Презентация с Payment Security 2019 про борьбу с 0day атаками

1. Алексей Лукацкий
Бизнес-консультант по безопасности
Один зеродей и
тысяча ночей без
сна

2. Как мы обычно боремся с вредоносным ПО?
• ИБ или ИТ-службы, которые привыкли
делать «потому что так принято», не
задумываясь о актуальной модели угроз
• Традиционный (или даже продвинутый)
антивирус на ПК
• МСЭ на периметре для блокирования
вредоносных коммуникаций (C&C или
139-й порт)
• Настройки антивируса обычно
используются по умолчанию
Антивирус
МСЭ

3. C чем может бороться данный сценарий?
• Широко
распространенное
вредоносное ПО
• Сигнатуры для него
известны в течение
месяцев
• Если используются
командные C&C-
сервера, то их IP-адреса
обычно известны
• Вложения в e-mail,
содержащие старые
исполняемые файлы
• Старое вредоносное ПО
на флешках
• Прямая загрузка
вредоносного ПО из
Интернет (например,
бесплатные антивирусы
или дефрагментаторы)
Уровень обнаружения на VT – выше 80%

4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Начнем с
определений

5. Жизненный цикл уязвимости
tv te td t0 ts tp ta
Уязвимость
появилась
Эксплойт выпущен
в
мир
Уязвимость
известна
вендору
Уязвимость
публично
раскрыта
Выпущена
сигнатура
для
AV/IDS
Выпущен
патч
Патч
внедрен
Окно незащищенности
Атака 0day

6. Кто вовлечен в бизнес по поиску 0day?
Приват
Приват
Паблик
t
Государства,
оборонные
подрядчики,
разработчики
эксплойтов,
исследователи
уязвимостей
«Плохие
парни»
Вендора,
ищущие 0day в
своих
решениях,
охотники bug
bounty, Google
Project Zero…

7. Биржи скупки уязвимостей

8. Биржа скупки уязвимостей Zerodium
В отличие от легальных
программ Bug Bounty,
предлагаемых ИТ-
производителями, биржи
скупки уязвимостей платят
на порядок больше денег,
мотивируя
«исследователей»
работать с ними

9. И даже прямо ищут

10. • 0-Day для Adobe – 30000$
• 0-Day для Apple – 250000$
• Эксплойт-кит – 200-600$
• Blackhole эксплойт-кит – 700$
в месяц (лизинг) или 1500$ в
год
• Шпионское ПО – 200$
Разработка на заказ
Примечание: цены могут постоянно меняться в ту или иную сторону

11. 0day встречаются не только в APT
1%
9%
90%
Сигнатуры и
правила
Поведенческий анализ,
облачная репутация,
Threat Intelligence, NTA
Машинное обучение,
песочницы, threat hunting,
forensics
Широко
распространенное,
обычное ВПО
Сложное ВПО
Целевое и
уникальное ВПО

12. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несколько фактов о 0day
• Средняя длительность 0day-атаки
составляет 312 дней (медиана – 8
месяцев)
• После раскрытия 0day-уязвимости
число использующего ее ВПО
возрастает в 183-85000 раз, а число
атак с ней возрастает на 5 (!) порядков
• Эксплойты для 0day уязвимостей
появляются в течение 30 дней после
даты раскрытия уязвимости в 42%
случаев
Длительность 0day-атак

13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несколько фактов о 0day
Атаки с 0day-уязвимостями ВПО с 0day-уязвимостями
Источник: Symantec Research Lab

14. Зачем полагаться на
антивирус, если он
ловит только
банальщину?

15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Антивирус не спасает
Источник: Group-IB
Нет антивируса
14%
Kaspersky
44%
Microsoft
16%
Symantec
7%
Dr.Web
8%
Другие
11%

16. SaaS для киберпреступности – проверка
детектирования
• Проверка вредоносного
кода на проверку набором
антивирусов
• Снижение рисков
обнаружения

17. Так у меня на
периметре стоит
NGFW из правого
верхнего квадранта
Гартнера!

18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сеть
Пользователи
Головной офис
ЦОД
Администратор
Филиал
Посмотрите на современную, вашу, сеть
Мобильные пользователи
Облако
Какие варианты проникновения в нее существуют?

19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Нормальное распределение длин поддоменов Аномалии в названии поддоменов
log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com
log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com
Что скрывается в этой строке на 231 символ?
Утечка номеров кредитных карт через DNS

20. Взлом через Wi-Fi в контролируемой зоне

21. История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др.
• 44-ФЗ как угроза информационной безопасности…
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод
заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
Начало 2000-х годов

22. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Взлома Web-портала Equifax
• 10 марта 2017 года злоумышленники нашли
известную уязвимость на портале Equifax,
позволившую получить доступ к Web-
порталу и выполнять на нем команды
• Информация об уязвимости была разослана
US CERT двумя днями ранее
• После идентификации уязвимости
злоумышленники запустили эксплойт и
получили доступ к системе, проверив
возможность запуска команд
• Никаких данных украдено еще не было

23. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 2 в атаке на Equifax: эксплуатация
уязвимости
• 13 мая 2017 года
злоумышленники
эксплуатировали эту
уязвимость и проникли во
внутренние системы, выполнив
ряд маскирующих процедур
• Например, использовалось
существующее
зашифрованное соединение
для генерации
запросов/получения ответов

24. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Взлом British Airways
• Между 21 августа и 5
сентября 2018 года
хакерская группа Magecart
(или маскирующаяся под
нее), взломав сервер
авиакомпании British Airways,
похитила данные 380 тысяч
клиентов, включая их ПДн и
финансовую информацию
• Позже BA сообщила, что
могли пострадать еще 185
тысяч клиентов

25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Начало сценария схоже с Equifax
• Отличие в том, что в случае с BA
был взломан сайт авиакомпании и
подменен JavaScript, собирающий
данные клиентов, с последующей
пересылкой данных на
вредоносный ресурс baways.com
• Также есть предположение, что
взломан мог быть не сайт BA, а CDN,
используемый провайдерами связи
для кеширования популярных
ресурсов или сервер третьей
стороны

26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Атака «водопой» (water hole)
А также взлом ASUS,
Avast и др.

27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Взлом NASA
• В апреле 2018 хакеры
проникли во внутреннюю
сеть NASA и украли 500 МБ
данных по миссии на Марс
• В качестве точки входа
использовался портативный
компьютер Raspberry Pi,
установленный в сети NASA

28. 17 каналов проникновения плохих парней в вашу
организацию?
1. E-mail
2. Web
3. Site-to-Site VPN
4. Remote Access VPN
5. Sharing resources
6. USB
7. Wi-Fi
8. Warez
9. BYOD
10. Embedded
11. Клиент-сервер с
шифрованием
12. DevOps
13. Подрядчики
14. Уязвимость на
портале
15. «Водопой» (Waterhole)
16. DNS
17. Облако

29. Можем ли мы бороться
с тем, чего не знаем?

30. Для защиты от 0day надо учитывать Kill chain
Доставка
Эксплойт
Инсталляция
C&C
Действие
Анализ
Расширение
плацдарма
Инсталляция /
исполнение
Запуск
Захват Сбор Утечка Удаление
Разведка
Вооружение Определение цели
Подготовка
Планирование
Вторжение

31. Любая активность
злоумышленников
базируется на
наблюдаемых и
измеряемых действиях

32. Threat Intelligence - это не только фиды и IoCи
•Инструменты
•Артефакты
•Индикаторы
•Кампании
•Тактика
•Техника
•Процедуры
•Атрибуция
•Цели
•Стратегия
Стратегический Тактический
ТехническийОперационный
Долгосрочные
Краткосрочные
Менее детальные Более детальные

33. Откуда можно брать данные TI?
• Открытые источники фидов
• Частные (закрытые) источники фидов
• Социальные сети
• Twitter
• Сайты и блоги исследователей
• Youtube
• Deep Web / Darknet
🔍

34. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: 2 российских поставщика TI
Источник: Владимир Бенгин, Positive Technologies
IP-адреса
Домены
5907
(активных 563)
305351
(активных 4682)
Данные по C2C-фидам
за 01.02.2019-07.02.2019
760
(активных 10)
2568
(активных 24)
32
IP-адреса
44
домена
Пересечение

