Системы breach detection - вебинар bisa
DESCRIPTION
http://bis-expert.ru/webinar/44913TRANSCRIPT
СИСТЕМЫ КЛАССА BREАCH DETECTION – ЗАЧЕМ И ПОЧЕМУ: ТИПОЛОГИЯ, ВОЗМОЖНОСТИ, ОСОБЕННОСТИ Денис Безкоровайный, CISA, CISSP, CCSK, Аудитор СТО БР ИББС Руководитель направления по работе с заказчиками Trend Micro
О чем пойдет речь
• Почему мы можем не знать про успешные атаки
• Что такое системы Breach Deteclon • Как работают новые инструменты и что дают ИБ-‐отделам
2
Была ли ваша компания атакована?
3
§ Для проведения 75% атак не требуется специальных знаний 1…
… но для их обнаружения и устранения нужны
§ 63% специалистов ИБ уверены, что они будут атакованы рано или поздно2
1. Verizon 2: Source: ISACA APT Awareness Study, 2013
Как вы узнаете о взломе?
4
5
Была ли ваша компания атакована успешно?
Обнаружено % компаний
Известное ВПО 98%
Активные ботнеты 94%
Disruplve applicalons 88%
Банковское ВПО 75%
Вредоносные документы 75%
ВПО, использующее уязвимости нулевого дня
49%
Сетевые атаки 84%
ВПО для Android 28%
6
Все это борется только с известными угрозами
Next-‐Gen Firewall
Системы обнаружения атак (IDS)
Системы IPS
Антивирус
Шлюз Email /Web
Известные угрозы
Что уже есть в ИБ-‐продвинутой компании
7
Традиционную защиту довольно просто обойти
Но достаточно ли этого?
§ Разведка и подготовка § Целевой email-‐фишинг § Неизвестное ВПО § Новые эксплойты § Широкий набор уязвимостей § Динамические C&C-‐серверы § BYOD ?
8
Next-‐Gen Firewall
Системы обнаружения атак (IDS)
Intrusion Preven\on (IPS)
Антивирус
Шлюз Email /Web
Есть интернет и электронная почта – есть точка входа
91% атак начинаются с электронной почты
9
Атакующий всегда проверяет свой вредоносный код перед атакой
10
Confidenlal | Copyright 2014 TrendMicro Inc.
12
Confidenlal | Copyright 2014 TrendMicro Inc.
Краткий курс молодого хакера
14
Copyright 2014 Trend Micro Inc. 15
Много систем и данных
Много событий для анализа
Мало ресурсов
Гигантская поверхность атаки
Хватит одной успешной атаки
? ? ? ?
15
Куда смотреть? Что искать?
§ Почти нет риска быть наказанным
§ Простой доступ к знаниям и инструментам
§ Социальная инженерия — просто как никогда
§ Широкий набор эксплойтов и уязвимостей
У темной стороны большое преимущество!
16
Реакция ИБ-‐отрасли
17
Эволюция
Copyright 2014 TrendMicro Inc.
Сигнатуры
Эвристика
Черные списки URL
Репутация URL
Защита от эксплойтов
Поведенческий анализ
18
Генераторы ВПО
Полиморфизм, крипторы
Динамические домены
Ручной отбор доменов для атаки
Zero day, соц.инженерия
Анализ среды
Почти решение
Copyright 2014 TrendMicro Inc.
Поведенческий анализ
19
Много ложных срабатываний
Зависимость от среды исполнения
Необходимо много вычислительных ресурсов
Сложно выполнять на рабочих станциях
Множество названий
Copyright 2014 TrendMicro Inc.
§ Anl-‐APT § Advanced Threat Proteclon § Payload Analysis § Breach Deteclon Systems (BDS)
20
Для чего нужны BDS
Copyright 2014 TrendMicro Inc.
