Cisco Connect Москва, 2017

Цифровизация: здесь и сейчас

Защита и контроль приложений

Назим Латыпаев

Technical Solutions Architect

nlatypae@cisco.com

© 2017 Cisco and/or its affiliates. All rights reserved.

Организационные вопросы

1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,

предложенные опросники, после каждой сессии!

2. Пожалуйста, помните, что в зале вэйпить запрещено!

3. Пожалуйста, переведите ваши мобильные телефоны в

беззвучный или вибро режим!

4. Пожалуйста, используйте мусорные ведра!

5. Пожалуйста, держите Ваш регистрационный пропуск при себе!

Как хакер проводит разведку вашей сети?

Красивая приманка

Не только через почту, но и через соцсети

Что такое убийственная цепочка?

1. Разведка Сбор информации для

создания стратегии атаки

и инструментов для атаки

2. Вооружение Объединение эксплоита с

уязвимостью в

запускаемый код

3. Доставка Доставка бандла жертве

через email, web, USB и

т.д.

4. Эксплуатация Эксплуатация уязвимости

для выполнения кода на

системе жертвы

5. Инсталляция Установка malware на

компьютере жертвы

6. Command & Control Командный канал для

удаленной манипуляции

системой жертвы

7. Действия по цели С полным доступом к системе нарушитель достигает своей

цели

Подготовка Вторжение Активная брешь

Цепочка атаки “Kill Chain”

Какой ресурс более доверенный?

BRKSEC-2444 10

hxxp://google.com

hxxp://llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch.co.uk

Какой ресурс более доверенный?

BRKSEC-2444 11

hxxp://google.com

Обычно используется злоумышленниками

hxxp://llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch.co.uk

Всего лишь ресурс посвященный деревни в Великобритании

Индивидуальное шифрование

для каждой цели

Маркировка уже

зашифрованных систем

Использование биткойнов для анонимных платежей

Установка крайних сроков:

1. Для увеличения выкупа

2. Для удаления ключа

шифрования

Инновации программ-вымогателей

Самораспространение • Использование уязвимостей в широко

распространенных продуктах

• Репликация на все доступные накопители

• Заражение файлов

• Базовые функции для атак методом подбора

• Устойчивость управления и контроля, в т.ч. полное отсутствие инфраструктуры контроля и управления

• Использование уже имеющегося в системе ВПО

Программы-вымогатели второго поколения

Модульность • Распространение через файлы автозапуска и USB-

накопители большой емкости

• Эксплойты в инфраструктуре аутентификации

• Сложные системы управления, контроля и отчетности

• Ограничители потребления системных ресурсов

• Фильтрация целевых адресов для заражения (RFC 1918)

Эволюция вариантов вымогателей Стечение обстоятельств – легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить выкуп шантажистам

PC Cyborg

2001

GPCoder

2005 2012 2013 2014

Fake Antivirus

2006

Первый

коммерческий

смартфон

Android

2007

QiaoZhaz

2008 1989 2015 2016

CRYZIP

Redplus

Bitcoin сеть запущена

Reveton Ransomlock

Dirty Decrypt Cryptorbit Cryptographic Locker Urausy

Cryptolocker

CryptoDefense Koler Kovter Simplelock Cokri CBT-Locker TorrentLocker Virlock CoinVault Svpeng

TeslaCrypt

Virlock Lockdroid Reveton

Tox Cryptvault DMALock Chimera Hidden Tear Lockscreen Teslacrypt 2.0

Cryptowall

SamSam

Locky

Cerber Radamant Hydracrypt Rokku Jigsaw Powerware

73V3N Keranger Petya Teslacrypt 3.0 Teslacrypt 4.0 Teslacrypt 4.1

Уязвимая инфраструктура используется оперативно и широко

Рост атак на 221 процент на WordPress

• Threat intelligence – Накапливать и использовать знания о существующих зловредах и векторах взаимодействия

