SlideShare uma empresa Scribd logo

Увидеть все

Cisco Russia
Cisco Russia

Руслан Иванов Инженер-консультант по информационной безопасности

Tecnologia
1 de 91
Baixar para ler offline
Cisco Connect Москва, 2017 Цифровизация: здесь и сейчас
Увидеть все Руслан Иванов Инженер-консультант по информационной безопасности © 2017 Cisco and/or its affiliates. All rights reserved.
Высокая мотивация киберкриминала Изменение бизнес-моделей Динамичность ландшафта угроз Думать как хакер © 2015 Cisco and/or its affiliates. All rights reserved. 4
Точечные и статичные решения © 2015 Cisco and/or its affiliates. All rights reserved. 5 Фрагментация Сложность Требуют лишнего управления
Чего больше всего опасаются сотрудники, отвечающие за безопасность в компаниях?
Типы угроз • Вредоносное ПО • Фишинг • Атаки на инфраструктуру • Атаки нулевого дня • Сложные целенаправленные угрозы • Атаки методом грубой силы • Уязвимости аппаратного и программного обеспечения • Использование сотрудниками личных устройств в рабочих целях • «Теневое IT» – несанкционированное использование облачных сервисов • Нарушение политик безопасности сотрудниками • Недостаток осведомлённости и некомпетентность сотрудников • Недостаток знаний и навыков у ответственных за ИБ и ИТ
Типы нарушителей и атакующих • Нет мотивации на нанесение ущерба конкретной организации • Работают «по площадям» • Используют стандартные инструменты и технологии, широко известные уязвимости или наборы уязвимостей Внешние атакующие/нарушители • Мотивированы на «работу» по конкретной организации • Используют как стандартные инструменты и технологии, так и могут использовать кастомизированные инструменты, неизвестные широкому кругу уязвимости или эксплуатировать новые уязвимости
Типы нарушителей и атакующих • Нет мотивации на нанесение ущерба • Урон наносится из-за недостаточной осведомлённости или пренебрежения выполнением должностных инструкций и политик ИТ/ИБ • Как правило, не обладают привилегированным доступом или такой доступ ограничен Внутренние нарушители или атакующие • Есть мотивация на нанесение максимального ущерба (обида) или на кражу информации («крот») • Нанесение целенаправленного вреда • Хорошая осведомлённость о внутренних практиках и процедурах • Обычно используют стандартные общедоступные инструменты и технологии • Могут обладать привилегированным доступом к множеству систем
• Сложные программные продукты, созданные квалифицированными программистами и системными архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки); • Высокий уровень доработки продуктов для очередной кампании; • Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей; • Известно, что вредоносное ПО будут искать; • Известно про запуск в песочницах; • Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности; • Все лучшие методологии разработки и отладки. Что мы знаем о современном вредоносном ПО?
Прямые атаки формируют большие доходы Более эффективны и более прибыльны
Что такое последовательность атаки?
Из чего состоит последовательность атаки? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на другие ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ Всесторонняя инфраструктура защиты NGIPS NGFW Анализ аномалий Network Anti- Malware NGIPS NGFW Host Anti- Malware DNSЗащита DNS Защита Web Защита Email NGIPS DNSЗащита DNS Защита Web NGIPS Threat Intelligence TALOS
Последовательность атаки: Как мы можем обнаружить сбор информации и разведку, а также попытки доставки ВПО? 17
• В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие • В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны • Открытая • Слепая • Спрятанная • Неизвестная Окно Джохари
4 зоны окна Джохари В скрытой зоне находятся качества, известные человеку, но неизвестные окружающим В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим ? В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие
Открытая Слепая Скрытая Неизвестная Окно Джохари применительно к ИБ Известно аналитику ИБ Не известно аналитику ИБ Известно другим Не известно другим Другие – это пользователи, исследователи, хакеры, спецслужбы…
Обнаружение угроз в открытой зоне Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21
• Плохие файлы • Плохие IP, URL • Спам/Фишинговые Email • Сигнатуры • Уязвимости • Индикаторы компрометации Открытая зона Известно аналитику Известно другим
• NGFW, IPS, Web/Email Security, WAF, песочницы…Решения для обнаружения угроз • API, pxGrid и т.п.Интерфейсы для обмена информацией об угрозах • Сканеры уязвимостей, SAST/DAST, Vulners, БДУ и др. Системы анализа защищенности • OpenIOC, STIX , TAXII, и т.д.Индикаторы компрометации Как обнаруживать известное?
Сетевая траектория – Отслеживание Firepower NGIPS с FireAMP Отслеживание отправителей / получателей в континиуме атаки Файловая диспозиция изменилась на MALWARE История распространения файла Детали хоста
• Получение информации с ошибками; • Отсутствие или исчезновение информации на конкретные угрозы; • Отсутствие учета вертикальной или региональной специфики; • Смена политики лицензирования: • Смена собственника • Поглощение компании-разработчика • Сотрудничество со спецслужбами • Санкции… Риски получения данных об угрозах из одного источника
Почему так важна Threat Intelligence сегодня?! • Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им • Оперирует не только и не столько статичной информацией об отдельных уязвимостях и угрозах, сколько динамической и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP- адресах, взаимосвязях и т.п.
Адреса IPv4 Домены / FQDN Хэши (MD5, SHA1) URL Транзакционные (MTA, User- Agent) Имя файла / путь Mutex Значение реестра Имена пользователей Адреса e-mail Распространенные IoC
Разведка Оснащение Доставка Заражение Инсталляция Получение управления Выполнение действий Файл – имя Файл URI – URL HTTP - GET HTTP – User Agent URI – имя домена Адрес – e-mail Адрес – IPv4 Файл – путь Файл URI – URL Поведение Файл – имя Файл – путь Файл URI – URL HTTP – POST Заголовок e-mail – Тема Заголовок e-mail – X-Mailer URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Ключ реестра Win Файл – имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – CIDR Адрес – IPv4 Код – Бинарный код Процессы Win Ключ реестра Win Файл – имя Файл – путь Файл URI – URL HTTP – GET HTTP – User Agent URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Ключ реестра Win Файл URI – URL HTTP – GET HTTP – POST HTTP – User Agent URI – имя домена Хеш – MD5 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Сервисы Win Файл – Путь Файл – Имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – IPv4 IoC в привязке к последовательности атаки
• Подписки (feeds) – способ представления данных об угрозах; • Поддержка различных языков программирования и форматов данных: • JSON • XML • CyBOX • STiX • CSV • И другие Подписки Threat Intelligence
Этапы зрелости использования подписок TI Эпизодическое применение подписок Регулярное использование отдельных ресурсов с подписок Использование платформы TI Использование API для автоматизации Обмен подписками
Где брать подписки? http://atlas.arbor.net/ Инициатива Arbor ATLAS (Active Threat Level Analysis System): • Глобальная сеть анализа угроз (обманные системы); • Информация берется от обманных систем (honeypot), IDS, сканеров, данных C&C, данных о фишинге и т.д.; • Публичная информация о Топ10 угрозах; • Для доступа к некоторым данным требуется регистрация. http://www.spamhaus.org Проект для борьбы со спамом SPAMHAUS: • Поддерживает различные базы данных (DNSBL) с данными; по угрозам (IP-адреса) – спамеры, фишеры, прокси, перехваченные узлы, домены из спама; • Реестр ROKSO с самыми известными спамерами в мире; • Проверка и исключение своих узлов из «черных списков».
Где брать подписки? https://www.spamhaustech.com SpamTEQ – коммерческий сервис Spamhaus: • Подписки по репутациям IP- и DNS-адресов; • Ценовая политика зависит от типа организации и типа запрашиваемых данных; • Годовой абонемент. https://www.virustotal.com Проект по борьбе с вредоносным кодом: • Проверка файлов и URL на вредоносность; • Бесплатный сервис; • Система поиска.
Где брать подписки? https://www.threatgrid.com Фиды по сетевым коммуникациям • IRC, DNS, IP • Россия и Китай • Сетевые аномалии • RAT и банковские троянцы • И др. https://www.alienvault.com/open-threat-exchange Открытое community по обмену информацией об угрозах • IP- и DNS-адреса • Имена узлов • E-mail • URL и URI • Хеши и пути файлов • CVE-записи и правила CIDR Форматы: • JSON • CyBOX • STiX • CSV • Snort • Raw
Где брать подписки? https://www.cisco.com/security IntelliShield Security Information Service • Уязвимости • Бюллетени Microsoft • Сигнатуры атак Cisco • Web- и обычные угрозы • Уязвимые продукты (вендор-независимый) http://www.malwaredomains.com Проект DNS-BH (Black Holing) • Обновляемый «черный» список доменов, участвующих в распространении вредоносного кода • Список доступен в формате AdBlock и ISA
Обнаружение угроз в слепой зоне Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
• Нехватка журналов • Разрыв в процессах • Отсутствие интеграции • Проблемы масштабирования • Нет корреляции • Ложные срабатывания Слепая зона Неизвестно аналитику Известно другим
Нехватка данных для анализа • Syslog, CDR…Логи • Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги • E-mail, файлы, Web-страницы, видео/аудио…Контент • Netflow, sFlow, jFlow, IPFIX…Потоки • Имена пользователей, сертификаты… Идентификационные данные
Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор ВиртуальныйЦОД ФизическийЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг Откуда брать данные?
Объединяя типы данных и места их сбора Место съема данных Источник данных Сигналы тревоги Контент Потоки Журналы Идентифи кация Интернет- периметр Сервер DHCP ✔ Сервер DNS ✔ DLP ✔ ✔ ✔ WAF ✔ ✔ NAC ✔ ✔ Маршрутизатор ✔ ✔ …
Объединяя типы данных и индикаторы Категория индикатора Индикатор Сигналы тревоги Контент Потоки Логи Идентиф икация Системная активность Неудачные попытки входа ✔ ✔ Доступ к нетипичным ресурсам ✔ ✔ Утечка данных ✔ ✔ ✔ ✔ ✔ Изменение привилегий ✔ ✔ ✔ ✔ Нетипичные команды ✔ ✔ ✔ Нетипичные поисковые запросы ✔ ✔ ✔ ✔ …
• Elastic Search • Log Stash • Kibana • Yandex ClickHouse • Splunk • Security Onion • Flowplotter • Wireshark - tshark • Network Miner • Snort • Suricata • BRO • Flowbat • Tcpdump • Cisco/joy • Cisco StealthWatch • Cisco Investigate • Apache Metron (ex. OpenSOC) Средства сбора и анализа сетевой телеметрии
Единый источник коррелированной информации о DNS Cisco Investigate INVESTIGATE WHOIS база записей ASN атрибуция IP геолокация IP индексы репутации Доменные индексы репутации Домены связанных запросов Обнаружение аномалий (DGA, FFN) DNS запросы по шаблону и геораспределение База пассивной инф. DNS Вендоры -конкуренты Not available Not available Not available
Где Cisco Investigate полезен? ВРЕДОНОС Exploit Kit или Свой код Известная или Zero-Day уязвимость Жестко забитые или DGA отзвоны Порты и протоколы связи АТАКУЮЩИЙ Инструменты, Тактика и процедуры Стратегия и целеполагание Мотивация и связи Языки и Регионы Инфраструктура Сети развертывания (и ASNы) Сервера инфр-ры ( и DNS ) Выделенное IP поле Регистрация (и Flux) Домены НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ Последовательность атаки Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ
Для слепой зоны необходима корреляция Корреляция Пользователи Приложения Сеть Физический мир
Threat Intelligent Platforms • Агрегация телеметрии из множества источников и обогащение данных Аналитика ИБ • OpenSOC (Metron), Splunk, SIEM, ELK, ClickHouse, StealthWatch Облачные решения • Cognitive Threat Analytics, • Cisco Investigate • Sec-aaS Что помогает обнаруживать угрозы в слепой зоне?
Обнаружение угроз в скрытой зоне Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46
• Контекст • Корреляция событий • Исторический контекст • Базовый профиль (эталон) • Анализ данных Скрытая зона Известно аналитику Не известно другим
• У вас могут быть свои подозрительные файлы; • Вы можете не хотеть «делиться» вашими анализами с другими; • Вас может не устраивать оперативность фидов; • Ваш источник фидов может плохо охватывать Россию; • У вас собственная служба расследования инцидентов и аналитики вредоносного кода; • Вы сами пишете вредоносный код  А разве подписок недостаточно? Данные об угрозах в RSA Security Analytics Данные об угрозах в EnCase Endpoint Security
Возможность анализа собственных угроз https://www.threatgrid.com Загрузка собственных угроз • С помощью API в облако • С помощью API на локальное устройство on-premise • Вручную через портал https://malwr.com Сервис анализа вредоносного кода • Базируется на VirusTotal и Cuckoo Sandbox • Бесплатный
• Активы/Сеть • Сетевая топология • Профиль актива • Адрес/местоположение • Аппаратная платформа • Операционная система • Открытые порты/Сервисы/Протоколы • Клиентское и серверное ПО и его версия • Статус защищенности • Уязвимости • Пользователь • Местоположение • Профиль доступа • Поведение Что мы знаем и не знают другие? Файл/Данные/Процесс Движение Исполнение Метаданные Источник «Родитель» Репутация Безопасность Точечные события Телеметрия Ретроспектива
МСЭ / NGFW / NAC IDS / IPS NBAD AV / BDS SIEM / LM X X X X Откуда эти данные взять? X Фильтрация контента И еще ОС, СУБД, сетевые и прикладные службы и сервисы…
Источники данных для анализа Внутренние • Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.) • Критичные ресурсы • СКУД (местоположение, GSM, CCTV, бейджи и т.п.) • Данные о персонале (HR, проверки СЭБ и т.п.) Внешние • Данные от правоохранительных органов • Банковские выписки • Выписки ДМС, медосмотры
• Неудачные попытки входа в системы • Доступ к нетипичным ресурсам • Профиль сетевого трафика • Утечки данных (по объему, типу сервиса и контенту) • Нетипичные методы доступа • Изменение привилегий • Нетипичные команды • Нетипичные поисковые запросы Выбрать индикаторы
• Модификация логов • Нетипичное время доступа • Нетипичное местонахождение • Вредоносный код • Модификация или уничтожение объектов ИТ-инфраструктуры • Поведение конкурентов и СМИ • Необычные командировки и персональные поездки Примеры индикаторов
• Негативные сообщения в социальных сетях • Наркотическая или алкогольная зависимость • Потеря близких • Проигрыш в казино • Ухудшение оценок (review) • Изменение финансовых привычек (покупка дорогих вещей) • Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.) Примеры индикаторов
От данных к анализу информации Данные Информация Знания
От данных к анализу информации Данные Информация Знания Время, Внутренний адрес, Внешний адрес, Пользователь, Репутация, Приложение
От данных к анализу информации Данные Информация Знания Время, Внутренний адрес, Внешний адрес, Пользователь, Репутация, Приложение Пользователь ‘Гость’ вероятно был инфицирован в 2:03, посещая 64.25.1.2, затем контактировал с сервером C&C в 8:32
От данных к анализу информации Данные Информация Знания Время, Внутренний адрес, Внешний адрес, Пользователь, Репутация, Приложение Пользователь ‘Гость’ вероятно был инфицирован в 2:03, посещая 64.25.1.2, затем контактировал с сервером C&C в 8:32 Пользователь ‘Гость’, использовавший планшет на базе Windows 8.1 был инфицирован в 2:03, посещая 64.25.1.2 (nyt.com), из гостевой беспроводной сети, контактировал с сервером C&C (инфраструктура Shamoon) в 8:32
Сетевые ресурсыПолитика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативам  Что Когда Где Как Дверь в сеть Контекст Обмен данными Контекст очень помогает в скрытой зоне
Netflow NGIPS Lancope StealthWatch AMP CTA FireSIGHT Console CWS WSA ESA FirePOWER Services ISE это краеугольный камень сквозной сетевой безопасности Cisco ISE Как ЧтоКтоГдеКогда Во время ПослеДо
Безопасность начинается с понимания окружения
Профилирование с помощью Cisco ISE Feed Service (Online/Offline) Netflow DHCP DNS HTTP RADIUS NMAP SNMP CDP LLDP DHCP HTTP H323 SIP MDNS ACTIVE PROBES DEVICE SENSOR 1.5 million 550+ 250+ 1,5М устройств и 50 аттрибутов на каждого Предустановленных профилей + фиды Профилей для специализированных устройств Cisco ISE Cisco Network
Гибкие методы классификации Динамические Статичные VPN V. Port Profile IP Address VLANsSubnets L3 Interface Port ACI (App- Centric) Идеально для пользовательских и мобильных устройств Пользовательские устройства Политики на основе топологии и ресурсов Внутренние ресурсы Партнёры и иные третьи лица Внешние ресурсы StaticDynamic SGT #1 SGT #2 SGT #3 SGT #4 Виртуальные машины Passive ID (Easy Connect) MAB, Profiling 802.1X. WebAuth pxGrid & REST APIs
Модуль ‘Visibility’ для Anyconnect – обнаружение приложений Cisco Anyconnect с модулем‘Network Visibility’ IPFIX/NetFlow Collector КСПД Public Прозрачность процесс, хэши, URL, и т.д. Контекст для поведенческого анализа Контроль допуск на основе политик безопасности
Что помогает обнаруживать угрозы в скрытой зоне? Визуализация • Траектория файлов • Вектора атак • Имитация пути злоумышленника Аналитика ИБ • Пользовательские запросы в OpenSOC (Metron), Splunk, другие SIEM, Yandex ClickHouse, ELK Контекст • Identity Firewall • NGFW • NAC • ISE • Информация об уязвимостях
Визуализация угрозы
• Threatcrowd.org позволяет организовать поиск взаимосвязей между IOCs: • IP-адреса • Доменные имена • Хеши файлов • Имена файлов • Аналогичную задачу можно реализовать с помощью OpenDNS, Maltego, а также OpenGraphitti Визуализация скрытых связей
Визуализация скрытых связей OpenGraphitti
Обнаружение угроз в неизвестной зоне Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 70
• Выпадающие события / «Черный лебедь» • Аномальное поведение • 0-Days • Нет сигнатур/решающих правил Неизвестная зона Не известно аналитику Не известно другим
Выпадающие события типа «чёрный лебедь» «В России такого никогда не было и вот опять повторилось» В. С. Черномырдин
Обнаружение угроз в неизвестной зоне Неизвестное неизвестное Анализ поведения Машинное обучение Статистический анализ
Обнаружение аномалий и классификация событий Обнаружение аномалий • Скажи мне если произойдет что- то необычное Классификация • Скажи мне когда ты увидишь нечто, похожее на это
Анализ сетевой телеметрии Netflow (jFlow, sFlow, IPFIX) – путь к самообучаемым сетям Использование шаблонов сетевых потоков для поиска угроз Мощный источник информации для каждого сетевого соединения Каждое сетевое соединения в течение длительного интервала времени IP-адрес источника и назначения, IP-порты, время, дата передачи и другое Сохранено для будущего анализа Важный инструмент для идентификации взломов Идентификация аномальной активности Реконструкция последовательности событий Соответствие требованиям и сбор доказательств NetFlow для полных деталей, NetFlow-Lite для 1/n семплов
Кто КудаЧто Когда Как Откуда Больше контекста Высокомасштабиуремый сбор Высокое сжатие => долговременное хранилище NetFlow с точки зрения контекста
С помощью NetFlow можно обнаруживать не столько известные угрозы, сколько аномалии Стадия атаки Обнаружение Использование уязвимостей Злоумышленник сканирует IP-адреса и порты для поиска уязвимостей (ОС, пользователи, приложения) 1  NetFlow может обнаружить сканирование диапазонов IP  NetFlow может обнаружить сканирование портов на каждом IP-адресе Установка вредоносного ПО на первый узел Хакер устанавливает ПО для получения доступа 2  NetFlow может обнаружить входящий управляющий трафик с неожиданного месторасположения Соединение с “Command and Control” Вредоносное ПО создает соединение с C&C серверами для получения инструкций 3  NetFlow может обнаружить исходящий трафик к известным адресам серверов C&C Распространение вредоносного ПО на другие узлы Атака других систем в сети через использование уязвимостей 4  NetFlow может обнаружить сканирование диапазонов IP  NetFlow может обнаружить сканирование портов на каждом IP-адресе внутреннего узла Утечка данных Отправка данных на внешние сервера 5  NetFlow может обнаружить расширенные потоки (HTTP, FTP, GETMAIL, MAPIGET и другие) и передачу данных на внешние узлы
Сетевое обнаружение аномалий (NBAD) Cisco StealthWatch Concern Index отслеживает хосты, компрометирующие сеть • File Sharing Index показывает активность пиринговых сессий • Target Index показывает хосты являющиеся жертвами вредоносной активности • Отчёты по группам хостов выдают сетевые шаблоны и шаблоны приложений Отчет по приложениям Inbound/Outbound Отчет по трафику
StealthWatch – внутренние нарушители и угрозы • Неавторизованный доступ: попытка нарушения политик, блокирована на МСЭ • Внутренняя разведка: Concern Index событие , сканирование на порту tcp/445 • Накопление данных: передача больших объемов данных через сеть – Подозрение на накопление данных – хост загружает данные со многих других хостов – Таргетированный вывод данных– Хост выкачивает большой объем данных через множество других хостов • Утечка данных: идентификация подозрительной передачи данных через Интернет-периметр в течение длительного времени
Обработка Индикаторов компрометации (IoCs) Идентификация подозреваемых в заражении Malware хостов в группах клиентских машин • Визуализация распространения заражения Malware с помощью Worm Tracker – Основные и вторичные заражения – Сканируемые подсети • Применение контекстно-насыщенной телеметрии от ISE для понимания вовлеченных пользователей • Узнать все ли хосты затронуло изначальным заражение
Моделирование и контроль Business Critical процессов в Cisco StealthWatch PCI Zone Map Общий профиль системы Межсистемное взаимодействие
Машинное обучение (искусственный интеллект) Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее
Как работает самообучающаяся сеть? Обнаружение путей прохождения трафика Создание карты IP- адресов Изучение изменений в путях, объёмах, шаблонов, зависимости от времени суток Обнаружение приложений с помощью NBAR и DPI Учимся отличать плохое от хорошего Точное обнаружение аномалии; оператору отправляем запрос на реагирование 3 2 6 4 1 5
Опыт Cisco: необходимо комбинировать методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
Открытая • NGFW / NGIPS • Защита от вредоносного ПО • Спам-фильтры • Безопасность Web Слепая • Платформы Threat Intelligence • Аналитика Big data • Корреляция • Облачные решения Скрытая • Визуализация • Пользовательские запросы • Контекст Неизвестная • Машинное обучение • Статистический анализ • Анализ сетевого поведения Подводим итоги Известно аналитику Не известно аналитику Известно другим Не известно другим
Открытая • NGFW / NGIPS • Защита от вредоносного ПО • Спам-фильтры • Безопасность Web Слепая • Платформы Threat Intelligence • Аналитика Big data • Корреляция • Облачные решения Скрытая • Визуализация • Пользовательские запросы • Контекст Неизвестная • Машинное обучение • Статистический анализ • Анализ сетевого поведения Подводим итоги Известно аналитику ИБ Не известно аналитику ИБ Известно другим Не известно другим
Тот, кто знает, когда он может сражаться, а когда не может, будет победителем. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 89 Сунь Цзы, «Искусство войны»
000011111 110 Интегрированная защита от угроз – это единственный путь обнаружить и остановить продвинутые угрозы 000011111 110 TalosTalos Мобильное ВиртуальноеEndpoint СетьОблако Email и Web Точечное Постоянное Advanced Threats Sandboxing Web Global IntelligenceTal os Shadow IT & Data NGIPS & NGFW Identity & Access Control Email DNS, IP & BGP Anomaly DetectionAnomaly Detection Sandboxing Advanced Threats DNS, IP & BGP Shadow IT & Data Global IntelligenceTal os NGIPS & NGFW Identity & Access Control Email Web Среднее время обнаружения с Cisco: 17 часов Среднее время обнаружения без Cisco: 200 дней
#CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia
Пишитенаsecurity-request@cisco.com Бытьвкурсевсехпоследнихновостейвампомогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/

Recomendados

Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 

Recomendados

Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератакAleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияAleksey Lukatskiy
 
FireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакFireEye - система защиты от целенаправленных атак
FireEye - система защиты от целенаправленных атакDialogueScience
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5Fireeye 201FireEye - система защиты от целенаправленных атак5
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Expolink
 
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Tim Parson
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасностиAleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Cisco Russia
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
O shelestova apt_new
O shelestova apt_newO shelestova apt_new
O shelestova apt_newPositiveResearch
 
ИБ
ИБИБ
ИБmalvvv
 
03
0303
03malvvv
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Опыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхОпыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхSelectedPresentations
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеPositive Hack Days
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАльбина Минуллина
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугрозFireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугрозRoman Ranskyi
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 
Бизнес-модель современной киберпреступности
Бизнес-модель современной киберпреступностиБизнес-модель современной киберпреступности
Бизнес-модель современной киберпреступностиAleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 

Mais conteúdo relacionado

Mais procurados

Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Expolink
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Tim Parson
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасностиAleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Cisco Russia
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Expolink
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Опыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхОпыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхSelectedPresentations
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеPositive Hack Days
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАльбина Минуллина
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугрозFireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугрозRoman Ranskyi
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 
Бизнес-модель современной киберпреступности
Бизнес-модель современной киберпреступностиБизнес-модель современной киберпреступности
Бизнес-модель современной киберпреступностиAleksey Lukatskiy
 

Mais procurados (20)

Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
Cisco. Лукацкий Алексей. "Внешние угрозы: текущие тенденции"
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
Отчет Cisco по кибербезопасности за первое полугодие 2016 г.
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
O shelestova apt_new
O shelestova apt_newO shelestova apt_new
O shelestova apt_new
 
ИБ
ИБИБ
ИБ
 
03
0303
03
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
Опыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организацияхОпыт противодействия целенаправленным атакам в финансовых организациях
Опыт противодействия целенаправленным атакам в финансовых организациях
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защите
 
Адаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятияАдаптивная модель кибербезопасности для цифрового предприятия
Адаптивная модель кибербезопасности для цифрового предприятия
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугрозFireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
Fireeye презентация (NX, EX, FX, CM) - защита от современных киберугроз
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасности
 
Бизнес-модель современной киберпреступности
Бизнес-модель современной киберпреступностиБизнес-модель современной киберпреступности
Бизнес-модель современной киберпреступности
 

Semelhante a Увидеть все

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Expolink
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Aleksey Lukatskiy
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атакиAleksey Lukatskiy
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdftrenders
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Cisco Russia
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредитьCisco Russia
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часCisco Russia
 
SAMS - System Analysis of eMail messageS
SAMS - System Analysis of eMail messageSSAMS - System Analysis of eMail messageS
SAMS - System Analysis of eMail messageSmboxk3
 
SAMS - System Analysis of eMail messageS
SAMS - System Analysis of eMail messageSSAMS - System Analysis of eMail messageS
SAMS - System Analysis of eMail messageSC0ffe1n
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco Russia
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrimeAleksey Lukatskiy
 
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...DefconRussia
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Denis Bezkorovayny
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииCisco Russia
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йAleksey Lukatskiy
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 

Semelhante a Увидеть все (20)

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать...
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
 
Обзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdfОбзор портфолио экспертных сервисов.pdf
Обзор портфолио экспертных сервисов.pdf
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
 
Найти и обезвредить
Найти и обезвредитьНайти и обезвредить
Найти и обезвредить
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
SAMS - System Analysis of eMail messageS
SAMS - System Analysis of eMail messageSSAMS - System Analysis of eMail messageS
SAMS - System Analysis of eMail messageS
 
SAMS - System Analysis of eMail messageS
SAMS - System Analysis of eMail messageSSAMS - System Analysis of eMail messageS
SAMS - System Analysis of eMail messageS
 
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодомCisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
 
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
Alexey lukatsky - Boston cybercrime matrix or what is the business model of ...
 
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
 
Фильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятииФильтрация и контроль контента на предприятии
Фильтрация и контроль контента на предприятии
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
 

