Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Pavel RodionovCisco Consulting Systems Engineer, Security. [email protected]
Защита от сложных malware атак
Cisco Advanced Malware Protection
Распространение
Проанализировать malware
Подтвердить инфекцию
Как сделать так, чтобы этого не произошло в будущем?
Вопрос не в том, попадет ли к вам в сеть malware
Где начать?
Насколько тяжелая ситуация?
Какие системы были скомпрометированы?
Что делает эта угроза?
Как нам восстановиться?
РеагированиеПоиск
трафика сети
Поиск логов
устрйоствСканирование
Определение правил (из профиля)
Построить стенд
Статический и динамический
анализ
Анализ устройств
Анализ сети
Анализ распро-
странения
Уведомить Карантин Сортировка
Профиль malware
Stop
Search for Re-infection
Обновить профиль
Подтвердить
Infection Identified
Не могу идентифицировать No Infection
А в том, насколько быстро вы можете это понять, оценить масштабы и отреагировать на проблему,
Антивирус
Традиционный IPS
Первоначальное состояние = чистый Актуальное состояние = Плохой! Слишком поздно!!
Анализ остановился
Even
t Hor
izon Технологии
«засыпания»неизвестные протоколыШифрованиеПолиморфизм
«слепой»
Одних инструментов «точечного» обнаружения недостаточно, они не обеспечивают видимость угроз, после того, как они попали внутрь сети
Не 100%
Cisco AMP предоставляет информацию об угрозах, точечное обнаружение и постоянный анализ для защиты от продвинутых угроз
Контиинум атаки
ЦОД/Сервера ХостыПочта и Web Сеть Мобильные устройства
Before During AfterПеред
Discover EnforceHarden
Во времяDetect Block
Defend
ПослеScope
ContainRemediate
Аналитика и информация об угрозах
Точечное обнаружение
Ретроспективная безопасность и постоянный анализ
AMP обеспечивает видимость и контроль для эффективного предотвращения, блокирования, обнаружения и реагирования на продвинутые угрозы
С аналитикой и информацией об угрозах
with
точечной защитой
с
Постоянным анализом и ретроспективной безопасностью
с
2. Обзор
1. Видимость Увидеть
Предотвратить
Перед атакой
Обнаружить
Заблокировать и сдержать
Во время атаки
Запись, анализ, обнаружение
Реагирование
После атаки
Быстрее узнавайте об угрозах
Информация об угрозах и расширенная аналитикаAMP усиливает защиту с Threat Intelligence и аналитикой malware
Широкая и растущая база знаний о последний угрозах и тенденциях в области безопасности. База знаний
Аналитика и поведенческие индикаторы для ваших систем на понятном языкеДетали
Команда аналитиков/исследователей работает, чтобы предоставить вам информацию в режиме 24/7Экспертиза
13 млрдвеб запросов в день
100 TBданных ежедневно
1.1 млнвходящих malware семплов в день
35% мирового email трафика
Точечное обнаружениеAMP предоставляет первую линию обороны, блокируя известные и меняющиеся угрозы с помощью системы эшелонированной защиты.
Точные сигнатуры
Нечеткие отпечатки
Машинное обучение
Расширенная аналитика
Статический и динамический анализ (песочницы)
â
Предлагает точное обнаружение состояния
Блокирование известных и разширенных угроз
Защита бизнеса без задержек
Автоматически остановить как можно большее количество угроз, известных и неизвестных
Точные сигнатуры• SHA-256
• Облачное покрытия
• Полная защита с помощью сигнатур
Data
Data
Feature Vectors
Machine Learning Algorithm
Predictive Model
Decision Trees
Hypothesis
Disposition Featureprint
LabelsPerformance Monitoring
CleanUnknownMalware
Customer
Data
Spero Engine*
Ethos Engine**• Generic Signature Engine
• Polymorphic variants of a threat
• Машинное обучинеи• Делает предсказание на
основании данных о приложении
*Только для сети и хостов**Только для хостов
For YourReference
BRK 8
Но точечное обнаружение само по себе не может быть эффективным на 100%
Постоянный анализ и ретроспективная безопасностьТолько AMP выполняет постоянный мониторинг и анализирует всю файловую активность, вне зависимости от диспозиции
Через все контрольные точки
Для ответа на важные вопросы…
Получите преимущество от ключевых возможностей
Web
WWW
Конечные узлыEmail Сеть
â
Мобильные
Отследить скорость и варианты распространения
Увидеть, что делалаИдентифицировать точку появления угрозы
Узнать, где она была Хирургически ее удалить
Ретроспектива
Запрос репутации файла
Ответ диспозиции
Retrospective QueueLast 7 days / Every
Hour
Измененная диспозиция
Запрос ретросмективы (20 мин)
SHA, SPERO, ETHOS, DFCВ реальном времени
AMPThreat Grid
BRK 11
Для того, чтобы расследовать инцидент, нам надо срочно ответить на ряд вопросов.