• Безопасность E-mail – Блокировать вложения и линки зловредов

• Web Безопасность – Блокировать Веб сессии к зараженным ресурсам и файлам

• Безопасность DNS – Прервать общение с C&C (управление)

Что нужно для прерывания убийственной цепочки (Kill Chain)

DNS

• Безопасность конечных пользователей – Инспектировать файлы на наличие зловредов, отправлять их в карантин и удалять

• Сегментация инфраструктуры - Проверять доступ, разделять трафик по ролям или политикам

• Предотвращение вторжений- Блокировать атаки, сбор и использование данных

• Контролировать коммуникации инфраструктуры – определять и сообщать об анамалиях

Возможности для борьбы с убийственной цепочкой (Kill Chain)

Разведка Вооружение

ЦЕЛЬ

C&C Действия

по цели

ВЗЛОМ

Доставка Эксплуа

тация Инсталляция

КОМПРОМЕНТАЦИЯ

Защита инфраструктуры

End–to–End

NGIPS

NGFW

Flow Analytics

Network Anti-

Malware

NGIPS

NGFW

Host Anti-

Malware

DNS DNS Security

Web Security

Email Security

NGIPS

DNS DNS Security

Web Security

NGIPS

Threat Intelligence

DNS: слепая зона для безопасности

91,3% Вредоносного ПО

использует DNS

68% Организаций не

мониторят его

Популярный протокол, который используют злоумышленники для управления, утечки данных и

перенаправления трафика

Что еще было выявлено?

• Адресное пространство заказчика

входит в блок-списки третьих

сторон по спаму и вредоносному

ПО

• Адресное пространство заказчиков

маркировано для известных

серверов внешнего управления

Zeus и Palevo

• Активные кампании вредоносного

ПО, в том числе CTB-Locker, Angler

и DarkHotel

• Подозрительные действия,

включая использование сети Tor,

автоматическое перенаправление

электронной почты и онлайн-

преобразование документов

• Повсеместное туннелирование

DNS на домены,

зарегистрированные в Китае

• «Тайпсквоттинг» DNS

• Внутренние клиенты, обходящие

доверенную инфраструктуру DNS

клиента

ИМЯ DNS IP NO C&C TOR ОПЛАТА

Locky DNS

SamSam DNS (TOR)

TeslaCrypt DNS

CryptoWall DNS

TorrentLocker DNS

PadCrypt DNS (TOR)

CTB-Locker DNS

FAKBEN DNS (TOR)

PayCrypt DNS

KeyRanger DNS

Шифрование C&C Шантаж

Какие протоколы используют вымогатели?

Первые шаги, Cisco OpenDNS

Где находится Umbrella? Malware

C2 Callbacks

Phishing

Центральный

Офис

Sandbox

NGFW

Proxy

Netflow

AV AV

Филиал

Router/UTM

AV AV

Роуминг

AV

Первая

линия

Сеть и хосты

Сеть и хосты

Хосты

Всё начинается с DNS

Предшествует открытию файлов и установлению IP соединения

Используется всеми устройствами

Независимо от порта

UMBRELLA Сервисы защиты Сервис сетевой безопасности Защита любого устройства везде

INVESTIGATE Интеллект Обнаружение и прогнозирование атак перед их началом

Продукты и технологии

Новый уровень защиты от угроз

UMBRELLA

Предотвращение угроз Не только обнаружение угроз

Встроенные и настраиваемые API интеграции Не требует профессионального сервиса для настройки

Защита внутри и снаружи сети Не ограничивается устройствами отсылающими трафик на устройства защиты внутри сети

Всегда актуально Не требуется подключение VPN к офисной сети для обновлений

Блокировка по домену на всех портах Не только адреса и домены только по портам 80/443

Единый источник коррелированной информации

INVESTIGATE

WHOIS база записей

ASN атрибуция

IP геолокация

IP индексы репутации

Доменные индексы репутации

Домены связанных запросов

Обнаружение аномалий (DGA, FFN)

DNS запросы по шаблону и геораспределение

База пассивной инф. DNS

Вендоры конкуренты

Not available

Not available

Not available

Интеграция для усиления имеющейся защиты Блокировка вредоносных доменов из системы партнера или собственных систем

