11

PALO ALTO NETWORKSпротив

УГРОЗ

| ©2014, Palo Alto Networks. Confidential and Proprietary.1

2

Часть2.

Обеспечение полной видимости трафика

3

Ключевые этапы вебинара

современные тенденции в сети

«прорыв периметра», многоуровневые механизмы защиты от Palo Alto Networks

демонстрация обеспечения видимости трафика и защиты от Palo Alto NGFW

ответы на вопросы/задачи по предыдущему вебинару

4

«Эволюция» сети, 2014 г.

Корпоративная сеть

BETAVerizon Cloud

5

«Эволюция» атак, 2014 г.

1Браузер

23 306 218

2 Обход защиты

6 026 982

3

Скрытная атака

6 424 187

SSL

9 758 3104

5

Злоумышленное

использование сети

37 575 249

2. Методы проведения атак1. Активность вредоносного ПО(2015 DATA BREACH INVESTIGATIONS REPORT)

6

Методология проведения целенаправленной атаки

Активные действияРазведка и управление

рабочей станцией

Доставка вредоносного

кодаПрорыв периметра

Сетевой доступ

Физический доступ

Соц. инженерия

Ошибка конфигурации

Инсайд

Уязвимость ОС/ПО

Самосохранение

Загрузка вредоносных модулей

Эскалация привилегий

Скрытие присутствия

Кража информации

Отказ оборудования

Подмена документов

Мошенничество

7

Известные уязвимости SSL

уязвимость протокола SSLv3

уязвимость в криптографической библиотеке OpenSSL

SSL/TLS уязвимость

уязвимость SSL/TLS

Heartbleed

POODLE

FREAK

Logjam

8

Примеры из «жизни»

Банки Дании (май, 2015) Банки Голландии (май, 2015)

9

Примеры из «жизни». ПриватБанк

10

Примеры из «жизни». Райффайзен Банк Аваль

11

Примеры из «жизни». СБЕРБАНК РОССИИ

12

Методология проведения атаки и защита (продолжение)

Активные действияРазведка и управление

рабочей станцией

Доставка вредоносного

кодаПрорыв периметра

невозможность выполнения одного из компонентов цепочки проведения атаки – не

дает злоумышленнику свершить атаку

13

Palo Alto Networks-

многоуровневые механизмы защиты

сети от вторжений

14

Многоуровневой подход к защите сети

Активные действия

NEXT-GENERATION

FIREWALL

Threat Prevention (IPS/IDS)

WILDFIRE

Threat Prevention

(Network Antivirus, IPS)

Разведка и управление

рабочей станцией

Доставка вредоносного

кодаПрорыв периметра

полная видимость всего

трафика и дешифрация SSL

гранулярный контроль

приложений

блокирование зараженных

файлов

сегментация ресурсов

подлежащих защите

Блокирование известных:

эксплойтов

вредоносных программ

C2-трафика

Выявление неизвестных

вредоносных программ

Выявление неизвестных

эксплойтов

Защита от эксплойтов

нулевого дня

Применение защитных

политик на рабочие

станции и мобильные

устройства

блокировка URL/ІР/доменов

с плохой репутацией

URL Filtering

NEXT-GENERATION

ENDPOINT

& GLOBALPROTECT

15

Дешифрация SSLи

полная видимость всего трафика

16

Видимость трафика. SSL

• Импортированный СА

• Сгенерированный СА с помощью

встроенных средств Palo Alto NGFW

17

Видимость трафика. Контроль приложений и пользователей

• Логирование URL-фильтрации

Логирование обработки

трафика

Контроль пользователейКонтроль приложений

18

SSL и защита от угроз

Активные

действия

Разведка и

управление

рабочей

станцией

Доставка

вредоносного

кода

Прорыв

периметра

1. Запуск атаки с использованием SSL в сети без Palo Alto Next Generation Firewall

цель

2. Запуск атаки с использованием SSL в сети, где установлен Palo Alto Next Generation Firewall

цель

19

Metasploit. Использование уязвимостей SSL.

1. Незащищенная сеть. Запуск атаки Heartbleed

20

Metasploit. Использование уязвимостей SSL.

2. Незащищенная сеть. Результат атаки Heartbleed

21

Metasploit. Использование уязвимостей SSL.

3. Защищенная сеть Palo Alto Networks. Результат атаки Heartbleed

22

Демонстрация задач

по предыдущему вебинару

23

Задачи

1. Публикация наружу сервисов.

2. Интеграция агентской части на устройства. Пример работы агента на основных платформах:

Windows, MacOS, iOS, Android. Конфигурирование агента.

3. Сопряжение сетей филиалов (Branches) на примере Site-To-Site VPN – есть ли соотв.

функционал?

4. Получение отчетности (логов) и построение отчетов. Интересуют сводные отчеты по

пользователю (куда, чем, трафик, типы), по подразделению (AD: OU&Group).

24

Задача 11. Публикация наружу сервисов.

25

Задача 2

1. Global Protect. Интеграция агентской части на устройства. Пример работы агента на основных

платформах: Windows, MacOS, iOS, Android. Конфигурирование агента.

26

Сегментация ресурсов. Global Protect

Internal Gateway –

внутренний интерфейс

Palo Alto NGFW,

сконфигурирован как

Global Protect Gateway для

доступа к внутренним

ресурсам, подлежащим

защите.

External Gateway –

внешний интерфейс

Palo Alto NGFW,

сконфигурирован как

Global Protect Gateway для

VPN-доступа

удаленных пользователей

27

Сегментация ресурсов. Global Protect (продолжение)

Установка соединения

с Порталом

Настройка авторизации

пользователя

28

Задача 3

1. Сопряжение сетей филиалов (Branches) на примере Site-To-Site VPN – есть ли соотв.

функционал?

29

Задача 4

1. Получение отчетности (логов) и построение отчетов. Интересуют сводные отчеты по

пользователю (куда, чем, трафик, типы), по подразделению (AD: OU&Group).

30

Дополнительные ресурсы по Palo Alto Networks

https://www.paloaltonetworks.com

https://live.paloaltonetworks.com

https://www.youtube.com/channel/UC6yzUQlrdNzqeCzZ4sWqtEg

https://www.facebook.com/paloaltoukraine

31