Embed Size (px)
Citation preview
© Copyright Fortinet Inc. All rights reserved.
СТРАТЕГИЧЕСКИЙ ПОДХОД К ПРОТИВОДЕЙСТВИЮ СОВРЕМЕННЫМ УГРОЗАМАлексей Андрияшин
6 октября 2016
#codeIB/Екатеринбург
2
ВЕЛИКОЕ ПРОТИВОСТОЯНИЕ… ПРОДОЛЖАЕТСЯ
#codeIB
3
НЕОБХОДИМЫ СЕРЬЕЗНЫЕ РЕСУРСЫВ глобальном масштабе только несколько групп имеют возможности, навыки, необходимое финансирование и инфраструктуру для осуществления APTКитай APT1. Подразделение 61398 Народно-освободительной армии Китая (People’s Liberation Army (PLA’s) Unit 61398). Начиная с 2006 г. скомпрометировала 141 организацию из 20 основных отраслей промышленности. Имеет четко определенную методологию атаки. Похищение больших объемов ценной интеллектуальной собственности;В 87% случаев штаб-квартиры этих компаний находились в англо-говорящих странах
Россия В российской армии появится новый род войск, который будет заниматься борьбой с киберугрозами и будет отвечать за информационную безопасность страны - сообщает РИА Новости со ссылкой на собственный источник в Министерстве обороны РФ
США Кибернетическое командование США (англ. United States Cyber Command, USCYBERCOM) — подразделение вооружённых сил США, находящееся в подчинении стратегического командования США. Основными задачами командования являются централизованное проведение операций кибервойны, управление и защита военных компьютерных сетей США. http://www.rg.ru/2013/07/05/cyberwar-site-anons.html
http://en.wikipedia.org/wiki/United_States_Cyber_Commandhttp://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
9ec4c12949a4f31474f299058ce2b22a
9ec4c12949a4f31474f299058ce2b22a
#codeIB
4
ЖИЗНЕННЫЙ ЦИКЛ APT (ATA)
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
…от 1 дня до 2+ лет…
Начальный этап
внедрения
Создание плацдарма
Повышение привилегий
Сбор информацииНачальная
разведка
Поддержка присутствия
Основнаядеятельность
Завершениемиссии
#codeIB
5
Q2 2014 (IDC):
301.3M Smart Phones Shipped
Android 84.7% Market
February:
Drive-By Mobile
(DriveGenie)
June:
Pletor Mobile Ransom
(Doc Encryption)
July:
Dorkbot/Ngrbot
Kamikaze
КАРТА УГРОЗ
Feb 13
IoT:The Moon WormLinksys Routers
HeartbleedVulnerable OpenSSL
Apr 07
Apple iCloudRansomware
$100 EUROleg Pliss
May 26 Jun 23
Havex RATOPC Server Spy
Aug 05
Cybervor1.2B User & Pass
500M emails
Aug 15
Supervalu Data Breach,200 Stores Affected
Evernote Hack164,644 Forum
Members
Jun 10Evernote Hack
50M UsersMar2013
http://threatmap.fortiguard.com/
6
ОБЪЕДИНЕНИЕ УСИЛИЙ
Инновации
Возможно ли
использовать
накопленный опыт?
Платформы
Исследования
Широкий мониторинг угроз –
Партнерство и уникальный
подход
Fortinet, McAfee, Palo Alto Networks и Symantec совместно создали первый альянс по противостоянию киберугрозам
#codeIB
7
МОДЕЛЬ ПРЕДОТВРАЩЕНИЯ УГРОЗ (ATP VS APT)
ПредотвращениеУменьшение количества атак
Анализ и блокирование известных угроз
Техники:VPN, Authentication,
Network Access Control, SSL, App Controls, User ID, IPS, AV,
Antispam, IP Reputation, Web Filtering
ОпределениеОпределение неизвестных угрозАнализ поведенияВыявление тенденций
Техники: Sandboxing, мониторинг, управление, отчетность, корреляция
Снижение рисковИзучение и анализ новых угроз
Создание новых методов защитыснижение неопределенности
Техники:Карантин, новые сигнатуры, IP репутация, категоризация,
патч-менеджмент, инцидент-менеджмент
#codeIB
8
FORTIGUARD Anti - Spam
Web Filtering
IPS
Antivirus
App Control
IP ReputationFortiGuard
Лаборатория
FDNServices
FortinetУстройства
Консолидация
FortiGuardСервисы
DLP
#codeIB
9
ЗАЩИЩЕННАЯ СЕТЬ ОТ FORTINET
FortiDBDatabaseProtection
FortiClientEndpoint Protection, VPN
FortiTokenTwo Factor Authentication
FortiSandboxAdvanced ThreatProtection
FortiClientEndpoint Protection
FortiGateNGFW
FortiAuthenticatorUser Identity Management
FortiManagerCentralized Management
FortiAnalyzerLogging, Analysis,Reporting
FortiADCApplicationDelivery Control
FortiWebWeb Application Firewall
FortiGateDCFW
FortiGateInternal NGFW
FortiDDoSDDoS Protection
FortiMailEmail Security
FortiGateVMXSDN, Virtual Firewall
FortiAPSecure Access Point
DATA CENTER
BRANCHOFFICE
CAMPUS
FortiGateCloud
FortiWiFiUTM
FortiGateTop-of-Rack
FortiCameraIP Video Security
FortiVoiceIP PBX Phone System
FortiGateNext Gen IPS
FortiExtenderLTE Extension
Secure Wireless
Switching
Advanced Threat Protection
Authentication & Tokens
Application Security
Application Delivery/SLB
Endpoint Security
IP PBX and Phones
IP Video Surveillance
More…
Secure Wireless
Switching
Advanced Threat Protection
Authentication & Tokens
Application Security
Application Delivery/SLB
Endpoint Security
IP PBX and Phones
IP Video Surveillance
More…
#codeIB
10
• Эшелонированная безопасность• Высокая скорость реакции
СИНЕРГИЯ ПРИ ПРЕДОТВРАЩЕНИИ УГРОЗ
IPSIPS
AntivirusAntivirus
Anti-SpamAnti-Spam
IP Reputation
IP Reputation
Web Filtering
Web Filtering
App Control
App Control
ОСНОВНАЯ ЗАДАЧА – РАЗОРВАТЬ ЦЕПЬ УГРОЗ И РАЗРУШИТЬ ЛОГИКУ APT
#codeIB
11
Спам фильтр существенно снижает объем спама, содержащего вредоносные ссылки, инфицированные файлы с низким уровнем ошибок и с высокой производительностью
Методы определения: – Глобальная спам фильтрация: IP репутация + база обширная
актуальная база сигнатур– Детальная фильтрация: запрещенные слова, черные белые
списки, эвристика, грейлистинг…– Постоянный сбор данных– Блокирование источника распространения спама– Детальные политики
АНТИСПАМ
Цель: доставить ссылку на вредоносный ресурсIPSIPS
AntivirusAntivirus
Anti-spamAnti-spam
IP Reputation
IP Reputation
Web Filtering
Web Filtering
App Control App Control
#codeIB
12
АНТИСПАМ
#codeIB
FortiGate как антиспам шлюз• Тегирование или блокирование нежелательного почтового трафика
• Локальные и облачные базы FortiGuard для определения спама
• Определение мошеннических сообщений
FortiMail для анализа почтового трафика• Анализ сессий, контента, репутации
отправителя и многое другое…
• Карантин подозрительных (или рискованных) объектов для дополнительного анализа
• Использование «песочницы» для дополнительного анализа
Email Traffic
WebFiltering
AV Anti-Botnet
Code Emulation
OS Sandbox
IPSIPS
AntivirusAntivirus
Anti-spam
Anti-spam
IP Reputati
on
IP Reputati
on
Web Filtering
Web Filtering
App Control
App Control
13
ВЭБ ФИЛЬТРАЦИЯ
Вэб фильтры ограничивают доступ к вредоносному и нежелательному контенту.
Блокировка по категориям, фиксированным спискам и отдельным страницам.
+ 78 категорий+ 250 млн ресурсов
IPSIPS
AntivirusAntivirus
Anti-spamAnti-spam
IP Reputation
IP Reputation
Web Filtering
Web Filtering
App Control App Control
Цель: заманить пользователя на вредоносный ресурс
#codeIB
14
• 78 Категорий в 6 группах• Более 250 млн URL• 70 языков• 40-80 млрд обращений в неделю• 40K URL проходят автоматическую категоризацию ежедневно
• 96% посещаемых сайтов категорированы• Участник Internet Watch Foundation (IWF)
Точное определение Точное определение
Низкий уровень ошибок Низкий уровень ошибок
Автоматическое определениеАвтоматическое определение
ВЭБ ФИЛЬТРАЦИЯ
#codeIB
IPSIPS
AntivirusAntivirus
Anti-spamAnti-spam
IP Reputation
IP Reputation
Web Filtering
Web Filtering
App Control App Control
15
• IPS защищает как от известных так и скрытых сетевых угроз
постоянно анализируя поток данных на сетевом уровне• Методы определения:
- сигнатурный, статистический, поведенческий
анализ;
- активный анализ и автоматический контроль данных;
- предотвращение атак и блокирование источника угроз;
IPS – ОПРЕДЕЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ УГРОЗ
+ 8000 сигнатур+ 3000 приложений
Цель: получить контроль над приложением или устройствомIPSIPS
AntivirusAntivirus
Anti-spamAnti-spam
IP Reputation
IP Reputation
Web Filtering
Web Filtering
App Control App Control
#codeIB
16
IPS сигнатуры Over 8,000+ Signatures Интегрированная FortiGuard IPS энциклопедия атак Защита от Zero-day угроз Добавление собственных сигнатур Поведенческий анализ Сигнатуры для индустриальных решений Карантин, подробный анализ трафика
DOS защита Набор пороговых значений для различных типов
сетевых операций FortiDDoS – исключительная защита от DDoS атак
Варианты развертывания В зеркальном режиме Байпасс & FortiBridge
2015 NSS Labs Next Generation IPS
#codeIB
IPS – ОПРЕДЕЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ УГРОЗ
17
Контроль приложений защищает от атак,
контролируя активность и использование сетевых приложений
КОНТРОЛЬ ПРИЛОЖЕНИЙЦель: утилизация ресурсов, неавторизованный доступ, скрытая передача данных IPSIPS
AntivirusAntivirus
Anti-spamAnti-spam
IP Reputation
IP Reputation
Web Filtering
Web Filtering
App Control App Control
#codeIB
18
КОНТРОЛЬ ПРИЛОЖЕНИЙ
#codeIB
Более 3,300+ сигнатур, 19 категорий Интерактивное оповещение пользователей
через FortiBar или HTTP сообщения Детальный анализ трафика приложений
Шейпинг трафика приложений Поддержка протокола SPDY Анализ SSH Изменяемые сигнатуры
19
Защищает от новейших угроз на уровне данных, путем обнаружения и удаления вредоносного ПО
Методы определения:– расширенный эвристический анализ данных для определения
вирусов и шпионских программ
– Обнаружение и блокирование ботнет активности
АНТИВИРУС
35 наград
Цель: получение доступа к сети и даннымIPSIPS
AntivirusAntivirus
Anti-spamAnti-spam
IP Reputation
IP Reputation
Web Filtering
Web Filtering
App Control App Control
#codeIB
20
AntiMalware Потоковый и прокси режим Анализ типов файлов Эвристический анализ Интеграция с FortiSandbox Непрерывное пополнение базы
данных угроз Карантин файлов
Антиботнет По категориям приложений Черный список Ботнет IP
АНТИВИРУС
#codeIB
21
• IP репутация защищает от централизованных и автоматизированных ботнет атак используя актуальную информацию об источниках угрозы:– используется глобальный сбор информации
об угрозах
– Блокирование атаки
– Динамическое решение с определением попыток обхода средств защиты
IP РЕПУТАЦИЯ
IPSIPS
AntivirusAntivirus
Anti-spamAnti-spam
IP Reputation
IP Reputation
Web Filtering
Web Filtering
App Control App Control