Umbrella

Ваш текущий набор решений ИБ

Appliance-based detection + Другие

Threat intelligence platform + Другие

AMP Threat Grid Threat analysis feed + Другие

Python Script Bro IPS Custom integrations + Другие

IOCs

Где находится OpenDNS в KillChain

RECON STAGE

ЦЕЛЬ

CALLBACK PERSIST

ВЗЛОМ

LAUNCH EXPLOIT INSTALL (often w/callback)

КОМПРОМЕТАЦИЯ

ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ

ВРЕДОНОС Exploit Kit или Свой код

Известная или Zero-Day уязвимость

Жестко забитые или DGA отзвоны

Порты и протоколы связи

АТАКУЮЩИЙ Инструменты, Тактика и процедуры

Индустрии и целеполагание

Мотивация и связи

Языки и Регионы

Инфраструктура Сети развертывания (и ASNы)

Сервера инфр-ры ( и DNS )

Выделенное IP поле

Регистрация (и Flux) Домены

НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ

УБИЙСТВЕННАЯ ЦЕПОЧКА

Статистическое моделирование

Виновен по поведению

Модель совместных запросов

Геолокационная модель

Модель индекса безопасности

Виновен по связям

Модель предсказуемого IP сегмента

Корреляция DNS и WHOIS данных

Шаблон виновности

Модель всплесков активности

Модель оценки языкового шаблона (NLP)

Обнаружение DGA

2M+ событий в секунду

11B+ исторических событий

Модель совместных запросов Домены виновные по модели связанных вызовов

a.com b.com c.com x.com d.com e.com f.com

Время - Время +

Совместное появление доменов означает что статистически значимое

количество хостов запросило оба домена одновременно в короткий

промежуток времени

Возможно вредоносный домен Возможно вредоносный домен

Известный вредоносный домен

Модель всплесков активности Шаблоны виновности

y.com

ДНИ

DN

S З

АП

РО

СЫ

Огромное

количество

запросов DNS

собирается и

анализируется

Объем запросов DNS соответствует

известному шаблону, характерному для

exploit kit и предсказывает будущие атаки

DGA MALWARE EXPLOIT KIT PHISHING

y.com заблокирован до

того как атака началась

155.12.144. 25

179.67.73.66

72.78.28.73

Мониторинг предсказуемого IP сегмента Виновен по ассоциации

Обнаруживает подозрительные домены, и изучает их IP отпечатки

Идентифицирует другие IP (хостящиеся на том же сервере) которые имеют схожие отпечатки

Блокируем эти IP и их ассоциированные домены

DOMAIN

209.67.132.176

IP ГЕО-локационный анализ

ХОСТ ИНФРАСТРУКТУРА Расположение сервера

IP адреса связанные с

доменом

Хостится в более чем 28+ странах

DNS ЗАПРАШИВАЮЩИЕ ХОСТЫ Расположение сетевые и вне сети

IP адреса запрашивающих домен

Только заказчики из US связываются с .RU TLD

Модель языкового моделирования (NLPRank) Идентификация вредоносных доменов и направленных C2 или фишинговых доменов

Читаем APT отчет Шаблоны в доменах используемых для

атаки

Проверили данные и подтвердили

опасения

Построили модель и продолжаем

подстройку

Подлог домена использован для спуфинга

Частые имена брендов и слово “update”

Примеры: update-java[.]net adobe-update[.]net

Словарные слова и имена компаний слитно

Измененные строчные буквы # на символы для сокрытия

Домены хостятся на ASNах не ассоциированных с компанией

Изменённые отпечатки WEB страниц

Обнаружение доменов для фрода:

1inkedin.net

linkedin.com

1 2 3 4

NLP = natural language processing

Обнаружение алгоритмов генерации доменов DGA Domain Generation Algorithms: техника избежания задания статичных имен доменов в вредоносе

yfrscsddkkdl.com

qgmcgoqeasgommee.org

iyyxtyxdeypk.com

diiqngijkpop.ru

Анализ энтропии

Не выглядит ли распределение

символов случайным?

