Cisco Connect Москва, 2017
Цифровизация: здесь и сейчас
Найти и обезвредить
Руслан Иванов
Инженер-консультант по информационной безопасности
© 2017 Cisco and/or its affiliates. All rights reserved.
Угрозы Окружение Периметр
Анатомия современной атаки
Email-вектор
Web-вектор
3 Жертв
кликает на
резюме
Инсталляция бота,
установка соединения с
сервером C2
4
5 Сканирование LAN &
альтернативный бэкдор и
поиск привилегированных
пользователей
Система скомпрометирована и
данные утекли. Бэкдор сохранен 8 Архивирует данные, разделение на
разные файлы и отправка их на
внешние сервера по HTTPS или DNS
7
Посылка фальшивого резюме ([email protected])
2
Админ
Изучение жертвы (SNS)
1
Привилегированные
пользователи найдены. 6
Админ ЦОД ПК
Елена
Елена Иванова • HR-координатор • Нужны инженеры • Под давлением времени
90% продвинутых атак используют HTTPS для связи с управляющим сервером
Из чего состоит последовательность атаки?
Разведка Сбор e-mail Социальные сети Пассивный
поиск Определение
IP Сканирование
портов
Вооружение Создание
вредоносного кода Система доставки
Приманка
Доставка Фишинг Заражение сайта Операторы
связи
Проникновение Активация Исполнение
кода Определение
плацдарма Проникновение на
другие ресурсы
Инсталляция Троян или backdoor
Повышение привилегий Руткит Обеспечение незаметности
Управление Канал
управления Расширение плацдарма
Внутреннее сканирование
Поддержка незаметности
Реализация Расширение заражения
Утечка данных
Перехват управления
Вывод из строя
Уничтожение следов Поддержка
незаметности Зачистка
логов
Последовательность атаки: Как мы можем предотвратить попытки доставки и запуска ВПО?
5
Пример набора модулей для борьбы с последовательностью атаки
РАЗВЕДКА ДОСТАВКА
ЦЕЛЬ
СВЯЗЬ ВЫЖИВАНИЕ
ВЗЛОМ
ЗАПУСК ЭКСПЛОЙТ УСТАНОВКА
ЗАРАЖЕНИЕ
Host Anti-
Malware
DNS Защита DNS
Защита web
Защита почты
DNS Защита DNS
Защита Web
NGIPS
Телеметрия
Анализ Netflow
NGIPS
NGFW
NGIPS
NGFW
Анализ Netflow
NGFW
Анализ Netflow
Host Anti-
Malware
Сегментация
“Нельзя защищать то чего не видишь”
Обеспечить прозрачность сетевого взаимодействия через межсетевые экраны
Malware
Client applications
Operating systems
Mobile devices
VoIP phones
Routers and switches
Printers
Command and control
servers
Network servers
Users
File transfers
Web applications
Application protocols
Threats
Обычный IPS
Обычный NGFW
Cisco Firepower™ NGFW
Все в одном
Инвентаризация и профилирование узлов
• Профиль хоста включает всю необходимую для анализа информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система
• Используемые приложения
• Зарегистрированные пользователи
• И т.д.
• Идентификация и профилирование мобильных устройств
Инвентаризация и профилирование «больных» узлов
«Черные списки»: свои или централизованные
• Разрешенные типы и версии ОС
• Разрешенные клиентские приложения
• Разрешенные Web-приложения
• Разрешенные протоколы транспортного и сетевого уровней
• Разрешенные адреса / диапазоны адресов
• И т.д.
Создание «белых списков»
Встроенная система корреляции событий
• Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных
• Приложения
• Уязвимости
• Протоколы
• Пользователи
• Операционные системы
• Производитель ОС
• Адреса
• Место в иерархии компании
• Статус узла и т.п.
