információbiztonság: advanced persistent threat (apt)
TRANSCRIPT
APT
Kis-Szabó András
rendszermérnök
APT
2
- Jellemzők
- Hosszú idő alatt zajlik
- Célzott – így egyedi – is lehet
- Ciklikus- Malware / Dropper
- Exploit / Deploy
- Callhome / Report / CnC
- Collect / Act / Send
- Detektálhatósága nehéz- Malware scan – Email, Web, eszköz, stb.
- Letöltés – legtöbbször web, esetleg eszköz
- Telepítés – eszközben
- Call home / kontroll – távoli kapcsolatok elrejtve
- Működés – tetszőleges
- Akár hónapok is az egyes műveletek között!
Advanced Persistent Threat
Security Automation:
3
Identifying Compromises
Malware File Downloaded
Indications of Compromise: 1
Security Automation:
4
Identifying Compromises
Malware File Downloaded
Malware Executed
Indications of Compromise: 1 2
Security Automation:
5
Identifying Compromises
Malware File Downloaded
Malware Executed
Indications of Compromise: 1 2 3
Security Automation:
6
Identifying Compromises
Malware File Downloaded
Malware Executed
Hacker Uses
Exploit Kit
Indications of Compromise: 1 2 3 4
APT
7
- Hagyományos rendszerek kibővítése
- További biztonsági szint
- Nagyon sok információval dolgozik
- Események láncolatát elemzi
- Specialitása: SandBox technilógia
Advanced Persistent Threat
Tűzfal
8
- Kontrollált kapcsolatok
- Naplózás
- Azonosítás megléte / azonosíthatóság megteremtése
- Bővített funkcionalitás
- IPS funkciók – minták felismerése, naplózása
- URL funkciók – URL-ek követhetősége
- AV funkciók – általános elemzés
- Veszély
- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése
- Igény
- APT felismerés és elemzés- Bár elég szegényesek az információk, de nem lehetetlen
UTM++
IPS
9
- Kontrollált kapcsolatok
- Naplózás
- Azonosítás megléte / azonosíthatóság megteremtése
- Bővített funkcionalitás
- FW funkciók – kontrollok lehetősége
- URL funkciók – URL-ek követhetősége
- AV funkciók – általános elemzés
- Veszély
- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése
- Igény
- APT felismerés és elemzés- Bár elég szegényesek az információk, de nem lehetetlen
NGIPS
Content Security
10
- Kontrollált kapcsolatok
- Naplózás
- Azonosítás megléte / azonosíthatóság megteremtése
- URL funkciók – URL-ek követhetősége
- Bővített funkcionalitás
- AV funkciók – általános elemzés
- IPS funkciók – minták felismerése, naplózása
- Veszély
- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése
- Igény
- APT felismerés és elemzés- Bár elég szegényesek az információk, de nem lehetetlen
Web és Email
Antivírus
11
- Kontrollált kapcsolatok
- Naplózás
- Azonosítás megléte / azonosíthatóság megteremtése
- AV funkciók – általános elemzés
- Bővített funkcionalitás
- URL funkciók – URL-ek követhetősége
- IPS funkciók – minták felismerése, naplózása
- Veszély
- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése
- Önkontroll lehetőségei
- Igény
- APT felismerés és elemzés- Bár elég szegényesek az információk, de nem lehetetlen
Végpontok
Naplóelemzés – SIEM
12
- Naplózás
- Végtelen adatok
- Tűzfal, IPS, Email, Web, AV, DHCP, AD, ….
