Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Владимир Илибман
Менеджер направления ИБ в странах СНГ
CISSP, CCSP
Интегрированная защита Cisco: реагируй на угрозы быстрее
1.Эволюция кибератак
2.Как связаны безопасность и время
реагирования
3.Как Cisco уменьшает общее время
реагирования на атаки
О чем будем говорить
Развлечение
Шпионаж
Финансовая выгода
Что двигает кибервзломы
© 2015 Cisco and/or its affiliates. All rights reserved. 3
Зависть
Идеология
А теперь немного статистики 2016 Data Breach Investigations Report
Кто обычно является целью атаки ?
2016 Data Breach Investigations Report
Глобальный
рынок кибер-
преступности:
$450BБанковский аккаунт>$1000
зависит от типа и баланса
$
DDoS as a Service
~$50/час
DDoS
Медицинские записи>$50
Мобильное ВПО$150
Разработка вредоносного кода
$2500(коммерческое ВПО)
Ransomware$200-300
Аккаунт Facebook$1 за аккаунт с 15 друзьями
Данные кредиток$0.25−$60
Спам$50/500K emails
Эксплойты$100k-$300K
Как хакеры зарабатывают деньги?
Пример монетизации хакеров –программы-шифровальщики
XX век XXI век
Прямые атаки формируют большие доходыБолее эффективны и более прибыльны
Фокус злоумышленников смещается на банки
Эволюция атак на банки
20001990 1995 2005 2010 2015 2020
Target
Украдены карточки клиентов $100M.
Carbanak Attack
Глобально
похищено <$1B из100+ банков.
Dark Seoul - Troy
Преступники вмешались в работу банкоматов $780M .
Операция High Roller
Преступники украли деньги пользователей $60M – $2B.
Ascend
Преступники украли деньги юрлиц $1M.
Атака на SWIFT
Атака на ПО SWIFT Alliance
Access. Украдено $951 млн долларов .
Sandroid
Украдены деньги пользователей
Вирусы1990–2000
Черви2000–2005
Шпионское ПО и руткиты2005–Today
Направленные кибератакиToday +
Атака на SWIFT
http://baesystemsai.blogspot.ru/2016/04/two-bytes-to-951m.html
Потери в банковской сфере России
1. Киберпреступники украли в России более 5,5 миллиарда
рублей за 2015-2016
2. При этом большая часть ущерба — 2,5 миллиарда рублей —
пришлась на российские банки, увеличившись в четыре раза.
3. В 2 раза уменьшилось число атак на юридических лиц в
интернет-банкинге — у них хакеры за год украли 956
миллионов рублей.
4. На 83% снизились хищения через вирусы для персональных
компьютеров — физлица потеряли 6,4 миллиона.
Источник: Group-IB
Угрозы Внутренняя сетьПериметр
Email-вектор
Web-вектор
3Жертва
кликает на
резюме
Инсталляция бота, установка
соединения с сервером C24 5Сканирование LAN и поиск
привилегированных
пользователей
Проведение транзакций, хищение
данных, выведение из строя
систем
7
Посылка фальшивогорезюме([email protected])
2
Адми
н
Изучение жертвы (SNS)
1
Привилегированные
пользователи найдены.6
Админ ЦОДПК
Елена
Иванова
Елена Иванова• HR-координатор
• Нужны инженеры
• Под давлением времени
Анатомия современной атаки
1. РазведкаСбор информации для
создания стратегии атаки
и инструментов для атаки
2. ВооружениеОбъединение эксплоита с
уязвимостью в
запускаемый код
3. ДоставкаДоставка бандла жертве
через email, web, USB и
т.д.
4. ЭксплуатацияЭксплуатация уязвимости
для выполнения кода на
системе жертвы
5. ИнсталляцияУстановка malware на
компьютере жертвы
6. Command & ControlКомандный канал для
удаленной манипуляции
системой жертвы
7. Действия по целиС полным доступом к системе нарушитель достигает своей
цели
Подготовка Вторжение Активная брешь
Цепочка атаки “Kill Chain”
CRISIS REGION
Время
Хищение
*
Обнаружение
*
Устранение уязвимости
*
КРИЗИС
Разведка
*
Компрометация
*Оповещение
Нарисуем атаку с точки зрения финансовых потерь
Чем дольше атака незамеченная, тем больше потери
$$
Стоимость
инцидента
Source: Verizon 2016 Data Breach Investigations Report and Ponemon Cost of Data Breach Study 2016
0
50
100
150
200
250
Компрометация Хищение Обнаружение Устранение
Секунды Минуты Часы Дни
Атакующие выигрывают соревнования по скорости
Атакующий Жертва
Время реагированияTotal Time to
Detection (TTD)Компрометация Обнаружение
CRISIS REGION
$$
Стоимость
инцидента
Время
Хищение
*
Обнаружение
*
Устранение уязвимости
*
КРИЗИС
Разведка
*
Компрометация
*
ВЫИГРАННОЕ
ВРЕМЯ
*Пресечение
*Оповещение
*Обнаружение
*Устранение
уязвимости
Новое измерение – время реагирования
Задача: выиграть время и уменьшить риски
Как можно уменьшить время реагирования?
Одних технических мер недостаточно
Объединение людей, процессов и технологий
*Adapted from Cisco’s Program Assessment Service
21
Защита от атак
Реагирование
на инциденты
Мониторинг угроз
Стратегия
ОбучениеЗащита от
вредон. ПО
Стратегия и процессы безопасности
Утверждены
постановлением Правительства
Республики Казахстан
от 20 декабря 2016 года № 832
Как технологии Cisco уменьшают время реагирования (TTD)
против.
Более эффективно против сложных хакерских атак Намного быстрее чем среднее время выявление взломов в индустрии
*Source Cisco Midyear Security Report, 2016
дней в среднем для
индустрии
200часов для
Cisco
~13
Интегрированная многоуровневая защита способна значительно уменьшить время реагирования
Обмен
информацией
Многоуровневая
политика ИБ
Аналитика
угроз
Типичная цепочка атаки для ПО криптовымогателей“ransomware”
Эксплуатация
уязвимости
Загрузка
основного кода
криптовымогателя
Пользователь
нажимает на
вредоносную
ссылку
Шифрование с
использованием
ассиметричных
алгоритмов
Подключение к
инфраструктуре
хакеров
Письмо с вредоносным вложением
Файлы
недоступны
!
Запуск Эксплуатация Инсталляция Колл-бэк
Многоуровневая защита может значительно улучшить TTD
Эксплуатация
уязвимости
Загрузка
основного кода
криптовымогателя
Пользователь
нажимает на
вредоносную
ссылку
Шифрование с
использованием
ассиметричных
алгоритмов
Подключение к
инфраструктуре
хакеров
Письмо с вредоносным вложением
Файлы
недоступны
!