“N-gram” анализ

Соответствуют ли наборы рядом

стоящих символов языковому шаблону?

Cisco Email Security

Защита от угроз Cisco Email Полная защита от угроз

Cisco® Talos Репутационная фильтрация SenderBase

Антиспам

Outbreak Filters

Анализ URL в реальном времени

Drop

Drop/Quarantine

Антивирус Drop/Quarantine

Advanced Malware Protection (AMP) Drop/Quarantine

Quarantine/Rewrite

Deliver Quarantine Rewrite URLs Drop

Обнаружение Graymail Rewrite

Защита от malware нулевого дня Advanced Malware Protection

Outbreak Filters Advanced Malware Protection

Репутация файлов

Известная репутация

«песочница»

Неизвестные файлы загружаются в песочницу (archived, Windows PE, PDF, MS Office)

Cisco® AMP

интеграция

Обновление репутации

Cisco AMP сетевых устройств, AMP4E

AMP

Threat Intelligence

Cloud

Windows OS Android Mobile Virtual MAC OS

CentOS, Red Hat

Linux

AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall

with Firepower Services

AMP Private Cloud Virtual Appliance

AMP on Firepower NGIPS Appliance (AMP for Networks)

AMP on Cloud Web Security & Hosted Email

CWS

Threat Grid Malware Analysis + Threat Intelligence

Engine

AMP on ISR with Firepower Services

AMP Везде

AMP for Endpoints

AMP for Endpoints

Удаленные ПК

AMP for Endpoints can be

launched from AnyConnect

Cisco AMP расширяет защиту NGFW и NGIPS

Ретроспективная безопасность Точечное обнаружение

Непрерывная и постоянна защита Репутация файла и анализ его поведения

Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов

Фильтрация по репутации Поведенческое обнаружение

Динамический

анализ

Машинное

обучение

Нечеткие

идентифицирующие

метки

Расширенная

аналитика Идентичная

сигнатура

Признаки

компрометации

Сопоставление

потоков устройств

Cisco AMP обеспечивает ретроспективную защиту

Траектория Поведенческие

признаки

вторжения

Поиск

нарушений

Ретроспектива Создание

цепочек

атак

Контроль по типам файлов

Сетевая траектория – Отслежвание NGIPS с FireAMP

Отслеживание отправителей

/ получателей в континиуме

атаки

Файловая диспозиция изменилась на MALWARE История распространения

файла

Детали

хоста

Описание собственных приложений

Приложения могут быть описаны шаблонами:

• ASCII

• HEX

• PCAP-файл

• OpenAppID (NEW!)

OpenAppID Интеграция

Сила Open Source приходит к безопасности уровня

приложений

• Создавайте, обменивайтесь и применяйте

собственные правила обнаружения приложений

• Отдайте контроль в руки клиентов и большого

сообщества ИБ

• Групповая разработка в рамках сообщества

ускоряет создание сигнатур обнаружения и

контроля

Что такое OpenAppID ?

• Open-Source язык: специализированный на обнаружение приложений

• > 2500 детекторов привнесено Cisco

• > 20,000 загрузок пакетов детекторов с прошлого Сентября

• Поддерживается со стороны Snort сообщества

• Простой язык

• Уменьшенная зависимость от производителя и его релизов

• Пишется с использованием скриптового языка Lua

Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям

создавать, обмениваться и внедрять собственное обнаружение приложений.

Cisco CloudLock

Куда все движутся?..

Десктопы Бизнес-приложения

Критическая инфраструктура

Пора выйти за пределы периметра

Корпоративная инфраструктура (AWS, Azure, Force.com)

Бизнес-приложения (Salesforce, Box, DocuSign, и т.д.)

Дистанционные пользователи

Филиалы

Десктопы Бизнес-приложения

Критическая инфраструктура

К удаленной работе

Согласно оценкам Гартнер к 2018:

25% корпоративного трафика будет миновать периметр ИБ.

