expose the underground - Разоблачить невидимое
Post on 08-Jul-2015
637 Views
Preview:
DESCRIPTION
TRANSCRIPT
Разоблачить невидимое: Обнаружить и остановить APT
Ноябрь 2014
Денис Батранков
О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы
Текущие угрозы
Организованные хакеры
Растущее число атак
Сложность
Вносить исправления в процессы
Предотвратить атаки на
периметре в облаке и на мобильных устройствах
Связать воедино сигналы от средств
безопасности
Успех несмотря на ограниченные
ресурсы у службы безопасности
Задачи руководителя ИБ
Избавить сотрудников от стрессовых ситуаций
Известные угрозы
Риск в компании
Эксплойты/уязвимости нулевого дня
Неизвестное и изменяющееся ПО
Обходящие защиту каналы управления/туннелирование
Перемещения червей внутри сети
СЕГОДНЯШНИЕ APT РАНЬШЕ
Сложные и многоплановые
SSL шифрование
Использование пользовательских приложений
Явные
Ограниченный список известных протоколов
Известный вредоносный код и эксплойты
Известные уязвимости
Известные сервера управления
Угрозы стали нормальным фоном в работе Необходимые утилиты в общем доступе
Сдвиги в базовом ИТ ведут к взрывному интересу хакеров
Соц. сети Новые продукты SaaS
Облака и виртуализация
Мобильность и удаленная работа
Шифрование
Столько новых возможностей для
хакеров
Атаки все проще реализовать
Целевая атака – APT в действии
Получение доступа
Заражение партнера
занимающегося кондиционирова
нием
Установка ПО для управления
Вывод нужной информации скрытыми каналами
Обследование
Выбор целей
Сбор данных и укрепление в
новых сегментах сети
Проникновение в сеть с
украденным паролем
О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы
1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты § нестандартное использование стандартных портов
§ создание новых специализированных протоколов для атаки
2. Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования
Техники уклонения от защиты развиваются – системы защиты тоже должны
• Port 80
• IRC
signatures Port 10000
HTTP
Port 80
Что передается через зашифрованные каналы туда и обратно?
Применение шифрования: • SSL • Специальные протоколы
шифрования
Пример: использование туннелирования поверх DNS
Примеры
§ tcp-over-dns
§ dns2tcp
§ Iodine
§ Heyoka
§ OzymanDNS
§ NSTX
Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
Почему традиционные антивирусы не справляются
Современный вредоносный код может:
§ Обойти ловушки антивирусов создав специальный целевой вирус под компанию
§ До того как антивирус создаст сигнатуру он будет уклоняться, используя полиморфизм, перекодирование, используя динамические DNS и URL
☣ Целевое создание под компанию
☣ Полиморфизм
☣ Неизвестный еще никому код
Сложно защититься
0
1,000
2,000
3,000
4,000
5,000
6,000
7,000
8,000
9,000
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
Часы
Для защиты важны первые 24 часа
95% заражений конкретным видом кода в первые 24 часа
Текущие методы не работают
Anti-APT для порта 80
Anti-APT для порта 25
Хостовой AV Облачная защита DNS
Сетевой AV
DNS защищен для исходящих запросов
Anti-APT облако
Интернет
Корпоративная сеть
UTM
DNS Alert Endpoint Alert Web Alert SMTP Alert SMTP Alert SMTP Alert SMTP Alert Web Alert DNS Alert DNS Alert SMTP Alert APT Web Alert Web Alert AV Alert AV Alert Web Alert DNS Alert SMTP Alert Endpoint Alert
Только обнаружение Много событий Нужен человек для анализа
Vendor 1 Vendor 2
Internet Connection
Malware Intelligence
Vendor 3 Vendor 4
О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы
Понимание проникновения - по шагам
Начальная компрометация
Вредоносный код устанавливается и соединяется с атакующим
Проникновение глубже и заражение других хостов
Кража интеллектуальной собственности
Предотвращение возможно на каждом шаге атаки
Вывод данных Управление рабочей станцией
Установка вредоносного
кода Взлом периметра
Задача: Обнаружить и отбить атаку
Автоматически определять
неизвестную атаку и делать ее известной
всем
Блокировать угрозы на: • Периметре • ЦОД • Между виртуальными машинами/VDI
• Мобильных и стационарных станциях
Обмен информацией о новых видах
вредоносного кода защищает всех
заказчиков по всему миру
Полный цикл защиты
Предотвращение во всей сети
Обнаружить неизвестную
атаку, остановить известные
5 4 3 2
Пять подходов Palo Alto Networks к блокированию APTs
Конечные устройства, виртуальная инфраструктура мобильные устройства являются следующей целью стратегии ИБ.
Полностью видеть приложения использующие сеть вне зависимости от методов сокрытия.
Разрешить только необходимые приложения для работы компании – минимизирует возможности атакующего.
Создать собственную закрытую сеть обмена о новом вредоносном коде между заказчиками по всему миру.
Платформа безопасности может обнаруживать и блокировать атаки на каждом этапе проникновения в сеть. 1
О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы
Настоящий платформенный подход
Автоматическая защита и подготовка
материала для расследования
Сеть Хост
Облака
Public Cloud
Private Cloud
SaaS
Традиционное ИТ Мобильные устройства
Определить, ограничить и расшифровать приложения
Обнаружить и предотвратить известные и неизвестные вирусы
Облако угроз
Palo Alto Networks и APT
Кража данных
Next Generation Firewall
Предотвращение угроз (IPS)
URL Filtering
WildFire
Сетевой антивирус
Поведенческий контроль (URL, DNS, IP)
TRAPS - защита хоста и GlobalProtect
ОПЕРАЦИЯ С ХОСТОМ ПРИСЛАТЬ КОД ВЗЛОМ ПЕРИМЕТРА
§ Обзор всего трафика и выборочное расшифрование SSL
§ Пропуск только нужных приложений
§ Пропуск только нужных типов файлов
Блокировка известных: § Эксплойтов § Вредоносных программ § Систем управления ботами
§ Обнаружение неизвестного вредоносного кода
§ Обнаружение неизвестных эксплойтов
§ Обнаружение неизвестных центров управления
§ Блокировка zero-day эксплойтов без знания об уязвимости
§ Расширить политику и защиту на все устройства включая мобильные
§ Контроль всех процессов и сторонних приложений безопасности на хостах
§ Блокировать плохие URLs, домены, IP адреса
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall § Инспекция трафика § Контроль приложений и пользователей
§ Защита от угроз 0-ого дня § Блокировка угроз и вирусов на уровне сети
Next-Generation Threat Cloud § Анализ подозрительных файлов в облаке
§ Распространение сигнатур безопасности на МЭ
Next-Generation Endpoint § Инспекция процессов и файлов § Защиты от известных и неизвестных угроз § Защиты стационарных, виртуальных и мобильных пользователей
§ Интеграция с облачной защитой от угроз
Платформа безопасности нового поколения
О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы
Разрешить нужные приложения, нужным пользователям и для нужного контента
Сделайте межсетевой экран важным инструментом для контроля бизнес процессов в сети
Приложения: Классификация трафика приложений в сети - App-ID.
Пользователи: Связать пользователей и устройства с приложениями которыми они пользуются - User-ID и GlobalProtect.
Содержимое приложений: Сканировать контент - Content-ID and WildFire.
Однопроходная архитектура = параллельная работа движков защиты
О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы
Защита улучшается по мере работы и блокирует сразу Собираются данные из:
WildFire – специализированная виртуальная среда
Web
Обнаруживает неизвестные § Вредоносный код § Эксплойты § Центры управления ботами § DNS запросы § Вредоносные URL
3000+ пользователей
WildFire
WildFire Threat Prevetntion
URL Filtering
All traffic SSL encryption
All ports
Perimeter All commonly
exploited file types
3rd party data
Data center Endpoint
FTP
SMTP
SMB
Основные техники работы WildFire
Анализ без исполнения Найти неизвестный вредоносный код анализируя 130+ типов вредоносного поведения
Создать защиту
Подозрительные файлы идущие по различным приложениям отправляются сенсорами в сети в единую платформу анализа
Этап I
Точно хорошие?
Этап II
Статический анализ PDF, Microsoft Office, Java и Android APKs
Этап III
Динамический анализ
Этап IV
Списки хороших
Подписаны доверенным сертификатом
Внедренные файлы
Внедренный код
Аномалии структуры
Внедренный шелкод
Сетевой трафик
Файловая активность
Процессы и сервисы
Изменения реестра
Исполняем в спец среде
Создать защиту
… …
WildFire облачная архитектура
Песочница для WEB
Песочница для email Песочница для файл-сервера
Центр управления
Ручной анализ
Подход к частной защите от APT
WildFireTM
WildFire облако или свое устройство
WF-500
Подход WildFire § Легкая интеграция § Легко расширяется § Эффективное расходование средств
§ Перехват файлов на NGFW и отправка в WildFire
§ Отправка файлов в WildFire через XML API
§ Сложно управлять § Сложно масштабировать § Дорого § Множество устройств для перехвата файлов из разных приложений
Wildfire: Remote Access Trojan (RAT) в Arcom § WildFire обнаружил целенаправленную атаку на крупную производственную
компанию в центральной Азии
§ Вредоносное ПО было предназначено для промышленного шпионажа и кражи данных § Строит обратный канал § Принимает более 40 команд от центра управления
§ Было отправлено как фишинговое электронное письмо § “The end of Syrian President Bashar al-Assad.exe”
§ Не использовался внешний упаковщик § Обычно для целенаправленных атак
• Для маскировки код инжектировался в браузер по умолчанию и notepad.exe 7
• Command&Control в Ливан7
Сравнение работы Wildfire с обычными антивирусами
0%
20%
40%
60%
80%
100%
Day 0 Day 1 Day 2 Day 3 Day 4 Day 5 Day 6 Day 7
% вредоносного кода неизвестного антивирусным вендорам