Встроенная система корреляции событий
• Различные типы события для системы корреляции
• Атаки / вторжение
• Активность пользователя
• Установлено соединение
• Изменение профиля трафика
• Вредоносный код
• Изменение инвентаризационных данных (например, появление нового узла в сети или ОС на узле)
• Изменение профиля узла
• Появление новой уязвимости
Встроенная система корреляции событий
• В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции
• Возможность создания динамических политик безопасности
Анализ и мониторинг событий ИБ с учётом контекста
• Расширение IP черных списков
• TALOS динамические обновление, сторонние фиды и списки
• Множество категорий: Malware, Phishing, CnC,…
• Множество действий: Allow, Monitor, Block, Interactive Block,…
• Политики настраиваются либо в Access Rules либо в black-list
• IoC теги для CnC и Malware URLs
• Новые Dashboard widget для URL SI
• Черные/Белые списки URL по одному клику
Основанный на URL метод фильтрации злоумышленников
URL-SI Категории
Геолокация и визуализация местонахождения атакующих
Визуализация карт, стран и городов для событий и узлов
• Security Intelligence поддерживает домены;
• Проблемы с адресов fast-flux доменов;
• Предлагаемые Cisco и настраиваемые пользователем DNS списки: CnC, Spam, Malware, Phishing;
• Множество действий: Block, Domain Not Found, Sinkhole, Monitor;
• Индикаторы компрометации дополнены поддержкой DNS Security Intelligence;
DNS Инспекция
DNS List Action
DNS Инспекция : Пример
Реагирование на события
• Запуск сканирования NMAP с заданными параметрами на источник/направление атаки
• Блокировка нарушителя на маршрутизаторе Cisco (RTBH)
• Блокировка нарушителя на МСЭ Cisco ASA
• Установка необходимого атрибута на хост
• Уведомление администратора посредством Email/SNMP/Syslog
• Выполнение самописной программы, написанной на C/BASH/TCSH/PERL с возможностью передачи переменных из события
Быстрое сдерживание распространения угроз С помощью центра Cisco FireSIGHT Management Center (FMC) и платформы Identity Service Engine (ISE)
Быстрое сдерживание распространения угроз с помощью FMC и ISE Что даёт FMC + ISE?
Центр FMC Cisco совместно с
ISE идентифицирует и
обращается к подозрительному
действию на основании
предустановленных политик
безопасности.
Преимущества
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
Возможности
FMC обнаруживает
подозрительный файл и
уведомляет ISE с
помощью pxGrid,
изменяя тег группы
безопасности (SGT)
на подозрительный
Доступ запрещается
каждой политикой
безопасности
Автоматические уведомления
Максимальное использование
ANC ISE для уведомления сети о
подозрительной активности в
соответствии с политикой
Раннее обнаружение угроз
FireSight аналищирует активность
и публикует события в pxGrid
Корпоративный
пользователь
загружает файл
Максимальное использование
растущей экосистемы партнеров
и обеспечение быстрого
сдерживания распространения
угроз благодаря интеграции с ISE
FMC сканирует
действия
пользователя и файл
В соответствии
с новым тегом,
ISE распространяет
политику по сети
Cisco AMP расширяет защиту NGFW и NGIPS и позволяет блокировать ВПО раньше
Ретроспективная безопасность Точечное обнаружение
Непрерывная и постоянна защита Репутация файла и анализ его поведения
Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие метки
Расширенная
аналитика Идентичная
сигнатура
Признаки
компрометации
Сопоставление потоков устройств
Какие файлы можно анализировать?
• Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно захватывать и сохранять для дальнейшего анализа
Сила в комбинации методов обнаружения
• На оконечных узлах не всегда хватает ресурсов для анализа все усложняющегося вредоносного кода;
• Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки;
• Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным!
7 методов обнаружения в Cisco AMP повышают эффективность защиты!!!