- Bővített funkcionalitás
- Asset kezelés – események összekapcsolhatósága
- Actor kezelés – események felhasználó-alapú összekapcsolása
- Veszély
- Igazi BigData elemzés
- Nagyon sok adat, hosszú időtáv, magukban nem jellemző események, eltérő címek és felhasználónevek
- Hiányos adatok
- Igény
- APT felismerés és elemzés- Bár elég szegényesek az információk, de nem lehetetlen
Naplókezelésen túl
APT Megoldás
13
- Lefedettség
- APT elemzési feladatok
- NGFW / NGIPS funkcionalitás
- Felhasználók kezelésével, Assetek követésével
- Külön megoldás, vagy meglevő ASA bővítés
- URL szűrés támogatása
- Content Security – Web és Email megoldásokban is
- Végponti kliensek, elemzések – AV mellett
- NAC integráció – ISE
- Külső karantén lehetősége
- Felhő és helyi SandBox
- Adatok összevetése, SIEM funkciók
- Dedikált, célzott és közös menedzsment felület
- Vizuális jelentések, terjedési térképek
CISCO++
Specific
(ONE-TO-ONE)
(•)
Detekciós motorok a PowerAMP-ben
Generic
(ETHOS)
{•••}
Decision Tree
(SPERO)Integrative
(Adv. Analytics)
∫ 1
users, engines
Detection
torque
Primary
Hash
Feature
ONE-TO-ONE
Catches “well known” malware
through use of primary SHA
match. Equivalent to a
signature-based system.
ETHOS
Catches families of malware
through use of “fuzzy hashes”
embedded in the Feature Print.
Counters malware evasion by
“bit-twiddling”.
SPERO
Uses AI methods for real-time
discovery of malware based on
environment and behavior.
Uses periodic review of Big
Data store to implement
retrospection
ADVANCED ANALYTICS
Integrates heuristics from the
malware environment, the Big
Data store, ETHOS and SPERO
to clarify the outcome of a
marginal conviction
Malware
Threat
Environment
Integrated Threat Defense
16
Architecture Concept
Endpoint +
AnyConnect
Mobile device
& AnyConnect
CWSData Center Environment
Server Hypervisor Hypervisor
APIC / ISE FireSIGHT
CSI
Control
Layer
Visibility
Layer
Cognitive
User Environment
Endpoint Endpoint Endpoint
WSA
ESA
NGIPS
Raw/Uninspected Traffic
Telemetry/Eventing/Mgmt
Inspected Traffic
StreamingTelemetry
Threat
Environment
Integrated Threat Defense
17
Architecture Concept
Endpoint +
AMP &
AnyConnect
Mobile device
+ AMP &
AnyConnect
CWS
+
AMP Data Center Environment
Server +
AMPHypervisor
+ AMP
Hypervisor
+ AMP
APIC / ISE FireSIGHT
CSI
Control
Layer
Visibility
Layer
Cognitive
User Environment
Endpoint
+ AMP
Endpoint
+ AMP
Endpoint
+ AMP
WSA + AMP
ESA + AMP
NGIPS + AMP
Raw/Uninspected Traffic
Telemetry/Eventing/Mgmt
Inspected Traffic
StreamingTelemetry
OOOO A4
19
Hálózatunkat érhető támadások sokat fejlődtek az elmúlt években. Sokkal
kifinomultabbak, hosszabb ideig tartó és célzott támadások ellen kell
védekeznünk. Hálózatunk számos védelmi komponenst tartalmaz, melyek
mindegyike kibővíthető vagy kiegészíthető mélyebb elemzési ismeretekkel. Az
összetett és nagy adathalmaz feldolgozása érdekében javasolt lehet egy közös
felügyeleti és jelentéskezelő rendszerrel támogatott megoldás kialakítása a
védekezés eredményességének fokozása érdekében. A megoldásunk új
elemekkel bővíthető, illetve meglevő hálózati, tartalomszűrő rendszerekbe is
integrálható. A végponti kiterjesztés alacsony terhelést jelent, s megfér a meglevő
vírusirtó rendszer mellett. NAC rendszerrel integrálható, így dinamikusan
korlátozhatóak a kitörések. A közös menedzsment előnye a grafikus terjedési
térképek megjelenítése.