br20 - cloud security: capture growing budgets and make it rain … › c › dam › m › ru_ru...
TRANSCRIPT
Cisco Connect Москва, 2017
Цифровизация: здесь и сейчас
Защита и контроль приложений
Назим Латыпаев
Technical Solutions Architect
© 2017 Cisco and/or its affiliates. All rights reserved.
Организационные вопросы
1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,
предложенные опросники, после каждой сессии!
2. Пожалуйста, помните, что в зале вэйпить запрещено!
3. Пожалуйста, переведите ваши мобильные телефоны в
беззвучный или вибро режим!
4. Пожалуйста, используйте мусорные ведра!
5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
Как хакер проводит разведку вашей сети?
Красивая приманка
Не только через почту, но и через соцсети
Что такое убийственная цепочка?
1. Разведка Сбор информации для
создания стратегии атаки
и инструментов для атаки
2. Вооружение Объединение эксплоита с
уязвимостью в
запускаемый код
3. Доставка Доставка бандла жертве
через email, web, USB и
т.д.
4. Эксплуатация Эксплуатация уязвимости
для выполнения кода на
системе жертвы
5. Инсталляция Установка malware на
компьютере жертвы
6. Command & Control Командный канал для
удаленной манипуляции
системой жертвы
7. Действия по цели С полным доступом к системе нарушитель достигает своей
цели
Подготовка Вторжение Активная брешь
Цепочка атаки “Kill Chain”
Какой ресурс более доверенный?
BRKSEC-2444 10
hxxp://google.com
hxxp://llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch.co.uk
Какой ресурс более доверенный?
BRKSEC-2444 11
hxxp://google.com
Обычно используется злоумышленниками
hxxp://llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch.co.uk
Всего лишь ресурс посвященный деревни в Великобритании
Индивидуальное шифрование
для каждой цели
Маркировка уже
зашифрованных систем
Использование биткойнов для анонимных платежей
Установка крайних сроков:
1. Для увеличения выкупа
2. Для удаления ключа
шифрования
Инновации программ-вымогателей
Самораспространение • Использование уязвимостей в широко
распространенных продуктах
• Репликация на все доступные накопители
• Заражение файлов
• Базовые функции для атак методом подбора
• Устойчивость управления и контроля, в т.ч. полное отсутствие инфраструктуры контроля и управления
• Использование уже имеющегося в системе ВПО
Программы-вымогатели второго поколения
Модульность • Распространение через файлы автозапуска и USB-
накопители большой емкости
• Эксплойты в инфраструктуре аутентификации
• Сложные системы управления, контроля и отчетности
• Ограничители потребления системных ресурсов
• Фильтрация целевых адресов для заражения (RFC 1918)
Эволюция вариантов вымогателей Стечение обстоятельств – легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить выкуп шантажистам
PC Cyborg
2001
GPCoder
2005 2012 2013 2014
Fake Antivirus
2006
Первый
коммерческий
смартфон
Android
2007
QiaoZhaz
2008 1989 2015 2016
CRYZIP
Redplus
Bitcoin сеть запущена
Reveton Ransomlock
Dirty Decrypt Cryptorbit Cryptographic Locker Urausy
Cryptolocker
CryptoDefense Koler Kovter Simplelock Cokri CBT-Locker TorrentLocker Virlock CoinVault Svpeng
TeslaCrypt
Virlock Lockdroid Reveton
Tox Cryptvault DMALock Chimera Hidden Tear Lockscreen Teslacrypt 2.0
Cryptowall
SamSam
Locky
Cerber Radamant Hydracrypt Rokku Jigsaw Powerware
73V3N Keranger Petya Teslacrypt 3.0 Teslacrypt 4.0 Teslacrypt 4.1
Уязвимая инфраструктура используется оперативно и широко
Рост атак на 221 процент на WordPress
• Threat intelligence – Накапливать и использовать знания о существующих зловредах и векторах взаимодействия
• Безопасность E-mail – Блокировать вложения и линки зловредов
• Web Безопасность – Блокировать Веб сессии к зараженным ресурсам и файлам
• Безопасность DNS – Прервать общение с C&C (управление)
Что нужно для прерывания убийственной цепочки (Kill Chain)
DNS
• Безопасность конечных пользователей – Инспектировать файлы на наличие зловредов, отправлять их в карантин и удалять
• Сегментация инфраструктуры - Проверять доступ, разделять трафик по ролям или политикам
• Предотвращение вторжений- Блокировать атаки, сбор и использование данных
• Контролировать коммуникации инфраструктуры – определять и сообщать об анамалиях
Возможности для борьбы с убийственной цепочкой (Kill Chain)
Разведка Вооружение
ЦЕЛЬ
C&C Действия
по цели
ВЗЛОМ
Доставка Эксплуа
тация Инсталляция
КОМПРОМЕНТАЦИЯ
Защита инфраструктуры
End–to–End
NGIPS
NGFW
Flow Analytics
Network Anti-
Malware
NGIPS
NGFW
Host Anti-
Malware
DNS DNS Security
Web Security
Email Security
NGIPS
DNS DNS Security
Web Security
NGIPS
Threat Intelligence
DNS: слепая зона для безопасности
91,3% Вредоносного ПО
использует DNS
68% Организаций не
мониторят его
Популярный протокол, который используют злоумышленники для управления, утечки данных и
перенаправления трафика
Что еще было выявлено?