Индикаторы компрометации для обнаружения/блокирования бреши (100+) :
• Оценка уязвимости• Поведенческий анализ• Проверка репутации• Low Prevalence• Динамический анализ• Захват командной строки• Tetra AV механизм
Adobe Reader / Word / Powerpoint / Excel / QuickTime / Java etc. Compromise
Threat Executed
Threat Quarantined
Potential Dropper
Pwrshell Downloaded Executable
Possible Ransomware Shadow Copy Deletion
Netsh Firewall Disable
Это брешь и что случилось?
Мониторинг более 100 параметров!
Если кто-то попадает в сеть, ретроспективная безопасность поможет вам найти ответы на наиболее сложные вопросы безопасности
Что случилось?Откуда пришло malware?Где оно было?
Что оно делало?Как нам его остановить?
See AMP in Action!
Понять, как это произошло
Что случилось?Понять анатомию атаки: • Где сейчас угроза• Какие пользователи скомпрометированы
• Что это за тип malware
Откуда пришло malware?Где было это malware?Что оно делало?Как нам его остановить?
See AMP in Action!
Увидеть, где оно вошло в систему
Что произошло?
Выследить источник угрозы и распространение: • Как оно попало в систему
• Какая точка возникновения• Какой вектор атаки
Где было это malware?Что оно делало?Как нам его остановить?
Откуда пришло malware?
See AMP in Action!
Увидеть все, где было malware
Что произошло?Откуда пришло malware?Где было это malware?
Что оно делало?Как нам его остановить?
Найдите инфицированные участки системы: • Где сейчас атака
• Какие узлы подверглись атаке
• На чем лучше сфокусировать ответ
• Где все еще безопасно
See AMP in Action!
Выяснить, что должно делать Malware
Что произошло?Откуда пришло malware?Где было это malware?Что оно делало?
Как нам его остановить?
Понять детали, как работает malware: • Что оно пытается сделать, понятным
языком• Как оно себя ведет• Получить существенную информацию,
важную для реагирования на инцидент
See AMP in Action!
Остановите его несколькими кликами
Откуда пришло malware?Где было это malware?Что оно делало?
Зная детали выше, хирургическое реагирование: • Остановите его на источнике и во всех
инфицированных участках• Простой клик правой кнопкой, добавить его в
blocklist, и прекратить распространение по всей системе
Что произошло?
Как нам его остановить?
See AMP in Action!
Retrospection
notpad.exe
Anti-virusMachine Status: ✔
d7a8fbb…7c9e592 ?
FireAMP CloudProcesses within a company.org
Nov 13 2015 – 12:00
Retrospection
notpad.exe
Anti-virusMachine Status: ✔
jkfkdsjh.exewindwows.systaskk.exesystem33.exe
d7a8fbb…7c9e592 ?h84hfyd…h7dbw0k
mlpa3hz…jdn9jq1
bzhw9hd…nski87d
vsh82ge…mk93gxs
????