60% от вредоносного кода найденного WildFire
неизвестно традиционным вендорам антивирусов
40% вредоносного кода найденного
WildFire еще неизвестно вендорам антивирусов
Match & block
Корреляция угроз в облаке
C2 14.17.95.XXX
Enterprise London
Malicious executable
Match & block
C2 14.17.95.XXX
1 Enterprise Singapore
2
Malicious Android APK
Match & block Match & block
Корреляция угроз в облаке
Know
n C2
Malw
are
Exploit
DN
S
Dow
nload UR
L
Know
n C2
Malw
are
Exploit
DN
S
Dow
nload UR
L
Malicious executable
Malicious Android APK
Облачная защита нового поколения
WildFire Threat Prevention URL Filtering Облако знаний
Malware Exploits Malicious URLs
DNS queries
Command-and-control
3000 WildFire заказчиков
уже делают
мир лучше
13500 заказчиков пользуются результатами исследований
Исследовательская работа
Информация из облака идет на NGFW благодаря WildFire
Threat Intelligence Sources
WildFire Users
AV Signatures DNS Signatures Anti-C&C Signatures Malware URL Filtering
Что дает подписка на сервис WildFire
NGFW получает WildFire сигнатуры каждые 15 минут
Все отчеты и описания работы вредоносного кода в устройстве
Специальный REST API для загрузки файлов на проверку
Использование встроенного WildFire API
§ WildFire API может быть использован чтобы интегрироваться с выбранным агентом использующим какие-то свои скрипты для анализа файлов
§ Отчеты для расследований в XML формате могут автоматически забираться из хранилища журналов WildFire через этот API. Это полезно если вы ставите задачу § Коррелировать IP и URL из отчета с другими журналами IP/URL § Коррелировать DNS и журналы DNS § Проверять агентами, что заражение было § Использовать хеш и другие параметры атаки для анализа § Автоматически отдавать файлы для анализа в Wildfire с клиентов
§ API позволяет интегрироваться с другими системами автоматизации и оркестрации
TRAPS - Next-Generation Endpoint Protection
Forensic data collected File
opened
Exploit traps injected in process
No scanning or monitoring
Process killed
Не просто обнаружить, а предотвратить!
Blocked before malware
is delivered
Защита рабочей станции пользователя
Пример цепочки доставки эксплойта IE Zero-Day CVE-2014-1776
Heap-spray Use After Free ROP
Utilizing OS functions
Подготовка Запуск Внедрение Работа Вредоносная активность
Предотвращение хотя бы одной из техник блокирует всю атаку
March 2012
EP- Series Первый релиз
June 2013
NetTraveler Campaign
The “Mask” Campaign
April 2014
Будущие Zero-Days
Без обновлений!
Уверенность в завтрашней защите Останавливаем сегодня завтрашние атаки!
February 2014
IE- Zero Days CVE-2014-1776 CVE-2014-032
О чем пойдет речь
Текущие угрозы и способы противодействия
Проблемы текущих методов защиты
Как атакуют сегодня и как этому противостоять
Платформа безопасности предприятия
Межсетевые экраны нового поколения
Облачная защита нового поколения
Выводы
© 2014 Palo Alto Networks. Proprietary and Confidential. Page 42 | © 2007 Palo Alto Networks. Proprietary and Confidential Page 42 |
Как вы боретесь с неизвестными угрозами?
• 1. Пускаем только нужные и известные приложения Forrester Zero Trust Model
• А) Разрешаем явный доступ всем необходимым приложениям • Б) Запрещаем все остальное
2. Межсетевой экран нового поколения Многоэшелонированая защита
App-ID
URL
IPS
Thre
at L
icen
se
Spyware
AV
Files
WildFire
Block 7high-risk apps7
Block 7known malware
sites7
Block 7the exploit7
Prevent drive-by-downloads7
Detect unknown malware7
Block malware7
Block spyware, C&C traffic7
Block C&C on non-standard
ports7
Block malware, fast-flux domains7
Block new C&C traffic7
Координи-рованное интеллек-туальное
блокирование активных атак по сигнатурам, источникам, поведению
Приманка • Эксплоит • Загрузка ПО для «черного
хода»
Установление обратного канала
• Разведка и кража данных
Этапы атаки
3. Анализируем поведение - блокируем вредоносное Технология WildFire
Internet
• Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP
• Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.
4. Отслеживаем «репутацию» DNS, URL и IP Репутационная база данных
5. Не создаем пробок
• Обеспечиваем заданную производительность при всех включенных сервисах безопасности
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall § Инспекция трафика § Контроль приложений и пользователей
§ Защита от угроз 0-ого дня § Блокировка угроз и вирусов на уровне сети
Next-Generation Threat Cloud § Анализ подозрительных файлов в облаке
§ Распространение сигнатур безопасности на МЭ
Next-Generation Endpoint § Инспекция процессов и файлов § Защиты от известных и неизвестных угроз § Защиты стационарных, виртуальных и мобильных пользователей
§ Интеграция с облачной защитой от угроз
Платформа безопасности нового поколения
top related