Cisco AMP Threat Grid – анализ ВПО и не только
Подозрительный
файл
Отчет об
анализе
Оконечное оборудование
Хосты
Firewalls & UTM
Email Security
Security Analytics
Web Security
Endpoint Security
Network Security
3rd Party интеграция
S E C U R I T Y
TIP
Deep Packet Inspection
Gov, Risk, Compliance
SIEM
Динамический анализ
Статический анализ
Интеллектуальная база угроз
AMP Threat Grid
Cisco Security Solutions Network Security Solutions
Подозрительный
файл
Премиум
контент фиды Команда ИБ
Изучение файлов с учетом контекста
Подход “Взгляд со стороны”
Нет присутствия внутри VM
Собственные разработки статического и
динамического анализа
Наблюдение за всеми изменениями в хосте и сетевыми
соединениями
Загружаемый результат анализа JSON через минуты
Возможность отслеживания каждого элемента
данных
Детальные отчеты с идентификацией ключевых
индикаторов поведения и уровнем угрозы
Детальная идентификация атак в реальном времени
Статический и динамический анализ в автоматическом режиме
F
R
S
Process with additional activity
File activity
Registry activity
Sample process
Legend:
Динамический анализ: Визуализация дерева процессов
Легко идентифицировать и приоритизировать угрозы
780+ индикаторов поведения (и кол-во растет) • Семейства malware, вредоносное поведение, и другое
• Детальное описание и информация для действия
Приоритизируйте угрозы с уверенностью • Улучшите SOC аналитику базу знаний и эффективность
Простой для понимания Уровень угрозы ведет к быстрому принятию решений
Пример отчёта
Индикаторы компрометации могут быть полезны
AMP Threat Grid – возможности интеграции Поддерживаемые интеграции и партнеры Получение сэмплов от партнеров
МСЭ / NGFW / NAC
IDS / IPS
NBAD
AV / BDS
SIEM / LogManagement
X
X
X
X
Что такое горизонт событий с точки зрения ИБ?
X Фильтрация контента
И еще ОС, СУБД,
сетевые и прикладные
службы и сервисы…
За горизонтом события ИБ – ретроспективная безопасность
Антивирус
Песочница
Начальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо =
Поздно!!
Регулярный возврат
к ретроспективе
Видимость и
контроль – это ключ
Не 100%
Анализ остановлен
Sleep Techniques
Unknown Protocols
Encryption
Polymorphism
Актуальное значение =
Плохо = Блокировано
Ретроспективное обнаружение, анализ продолжается
Cisco AMP обеспечивает ретроспективную защиту
Траектория Поведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак
Сетевая траектория – история распространения атаки NGIPS с FireAMP
Отслеживание отправителей / получателей в континиуме атаки
Файловая диспозиция изменилась на MALWARE История распространения файла
Детали хоста
Локальная проверка Malware
Обнаружение
Анализ параметров файлов
Отчет о структуре файла
Согласно оценкам Гартнер к 2018:
25% корпоративного трафика будет миновать периметр ИБ.
DNS используется
в вашей сети
каждым устройством
ИМЯ DNS IP NO C&C TOR ОПЛАТА
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNS
Шифрование канала управления ботнетом Шантаж
Какие протоколы использует ВПО?
Почему DNS?
Malware
C2 Callbacks
Phishing
HQ
Sandbox
NGFW
Proxy
Netflow
AV AV
BRANCH
Router/UTM
AV AV
ROAMING
AV
Периметр Сети и устройства
Сеть и устройства
Устройство
Всё завязано на
DNS
Предшествует запуску на выполнение файла и установке IP-соединения
Используется всеми устройствами
NOTE1: Visual Investigations of Botnet Command and Control Behavior (link)
• malware reached out to 150,000 C2 servers over 100,000 TCP/UDP ports • malware often used 866 (TCP) & 1018 (UDP) “well known” ports,
whereas legitimate traffic used 166 (TCP) & 19 (UDP) ports
NOTE2: 2016 Cisco Annual Security Report (link) • 9% had IP connections only and/or legitimate DNS requests • 91% had IP connections, which were preceded by malicious DNS lookups • very few had no IP connections
Как использовать DNS для борьбы с угрозами? Почти вся command & control (C2) инфраструктура инициализируется с помощью DNS-запросов с некоторым количеством не-Web ответов в качестве канала обратной связи
Zbot
ZeroAccess
njRAT
Regin
Gh0st
Storm
Pushdo/Cutwail DarkComet
Bifrose
Lethic
Kelihos
Gameover Zeus
Citadel Tinba
Hesperbot
Bouncer (APT1)
Glooxmail (APT1)
Longrun (APT1)
Seasalt (APT1)
Starsypound (APT1)
Biscuit (APT1) PoisonIvy
NON-WEB C2 EXAMPLES
DNS
WEB NON-WEB
IP IP
Миллионы уникальных
образцов ВПО из сетей филиалов за последние два года
Lancope Research (часть Cisco)1
15% C2 обходят
Web-порты 80 & 443
Миллионы уникальных образцов ВПО,