Nov 13 2015 – 12:06FireAMP CloudProcesses within a company.org
Retrospection
notpad.exe
Anti-virusMachine Status: ✔
jkfkdsjh.exewindwows.systaskk.exesystem33.exe
Nov 14 2015 – 12:00
d7a8fbb…7c9e592 ?h84hfyd…h7dbw0k
mlpa3hz…jdn9jq1
bzhw9hd…nski87d
vsh82ge…mk93gxs
????
FireAMP CloudProcesses within a company.org
Retrospection
Anti-virusMachine Status: ✔
jkfkdsjh.exewindwows.systaskk.exesystem33.exe
d7a8fbb…7c9e592 ?h84hfyd…h7dbw0k
mlpa3hz…jdn9jq1
bzhw9hd…nski87d
vsh82ge…mk93gxs
????
Nov 14 2015 – 12:00FireAMP CloudProcesses within a company.org
Retrospection
Anti-virusMachine Status: ✔
jkfkdsjh.exewindwows.systaskk.exesystem33.exe
d7a8fbb…7c9e592
h84hfyd…h7dbw0k
mlpa3hz…jdn9jq1
bzhw9hd…nski87d
vsh82ge…mk93gxs
????
Signature Update
?✗
Nov 15 2015 – 12:00FireAMP CloudProcesses within a company.org
Retrospection
Anti-virusMachine Status: ✔
jkfkdsjh.exewindwows.systaskk.exesystem33.exe
d7a8fbb…7c9e592
h84hfyd…h7dbw0k
mlpa3hz…jdn9jq1
bzhw9hd…nski87d
vsh82ge…mk93gxs
????
Retrospective Alert✗
Nov 15 2015 – 12:00
FireAMP CloudProcesses within a company.org
Неизвестный файл обнаружен на IP: 10.4.10.183, загружен через Firefox
В 10:57, неизвестный файл переслан от IP 10.4.10.183 к IP: 10.5.11.8
Через 7 часов файл переслан третьему хосту (10.3.4.51) используя SMB
Файл скопирован еще раз на 4-е устройство (10.5.60.66) через тот же SMB сервис через пол часа
Cisco Collective Security Intelligence Cloud распознало файл как вредоносный и ретроспективное уведомление сработало на все 4 устройства.
В то же время устройство с установленным FireAMPendpoint connector отреагировало на ретроспективное событие и мгновенно отправило в карантин новое malware
Через 8 часов после первой атаки Malware пытается снова попасть в систему через оригинальную точку входа, но оно распознано и заблокировано.
Постоянный анализ и ретроспективная безопасность
0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110
1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00
Web
WWW
Endpoints NetworkEmail DevicesIPS
Отпечатки и метаданные файла
Информация о процессе
Постоянный поток
Постоянный анализ
Файловый и сетевой I/O
Breadth and Control points:
Telemetry Stream
Talos + Threat Grid Intelligence
ТраекторияПоведенческие индикаторы
компрометацииОхота на угрозы
Ретроспек-тивное
обнаружение
Опции развертывания Cisco Advanced Malware Protection (AMP)
Supercharge your next-generation firewall by turning on AMP capabilities on the Cisco
Firepower NGFW or the Cisco ASA with FirePOWER™ Services.
AMP for Firewalls
Get deep visibility into threat activity and block advanced malware with
AMP deployed as a network-based solution running on
AMP-bundled security appliances (NGIPS).
AMP for NetworksCombat and block network-based threats by deploying
AMP capabilities on the Cisco®
Integrated ServicesRouter (ISR).
AMP for ISR
Add AMP to a Cisco Web Security Appliance (WSA) or Cisco Cloud
Web Security (CWS) and get visibility and control to defend
against advanced threats launched from the web.
AMP for Web
An on-premises appliance or cloud-based solution for static and dynamic malware analysis
(sandboxing) and threat intelligence.
Threat Grid
For high-privacy environments that restrict the use of the public cloud, use an on-premises, air-gapped
private cloud deployment of AMP for Networks or AMP for Endpoints.
AMP for Private Cloud Virtual Appliance
Protect your endpoints! Get visibility into file and executable-
level activity, and remediate advanced malware on devices
running Windows, Mac OS, Linux, and Android.
AMP for Endpoints
Add AMP to Cisco Meraki® MX and take advantage of simplified threat protection with advanced capabilities, providing visibility into threats on your network
across multiple sites.
AMP for Meraki MXAdd AMP to a Cisco Email Security Appliance (ESA)
and get visibility and control to defend against advanced
threats launched via email.
AMP for Email
Получите видимость и контроль над всеми возможными векторами атаки для защиты от наиболее продвинутых угроз.
Архитектура «AMP везде»Защита AMP по всей сети как интегрированная защита от угрог.
AMP ThreatIntelligence Cloud
Windows OS Android Mobile Virtual MAC OSCentOS, Red Hat Linux for servers and datacenters
AMP on Web and Email Security Appliances
AMP on Cisco® ASA Firewall with FirePOWER™ Services
AMP Private Cloud Virtual Appliance
AMP on FirePOWERNGIPS Appliance (AMP
for Networks)
AMP on Cloud Web Security and Hosted Email
CWS/CTA
Threat GridMalware Analysis + Threat Intelligence
Engine
AMP on ISR with FirePOWER Services
AMP для Endpoints
AMP for Endpoints
Remote Endpoints
AMP for Endpoints can be launched from Cisco AnyConnect®
AMP on Meraki® MX
Вопросы конфиденциальности
AMP Private Cloud 2.0
AMP Threat Grid Dynamic AnalysisAppliance
Windows, MacEndpoint
CiscoFirePOWER Sensor
Cisco WebSecurity Appliance
Cisco EmailSecurity Appliance
Cisco ASA with FirePOWER Services
Talos
Cisco AMPPrivate CloudAppliance 2.x
Федерированные данные
Хэши файлов
Анализируемые файлы
Опционально
Поддержка “air gap”
Анализ файлов
Поведенческий анализ подозрительных файлов
Ретроспективное уведомление о смене
диспозиции
Ретроспектива файлов
Cisco Advanced Malware краткий повторЧто мы в действительности предлагаем с этим решением?
Превентивная блокировка известных вредоносных
файлов
Репутация файлов
Возможности
Функции
Обеспечиваются AMPCloud
Threat GridCloud
AMPCloud
BRKSEC-2890 46
Интеграция Cisco AMPКак мы можем использовать все возможности?
Анализ РетроспективаРепутацияВозможность
Cisco ESA
Cisco WSA
Cisco Firepower
AMP для Endpoints
BRKSEC-2890 47
Развертывание Cisco AMPКак мы разворачиваем AMP?
АнализРепутация и ретроспективаВозможность
Опции развертывания
Private Cloud(on premise)
AMPPublic Cloud
Public Cloud Private Cloud(on premise)
Threat GridPublic Cloud
Public Cloud
BRKSEC-2890 48
SHA256
Информация в AMP:• Хеши• Device GUID
AMP коннектор(ESA, WSA, Firepower)
AMP в двух словахДля интеграции
Хеш вредоносного файла автоматически передается в БД
AMP
AMPFile Reputation
DatabaseThreat Grid
Sandbox
Репутация
Проверка репутации(включая SHA256, SPERO)
Диспозиция(unknown,malicious,
clean)
Диспозиция(unknown,malicious)
Анализ
Запрос анализа(Включая файл)
Информация в TG:•GUID файлов и устройств• Результаты анализа и расчеты
BRKSEC-2890 49
SHA256
AMP Connector(ESA, WSA, Firepower)
Развертывание AMP Полностью публичное облако
File ReputationFile Analysis
Периметр организации
AMPPublic Cloud
Threat GridPublic Cloud
BRKSEC-2890 50
Хеш вредоносного файла автоматически передается в БД
AMP
Информация в TG:•GUID файлов и устройств• Результаты анализа и расчеты
Информация в AMP:• Хеши• Device GUID
SHA256
AMP коннектор(ESA, WSA, Firepower)
Развертывание AMPГибридное развертывание
AMPPublic Cloud
File ReputationFile Analysis
Периметр организации
Информация о вредоносных файлах НЕ ПЕРЕДАЕТСЯ
автоматически в облако
BRKSEC-2890 51
Информация в AMP:• Хеши• Device GUID
Информация в TG:•GUID файлов и устройств• Результаты анализа и отчеты
Развертывание AMP с устройством ThreatGrid
• TGA НИКОГДА не передает информацию обратно в облако!!• Основная причина развертывания TGA – конфиденциальность! • Локальный TGA‘s НИКОГДА не будет доверенным источником для обновления диспозиции
файлов.
