Технология защиты от malware на базе sourcefire fireamp

Дмитрий КазаковСистемный инженерCCIE Security #29472

Технология защиты от Malware на базе SourceFire FireAMP

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

План презентации

• Актуальные угрозы Malware• Отличие ретроспективного подхода к защите• Особенности анализа и работы системы FireAMP• Интеграция в продукты Cisco• Заключение

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2

Актуальные угрозы Malware


“78% вторжений было обнаружено лишь спустя две и более недели“70% было обнаружено третьими сторонами”2013 Verizon Data Breach Investigation Report

Симптом: Malware на устройствеЗащитапериметра Защита

сети Защита устройств Устройство

Несмотря на уровни защиты

VIRUSESMACRO

VIRUSES

APTsMALWARE

WORMSHACKERS

1985 1995 2000 2005 2010

SPYWARE /ROOTKITS

Icons: attack vectors

Атакующие и защищающиеся провоцируют друг друга развиваться…… приводя к последовательному развитию сложности атак

Индустриализация хакерства

Серебрянной пули, ее не существует!…

“Самозащищающаясясеть”

“Совпадение шаблона”

“Нет False Positives,Нет False negatives.”

ApplicationControl

FW/VPN

IDS / IPSUTM

NAC

AVPKI

“Разрешить/Запретить”

“Fix theFirewall - NGFW”

“Нет ключа – нет доступа”

В процессе развития индустрии атак, каждый раз вендоры приходят и обещают нам решение, которое закроет проблемы InfoSec раз и навсегда!

….. И когда же это реально работало?

Проблема: Слабый акцент на реагировании

ПредотвращениеИсторические исследования

Реакция на инцидентНужно сильнее фокусироваться и развивать

“… Согласно US Cert, Среднее время

от взлома до обнаружения 486

days и обычно взлом обнаруживается

сторонней компанией”

US CERT

По результатам расследования, возвращаясь на месяцы назад,

хакер взломал The Times компьютеры

еще Sept. 13.”NY Times, Jan 30, 2013

Отличие ретроспективного подхода к защите


Sourcefire Advanced Malware Protection


Включая Retrospective Security™

Коллективная интеллектуальная система безопасности

Всесторонний

Продолжительный анализ

Интегрированные средства реагирования

Аналитика Big Data

Контроль и излечение

Ретроспективный анализ

Продолжительный анализ – Ретроспективное обнаружение за горизонтом событий


Всегда наблюдает… Никогда не забудет… Поворачивает время вспять

Траектория – Понимание масштабов путем отслеживания движения и активности Malware Траектория файла – Видимость по

организации, концентрация на данном файле Траектория устройства – Глубокая видимость

в файловую активность на одной системе

За горизонтом события ИБ

Антивирус

ПесочницаНачальное значение = Чисто

Точечное обнаружение

Начальное значение = Чисто

AMP

Пропущены атаки

Актуальное значение = Плохо = Поздно!!

Регулярный возврат к ретроспективе

Видимость и контроль – это ключ

Не 100%Анализ остановлен

Отложенный пускНеизв. протоколыШифрованиеПолиморфизм

Актуальное значение = Плохо = Блокировано!

Ретроспективное обнаружение, анализ продолжается

Убирает ограничения обнаружения в текущем времени

Файловая траектория

• Какие системы были заражены?• Кто был заражен первым (“пациент 0”) и когда это

случилось?• Какова была точка входа?• Когда это произошло?• Что еще оно с собой принесло?


Быстро понять масштаб заражения и угрозы

Смотрит ПО ВСЕЙ организации и отвечает на вопросы:

Траектория устройства

• Как Malware попало в систему?• Насколько глубоко инфекция ушла в

систему?• Какие были установлены связи?• О чем я еще не знаю?• Какова цепь событий?


