Технология защиты от malware на базе sourcefire fireamp
DESCRIPTION
Технология защиты от Malware на базе SourceFire FireAMPTRANSCRIPT
Дмитрий КазаковСистемный инженерCCIE Security #29472
Технология защиты от Malware на базе SourceFire FireAMP
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
План презентации
• Актуальные угрозы Malware• Отличие ретроспективного подхода к защите• Особенности анализа и работы системы FireAMP• Интеграция в продукты Cisco• Заключение
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
Актуальные угрозы Malware
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3
“78% вторжений было обнаружено лишь спустя две и более недели“70% было обнаружено третьими сторонами”2013 Verizon Data Breach Investigation Report
Симптом: Malware на устройствеЗащитапериметра Защита
сети Защита устройств Устройство
Несмотря на уровни защиты
VIRUSESMACRO
VIRUSES
APTsMALWARE
WORMSHACKERS
1985 1995 2000 2005 2010
SPYWARE /ROOTKITS
Icons: attack vectors
Атакующие и защищающиеся провоцируют друг друга развиваться…… приводя к последовательному развитию сложности атак
Индустриализация хакерства
Серебрянной пули, ее не существует!…
“Самозащищающаясясеть”
“Совпадение шаблона”
“Нет False Positives,Нет False negatives.”
ApplicationControl
FW/VPN
IDS / IPSUTM
NAC
AVPKI
“Разрешить/Запретить”
“Fix theFirewall - NGFW”
“Нет ключа – нет доступа”
В процессе развития индустрии атак, каждый раз вендоры приходят и обещают нам решение, которое закроет проблемы InfoSec раз и навсегда!
….. И когда же это реально работало?
Проблема: Слабый акцент на реагировании
ПредотвращениеИсторические исследования
Реакция на инцидентНужно сильнее фокусироваться и развивать
“… Согласно US Cert, Среднее время
от взлома до обнаружения 486
days и обычно взлом обнаруживается
сторонней компанией”
US CERT
По результатам расследования, возвращаясь на месяцы назад,
хакер взломал The Times компьютеры
еще Sept. 13.”NY Times, Jan 30, 2013
Отличие ретроспективного подхода к защите
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 8
Sourcefire Advanced Malware Protection
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 9
Включая Retrospective Security™
Коллективная интеллектуальная система безопасности
Всесторонний
Продолжительный анализ
Интегрированные средства реагирования
Аналитика Big Data
Контроль и излечение
Ретроспективный анализ
Продолжительный анализ – Ретроспективное обнаружение за горизонтом событий
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 10
Всегда наблюдает… Никогда не забудет… Поворачивает время вспять
Траектория – Понимание масштабов путем отслеживания движения и активности Malware Траектория файла – Видимость по
организации, концентрация на данном файле Траектория устройства – Глубокая видимость
в файловую активность на одной системе
За горизонтом события ИБ
Антивирус
ПесочницаНачальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат к ретроспективе
Видимость и контроль – это ключ
Не 100%Анализ остановлен
Отложенный пускНеизв. протоколыШифрованиеПолиморфизм
Актуальное значение = Плохо = Блокировано!
Ретроспективное обнаружение, анализ продолжается
Убирает ограничения обнаружения в текущем времени
Файловая траектория
• Какие системы были заражены?• Кто был заражен первым (“пациент 0”) и когда это
случилось?• Какова была точка входа?• Когда это произошло?• Что еще оно с собой принесло?
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 12
Быстро понять масштаб заражения и угрозы
Смотрит ПО ВСЕЙ организации и отвечает на вопросы:
Траектория устройства
• Как Malware попало в систему?• Насколько глубоко инфекция ушла в
систему?• Какие были установлены связи?• О чем я еще не знаю?• Какова цепь событий?