• Существующе версии подключаются к Internet только для выполнения следующих операций:• Обновления ПО• Достук и Internet для тестирования примеров через «грязный» интерфейс
Работа TGA
BRKSEC-2890 52
Organization’s Perimeter
SHA256
AMP Connector(ESA, WSA, Firepower)
File ReputationFile Analysis
Threat GridPublic Cloud
Развертывание AMPГибридное развертывание
BRKSEC-2890 53
AMP Connector(ESA, WSA, Firepower)
Развертывание AMP
File ReputationFile Analysis
Периметр организации
AMPPublic Cloud
Информация в AMP:• AMP-PC GUID
Полностью частное облако
BRKSEC-2890 54
Информация в AMP:• Хеши• Device GUID
Хеш вредоносного файла автоматически передается в БД
AMPИнформация в TG:•GUID файлов и устройств• Результаты анализа и отчеты
SHA256
Информация в AMP:• Информация о хосте• Подозрительные файлы• Политики и Custom Detections• Траектория, Root Cause• Отчеты, IOC сканирование
AMP Connector(Endpoint)
AMP в двух словахДля хостов
Вредоносные файлы автоматическиобновляют базу AMP
AMPFile Reputation
DatabaseThreat Grid
Sandbox
File Reputation
Проверка репутации(включая SHA256, ETHOS,
SPERO, DFC)
Диспозиция(unknown,malicious,
clean)
Запрос файла(подозрительный
файл)
File Analysis
Запрос анализа(включает файл)
Информация в TG:• Файлы• Результаты анализа и отчеты
BRKSEC-2890 55
SHA256
AMP Connector(Endpoint)
Развертывание AMP
Полностью публичное облако
File ReputationFile Analysis
Периметр организации
AMPPublic Cloud
Threat GridPublic Cloud
BRKSEC-2890 56
Информация в AMP:• Информация о хосте• Подозрительные файлы• Политики и Custom Detections• Траектория, Root Cause• Отчеты, IOC сканирование
Вредоносные файлы автоматическиобновляют базу AMP
Информация в TG:• Файлы• Результаты анализа и отчеты
Развертывание AMPГибридное развертывание для Endpoints
Внимание:AMP для Endpoint
does не поддерживает режимы гибридного
развертывания!!!
BRKSEC-2890 57
SHA256
AMP Connector(Endpoints)
Развертывание AMP
File ReputationFile Analysis
Периметр организации
AMPPublic Cloud
Информация:• AMP-PC GUID
Полностью частное облако
BRKSEC-2890 58
Информация в TGA:• Файлы• Результаты анализа и отчеты
Вредоносные файлы автоматическиобновляют базу AMPИнформация в AMP:
• Информация о хосте• Подозрительные файлы• Политики и Custom Detections• Траектория, Root Cause• Отчеты, IOC сканирование
Опции развертывания AMPSummary
PublicОпции
Cisco ESA
Cisco WSA
Cisco Firepower
AMP для Endpoints
AMP PublicThreat Grid Private
AMP PrivateThreat Grid Public Private
Это правда не имеет смысла!BRKSEC-2890 59
А можно анализировать вручную?
• Нередко бывает необходимость анализировать файлы, попавшие в службу безопасности на USB-носителях или иных носителях, а также проводить более глубокий анализ обнаруженных с помощьюCisco AMP вредоносных программ
• Не у всех бывает реализована автоматическая защита с помощью Cisco AMP
• Организация может захотеть создать собственную службу Threat Intelligence или Security Operations Center
Cisco AMP Threat Grid
• Платформа для глубокого анализа вредоносного кодаДоступ через портал, выделенное устройство или с помощью API
• Может применяться при построении собственных систем Threat Intelligence или SOC
• Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.