Защита эл. почты
Защита endpoint
Безопасность DNS
Защита от атак
Защита от нескольких векторов на всех этапах атаки намного надежнее точечных средств безопасности
Защита на всех этапах атаки критически важна для уменьшения TTD
Сеть Оконечные
устройства
Мобильные
устройства
Виртуализация Облако
В определенный
момент
Непрерывный
анализ
Аналитка угроз
X
ВО ВРЕМЯВыявление
Блокирование
Защита
ПОСЛЕВидимость
СдерживаниеУстранениеУстранение
ДОКонтроль
Предотвращение
Внедрение
политик
От модели к технологиям
ДОКонтроль
Предотвращение
Внедрение
политик
ВО ВРЕМЯ ПОСЛЕВыявление
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Аналитика угроз
МСЭ
Приложения
VPN
Патчи
Уязвимости
IAM/NAC
IPS
Антивирус
Email/Web
IDS
Анализ
поведения
Расследования
AMP
Log Mgmt
SIEM
Портфолио Cisco учитывает данную модель
ДОКонтроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕОбнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Эко
ном
ика
Соотв
етс
тви
е
норм
ати
вны
м
треб
овани
ям
Анализ и исследование угроз Talos
ASA
FirePOWER
ISE
AnyConnect
Meraki
Umbrella
NGIPS / AMP
Web Security
Email Security
AMP
Umbrella
Investigate
StealthWatch
ThreatGrid
FirePOWER
SIEM / SOC
услуги
Крупнейшая в индустрии база знаний по безопасности
00I00 I00I0I II0I0I 0II0I I0I00I0I0 0II0I0II 0I00I0I I0 00
II0III0I 0II0II0I II00I0I0 0I00I0I00 I0I0 I0I0 I00I0I00
III00II 0II00II I0I0II0II0 I0 I0 I00 00I0 I000 0II0 00
III00II I000I0I I000I0I I000I0I II 0I00 I0I000 0II0 00
00I I0I0I0 I0I0III000 I0I00I0I 0II0I0 I00I0I0I0I 000
II0II0I0I0I I0I0I0I 0I0I0I0I 0I0I00I0 I0I0I0I 0II0I0I0I
0II00 I00I0I0 0I00I0I I00I0I0 I0I0I0I 0I0I0I 0I0I0I0
00I0I0 0I0I0I0 I0I0I00I 0I0I 0I0I 0I0I I0I0I 0I00I0I
III00II 0II00II I0I000 0II0 00I0I00 I0 I000I0I 0II 0I0I0I
III00II 0II00II 0I0I0I0I 0I I0 I00 000II0 I0I0 0II0 00
Действует
24 7 365
100 TB обрабатываемых данных
1.5 миллионовобразцов вредоносного ПО
600 миллиардовпочтовых сообщений
16 биллионовВеб запросов
МИЛЛИОНЫ агентов
телеметрии
4 Глобальных ЦОДов
Более 100 партнеров
для обмена информацией
об угрозах
250+ исследователей по
безопасности
Демонстрация обмена информацией об угрозах
Взаимосвязь между продуктами снижает время реагирование
Network
ISR/ASR
Advanced
Malware
Cisco Umbrella
WebW W W
ISE
NGFW/
NGIPS
Threat Grid
Stealthwatch
Событие
Аналитика угроз
Политики
Угрозы Внутренняя сетьПериметр
Интегрированная защита работает постоянно
ESA
WSA
CWS
FirePOWER
3 4 5
8 7
2
Админ
1
6
Админ ЦОДПКЕлена
Иванова
Елена Иванова• HR-координатор
• Нужны инженеры
• Под давлением времени
TALOS
Talos
THREAT GRID
STEALTHWATCH
NGIPSAMP ISE
Подозрительные
письма
блокируются с
помощью ESA, а
вложения
анализируются
2
• FirePOWER выявлет атаки и
блокируют передачу malware5
Происходит анализ идентификация
нового вредоносного кода и
блокировка его на всех уровнях сети 7
Блокируются попытки подключения к
командным центрам C&C
8
Динамический анализ работы
приложений с помощью AMP
3
• StealthWatch выявляет аномальное
поведение
• ISE ограничивает доступ6
Решения
безопасности
получают
актуальную
аналитику от
Талос 1
OpenDNS
INVESTIGATE
OpenDNS
UMBRELLAПервичное
подключение к С&C
блокируется
OpenDNS/Umbrella
4
Уменьшение времени реагирования
39
Обучение
пользователей
угрозам и
передовым
практикам ИБ
Построить
процесс
мониторинга
угроз и атак
Измерение
времени
реагирования
Защита от
продвинутого
вредоносного
кода
Мониторинг
аномальной
активности для
сети и хостов
Разработать
план
реагирования
на инциденты
Люди Процессы Технологии