Mais de Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Cisco Russia
 

Mais de Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Увидеть все

  • 1.
  • 3. Увидеть все Руслан Иванов Инженер-консультант по информационной безопасности © 2017 Cisco and/or its affiliates. All rights reserved.
  • 5. Точечные и статичные решения © 2015 Cisco and/or its affiliates. All rights reserved. 5 Фрагментация Сложность Требуют лишнего управления
  • 6. Чего больше всего опасаются сотрудники, отвечающие за безопасность в компаниях?
  • 7. Типы угроз • Вредоносное ПО • Фишинг • Атаки на инфраструктуру • Атаки нулевого дня • Сложные целенаправленные угрозы • Атаки методом грубой силы • Уязвимости аппаратного и программного обеспечения • Использование сотрудниками личных устройств в рабочих целях • «Теневое IT» – несанкционированное использование облачных сервисов • Нарушение политик безопасности сотрудниками • Недостаток осведомлённости и некомпетентность сотрудников • Недостаток знаний и навыков у ответственных за ИБ и ИТ
  • 8. Типы нарушителей и атакующих • Нет мотивации на нанесение ущерба конкретной организации • Работают «по площадям» • Используют стандартные инструменты и технологии, широко известные уязвимости или наборы уязвимостей Внешние атакующие/нарушители • Мотивированы на «работу» по конкретной организации • Используют как стандартные инструменты и технологии, так и могут использовать кастомизированные инструменты, неизвестные широкому кругу уязвимости или эксплуатировать новые уязвимости
  • 9. Типы нарушителей и атакующих • Нет мотивации на нанесение ущерба • Урон наносится из-за недостаточной осведомлённости или пренебрежения выполнением должностных инструкций и политик ИТ/ИБ • Как правило, не обладают привилегированным доступом или такой доступ ограничен Внутренние нарушители или атакующие • Есть мотивация на нанесение максимального ущерба (обида) или на кражу информации («крот») • Нанесение целенаправленного вреда • Хорошая осведомлённость о внутренних практиках и процедурах • Обычно используют стандартные общедоступные инструменты и технологии • Могут обладать привилегированным доступом к множеству систем
  • 10.
  • 11. • Сложные программные продукты, созданные квалифицированными программистами и системными архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки); • Высокий уровень доработки продуктов для очередной кампании; • Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей; • Известно, что вредоносное ПО будут искать; • Известно про запуск в песочницах; • Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности; • Все лучшие методологии разработки и отладки. Что мы знаем о современном вредоносном ПО?
  • 12. Прямые атаки формируют большие доходы Более эффективны и более прибыльны
  • 14. Из чего состоит последовательность атаки? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на другие ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
  • 15. Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ Всесторонняя инфраструктура защиты NGIPS NGFW Анализ аномалий Network Anti- Malware NGIPS NGFW Host Anti- Malware DNSЗащита DNS Защита Web Защита Email NGIPS DNSЗащита DNS Защита Web NGIPS Threat Intelligence TALOS
  • 16. Последовательность атаки: Как мы можем обнаружить сбор информации и разведку, а также попытки доставки ВПО? 17
  • 17. • В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие • В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны • Открытая • Слепая • Спрятанная • Неизвестная Окно Джохари
  • 18. 4 зоны окна Джохари В скрытой зоне находятся качества, известные человеку, но неизвестные окружающим В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим ? В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие
  • 19. Открытая Слепая Скрытая Неизвестная Окно Джохари применительно к ИБ Известно аналитику ИБ Не известно аналитику ИБ Известно другим Не известно другим Другие – это пользователи, исследователи, хакеры, спецслужбы…
  • 20. Обнаружение угроз в открытой зоне Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21
  • 21. • Плохие файлы • Плохие IP, URL • Спам/Фишинговые Email • Сигнатуры • Уязвимости • Индикаторы компрометации Открытая зона Известно аналитику Известно другим
  • 22. • NGFW, IPS, Web/Email Security, WAF, песочницы…Решения для обнаружения угроз • API, pxGrid и т.п.Интерфейсы для обмена информацией об угрозах • Сканеры уязвимостей, SAST/DAST, Vulners, БДУ и др. Системы анализа защищенности • OpenIOC, STIX , TAXII, и т.д.Индикаторы компрометации Как обнаруживать известное?
  • 23. Сетевая траектория – Отслеживание Firepower NGIPS с FireAMP Отслеживание отправителей / получателей в континиуме атаки Файловая диспозиция изменилась на MALWARE История распространения файла Детали хоста
  • 24. • Получение информации с ошибками; • Отсутствие или исчезновение информации на конкретные угрозы; • Отсутствие учета вертикальной или региональной специфики; • Смена политики лицензирования: • Смена собственника • Поглощение компании-разработчика • Сотрудничество со спецслужбами • Санкции… Риски получения данных об угрозах из одного источника
  • 25. Почему так важна Threat Intelligence сегодня?! • Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им • Оперирует не только и не столько статичной информацией об отдельных уязвимостях и угрозах, сколько динамической и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP- адресах, взаимосвязях и т.п.
  • 26. Адреса IPv4 Домены / FQDN Хэши (MD5, SHA1) URL Транзакционные (MTA, User- Agent) Имя файла / путь Mutex Значение реестра Имена пользователей Адреса e-mail Распространенные IoC
  • 27. Разведка Оснащение Доставка Заражение Инсталляция Получение управления Выполнение действий Файл – имя Файл URI – URL HTTP - GET HTTP – User Agent URI – имя домена Адрес – e-mail Адрес – IPv4 Файл – путь Файл URI – URL Поведение Файл – имя Файл – путь Файл URI – URL HTTP – POST Заголовок e-mail – Тема Заголовок e-mail – X-Mailer URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Ключ реестра Win Файл – имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – CIDR Адрес – IPv4 Код – Бинарный код Процессы Win Ключ реестра Win Файл – имя Файл – путь Файл URI – URL HTTP – GET HTTP – User Agent URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Ключ реестра Win Файл URI – URL HTTP – GET HTTP – POST HTTP – User Agent URI – имя домена Хеш – MD5 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Сервисы Win Файл – Путь Файл – Имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – IPv4 IoC в привязке к последовательности атаки
  • 28. • Подписки (feeds) – способ представления данных об угрозах; • Поддержка различных языков программирования и форматов данных: • JSON • XML • CyBOX • STiX • CSV • И другие Подписки Threat Intelligence
  • 29. Этапы зрелости использования подписок TI Эпизодическое применение подписок Регулярное использование отдельных ресурсов с подписок Использование платформы TI Использование API для автоматизации Обмен подписками
  • 30. Где брать подписки? http://atlas.arbor.net/ Инициатива Arbor ATLAS (Active Threat Level Analysis System): • Глобальная сеть анализа угроз (обманные системы); • Информация берется от обманных систем (honeypot), IDS, сканеров, данных C&C, данных о фишинге и т.д.; • Публичная информация о Топ10 угрозах; • Для доступа к некоторым данным требуется регистрация. http://www.spamhaus.org Проект для борьбы со спамом SPAMHAUS: • Поддерживает различные базы данных (DNSBL) с данными; по угрозам (IP-адреса) – спамеры, фишеры, прокси, перехваченные узлы, домены из спама; • Реестр ROKSO с самыми известными спамерами в мире; • Проверка и исключение своих узлов из «черных списков».
  • 31. Где брать подписки? https://www.spamhaustech.com SpamTEQ – коммерческий сервис Spamhaus: • Подписки по репутациям IP- и DNS-адресов; • Ценовая политика зависит от типа организации и типа запрашиваемых данных; • Годовой абонемент. https://www.virustotal.com Проект по борьбе с вредоносным кодом: • Проверка файлов и URL на вредоносность; • Бесплатный сервис; • Система поиска.