75% это не 100%

Что происходит в облаках?

Не забыть про облака

Корпоративная инфраструктура (AWS, Azure, Force.com)

Бизнес-приложения (Salesforce, Office365, Box и т.д.)

Дистанционные пользователи

Филиалы

Десктопы Бизнес-приложения

Критическая инфраструктура

Объединяя ИБ из облака и для облака

DDoS

ASAv

OpenDNS

Stealthwatch

Cloud License

AMP

Безопасность из облака

Безопасность для облака

CWS

OpenDNS

Umbrella AMP

Cisco Defense

Orchestrator

Cognitive Threat

Analytics

Active Threat

Analytics

Hosted Identity

Service

Cloud consumption

services NGIPSv

NGFWv

CSRv

Cloud Email Security

CloudLock обеспечивает видимость и контроль защищаемых облачных приложений и инфраструктуры.

Что такое CASB? (Cloud Access Security Broker)

Утечки данных Защита данных и соответствие требованиям

Риски теневых ИТ и приложений Контроль и видимость приложений

Скомпрометирован-ные учетные записи и внутренние угрозы Защита от угроз и UEBA

Приложения Учетные записи

Данные

Technology for Information Security in 2016

CASB Cloud Access Security Broker

1 #

Технологии CloudLock CASB

Защита применения

бизнес-приложений в

облаках

CASB для

SaaS

Защита критической

инфраструктуры в

облаках

CASB для

IaaS/PaaS

Cisco AnyConnect

Модуль сетевой видимости

Расширенный контекст об

активностях устройства

Коллектор и

системы отчетов

Расширяет сбор данных об устройстве

информацией о сетевой активности приложений/пользователей

Аналитика Аудит Наблюдаемость

. . .

Модуль ‘Visibility’ для Anyconnect – обнаружение приложений

Cisco Anyconnect with

‘Network Visibility’ module

IPFIX/NetFlow

Collector

КСПД Public

Visibility in to process, process hash, URLs, and more

Context for Network Behavioral Analysis

Control run-time applications via ’Posture Policies’

Asset Visibility

AMP коннектор расширяет защиту от malware

Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP)

Обеспечивает защиту конечного устройства до туннелирования трафика в сеть

Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения

Больше защиты

Windows/MAC Mobile

Мобильное устройство

AnyConnect и OpenDNS модуль

Обучение сотрудников

Инфраструктура

The A.S. не The A.I.

The A.S. не The A.I.Инфраструктура

“Всегда стройте защиту своей инфраструктуры так, как будто человек, который будет ей управлять после Вас, является жестоким психопатом, знающим где Вы живёте”

BRKSEC-3303 74

Неизвестная девушка или парень @9GAG

Неутомимые Неослабевающие

Выводы • Комплексная интегрированная архитектура безопасности Cisco помогает снизить время

расследования инцидентов и увидеть невидимое.

• Методики глубокой интеграции средств защиты дают возможность эффективного автоматического обмена контекстом и событиями, что дает:

• Обогащение контекстом событий для расследования;

• Снижения ложных срабатываний ввиду лучшей видимости;

• Автоматической зонтичной защиты сети в периметре и за ее пределами;

• Предоставит эффективный План B, ретроспективную безопасность;

• Каждая организация БУДЕТ страдать от взломов.

7

7

Запомните этот адрес:

dcloud.cisco.com

Свяжитесь

с нами

Тестируйте

Составьте

план

внедрения

Напишите нам на security-

request@cisco.com или своему менеджеру

Cisco для организации встречи для более

глубокого обсуждения ваших потребностей

и того, как мы можем их удовлетворить

Воспользуйтесь широким спектром

возможностей по тестированию: • dCloud

• Виртуальные версии всего ПО

• Демо-оборудование

• И не забудьте про Threat Awareness Service

Мы поможем вам составить поэтапный

план внедрения решений по

кибербезопасности под ваши задачи

Что сделать после семинара?

#CiscoConnectRu #CiscoConnectRu

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410 www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia