Тимур КабатаевНачальник отдела Информационной

БезопасностиARinteg

Средства защиты от нестандартных

целенаправленных атак

1

ARinteg – Ваш гарант информационной безопасности!

План

• Введение

• Стандартные средства защиты

• Продвинутые средства защиты

• Успешный опыт внедрения

• Передовые технологии

• Итоги

Employees

В старые добрые времена..

Файлы/папки,съемные носители

Почта исообщения

Доступ в Веб

Сотрудники

Администраторы

Employees

Сейчас!

Файлы/папки,съемные носители

Почта исообщения

Доступ в Веб

Смена устройствОблачная

синхронизацияСовместнаяработа

Социальныесети

Сотрудники

Администраторы

91% нацеленных атак начались адресной фишинг-рассылки

1 миллион вредоносных приложений для Android

1 из 5 использует Dropbox на работе в 95% компаний из списка Fortune 500

Сейчас!

Файлы/папки,съемные носители

Почта исообщения

Доступ в Веб

Смена устройствОблачная

синхронизацияСовместнаяработа

Социальныесети

Сотрудники

Администраторы

Безопасность

Copyright 2014 Trend Micro Inc. 6

• Атакует ли кто-то нас или может быть уже взломали?

• Какой ущерб?• Какова природа атаки?

- Случайная или нацеленная атака?

- Пытается ли избежать детектирования?

• Как предотвратить повторение?

Есть ли у меняпроблемы?

Ключевые вопросы:

Целевые атаки – миф или реальность?Международная группировка хакеров атаковала более 100 финансовых организаций за два годаСамая крупная атака за всю историю (1 млрд.$)

Злоумышленники используют все точки проникновения

ИзменяющиесяАтаки

Мобильные устройства и ПКРазные ОС и ПО FTP

IRC

Порт 2056

ИзвестныеУгрозы

НеизвестныеУгрозы

Сотни протоколов

Десяткисетевыхпортов

i

i

i

i

ii

i ii

i HTTP

Ключевые этапы современной сетевой атаки

Приманка

1

Завлечь использовать специальное ПО, открыть файл или перейти на веб-сайт с вредоносами

• Эксплоит

2

Зараженный контент использует уязвимости установлен-ного ПО без ведома пользователя

• Загрузка ПО для

«черного хода»

3

В фоне загружается и устанавли-вается второй вредонос

Установление обратного канала

4

Вредонос устанавливает исходящее подключение для связи с злоумышлен-ником

• Разведка и

кража данных

5

Удаленный злоумышлен-ник имеет доступ внутри сети и проводит атаку

Ключевой вывод №1

Широкий спектр атакиповышает шансы на успех

киберпреступниковДля этого им нужна всего

одна точка входа.

Ключевой вывод №2

Человеческий фактор – суть атаки:

Сотрудники оказываются соучастниками

злоумышленников за счет использования

изощренных методов социнженерии

Ключевой вывод №3

Защиты периметрическими средствами уже не хватает. Контроль доступа к данными разумность доступа к ним

требуют иного подхода.

«У нас уже есть межсетевые экраны и антивирусная защита, зачем нам что-то еще?»

Стандартные средства защиты

Антивирус Windows Firewall

Advanced PersistentThreats (APT)

Изощренные угрозы обходят существующие типы защиты

Средства защиты периметра и конечных узлов не панацея!

Границы размыты

Нацеленныеатаки

• Более сложные

• Нацеленные

• Все чаще

• Кража ценных данных

Услуги нацеленных атак

Борьба с подобными угрозами требует индивидуализации решения

Инновационные методы борьбы с нацеленными атаками

Решения для защиты

Встроенные механизмы обнаружения изощренных угроз

2 Автоматизированное обновление индивидуальных «черных списков» и сигнатур

3

Реагирование на основе облачных баз знаний о существующих угрозах

4

Индивидуальная защита

Обнаружение угрози их анализ

Уникальные методики обеспечения индивидуальной защиты, сбора данных об угрозах и реагирования

1

АнтивирусЗащита от атак

Резидентный МСЭ

Контроль целостности

Анализ событий

Веб-репутация

Физический ЦОД

ВиртуальныйЦОД

Частное облако Публичное облако

Дополнительные компоненты защиты

19

Поддержка всех основных ОС, используемых предприятиями

Файлы/папки,съемные носители

Почта исообщения

Доступ в Веб

Смена устройствОблачная

синхронизацияСовместнаяработа

Социальныесети

Сотрудники

Полная защита пользователя

Антивирус Шифрование Контрольприложений

Управлениеустройствами

Защита отутечек

Фильтрацияданных

АдминистраторыБезопасность

Новая защита

Обнаружениевредоносного кода

Контекстуальныйанализ угроз

Автоматическиеобновления

Обнаружение коммуникации с C&C

Выявление действийзлоумышленника Оценка ущерба

Корпоративнаясеть

Конечные узлыШлюз электронной почты

Сторонниерешения

Администраторсети

Безопасность

Комплексная защита

Какие решения обеспечивают необходимую защиту

Продукты для всесторонней защиты физических

серверов и виртуальных машин от

традиционных атак,

неизвестных и новых атак,

а также специфичных угроз,

характерных для виртуальных

и облачных сред

Рекомендуемый комплексный подход к предотвращению угроз

Снижение риска

• Известное вредоносное ПО обнаружено в 98% случаев

• Действующие ботнеты — 94%

• Недопустимые приложения — 88%

• Вредоносные файлы нацеленные на банки — 75%

• Вредоносные документы — 75%

• Неизвестное вредоносное ПО – 49%

• Сетевые атаки — 84%

• Вредоносные приложения для Андроид — 28%

• Использование облачных хранилищ — 60%

Выявление изощренных угроз – статистика в пилотных проектах!

Защиты от угроз нулевого дня в Альфа-Банке

• Внедрение инновационных средств защиты в Альфа-Банке!

Поставленные задачи и достигнутые результаты

• Анализ всех возможных протоколов, используемых вредоносными программами и хакерами

• Выявление «поперечного» перемещения• Обнаружение попыток взлома• Детектирование вредоносных документов и файлов, в том числе в

почтовых вложениях• Возможность использования индивидуальных песочниц• Адаптивная блокировка• Интеграция с SIEM• Сопоставление с глобальной информацией о ландшафте угроз• Использование аппаратной или виртуальной платформы

Обнаружение

Технологии обнаружения и анализа скрытых угроз

Анализируется более80 протоколов

Модуль Network Content Inspection

Модуль Advanced Threat Security

Репутация IP & URL

Виртуальный анализатор

Модуль корреляции сетевых данных

DNS

SQL P2P

HTTP SMTP

CIFS

FTP

-----

Эксплоиты, внедренные в документыНезаметная загрузкаДропперыНеизвестный ВПКДоступ к C&CКража данныхЧерви/распространениеБекдор-активностьПередача данных наружу

Подход 360°

• Анализ содержимого

• Эмуляция открытия документов

• Анализ «полезной нагрузки»

• Анализ поведения

• Обнаружение взлома

• Мониторинг сети

Расползание в сетиВзлом

Точка входа

Виртуальный Анализатор

• «Свой» образ ОС• Ускоренное выполнение• Обнаружение Anti-VM• 32/64 бит• Исполняемые файлы, документы, URL...

WinXP SP3 Win7Base

Isolated Network

Индивидуальная песочница

«Живой» мониторинг

• Интеграция с ядром (хуки, инъекции в dll)

• Анализ сетевых потоков• Корреляция событий

Filesystemmonitor

Registrymonitor

Processmonitor

Rootkitscanner

Networkdriver

Fake Explorer

Fake Server

Fake AVAPI

Hooks

Win7Hardened

Core Threat Simulator

LoadLibraryA ARGs: ( NETAPI32.dll ) Return value: 73e50000LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000key: HKEY_CURRENT_USER\Local Settings\MuiCache\48\52C64B7E\LanguageList value:key: HKEY_CURRENT_USER\Software\Microsoft\Onheem\20bi1d4fWrite: path: %APPDATA%\Ewada\eqawoc.exe type: VSDT_EXE_W32Injecting process ID: 2604 Inject API: CreateRemoteThread Target process ID: 1540 Target image path: taskhost.exesocket ARGs: ( 2, 2, 0 ) Return value: 28bfesocket ARGs: ( 23, 1, 6 ) Return value: 28c02window API Name: CreateWindowExW ARGs: ( 200, 4b2f7c, , 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050, , , 3, 0, 0 ) Return value: cc0008.......

Модификация заражаемого файла: eqawoc.exeИнъекция в процесс: 2604 taskhost.exeПодключение к подозрительному серверу: mmlzntponzkfuik.biz

!

Анализ

Подготовка «песочниц» автоматизирована

Эмуляция окружения

Извлечение икорреляция

Методы детектирования

• Сценарии

• Взлом

• Скрипты (JS/AS)

• Структура файла

• «полезная нагрузка»...

Win32 DLLs Process Environment Virtual Processor File & Registry

Simulation

•Быстрый анализ

•Типы документов

• Microsoft Office

• Adobe PDF

• Adobe Flash и др.

Высокий уровеньдетектирования

Анализдокументов

Разборформатов

Эмулятор

Обнаружение

Smart ProtectionNetwork

Песочница MARS

Защита от мобильных угроз

Облачная пеcочница для Android

• Сбор приложений из разных «маркетов» (Play, Amazon, SlideMe…)

• Автоматическая загрузка неизвестных приложений Android

• Охват большего числа приложений• Детектирование подозрительного

поведения• Связь с C&C• Передача данных• Вредоносный «довесок»• Неправильный сертификат• Нарушение приватности• Права доступа…

Permission Check

UnpackVariant

Scanning

Privacy Data Tracking

Resource Analysis

Статический

APK

Smart ProtectionNetwork

Log Collector

Syscall hook

BehaviorLogging

Динамический

UITrigger

DataSpoofing

Анализ

• Результат виртуального анализатора

• URL• Домен• IP:порт• Сигнатура файла

• Глобальная база C&C• Пользовательская база C&C• Правила анализа данных

!

Защита от связи с C&C

БлокировкаTCP Reset

ICMP Code

DNS Spoofing

HTTP Redirect

Скрытая связь созлоумышленником

Поведение похоже на ботнетВыявление троянов

TCP UDP ICMP HTTP SMTP

FTP DNS CIFS SQL ----

Анализ протоколов

Оценка по множеству источников

Блокировка

Продвинутая защита конечной точки

Защита любой конечной точки

• Отдельный агент

• OfficeScan плагин

• Режимы расследования и Live

• Совместимость с любым АВ движком

Глубокий мониторинг поведенияСистемные активности

Изменения критических сист.файлов, создание Autorun в реестре, API Hooking, самораспространение…

Эксплойт браузераИзвестные эксплойты CVE, Управление Javascript/ActiveX…

Эксплойты в документахВшитый шелл-код, эксплойты SWF/PDF, подозрительные файлы OLE…

Сетевые активностиИдентификация сессий и приложений, обнаружение ботнетов и червей…

Отправка подозрительных файлов в песочницы на анализ

Источники атаки

Корреляция

Понимание этапов атаки

Динамическое блокирование угроз

Почтовый шлюз

Динамические черные списки

App Server

Storage

Проверка трафика

Анализ трафика

!

SMTP relay

Web proxy

!

!Mail Server

Endpoint

af12e45b49cd23...48.67.234.25:44368.57.149.56:80d4.mydns.ccb1.mydns.cc...

ВПОДвижение внутри

C&C отклики

Консоль управления

Архитектура

Интеграция всех компонентов

Динамический черный список

App Server

Storage

Анализ трафика

!

Endpoint

af12e45b49cd23...48.67.234.25:44368.57.149.56:80d4.mydns.ccb1.mydns.cc...

!

ScanMail

Веб-шлюз

Почтовый шлюз

Перемещение ВПОC&C отклик 3c4çba176915c3ee3df8

7b9c127ca1a1bcçba17

Специально сформированная сигнатура

Результаты на понятном языке

Итоги: преимущества современных средств защиты

Преимущества современных средств защиты от угроз нулевого дня

• Мульти-модульный анализ и корреляция• Использование Smart Protection Network• Индивидуальные песочницы

Динамическая безопасность

Подключи и защити

• Высокая пропускная способность• Гибкая архитектура: HW/VM• Оперативные расследования & индивидуальные

сигнатуры

Открытая архитектураДинамический «черный» список

af12e45b49cd23...48.67.234.25:44368.57.149.56:80d4.mydns.ccb1.mydns.cc...

3c4çba176915c3ee3df87b9c127ca1a1bcçba17

Индивидуальныесигнатуры

3rd party SIEM(CEF/LEEF)

WEB API

Web Proxy

SMTP Relay

Network Capture

Firewall *

NotableCharacteristics

Network packet

Детектирование Профили угроз Анализ Пользовательские C&C

Центральный офис в Москве+7 (495) 221 21 41security@ARinteg.ru

Спасибо за внимание!

Представительство в Екатеринбурге+7 (343) 247 83 68Ural@ARinteg.ru

www.ARinteg.ru