAMP 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
План презентации • Актуальные угрозы Malware • Отличие ретроспективного подхода к защите • Особенности анализа и работы системы FireAMP • Интеграция в продукты Cisco • Заключение 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
Актуальные угрозы Malware 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3
“78% вторжений было обнаружено лишь спустя две и более недели “70% было обнаружено третьими сторонами” 2013Verizon Data Breach Investigation Report Симптом:Malware на устройстве Защитапериметра Защита сети Защита устройств Устройство Несмотря на уровни защиты
VIRUSES MACROVIRUSES APTsMALWARE WORMSHACKERS 1985 1995 2000 2005 2010 SPYWARE / ROOTKITS Icons: attack vectors Атакующие и защищающиеся провоцируют друг друга развиваться… …приводя к последовательному развитию сложности атак Индустриализация хакерства
Серебрянной пули, ее не существует!… “Самозащищающаяся сеть” “Совпадение шаблона” “Нет False Positives, Нет False negatives.” Application Control FW/VPN IDS / IPS UTM NAC AV PKI “Разрешить/Запретить” “Fix the Firewall - NGFW” “Нет ключа – нет доступа” В процессе развития индустрии атак, каждый раз вендоры приходят и обещают нам решение, которое закроет проблемы InfoSec раз и навсегда! ….. И когда же это реально работало?
Проблема: Слабый акцент на реагировании Предотвращение Исторические исследования Реакция на инцидент Нужно сильнее фокусироваться и развивать “…СогласноUS Cert, Среднее время от взлома до обнаружения486 days и обычно взлом обнаруживается сторонней компанией” US CERT По результатам расследования, возвращаясь на месяцы назад, хакер взломалThe Times компьютеры ещеSept. 13.” NY Times, Jan 30, 2013
Отличие ретроспективного подхода к защите 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 8
SourcefireAdvanced Malware Protection 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 9 Включая Retrospective Security™ Коллективная интеллектуальная система безопасности  Всесторонний  Продолжительный анализ  Интегрированные средства реагирования  Аналитика Big Data  Контроль и излечение
Ретроспективный анализ Продолжительный анализ–Ретроспективное обнаружение за горизонтом событий 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 10 Всегда наблюдает … Никогда не забудет… Поворачивает время вспять  Траектория –Понимание масштабов путем отслеживания движения и активности Malware Траектория файла–Видимость по организации, концентрация на данном файле Траектория устройства–Глубокая видимость в файловую активность на одной системе
За горизонтом события ИБ Антивирус Песочница Начальное значение = Чисто Точечное обнаружение Начальное значение = Чисто AMP Пропущены атаки Актуальное значение = Плохо= Поздно!! Регулярный возврат к ретроспективе Видимость и контроль –это ключ Не 100% Анализ остановлен Отложенный пуск Неизв. протоколы Шифрование Полиморфизм Актуальное значение = Плохо= Блокировано! Ретроспективное обнаружение,анализ продолжается Убирает ограничения обнаружения в текущем времени
Файловая траектория • Какие системы были заражены? • Кто был заражен первым (“пациент 0”) и когда это случилось? • Какова была точка входа? • Когда это произошло? • Что еще оно с собой принесло? 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 12 Быстро понять масштаб заражения и угрозы Смотрит ПО ВСЕЙ организации и отвечает на вопросы :
Траектория устройства • Как Malware попало в систему? • Насколько глубоко инфекция ушла в систему? • Какие были установлены связи? • О чем я еще не знаю? • Какова цепь событий? 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 13 Быстрый анализ ключевой причины с интегрированными средствами излечения Смотрит ГЛУБОКО в устройство и отвечает на вопросы :