загруженных для проверки за
последние 6 месяцев
Cisco AMP Threat Grid Research2
91% C2 может быть
заблокировано на уровне DNS
ПРОДУКТЫ И ТЕХНОЛОГИИ
UMBRELLA Применение политик и защита Служба сетевой безопасности защищает любое устройство, в любом месте
INVESTIGATE Аналитика Обнаружение и прогнозирование атак до того, как они происходят
DNS запросов в день
80B BGP пиринговых партнеров
500
Ежедневно использующих пользователей
65M Корпоративных заказчиков
10K
Масштаб имеет значение
208.67.222.222
MALWARE
BOTNET
PHISHING
Новый уровень обнаружения проникновений с возможностью внутри сети видеть то, что обычно видно только в Интернет
Расширение ATDs (AMP Threat Grid, FireEye, Check Point) за периметром и получение немедленного ответа на ваши IOCs
Обнаружение целевых атак на вашу компанию по сравнению с тем, что происходит в мире
Расследование атак, используя «живую» карту Интернет-активности
Cisco Umbrella
Предотвращение угроз Не просто обнаружение угроз
Защита внутри и вне сети Не ограничивается устройствами, передающими трафик через локальные устройства
Интеграция с партнерским и пользовательским ПО Не требует услуг профессионалов при настройке
Блокировка каждого домена для всех портов Не только IP-адреса или домены только через порты 80/443
Постоянное обновление Устройству не нужно обращаться к VPN на локальном сервере для получения обновлений
UMBRELLA Применение политик
Что отличает Cisco Umbrella?
Уникальная аналитика для классификации
Анализ
Статистические модели и человеческий
интеллект
Идентификация
вероятно вредоносных сайтов
Захват
С миллионов точек данных за секунды
a.ru
b.cn
7.7.1.3
e.net
5.9.0.1
p.com/jpg
Живая карта DNS запросов и других контекстных данных
Корреляция и статистические модели
Обнаружение & прогнозирование вредоносных доменов
Интеграция данных ИБ с глобальной информацией
Console API
OpenDNS INVESTIGATE
Единый источник коррелированной информации о DNS Cisco Investigate
INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и геораспределение
База пассивной инф. DNS
Вендоры -конкуренты
Not available
Not available
Not available
Вся мощь Investigate + AMP Threat Grid Ускорение реакции и охота за новыми угрозами
Investigate
Знает про инфраструктуру атакующего
AMP Threat Grid
Знает про payload/file, используемый атакующим
173.236.173.144 Source & destination IP
likelybad.com HTTP/DNS traffic
Hosted in 22 countries
baddomain.com
162.17.5.245 suspicious.com
creates .exe file in admin directory
.doc file modifies WINWORD.exe
modifies registry entry
other file system activity and
artifacts created
Request spike
Где Cisco Umbrella и Investigate полезны?
ВРЕДОНОС Exploit Kit или Свой код
Известная или Zero-Day уязвимость
Жестко забитые или DGA отзвоны
Порты и протоколы связи
АТАКУЮЩИЙ Инструменты, Тактика и процедуры
Стратегия и целеполагание
Мотивация и связи
Языки и Регионы
Инфраструктура Сети развертывания (и ASNы)
Сервера инфр-ры ( и DNS )
Выделенное IP поле
Регистрация (и Flux) Домены
НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ
Последовательность атаки
Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ
Защита внутри и снаружи, в VPN и без нее
Защита мобильных пользователей в корпоративной сети и вне ее:
• Активация через AnyConnect
• Защита от вредоносного ПО, фишинга и взаимодействия с C2
• Использование OpenDNS
• Расширение защиты NGFW
Какие техники используют хакеры для запуска ВПО?
Подход
Тактика
Результат
Вектор
Заражение или использование доверенного сайта
Предварительная разведка цели
Доставка и исполнение эксплойта
Заставить пользователя нажать на скомпрометированную ссылку
Методы социальной инженерии
Доставка и исполнение эксплойта
Скрытая доставка ВПО, заметание следов деятельности
Получение доступа через DLL-инъекцию, обход защиты
Компрометация систем и данных
Dropper Watering hole Spear phishing
Электронная почта остается вектором угроз #1
Сложности миграции e-mail в облака
Переход в Office 365 создает новые риски Gartner ожидает 60% перехода к облакам в 20221
Контроль доступа
Утечки данных
Доступность и SLA
Видимость и аудит
1Gartner Report “Office 365, Google Apps for Work and Other
Cloud Office Key Initiative Overview” July 2015
Обнаружение угроз, внедренных в e-mail
Threat outbreak
filters
Антиспам Обнаружение Graymail
Фильтры контента
Оптимизация
обнаружения с
машинным и
человеческим
участием
Останавливает
более 99% спама
Уровень ложных
срабатываний < 1
на 1M
?
