Upload
expolink
View
124
Download
2
Embed Size (px)
Citation preview
Тимур КабатаевНачальник отдела Информационной
БезопасностиARinteg
Средства защиты от нестандартных
целенаправленных атак
1
ARinteg – Ваш гарант информационной безопасности!
План
• Введение
• Стандартные средства защиты
• Продвинутые средства защиты
• Успешный опыт внедрения
• Передовые технологии
• Итоги
Employees
В старые добрые времена..
Файлы/папки,съемные носители
Почта исообщения
Доступ в Веб
Сотрудники
Администраторы
Employees
Сейчас!
Файлы/папки,съемные носители
Почта исообщения
Доступ в Веб
Смена устройствОблачная
синхронизацияСовместнаяработа
Социальныесети
Сотрудники
Администраторы
91% нацеленных атак начались адресной фишинг-рассылки
1 миллион вредоносных приложений для Android
1 из 5 использует Dropbox на работе в 95% компаний из списка Fortune 500
Сейчас!
Файлы/папки,съемные носители
Почта исообщения
Доступ в Веб
Смена устройствОблачная
синхронизацияСовместнаяработа
Социальныесети
Сотрудники
Администраторы
Безопасность
Copyright 2014 Trend Micro Inc. 6
• Атакует ли кто-то нас или может быть уже взломали?
• Какой ущерб?• Какова природа атаки?
- Случайная или нацеленная атака?
- Пытается ли избежать детектирования?
• Как предотвратить повторение?
Есть ли у меняпроблемы?
Ключевые вопросы:
Целевые атаки – миф или реальность?Международная группировка хакеров атаковала более 100 финансовых организаций за два годаСамая крупная атака за всю историю (1 млрд.$)
Злоумышленники используют все точки проникновения
ИзменяющиесяАтаки
Мобильные устройства и ПКРазные ОС и ПО FTP
IRC
Порт 2056
ИзвестныеУгрозы
НеизвестныеУгрозы
Сотни протоколов
Десяткисетевыхпортов
i
i
i
i
ii
i ii
i HTTP
Ключевые этапы современной сетевой атаки
Приманка
1
Завлечь использовать специальное ПО, открыть файл или перейти на веб-сайт с вредоносами
• Эксплоит
2
Зараженный контент использует уязвимости установлен-ного ПО без ведома пользователя
• Загрузка ПО для
«черного хода»
3
В фоне загружается и устанавли-вается второй вредонос
Установление обратного канала
4
Вредонос устанавливает исходящее подключение для связи с злоумышлен-ником
• Разведка и
кража данных
5
Удаленный злоумышлен-ник имеет доступ внутри сети и проводит атаку
Ключевой вывод №1
Широкий спектр атакиповышает шансы на успех
киберпреступниковДля этого им нужна всего
одна точка входа.
Ключевой вывод №2
Человеческий фактор – суть атаки:
Сотрудники оказываются соучастниками
злоумышленников за счет использования
изощренных методов социнженерии
Ключевой вывод №3
Защиты периметрическими средствами уже не хватает. Контроль доступа к данными разумность доступа к ним
требуют иного подхода.
«У нас уже есть межсетевые экраны и антивирусная защита, зачем нам что-то еще?»
Стандартные средства защиты
Антивирус Windows Firewall
Advanced PersistentThreats (APT)
Изощренные угрозы обходят существующие типы защиты
Средства защиты периметра и конечных узлов не панацея!