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 13
Быстрый анализ ключевой причины с интегрированными средствами излечения
Смотрит ГЛУБОКО в устройство и отвечает на вопросы:
Контроль вторжений
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 14
Множество способов остановить угрозу и устранить причину проникновения
SimpleCustom
Detections
AdvancedCustom
Signatures
ApplicationBlocking
Lists
CustomWhiteLists
Быстрые и
точные
СемействаMalware
Контроль групповой политики
Доверенные приложения и
образы
Простые и специализированные блокировки, илиКонтекстные сигнатуры для широкого контроля
Device Flow Correlation / IP Blacklists
Блокировка соединений к
плохим сайтам
Защита от Облака и Клиента
Всеобъемлющий
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 15
ВО ВРЕМЯОбнаружение & Блокировка
ПОСЛЕРеагирование, Источник, Расследование
Масштаб и глубина во всех аспектах цикла атаки
Сеть
Хост
ДОПолитики & Контроль
Ретроспективное уведомлениеТраекторияЗнание контекста
Автоматизация контроля
Соединяетцикл атаки:• Десктоп• Мобильный• Виртуальный
ТраекторияАнализ файлов
Сетевой AMP
Хостовый AMP Расследование
Индикаторы пораженияКонтроль вторжений
Особенности анализа и работы системы FireAMP
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17
Так что же такое FireAMP?
Работает совместно с существующей системой защиты хостов
Беспрецедентная Видимость и Контроль внутрь Malware
Защищает Вас Изнутри и Снаружи Вашей сети
Излечение за Секунды нежели чем за Дни…..
Из каких компонент он состоит?
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 20
Видимость и контроль
Видимость и контроль
AMP для ХостовКоллективный анализ угроз
AMP для Сетей
Десктоп Мобильный
ОбнаружениеАнализБлокированиеИзлечение
FireSIGHT Management Console(Defense Center)
FirePOWER Appliance
AMP для Сетей с интеграцией AMP для Хостов
VRT Dynamic Analysis Cloud
Файл направляется на динамический
анализ (по политике)
Запрос диспозиции файла в Облаке AMP
(SHA256, Spero)
- Захват файлов с сетевых потоков- Локальное хранение- Калькуляция Хэша для запросов(по политике)
Конфигурация (политика) -Файловая траектория-
AMP корреляция событий -Ссылка на публичное
облако AMP для ХостовСобытия с Агента
Хостовые Агенты
Ручной динамический анализ для Хостовых Агентов
AMP Cloud
Конкретный(ОДИН К ОДНОМУ)
(•)
Механизмы обнаружения AMP
Общий(ETHOS)
{•••}
Дерево решений(SPERO)
Интегративный (Расширенный
анализ)
∫ 1
пользователи, механизмы
Момент сопротивления
при обнаружении
ОсновнойХэш
Функцияотпечатков
ОДИН К ОДНОМУПерехватывает «известные» вредоносные программы с
помощью первичного сопоставления SHA.
Эквивалентно системе на базе сигнатур.
ETHOSПерехватывает семейства вредоносных программ с помощью «нечеткого хэша»,
встроенного в функцию печати. Противодействует обходу правил
вредоносными программами за счет «битового жонглирования».
SPEROИспользует методы технологии искусственного интеллекта для
обнаружения вредоносных программ в режиме реального времени с учетом среды
и поведения. Периодически проверяет хранилище больших данных для
выполнения ретроспективного анализа
РАСШИРЕННЫЙ АНАЛИЗИнтегрирует функции эвристического
анализа из среды вредоносной программы, хранилища больших
данных, ETHOS и SPERO позволяют разъяснить результаты признания
программ вредоносными
Какие процессы происходят на хосте
Хостовый агентФайловые операции Сетевые операции
Захват I/O операций
Генерация отпечатка(SHA256)
Запрос диспозиции в облако
Отсылка SHA256 +Нечеткий Хэш в
облако
Захват сетевого трафика
Отсылка TCP+UDP в Облако
Если Malware –Блокируем!
Нет PIIPII
Вкл/Выкл
Операции управления
Имя Хоста
IP адрес хоста
Heartbeat (Keepalive)
Логин (опция) PIIВкл/Выкл
PII
PII
Если Malware –Блокируем!
FireAMP Дизайн частного облака
• Административный портал для быстрого развертывания и управления
• Анонимные запросы файловой диспозиции
• Ретроспективный анализ
• Траектория устройства
• Файловая траектория
• Поиск причин заражения
• Отслеживание и блокирование
Публичное облако, связи и ретроспектива
File Query, Enterprise(Connector ID, SHA, Spero, Ethos)
Ответ с диспозицией
Хостовые агенты
PING2 Query
Изменение диспозиции
Ретроспективная очередь
SHA C
onvictionAMP
Облако
Частное облако, связи и ретроспектива
File Query, Enterprise First / Unique(Connector ID, SHA, Spero, Ethos)
Spero, Ethos(Локальный анализ)
Ретроспективная очередь
Ответ с диспозицией
Upstream File Query(Device ID, SHA)
Ответ с диспозицией
Ретроспективная очередь
SHA C
onviction
Изменение диспозиции
Изменение диспозиции
PING2 Query
PING2 Query
Хостовые агентыЧастное облако
(Серверная клиента)AMP
Cloud
File Query, Previously Seen in Ent.(Connector ID, SHA, Spero, Ethos)
Spero, Ethos(Локальный анализ)
Ответ с диспозицией
Время появления
Инфицированные системы
Сетевая траектория файла
Анализ траектории файла
• Траектория распространения
• Используемые протоколы
• Используемые приложения
• Пациент номер 0
• Диспозиция файла и SHA256
хэш
• История транзацкий
Неизвестный файл находится на станции с IP: 10.4.10.183, был загружен через Firefox
В 10:57, неизвестный файл пересылается с IP 10.4.10.183 на IP: 10.5.11.8
Семью часами позже файл перемещается на третий хост (10.3.4.51) используя приложение SMB
Cisco Collective Security Intelligence Cloud обнаружила что файл вредоносен и ретроспективное действие вызывается для всех 4-х станций мгновенно.
Файл копируется на 4-ю станцию (10.5.60.66) через тоже SMB приложение через пол часа
В тоже время хост с FireAMPагентом реагирует на ретроспективное событие и мгновенно блокирует и помещает в карантин новое обнаруженное Malware
8 спустя первой атаки, the Malware пытается пройти в систему через оригинальную точку входа, но распознается и блокируется.
Анализ траектории хоста
• Извлекаемые процессы
• Скачиваемые файлы
• I/O операции
• Используемые
приложения
• Сетевые транзакции
• Хэш файла
• Родительские процессы
• Диспозиция файла
• Облачный
ретроспективный анализ
Сложим все вместеНа примере Zero-Day атаки
Анализ в песочнице
• Выживаемость в системе
• Особенности инсталляции
• Попытки скрыться
• Защита от удаления
• Механизм обхода защиты
• Anti Debugging
• Обнаружение песочницы
• Распространение
• Использование эксплоит
• Сетевая активность
• Сниффинг, кейлоггинг и т.д.
Интеграция в продукты Cisco
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 34
FireSIGHT
FireAMP FirePOWERASA
ESAWSACWS
Dynamic Analysis
Dynamic AnalysisFireAMP Private Cloud
События/ Корреляция
Облачныесервисы
Локальные сервисы
Хосты Сеть Шлюзы Песочница
Cisco обладает наиболее всесторонней системой защиты от Malware
AMP Везде
Признаки (индикаторы) компрометации
События СОВ
БэкдорыПодключения к
серверам управления и
контроля ботнетов
Наборы эксплойтов
Получение администраторски
х полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP
серверов управления и
контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
FireAMP > FireSight(DC)
FireAMP > FireSight(DC)
Заключение
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 39
Collective Security Intelligence
Private & PublicThreat Feeds
Honeypots
Advanced Microsoft & Industry Disclosures
50,000 MalwareSamples per Day Snort® & ClamAV™
Open SourceCommunities
SourcefireAEGIS™
ProgramSourcefire
FireCLOUD™
IPS правилаЗащита отMalware
IP & URLBlacklists Обновление баз
уязвимостейSourcefire
VulnerabilityResearch
Team
Глобальная видимость через открытое комьюнити
Интеллект в цифрах
14,443,920 экземпляровmalware отправлено на анализ
>2,250,000 хостов отчитывают атаки в FireCLOUD
Лучшее в индустрии покрытие уязвимостей получено в NSS Labs IPS групповом тесте
В первый день закрытие уязвимостей Microsoft
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом#CiscoConnectRu
Пожалуйста, используйте код для оценки доклада2919Ваше мнение очень важно для нас.
Спасибо
КонтактыИмя: Дмитрий КазаковТелефон: +7 499 929 5237E-mail: [email protected]
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.