Контроль вторжений 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 14 Множество способов остановить угрозу и устранить причину проникновения Simple Custom Detections Advanced Custom Signatures Application Blocking Lists Custom White Lists Быстрые и точные Семейства Malware Контроль групповой политики Доверенные приложения и образы Простые и специализированные блокировки, или Контекстные сигнатуры для широкого контроля Device Flow Correlation / IP Blacklists Блокировка соединений к плохим сайтам Защита от Облака и Клиента
Всеобъемлющий 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 15 ВО ВРЕМЯ Обнаружение & Блокировка ПОСЛЕ Реагирование , Источник, Расследование Масштаб и глубина во всех аспектах цикла атаки Сеть Хост ДО Политики & Контроль Ретроспективное уведомление Траектория Знание контекста Автоматизация контроля Соединяет цикл атаки: •Десктоп •Мобильный •Виртуальный Траектория Анализ файлов Сетевой AMP ХостовыйAMP Расследование Индикаторы поражения Контроль вторжений
Особенности анализа и работы системы FireAMP 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17
Так что же такое FireAMP? Работает совместно с существующей системой защиты хостов Беспрецедентная Видимость и Контроль внутрьMalware Защищает Вас Изнутри и Снаружи Вашей сети Излечение за Секунды нежели чем за Дни…..
Из каких компонент он состоит? 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 20 Видимость и контроль Видимость и контроль AMP для Хостов Коллективный анализ угроз AMP для Сетей Десктоп Мобильный Обнаружение Анализ Блокирование Излечение
FireSIGHT Management Console (Defense Center) FirePOWER Appliance AMP для Сетей с интеграцией AMP для Хостов VRT Dynamic Analysis Cloud Файл направляется на динамический анализ (по политике) Запрос диспозиции файла в Облаке AMP(SHA256, Spero) -Захват файлов с сетевых потоков -Локальное хранение -Калькуляция Хэшадля запросов (по политике) Конфигурация (политика) - Файловая траектория- AMP корреляция событий - Ссылка на публичное облако AMP для Хостов События с Агента ХостовыеАгенты Ручной динамический анализ для ХостовыхАгентов AMP Cloud
Конкретный (ОДИН К ОДНОМУ) (•) Механизмы обнаружения AMP Общий (ETHOS) {•••} Дерево решений (SPERO) Интегративный (Расширенный анализ) ∫ 1 пользователи, механизмы Момент сопротивления при обнаружении Основной Хэш Функция отпечатков ОДИН К ОДНОМУ Перехватывает «известные» вредоносные программы с помощью первичного сопоставления SHA. Эквивалентно системе на базе сигнатур. ETHOS Перехватывает семейства вредоносных программ с помощью «нечеткого хэша», встроенного в функцию печати. Противодействует обходу правил вредоносными программами за счет «битового жонглирования». SPERO Использует методы технологии искусственного интеллекта для обнаружения вредоносных программ в режиме реального времени с учетом среды и поведения. Периодически проверяет хранилище больших данных для выполнения ретроспективного анализа РАСШИРЕННЫЙ АНАЛИЗ Интегрирует функции эвристического анализа из среды вредоносной программы, хранилища больших данных, ETHOS и SPERO позволяют разъяснить результаты признания программ вредоносными
Какие процессы происходят на хосте Хостовыйагент Файловые операции Сетевые операции Захват I/O операций Генерация отпечатка(SHA256) Запрос диспозиции в облако Отсылка SHA256+ Нечеткий Хэшв облако Захват сетевого трафика Отсылка TCP+UDP в Облако Если Malware – Блокируем! Нет PII PII Вкл/Выкл Операции управления Имя Хоста IP адрес хоста Heartbeat(Keepalive) Логин (опция) PII Вкл/Выкл PII PII Если Malware – Блокируем!
FireAMPДизайн частного облака • Административный портал для быстрого развертывания и управления • Анонимные запросы файловой диспозиции • Ретроспективный анализ • Траектория устройства • Файловая траектория • Поиск причин заражения • Отслеживание и блокирование
Публичное облако, связи и ретроспектива File Query, Enterprise (Connector ID, SHA, Spero, Ethos) Ответ с диспозицией Хостовыеагенты PING2 Query Изменение диспозиции Ретроспективная очередь SHA Conviction AMP Облако
Частное облако, связи и ретроспектива File Query, Enterprise First / Unique (Connector ID, SHA, Spero, Ethos) Spero, Ethos (Локальный анализ) Ретроспективная очередь Ответ с диспозицией Upstream File Query (Device ID, SHA) Ответ с диспозицией Ретроспективная очередь SHA Conviction Изменение диспозиции Изменение диспозиции PING2 Query PING2 Query Хостовыеагенты Частное облако (Серверная клиента) AMP Cloud File Query, Previously Seen in Ent. (Connector ID, SHA, Spero, Ethos) Spero, Ethos (Локальный анализ) Ответ с диспозицией
Время появления Инфицированные системы Сетевая траектория файла
Анализ траектории файла • Траектория распространения • Используемые протоколы • Используемые приложения • Пациент номер 0 • Диспозиция файла и SHA256 хэш • История транзацкий
Неизвестный файл находится на станции сIP: 10.4.10.183, был загружен через Firefox В10:57, неизвестный файл пересылается с IP 10.4.10.183 на IP: 10.5.11.8 Семью часами позже файл перемещается на третий хост(10.3.4.51) используя приложение SMB Cisco Collective Security Intelligence Cloud обнаружила что файл вредоносен и ретроспективное действие вызывается для всех 4-х станций мгновенно. Файл копируется на 4-ю станцию (10.5.60.66) через тожеSMB приложение через пол часа В тоже время хост сFireAMPагентом реагирует на ретроспективное событие и мгновенно блокирует и помещает в карантин новое обнаруженное Malware 8 спустя первой атаки, the Malware пытается пройти в систему через оригинальную точку входа, но распознается и блокируется.
Анализ траектории хоста • Извлекаемые процессы • Скачиваемые файлы • I/O операции • Используемые приложения • Сетевые транзакции • Хэшфайла • Родительские процессы • Диспозиция файла • Облачный ретроспективный анализ
Сложим все вместеНа примере Zero-Day атаки
Анализ в песочнице • Выживаемость в системе • Особенности инсталляции • Попытки скрыться • Защита от удаления • Механизм обхода защиты • Anti Debugging • Обнаружение песочницы • Распространение • Использование эксплоит • Сетевая активность • Сниффинг, кейлоггинги т.д.
Интеграция в продукты Cisco 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 34
FireSIGHT FireAMP FirePOWER ASA ESA WSA CWS Dynamic Analysis Dynamic Analysis FireAMP Private Cloud События/ Корреляция Облачные сервисы Локальные сервисы Хосты Сеть Шлюзы Песочница Cisco обладает наиболее всесторонней системой защиты от Malware AMP Везде
Признаки (индикаторы) компрометации События СОВ Бэкдоры Подключения к серверам управления и контроля ботнетов Наборы эксплойтов Получение администраторских полномочий Атаки на веб- приложения События анализа ИБ Подключения к известным IP серверов управления и контроля ботнетов События, связанные с вредоносным кодом Обнаружение вредоносного кода Выполнение вредоносного кода Компрометация Office/PDF/Java Обнаружение дроппера
FireAMP > FireSight(DC)
FireAMP > FireSight(DC)
Заключение 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 39
Collective Security Intelligence Private & PublicThreat Feeds Honeypots Advanced Microsoft & Industry Disclosures 50,000 MalwareSamples per Day Snort®& ClamAV™ Open SourceCommunities SourcefireAEGIS™ Program SourcefireFireCLOUD™ IPS правила Защита от Malware IP & URLBlacklists Обновление баз уязвимостей Sourcefire Vulnerability Research Team Глобальная видимость через открытое комьюнити
Интеллект в цифрах 14,443,920экземпляров malware отправлено на анализ >2,250,000 хостов отчитывают атаки в FireCLOUD Лучшее в индустрии покрытие уязвимостей получено в NSS Labs IPS групповом тесте В первый день закрытие уязвимостей Microsoft
CiscoRu Cisco CiscoRussia Ждем ваших сообщений с хештегом #CiscoConnectRu Пожалуйста, используйте код для оценки доклада 2919Ваше мнение очень важно для нас. Спасибо Контакты Имя: Дмитрий Казаков Телефон: +7 499 929 5237 E-mail: dkazakov@cisco.com 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Recommended

Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредить
Cisco Russia
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Advanced Malware Protection для борьбы с вредоносным кодомCisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Russia
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
Denis Batrankov, CISSP
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9
Компания УЦСБ
 

Recommended

Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредить
Cisco Russia
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Advanced Malware Protection для борьбы с вредоносным кодомCisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
Cisco Russia
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
Denis Batrankov, CISSP
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9
Компания УЦСБ
 
Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании CiscoCisco Russia
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
Denis Batrankov, CISSP
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
Olesya Shelestova
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
Pete Kuzeev
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
TERMILAB. Интернет - лаборатория
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Альбина Минуллина
 
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистовCisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
Cisco Russia
 
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RUMID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
Vladyslav Radetsky
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web Security
Cisco Russia
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016
Olesya Shelestova
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
Vladyslav Radetsky
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Solar Security
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
Alexey Kachalin
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
 

More Related Content

What's hot

Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании CiscoCisco Russia
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
Denis Batrankov, CISSP
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
Pete Kuzeev
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
TERMILAB. Интернет - лаборатория
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
Cisco Russia
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Альбина Минуллина
 
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистовCisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
Cisco Russia
 
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RUMID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
Vladyslav Radetsky
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web Security
Cisco Russia
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Denis Batrankov, CISSP
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
Vladyslav Radetsky
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Solar Security
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
Alexey Kachalin
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (20)

Использование технологий компании Cisco
Использование технологий компании CiscoИспользование технологий компании Cisco
Использование технологий компании Cisco
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
Обзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure AnalyticsОбзор продукта Juniper Secure Analytics
Обзор продукта Juniper Secure Analytics
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
 
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистовCisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
 
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RUMID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
MID_Endpoint_Protection_Suites_Ruslans_Barbasins_RU
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web Security
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016
 
Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015Intel Security Endpoint Protection 2015
Intel Security Endpoint Protection 2015
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6
 

Viewers also liked

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
Cisco Russia
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
 
Стратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасностиСтратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасностиCisco Russia
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
Cisco Russia
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
SkillFactory
 

Viewers also liked (6)

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Стратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасностиСтратегия Cisco в области информационной безопасности
Стратегия Cisco в области информационной безопасности
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
 

Similar to Технология защиты от Malware на базе SourceFire FireAMP

Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco Russia
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
Aleksey Lukatskiy
 
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетейОбеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
Cisco Russia
 
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиБорьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
Cisco Russia
 
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроамиВзгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроами
Cisco Russia
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
Vladyslav Radetsky
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
 
Расширенная защита от вредоносного ПО для FirePOWER
Расширенная защита от вредоносного ПО для FirePOWERРасширенная защита от вредоносного ПО для FirePOWER
Расширенная защита от вредоносного ПО для FirePOWERCisco Russia
 
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Cisco Russia
 
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПОКритерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПОCisco Russia
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
Cisco Russia
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power services
journalrubezh
 
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
Cisco Russia
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco Russia
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Denis Bezkorovayny
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
Компания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
Компания УЦСБ
 

Similar to Технология защиты от Malware на базе SourceFire FireAMP (20)

Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетейОбеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
 
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиБорьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
 
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроамиВзгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроами
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
Palo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплахPalo Alto Traps - тестирование на реальных семплах
Palo Alto Traps - тестирование на реальных семплах
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Расширенная защита от вредоносного ПО для FirePOWER
Расширенная защита от вредоносного ПО для FirePOWERРасширенная защита от вредоносного ПО для FirePOWER
Расширенная защита от вредоносного ПО для FirePOWER
 
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
 
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПОКритерии приобретения усовершенствованных технологий защиты от вредоносного ПО
Критерии приобретения усовершенствованных технологий защиты от вредоносного ПО
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
 
Cisco asa with fire power services
Cisco asa with fire power servicesCisco asa with fire power services
Cisco asa with fire power services
 
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
Cisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Технология защиты от Malware на базе SourceFire FireAMP

  • 1. Дмитрий Казаков Системный инженер CCIE Security #29472 Технология защиты от Malwareна базе SourceFireFireAMP 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
  • 2. План презентации • Актуальные угрозы Malware • Отличие ретроспективного подхода к защите • Особенности анализа и работы системы FireAMP • Интеграция в продукты Cisco • Заключение 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
  • 3. Актуальные угрозы Malware 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3
  • 4. “78% вторжений было обнаружено лишь спустя две и более недели “70% было обнаружено третьими сторонами” 2013Verizon Data Breach Investigation Report Симптом:Malware на устройстве Защитапериметра Защита сети Защита устройств Устройство Несмотря на уровни защиты
  • 5. VIRUSES MACROVIRUSES APTsMALWARE WORMSHACKERS 1985 1995 2000 2005 2010 SPYWARE / ROOTKITS Icons: attack vectors Атакующие и защищающиеся провоцируют друг друга развиваться… …приводя к последовательному развитию сложности атак Индустриализация хакерства
  • 6. Серебрянной пули, ее не существует!… “Самозащищающаяся сеть” “Совпадение шаблона” “Нет False Positives, Нет False negatives.” Application Control FW/VPN IDS / IPS UTM NAC AV PKI “Разрешить/Запретить” “Fix the Firewall - NGFW” “Нет ключа – нет доступа” В процессе развития индустрии атак, каждый раз вендоры приходят и обещают нам решение, которое закроет проблемы InfoSec раз и навсегда! ….. И когда же это реально работало?
  • 7. Проблема: Слабый акцент на реагировании Предотвращение Исторические исследования Реакция на инцидент Нужно сильнее фокусироваться и развивать “…СогласноUS Cert, Среднее время от взлома до обнаружения486 days и обычно взлом обнаруживается сторонней компанией” US CERT По результатам расследования, возвращаясь на месяцы назад, хакер взломалThe Times компьютеры ещеSept. 13.” NY Times, Jan 30, 2013
  • 8. Отличие ретроспективного подхода к защите 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 8
  • 9. SourcefireAdvanced Malware Protection 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 9 Включая Retrospective Security™ Коллективная интеллектуальная система безопасности  Всесторонний  Продолжительный анализ  Интегрированные средства реагирования  Аналитика Big Data  Контроль и излечение
  • 10. Ретроспективный анализ Продолжительный анализ–Ретроспективное обнаружение за горизонтом событий 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 10 Всегда наблюдает … Никогда не забудет… Поворачивает время вспять  Траектория –Понимание масштабов путем отслеживания движения и активности Malware Траектория файла–Видимость по организации, концентрация на данном файле Траектория устройства–Глубокая видимость в файловую активность на одной системе
  • 11. За горизонтом события ИБ Антивирус Песочница Начальное значение = Чисто Точечное обнаружение Начальное значение = Чисто AMP Пропущены атаки Актуальное значение = Плохо= Поздно!! Регулярный возврат к ретроспективе Видимость и контроль –это ключ Не 100% Анализ остановлен Отложенный пуск Неизв. протоколы Шифрование Полиморфизм Актуальное значение = Плохо= Блокировано! Ретроспективное обнаружение,анализ продолжается Убирает ограничения обнаружения в текущем времени
  • 12. Файловая траектория • Какие системы были заражены? • Кто был заражен первым (“пациент 0”) и когда это случилось? • Какова была точка входа? • Когда это произошло? • Что еще оно с собой принесло? 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 12 Быстро понять масштаб заражения и угрозы Смотрит ПО ВСЕЙ организации и отвечает на вопросы :
  • 13. Траектория устройства • Как Malware попало в систему? • Насколько глубоко инфекция ушла в систему? • Какие были установлены связи? • О чем я еще не знаю? • Какова цепь событий? 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 13 Быстрый анализ ключевой причины с интегрированными средствами излечения Смотрит ГЛУБОКО в устройство и отвечает на вопросы :
  • 14. Контроль вторжений 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 14 Множество способов остановить угрозу и устранить причину проникновения Simple Custom Detections Advanced Custom Signatures Application Blocking Lists Custom White Lists Быстрые и точные Семейства Malware Контроль групповой политики Доверенные приложения и образы Простые и специализированные блокировки, или Контекстные сигнатуры для широкого контроля Device Flow Correlation / IP Blacklists Блокировка соединений к плохим сайтам Защита от Облака и Клиента
  • 15. Всеобъемлющий 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 15 ВО ВРЕМЯ Обнаружение & Блокировка ПОСЛЕ Реагирование , Источник, Расследование Масштаб и глубина во всех аспектах цикла атаки Сеть Хост ДО Политики & Контроль Ретроспективное уведомление Траектория Знание контекста Автоматизация контроля Соединяет цикл атаки: •Десктоп •Мобильный •Виртуальный Траектория Анализ файлов Сетевой AMP ХостовыйAMP Расследование Индикаторы поражения Контроль вторжений
  • 16. Особенности анализа и работы системы FireAMP 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17
  • 17. Так что же такое FireAMP? Работает совместно с существующей системой защиты хостов Беспрецедентная Видимость и Контроль внутрьMalware Защищает Вас Изнутри и Снаружи Вашей сети Излечение за Секунды нежели чем за Дни…..
  • 18. Из каких компонент он состоит? 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 20 Видимость и контроль Видимость и контроль AMP для Хостов Коллективный анализ угроз AMP для Сетей Десктоп Мобильный Обнаружение Анализ Блокирование Излечение
  • 19. FireSIGHT Management Console (Defense Center) FirePOWER Appliance AMP для Сетей с интеграцией AMP для Хостов VRT Dynamic Analysis Cloud Файл направляется на динамический анализ (по политике) Запрос диспозиции файла в Облаке AMP(SHA256, Spero) -Захват файлов с сетевых потоков -Локальное хранение -Калькуляция Хэшадля запросов (по политике) Конфигурация (политика) - Файловая траектория- AMP корреляция событий - Ссылка на публичное облако AMP для Хостов События с Агента ХостовыеАгенты Ручной динамический анализ для ХостовыхАгентов AMP Cloud
  • 20. Конкретный (ОДИН К ОДНОМУ) (•) Механизмы обнаружения AMP Общий (ETHOS) {•••} Дерево решений (SPERO) Интегративный (Расширенный анализ) ∫ 1 пользователи, механизмы Момент сопротивления при обнаружении Основной Хэш Функция отпечатков ОДИН К ОДНОМУ Перехватывает «известные» вредоносные программы с помощью первичного сопоставления SHA. Эквивалентно системе на базе сигнатур. ETHOS Перехватывает семейства вредоносных программ с помощью «нечеткого хэша», встроенного в функцию печати. Противодействует обходу правил вредоносными программами за счет «битового жонглирования». SPERO Использует методы технологии искусственного интеллекта для обнаружения вредоносных программ в режиме реального времени с учетом среды и поведения. Периодически проверяет хранилище больших данных для выполнения ретроспективного анализа РАСШИРЕННЫЙ АНАЛИЗ Интегрирует функции эвристического анализа из среды вредоносной программы, хранилища больших данных, ETHOS и SPERO позволяют разъяснить результаты признания программ вредоносными
  • 21. Какие процессы происходят на хосте Хостовыйагент Файловые операции Сетевые операции Захват I/O операций Генерация отпечатка(SHA256) Запрос диспозиции в облако Отсылка SHA256+ Нечеткий Хэшв облако Захват сетевого трафика Отсылка TCP+UDP в Облако Если Malware – Блокируем! Нет PII PII Вкл/Выкл Операции управления Имя Хоста IP адрес хоста Heartbeat(Keepalive) Логин (опция) PII Вкл/Выкл PII PII Если Malware – Блокируем!
  • 22. FireAMPДизайн частного облака • Административный портал для быстрого развертывания и управления • Анонимные запросы файловой диспозиции • Ретроспективный анализ • Траектория устройства • Файловая траектория • Поиск причин заражения • Отслеживание и блокирование
  • 23. Публичное облако, связи и ретроспектива File Query, Enterprise (Connector ID, SHA, Spero, Ethos) Ответ с диспозицией Хостовыеагенты PING2 Query Изменение диспозиции Ретроспективная очередь SHA Conviction AMP Облако