Границы размыты
Нацеленныеатаки
• Более сложные
• Нацеленные
• Все чаще
• Кража ценных данных
Услуги нацеленных атак
Борьба с подобными угрозами требует индивидуализации решения
Инновационные методы борьбы с нацеленными атаками
Решения для защиты
Встроенные механизмы обнаружения изощренных угроз
2 Автоматизированное обновление индивидуальных «черных списков» и сигнатур
3
Реагирование на основе облачных баз знаний о существующих угрозах
4
Индивидуальная защита
Обнаружение угрози их анализ
Уникальные методики обеспечения индивидуальной защиты, сбора данных об угрозах и реагирования
1
АнтивирусЗащита от атак
Резидентный МСЭ
Контроль целостности
Анализ событий
Веб-репутация
Физический ЦОД
ВиртуальныйЦОД
Частное облако Публичное облако
Дополнительные компоненты защиты
19
Поддержка всех основных ОС, используемых предприятиями
Файлы/папки,съемные носители
Почта исообщения
Доступ в Веб
Смена устройствОблачная
синхронизацияСовместнаяработа
Социальныесети
Сотрудники
Полная защита пользователя
Антивирус Шифрование Контрольприложений
Управлениеустройствами
Защита отутечек
Фильтрацияданных
АдминистраторыБезопасность
Новая защита
Обнаружениевредоносного кода
Контекстуальныйанализ угроз
Автоматическиеобновления
Обнаружение коммуникации с C&C
Выявление действийзлоумышленника Оценка ущерба
Корпоративнаясеть
Конечные узлыШлюз электронной почты
Сторонниерешения
Администраторсети
Безопасность
Комплексная защита
Какие решения обеспечивают необходимую защиту
Продукты для всесторонней защиты физических
серверов и виртуальных машин от
традиционных атак,
неизвестных и новых атак,
а также специфичных угроз,
характерных для виртуальных
и облачных сред
Рекомендуемый комплексный подход к предотвращению угроз
Снижение риска
• Известное вредоносное ПО обнаружено в 98% случаев
• Действующие ботнеты — 94%
• Недопустимые приложения — 88%
• Вредоносные файлы нацеленные на банки — 75%
• Вредоносные документы — 75%
• Неизвестное вредоносное ПО – 49%
• Сетевые атаки — 84%
• Вредоносные приложения для Андроид — 28%
• Использование облачных хранилищ — 60%
Выявление изощренных угроз – статистика в пилотных проектах!
Защиты от угроз нулевого дня в Альфа-Банке
• Внедрение инновационных средств защиты в Альфа-Банке!
Поставленные задачи и достигнутые результаты
• Анализ всех возможных протоколов, используемых вредоносными программами и хакерами
• Выявление «поперечного» перемещения• Обнаружение попыток взлома• Детектирование вредоносных документов и файлов, в том числе в
почтовых вложениях• Возможность использования индивидуальных песочниц• Адаптивная блокировка• Интеграция с SIEM• Сопоставление с глобальной информацией о ландшафте угроз• Использование аппаратной или виртуальной платформы
Обнаружение
Технологии обнаружения и анализа скрытых угроз
Анализируется более80 протоколов
Модуль Network Content Inspection
Модуль Advanced Threat Security
Репутация IP & URL
Виртуальный анализатор
Модуль корреляции сетевых данных
DNS
SQL P2P
HTTP SMTP
CIFS
FTP
-----
Эксплоиты, внедренные в документыНезаметная загрузкаДропперыНеизвестный ВПКДоступ к C&CКража данныхЧерви/распространениеБекдор-активностьПередача данных наружу
Подход 360°
• Анализ содержимого
• Эмуляция открытия документов
• Анализ «полезной нагрузки»
• Анализ поведения
• Обнаружение взлома
• Мониторинг сети
Расползание в сетиВзлом
Точка входа
Виртуальный Анализатор
• «Свой» образ ОС• Ускоренное выполнение• Обнаружение Anti-VM• 32/64 бит• Исполняемые файлы, документы, URL...
WinXP SP3 Win7Base
Isolated Network
Индивидуальная песочница
«Живой» мониторинг
• Интеграция с ядром (хуки, инъекции в dll)
• Анализ сетевых потоков• Корреляция событий
Filesystemmonitor
Registrymonitor
Processmonitor
Rootkitscanner
Networkdriver
Fake Explorer
Fake Server
Fake AVAPI
Hooks
Win7Hardened
Core Threat Simulator
LoadLibraryA ARGs: ( NETAPI32.dll ) Return value: 73e50000LoadLibraryA ARGs: ( OLEAUT32.dll ) Return value: 75de0000LoadLibraryA ARGs: ( WININET.dll ) Return value: 777a0000key: HKEY_CURRENT_USER\Local Settings\MuiCache\48\52C64B7E\LanguageList value:key: HKEY_CURRENT_USER\Software\Microsoft\Onheem\20bi1d4fWrite: path: %APPDATA%\Ewada\eqawoc.exe type: VSDT_EXE_W32Injecting process ID: 2604 Inject API: CreateRemoteThread Target process ID: 1540 Target image path: taskhost.exesocket ARGs: ( 2, 2, 0 ) Return value: 28bfesocket ARGs: ( 23, 1, 6 ) Return value: 28c02window API Name: CreateWindowExW ARGs: ( 200, 4b2f7c, , 50300104, 0, 0, 250, fe, 301b8, f, 4b0000, 0 ) Return value: 401b2internet_helper API Name: InternetConnectA ARGs: ( cc0004, mmlzntponzkfuik.biz, 10050, , , 3, 0, 0 ) Return value: cc0008.......
Модификация заражаемого файла: eqawoc.exeИнъекция в процесс: 2604 taskhost.exeПодключение к подозрительному серверу: mmlzntponzkfuik.biz
!
