Cisco Advanced Malware ProtectionAMP for Firewalls Get deep visibility into threat activity and block advanced malware with AMP deployed as a network-based solution running on AMP-bundled

Pavel RodionovCisco Consulting Systems Engineer, Security. [email protected]

Защита от сложных malware атак

Cisco Advanced Malware Protection

Распространение

Проанализировать malware

Подтвердить инфекцию

Как сделать так, чтобы этого не произошло в будущем?

Вопрос не в том, попадет ли к вам в сеть malware

Где начать?

Насколько тяжелая ситуация?

Какие системы были скомпрометированы?

Что делает эта угроза?

Как нам восстановиться?

РеагированиеПоиск

трафика сети

Поиск логов

устрйоствСканирование

Определение правил (из профиля)

Построить стенд

Статический и динамический

анализ

Анализ устройств

Анализ сети

Анализ распро-

странения

Уведомить Карантин Сортировка

Профиль malware

Stop

Search for Re-infection

Обновить профиль

Подтвердить

Infection Identified

Не могу идентифицировать No Infection

А в том, насколько быстро вы можете это понять, оценить масштабы и отреагировать на проблему,

Антивирус

Традиционный IPS

Первоначальное состояние = чистый Актуальное состояние = Плохой! Слишком поздно!!

Анализ остановился

Even

t Hor

izon Технологии

«засыпания»неизвестные протоколыШифрованиеПолиморфизм

«слепой»

Одних инструментов «точечного» обнаружения недостаточно, они не обеспечивают видимость угроз, после того, как они попали внутрь сети

Не 100%

Cisco AMP предоставляет информацию об угрозах, точечное обнаружение и постоянный анализ для защиты от продвинутых угроз

Контиинум атаки

ЦОД/Сервера ХостыПочта и Web Сеть Мобильные устройства

Before During AfterПеред

Discover EnforceHarden

Во времяDetect Block

Defend

ПослеScope

ContainRemediate

Аналитика и информация об угрозах

Точечное обнаружение

Ретроспективная безопасность и постоянный анализ

AMP обеспечивает видимость и контроль для эффективного предотвращения, блокирования, обнаружения и реагирования на продвинутые угрозы

С аналитикой и информацией об угрозах

with

точечной защитой

с

Постоянным анализом и ретроспективной безопасностью

с

2. Обзор

1. Видимость Увидеть

Предотвратить

Перед атакой

Обнаружить

Заблокировать и сдержать

Во время атаки

Запись, анализ, обнаружение

Реагирование

После атаки

Быстрее узнавайте об угрозах

Информация об угрозах и расширенная аналитикаAMP усиливает защиту с Threat Intelligence и аналитикой malware

Широкая и растущая база знаний о последний угрозах и тенденциях в области безопасности. База знаний

Аналитика и поведенческие индикаторы для ваших систем на понятном языкеДетали

Команда аналитиков/исследователей работает, чтобы предоставить вам информацию в режиме 24/7Экспертиза

13 млрдвеб запросов в день

100 TBданных ежедневно

1.1 млнвходящих malware семплов в день

35% мирового email трафика

Точечное обнаружениеAMP предоставляет первую линию обороны, блокируя известные и меняющиеся угрозы с помощью системы эшелонированной защиты.

Точные сигнатуры

Нечеткие отпечатки

Машинное обучение

Расширенная аналитика

Статический и динамический анализ (песочницы)

â

Предлагает точное обнаружение состояния

Блокирование известных и разширенных угроз

Защита бизнеса без задержек

Автоматически остановить как можно большее количество угроз, известных и неизвестных

Точные сигнатуры• SHA-256

• Облачное покрытия

• Полная защита с помощью сигнатур

Data

Data

Feature Vectors

Machine Learning Algorithm

Predictive Model

Decision Trees

Hypothesis

Disposition Featureprint

LabelsPerformance Monitoring

CleanUnknownMalware

Customer

Data

Spero Engine*

Ethos Engine**• Generic Signature Engine

• Polymorphic variants of a threat

• Машинное обучинеи• Делает предсказание на

основании данных о приложении

*Только для сети и хостов**Только для хостов

For YourReference

BRK 8

Но точечное обнаружение само по себе не может быть эффективным на 100%

Постоянный анализ и ретроспективная безопасностьТолько AMP выполняет постоянный мониторинг и анализирует всю файловую активность, вне зависимости от диспозиции

Через все контрольные точки

Для ответа на важные вопросы…

Получите преимущество от ключевых возможностей

Web

WWW

Конечные узлыEmail Сеть

â

Мобильные

Отследить скорость и варианты распространения

Увидеть, что делалаИдентифицировать точку появления угрозы

Узнать, где она была Хирургически ее удалить

Ретроспектива

Запрос репутации файла

Ответ диспозиции

Retrospective QueueLast 7 days / Every

Hour

Измененная диспозиция

Запрос ретросмективы (20 мин)

SHA, SPERO, ETHOS, DFCВ реальном времени

AMPThreat Grid

BRK 11

Для того, чтобы расследовать инцидент, нам надо срочно ответить на ряд вопросов.

Индикаторы компрометации для обнаружения/блокирования бреши (100+) :

• Оценка уязвимости• Поведенческий анализ• Проверка репутации• Low Prevalence• Динамический анализ• Захват командной строки• Tetra AV механизм

Adobe Reader / Word / Powerpoint / Excel / QuickTime / Java etc. Compromise

Threat Executed

Threat Quarantined

Potential Dropper

Pwrshell Downloaded Executable

Possible Ransomware Shadow Copy Deletion

Netsh Firewall Disable

Это брешь и что случилось?

Мониторинг более 100 параметров!

Если кто-то попадает в сеть, ретроспективная безопасность поможет вам найти ответы на наиболее сложные вопросы безопасности

Что случилось?Откуда пришло malware?Где оно было?

Что оно делало?Как нам его остановить?

See AMP in Action!

Понять, как это произошло

Что случилось?Понять анатомию атаки: • Где сейчас угроза• Какие пользователи скомпрометированы

• Что это за тип malware

Откуда пришло malware?Где было это malware?Что оно делало?Как нам его остановить?

See AMP in Action!

Увидеть, где оно вошло в систему

Что произошло?

Выследить источник угрозы и распространение: • Как оно попало в систему

• Какая точка возникновения• Какой вектор атаки

Где было это malware?Что оно делало?Как нам его остановить?

Откуда пришло malware?

See AMP in Action!

Увидеть все, где было malware

Что произошло?Откуда пришло malware?Где было это malware?

Что оно делало?Как нам его остановить?

Найдите инфицированные участки системы: • Где сейчас атака

• Какие узлы подверглись атаке

• На чем лучше сфокусировать ответ

• Где все еще безопасно

See AMP in Action!

Выяснить, что должно делать Malware

Что произошло?Откуда пришло malware?Где было это malware?Что оно делало?

Как нам его остановить?

Понять детали, как работает malware: • Что оно пытается сделать, понятным

языком• Как оно себя ведет• Получить существенную информацию,

важную для реагирования на инцидент

See AMP in Action!

Остановите его несколькими кликами

Откуда пришло malware?Где было это malware?Что оно делало?

Зная детали выше, хирургическое реагирование: • Остановите его на источнике и во всех

инфицированных участках• Простой клик правой кнопкой, добавить его в

blocklist, и прекратить распространение по всей системе

Что произошло?

Как нам его остановить?

See AMP in Action!

Retrospection

notpad.exe

Anti-virusMachine Status: ✔

d7a8fbb…7c9e592 ?

FireAMP CloudProcesses within a company.org

Nov 13 2015 – 12:00

Retrospection

notpad.exe


jkfkdsjh.exewindwows.systaskk.exesystem33.exe

d7a8fbb…7c9e592 ?h84hfyd…h7dbw0k

mlpa3hz…jdn9jq1

bzhw9hd…nski87d

vsh82ge…mk93gxs

????

Nov 13 2015 – 12:06FireAMP CloudProcesses within a company.org

Retrospection

notpad.exe



Nov 14 2015 – 12:00


mlpa3hz…jdn9jq1

bzhw9hd…nski87d

vsh82ge…mk93gxs

????


Retrospection




mlpa3hz…jdn9jq1

bzhw9hd…nski87d

vsh82ge…mk93gxs

????


Retrospection



d7a8fbb…7c9e592

h84hfyd…h7dbw0k

mlpa3hz…jdn9jq1

bzhw9hd…nski87d

vsh82ge…mk93gxs

????

Signature Update

?✗


Retrospection



d7a8fbb…7c9e592

h84hfyd…h7dbw0k

mlpa3hz…jdn9jq1

bzhw9hd…nski87d

vsh82ge…mk93gxs

????

Retrospective Alert✗

Nov 15 2015 – 12:00


Неизвестный файл обнаружен на IP: 10.4.10.183, загружен через Firefox

В 10:57, неизвестный файл переслан от IP 10.4.10.183 к IP: 10.5.11.8

Через 7 часов файл переслан третьему хосту (10.3.4.51) используя SMB

Файл скопирован еще раз на 4-е устройство (10.5.60.66) через тот же SMB сервис через пол часа

Cisco Collective Security Intelligence Cloud распознало файл как вредоносный и ретроспективное уведомление сработало на все 4 устройства.

В то же время устройство с установленным FireAMPendpoint connector отреагировало на ретроспективное событие и мгновенно отправило в карантин новое malware

Через 8 часов после первой атаки Malware пытается снова попасть в систему через оригинальную точку входа, но оно распознано и заблокировано.

Постоянный анализ и ретроспективная безопасность

0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

Web

WWW

Endpoints NetworkEmail DevicesIPS

Отпечатки и метаданные файла

Информация о процессе

Постоянный поток

Постоянный анализ

Файловый и сетевой I/O

Breadth and Control points:

Telemetry Stream

Talos + Threat Grid Intelligence

ТраекторияПоведенческие индикаторы

компрометацииОхота на угрозы

Ретроспек-тивное

обнаружение

Опции развертывания Cisco Advanced Malware Protection (AMP)

Supercharge your next-generation firewall by turning on AMP capabilities on the Cisco

Firepower NGFW or the Cisco ASA with FirePOWER™ Services.

AMP for Firewalls

Get deep visibility into threat activity and block advanced malware with

AMP deployed as a network-based solution running on

AMP-bundled security appliances (NGIPS).

AMP for NetworksCombat and block network-based threats by deploying

AMP capabilities on the Cisco®

Integrated ServicesRouter (ISR).

AMP for ISR

Add AMP to a Cisco Web Security Appliance (WSA) or Cisco Cloud

Web Security (CWS) and get visibility and control to defend

against advanced threats launched from the web.

AMP for Web

An on-premises appliance or cloud-based solution for static and dynamic malware analysis

(sandboxing) and threat intelligence.

Threat Grid

For high-privacy environments that restrict the use of the public cloud, use an on-premises, air-gapped

private cloud deployment of AMP for Networks or AMP for Endpoints.

AMP for Private Cloud Virtual Appliance

Protect your endpoints! Get visibility into file and executable-

level activity, and remediate advanced malware on devices

running Windows, Mac OS, Linux, and Android.

AMP for Endpoints

Add AMP to Cisco Meraki® MX and take advantage of simplified threat protection with advanced capabilities, providing visibility into threats on your network

across multiple sites.

AMP for Meraki MXAdd AMP to a Cisco Email Security Appliance (ESA)

and get visibility and control to defend against advanced

threats launched via email.

AMP for Email

Получите видимость и контроль над всеми возможными векторами атаки для защиты от наиболее продвинутых угроз.

Архитектура «AMP везде»Защита AMP по всей сети как интегрированная защита от угрог.

AMP ThreatIntelligence Cloud

Windows OS Android Mobile Virtual MAC OSCentOS, Red Hat Linux for servers and datacenters

AMP on Web and Email Security Appliances

AMP on Cisco® ASA Firewall with FirePOWER™ Services

AMP Private Cloud Virtual Appliance

AMP on FirePOWERNGIPS Appliance (AMP

for Networks)

AMP on Cloud Web Security and Hosted Email

CWS/CTA

Threat GridMalware Analysis + Threat Intelligence

Engine

AMP on ISR with FirePOWER Services

AMP для Endpoints

AMP for Endpoints

Remote Endpoints

AMP for Endpoints can be launched from Cisco AnyConnect®

AMP on Meraki® MX

Вопросы конфиденциальности

AMP Private Cloud 2.0

AMP Threat Grid Dynamic AnalysisAppliance

Windows, MacEndpoint

CiscoFirePOWER Sensor

Cisco WebSecurity Appliance

Cisco EmailSecurity Appliance

Cisco ASA with FirePOWER Services

Talos

Cisco AMPPrivate CloudAppliance 2.x

Федерированные данные

Хэши файлов

Анализируемые файлы

Опционально

Поддержка “air gap”

Анализ файлов

Поведенческий анализ подозрительных файлов

Ретроспективное уведомление о смене

диспозиции

Ретроспектива файлов

Cisco Advanced Malware краткий повторЧто мы в действительности предлагаем с этим решением?

Превентивная блокировка известных вредоносных

файлов

Репутация файлов

Возможности

Функции

Обеспечиваются AMPCloud

Threat GridCloud

AMPCloud

BRKSEC-2890 46

Интеграция Cisco AMPКак мы можем использовать все возможности?

Анализ РетроспективаРепутацияВозможность

Cisco ESA

Cisco WSA

Cisco Firepower


BRKSEC-2890 47

Развертывание Cisco AMPКак мы разворачиваем AMP?

АнализРепутация и ретроспективаВозможность

Опции развертывания

Private Cloud(on premise)

AMPPublic Cloud

Public Cloud Private Cloud(on premise)

Threat GridPublic Cloud

Public Cloud

BRKSEC-2890 48

SHA256

Информация в AMP:• Хеши• Device GUID

AMP коннектор(ESA, WSA, Firepower)

AMP в двух словахДля интеграции

Хеш вредоносного файла автоматически передается в БД

AMP

AMPFile Reputation

DatabaseThreat Grid

Sandbox

Репутация

Проверка репутации(включая SHA256, SPERO)

Диспозиция(unknown,malicious,

clean)

Диспозиция(unknown,malicious)

Анализ

Запрос анализа(Включая файл)

Информация в TG:•GUID файлов и устройств• Результаты анализа и расчеты

BRKSEC-2890 49

SHA256

AMP Connector(ESA, WSA, Firepower)

Развертывание AMP Полностью публичное облако

File ReputationFile Analysis

Периметр организации

AMPPublic Cloud


BRKSEC-2890 50


AMP

Информация в TG:•GUID файлов и устройств• Результаты анализа и расчеты


SHA256

AMP коннектор(ESA, WSA, Firepower)

Развертывание AMPГибридное развертывание

AMPPublic Cloud



Информация о вредоносных файлах НЕ ПЕРЕДАЕТСЯ

автоматически в облако

BRKSEC-2890 51


Информация в TG:•GUID файлов и устройств• Результаты анализа и отчеты

Развертывание AMP с устройством ThreatGrid

• TGA НИКОГДА не передает информацию обратно в облако!!• Основная причина развертывания TGA – конфиденциальность! • Локальный TGA‘s НИКОГДА не будет доверенным источником для обновления диспозиции

файлов.

• Существующе версии подключаются к Internet только для выполнения следующих операций:• Обновления ПО• Достук и Internet для тестирования примеров через «грязный» интерфейс

Работа TGA

BRKSEC-2890 52

Organization’s Perimeter

SHA256




Развертывание AMPГибридное развертывание

BRKSEC-2890 53


Развертывание AMP



AMPPublic Cloud

Информация в AMP:• AMP-PC GUID

Полностью частное облако

BRKSEC-2890 54



AMPИнформация в TG:•GUID файлов и устройств• Результаты анализа и отчеты

SHA256

Информация в AMP:• Информация о хосте• Подозрительные файлы• Политики и Custom Detections• Траектория, Root Cause• Отчеты, IOC сканирование

AMP Connector(Endpoint)

AMP в двух словахДля хостов

Вредоносные файлы автоматическиобновляют базу AMP

AMPFile Reputation

DatabaseThreat Grid

Sandbox

File Reputation

Проверка репутации(включая SHA256, ETHOS,

SPERO, DFC)

Диспозиция(unknown,malicious,

clean)

Запрос файла(подозрительный

файл)

File Analysis

Запрос анализа(включает файл)

Информация в TG:• Файлы• Результаты анализа и отчеты

BRKSEC-2890 55

SHA256

AMP Connector(Endpoint)


Полностью публичное облако



AMPPublic Cloud


BRKSEC-2890 56

Информация в AMP:• Информация о хосте• Подозрительные файлы• Политики и Custom Detections• Траектория, Root Cause• Отчеты, IOC сканирование

Вредоносные файлы автоматическиобновляют базу AMP

Информация в TG:• Файлы• Результаты анализа и отчеты

Развертывание AMPГибридное развертывание для Endpoints

Внимание:AMP для Endpoint

does не поддерживает режимы гибридного

развертывания!!!

BRKSEC-2890 57

SHA256

AMP Connector(Endpoints)




AMPPublic Cloud

Информация:• AMP-PC GUID

Полностью частное облако

BRKSEC-2890 58

Информация в TGA:• Файлы• Результаты анализа и отчеты

Вредоносные файлы автоматическиобновляют базу AMPИнформация в AMP:

• Информация о хосте• Подозрительные файлы• Политики и Custom Detections• Траектория, Root Cause• Отчеты, IOC сканирование

Опции развертывания AMPSummary

PublicОпции

Cisco ESA

Cisco WSA

Cisco Firepower


AMP PublicThreat Grid Private

AMP PrivateThreat Grid Public Private

Это правда не имеет смысла!BRKSEC-2890 59

А можно анализировать вручную?