  • 24. Частное облако, связи и ретроспектива File Query, Enterprise First / Unique (Connector ID, SHA, Spero, Ethos) Spero, Ethos (Локальный анализ) Ретроспективная очередь Ответ с диспозицией Upstream File Query (Device ID, SHA) Ответ с диспозицией Ретроспективная очередь SHA Conviction Изменение диспозиции Изменение диспозиции PING2 Query PING2 Query Хостовыеагенты Частное облако (Серверная клиента) AMP Cloud File Query, Previously Seen in Ent. (Connector ID, SHA, Spero, Ethos) Spero, Ethos (Локальный анализ) Ответ с диспозицией
  • 25. Время появления Инфицированные системы Сетевая траектория файла
  • 26. Анализ траектории файла • Траектория распространения • Используемые протоколы • Используемые приложения • Пациент номер 0 • Диспозиция файла и SHA256 хэш • История транзацкий
  • 27. Неизвестный файл находится на станции сIP: 10.4.10.183, был загружен через Firefox В10:57, неизвестный файл пересылается с IP 10.4.10.183 на IP: 10.5.11.8 Семью часами позже файл перемещается на третий хост(10.3.4.51) используя приложение SMB Cisco Collective Security Intelligence Cloud обнаружила что файл вредоносен и ретроспективное действие вызывается для всех 4-х станций мгновенно. Файл копируется на 4-ю станцию (10.5.60.66) через тожеSMB приложение через пол часа В тоже время хост сFireAMPагентом реагирует на ретроспективное событие и мгновенно блокирует и помещает в карантин новое обнаруженное Malware 8 спустя первой атаки, the Malware пытается пройти в систему через оригинальную точку входа, но распознается и блокируется.
  • 28. Анализ траектории хоста • Извлекаемые процессы • Скачиваемые файлы • I/O операции • Используемые приложения • Сетевые транзакции • Хэшфайла • Родительские процессы • Диспозиция файла • Облачный ретроспективный анализ
  • 29. Сложим все вместеНа примере Zero-Day атаки
  • 30. Анализ в песочнице • Выживаемость в системе • Особенности инсталляции • Попытки скрыться • Защита от удаления • Механизм обхода защиты • Anti Debugging • Обнаружение песочницы • Распространение • Использование эксплоит • Сетевая активность • Сниффинг, кейлоггинги т.д.
  • 31. Интеграция в продукты Cisco 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 34
  • 32. FireSIGHT FireAMP FirePOWER ASA ESA WSA CWS Dynamic Analysis Dynamic Analysis FireAMP Private Cloud События/ Корреляция Облачные сервисы Локальные сервисы Хосты Сеть Шлюзы Песочница Cisco обладает наиболее всесторонней системой защиты от Malware AMP Везде
  • 33. Признаки (индикаторы) компрометации События СОВ Бэкдоры Подключения к серверам управления и контроля ботнетов Наборы эксплойтов Получение администраторских полномочий Атаки на веб- приложения События анализа ИБ Подключения к известным IP серверов управления и контроля ботнетов События, связанные с вредоносным кодом Обнаружение вредоносного кода Выполнение вредоносного кода Компрометация Office/PDF/Java Обнаружение дроппера
  • 36. Заключение 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 39
  • 37. Collective Security Intelligence Private & PublicThreat Feeds Honeypots Advanced Microsoft & Industry Disclosures 50,000 MalwareSamples per Day Snort®& ClamAV™ Open SourceCommunities SourcefireAEGIS™ Program SourcefireFireCLOUD™ IPS правила Защита от Malware IP & URLBlacklists Обновление баз уязвимостей Sourcefire Vulnerability Research Team Глобальная видимость через открытое комьюнити
  • 38. Интеллект в цифрах 14,443,920экземпляров malware отправлено на анализ >2,250,000 хостов отчитывают атаки в FireCLOUD Лучшее в индустрии покрытие уязвимостей получено в NSS Labs IPS групповом тесте В первый день закрытие уязвимостей Microsoft
  • 39. CiscoRu Cisco CiscoRussia Ждем ваших сообщений с хештегом #CiscoConnectRu Пожалуйста, используйте код для оценки доклада 2919Ваше мнение очень важно для нас. Спасибо Контакты Имя: Дмитрий Казаков Телефон: +7 499 929 5237 E-mail: dkazakov@cisco.com 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.