Репутационные фильтры
-10
Движок CASE
+10
Защита против вредоносных вложений
Virus outbreak
filters
Ретроспектива безопасности
Отслеживание
поведения e-mail
с 560
индикаторами
Быстрая
нейтрализация
угроз с Zero Hour
Malware Protection
Непрерывное
отслеживание
файлов с
помощью
ретроспективной
безопасности
Репутация
файла
Advanced Malware Protection (AMP)
?
Песочница
?
Антивирус Автолечение для Office 365
Реалии современных киберугроз
Злоумышленники
вероятнее всего будут
контролировать вашу
инфраструктурой через
web
Вероятнее всего
вас взломают через
Ваше окружение
будет взломано
Вредоносный код: техники обнаружения и обхода
Техники обнаружения Техники обхода
Известные сайты и узлы в
Интернет
Смена узлов / страницы перенаправления
Песочница Обнаружение виртуализации
Антивирус Обнаружение антивируса / безфайловое
инфицирование
Сигнатурные системы
(IDS/IPS)
Обфускация файлов / полиморфный код
Что может быть использовано для обнаружения Web-угроз? Разве это все?!
Анализ файлов в Web-
трафике на лету
Отправка файлов
для анализа в
песочнице
Анализ DNS-
запросов и ответов
Категоризация и
контроль репутации
URL
ThreatGRID Cisco Web Security
Appliance
Как работает Cognitive Threat Analytics?
Обработка, близкая к реальному времени
1K-50K инцидентов в день 10B запросов в день +/- 1% аномалий 10M событий в день
HTTP(S) Request
Классификатор X
Классификатор A
Классификатор H
Классификатор Z
Классификатор K
Классификатор M
Кластер 1
Кластер 2
Кластер 3
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request HTTP(S)
Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
Кластер 1
Кластер 2
Кластер 3
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request HTTP(S)
Request
HTTP(S) Request
HTTP(S) Request HTTP(S)
Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request HTTP(S)
Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
Обнаружение аномалий Моделирование доверия Классификация Моделирование сущностей Моделирование отношений
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
HTTP(S) Request
ПОДТВЕРЖДЕН взлом
(нескольких пользователей)
ОБНАРУЖЕНА угроза (unique)
Идентификация аномального web-трафика с помощью статистического анализа
Распознавание атак путем анализа имени доменов в каждом запросе HTTP/HTTPS
Обнаружение инфекций в web-запросах
Обнаружение широкого спектра угроз путем анализа коммуникаций с серверами C2
Определение опасного трафика, тунелированного в HTTP/HTTPS-запросы путем использования IOC
Что может обнаруживать CTA?
Утечки данных Domain Generation Algorithm (DGA)
Exploit Kit Коммуникации с C2-серверами
Туннелирование через HTTP/S
Confirmed Threats – Threat Campaigns
The threat was first detected in your network on Aug 18, 2015 and last observed on Aug 26, 2015. A total of 6 users have shown this threat behavior within the past 45 days. The threat was also detected in 50+ other companies affecting 100+ other users. Threat related to a module of the Gamarue/Andromeda botnet. Gamarue is a modular botnet which can load different modules and present different behaviors. Threat can communicate through HTTP/HTTPS and has anti-VM and anti-debug features. Threat can remain dormant before contacting the command-and-control communication channel to receive instructions. Perform a full scan of the infected device for the record and then reimage the device.
100% Confidence
Cisco WSA (Web Security Appliance)
Внешняя телеметрия (BlueCoat Sec. GW)
Cisco CWS (Cloud Web Security)
Cisco Cognitive Threat Analytics (CTA)
Confirmed Threats
Detected Threats
Threat Alerts
Реагирование на инциденты
HQ
STIX / TAXII API CTA
C
TA
CTA
SIEMs: Splunk, ArcSight, Q1 Radar, ...
HQ
Web Security Gateways
Cloud
Web Security Gateways
CTA a-la-carte ATD bundle = CTA & AMP WSP bundle = CWS & ATD
CTA a-la-carte
CTA a-la-carte
Логи Web (входная телеметрия)
Обнаружение взломов & Видимость сложных угроз
Архитектура Cognitive Threat Analytics
Процесс реагирования Сила в интеграции с другими решениями Cisco
Подтвержденные взломы:
Автоматическое создание тикета, используя существующий SIEM для команды на очистку или переустановку ПК
Подозреваемые взломы и целевые атаки:
Комбинация высокого риска и высокой уверенности с подозреваемой утечкой данных может быть эскалирована на аналитиков 3-го уровня поддержки для ручного анализа
CTA: что происходит после обнаружения
IPS
ISE ИТ-служба
CTA AMP For Endpoint
SIEM
AMP For Endpoint
Обнаружение угрозы Немедленная реакция Финальная реакция
Быстрота и автоматизация Цель: блокировать каналы, по которым работает ВПО для предотвращения утечки данных
Тщательность и адаптация Цель: понять причину и источник, оценить потери, обновить политики
ISE: Карантин пользователя 15мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Блокирование C2-канала 20мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Поиск файлов, генерящих трафик к C2 20мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E: Блокирование ВПО
Unknown
30мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E и CTA 30мин
Обнаружение угрозы Немедленная реакция Финальная реакция
AMP4E+SIEM: разбор полетов 1 день
Ошибка пользователя? Уязвимое приложение? Новый эксплойт?
Обнаружение угрозы Немедленная реакция Финальная реакция
О чём мы забыли?
РАЗВЕДКА ДОСТАВКА
ЦЕЛЬ
СВЯЗЬ ВЫЖИВАНИЕ
ВЗЛОМ
ЗАПУСК ЭКСПЛОЙТ УСТАНОВКА
ЗАРАЖЕНИЕ
Host Anti-
Malware
DNS Защита DNS
Защита web
Защита почты
DNS Защита DNS
Защита Web
NGIPS
Телеметрия
Анализ Netflow
NGIPS
NGFW
NGIPS
NGFW
Анализ Netflow
NGFW
Анализ Netflow
Host Anti-
Malware
Сегментация
Мы можем отправить хост на карантин с помощью StealthWatch
76
Как TrustSec может помочь?
Enterprise Network
Attacker
Perimeter
(Inbound)
Perimeter
(Outbound)
Research targets
(SNS)
1
C2 Server
Spear Phishing
2
http://welcome.to.jangle.com/exploit.php
Victim clicks link unwittingly 3
Bot installed, back door established
and receives commands from C2
server
4
TrustSec блокирует общение между рабочими станциями, что сильно усложняет сканирование, OS Finger printing, exploitation, и privilege escalation
5
Admin Node
Используем возможности
TrustSec чтобы замедлить
потенциальную атаку,
усложнить жизнь
атакующему и увеличить
шансы на его обнаружение
Контроль сетевого обмена между рабочими станциями
1 Сканирование
Distribution Switch
Access Switch
BYOD Device PC
AP
Беспроводная сеть Проводной сегмент
2 Эксплуатация уязвимости Заражённый
PC
Employee Tag
Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123
Пример ACL для блокирования PtH (SMB over TCP), используемый эксплойтом
SGACL Policy
• Замена Private Isolated / Community
VLAN централизованно заданной
политикой;
• Работает для мобильных устройств
(с DHCP-адресами).
• Статичные ACL не могут
обеспечить такой же уровень
гибкости;
• Ни один конкурент не может
предоставить подобной
функциональности!