Устройство Cisco Threat Grid Appliance• Threat Grid предлагает одинаковый функционал как в облаке, так и локально (UI, API …)
• Threat Grid устройства поставляются с большим объемом ресурсов и способны анализировать большое количество файлов одновременно
• TG5004:• До 1500 анализов / день• Cisco UCS C220 M4 шасси (1U)• 6 x 1TB SAS HDD с LSI RAID
• TG5504:• До 5000 анализов / день• Cisco UCS C220 M4 шасси (1U)• 6 x 1TB SAS HDD с LSI RAID
BRKSEC-2890 62
Детальный анализ вредоносного ПО в AMP Threat Grid
Типовые сценарии использования AMP Threat Grid
• Доступ к порталу• Зависит от числа аналитиков и ежедневно загружаемых образцов вредоносного кода• Приватная маркировка загружаемых семплов (опционально)• Устройство Threat Grid (опционально) позволяет загружать образцы на него, без загрузки в
облако
• Интеграция с решениями Cisco• AMP for Endpoints• AMP for Networks (FP / ASA)• AMP for WSA / CWS• AMP for ESA / CES
• API для автоматизации передачи образцов в Threat Grid включен во все лицензии с подпиской
Из того, что мы сейчас узнали…Насколько эффективны решения AMP на разные продуктах?
Анализ РетроспективаРепутацияВозможность
Cisco ESA
Cisco WSA
Cisco Firepower
AMP for Endpoints
Активная блокировка
Ручная или автоматическаяблокировка с O365
Информационная,реагирование вручную
Генерация IOC‘s,реагирование RTC/ISE
Активный карантинпосле анализа
Информационная,реагирование вручную
Генерация IOC‘s,реагирование RTC/ISE
Активный карантин во время события
Помните, всегда можно дополнить CTA !!
Активная блокировка
Активная блокировка
Активная блокировка
Активная блокировка с карантином
Детальные опции развертывания
AMP на ESA, WSA, ASA, CWS, ISR
AMP для Networks(AMP на FirePOWERNetwork Appliance)
AMP для Meraki(AMP на Meraki MX)
AMP для Endpoints
AMP Private Cloud Virtual Appliance
Лицензия с ESA, WSA, CWS, ISR, или ASA Отдельно в сети Лицензия
Cisco Meraki® MX Легкий клиент для хостов Локальное устройство
Новые или существующие CiscoCWS, ISR, Email/Web, ASA
Firepower NGIPS Meraki Windows, Mac, Android, Linux, виртуальные машины
Среды с требованиями к конфиденциальности данных
§ ESA/WSA: Видимость в email/web
§ CWS: Web b advanced malware protection какоблачный сервис
§ AMP возможнссти на ASA с FirePOWER™ Services или ISR
§ Широкая видимость в сети
§ Широкий выбор для защиты от атак
§ Широкая видимость по всей сети, включая малые офисы
§ Упрощенное, облачное управление безопасностью
§ Всеобъемлющая защита для хостов
§ Детальная видимость и контроль
§ Самый широкий выбор возможностей AMP
§ Виртуальное частноеоблако
§ Полностью изолированный или прокси-режим
§ Для endpoints, сетей, web, email
Гибридная или локальная интеграция
Гибридная или локальная интеграция
Гибридная или локальная интеграция
Гибридная или локальная интеграция
Гибридная или локальная интеграция
Private
Опция развертывания
Метод
Идеально для
Детали
Threat Grid
Что делать дальше
• Выясните, как он работает• Узнайте, как интегрировать AMP с вашими системами• Выясните требования к «железу» и конфигурацию
Поговорите с AMP специалистом
• Определите метод развертывания• Установите время и дату развертывания POV• Выясните требования к ПО и к аппаратной часте
• Выберите продолжительность POV• Согласуйте встречу по развертыванию
Закажите Proof of Value презентацию