Expose the underground - Разоблачить невидимое
3 likes1,605 views
Документ обсуждает текущие угрозы кибербезопасности, методы противодействия и проблемы существующих защитных технологий. Рассматриваются техники уклонения от защиты и использование вредоносного ПО для целевых атак, а также важность интеграции и автоматизации систем безопасности. Платформа безопасности нового поколения Palo Alto Networks предлагает решения для обнаружения и блокировки APT, повышая эффективность защиты от известных и неизвестных угроз.
Expose the underground - Разоблачить невидимое
- 1. Разоблачить невидимое: Обнаружить и остановить APT Ноябрь 2014 Денис Батранков
- 2. О чем пойдет речь Текущие угрозы и способы противодействия Проблемы текущих методов защиты Как атакуют сегодня и как этому противостоять Платформа безопасности предприятия Межсетевые экраны нового поколения Облачная защита нового поколения Выводы
- 3. Текущие угрозы Организованные хакеры Растущее число атак Сложность Задачи руководителя ИБ Вносить исправления в процессы Предотвратить атаки на периметре в облаке и на мобильных устройствах Связать воедино сигналы от средств безопасности Успех несмотря на ограниченные ресурсы у службы безопасности Избавить сотрудников от стрессовых ситуаций
- 4. Угрозы стали нормальным фоном в работе Необходимые утилиты в общем доступе Сложные и многоплановые Использование пользовательских приложений SSL шифрование Перемещения червей внутри сети Известные угрозы Риск в компании Эксплойты/уязвимости нулевого дня Неизвестное и изменяющееся ПО Обходящие защиту каналы управления/туннелирование Ограниченный список известных протоколов Явные Известный вредоносный код и эксплойты Известные уязвимости Известные сервера управления РАНЬШЕ СЕГОДНЯШНИЕ APT
- 5. Сдвиги в базовом ИТ ведут к взрывному интересу хакеров Соц. сети SaaS Новые продукты Облака и виртуализация Мобильность и удаленная работа Шифрование Столько новых возможностей для хакеров Атаки все проще реализовать
- 6. Целевая атака – APT в действии Получение доступа Заражение партнера занимающегося кондиционирова нием Установка ПО для управления Вывод нужной информации скрытыми каналами Обследование Выбор целей Сбор данных и укрепление в новых сегментах сети Проникновение в сеть с украденным паролем
- 7. О чем пойдет речь Текущие угрозы и способы противодействия Проблемы текущих методов защиты Как атакуют сегодня и как этому противостоять Платформа безопасности предприятия Межсетевые экраны нового поколения Облачная защита нового поколения Выводы
- 8. Техники уклонения от защиты развиваются – системы защиты тоже должны 1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты § нестандартное использование стандартных портов § создание новых специализированных протоколов для атаки 2. Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования • Port 80 • IRC signatures Port 10000 Port 80 HTTP
- 9. Что передается через зашифрованные каналы туда и обратно? Применение шифрования: • SSL • Специальные протоколы шифрования
- 10. Пример: использование туннелирования поверх DNS Примеры § tcp-over-dns § dns2tcp § Iodine § Heyoka § OzymanDNS § NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
- 11. Почему традиционные антивирусы не справляются Современный вредоносный код может: § Обойти ловушки антивирусов создав специальный целевой вирус под компанию § До того как антивирус создаст сигнатуру он будет уклоняться, используя полиморфизм, перекодирование, используя динамические DNS и URL ☣ Целевое создание под компанию ☣ Полиморфизм ☣ Неизвестный еще никому код Сложно защититься
- 12. Для защиты важны первые 24 часа 9,000 8,000 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 Часы 95% заражений конкретным видом кода в первые 24 часа
- 13. Текущие методы не работают Anti-APT для порта 80 Anti-APT для порта 25 Хостовой AV Облачная защита DNS Сетевой AV DNS защищен для исходящих запросов Интернет Anti-APT облако Корпоративная сеть UTM DNS Alert Endpoint Alert Web Alert SMTP Alert SMTP Alert SMTP Alert SMTP Alert Web Alert DNS Alert DNS Alert SMTP Alert APT Web Alert Web Alert AV Alert AV Alert Web Alert DNS Alert SMTP Alert Endpoint Alert Только обнаружение Много событий Нужен человек для анализа Vendor 1 Vendor 2 Internet Connection Vendor 3 Vendor 4 Malware Intelligence
- 14. О чем пойдет речь Текущие угрозы и способы противодействия Проблемы текущих методов защиты Как атакуют сегодня и как этому противостоять Платформа безопасности предприятия Межсетевые экраны нового поколения Облачная защита нового поколения Выводы
- 15. Понимание проникновения - по шагам Взлом периметра Начальная компрометация Установка вредоносного кода Вредоносный код устанавливается и соединяется с атакующим Управление Вывод данных рабочей станцией Проникновение глубже и заражение других хостов Кража интеллектуальной собственности Предотвращение возможно на каждом шаге атаки
- 16. Задача: Обнаружить и отбить атаку Автоматически определять неизвестную атаку и делать ее известной всем Блокировать угрозы на: • Периметре • ЦОД • Между виртуальными машинами/VDI • Мобильных и стационарных станциях Полный цикл защиты Обмен информацией о новых видах вредоносного кода защищает всех заказчиков по всему миру Предотвращение во всей сети Обнаружить неизвестную атаку, остановить известные
- 17. Пять подходов Palo Alto Networks к блокированию APTs Платформа безопасности может обнаруживать и блокировать атаки на каждом этапе 1 проникновения в сеть. 2 3 4 5 Полностью видеть приложения использующие сеть вне зависимости от методов сокрытия. Разрешить только необходимые приложения для работы компании – минимизирует возможности атакующего. Создать собственную закрытую сеть обмена о новом вредоносном коде между заказчиками по всему миру. Конечные устройства, виртуальная инфраструктура мобильные устройства являются следующей целью стратегии ИБ.
- 18. О чем пойдет речь Текущие угрозы и способы противодействия Проблемы текущих методов защиты Как атакуют сегодня и как этому противостоять Платформа безопасности предприятия Межсетевые экраны нового поколения Облачная защита нового поколения Выводы
- 19. Настоящий платформенный подход Автоматическая защита и подготовка материала для расследования Сеть Хост Традиционное ИТ Облака Мобильные устройства Public Cloud Private Cloud SaaS Определить, ограничить и расшифровать приложения Обнаружить и предотвратить известные и неизвестные вирусы Облако угроз
- 20. Palo Alto Networks и APT Кража данных ОПЕРАЦИЯ ВЗЛОМ ПЕРИМЕТРА ПРИСЛАТЬ КОД С ХОСТОМ Next Generation Firewall Предотвращение угроз (IPS) URL Filtering WildFire Сетевой антивирус Поведенческий контроль (URL, DNS, IP) TRAPS - защита хоста и GlobalProtect § Обзор всего трафика и выборочное расшифрование SSL § Пропуск только нужных приложений § Пропуск только нужных типов файлов Блокировка известных: § Эксплойтов § Вредоносных программ § Систем управления ботами § Обнаружение неизвестного вредоносного кода § Обнаружение неизвестных эксплойтов § Обнаружение неизвестных центров управления § Блокировка zero-day эксплойтов без знания об уязвимости § Расширить политику и защиту на все устройства включая мобильные § Контроль всех процессов и сторонних приложений безопасности на хостах § Блокировать плохие URLs, домены, IP адреса
- 21. Платформа безопасности нового поколения Palo Alto Networks Next-Generation Threat Cloud Palo Alto Networks Next-Generation Endpoint Next-Generation Firewall § Инспекция трафика § Контроль приложений и пользователей § Защита от угроз 0-ого дня § Блокировка угроз и вирусов на уровне сети Palo Alto Networks Next-Generation Firewall Next-Generation Threat Cloud § Анализ подозрительных файлов в облаке § Распространение сигнатур безопасности на МЭ Next-Generation Endpoint § Инспекция процессов и файлов § Защиты от известных и неизвестных угроз § Защиты стационарных, виртуальных и мобильных пользователей § Интеграция с облачной защитой от угроз
- 22. О чем пойдет речь Текущие угрозы и способы противодействия Проблемы текущих методов защиты Как атакуют сегодня и как этому противостоять Платформа безопасности предприятия Межсетевые экраны нового поколения Облачная защита нового поколения Выводы
- 23. Разрешить нужные приложения, нужным пользователям и для нужного контента
- 24. Сделайте межсетевой экран важным инструментом для контроля бизнес процессов в сети Приложения: Классификация трафика приложений в сети - App-ID. Пользователи: Связать пользователей и устройства с приложениями которыми они пользуются - User-ID и GlobalProtect. Содержимое приложений: Сканировать контент - Content-ID and WildFire.
- 25. Однопроходная архитектура = параллельная работа движков защиты
- 26. О чем пойдет речь Текущие угрозы и способы противодействия Проблемы текущих методов защиты Как атакуют сегодня и как этому противостоять Платформа безопасности предприятия Межсетевые экраны нового поколения Облачная защита нового поколения Выводы
- 27. WildFire – специализированная виртуальная среда 3000+ пользователей Защита улучшается по мере работы и блокирует сразу Собираются данные из: Web WildFire Обнаруживает неизвестные § Вредоносный код § Эксплойты § Центры управления ботами § DNS запросы § Вредоносные URL WildFire Threat Prevetntion URL Filtering All ports Email SSL encryption All traffic Perimeter All commonly exploited file types 3rd party data Data center Endpoint FTP SMTP SMB
- 28. Основные техники работы WildFire Этап III Этап IV Исполняем в спец среде Анализ без исполнения Найти неизвестный вредоносный код анализируя 130+ типов вредоносного поведения Создать защиту Этап I Подозрительные файлы идущие по различным приложениям отправляются сенсорами в сети в единую платформу анализа Этап II Точно хорошие? Статический анализ PDF, Microsoft Office, Java и Android APKs Динамический анализ Списки хороших Подписаны доверенным сертификатом Внедренные файлы Внедренный код Аномалии структуры Внедренный шелкод Сетевой трафик Файловая активность Процессы и сервисы Изменения реестра Создать защиту … …
- 29. WildFire облачная архитектура Подход WildFire § Легкая интеграция Песочница для WEB WildFireTM WildFire облако или свое устройство Песочница для email Песочница для файл-сервера Ручной анализ Центр управления Подход к частной защите от APT WF-500 § Легко расширяется § Эффективное расходование средств § Перехват файлов на NGFW и отправка в WildFire § Отправка файлов в WildFire через XML API § Сложно управлять § Сложно масштабировать § Дорого § Множество устройств для перехвата файлов из разных приложений
- 30. Wildfire: Remote Access Trojan (RAT) в Arcom § WildFire обнаружил целенаправленную атаку на крупную производственную компанию в центральной Азии § Вредоносное ПО было предназначено для промышленного шпионажа и кражи данных § Строит обратный канал § Принимает более 40 команд от центра управления § Было отправлено как фишинговое электронное письмо § “The end of Syrian President Bashar al-Assad.exe” § Не использовался внешний упаковщик § Обычно для целенаправленных атак • Для маскировки код инжектировался в браузер по умолчанию и notepad.exe 7 • Command&Control в Ливан7
- 31. Сравнение работы Wildfire с обычными антивирусами 100% 80% 60% 40% 20% 0% % вредоносного кода неизвестного антивирусным вендорам 60% от вредоносного кода найденного WildFire неизвестно традиционным вендорам антивирусов 40% вредоносного кода найденного WildFire еще неизвестно вендорам антивирусов Day 0 Day 1 Day 2 Day 3 Day 4 Day 5 Day 6 Day 7
- 32. Корреляция угроз в облаке C2 14.17.95.XXX Match & block Enterprise London Malicious executable C2 14.17.95.XXX Match & block 1 Enterprise Singapore 2 Malicious Android APK
- 33. Корреляция угроз в облаке Known C2 Malware Exploit DNS Download URL Known C2 Malware Exploit DNS Download URL Match & block Match & block Malicious executable Malicious Android APK
- 34. Облачная защита нового поколения Облако знаний WildFire Threat Prevention URL Filtering Malware Exploits Malicious URLs DNS queries Command-and- control 3000 WildFire заказчиков уже делают мир лучше 13500 заказчиков пользуются результатами исследований Исследовательская работа
- 35. Информация из облака идет на NGFW благодаря WildFire AV Signatures DNS Signatures Malware URL Filtering Anti-C&C Signatures Threat Intelligence Sources WildFire Users
- 36. Что дает подписка на сервис WildFire NGFW получает WildFire сигнатуры каждые 15 минут Все отчеты и описания работы вредоносного кода в устройстве Специальный REST API для загрузки файлов на проверку
- 37. Использование встроенного WildFire API § WildFire API может быть использован чтобы интегрироваться с выбранным агентом использующим какие-то свои скрипты для анализа файлов § Отчеты для расследований в XML формате могут автоматически забираться из хранилища журналов WildFire через этот API. Это полезно если вы ставите задачу § Коррелировать IP и URL из отчета с другими журналами IP/URL § Коррелировать DNS и журналы DNS § Проверять агентами, что заражение было § Использовать хеш и другие параметры атаки для анализа § Автоматически отдавать файлы для анализа в Wildfire с клиентов § API позволяет интегрироваться с другими системами автоматизации и оркестрации
- 38. TRAPS - Next-Generation Endpoint Protection Защита рабочей станции пользователя Не просто обнаружить, а Forensic data предотвратить! Exploit traps injected in process No scanning or monitoring File collected opened Process killed Blocked before malware is delivered
- 39. Пример цепочки доставки эксплойта IE Zero-Day CVE-2014-1776 Подготовка Запуск Внедрение Работа Вредоносная Heap-spray Use After Free ROP Utilizing OS functions активность Предотвращение хотя бы одной из техник блокирует всю атаку
- 40. Уверенность в завтрашней защите Останавливаем сегодня завтрашние атаки! March 2012 EP- Series Первый релиз June 2013 NetTraveler Campaign The “Mask” Campaign April 2014 Без обновлений! Будущие Zero-Days February 2014 IE- Zero Days CVE-2014-1776 CVE-2014-032
- 41. О чем пойдет речь Текущие угрозы и способы противодействия Проблемы текущих методов защиты Как атакуют сегодня и как этому противостоять Платформа безопасности предприятия Межсетевые экраны нового поколения Облачная защита нового поколения Выводы
- 42. Как вы боретесь с неизвестными угрозами? 2014 Page 42 | © 2007 Palo Alto Networks. Proprietary and Confidential .
- 43. • 1. Пускаем только нужные и известные приложения Forrester Zero Trust Model • А) Разрешаем явный доступ всем необходимым приложениям • Б) Запрещаем все остальное
- 44. 2. Межсетевой экран нового поколения Многоэшелонированая защита App-ID URL IPS Threat License Spyware AV Files WildFire Block 7 high-risk apps7 Block 7 known malware sites7 Block 7 the exploit7 Block malware7 Prevent drive-by-downloads 7 Detect unknown malware7 Block C&C on non-standard ports7 Block malware, fast-flux domains7 Block spyware, C&C traffic7 Block new C&C traffic7 Координи- рованное интеллек- туальное блокирование активных атак по сигнатурам, источникам, поведению Приманка • Эксплоит • Загрузка ПО для «черного хода» Установление обратного канала • Разведка и кража данных Этапы атаки
- 45. 3. Анализируем поведение - блокируем вредоносное Технология WildFire Internet • Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP • Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.
- 46. 4. Отслеживаем «репутацию» DNS, URL и IP Репутационная база данных
- 47. 5. Не создаем пробок • Обеспечиваем заданную производительность при всех включенных сервисах безопасности
- 48. Платформа безопасности нового поколения Palo Alto Networks Next-Generation Threat Cloud Palo Alto Networks Next-Generation Endpoint Next-Generation Firewall § Инспекция трафика § Контроль приложений и пользователей § Защита от угроз 0-ого дня § Блокировка угроз и вирусов на уровне сети Palo Alto Networks Next-Generation Firewall Next-Generation Threat Cloud § Анализ подозрительных файлов в облаке § Распространение сигнатур безопасности на МЭ Next-Generation Endpoint § Инспекция процессов и файлов § Защиты от известных и неизвестных угроз § Защиты стационарных, виртуальных и мобильных пользователей § Интеграция с облачной защитой от угроз