Цель: Создание ботсети, автоматизированного фишинга, рассылки спама, сканирования сети, организации DDoS, кражи данных
#codeIB
22
FORTIGUARD – НАДЕЖНАЯ ЗАЩИТАFORTIGUARD.COM
За одну минуту Обновлений в неделю
21,000Spam emails intercepted
390,000Network Intrusion Attempts resisted
460,000Malware programs neutralized
160,000Malicious Website accesses blocked
50,000Botnet C&C attempts thwarted
43 MillionWebsite categorization requests
46 MillionNew & updated spam rules
120Intrusion prevention rules
1.8 MillionNew & updated AV definitions
1.4 MillionNew URL ratings
8,000Hours of threat research globally
FortiGuard база данных
190Terabytes of threat samples
18,000Intrusion Prevention rules
5,800Application Control rules
250 MillionRated websites in 78 categories
200Zero-day threats discovered
По данным Q2 2015
#codeIB
App Control Antivirus Anti-spam
IPS Web App Database
WebFiltering Vulnerability
Management
IPReputation
23
КОМПЛЕКСНЫЙ ПОДХОД К ОПРЕДЕЛЕНИЮ УГРОЗПример: Фишинг
1. Anti-spam
1. Anti-spam
2. Antivirus2. Antivirus
3. Web Filtering3. Web Filtering
IPSIPS
IP Reputation
IP Reputation
App Control
App Control
#codeIB
24
Пример: Бэкдор/Бот
1. Antivirus1. Antivirus
2. IPS2. IPS
3. Web Filtering3. Web Filtering
Anti-spamAnti-spam
IP Reputation
IP Reputation
App Control
App Control
КОМПЛЕКСНЫЙ ПОДХОД К ОПРЕДЕЛЕНИЮ УГРОЗ
#codeIB
25
1. Anti-spam1. Anti-spam
2. Web Filtering2. Web Filtering
3. IPS3. IPS
4. Antivirus4. Antivirus5. IP Reputation
5. IP Reputation
6. App Control6. App Control
Добавьте ATP Sandbox
Добавьте ATP SandboxИсключите
неопределенностьугроз
Пример: ATP
КОМПЛЕКСНЫЙ ПОДХОД К ОПРЕДЕЛЕНИЮ УГРОЗ
#codeIB
26
ВОЗМОЖНЫЙ СЦЕНАРИЙ
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
#codeIB
27
РАЗРЫВА ЦЕПИ УГРОЗ – ШАГ 1
Спам Мошенническоесообщение
СпамAnti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
#codeIB
28
Спам Мошенническоесообщение
СпамAnti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
ФишингСайт злоумышленника
Фишинг
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 2
#codeIB
29
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Спам
ФишингСайт злоумышленника
Спам
Фишинг
Эксплойт
Мошенническоесообщение
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 3
#codeIB
30
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Спам
ФишингСайт злоумышленника
Спам
Фишинг
Эксплойт
Мошенническоесообщение
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 4
#codeIB
31
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Спам
ФишингСайт злоумышленника
Вредоносное ПО
Спам
Фишинг
Эксплойт
Вредоносное ПО
Мошенническоесообщение
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 5
#codeIB
32
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Спам
ФишингСайт злоумышленника
Вредоносное ПОC&C Центр
Спам
Фишинг
Эксплойт
Вредоносное ПО
Бот активностьи кража данных
Мошенническоесообщение
Бот активностьи кража данных
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 6
#codeIB
33
Спам
ФишингСайт злоумышленника
Эксплойт
Вредоносное ПОC&C Центр
Спам
Фишинг
Эксплойт
Вредоносное ПО
Бот активностьи кража данных
San
db
ox
San
db
ox
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Мошенническоесообщение
Бот активностьи кража данных
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 7. ВНЕДРЯЕМ SANDBOX
#codeIB
34
РАЗРЫВА ЦЕПИ УГРОЗ – ШАГ 8 ПОДДЕРЖКА АКТУАЛЬНОСТИ СИСТЕМЫ ЗАЩИТЫ
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Sand
box
ЦОД
Предприятия и филиальная сеть
Облако
Мобильные
Распределенная сеть
DLP
#codeIB
35
ОПЕРЕЖАТЬ ДЕЙСТВИЯ ЗЛОУМЫШЛЕННИКОВ
Комплексная Безопасность
Глобальная Защита
Уверенность в высокой эффективности
360
247x
100%
#codeIB