Быстрый анализ ключевой причины с интегрированными средствами излечения

Смотрит ГЛУБОКО в устройство и отвечает на вопросы:

Контроль вторжений


Множество способов остановить угрозу и устранить причину проникновения

SimpleCustom

Detections

AdvancedCustom

Signatures

ApplicationBlocking

Lists

CustomWhiteLists

Быстрые и

точные

СемействаMalware

Контроль групповой политики

Доверенные приложения и

образы

Простые и специализированные блокировки, илиКонтекстные сигнатуры для широкого контроля

Device Flow Correlation / IP Blacklists

Блокировка соединений к

плохим сайтам

Защита от Облака и Клиента

Всеобъемлющий


ВО ВРЕМЯОбнаружение & Блокировка

ПОСЛЕРеагирование, Источник, Расследование

Масштаб и глубина во всех аспектах цикла атаки

Сеть

Хост

ДОПолитики & Контроль

Ретроспективное уведомлениеТраекторияЗнание контекста

Автоматизация контроля

Соединяетцикл атаки:• Десктоп• Мобильный• Виртуальный

ТраекторияАнализ файлов

Сетевой AMP

Хостовый AMP Расследование

Индикаторы пораженияКонтроль вторжений

Особенности анализа и работы системы FireAMP


Так что же такое FireAMP?

Работает совместно с существующей системой защиты хостов

Беспрецедентная Видимость и Контроль внутрь Malware

Защищает Вас Изнутри и Снаружи Вашей сети

Излечение за Секунды нежели чем за Дни…..

Из каких компонент он состоит?


Видимость и контроль

Видимость и контроль

AMP для ХостовКоллективный анализ угроз

AMP для Сетей

Десктоп Мобильный

ОбнаружениеАнализБлокированиеИзлечение

FireSIGHT Management Console(Defense Center)

FirePOWER Appliance

AMP для Сетей с интеграцией AMP для Хостов

VRT Dynamic Analysis Cloud

Файл направляется на динамический

анализ (по политике)

Запрос диспозиции файла в Облаке AMP

(SHA256, Spero)

- Захват файлов с сетевых потоков- Локальное хранение- Калькуляция Хэша для запросов(по политике)

Конфигурация (политика) -Файловая траектория-

AMP корреляция событий -Ссылка на публичное

облако AMP для ХостовСобытия с Агента

Хостовые Агенты

Ручной динамический анализ для Хостовых Агентов

AMP Cloud

Конкретный(ОДИН К ОДНОМУ)

(•)

Механизмы обнаружения AMP

Общий(ETHOS)

{•••}

Дерево решений(SPERO)

Интегративный (Расширенный

анализ)

∫ 1

пользователи, механизмы

Момент сопротивления

при обнаружении

ОсновнойХэш

Функцияотпечатков

ОДИН К ОДНОМУПерехватывает «известные» вредоносные программы с

помощью первичного сопоставления SHA.

Эквивалентно системе на базе сигнатур.

ETHOSПерехватывает семейства вредоносных программ с помощью «нечеткого хэша»,

встроенного в функцию печати. Противодействует обходу правил

вредоносными программами за счет «битового жонглирования».

SPEROИспользует методы технологии искусственного интеллекта для

обнаружения вредоносных программ в режиме реального времени с учетом среды

и поведения. Периодически проверяет хранилище больших данных для

выполнения ретроспективного анализа

РАСШИРЕННЫЙ АНАЛИЗИнтегрирует функции эвристического

анализа из среды вредоносной программы, хранилища больших

данных, ETHOS и SPERO позволяют разъяснить результаты признания

программ вредоносными

Какие процессы происходят на хосте

Хостовый агентФайловые операции Сетевые операции

Захват I/O операций

Генерация отпечатка(SHA256)

Запрос диспозиции в облако

Отсылка SHA256 +Нечеткий Хэш в

облако

Захват сетевого трафика

Отсылка TCP+UDP в Облако

Если Malware –Блокируем!

Нет PIIPII

Вкл/Выкл

Операции управления

Имя Хоста

IP адрес хоста

Heartbeat (Keepalive)

Логин (опция) PIIВкл/Выкл

PII

PII

Если Malware –Блокируем!

FireAMP Дизайн частного облака

• Административный портал для быстрого развертывания и управления

• Анонимные запросы файловой диспозиции

• Ретроспективный анализ

• Траектория устройства

• Файловая траектория

• Поиск причин заражения

• Отслеживание и блокирование

Публичное облако, связи и ретроспектива

File Query, Enterprise(Connector ID, SHA, Spero, Ethos)

Ответ с диспозицией

Хостовые агенты

PING2 Query

Изменение диспозиции

Ретроспективная очередь

SHA C

onvictionAMP

Облако

Частное облако, связи и ретроспектива

File Query, Enterprise First / Unique(Connector ID, SHA, Spero, Ethos)

Spero, Ethos(Локальный анализ)



Upstream File Query(Device ID, SHA)



SHA C

onviction



PING2 Query

PING2 Query

Хостовые агентыЧастное облако

(Серверная клиента)AMP

Cloud

File Query, Previously Seen in Ent.(Connector ID, SHA, Spero, Ethos)

Spero, Ethos(Локальный анализ)


Время появления

Инфицированные системы

Сетевая траектория файла

Анализ траектории файла

• Траектория распространения

• Используемые протоколы

• Используемые приложения

• Пациент номер 0

• Диспозиция файла и SHA256

хэш

• История транзацкий

Неизвестный файл находится на станции с IP: 10.4.10.183, был загружен через Firefox

В 10:57, неизвестный файл пересылается с IP 10.4.10.183 на IP: 10.5.11.8

Семью часами позже файл перемещается на третий хост (10.3.4.51) используя приложение SMB

Cisco Collective Security Intelligence Cloud обнаружила что файл вредоносен и ретроспективное действие вызывается для всех 4-х станций мгновенно.

Файл копируется на 4-ю станцию (10.5.60.66) через тоже SMB приложение через пол часа

В тоже время хост с FireAMPагентом реагирует на ретроспективное событие и мгновенно блокирует и помещает в карантин новое обнаруженное Malware

8 спустя первой атаки, the Malware пытается пройти в систему через оригинальную точку входа, но распознается и блокируется.

Анализ траектории хоста

• Извлекаемые процессы

• Скачиваемые файлы

• I/O операции

• Используемые

приложения

• Сетевые транзакции

• Хэш файла

• Родительские процессы

• Диспозиция файла

• Облачный

ретроспективный анализ

Сложим все вместеНа примере Zero-Day атаки

Анализ в песочнице

• Выживаемость в системе

• Особенности инсталляции

• Попытки скрыться

• Защита от удаления

• Механизм обхода защиты

• Anti Debugging

• Обнаружение песочницы

• Распространение

• Использование эксплоит

• Сетевая активность

• Сниффинг, кейлоггинг и т.д.

Интеграция в продукты Cisco


FireSIGHT

FireAMP FirePOWERASA

ESAWSACWS

Dynamic Analysis

Dynamic AnalysisFireAMP Private Cloud

События/ Корреляция

Облачныесервисы

Локальные сервисы

Хосты Сеть Шлюзы Песочница

Cisco обладает наиболее всесторонней системой защиты от Malware

AMP Везде

Признаки (индикаторы) компрометации

События СОВ

БэкдорыПодключения к

серверам управления и

контроля ботнетов

Наборы эксплойтов

Получение администраторски

х полномочий

Атаки на веб-приложения

События анализа ИБ

Подключения к известным IP

серверов управления и

контроля ботнетов

События, связанные с вредоносным кодом

Обнаружение вредоносного кода

Выполнение вредоносного кода

Компрометация Office/PDF/Java

Обнаружение дроппера

FireAMP > FireSight(DC)

Заключение


Collective Security Intelligence

Private & PublicThreat Feeds

Honeypots

Advanced Microsoft & Industry Disclosures

50,000 MalwareSamples per Day Snort® & ClamAV™

Open SourceCommunities

SourcefireAEGIS™

ProgramSourcefire

FireCLOUD™

IPS правилаЗащита отMalware

IP & URLBlacklists Обновление баз

уязвимостейSourcefire

VulnerabilityResearch

Team

Глобальная видимость через открытое комьюнити

Интеллект в цифрах

14,443,920 экземпляровmalware отправлено на анализ

>2,250,000 хостов отчитывают атаки в FireCLOUD

Лучшее в индустрии покрытие уязвимостей получено в NSS Labs IPS групповом тесте

В первый день закрытие уязвимостей Microsoft

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом#CiscoConnectRu

Пожалуйста, используйте код для оценки доклада2919Ваше мнение очень важно для нас.

Спасибо

КонтактыИмя: Дмитрий КазаковТелефон: +7 499 929 5237E-mail: [email protected]

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Технология защиты от malware на базе sourcefire fireamp

Technology