Сетевой сенсор
StealthWatch
NGFW
Campus/DC
Switches/WLC
Угрозы
API
API
ISE
Сетевые сенсоры Применение политики Обмен
Политика Контекст
TrustSec
Security Group Tag
SIEM
Данные
Реагирование на инциденты с помощью TrustSec
Перенаправление трафика для расследования инцидента
User
Scan
nin
g Скомпрометированный
хост 1
Exp
loit
atio
n
2
SGACL
Коммутатор Маршрутизатор
NGIDS
Flow Collector SIEM
NetFlow NetFlow
Event Log NetFlow
ISE
PxGrid EPS
Назначаем Quarantine SGT
скомпрометированному пользователю
Перенаправление трафика
Коммутатор
• Работает на ASA, ISR4000 и ASR1000;
• Policy-based routing с использованием SGT;
• Перенаправление на основе SGT, например, для карантина или анализа подозрительного трафика.
- Threat events - CVSS - IOC
- Vulnerability assessments - Threat notifications
Threat Centric NAC – угрозоцентричные проверки на соответствие политикам здоровья
Изоляция угроз
AMP Qualys
Cisco ISE
Устройства
Cisco ISE защищает сеть путём сегментации скомпрометированных или уязвимых устройств с последующим лечением
Дополняет проверки Используется информация об уязвимостях
Расширенный контроль на основе информации об угрозах и критических уязвимостей
Быстрая реакция полностью автоматическая, в реальном времени реакция на изменения в статусе хоста с точки зрения угрозы или критических уязвимостей
Кто
Что
Когда
Где
Как
Здоровье
Угроза
Уязвимость
Создаём политику авторизации в ISE основанную на информации об угрозах и уязвимостях
Network Access Policy
Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC)
Threat Centric NAC в деталях Уменьшить количество уязвимостей, ограничить распространение угроз
Изоляция угроз
Проблема
Скомпрометированные хосты распространяют ВПО по всей сети используя уязвимости
1
Malware infection
Malware scans for vulnerable endpoints 2
Vulnerability detected 3
Infection spread
4
Common Vulnerability Scoring System (CVSS) | Indicators of Compromise (IOC) | Advanced Malware Protection (AMP)
Решение
Ограничить доступ скомпрометированных и уязвимым хостам в сеть, пока уязвимости и угрозы не будут устранены
Cisco AMP Vulnerable host
Quarantine and Remediate
IOC CVSS
“Threat detected” Vulnerability scan
‘Vulnerable Endpoints’ – уязвимые хосты на основе Common Vulnerability Scoring System (CVSS)
Изоляция угроз
‘Compromised Endpoints’ – скомпрометированные устройства на основе инцидентов и индикаторов компрометации
Изоляция угроз
Пример политики TC-NAC
Изоляция угроз
Authorization policy for ‘vulnerability’
Первоначально ‘ограниченный’ доступ + Сканирование на уязвимости
Как это коррелирует с моделью безопасности, ориентированной на борьбу угрозами?
ДО Обнаружение
Применение
Усиление
ПОСЛЕ Область
Состояние
Лечение
Жизненный цикл атаки
Обнаружение
Блокирование
Защита
ВО ВРЕМЯ
Сегментация
Ограничение возможностей атакующего/зловредного кода
Добавляем информацию о
роли к сообщениям NetFlow, журналам ASA и WSA
Отправка в карантин при обнаружении прозрачна
для пользователя
Перенаправление трафика на анализ прозрачно для
пользователя
Контроль возможной области заражения
Возможность лечения
поражённых систем
Ещё большее сужение области заражения по мере анализа и
лечения
Непобедимость заключена в себе самом, возможность победы заключена в противнике.
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 87
Сунь Цзы, «Искусство войны»
Что у вас есть?
Чего вам не хватает?
Что вам понадобится?
Идентифицируйте используемые вами
технологии ИБ, используемые данные
и способы их получения, не забывая
про моделирование угроз
Определите ваши краткосрочные,
среднесрочные и долгосрочные планы и
возможные риски и угрозы для них, а
затем определите данные, которые вам
нужны для их обнаружения
Выберите необходимые источники
данных, обучите персонал и, по
необходимости, внедрите новые
решения по кибербезопасности и
анализу информации для ИБ
Что делать после Коннекта?
Свяжитесь с нами
Тестируйте
Составьте план внедрения
Напишите нам на [email protected]
или своему менеджеру Cisco для организации
встречи для более глубокого обсуждения
ваших потребностей и того, как мы можем их
удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию: • dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план
внедрения решений по кибербезопасности
под ваши задачи
Что делать после Коннекта?
#CiscoConnectRu #CiscoConnectRu
Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410 www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia