Системы breach detection - вебинар bisa

СИСТЕМЫ КЛАССА BREАCH DETECTION – ЗАЧЕМ И ПОЧЕМУ: ТИПОЛОГИЯ, ВОЗМОЖНОСТИ, ОСОБЕННОСТИ Денис Безкоровайный, CISA, CISSP, CCSK, Аудитор СТО БР ИББС Руководитель направления по работе с заказчиками Trend Micro

О чем пойдет речь

•  Почему мы можем не знать про успешные атаки

•  Что такое системы Breach Deteclon •  Как работают новые инструменты и что дают ИБ-‐отделам

2

Была ли ваша компания атакована?

3

§  Для проведения 75% атак не требуется специальных знаний 1…

… но для их обнаружения и устранения нужны

§  63% специалистов ИБ уверены, что они будут атакованы рано или поздно2

1. Verizon 2: Source: ISACA APT Awareness Study, 2013

Как вы узнаете о взломе?

4

Была ли ваша компания атакована успешно?

Обнаружено % компаний

Известное ВПО 98%

Активные ботнеты 94%

Disruplve applicalons 88%

Банковское ВПО 75%

Вредоносные документы 75%

ВПО, использующее уязвимости нулевого дня

49%

Сетевые атаки 84%

ВПО для Android 28%

6

Все это борется только с известными угрозами

Next-‐Gen Firewall

Системы обнаружения атак (IDS)

Системы IPS

Антивирус

Шлюз Email /Web

Известные угрозы

Что уже есть в ИБ-‐продвинутой компании

7

Традиционную защиту довольно просто обойти

Но достаточно ли этого?

§  Разведка и подготовка §  Целевой email-‐фишинг §  Неизвестное ВПО §  Новые эксплойты §  Широкий набор уязвимостей §  Динамические C&C-‐серверы §  BYOD ?

8

Next-‐Gen Firewall

Системы обнаружения атак (IDS)

Intrusion Preven\on (IPS)

Антивирус

Шлюз Email /Web

Есть интернет и электронная почта – есть точка входа

91% атак начинаются с электронной почты

9

Атакующий всегда проверяет свой вредоносный код перед атакой

10

Краткий курс молодого хакера

14

Copyright 2014 Trend Micro Inc. 15

Много систем и данных

Много событий для анализа

Мало ресурсов

Гигантская поверхность атаки

Хватит одной успешной атаки

? ? ? ?

15

Куда смотреть? Что искать?

§  Почти нет риска быть наказанным

§  Простой доступ к знаниям и инструментам

§  Социальная инженерия — просто как никогда

§  Широкий набор эксплойтов и уязвимостей

У темной стороны большое преимущество!

16

Реакция ИБ-‐отрасли

17

Эволюция

Copyright 2014 TrendMicro Inc.

Сигнатуры

Эвристика

Черные списки URL

Репутация URL

Защита от эксплойтов

Поведенческий анализ

18

Генераторы ВПО

Полиморфизм, крипторы

Динамические домены

Ручной отбор доменов для атаки

Zero day, соц.инженерия

Анализ среды

Почти решение


Поведенческий анализ

19

Много ложных срабатываний

Зависимость от среды исполнения

Необходимо много вычислительных ресурсов

Сложно выполнять на рабочих станциях

Множество названий


§ Anl-‐APT § Advanced Threat Proteclon §  Payload Analysis § Breach Deteclon Systems (BDS)

20

Для чего нужны BDS


Примеры из жизни – неизвестное ВПО

§ Атаки с социальной инженерией через веб § Drive-‐by атаки § Социальная инженерия через email и другие не-‐web каналы

§ Эксплойты в документах § BYOD и заражения вне корпоративной сети

21

Copyright 2014 Trend Micro Inc. 22

Что можно узнать

§  Откуда атака? Куда выводятся данные?

§  Сколько машин/сотрудников скомпрометированы?

§  Какие данные были скомпрометированы?

§  Как давно? §  Атака уникальная или просто мой АВ

не справился? §  Как предупредить?

Необходимый минимум возможностей


§ Идентификация известного и неизвестного ВПО § Идентификация коммуникаций с C&C серверами

23

Дополнительная программа


§ Анализ всего внутреннего трафика – не только на периметре § Выявление действий атакующего

Ø  Эксплойты, спец.утилиты § Корреляция данных от разных каналов и инцидентов

24

Какие механизмы это реализуют


§ Динамический анализ угроз § Продвинутый сетевой анализ

25

Динамический анализ угроз

Copyright 2014 TrendMicro Inc. 26

§ Виртуальные машины «песочницы» для исполняемых файлов и запуска документов

Ø  поиск необнаруживаемых сигнатурами образцов Ø  предотвратить заражение или хотя бы узнать про него

Песочницы – что исследуется §  Исполняемые файлы

Ø  агрессивный эвристический анализ Ø  поведение – мониторинг сетевой активности и коммуникаций,

действия с ОС

§  Офисные файлы и документы

Ø  запуск в «реальной» программе просмотра (Word, PDF ридер) Ø  мониторинг активностей после открытия файла Ø  (сработал эксплойт –> появился процесс –> скачался новый файл и

тд) Confidenlal | Copyright 2014 TrendMicro Inc.

Продвинутый сетевой анализ


§  Активность вредоносного ПО

Ø  загрузка, коммуникации с C&C Ø  не только по адресам C&C!

§  Активность атакующего

Ø  скан портов, brute force, загрузка спец. утилит

§  Поиск аномалий

Ø  вывод данных по открытым и скрытым каналам Ø  нестандартное использование протоколов

Индикаторы компрометации


§  Indicators of Compromise (IoC) – это информация, которую можно использовать для обнаружения потенциально скомпрометированных систем, например:

Ø  IP адреса, домены Ø  Паттерны в URL Ø  Хеш-‐суммы файлов Ø  Email адреса Ø  X-‐Mailer Ø  HTTPUserAgent

Песочница – ограничения и вопросы


§  Если атака целевая — не сработает в неподходящей среде

§ Среда песочницы должна в точности повторять типовую среду организации-‐жертвы

§ Производительность

Системы BDS в общей структуре ИБ


§ Интеграция с существующими системами ИБ -‐ добавляет знаний (IoC) и возможностей в системы

Ø  защиты электронной почты Ø  веб-‐шлюзы Ø  МСЭ Ø  IDS/IPS Ø  SIEM Ø  Системы защиты конечных точек Ø  Системы форенсики

§ Примеры

31

Отсылают файлы для анализа

Web шлюз

Общая картина

Confidenlal | Copyright 2014 TrendMicro Inc.

Обновления «черных списков» IP/доменов Обновления АВ сигнатур

Email шлюз

Endpoint защита

IPS

Breach Deteclon System

Отсылает IoC и обратную связь

Коммутатор Сбор трафика для анализа (SPAN)

SIEM

Endpoint Forensics

Другие продукты

Отсылает IoC и события

BDS — логичное дополнение системы защиты

33

§  Управление ИБ §  Повышение осведомленности §  Управление уязвимостями §  Разграничение прав доступа §  Управление учетными записями §  Мониторинг и реагирование

на инциденты

Вопросы?

34

Спасибо! [email protected]

35

Системы breach detection - вебинар bisa

Technology