Imperva, держи марку!

© 2014 Imperva, Inc. All rights reserved.

- Web Application Firewall

- DataBase Firewall

- File Security

1

Шахлевич Александр, RSD, Russia&CIS

[email protected]


Предпосылки


Описание утечек

Confidential3

Anthem:• Достаточно интересно разобраться, как произошла атака на компанию Anthems. Следствие подтвердило, что утечка

произошла в следствие аномальной активность со стороны привилегированных пользователей и администраторов.

Один из сотрудников Anthem заметил странное поведение в системе и начал внутреннее расследование. В

результате этих действий была выявлена одна из крупнейших утечек персональных данных за всю историю.

• Это ненормальное поведение оставалось незамеченным в течении многих меяцев. Долгое время служба

безопасности не могла идентифицировать нападающих. И связано это не с профессионализмом хакеров, а с

отстутвием необходимых защитных механизмов для мониторинга и анализа трафика доступа к БД, а также с

отсутствием каких-либо механизмов поведенческого анализа.

• Из отчета Anthem следует, что злоумышленники внедрили зловредный код в клиент СУБД. Используя

скомпрометированные учетные данные администраторов, атакующие смогли удаленно совершить массированную

утечку персональных данных клиентов.

JP Morgan Chase• Хакеры умудрились получить доступ во внутреннюю сеть банка, где находилось более 90 серверов

задействованных на операционную дейтельность. К моменту, когда сотрудники банка смогли идентифицировать

утечку в конце июля, злоумышленники уже успешно получили самый высокий уровень доступа к десяткам серверов.

До сих пор не очевидно, как хакеры смогли получить столь глубокий доступ к инфраструктуре.

• Хакеры получили полный список приложений и сервисов, который запущены в инфраструктуре банка, таким

образом получив детальную карту сети, которую можно использовать для дальнейшей компрометации ресурсов на

основе информации об известных уязвимостях в работающих приложениях и сервисах.


Описание утечек

Confidential4

Ebay:• Фишинговые атаки и методы социальной инженерии становятся все более популярными инструментами хакеров в

связи с дешевизной и простотой реализации. При этом зачастую злоумшлыенники начтолько проффесиональны,

что у жертвы не возникает ни малейшего сомнения о легитимнос ти собеседника..

• Одна из наиболее интересных деталей утечки в Ebay состоит в том, что хакеры получили полный доступ к сетевой

инфраструктуре за 229 дня. Несмотря на то, что этот срок может показаться очень долгим, в реальности он

достаточно мал в сравнение с масштабом утечки. При совершении утечек злоумышленнику необходимо быть

максимально аккуратным, чтобы оставаться незамеченным в течении продолжительного времени.

• С точки зрения службы ИБ заказчика, основная цель для них теперь – это минимизация сроков обнаружения атаки с

цифры 229 дней до 7-10 дней. Для достижения данной цели и обеспечения гарантированного обнаружения

необходимо не только внедрить средства защиты периметра, но и обеспечить всесторонний мониторинг всех

сервисов в режиме 24*7.

Target:• Утечка в компании Target произошла в связи с компрометации одного из контрагентов заказачика (Fazio Mechanical

Services, FSM). Компания FSM сама оказалась под атакой, в результате который были украдены учетные данные,

необходимые для компрометации сети Target, что показывает всю серьёзность риска для остальных ритейлеров в

будущем.

• Неизвестно, как злоумышленникам удалось получить доступ к внутренней сети и платежной системе Target, но сам

факт произошедшего очевидно говорит о нарушениях требований стандарта PCI DSS, которые впрямую обязывает

компании разделять платежную инфраструктуру, и внутреннюю корпоративную сеть. By allowing FSM to connect to its

internal networks. Передача ряда защитных механизмов на аутсорсинг сторонним организациям также послужила

причиной того, что атака не была вовремя идентифицирована и локализована.


Утечки в России

Следственный комитет: обращения граждан стали публичными:

• В декабре 2012 года на сайте Следственного комитета России в открытом доступе появились

тексты обращений граждан через интернет-приёмную. Всего около 30 тыс. сообщений, оставленных

за 2,5 года, оказалось в разделе «Новости».

Концерн «Тракторные заводы»: коммерческую тайну похитил экс-

сотрудник

• Гендиректор «ЧТЗ-Уралтрак», ранее работавший в КТЗ, организовал с помощью своих бывших

коллег хищение конструкторской документации, касающейся серийно изготавливаемых изделий и

перспективных разработок.

Мобильные операторы: инсайдеры слили переговоры чиновников

• Инсайдеры из ОАО «МТС» и ОАО «Вымпелком» с 2010 по 2012 год сливали информацию о

переговорах трёх абонентов — высокопоставленных российских чиновников. В «Вымпелкоме»

признали факт утечки информации через бывшего сотрудника.

Сайты-«купонаторы»: за базу интернет-покупателей просили 500

долл.

• Очередным событием, ударившим по репутации «купонаторов», стала утечка баз пользователей,

всего 760 тыс. человек. У 92 тыс. человек из базы помимо имён и адресов электронной почты

указаны также номера мобильных телефонов. Продавец базы просил за $500, рассчитывая

заработать на количестве проданных экземпляров.


Независимая аналитика – Verizon DBIR 2014

Confidential6


Типы злоумышленников, в % от общего числа инцидентов

Confidential7


Мотивация и вектора атак\инцидентов, в % от общего числа инцидентов

Confidential8


Атаки на Web – самая распространенная разновидность атак

Confidential9


Что такое OWASP Top 10?

Confidential10


OWASP 2013 List

Confidential11

https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks

https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks


Отчет Cisco по безопасности за 2014 год

Confidential12


Атаки на СУБД

Confidential13


Проблематика

Confidential14

Мотивация

• СУБД – ядро операционной деятельности

• Содержит конфиденциальную информацию компании

• Содержит информацию о клиентах компании

• Вывод СУБД из строя может парализовать работу компании

Способы

• Простые и доступные инструменты

• Появление более сложных многоступенчатых инструментов

совершения атак

Возможности

• Толстые клиенты

• Отсутствие внутренней безопасности

• Отсутствие защиты на уровне прикладных систем


Рейтинг угроз

Confidential15


Решения Imperva для защиты web-

приложений и СУБД

Confidential16


Ключевые системы и задачи по отраслям

Отрасль Критичные системы Задачи

Финансовые

компании

• АБС

• ДБО

• Процессинг

• Платежные системы

• Онлайн-сервисы

• Корпоративные ресурсы • Защита от мошенничества

• Обеспечение доступности

• Защита данных VIP

• Контроль действий

администраторов

• Управление правами

пользователей

• Ограничение доступа

• Защита ERP

• Защита онлайн-сервисов

• Соответствие

требованиям регуляторов

Страховые, онлайн

ритейл

• Личный кабинет пользователя

• Онлайн-сервисы

• Корпоративные ресурсы

• Логистика

Телеком • Биллинг


• Личный кабинет пользователя

• Услуги хостинга

• Облачные услуги

Госкомпании • Корпоративные ресурсы

• Госуслуги

• СМЭВ

• ГАСУ

ТЭК и

промышленность

• SCADA

• Система учета добычи\выработки

• ERP

• CRM



ФСТЭК 17\21\31

Confidential18

УПД.2 - Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись,

выполнение или иной тип) и правил разграничения доступа;

УПД.5 - Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам,

обеспечивающим функционирование информационной системы

УПД.9 - Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя ИС;

УПД.11 - Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификаии;

РСБ.3 – Сбор, запись и хранение информации о событиях безопасности в течение установленного времени;

РСБ.5 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ.7 - Защита информации о событиях безопасности

ОЦЛ.2 - Контроль целостности информации, содержащейся в базах данных информационной системы

ОЦЛ.5 - Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на

свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с

использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из

информационной системы

ОЦЛ.6 - Ограничение прав пользователей по вводу информации в информационную систему;

ОДТ.1 - Использование отказоустойчивых технических средств.

ОДТ.2 - Резервирование технических средств, программного обеспечения, каналов передачи информации, средств

обеспечения функционирования информационной системы

ЗИС.1 - Разделение в информационной системе функций по управлению (администрированию) информационной

системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных

функций информационной системы


InternalEmployees

Malicious InsidersCompromised Insiders

Data CenterSystems and Admins

Auditing and

Reporting Attack

Protection

Usage

Audit

User Rights

Management

Access

Control

Tech. Attack

Protection

Logic Attack

Protection

Fraud

Prevention

ExternalCustomers

Staff, PartnersHackers

User Rights Management

Assessment & Risk Management

Комплексный портфель решений

Imperva’s Mission is to Provide a Complete Solution


Комплексное решение для

защиты данных

Простота развертывания и

администрирования

Соответствие стандартам

информационной безопасности

Собственный

исследовательский центр

Повышение эффективности

Imperva SecureSphere


WAF

• Виртуальный патчинг

• Защита от атак (SQL code injection, XSS, directory traversal, RFI)

• Защита от атак на бизнес-логику (i.e. site scraping and comment spam)

• Защита от фрода

• Аудит использования

• MS SharePoint Protection

• Legacy Application Protection

• PCI 6.6

• Защита от утечек данных

DAM

• Виртуальный патчинг СУБД

• Аудит привелегированного доступа


• Ограничение доступа

• Data Across Borders Protection

• Защита от утечек

• Поиск и классификация

• Аудит доступа к конфиденциальной информации

• Защита данных VIP-клиентов

FAM


• Контроль доступа

• Поиск собственников

• Аудит доступа к конфиденциальной информации

• Перераспределение прав пользователей

• Защита данных VIP

• Поиск и классификация

Полноценная защита Web, Database, File и SharePoint

Примеры использования

Как Imperva поможет защитить данные?


Архитектура решения

SecureSpherefor SharePoint

File ActivityMonitoring

ManagementServer (MX)

DatabaseActivity

Monitoring

WebApplication

Firewall

INTERNET

ImpervaAgent

ImpervaAgent

NetworkMonitoring

NetworkMonitoring

NativeAudit

InternalUsers



Confidential23

Web Application Firewall – WAF


Гранулированная многоуровневая защита

Простое внедрение в любую инфраструктуру

Удобное и простое управление с технологией Dynamic Profiling

И многое другое...


Пожалуй лучший Web Application Firewall


Dynamic Profiling

Attack Signatures

HTTP Protocol Validation

Cookie Protection

Web Fraud DetectionFraud Prevention

Technical AttackProtection

Business Logic Attack Protection

Co

rre

late

d A

tta

ck

Va

lid

ati

on

IP Geolocation

IP Reputation

Anti-Scraping Policies

Bot Mitigation Policies

Комплексная безопасность требует обдуманной защиты приложений


Центр Imperva

ADC исследует

новые угрозы

по всему миру

Imperva Application Defense Center

Internal Users

SecureSphere

Web Servers

INTERNET

Системы

SecureSphere

обладают

новейшими

противомерами

Определение сканирования сети и самих

атак с помощью сигнатур

Сигнатуры определяют попытки сканирования и атаки


1. Globally tracks attack sources

ThreatRadarServers

Phishing Sites

Anonymous Proxy & TOR

Web Servers

Malicious IPs

3. Blocks malicious sources

2. Distributes feeds to WAF

ThreatRadar Reputation Services

- CONFIDENTIAL -27


SecureSphere останавливает атаки типаSQL Injection, XSS

Hacker SecureSphere WAF

/login.php?ID=5 or 1=1

SQL Injection SQL Injection Engine with

Profile Analysis

Signature, Protocol

Violations

Блокирование однозначных

соответствий, отправка подозрительных

запросов на дополнительный анализ

Продвинутый анализ значительно снижает уровень ложных срабатываний

SQL Injection Engine

блокирует даже нетиповые

атаки

Web Server


Анализируя трафик, SecureSphereавтоматически учит…

Directories

URLs

ПараметрыОжидаемое поведение

пользователя

Может как оповещать, так и блокировать отклонения от нормы

SecureSphere «изучает» защищаемое приложение


0

100

200

300

400

500

600

700

01.июн 06.июн 11.июн 16.июн 21.июн 26.июн

636

243

3233

7655 40 25 21 11 13 28 24 18

417 4 5 7 4 8 11 15 2 3 4 1

Сокращение сроков развертывания с месяцов до дней

Снимает нагрузку с администраторов

5-15 изменений в неделю равноценны 5-30 человекочасам

конфигурирования

Дата

Изм

ен

ен

ие

пр

оф

ил

я Изучение приложения и

поведения

Адаптация к изменениям

Динамическое профилирование во времени


Основные отличия Imperva WAF


Gartner MQ for Web Application Firewalls

Confidential32


WAF – второй год

подряд единственный

ЛИДЕР в области

межсетевых экранов

для web-приложений*


Концепция WAF Testing Framework (WTF)

• Инструмент для определения реальной эффективности IPS\NGFW\WAF при защите от веб-атак

• Комбинация легитимного и вредоносного трафика

• Оценка двух параметров:

• Good traffic being blocked (False Positives)

• Bad traffic being overlooked (False Negatives)

• Дает наглядное представление о балансе между безопасностью и непрерывностью бизнеса

• Скачивание и тестирование – бесплатно!



Confidential34

Database Security – DAM\DBF


Подходы к аудиту доступа к СУБД

Два распространенных подхода

1. Встроенные возможности СУБД по аудиту (Native Audit)

Различные варианты с использованием самописных

скриптов\анализаторов и\или интеграция с SIEM

2. Использование внешних решений для аудита

«Наложенные» решения, например Imperva


Проблемы Native Audit и решений, работающих на его базе

Сложность администрирования

Отсутствие видимости в трёхзвенной архитектуре

Отсутствие контроля привилегированных пользователей

и администраторов

Отсутствие сильных механизмов противодействия

атакам

Нет единого средства для гетерогенных сред

Потеря производительности на уровне 15-40%


Ключевой функционал Imperva

Поиск и

классификация

Поиск

«чувствительной»

информации •Поиск в активных базах

•Поиск мошеннических БД

•Определение областей

мониторинга

SecureSphere DAS

Rogue

SSN

Credit Cards

PII


Ключевой функционал

Активный аудит

Сбор и хранение

отчетности доступа к

БД•Соответствие

требованиям

регуляторов

•Проведение экспертизы

и анализа

DatabasesUsers

SecureSphere

DAM

Audit DetailsAudit Policies

Контроль

привилегированного

доступа

Мониторинг

привилегированных

пользователей•Разделение полномочий

•Мониторинг всей

активности

•Возможность

блокировки

Database AgentAppliancePrivileged

User

Audit Policies



Аналитика

Детализированный

лог аудита,

наглядные,

интеррактивные

отчеты•Ускоряет

расследование

инцидентов

•Упрощает compliance

Блокировка

Мониторинг

активности•Предотвращение

неавторизованного

доступа

•Активная защита

информации

UPDATE orders set client ‘first

Unusual Activity

X

Allow

Block

Network User,

DBAs, Sys Admin

X



Отчетность

Наглядный

интерфейс •Анализ угроз

•Упрощение

планирования ИБ

PCI, HIPAA, SOX…

Custom

Оповещение

Оповещение в

реальном

времени•Быстрое

определение

вектора атаки

•Предотвращение

утечек

Email

SYSLOG

Dashboard

SIEM


Сканирование уязвимостей БД и технология Virtual Patch, Scuba by Imperva

Свободно распространяемая

утилита для сканирования

уязвимостей и конфигураций

БД, включая информацию по

установленным обновлениям

Отчеты предоставляют

наглядную информацию по

актуальным угрозам.

Регулярное обновление ПО

Scuba гарантирует актуальность

встроенных в сканер проверок

- CONFIDENTIAL -


Scuba - Functionality

Scan databases – nearly 1,200 tests

• Vulnerabilities

• Configuration flaws

• Missing patches

5 reports

• Summary Report

• Assessment Report Summary

• Detailed Assessment Report with remediation

• Failed Tests Summary

• Informational Tests Summary

Supports: Oracle, Microsoft SQL, DB2 and Sybase, Informix and MySQLCONFIDENTIAL42

Database

Discovery

Data

Classification

Vulnerability

AssessmentsVirtual Patching

SecureSphere Discovery & Assessment ServerScuba

Vulnerability

Assessments


Поддержка СУБД



Confidential44

File Security – FAM\FFW


Сценарии использования

• Мониторинг и контроль доступа к конфиденциальной информации

• Защита от кражи информации

• Мониторинг и защита AD

Compliance

and Legal

• Аудит прав доступа

• Определение неиспользуемой информации

• Снижение рисков и повышение эффективности

Line of Business

IT Operations



Активный аудит доступа

Сбор и запись

детальной информации

по доступу к файловым

ресурсам

Выполнение требований

регуляторов

Расследование


Контроль

привелегированных

пользователей

Мониторинг ВСЕГО

доступа

Разделение полномочий в

рамках системы

Отслеживание всей

активности, в том числе и

локальнойFile Server Agent AppliancePrivileged User

Audit Policies

NAS & File

Servers

Users

SecureSphere

FAM

Audit Details

Audit Policies



Аналитика

Детализированный лог

аудита, наглядные,

интеррактивные отчеты•Ускоряет расследование


•Упрощает compliance

Блокировка

Мониторинг активности•Предотвращение

неавторизованного

доступа

•Активная защита


READ > 100 files in 1 hour

Unusual Activity

X

Allow

Block

User

X



Отчетность

Наглядный

интерфейс •Анализ угроз

•Упрощение

планирования ИБ

PCI, HIPAA, SOX…

Custom

Оповещение

Оповещение в

реальном времени•Быстрое

определение вектора

атаки

•Предотвращение

утечекEmail

SYSLOG

Dashboard

SIEM



Анализ прав

доступа

Анализ текущих прав

и их использования

Определение

собственников

Определение

завышенных прав

Реализация модели

“business-need-to-know”

READ

WRITE

CREATE

DELETE

Users Groups Permissions Objects

Report

User

Rights

AlertsVulnerability

Assign Priority ReviewDueDate

Approve Reject

Пересмотр и

утверждение прав

Возможность

предоставить право

решать владельцам


Информация должна

работать для бизнеса, но

не распространятся

свободно


Детальные результаты аудита

WhoWhatWhereWhen How


Предотвращение кражи информации и оповещение об утечках

Match Criteria

Match Criteria

Security Policy

Apply to File Servers


Оценка\переоценка прав доступа

Весь доступ к файлам

фиксируется и

отображается в отчете

Управляемый процесс

предоставления доступа


Модельный ряд

Confidential53


X1010 X2010 X2510 X4510 X6510

Throughput 100 Mbps 500 Mbps 500 Mbps 1Gbps 2 Gbps

HTTP TPS 8,000 22,000 22,000 36,000 44,000

Recommended

Web Servers10 50 50 100 200

FTL / Form Factor No (1U) No (1U) Yes (2U) Yes (2U) Yes (2U)

Total Ports 4 4 4 8 8

Storage capacity 500GB 500GB 2 x 500GB 2 x 1TB 2 x 1TB

SSL Acceleration N N Optional Optional Included

Fibre Channel,

LOM, or HSMN N Optional Optional Optional

High AvailabilityFail Open, VRRP,

IMPVHA

Fail Open, VRRP,

IMPVHA

Fail Open, VRRP,

IMPVHA

Fail Open, VRRP,

IMPVHA

Fail Open, VRRP,

IMPVHA

SecureSphere Hardware Appliances


SecureSphere Virtual Appliances

V1000 V2500 V4500

Web Throughput 100 Mbps 500 Mbps 1Gbps

HTTP TPS 8,000 22,000 36,000

Recommended

Web Servers10 50 100

Supported

ProductsWAF

WAF, DAM, DBF,

FAM, FFW

WAF, DAM, DBF,

FAM, FFW

Minimum Hardware Requirements

Hypervisor VMWare ESX/ESXi 3.5 (or later)

Processor Dual core server (Intel VTx or AMD-V)

Memory 2 GB

Hard Drive 250 GB

Network Interface Hypervisor-supported network interface card


Пример внедрения – UCS, используют систему Database Activity Monitoring

Confidential56

Выполнений требований стандарта PCI DSS

Контроль привелегированной активности, разделение

полномочий ИТ и ИБ

Переход от ручного аудита БД к

автоматизированному

Сокращение времени расследования инцидентов

Защищенное историческое хранение данных

http://www.cnews.ru/news/line/index.shtml?2014/04/10/5

67762

http://www.cnews.ru/news/line/index.shtml?2014/04/10/567762


Пример внедрения – Ростелеком, используют решения Imperva WAF+DAM

57

Защита онлайн-сервисов для территориально

распределенной структуры сети, в том числе защита

платежного терминала и личного кабинета пользователя

Установка «в разрыв» без помех и задержек для

работоспособности системы

Поведенческие профили и коррелированные политики

безопасности настроены для каждого отдельного сервиса

Приоритет при выборе решения был отдан Imperva из-за

продвинутого поведенческого движка в решениях WAF и

удобства управления системой, а также благодаря

многообразию задач, решаемых на базе единого

производителя


Пример внедрения – Росимущество, используют Imperva Database Activity Monitoring

Confidential58

Выполнение требований регуляторов в части защиты

ПДн, хранимых в БД

Автоматизация процесса аудита доступа к БД и

получение независимого инструмента мониторинга

событий ИБ

Проведение полной инвентаризации с нахождением

сущностей БД и информации внутри них, а также аудита

прав доступа к информации по различным ролям

Прозрачное развертывание в сети

www.rosim.ru/Attachment.aspx?Id=10041

http://www.rosim.ru/Attachment.aspx?Id=10041


Пример внедрения – крупный металлургический холдинг использует Imperva WAF+DAM для защиты критичных систем

Confidential59

Защита системы учета метала на базе СУБД Oracle

Выявление реальных мошеннических действий со

стороны ответственного персонала

Обеспечение полной прозрачности действий и запросов

пользователей в трехзвенной модели доступа

Аудит привелегированной активности с помощью

агентов на серверах БД

Соответствие требованиям законодательства


Вопросы?

60 Confidential

www.imperva.com

[email protected]

http://www.imperva.com/


[email protected]

Илья Яблонко,

менеджер по развитию решений

информационной безопасности

ООО «Уральский центр систем безопасности»

+7 912 607 55 66

[email protected]

Webinar19 августа 2015 г.

www.USSC.ru Imperva, держи марку!

mailto:[email protected]

mailto:[email protected]