Примеры из жизни – неизвестное ВПО
§ Атаки с социальной инженерией через веб § Drive-‐by атаки § Социальная инженерия через email и другие не-‐web каналы
§ Эксплойты в документах § BYOD и заражения вне корпоративной сети
21
Copyright 2014 Trend Micro Inc. 22
Что можно узнать
§ Откуда атака? Куда выводятся данные?
§ Сколько машин/сотрудников скомпрометированы?
§ Какие данные были скомпрометированы?
§ Как давно? § Атака уникальная или просто мой АВ
не справился? § Как предупредить?
Необходимый минимум возможностей
Copyright 2014 TrendMicro Inc.
§ Идентификация известного и неизвестного ВПО § Идентификация коммуникаций с C&C серверами
23
Дополнительная программа
Copyright 2014 TrendMicro Inc.
§ Анализ всего внутреннего трафика – не только на периметре § Выявление действий атакующего
Ø Эксплойты, спец.утилиты § Корреляция данных от разных каналов и инцидентов
24
Какие механизмы это реализуют
Copyright 2014 TrendMicro Inc.
§ Динамический анализ угроз § Продвинутый сетевой анализ
25
Динамический анализ угроз
Copyright 2014 TrendMicro Inc. 26
§ Виртуальные машины «песочницы» для исполняемых файлов и запуска документов
Ø поиск необнаруживаемых сигнатурами образцов Ø предотвратить заражение или хотя бы узнать про него
Песочницы – что исследуется § Исполняемые файлы
Ø агрессивный эвристический анализ Ø поведение – мониторинг сетевой активности и коммуникаций,
действия с ОС
§ Офисные файлы и документы
Ø запуск в «реальной» программе просмотра (Word, PDF ридер) Ø мониторинг активностей после открытия файла Ø (сработал эксплойт –> появился процесс –> скачался новый файл и
тд) Confidenlal | Copyright 2014 TrendMicro Inc.
Продвинутый сетевой анализ
Copyright 2014 TrendMicro Inc. 28
§ Активность вредоносного ПО
Ø загрузка, коммуникации с C&C Ø не только по адресам C&C!
§ Активность атакующего
Ø скан портов, brute force, загрузка спец. утилит
§ Поиск аномалий
Ø вывод данных по открытым и скрытым каналам Ø нестандартное использование протоколов
Индикаторы компрометации
Copyright 2014 TrendMicro Inc. 29
§ Indicators of Compromise (IoC) – это информация, которую можно использовать для обнаружения потенциально скомпрометированных систем, например:
Ø IP адреса, домены Ø Паттерны в URL Ø Хеш-‐суммы файлов Ø Email адреса Ø X-‐Mailer Ø HTTPUserAgent
Песочница – ограничения и вопросы
Copyright 2014 TrendMicro Inc. 30
§ Если атака целевая — не сработает в неподходящей среде
§ Среда песочницы должна в точности повторять типовую среду организации-‐жертвы
§ Производительность
Системы BDS в общей структуре ИБ
Copyright 2014 TrendMicro Inc.
§ Интеграция с существующими системами ИБ -‐ добавляет знаний (IoC) и возможностей в системы
Ø защиты электронной почты Ø веб-‐шлюзы Ø МСЭ Ø IDS/IPS Ø SIEM Ø Системы защиты конечных точек Ø Системы форенсики
§ Примеры
31
Отсылают файлы для анализа
Web шлюз
Общая картина
Confidenlal | Copyright 2014 TrendMicro Inc.
Обновления «черных списков» IP/доменов Обновления АВ сигнатур
Email шлюз
Endpoint защита
IPS
Breach Deteclon System
Отсылает IoC и обратную связь
Коммутатор Сбор трафика для анализа (SPAN)
SIEM
Endpoint Forensics
Другие продукты
Отсылает IoC и события
BDS — логичное дополнение системы защиты
33
§ Управление ИБ § Повышение осведомленности § Управление уязвимостями § Разграничение прав доступа § Управление учетными записями § Мониторинг и реагирование
на инциденты
Вопросы?
34
Спасибо! [email protected]
35