  • 32. Где брать подписки? https://www.threatgrid.com Фиды по сетевым коммуникациям • IRC, DNS, IP • Россия и Китай • Сетевые аномалии • RAT и банковские троянцы • И др. https://www.alienvault.com/open-threat-exchange Открытое community по обмену информацией об угрозах • IP- и DNS-адреса • Имена узлов • E-mail • URL и URI • Хеши и пути файлов • CVE-записи и правила CIDR Форматы: • JSON • CyBOX • STiX • CSV • Snort • Raw
  • 33. Где брать подписки? https://www.cisco.com/security IntelliShield Security Information Service • Уязвимости • Бюллетени Microsoft • Сигнатуры атак Cisco • Web- и обычные угрозы • Уязвимые продукты (вендор-независимый) http://www.malwaredomains.com Проект DNS-BH (Black Holing) • Обновляемый «черный» список доменов, участвующих в распространении вредоносного кода • Список доступен в формате AdBlock и ISA
  • 34. Обнаружение угроз в слепой зоне Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
  • 35. • Нехватка журналов • Разрыв в процессах • Отсутствие интеграции • Проблемы масштабирования • Нет корреляции • Ложные срабатывания Слепая зона Неизвестно аналитику Известно другим
  • 36. Нехватка данных для анализа • Syslog, CDR…Логи • Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги • E-mail, файлы, Web-страницы, видео/аудио…Контент • Netflow, sFlow, jFlow, IPFIX…Потоки • Имена пользователей, сертификаты… Идентификационные данные
  • 37. Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор ВиртуальныйЦОД ФизическийЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг Откуда брать данные?
  • 38. Объединяя типы данных и места их сбора Место съема данных Источник данных Сигналы тревоги Контент Потоки Журналы Идентифи кация Интернет- периметр Сервер DHCP ✔ Сервер DNS ✔ DLP ✔ ✔ ✔ WAF ✔ ✔ NAC ✔ ✔ Маршрутизатор ✔ ✔ …
  • 39. Объединяя типы данных и индикаторы Категория индикатора Индикатор Сигналы тревоги Контент Потоки Логи Идентиф икация Системная активность Неудачные попытки входа ✔ ✔ Доступ к нетипичным ресурсам ✔ ✔ Утечка данных ✔ ✔ ✔ ✔ ✔ Изменение привилегий ✔ ✔ ✔ ✔ Нетипичные команды ✔ ✔ ✔ Нетипичные поисковые запросы ✔ ✔ ✔ ✔ …
  • 40. • Elastic Search • Log Stash • Kibana • Yandex ClickHouse • Splunk • Security Onion • Flowplotter • Wireshark - tshark • Network Miner • Snort • Suricata • BRO • Flowbat • Tcpdump • Cisco/joy • Cisco StealthWatch • Cisco Investigate • Apache Metron (ex. OpenSOC) Средства сбора и анализа сетевой телеметрии
  • 41. Единый источник коррелированной информации о DNS Cisco Investigate INVESTIGATE WHOIS база записей ASN атрибуция IP геолокация IP индексы репутации Доменные индексы репутации Домены связанных запросов Обнаружение аномалий (DGA, FFN) DNS запросы по шаблону и геораспределение База пассивной инф. DNS Вендоры -конкуренты Not available Not available Not available
  • 42. Где Cisco Investigate полезен? ВРЕДОНОС Exploit Kit или Свой код Известная или Zero-Day уязвимость Жестко забитые или DGA отзвоны Порты и протоколы связи АТАКУЮЩИЙ Инструменты, Тактика и процедуры Стратегия и целеполагание Мотивация и связи Языки и Регионы Инфраструктура Сети развертывания (и ASNы) Сервера инфр-ры ( и DNS ) Выделенное IP поле Регистрация (и Flux) Домены НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ Последовательность атаки Разведка Доставка ЦЕЛЬ Управление Действия ВЗЛОМ Запуск Эксплойт Инсталляция ЗАРАЖЕНИЕ ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ
  • 43. Для слепой зоны необходима корреляция Корреляция Пользователи Приложения Сеть Физический мир
  • 44. Threat Intelligent Platforms • Агрегация телеметрии из множества источников и обогащение данных Аналитика ИБ • OpenSOC (Metron), Splunk, SIEM, ELK, ClickHouse, StealthWatch Облачные решения • Cognitive Threat Analytics, • Cisco Investigate • Sec-aaS Что помогает обнаруживать угрозы в слепой зоне?
  • 45. Обнаружение угроз в скрытой зоне Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46
  • 46. • Контекст • Корреляция событий • Исторический контекст • Базовый профиль (эталон) • Анализ данных Скрытая зона Известно аналитику Не известно другим
  • 47. • У вас могут быть свои подозрительные файлы; • Вы можете не хотеть «делиться» вашими анализами с другими; • Вас может не устраивать оперативность фидов; • Ваш источник фидов может плохо охватывать Россию; • У вас собственная служба расследования инцидентов и аналитики вредоносного кода; • Вы сами пишете вредоносный код  А разве подписок недостаточно? Данные об угрозах в RSA Security Analytics Данные об угрозах в EnCase Endpoint Security
  • 48. Возможность анализа собственных угроз https://www.threatgrid.com Загрузка собственных угроз • С помощью API в облако • С помощью API на локальное устройство on-premise • Вручную через портал https://malwr.com Сервис анализа вредоносного кода • Базируется на VirusTotal и Cuckoo Sandbox • Бесплатный
  • 49. • Активы/Сеть • Сетевая топология • Профиль актива • Адрес/местоположение • Аппаратная платформа • Операционная система • Открытые порты/Сервисы/Протоколы • Клиентское и серверное ПО и его версия • Статус защищенности • Уязвимости • Пользователь • Местоположение • Профиль доступа • Поведение Что мы знаем и не знают другие? Файл/Данные/Процесс Движение Исполнение Метаданные Источник «Родитель» Репутация Безопасность Точечные события Телеметрия Ретроспектива
  • 50. МСЭ / NGFW / NAC IDS / IPS NBAD AV / BDS SIEM / LM X X X X Откуда эти данные взять? X Фильтрация контента И еще ОС, СУБД, сетевые и прикладные службы и сервисы…
  • 51. Источники данных для анализа Внутренние • Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.) • Критичные ресурсы • СКУД (местоположение, GSM, CCTV, бейджи и т.п.) • Данные о персонале (HR, проверки СЭБ и т.п.) Внешние • Данные от правоохранительных органов • Банковские выписки • Выписки ДМС, медосмотры
  • 52. • Неудачные попытки входа в системы • Доступ к нетипичным ресурсам • Профиль сетевого трафика • Утечки данных (по объему, типу сервиса и контенту) • Нетипичные методы доступа • Изменение привилегий • Нетипичные команды • Нетипичные поисковые запросы Выбрать индикаторы
  • 53. • Модификация логов • Нетипичное время доступа • Нетипичное местонахождение • Вредоносный код • Модификация или уничтожение объектов ИТ-инфраструктуры • Поведение конкурентов и СМИ • Необычные командировки и персональные поездки Примеры индикаторов
  • 54. • Негативные сообщения в социальных сетях • Наркотическая или алкогольная зависимость • Потеря близких • Проигрыш в казино • Ухудшение оценок (review) • Изменение финансовых привычек (покупка дорогих вещей) • Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.) Примеры индикаторов
  • 55. От данных к анализу информации Данные Информация Знания
  • 56. От данных к анализу информации Данные Информация Знания Время, Внутренний адрес, Внешний адрес, Пользователь, Репутация, Приложение
  • 57. От данных к анализу информации Данные Информация Знания Время, Внутренний адрес, Внешний адрес, Пользователь, Репутация, Приложение Пользователь ‘Гость’ вероятно был инфицирован в 2:03, посещая 64.25.1.2, затем контактировал с сервером C&C в 8:32
  • 58. От данных к анализу информации Данные Информация Знания Время, Внутренний адрес, Внешний адрес, Пользователь, Репутация, Приложение Пользователь ‘Гость’ вероятно был инфицирован в 2:03, посещая 64.25.1.2, затем контактировал с сервером C&C в 8:32 Пользователь ‘Гость’, использовавший планшет на базе Windows 8.1 был инфицирован в 2:03, посещая 64.25.1.2 (nyt.com), из гостевой беспроводной сети, контактировал с сервером C&C (инфраструктура Shamoon) в 8:32
  • 59. Сетевые ресурсыПолитика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативам  Что Когда Где Как Дверь в сеть Контекст Обмен данными Контекст очень помогает в скрытой зоне
  • 60. Netflow NGIPS Lancope StealthWatch AMP CTA FireSIGHT Console CWS WSA ESA FirePOWER Services ISE это краеугольный камень сквозной сетевой безопасности Cisco ISE Как ЧтоКтоГдеКогда Во время ПослеДо
  • 61. Безопасность начинается с понимания окружения
  • 62. Профилирование с помощью Cisco ISE Feed Service (Online/Offline) Netflow DHCP DNS HTTP RADIUS NMAP SNMP CDP LLDP DHCP HTTP H323 SIP MDNS ACTIVE PROBES DEVICE SENSOR 1.5 million 550+ 250+ 1,5М устройств и 50 аттрибутов на каждого Предустановленных профилей + фиды Профилей для специализированных устройств Cisco ISE Cisco Network
  • 63. Гибкие методы классификации Динамические Статичные VPN V. Port Profile IP Address VLANsSubnets L3 Interface Port ACI (App- Centric) Идеально для пользовательских и мобильных устройств Пользовательские устройства Политики на основе топологии и ресурсов Внутренние ресурсы Партнёры и иные третьи лица Внешние ресурсы StaticDynamic SGT #1 SGT #2 SGT #3 SGT #4 Виртуальные машины Passive ID (Easy Connect) MAB, Profiling 802.1X. WebAuth pxGrid & REST APIs
  • 64. Модуль ‘Visibility’ для Anyconnect – обнаружение приложений Cisco Anyconnect с модулем‘Network Visibility’ IPFIX/NetFlow Collector КСПД Public Прозрачность процесс, хэши, URL, и т.д. Контекст для поведенческого анализа Контроль допуск на основе политик безопасности
  • 65. Что помогает обнаруживать угрозы в скрытой зоне? Визуализация • Траектория файлов • Вектора атак • Имитация пути злоумышленника Аналитика ИБ • Пользовательские запросы в OpenSOC (Metron), Splunk, другие SIEM, Yandex ClickHouse, ELK Контекст • Identity Firewall • NGFW • NAC • ISE • Информация об уязвимостях
  • 67. • Threatcrowd.org позволяет организовать поиск взаимосвязей между IOCs: • IP-адреса • Доменные имена • Хеши файлов • Имена файлов • Аналогичную задачу можно реализовать с помощью OpenDNS, Maltego, а также OpenGraphitti Визуализация скрытых связей
  • 69. Обнаружение угроз в неизвестной зоне Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 70
  • 70. • Выпадающие события / «Черный лебедь» • Аномальное поведение • 0-Days • Нет сигнатур/решающих правил Неизвестная зона Не известно аналитику Не известно другим
  • 71. Выпадающие события типа «чёрный лебедь» «В России такого никогда не было и вот опять повторилось» В. С. Черномырдин
  • 72. Обнаружение угроз в неизвестной зоне Неизвестное неизвестное Анализ поведения Машинное обучение Статистический анализ
  • 73.
  • 74.
  • 75. Обнаружение аномалий и классификация событий Обнаружение аномалий • Скажи мне если произойдет что- то необычное Классификация • Скажи мне когда ты увидишь нечто, похожее на это
  • 76. Анализ сетевой телеметрии Netflow (jFlow, sFlow, IPFIX) – путь к самообучаемым сетям Использование шаблонов сетевых потоков для поиска угроз Мощный источник информации для каждого сетевого соединения Каждое сетевое соединения в течение длительного интервала времени IP-адрес источника и назначения, IP-порты, время, дата передачи и другое Сохранено для будущего анализа Важный инструмент для идентификации взломов Идентификация аномальной активности Реконструкция последовательности событий Соответствие требованиям и сбор доказательств NetFlow для полных деталей, NetFlow-Lite для 1/n семплов
  • 77. Кто КудаЧто Когда Как Откуда Больше контекста Высокомасштабиуремый сбор Высокое сжатие => долговременное хранилище NetFlow с точки зрения контекста
  • 78. С помощью NetFlow можно обнаруживать не столько известные угрозы, сколько аномалии Стадия атаки Обнаружение Использование уязвимостей Злоумышленник сканирует IP-адреса и порты для поиска уязвимостей (ОС, пользователи, приложения) 1  NetFlow может обнаружить сканирование диапазонов IP  NetFlow может обнаружить сканирование портов на каждом IP-адресе Установка вредоносного ПО на первый узел Хакер устанавливает ПО для получения доступа 2  NetFlow может обнаружить входящий управляющий трафик с неожиданного месторасположения Соединение с “Command and Control” Вредоносное ПО создает соединение с C&C серверами для получения инструкций 3  NetFlow может обнаружить исходящий трафик к известным адресам серверов C&C Распространение вредоносного ПО на другие узлы Атака других систем в сети через использование уязвимостей 4  NetFlow может обнаружить сканирование диапазонов IP  NetFlow может обнаружить сканирование портов на каждом IP-адресе внутреннего узла Утечка данных Отправка данных на внешние сервера 5  NetFlow может обнаружить расширенные потоки (HTTP, FTP, GETMAIL, MAPIGET и другие) и передачу данных на внешние узлы
  • 79. Сетевое обнаружение аномалий (NBAD) Cisco StealthWatch Concern Index отслеживает хосты, компрометирующие сеть • File Sharing Index показывает активность пиринговых сессий • Target Index показывает хосты являющиеся жертвами вредоносной активности • Отчёты по группам хостов выдают сетевые шаблоны и шаблоны приложений Отчет по приложениям Inbound/Outbound Отчет по трафику
  • 80. StealthWatch – внутренние нарушители и угрозы • Неавторизованный доступ: попытка нарушения политик, блокирована на МСЭ • Внутренняя разведка: Concern Index событие , сканирование на порту tcp/445 • Накопление данных: передача больших объемов данных через сеть – Подозрение на накопление данных – хост загружает данные со многих других хостов – Таргетированный вывод данных– Хост выкачивает большой объем данных через множество других хостов • Утечка данных: идентификация подозрительной передачи данных через Интернет-периметр в течение длительного времени
  • 81. Обработка Индикаторов компрометации (IoCs) Идентификация подозреваемых в заражении Malware хостов в группах клиентских машин • Визуализация распространения заражения Malware с помощью Worm Tracker – Основные и вторичные заражения – Сканируемые подсети • Применение контекстно-насыщенной телеметрии от ISE для понимания вовлеченных пользователей • Узнать все ли хосты затронуло изначальным заражение
  • 82. Моделирование и контроль Business Critical процессов в Cisco StealthWatch PCI Zone Map Общий профиль системы Межсистемное взаимодействие
  • 83. Машинное обучение (искусственный интеллект) Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее
  • 84. Как работает самообучающаяся сеть? Обнаружение путей прохождения трафика Создание карты IP- адресов Изучение изменений в путях, объёмах, шаблонов, зависимости от времени суток Обнаружение приложений с помощью NBAR и DPI Учимся отличать плохое от хорошего Точное обнаружение аномалии; оператору отправляем запрос на реагирование 3 2 6 4 1 5
  • 85. Опыт Cisco: необходимо комбинировать методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
  • 86. Открытая • NGFW / NGIPS • Защита от вредоносного ПО • Спам-фильтры • Безопасность Web Слепая • Платформы Threat Intelligence • Аналитика Big data • Корреляция • Облачные решения Скрытая • Визуализация • Пользовательские запросы • Контекст Неизвестная • Машинное обучение • Статистический анализ • Анализ сетевого поведения Подводим итоги Известно аналитику Не известно аналитику Известно другим Не известно другим
  • 87. Открытая • NGFW / NGIPS • Защита от вредоносного ПО • Спам-фильтры • Безопасность Web Слепая • Платформы Threat Intelligence • Аналитика Big data • Корреляция • Облачные решения Скрытая • Визуализация • Пользовательские запросы • Контекст Неизвестная • Машинное обучение • Статистический анализ • Анализ сетевого поведения Подводим итоги Известно аналитику ИБ Не известно аналитику ИБ Известно другим Не известно другим
  • 88. Тот, кто знает, когда он может сражаться, а когда не может, будет победителем. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 89 Сунь Цзы, «Искусство войны»
  • 89. 000011111 110 Интегрированная защита от угроз – это единственный путь обнаружить и остановить продвинутые угрозы 000011111 110 TalosTalos Мобильное ВиртуальноеEndpoint СетьОблако Email и Web Точечное Постоянное Advanced Threats Sandboxing Web Global IntelligenceTal os Shadow IT & Data NGIPS & NGFW Identity & Access Control Email DNS, IP & BGP Anomaly DetectionAnomaly Detection Sandboxing Advanced Threats DNS, IP & BGP Shadow IT & Data Global IntelligenceTal os NGIPS & NGFW Identity & Access Control Email Web Среднее время обнаружения с Cisco: 17 часов Среднее время обнаружения без Cisco: 200 дней
  • 90. #CiscoConnectRu#CiscoConnectRu Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции © 2017 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com www.facebook.com/CiscoRu www.vk.com/cisco www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia
  • 91. Пишитенаsecurity-request@cisco.com Бытьвкурсевсехпоследнихновостейвампомогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/