• Нередко бывает необходимость анализировать файлы, попавшие в службу безопасности на USB-носителях или иных носителях, а также проводить более глубокий анализ обнаруженных с помощьюCisco AMP вредоносных программ

• Не у всех бывает реализована автоматическая защита с помощью Cisco AMP

• Организация может захотеть создать собственную службу Threat Intelligence или Security Operations Center

Cisco AMP Threat Grid

• Платформа для глубокого анализа вредоносного кодаДоступ через портал, выделенное устройство или с помощью API

• Может применяться при построении собственных систем Threat Intelligence или SOC

• Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.

Устройство Cisco Threat Grid Appliance• Threat Grid предлагает одинаковый функционал как в облаке, так и локально (UI, API …)

• Threat Grid устройства поставляются с большим объемом ресурсов и способны анализировать большое количество файлов одновременно

• TG5004:• До 1500 анализов / день• Cisco UCS C220 M4 шасси (1U)• 6 x 1TB SAS HDD с LSI RAID

• TG5504:• До 5000 анализов / день• Cisco UCS C220 M4 шасси (1U)• 6 x 1TB SAS HDD с LSI RAID

BRKSEC-2890 62

Детальный анализ вредоносного ПО в AMP Threat Grid

Типовые сценарии использования AMP Threat Grid

• Доступ к порталу• Зависит от числа аналитиков и ежедневно загружаемых образцов вредоносного кода• Приватная маркировка загружаемых семплов (опционально)• Устройство Threat Grid (опционально) позволяет загружать образцы на него, без загрузки в

облако

• Интеграция с решениями Cisco• AMP for Endpoints• AMP for Networks (FP / ASA)• AMP for WSA / CWS• AMP for ESA / CES

• API для автоматизации передачи образцов в Threat Grid включен во все лицензии с подпиской

Из того, что мы сейчас узнали…Насколько эффективны решения AMP на разные продуктах?

Анализ РетроспективаРепутацияВозможность

Cisco ESA

Cisco WSA

Cisco Firepower

AMP for Endpoints

Активная блокировка

Ручная или автоматическаяблокировка с O365

Информационная,реагирование вручную

Генерация IOC‘s,реагирование RTC/ISE

Активный карантинпосле анализа

Информационная,реагирование вручную

Генерация IOC‘s,реагирование RTC/ISE

Активный карантин во время события

Помните, всегда можно дополнить CTA !!




Активная блокировка с карантином

Детальные опции развертывания

AMP на ESA, WSA, ASA, CWS, ISR

AMP для Networks(AMP на FirePOWERNetwork Appliance)

AMP для Meraki(AMP на Meraki MX)


AMP Private Cloud Virtual Appliance

Лицензия с ESA, WSA, CWS, ISR, или ASA Отдельно в сети Лицензия

Cisco Meraki® MX Легкий клиент для хостов Локальное устройство

Новые или существующие CiscoCWS, ISR, Email/Web, ASA

Firepower NGIPS Meraki Windows, Mac, Android, Linux, виртуальные машины

Среды с требованиями к конфиденциальности данных

§ ESA/WSA: Видимость в email/web

§ CWS: Web b advanced malware protection какоблачный сервис

§ AMP возможнссти на ASA с FirePOWER™ Services или ISR

§ Широкая видимость в сети

§ Широкий выбор для защиты от атак

§ Широкая видимость по всей сети, включая малые офисы

§ Упрощенное, облачное управление безопасностью

§ Всеобъемлющая защита для хостов

§ Детальная видимость и контроль

§ Самый широкий выбор возможностей AMP

§ Виртуальное частноеоблако

§ Полностью изолированный или прокси-режим

§ Для endpoints, сетей, web, email

Гибридная или локальная интеграция





Private

Опция развертывания

Метод

Идеально для

Детали

Threat Grid

Что делать дальше

• Выясните, как он работает• Узнайте, как интегрировать AMP с вашими системами• Выясните требования к «железу» и конфигурацию

Поговорите с AMP специалистом

• Определите метод развертывания• Установите время и дату развертывания POV• Выясните требования к ПО и к аппаратной часте

• Выберите продолжительность POV• Согласуйте встречу по развертыванию

Закажите Proof of Value презентацию

Documents

Cisco Advanced Malware ProtectionAMP for Firewalls Get deep visibility into threat activity and block advanced malware with AMP deployed as a network-based solution running on AMP-bundled