View
42
Download
2
Embed Size (px)
Citation preview
ИННОВАЦИОННЫЕ ТЕХНОЛОГИИ
В ОБЛАСТИ СЕТЕВОЙ БЕЗОПАСНОСТИ
Евгений Дружинин,
эксперт направления информационной безопасности
Москва, 05.06.2014
2
АТАКА НА СЕТЕВУЮ ИНФРАСТРУКТУРУ
Сбор информации
Вторжение
Закрепление влияния
Извлечение данных
Удержание влияния
3
ЭТАП 1 – СБОР ИНФОРМАЦИИ
Традиционные средства защиты от раскрытия информации об инфраструктуре компании:
• Межсетевые экраны
• Системы обнаружения и предотвращения вторжений
4
ЭТАП 1 – СБОР ИНФОРМАЦИИ
Недостатки традиционных средств:
• Сложность обнаружения медленных и распределенных сканирований
• Отсутствие корреляции между результатами работы систем
5
ЭТАП 1 – СБОР ИНФОРМАЦИИ NEXT GENERATION FIREWALL (NGFW)
Функционал Результат
• Межсетевое экранирование
• Обнаружение и предотвращение вторжений
Сопоставление результатов позволяет обнаружить факт подготовки к атаке
• Глубокая инспекция сетевого трафика на уровне приложений
• Фильтрация информационных потоков с использованием метаданных о пользователях
Определение потенциальных целей злоумышленника и своевременное принятие мер по усилению защиты
6
ЭТАП 2 - ВТОРЖЕНИЕ
Традиционные средства защиты от вторжений:
• Межсетевые экраны
• Системы обнаружения и предотвращения вторжений
• Фильтрация запросов к веб-серверам
• Антивирусное ПО на серверах и рабочих станциях
7
ЭТАП 2 - ВТОРЖЕНИЕ
Недостатки традиционных средств: • Невозможность обнаружения 0-day атак при передаче вредоносного
ПО • Невозможность обнаружения 0-day атак
на сетевые приложения
8
ЭТАП 2 - ВТОРЖЕНИЕ
Средства защиты: • Межсетевые экраны нового поколения (NGFW) • Специализированные средства защиты от APT • Специализированные средства защиты веб-приложений (WAF)
9
ЭТАП 2 - ВТОРЖЕНИЕ
Специализированные системы обнаружения 0-day: • Обнаружение потенциально-опасных файлов
• Эмуляция их работы в «песочнице»
Антивирусный сигнатурный анализ
Проверка IP по репутационной базе
Анализ модели поведения (статический анализ кода)
Динамический анализ кода
Проверка по базе доверенных файлов
10
ЭТАП 2 - ВТОРЖЕНИЕ
Специализированные средства защиты веб-приложений (WAF) обеспечивают: • Создание базового профиля запросов к веб-серверам
и обнаружение отклонений от шаблона • Анализ поведения отдельных пользователей
в используемом приложении • Виртуальное исправление уязвимостей web-сайтов
11
ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ ВНУТРИ СЕТИ
Традиционные средства анализа аномалий внутри сети:
• Системы обнаружения и предотвращения вторжений
• SIEM-системы
Не обнаруживают:
• Медленные сканирования
• Нестандартные алгоритмы сбора информации
• Зашифрованные каналы связи с командным центром
12
Средства защиты: • Межсетевые экраны нового поколения (NGFW) • Специализированные средства выявления сетевых аномалий • Специализированные компоненты контроля сетевых
взаимодействий
ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ ВНУТРИ СЕТИ
13
ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ ВНУТРИ СЕТИ
Инструменты анализа сетевых потоков данных обеспечивают:
• Выявление аномального трафика
• Обнаружение новых типов сетевых атак
• Проведение детального расследования сетевых аномалий
14
ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ ВНУТРИ СЕТИ
Механизмы контроля сетевых взаимодействий позволяют:
• Сформировать профиль типовых взаимодействий между системами
• Выявить отклонения от него
15
СНИЖЕНИЕ РИСКОВ ПРИ УПРАВЛЕНИИ РАСПРЕДЕЛЕННЫМИ СЕТЯМИ
• Своевременное выявление ошибок в конфигурациях
• Контроль изменений конфигураций
• Оптимизация структуры правил фильтрации
Централизованный контроль
конфигураций и управления
сетевой инфраструктурой:
16
ЗАКЛЮЧЕНИЕ
Для обеспечения защиты от направленных атак необходим комплекс средств защиты:
• Системы класса NGFW
• Системы обнаружения потенциально-опасных файлов
• Специализированные средства защиты веб-приложений
• Системы обнаружения аномалий в сетевом трафике
• Системы анализа и управления конфигурациями сетевого оборудования
17
Евгений Дружинин Эксперт направления информационной безопасности
111033, Москва, ул. Волочаевская, д.5, корп.1 +7 495 974 2274, доб. 6423, +7 495 974 2277 (факс)
[email protected] www.croc.ru
СПАСИБО ЗА ВНИМАНИЕ!