Владимир Илибман

Менеджер направления ИБ в странах СНГ

CISSP, CCSP

Интегрированная защита Cisco: реагируй на угрозы быстрее

1.Эволюция кибератак

2.Как связаны безопасность и время

реагирования

3.Как Cisco уменьшает общее время

реагирования на атаки

О чем будем говорить

Развлечение

Шпионаж

Финансовая выгода

Что двигает кибервзломы

© 2015 Cisco and/or its affiliates. All rights reserved. 3

Зависть

Идеология

А теперь немного статистики 2016 Data Breach Investigations Report

Кто обычно является целью атаки ?

2016 Data Breach Investigations Report

Глобальный

рынок кибер-

преступности:

$450BБанковский аккаунт>$1000

зависит от типа и баланса

$

DDoS as a Service

~$50/час

DDoS

Медицинские записи>$50

Мобильное ВПО$150

Разработка вредоносного кода

$2500(коммерческое ВПО)

Ransomware$200-300

Аккаунт Facebook$1 за аккаунт с 15 друзьями

Данные кредиток$0.25−$60

Спам$50/500K emails

Эксплойты$100k-$300K

Как хакеры зарабатывают деньги?

Пример монетизации хакеров –программы-шифровальщики

XX век XXI век

Прямые атаки формируют большие доходыБолее эффективны и более прибыльны

Фокус злоумышленников смещается на банки

Эволюция атак на банки

20001990 1995 2005 2010 2015 2020

Target

Украдены карточки клиентов $100M.

Carbanak Attack

Глобально

похищено <$1B из100+ банков.

Dark Seoul - Troy

Преступники вмешались в работу банкоматов $780M .

Операция High Roller

Преступники украли деньги пользователей $60M – $2B.

Ascend

Преступники украли деньги юрлиц $1M.

Атака на SWIFT

Атака на ПО SWIFT Alliance

Access. Украдено $951 млн долларов .

Sandroid

Украдены деньги пользователей

Вирусы1990–2000

Черви2000–2005

Шпионское ПО и руткиты2005–Today

Направленные кибератакиToday +

Атака на SWIFT

http://baesystemsai.blogspot.ru/2016/04/two-bytes-to-951m.html

Потери в банковской сфере России

1. Киберпреступники украли в России более 5,5 миллиарда

рублей за 2015-2016

2. При этом большая часть ущерба — 2,5 миллиарда рублей —

пришлась на российские банки, увеличившись в четыре раза.

3. В 2 раза уменьшилось число атак на юридических лиц в

интернет-банкинге — у них хакеры за год украли 956

миллионов рублей.

4. На 83% снизились хищения через вирусы для персональных

компьютеров — физлица потеряли 6,4 миллиона.

Источник: Group-IB

Угрозы Внутренняя сетьПериметр

Email-вектор

Web-вектор

3Жертва

кликает на

резюме

Инсталляция бота, установка

соединения с сервером C24 5Сканирование LAN и поиск

привилегированных

пользователей

Проведение транзакций, хищение

данных, выведение из строя

систем

7

Посылка фальшивогорезюме(you@gmail.com)

2

Адми

н

Изучение жертвы (SNS)

1

Привилегированные

пользователи найдены.6

Админ ЦОДПК

Елена

Иванова

Елена Иванова• HR-координатор

• Нужны инженеры

• Под давлением времени

Анатомия современной атаки

1. РазведкаСбор информации для

создания стратегии атаки

и инструментов для атаки

2. ВооружениеОбъединение эксплоита с

уязвимостью в

запускаемый код

3. ДоставкаДоставка бандла жертве

через email, web, USB и

т.д.

4. ЭксплуатацияЭксплуатация уязвимости

для выполнения кода на

системе жертвы

5. ИнсталляцияУстановка malware на

компьютере жертвы

6. Command & ControlКомандный канал для

удаленной манипуляции

системой жертвы

7. Действия по целиС полным доступом к системе нарушитель достигает своей

цели

Подготовка Вторжение Активная брешь

Цепочка атаки “Kill Chain”

CRISIS REGION

Время

Хищение

*

Обнаружение

*

Устранение уязвимости

*

КРИЗИС

Разведка

*

Компрометация

*Оповещение

Нарисуем атаку с точки зрения финансовых потерь

Чем дольше атака незамеченная, тем больше потери

$$

Стоимость

инцидента

Source: Verizon 2016 Data Breach Investigations Report and Ponemon Cost of Data Breach Study 2016

0

50

100

150

200

250

Компрометация Хищение Обнаружение Устранение

Секунды Минуты Часы Дни

Атакующие выигрывают соревнования по скорости

Атакующий Жертва

Время реагированияTotal Time to

Detection (TTD)Компрометация Обнаружение

CRISIS REGION

$$

Стоимость

инцидента

Время

Хищение

*

Обнаружение

*

Устранение уязвимости

*

КРИЗИС

Разведка

*

Компрометация

*

ВЫИГРАННОЕ

ВРЕМЯ

*Пресечение

*Оповещение

*Обнаружение

*Устранение

уязвимости

Новое измерение – время реагирования

Задача: выиграть время и уменьшить риски

Как можно уменьшить время реагирования?

Одних технических мер недостаточно

Объединение людей, процессов и технологий

*Adapted from Cisco’s Program Assessment Service

21

Защита от атак

Реагирование

на инциденты

Мониторинг угроз

Стратегия

ОбучениеЗащита от

вредон. ПО

Стратегия и процессы безопасности

Утверждены

постановлением Правительства

Республики Казахстан

от 20 декабря 2016 года № 832

Как технологии Cisco уменьшают время реагирования (TTD)

против.

Более эффективно против сложных хакерских атак Намного быстрее чем среднее время выявление взломов в индустрии

*Source Cisco Midyear Security Report, 2016

дней в среднем для

индустрии

200часов для

Cisco

~13

Интегрированная многоуровневая защита способна значительно уменьшить время реагирования

Обмен

информацией

Многоуровневая

политика ИБ

Аналитика

угроз

Типичная цепочка атаки для ПО криптовымогателей“ransomware”

Эксплуатация

уязвимости

Загрузка

основного кода

криптовымогателя

Пользователь

нажимает на

вредоносную

ссылку

Шифрование с

использованием

ассиметричных

алгоритмов

Подключение к

инфраструктуре

хакеров

Письмо с вредоносным вложением

Файлы

недоступны

!

Запуск Эксплуатация Инсталляция Колл-бэк

Многоуровневая защита может значительно улучшить TTD

Эксплуатация

уязвимости

Загрузка

основного кода

криптовымогателя

Пользователь

нажимает на

вредоносную

ссылку

Шифрование с

использованием

ассиметричных

алгоритмов

Подключение к

инфраструктуре

хакеров

Письмо с вредоносным вложением

Файлы

недоступны

!

Защита эл. почты

Защита endpoint

Безопасность DNS

Защита от атак

Защита от нескольких векторов на всех этапах атаки намного надежнее точечных средств безопасности