• Адресное пространство заказчика
входит в блок-списки третьих
сторон по спаму и вредоносному
ПО
• Адресное пространство заказчиков
маркировано для известных
серверов внешнего управления
Zeus и Palevo
• Активные кампании вредоносного
ПО, в том числе CTB-Locker, Angler
и DarkHotel
• Подозрительные действия,
включая использование сети Tor,
автоматическое перенаправление
электронной почты и онлайн-
преобразование документов
• Повсеместное туннелирование
DNS на домены,
зарегистрированные в Китае
• «Тайпсквоттинг» DNS
• Внутренние клиенты, обходящие
доверенную инфраструктуру DNS
клиента
ИМЯ DNS IP NO C&C TOR ОПЛАТА
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNS
Шифрование C&C Шантаж
Какие протоколы используют вымогатели?
Первые шаги, Cisco OpenDNS
Где находится Umbrella? Malware
C2 Callbacks
Phishing
Центральный
Офис
Sandbox
NGFW
Proxy
Netflow
AV AV
Филиал
Router/UTM
AV AV
Роуминг
AV
Первая
линия
Сеть и хосты
Сеть и хосты
Хосты
Всё начинается с DNS
Предшествует открытию файлов и установлению IP соединения
Используется всеми устройствами
Независимо от порта
UMBRELLA Сервисы защиты Сервис сетевой безопасности Защита любого устройства везде
INVESTIGATE Интеллект Обнаружение и прогнозирование атак перед их началом
Продукты и технологии
Новый уровень защиты от угроз
UMBRELLA
Предотвращение угроз Не только обнаружение угроз
Встроенные и настраиваемые API интеграции Не требует профессионального сервиса для настройки
Защита внутри и снаружи сети Не ограничивается устройствами отсылающими трафик на устройства защиты внутри сети
Всегда актуально Не требуется подключение VPN к офисной сети для обновлений
Блокировка по домену на всех портах Не только адреса и домены только по портам 80/443
Единый источник коррелированной информации
INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и геораспределение
База пассивной инф. DNS
Вендоры конкуренты
Not available
Not available
Not available
Интеграция для усиления имеющейся защиты Блокировка вредоносных доменов из системы партнера или собственных систем
Umbrella
Ваш текущий набор решений ИБ
Appliance-based detection + Другие
Threat intelligence platform + Другие
AMP Threat Grid Threat analysis feed + Другие
Python Script Bro IPS Custom integrations + Другие
IOCs
Где находится OpenDNS в KillChain
RECON STAGE
ЦЕЛЬ
CALLBACK PERSIST
ВЗЛОМ
LAUNCH EXPLOIT INSTALL (often w/callback)
КОМПРОМЕТАЦИЯ
ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ
ВРЕДОНОС Exploit Kit или Свой код
Известная или Zero-Day уязвимость
Жестко забитые или DGA отзвоны
Порты и протоколы связи
АТАКУЮЩИЙ Инструменты, Тактика и процедуры
Индустрии и целеполагание
Мотивация и связи
Языки и Регионы
Инфраструктура Сети развертывания (и ASNы)
Сервера инфр-ры ( и DNS )
Выделенное IP поле
Регистрация (и Flux) Домены
НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ
УБИЙСТВЕННАЯ ЦЕПОЧКА
Статистическое моделирование
Виновен по поведению
Модель совместных запросов
Геолокационная модель
Модель индекса безопасности
Виновен по связям
Модель предсказуемого IP сегмента
Корреляция DNS и WHOIS данных
Шаблон виновности
Модель всплесков активности
Модель оценки языкового шаблона (NLP)
Обнаружение DGA
2M+ событий в секунду
11B+ исторических событий
Модель совместных запросов Домены виновные по модели связанных вызовов
a.com b.com c.com x.com d.com e.com f.com
Время - Время +
Совместное появление доменов означает что статистически значимое
количество хостов запросило оба домена одновременно в короткий
промежуток времени
Возможно вредоносный домен Возможно вредоносный домен
Известный вредоносный домен
Модель всплесков активности Шаблоны виновности
y.com
ДНИ
DN
S З
АП
РО
СЫ
Огромное
количество
запросов DNS
собирается и
анализируется
Объем запросов DNS соответствует
известному шаблону, характерному для
exploit kit и предсказывает будущие атаки
DGA MALWARE EXPLOIT KIT PHISHING
y.com заблокирован до
того как атака началась
155.12.144. 25
179.67.73.66
72.78.28.73
Мониторинг предсказуемого IP сегмента Виновен по ассоциации
Обнаруживает подозрительные домены, и изучает их IP отпечатки
Идентифицирует другие IP (хостящиеся на том же сервере) которые имеют схожие отпечатки
Блокируем эти IP и их ассоциированные домены
DOMAIN
209.67.132.176
IP ГЕО-локационный анализ
ХОСТ ИНФРАСТРУКТУРА Расположение сервера
IP адреса связанные с
доменом
Хостится в более чем 28+ странах
DNS ЗАПРАШИВАЮЩИЕ ХОСТЫ Расположение сетевые и вне сети
IP адреса запрашивающих домен
Только заказчики из US связываются с .RU TLD
Модель языкового моделирования (NLPRank) Идентификация вредоносных доменов и направленных C2 или фишинговых доменов
Читаем APT отчет Шаблоны в доменах используемых для
атаки
Проверили данные и подтвердили
опасения
Построили модель и продолжаем
подстройку
Подлог домена использован для спуфинга
Частые имена брендов и слово “update”
Примеры: update-java[.]net adobe-update[.]net
Словарные слова и имена компаний слитно
Измененные строчные буквы # на символы для сокрытия
Домены хостятся на ASNах не ассоциированных с компанией
Изменённые отпечатки WEB страниц
Обнаружение доменов для фрода:
1inkedin.net
linkedin.com
1 2 3 4
NLP = natural language processing
Обнаружение алгоритмов генерации доменов DGA Domain Generation Algorithms: техника избежания задания статичных имен доменов в вредоносе
yfrscsddkkdl.com
qgmcgoqeasgommee.org
iyyxtyxdeypk.com
diiqngijkpop.ru
Анализ энтропии
Не выглядит ли распределение
символов случайным?
“N-gram” анализ
Соответствуют ли наборы рядом
стоящих символов языковому шаблону?
Cisco Email Security
Защита от угроз Cisco Email Полная защита от угроз
Cisco® Talos Репутационная фильтрация SenderBase
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Drop
Drop/Quarantine
Антивирус Drop/Quarantine
Advanced Malware Protection (AMP) Drop/Quarantine
Quarantine/Rewrite
Deliver Quarantine Rewrite URLs Drop
Обнаружение Graymail Rewrite
Защита от malware нулевого дня Advanced Malware Protection
Outbreak Filters Advanced Malware Protection
Репутация файлов
Известная репутация
«песочница»
Неизвестные файлы загружаются в песочницу (archived, Windows PE, PDF, MS Office)
Cisco® AMP
интеграция
Обновление репутации
Cisco AMP сетевых устройств, AMP4E
AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat Intelligence
Engine
AMP on ISR with Firepower Services
AMP Везде
AMP for Endpoints
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect
Cisco AMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасность Точечное обнаружение
Непрерывная и постоянна защита Репутация файла и анализ его поведения
Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
Cisco AMP обеспечивает ретроспективную защиту
Траектория Поведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек
атак
Контроль по типам файлов
Сетевая траектория – Отслежвание NGIPS с FireAMP
Отслеживание отправителей
/ получателей в континиуме
атаки
Файловая диспозиция изменилась на MALWARE История распространения
файла
Детали
хоста
Описание собственных приложений
Приложения могут быть описаны шаблонами:
• ASCII
• HEX
• PCAP-файл
• OpenAppID (NEW!)
OpenAppID Интеграция
Сила Open Source приходит к безопасности уровня
приложений
• Создавайте, обменивайтесь и применяйте
собственные правила обнаружения приложений
• Отдайте контроль в руки клиентов и большого
сообщества ИБ
• Групповая разработка в рамках сообщества
ускоряет создание сигнатур обнаружения и
контроля
Что такое OpenAppID ?
• Open-Source язык: специализированный на обнаружение приложений
• > 2500 детекторов привнесено Cisco
• > 20,000 загрузок пакетов детекторов с прошлого Сентября
• Поддерживается со стороны Snort сообщества
• Простой язык
• Уменьшенная зависимость от производителя и его релизов
• Пишется с использованием скриптового языка Lua
Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям
создавать, обмениваться и внедрять собственное обнаружение приложений.
Cisco CloudLock
Куда все движутся?..
Десктопы Бизнес-приложения
Критическая инфраструктура
Пора выйти за пределы периметра
Корпоративная инфраструктура (AWS, Azure, Force.com)
Бизнес-приложения (Salesforce, Box, DocuSign, и т.д.)
Дистанционные пользователи
Филиалы
Десктопы Бизнес-приложения
Критическая инфраструктура
К удаленной работе
Согласно оценкам Гартнер к 2018:
25% корпоративного трафика будет миновать периметр ИБ.
75% это не 100%
Что происходит в облаках?
Не забыть про облака
Корпоративная инфраструктура (AWS, Azure, Force.com)
Бизнес-приложения (Salesforce, Office365, Box и т.д.)
Дистанционные пользователи
Филиалы
Десктопы Бизнес-приложения
Критическая инфраструктура
Объединяя ИБ из облака и для облака
DDoS
ASAv
OpenDNS
Stealthwatch
Cloud License
AMP
Безопасность из облака
Безопасность для облака
CWS
OpenDNS
Umbrella AMP
Cisco Defense
Orchestrator
Cognitive Threat
Analytics
Active Threat
Analytics
Hosted Identity
Service
Cloud consumption
services NGIPSv
NGFWv
CSRv
Cloud Email Security
CloudLock обеспечивает видимость и контроль защищаемых облачных приложений и инфраструктуры.
Что такое CASB? (Cloud Access Security Broker)
Утечки данных Защита данных и соответствие требованиям
Риски теневых ИТ и приложений Контроль и видимость приложений
Скомпрометирован-ные учетные записи и внутренние угрозы Защита от угроз и UEBA
Приложения Учетные записи
Данные
Technology for Information Security in 2016
CASB Cloud Access Security Broker
1 #
Технологии CloudLock CASB
Защита применения
бизнес-приложений в
облаках
CASB для
SaaS
Защита критической
инфраструктуры в
облаках
CASB для
IaaS/PaaS
Cisco AnyConnect
Модуль сетевой видимости
Расширенный контекст об
активностях устройства
Коллектор и
системы отчетов
Расширяет сбор данных об устройстве
информацией о сетевой активности приложений/пользователей
Аналитика Аудит Наблюдаемость
. . .
Модуль ‘Visibility’ для Anyconnect – обнаружение приложений
Cisco Anyconnect with
‘Network Visibility’ module
IPFIX/NetFlow
Collector
КСПД Public
Visibility in to process, process hash, URLs, and more
Context for Network Behavioral Analysis
Control run-time applications via ’Posture Policies’
Asset Visibility
AMP коннектор расширяет защиту от malware
Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP)
Обеспечивает защиту конечного устройства до туннелирования трафика в сеть
Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения
Больше защиты
Windows/MAC Mobile
Мобильное устройство
AnyConnect и OpenDNS модуль
Обучение сотрудников
Инфраструктура
The A.S. не The A.I.
The A.S. не The A.I.Инфраструктура
“Всегда стройте защиту своей инфраструктуры так, как будто человек, который будет ей управлять после Вас, является жестоким психопатом, знающим где Вы живёте”
BRKSEC-3303 74
Неизвестная девушка или парень @9GAG
Неутомимые Неослабевающие
Выводы • Комплексная интегрированная архитектура безопасности Cisco помогает снизить время
расследования инцидентов и увидеть невидимое.
• Методики глубокой интеграции средств защиты дают возможность эффективного автоматического обмена контекстом и событиями, что дает:
• Обогащение контекстом событий для расследования;
• Снижения ложных срабатываний ввиду лучшей видимости;
• Автоматической зонтичной защиты сети в периметре и за ее пределами;
• Предоставит эффективный План B, ретроспективную безопасность;
• Каждая организация БУДЕТ страдать от взломов.
7
7
Запомните этот адрес:
dcloud.cisco.com
Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
[email protected] или своему менеджеру
Cisco для организации встречи для более
глубокого обсуждения ваших потребностей
и того, как мы можем их удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию: • dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после семинара?
#CiscoConnectRu #CiscoConnectRu
Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410 www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia