Cisco Connect Москва, 2017

Цифровизация: здесь и сейчас

Увидеть все

Руслан Иванов

Инженер-консультант по информационной безопасности

© 2017 Cisco and/or its affiliates. All rights reserved.

Высокая мотивация киберкриминала

Изменение бизнес-моделей

Динамичность ландшафта угроз

Думать как хакер

© 2015 Cisco and/or its affiliates. All rights reserved. 4

Точечные и статичные решения

© 2015 Cisco and/or its affiliates. All rights reserved. 5

Фрагментация

Сложность

Требуют лишнего управления

Чего больше всего опасаются сотрудники, отвечающие за безопасность в компаниях?

Типы угроз • Вредоносное ПО • Фишинг • Атаки на инфраструктуру • Атаки нулевого дня

• Сложные целенаправленные угрозы

• Атаки методом грубой силы • Уязвимости аппаратного и

программного обеспечения

• Использование сотрудниками личных устройств в рабочих целях

• «Теневое IT» – несанкционированное использование облачных сервисов

• Нарушение политик безопасности сотрудниками

• Недостаток осведомлённости и некомпетентность сотрудников

• Недостаток знаний и навыков у ответственных за ИБ и ИТ

Типы нарушителей и атакующих

• Нет мотивации на нанесение ущерба конкретной организации

• Работают «по площадям» • Используют стандартные

инструменты и технологии, широко известные уязвимости или наборы уязвимостей

Внешние атакующие/нарушители

• Мотивированы на «работу» по конкретной организации

• Используют как стандартные инструменты и технологии, так и могут использовать кастомизированные инструменты, неизвестные широкому кругу уязвимости или эксплуатировать новые уязвимости

Типы нарушителей и атакующих

• Нет мотивации на нанесение ущерба

• Урон наносится из-за недостаточной осведомлённости или пренебрежения выполнением должностных инструкций и политик ИТ/ИБ

• Как правило, не обладают привилегированным доступом или такой доступ ограничен

Внутренние нарушители или атакующие

• Есть мотивация на нанесение максимального ущерба (обида) или на кражу информации («крот»)

• Нанесение целенаправленного вреда • Хорошая осведомлённость о

внутренних практиках и процедурах • Обычно используют стандартные

общедоступные инструменты и технологии

• Могут обладать привилегированным доступом к множеству систем

• Сложные программные продукты, созданные квалифицированными программистами и системными архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки);

• Высокий уровень доработки продуктов для очередной кампании;

• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей;

• Известно, что вредоносное ПО будут искать;

• Известно про запуск в песочницах;

• Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности;

• Все лучшие методологии разработки и отладки.

Что мы знаем о современном вредоносном ПО?

Прямые атаки формируют большие доходы Более эффективны и более прибыльны

Что такое последовательность атаки?

Из чего состоит последовательность атаки?

Разведка Сбор e-mail Социальные сети Пассивный

поиск Определение

IP Сканирование

портов

Вооружение Создание

вредоносного кода Система доставки

Приманка

Доставка Фишинг Заражение сайта Операторы

связи

Проникновение Активация Исполнение

кода Определение

плацдарма Проникновение на

другие ресурсы

Инсталляция Троян или backdoor

Повышение привилегий Руткит Обеспечение незаметности

Управление Канал

управления Расширение плацдарма

Внутреннее сканирование

Поддержка незаметности

Реализация Расширение заражения

Утечка данных

Перехват управления

Вывод из строя

Уничтожение следов Поддержка

незаметности Зачистка

логов

Разведка Доставка

ЦЕЛЬ

Управление Действия

ВЗЛОМ

Запуск Эксплойт Инсталляция

ЗАРАЖЕНИЕ

Всесторонняя инфраструктура

защиты

NGIPS

NGFW

Анализ аномалий

Network Anti-

Malware

NGIPS

NGFW

Host Anti-

Malware

DNS Защита DNS

Защита Web

Защита Email

NGIPS

DNS Защита DNS

Защита Web

NGIPS

Threat Intelligence

TALOS

Последовательность атаки: Как мы можем обнаружить сбор информации и разведку, а также попытки доставки ВПО?

17

• В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие

• В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны

• Открытая

• Слепая

• Спрятанная

• Неизвестная

Окно Джохари

4 зоны окна Джохари

В скрытой зоне находятся качества, известные человеку, но неизвестные окружающим

В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку

В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим

?

В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие

Открытая Слепая

Скрытая Неизвестная

Окно Джохари применительно к ИБ

Известно аналитику ИБ Не известно аналитику ИБ

Известно

другим

Не известно

другим

Другие – это пользователи, исследователи, хакеры, спецслужбы…

Обнаружение угроз в открытой зоне

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21

• Плохие файлы

• Плохие IP, URL

• Спам/Фишинговые Email

• Сигнатуры

• Уязвимости

• Индикаторы компрометации

Открытая зона

Известно аналитику

Известно

другим

• NGFW, IPS, Web/Email Security, WAF, песочницы… Решения для обнаружения угроз

• API, pxGrid и т.п. Интерфейсы для обмена информацией об угрозах

• Сканеры уязвимостей, SAST/DAST, Vulners, БДУ и др.

Системы анализа защищенности

• OpenIOC, STIX , TAXII, и т.д. Индикаторы компрометации

Как обнаруживать известное?

Сетевая траектория – Отслеживание Firepower NGIPS с FireAMP

Отслеживание отправителей / получателей в континиуме атаки

Файловая диспозиция изменилась на MALWARE История распространения файла

Детали хоста

• Получение информации с ошибками;

• Отсутствие или исчезновение информации на конкретные угрозы;

• Отсутствие учета вертикальной или региональной специфики;

• Смена политики лицензирования:

• Смена собственника

• Поглощение компании-разработчика

• Сотрудничество со спецслужбами

• Санкции…

Риски получения данных об угрозах из одного источника

Почему так важна Threat Intelligence сегодня?!

• Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им

• Оперирует не только и не столько статичной информацией об отдельных уязвимостях и угрозах, сколько динамической и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.

Адреса IPv4 Домены / FQDN Хэши (MD5,

SHA1)

URL Транзакционные

(MTA, User-Agent)

Имя файла / путь

Mutex Значение реестра

Имена пользователей

Адреса e-mail

Распространенные IoC

Разведка Оснащение Доставка Заражение Инсталляция Получение управления

Выполнение действий

Файл – имя

Файл

URI – URL

HTTP - GET

HTTP – User

Agent

URI – имя

домена

Адрес – e-mail

Адрес – IPv4

Файл – путь

Файл

URI – URL

Поведение

Файл – имя

Файл – путь

Файл

URI – URL

HTTP – POST

Заголовок e-mail

– Тема

Заголовок e-mail

– X-Mailer

URI – имя

домена

Хеш – MD5

Хеш – SHA1

Адрес – e-mail

Адрес – IPv4

Поведение

Ключ реестра

Win

Файл – имя

Файл

URI – URL

URI – имя

домена

Хеш – MD5

Хеш – SHA1

Адрес – CIDR

Адрес – IPv4

Код – Бинарный

код

Процессы Win

Ключ реестра

Win

Файл – имя

Файл – путь

Файл

URI – URL

HTTP – GET

HTTP – User

Agent

URI – имя

домена

Хеш – MD5

Хеш – SHA1

Адрес – e-mail

Адрес – IPv4

Поведение

Процессы Win

Ключ реестра

Win

Файл

URI – URL

HTTP – GET

HTTP – POST

HTTP – User

Agent

URI – имя

домена

Хеш – MD5

Адрес – e-mail

Адрес – IPv4

Поведение

Процессы Win

Сервисы Win

Файл – Путь

Файл – Имя

Файл

URI – URL

URI – имя

домена

Хеш – MD5

Хеш – SHA1

Адрес – IPv4

IoC в привязке к последовательности атаки

• Подписки (feeds) – способ представления данных об угрозах;

• Поддержка различных языков программирования и форматов данных:

• JSON

• XML

• CyBOX

• STiX

• CSV

• И другие

Подписки Threat Intelligence

Этапы зрелости использования подписок TI

Эпизодическое применение подписок

Регулярное использование отдельных ресурсов с подписок

Использование платформы TI

Использование API для автоматизации

Обмен подписками

Где брать подписки?

http://atlas.arbor.net/

Инициатива Arbor ATLAS (Active Threat Level Analysis

System):

• Глобальная сеть анализа угроз (обманные системы);

• Информация берется от обманных систем (honeypot),

IDS, сканеров, данных C&C, данных о фишинге и т.д.;

• Публичная информация о Топ10 угрозах;

• Для доступа к некоторым данным требуется регистрация.

http://www.spamhaus.org

Проект для борьбы со спамом SPAMHAUS:

• Поддерживает различные базы данных (DNSBL) с

данными;

по угрозам (IP-адреса) – спамеры, фишеры, прокси,

перехваченные узлы, домены из спама;

• Реестр ROKSO с самыми известными спамерами в

мире;

• Проверка и исключение своих узлов из «черных

списков».

Где брать подписки?

https://www.spamhaustech.com

SpamTEQ – коммерческий сервис Spamhaus:

• Подписки по репутациям IP- и DNS-адресов;

• Ценовая политика зависит от типа организации и

типа запрашиваемых данных;

• Годовой абонемент.

https://www.virustotal.com

Проект по борьбе с вредоносным кодом:

• Проверка файлов и URL на вредоносность;

• Бесплатный сервис;

• Система поиска.

Где брать подписки?

https://www.threatgrid.com

Фиды по сетевым

коммуникациям

• IRC, DNS, IP

• Россия и Китай

• Сетевые аномалии

• RAT и банковские троянцы

• И др.

https://www.alienvault.com/open-threat-exchange

Открытое community по обмену информацией об угрозах

• IP- и DNS-адреса

• Имена узлов

• E-mail

• URL и URI

• Хеши и пути файлов

• CVE-записи и правила CIDR

Форматы:

• JSON

• CyBOX

• STiX

• CSV

• Snort

• Raw

Где брать подписки?

https://www.cisco.com/security

IntelliShield Security Information Service

• Уязвимости

• Бюллетени Microsoft

• Сигнатуры атак Cisco

• Web- и обычные угрозы

• Уязвимые продукты (вендор-независимый)

http://www.malwaredomains.com

Проект DNS-BH (Black Holing)

• Обновляемый «черный» список доменов, участвующих в

распространении вредоносного кода

• Список доступен в формате AdBlock и ISA

Обнаружение угроз в слепой зоне

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35

• Нехватка журналов

• Разрыв в процессах

• Отсутствие интеграции

• Проблемы масштабирования

• Нет корреляции

• Ложные срабатывания

Слепая зона Неизвестно аналитику

Известно

другим

Нехватка данных для анализа

• Syslog, CDR… Логи

• Сигнатуры, аномалии, превышение тайм-аутов… Сигналы тревоги

• E-mail, файлы, Web-страницы, видео/аудио… Контент

• Netflow, sFlow, jFlow, IPFIX… Потоки

• Имена пользователей, сертификаты… Идентификационные

данные

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводная сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAv ASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Удаленные

устройства

До

сту

п

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть

SDN)

АСУ ТП

CTD

IDS RA

МСЭ Беспроводная

сеть

Коммутатор

Маршрутизатор

Сегментация Мониторинг

Откуда брать данные?

Объединяя типы данных и места их сбора

Место

съема

данных

Источник данных

Си

гна

лы

тр

ев

оги

Ко

нте

нт

По

то

ки

Жур

на

лы

Ид

ен

ти

фи

ка

ци

я

Интернет-

периметр

Сервер DHCP ✔

Сервер DNS ✔

DLP ✔ ✔ ✔

WAF ✔ ✔

NAC ✔ ✔

Маршрутизатор ✔ ✔

…

Объединяя типы данных и индикаторы

Категория

индикатора Индикатор

Си

гна

лы

тр

ев

оги

Ко

нте

нт

По

то

ки

Ло

ги

Ид

ен

ти

ф

ика

ци

я

Системная

активность

Неудачные попытки входа ✔ ✔

Доступ к нетипичным

ресурсам ✔ ✔

Утечка данных ✔ ✔ ✔ ✔ ✔

Изменение привилегий ✔ ✔ ✔ ✔

Нетипичные команды ✔ ✔ ✔

Нетипичные поисковые

запросы ✔ ✔ ✔ ✔

…

• Elastic Search

• Log Stash

• Kibana

• Yandex ClickHouse

• Splunk

• Security Onion

• Flowplotter

• Wireshark - tshark

• Network Miner

• Snort

• Suricata

• BRO

• Flowbat

• Tcpdump

• Cisco/joy

• Cisco StealthWatch

• Cisco Investigate

• Apache Metron (ex. OpenSOC)

Средства сбора и анализа сетевой телеметрии

Единый источник коррелированной информации о DNS Cisco Investigate

INVESTIGATE

WHOIS база записей

ASN атрибуция

IP геолокация

IP индексы репутации

Доменные индексы репутации

Домены связанных запросов

Обнаружение аномалий (DGA, FFN)

DNS запросы по шаблону и геораспределение

База пассивной инф. DNS

Вендоры -конкуренты

Not available

Not available

Not available

Где Cisco Investigate полезен?

ВРЕДОНОС Exploit Kit или Свой код

Известная или Zero-Day уязвимость

Жестко забитые или DGA отзвоны

Порты и протоколы связи

АТАКУЮЩИЙ Инструменты, Тактика и процедуры

Стратегия и целеполагание

Мотивация и связи

Языки и Регионы

Инфраструктура Сети развертывания (и ASNы)

Сервера инфр-ры ( и DNS )

Выделенное IP поле

Регистрация (и Flux) Домены

НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ

Последовательность атаки

Разведка Доставка

ЦЕЛЬ

Управление Действия

ВЗЛОМ

Запуск Эксплойт Инсталляция

ЗАРАЖЕНИЕ

ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ

Для слепой зоны необходима корреляция

Корреляция

Пользователи

Приложения Сеть

Физический мир

Threat Intelligent Platforms

• Агрегация телеметрии из множества источников и обогащение данных

Аналитика ИБ

• OpenSOC (Metron), Splunk, SIEM, ELK, ClickHouse, StealthWatch

Облачные решения

• Cognitive Threat Analytics,

• Cisco Investigate

• Sec-aaS

Что помогает обнаруживать угрозы в слепой зоне?

Обнаружение угроз в скрытой зоне

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46

• Контекст

• Корреляция событий

• Исторический контекст

• Базовый профиль (эталон)

• Анализ данных

Скрытая зона

Известно аналитику

Не

известно

другим

• У вас могут быть свои подозрительные файлы;

• Вы можете не хотеть «делиться» вашими анализами с другими;

• Вас может не устраивать оперативность фидов;

• Ваш источник фидов может плохо охватывать Россию;

• У вас собственная служба расследования инцидентов и аналитики вредоносного кода;

• Вы сами пишете вредоносный код

А разве подписок недостаточно?

Данные об угрозах в RSA Security Analytics

Данные об угрозах в EnCase Endpoint Security

Возможность анализа собственных угроз

https://www.threatgrid.com

Загрузка собственных угроз

• С помощью API в облако

• С помощью API на локальное

устройство on-premise

• Вручную через портал

https://malwr.com

Сервис анализа вредоносного кода

• Базируется на VirusTotal и Cuckoo Sandbox

• Бесплатный

• Активы/Сеть

• Сетевая топология

• Профиль актива

• Адрес/местоположение

• Аппаратная платформа

• Операционная система

• Открытые порты/Сервисы/Протоколы

• Клиентское и серверное ПО и его версия

• Статус защищенности

• Уязвимости

• Пользователь

• Местоположение

• Профиль доступа

• Поведение

Что мы знаем и не знают другие?

Файл/Данные/Процесс

Движение

Исполнение

Метаданные

Источник

«Родитель»

Репутация

Безопасность

Точечные события

Телеметрия

Ретроспектива

МСЭ / NGFW / NAC

IDS / IPS

NBAD

AV / BDS

SIEM / LM

X

X

X

X

Откуда эти данные взять?

X Фильтрация контента

И еще ОС, СУБД, сетевые и прикладные службы и сервисы…

Источники данных для анализа

Внутренние

• Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.)

• Критичные ресурсы

• СКУД (местоположение, GSM, CCTV, бейджи и т.п.)

• Данные о персонале (HR, проверки СЭБ и т.п.)

Внешние

• Данные от правоохранительных органов

• Банковские выписки

• Выписки ДМС, медосмотры

• Неудачные попытки входа в системы

• Доступ к нетипичным ресурсам

• Профиль сетевого трафика

• Утечки данных (по объему, типу сервиса и контенту)

• Нетипичные методы доступа

• Изменение привилегий

• Нетипичные команды

• Нетипичные поисковые запросы

Выбрать индикаторы

• Модификация логов

• Нетипичное время доступа

• Нетипичное местонахождение

• Вредоносный код

• Модификация или уничтожение объектов ИТ-инфраструктуры

• Поведение конкурентов и СМИ

• Необычные командировки и персональные поездки

Примеры индикаторов

• Негативные сообщения в социальных сетях

• Наркотическая или алкогольная зависимость

• Потеря близких

• Проигрыш в казино

• Ухудшение оценок (review)

• Изменение финансовых привычек (покупка дорогих вещей)

• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)

Примеры индикаторов

От данных к анализу информации

Данные Информация Знания

От данных к анализу информации

Данные Информация Знания

Время,

Внутренний адрес,

Внешний адрес,

Пользователь,

Репутация,

Приложение

От данных к анализу информации

Данные Информация Знания

Время,

Внутренний адрес,

Внешний адрес,

Пользователь,

Репутация,

Приложение

Пользователь ‘Гость’

вероятно был

инфицирован в 2:03,

посещая 64.25.1.2, затем

контактировал с сервером

C&C в 8:32

От данных к анализу информации

Данные Информация Знания

Время,

Внутренний адрес,

Внешний адрес,

Пользователь,

Репутация,

Приложение

Пользователь ‘Гость’

вероятно был

инфицирован в 2:03,

посещая 64.25.1.2, затем

контактировал с сервером

C&C в 8:32

Пользователь ‘Гость’,

использовавший планшет на

базе Windows 8.1 был

инфицирован в 2:03, посещая

64.25.1.2 (nyt.com), из

гостевой беспроводной

сети, контактировал с

сервером C&C

(инфраструктура Shamoon)

в 8:32

Сетевые ресурсы Политика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция

угроз

Гостевой доступ

Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативам

Что

Когда

Где

Как

Дверь в сеть

Контекст Обмен

данными

Контекст очень помогает в скрытой зоне

Netflow

NGIPS

Lancope StealthWatch

AMP

CTA

FireSIGHT Console

CWS

WSA

ESA

FirePOWER Services

ISE это краеугольный камень сквозной сетевой безопасности Cisco

ISE

Как Что Кто Где Когда

Во время После До

Безопасность начинается с понимания окружения

Профилирование с помощью Cisco ISE

Feed Service (Online/Offline)

Netflow DHCP DNS HTTP RADIUS NMAP SNMP

CDP LLDP DHCP HTTP H323 SIP MDNS

ACTIVE PROBES

DEVICE SENSOR

1.5 million

550+

250+

1,5М устройств и 50 аттрибутов на каждого

Предустановленных профилей + фиды

Профилей для специализированных

устройств

Cisco ISE

Cisco Network

Гибкие методы классификации

Динамические

Статичные

VPN

V. Port Profile

IP Address VLANs Subnets

L3 Interface

Port

ACI (App-Centric)

Идеально для пользовательских и мобильных устройств

Пользовательские устройства

Политики на основе топологии и ресурсов

Внутренние ресурсы

Партнёры и иные третьи лица

Внешние ресурсы Stat

ic

Dyn

amic

SGT #1

SGT #2

SGT #3

SGT #4

Виртуальные машины

Passive ID (Easy

Connect)

MAB, Profiling

802.1X. WebAuth

pxGrid & REST APIs

Модуль ‘Visibility’ для Anyconnect – обнаружение приложений

Cisco Anyconnect с модулем‘Network Visibility’

IPFIX/NetFlow

Collector

КСПД Public

Прозрачность процесс, хэши, URL, и т.д.

Контекст для поведенческого анализа

Контроль допуск на основе политик безопасности

Что помогает обнаруживать угрозы в скрытой зоне?

Визуализация

• Траектория файлов

• Вектора атак

• Имитация пути злоумышленника

Аналитика ИБ

• Пользовательские запросы в OpenSOC (Metron), Splunk, другие SIEM, Yandex ClickHouse, ELK

Контекст

• Identity Firewall

• NGFW

• NAC

• ISE

• Информация об уязвимостях

Визуализация угрозы

• Threatcrowd.org позволяет организовать поиск взаимосвязей между IOCs:

• IP-адреса

• Доменные имена

• Хеши файлов

• Имена файлов

• Аналогичную задачу можно реализовать с помощью OpenDNS, Maltego, а также OpenGraphitti

Визуализация скрытых связей

Визуализация скрытых связей

OpenGraphitti

Обнаружение угроз в неизвестной зоне

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 70

• Выпадающие события /

«Черный лебедь»

• Аномальное поведение

• 0-Days

• Нет сигнатур/решающих

правил

Неизвестная зона

Не известно аналитику

Не

известно

другим

Выпадающие события типа «чёрный лебедь»

«В России такого никогда не было и вот опять повторилось» В. С. Черномырдин

Обнаружение угроз в неизвестной зоне

Неизвестное неизвестное

Анализ поведения

Машинное обучение

Статистический анализ

Обнаружение аномалий и классификация событий

Обнаружение аномалий

• Скажи мне если произойдет что-то необычное

Классификация

• Скажи мне когда ты увидишь нечто, похожее на это

Анализ сетевой телеметрии Netflow (jFlow, sFlow, IPFIX) – путь к самообучаемым сетям

Использование шаблонов сетевых потоков для поиска угроз

Мощный источник информации для каждого сетевого соединения

Каждое сетевое соединения в течение длительного интервала времени

IP-адрес источника и назначения, IP-порты, время, дата передачи и другое

Сохранено для будущего анализа

Важный инструмент для идентификации взломов

Идентификация аномальной активности

Реконструкция последовательности событий

Соответствие требованиям и сбор доказательств

NetFlow для полных деталей, NetFlow-Lite для 1/n семплов

Кто Куда Что

Когда

Как

Откуда Больше контекста

Высокомасштабиуремый сбор Высокое сжатие => долговременное

хранилище

NetFlow с точки зрения контекста

С помощью NetFlow можно обнаруживать не столько известные угрозы, сколько аномалии

Стадия атаки Обнаружение

Использование уязвимостей

Злоумышленник сканирует IP-адреса и порты для поиска уязвимостей (ОС, пользователи, приложения)

1 NetFlow может обнаружить сканирование диапазонов IP

NetFlow может обнаружить сканирование портов на каждом IP-адресе

Установка вредоносного ПО на первый узел

Хакер устанавливает ПО для получения доступа 2

NetFlow может обнаружить входящий управляющий трафик с неожиданного месторасположения

Соединение с “Command and Control”

Вредоносное ПО создает соединение с C&C серверами для получения инструкций

3 NetFlow может обнаружить исходящий трафик к

известным адресам серверов C&C

Распространение вредоносного ПО на другие узлы

Атака других систем в сети через использование уязвимостей

4 NetFlow может обнаружить сканирование диапазонов IP

NetFlow может обнаружить сканирование портов на каждом IP-адресе внутреннего узла

Утечка данных

Отправка данных на внешние сервера 5

NetFlow может обнаружить расширенные потоки (HTTP, FTP, GETMAIL, MAPIGET и другие) и передачу данных на внешние узлы

Сетевое обнаружение аномалий (NBAD) Cisco StealthWatch

Concern Index отслеживает хосты, компрометирующие сеть

• File Sharing Index показывает активность пиринговых сессий

• Target Index показывает хосты являющиеся жертвами вредоносной активности

• Отчёты по группам хостов выдают сетевые шаблоны и шаблоны приложений

Отчет по

приложениям

Inbound/Outbound

Отчет по трафику

StealthWatch – внутренние нарушители и угрозы • Неавторизованный доступ: попытка нарушения политик, блокирована на МСЭ

• Внутренняя разведка: Concern Index событие , сканирование на порту tcp/445

• Накопление данных: передача больших объемов данных через сеть

– Подозрение на накопление данных – хост загружает данные со многих других хостов

– Таргетированный вывод данных– Хост выкачивает большой объем данных через множество других хостов

• Утечка данных: идентификация подозрительной передачи данных через Интернет-периметр в течение длительного времени

Обработка Индикаторов компрометации (IoCs)

Идентификация подозреваемых в заражении Malware хостов в группах клиентских машин

• Визуализация распространения заражения Malware с помощью Worm Tracker

– Основные и вторичные заражения

– Сканируемые подсети

• Применение контекстно-насыщенной телеметрии от ISE для понимания

вовлеченных пользователей

• Узнать все ли хосты затронуло изначальным заражение

Моделирование и контроль Business Critical процессов в Cisco StealthWatch

PCI Zone Map

Общий профиль системы

Межсистемное

взаимодействие

Машинное обучение (искусственный интеллект)

Известные варианты

угроз

Автоматическая классификация

Неизвестные угрозы

Полностью автоматическое

обучение

Автоматическая интерпретация

результатов

Глобальная корреляция по

всем источникам

IoC по одному или нескольким источникам

Один источник (DNS, e-mail, web,

файл и т.п.)

1-е поколение

2-е поколение

3-е поколение • Машинное обучение – не панацея

• Интернет движется к тотальному шифрованию

• Злоумышленники остаются незамеченными – стеганография

• За искусственным интеллектом в ИБ – будущее

Как работает самообучающаяся сеть?

Обнаружение путей

прохождения трафика

Создание карты IP-

адресов

Изучение изменений в

путях, объёмах,

шаблонов, зависимости

от времени суток

Обнаружение

приложений с помощью

NBAR и DPI

Учимся отличать плохое

от хорошего

Точное обнаружение

аномалии; оператору

отправляем запрос на

реагирование

3

2

6

4

1

5

Опыт Cisco: необходимо комбинировать методы обнаружения

Intel

Signature

Flows

Intel

Signature Behavior

Flows

Intel

Signature

В прошлом 2012 2013+

Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования

Открытая • NGFW / NGIPS • Защита от вредоносного ПО • Спам-фильтры • Безопасность Web

Слепая • Платформы Threat Intelligence • Аналитика Big data • Корреляция • Облачные решения

Скрытая • Визуализация • Пользовательские запросы • Контекст

Неизвестная • Машинное обучение • Статистический анализ • Анализ сетевого поведения

Подводим итоги Известно аналитику Не известно аналитику

Известно другим

Не известно другим

Открытая • NGFW / NGIPS • Защита от вредоносного ПО • Спам-фильтры • Безопасность Web

Слепая • Платформы Threat Intelligence • Аналитика Big data • Корреляция • Облачные решения

Скрытая • Визуализация • Пользовательские запросы • Контекст

Неизвестная • Машинное обучение • Статистический анализ • Анализ сетевого поведения

Подводим итоги Известно аналитику ИБ Не известно аналитику ИБ

Известно

другим

Не известно

другим

Тот, кто знает, когда он может сражаться, а когда не может, будет победителем.

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 89

Сунь Цзы, «Искусство войны»

00

00

11

1111

10

Интегрированная защита от угроз – это единственный путь обнаружить и остановить продвинутые угрозы

00

00

11

1111

10

Talos Talos

Мобильное Виртуальное Endpoint

Сеть Облако Email

и Web

Точечное Постоянное

Advanced Threats

Sandboxing

Web

Global Intelligence Talos

Shadow IT & Data

NGIPS & NGFW

Identity & Access Control

Email

DNS, IP & BGP

Anomaly Detection Anomaly Detection

Sandboxing

Advanced Threats

DNS, IP & BGP

Shadow IT & Data

Global Intelligence Talos

NGIPS & NGFW

Identity & Access Control

Email

Web

Среднее время обнаружения с Cisco: 17 часов

Среднее время обнаружения без Cisco: 200 дней

#CiscoConnectRu #CiscoConnectRu

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410 www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

Пишите на security-request@cisco.com

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/posts

http://www.cisco.ru/