Защита на всех этапах атаки критически важна для уменьшения TTD

Сеть Оконечные

устройства

Мобильные

устройства

Виртуализация Облако

В определенный

момент

Непрерывный

анализ

Аналитка угроз

X

ВО ВРЕМЯВыявление

Блокирование

Защита

ПОСЛЕВидимость

СдерживаниеУстранениеУстранение

ДОКонтроль

Предотвращение

Внедрение

политик

От модели к технологиям

ДОКонтроль

Предотвращение

Внедрение

политик

ВО ВРЕМЯ ПОСЛЕВыявление

Блокирование

Защита

Видимость

Сдерживание

Устранение

Ландшафт угроз

Аналитика угроз

МСЭ

Приложения

VPN

Патчи

Уязвимости

IAM/NAC

IPS

Антивирус

Email/Web

IDS

Анализ

поведения

Расследования

AMP

Log Mgmt

SIEM

Портфолио Cisco учитывает данную модель

ДОКонтроль

Применение

Усиление

ВО ВРЕМЯ ПОСЛЕОбнаружение

Блокирование

Защита

Видимость

Сдерживание

Устранение

Ландшафт угроз

Эко

ном

ика

Соотв

етс

тви

е

норм

ати

вны

м

треб

овани

ям

Анализ и исследование угроз Talos

ASA

FirePOWER

ISE

AnyConnect

Meraki

Umbrella

NGIPS / AMP

Web Security

Email Security

AMP

Umbrella

Investigate

StealthWatch

ThreatGrid

FirePOWER

SIEM / SOC

услуги

Крупнейшая в индустрии база знаний по безопасности

00I00 I00I0I II0I0I 0II0I I0I00I0I0 0II0I0II 0I00I0I I0 00

II0III0I 0II0II0I II00I0I0 0I00I0I00 I0I0 I0I0 I00I0I00

III00II 0II00II I0I0II0II0 I0 I0 I00 00I0 I000 0II0 00

III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00

00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000

II0II0I0I0I I0I0I0I 0I0I0I0I 0I0I00I0 I0I0I0I 0II0I0I0I

0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0

00I0I0 0I0I0I0 I0I0I00I 0I0I 0I0I 0I0I I0I0I 0I00I0I

III00II 0II00II I0I000 0II0 00I0I00 I0 I000I0I 0II 0I0I0I

III00II 0II00II 0I0I0I0I 0I I0 I00 000II0 I0I0 0II0 00

Действует

24 7 365

100 TB обрабатываемых данных

1.5 миллионовобразцов вредоносного ПО

600 миллиардовпочтовых сообщений

16 биллионовВеб запросов

МИЛЛИОНЫ агентов

телеметрии

4 Глобальных ЦОДов

Более 100 партнеров

для обмена информацией

об угрозах

250+ исследователей по

безопасности

Демонстрация обмена информацией об угрозах

Взаимосвязь между продуктами снижает время реагирование

Network

ISR/ASR

Advanced

Malware

Cisco Umbrella

WebW W W

ISE

Email

NGFW/

NGIPS

Threat Grid

Stealthwatch

Событие

Аналитика угроз

Политики

Угрозы Внутренняя сетьПериметр

Интегрированная защита работает постоянно

ESA

WSA

CWS

FirePOWER

3 4 5

8 7

2

Админ

1

6

Админ ЦОДПКЕлена

Иванова

Елена Иванова• HR-координатор

• Нужны инженеры

• Под давлением времени

TALOS

Talos

THREAT GRID

STEALTHWATCH

NGIPSAMP ISE

Подозрительные

письма

блокируются с

помощью ESA, а

вложения

анализируются

2

• FirePOWER выявлет атаки и

блокируют передачу malware5

Происходит анализ идентификация

нового вредоносного кода и

блокировка его на всех уровнях сети 7

Блокируются попытки подключения к

командным центрам C&C

8

Динамический анализ работы

приложений с помощью AMP

3

• StealthWatch выявляет аномальное

поведение

• ISE ограничивает доступ6

Решения

безопасности

получают

актуальную

аналитику от

Талос 1

OpenDNS

INVESTIGATE

OpenDNS

UMBRELLAПервичное

подключение к С&C

блокируется

OpenDNS/Umbrella

4

Уменьшение времени реагирования

39

Обучение

пользователей

угрозам и

передовым

практикам ИБ

Построить

процесс

мониторинга

угроз и атак

Измерение

времени

реагирования

Защита от

продвинутого

вредоносного

кода

Мониторинг

аномальной

активности для

сети и хостов

Разработать

план

реагирования

на инциденты

Люди Процессы Технологии