Анализ
Подготовка «песочниц» автоматизирована
Эмуляция окружения
Извлечение икорреляция
Методы детектирования
• Сценарии
• Взлом
• Скрипты (JS/AS)
• Структура файла
• «полезная нагрузка»...
Win32 DLLs Process Environment Virtual Processor File & Registry
Simulation
•Быстрый анализ
•Типы документов
• Microsoft Office
• Adobe PDF
• Adobe Flash и др.
Высокий уровеньдетектирования
Анализдокументов
Разборформатов
Эмулятор
Обнаружение
Smart ProtectionNetwork
Песочница MARS
Защита от мобильных угроз
Облачная пеcочница для Android
• Сбор приложений из разных «маркетов» (Play, Amazon, SlideMe…)
• Автоматическая загрузка неизвестных приложений Android
• Охват большего числа приложений• Детектирование подозрительного
поведения• Связь с C&C• Передача данных• Вредоносный «довесок»• Неправильный сертификат• Нарушение приватности• Права доступа…
Permission Check
UnpackVariant
Scanning
Privacy Data Tracking
Resource Analysis
Статический
APK
Smart ProtectionNetwork
Log Collector
Syscall hook
BehaviorLogging
Динамический
UITrigger
DataSpoofing
Анализ
• Результат виртуального анализатора
• URL• Домен• IP:порт• Сигнатура файла
• Глобальная база C&C• Пользовательская база C&C• Правила анализа данных
!
Защита от связи с C&C
БлокировкаTCP Reset
ICMP Code
DNS Spoofing
HTTP Redirect
Скрытая связь созлоумышленником
Поведение похоже на ботнетВыявление троянов
TCP UDP ICMP HTTP SMTP
FTP DNS CIFS SQL ----
Анализ протоколов
Оценка по множеству источников
Блокировка
Продвинутая защита конечной точки
Защита любой конечной точки
• Отдельный агент
• OfficeScan плагин
• Режимы расследования и Live
• Совместимость с любым АВ движком
Глубокий мониторинг поведенияСистемные активности
Изменения критических сист.файлов, создание Autorun в реестре, API Hooking, самораспространение…
Эксплойт браузераИзвестные эксплойты CVE, Управление Javascript/ActiveX…
Эксплойты в документахВшитый шелл-код, эксплойты SWF/PDF, подозрительные файлы OLE…
Сетевые активностиИдентификация сессий и приложений, обнаружение ботнетов и червей…
Отправка подозрительных файлов в песочницы на анализ
Источники атаки
Корреляция
Понимание этапов атаки
Динамическое блокирование угроз
Почтовый шлюз
Динамические черные списки
App Server
Storage
Проверка трафика
Анализ трафика
!
SMTP relay
Web proxy
!
!Mail Server
Endpoint
af12e45b49cd23...48.67.234.25:44368.57.149.56:80d4.mydns.ccb1.mydns.cc...
ВПОДвижение внутри
C&C отклики
Консоль управления
Архитектура
Интеграция всех компонентов
Динамический черный список
App Server
Storage
Анализ трафика
!
Endpoint
af12e45b49cd23...48.67.234.25:44368.57.149.56:80d4.mydns.ccb1.mydns.cc...
!
ScanMail
Веб-шлюз
Почтовый шлюз
Перемещение ВПОC&C отклик 3c4çba176915c3ee3df8
7b9c127ca1a1bcçba17
Специально сформированная сигнатура
Результаты на понятном языке
Итоги: преимущества современных средств защиты
Преимущества современных средств защиты от угроз нулевого дня
• Мульти-модульный анализ и корреляция• Использование Smart Protection Network• Индивидуальные песочницы
Динамическая безопасность
Подключи и защити
• Высокая пропускная способность• Гибкая архитектура: HW/VM• Оперативные расследования & индивидуальные
сигнатуры
Открытая архитектураДинамический «черный» список
af12e45b49cd23...48.67.234.25:44368.57.149.56:80d4.mydns.ccb1.mydns.cc...
3c4çba176915c3ee3df87b9c127ca1a1bcçba17
Индивидуальныесигнатуры
3rd party SIEM(CEF/LEEF)
WEB API
Web Proxy
SMTP Relay
Network Capture
Firewall *
NotableCharacteristics
Network packet
Детектирование Профили угроз Анализ Пользовательские C&C
Центральный офис в Москве+7 (495) 221 21 [email protected]
Спасибо за внимание!
Представительство в Екатеринбурге+7 (343) 247 83 [email protected]
www.ARinteg.ru