35. Продвинутая защита для большинства случаев
• Threat Intelligence для всех элементов
системы защиты
• Расширение функционала решения за
счет контроля поведения трафика и
пользователей
• Дополнение функционала EPP
функциями обнаружения и
реагирования на инциденты (EDR) и
круглосуточный мониторинг и
реагирование (MDR)
• Интеграция хостовых и сетевых средств
обнаружения и реагирования
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Мониторинг DNS
ИБ IaaS/PaaS
Mobile Device
Management (MDM)
Защита
серверов
CASB

36. C чем может бороться данный сценарий?
• Отсутствие повтора
поведения
• Обфускация файлов для
обхода продвинутых
песочниц
• Маскировка под
нормальные файлы,
удаление индикаторов
заражение
• 0Day в пользовательских
приложениях
• Модификация известных
техник, адаптированных
под новые приложения и
ОС
• Распространение по сети
(например, после
компрометации ПК)
Уровень обнаружения на VT – менее 5%

37. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Быстрый взгляд на DNS
DNS = Domain Name System
• Первый шаг в подключении к
Интернет
• Используется на всех устройствах
(даже на мобильных)
• Не зависит от порта
DNS FW / SIG
Cisco.com 72.163.4.161

38. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Мониторинг DNS
Malware
C2 Callbacks
Phishing
ЦЕНТР
Sandbox
NGFW
Proxy
Netflow
AV AV
ФИЛИАЛ
Router/UTM
AV AV
РОУМИНГ
AV
Первая линия
Сеть и хосты
Сеть и хосты
Хосты
Всё начинается с
DNS
Предвосхищает открытие
файлов и IP соединение
Используется всеми
устройствами
Не зависит от порта

39. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Три подхода к мониторингу внутренней сети
Анализ логов сетевых
устройств
• Самый дешевый вариант
• Зависит от производителя
и модели устройства
• Требует анализатора (LM
/ SIEM)
Потоки трафика
• Защита инвестиций в
инфраструктуру
• Зависит от типа
протокола Flow
• Требует анализатора
(NTA / SIEM)
«Сырой» трафик для
СОВ / СОА
• Самый распространенный
и самый очевидный
вариант
• Большое количество
решений на рынке
• Об этом же говорят
регуляторы

40. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Использование технологий SPAN,
RSPAN, ERSPAN или TAP
• Подходит для глубокого анализа
конкретной сессии с захватом не только
заголовка, но и тела данных
• Может быть использован для хранения
доказательной базы
Сравнение захвата пакетов и анализа потоков
• Использование протоколов Netflow,
sFlow, IPFIX, NetStream и других
• Сбор метаданных из сетевого трафика
• Первоначально использовался для
анализа статистики и поиска проблем в
сети
• Применение специальных алгоритмов
позволяет использовать для анализа
угроз безопасности
Захват пакетов Анализ потоков

41. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Proxy
Data
Security Packet
Analyzer
Packet Data &
Storage
Решения класса NTA
Комплексная
безопасность
и сетевой
мониторинг
NTA Cloud
Endpoint
License
UDP
Director
Other
Traffic Analysis
Software
Flow
Sensor
Hypervisor with
Flow Sensor VE
Non-NetFlow
enabled equipment
VMVM
NAC
Flow
Collector
Management
Console
Threat Feed
License
NetFlow enabled
routers, switches,
firewalls
Cognitive
Analytics

42. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Экспорт Netflow/IPFIX зависит от
активного/неактивного таймера и
может приводить к задержкам до
30 минут
• Полная видимость всего трафика
• Позволяет обеспечивать
расследование инцидентов
Анализ семплированной телеметрии в
контексте кибербезопасности
• Данные передаются в реальном
времени
• Хорошо подходит для обнаружения
массированных DoS/DDoS-атак
• Пропуск «многопакетных» атак,
непопавших в семплированный
трафика
• Пропуск «атомарных» атак
• Не подходит для расследования
инцидентов
Несемплированная Семплированная

43. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что вы можете увидеть?
botnet
excessive communication
torrent
SSH cracking
8
6
5
c&c8
5
DETECTED INCIDENTS
ICMP burst7
unexpected DNS usage6
SMB service discovery8 6-
TOR4
vulnerability scanning tool5
phishing5
risk
cryptowall10
sality8
ramnit9
suspicious file download7
CONFIRMED INCIDENTS
anomaly detection + global feature cache + IOCs
ad injector
anonymization software
banking trojan
click fraud
cryptocurrency miner
exfiltration
exploit kit
information stealer
malicious advertising
malicious content distribution
malware distribution
maney scam
PUA
ransomware
scareware
spam botnet
spam tracking
trojan
310 -
DNS sinkhole7

44. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

45. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Предотвращаем Обнаруживаем Снижаем риск
•Антивирус
•Обнаружение бестелесного
ВПО
•Облачная аналитика (1:1,
1:многим)
•Клиентские индикаторы
компрометации
•Статический анализ
•Песочница
•Защита от вредоносной
активности
•Машинное обучение
•Корреляция потоков данных
с устройства
•Облачные индикаторы
компрометации
•Уязвимое ПО
•Редко встречаемые файлы
•Анализ логов прокси
Как защитить ПК и сервера? EDR!

46. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что произошло?
Где точка отсчета?
Куда попало ВПО?
Что происходит?
Как остановить это?
Непрерывный мониторинг хостов с EDR

47. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Поиск следов угроз (Threat hunting)
Лечение в один клик
Корреляция данных об угрозах
Обеспечение глубокого расследования

48. Ключевые особенности технологии
поведенческой аналитики
• Анализ активности не столько пользователей,
сколько активностей, с ними связанной (действия,
процессы, приложения, сетевой трафик и т.п.)
• Анализу подлежит активность и поведение
пользователей, а не роли, атрибуты или параметры
доступа (хотя они важны в контексте)
• Анализ подразумевает не использование жестко
зафиксированных правил корреляции, а
применение более интеллектуальных методов
(например, машинного обучения и т.п.),
позволяющих без описанных ранее шаблонов
зафиксировать аномалии в поведении

49. 3 причины обращения заказчиков к UEBA
• Нехватка возможностей существующих
решений и технологий по обнаружение
угроз, связанных с деятельностью
пользователей
• Необходимость мониторить окружение,
которое не покрывается другими
решениями и технологиями
• Высокая стоимость сортировки и
приоритезации событий ИБ в
существующих SIEM-решений, которые
как-то оперируют событиями, связанными
с пользователями

50. Продукт или технология?
• Вы можете выбрать
отдельный продукт или
встроенную в
существующее решение
технологию / функцию
• Возможно сегмент
отдельных продуктов
UEBA «вымрет»,
слившись с другими
классами продуктов,
повысивших свою
эффективность работы с
пользовательским
контекстом
UEBA
Технология
SIEM DLP NTA EDR IAG/PAM
Продукт

51. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Автоматизация обнаружения атак на уровне
сети и хостов
Если ВПО
попало на хост Немедленное
обнаружение
Блокирование /
удаление на
хосте
Блокирование на уровне
сети, хостов, email и облаков
EDR + NTA + UEBA + NGIPS + …

52. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Кто?
Известные пользователи
(Сотрудники, продавцы, HR)
Неизвестные пользователи
(Гости)
Что?
Идентификатор устройства
Классификация устройств
(профиль)
Состояние устройства
(posture)
Как?
Проводное подключение
Беспроводное
подключение
VPN-подключение
Где / куда / откуда?
Географическое
местоположение
Департамент / отдел
SSID / Порт коммутатора
Когда?
Дата
Время
Другие?
Пользовательские
атрибуты
Статус устройства /
пользователя
Используемые
приложения
Опыт динамической сегментации в Cisco

53. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Автоматизация сетевой сегментации
Сеть
Сетевая
безопасность
Контроль
сетевого
доступа
Кто
Что
Где
Автоматический
карантин

54. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сетевая инфраструктура должна быть
системой защиты
0
1
2
3
4
Не ограничивайтесь
периметром
Используйте
Netflow или IPFIX
Используйте
несемплированный
Netflow
Проверьте загрузку
оборудования
Начните с уровня
доступа
5
6
7
8
9
Если российское, то
с поддержкой flow
Комбинируйте
NTA и СОВ/СОА
Думайте о зонировании,
а не о МСЭ
Интегрируйте средства
мониторинга сети и
контроля сетевого доступа
Учитывайте стратегию
развития своей сети

55. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
В современных предприятиях данным разрешено
перемещаться между…
Любыми
пользователями
Сотрудники
Контрактники
Партнеры
Любыми
устройствами
Корпоративные
Собственные
IoT
Любыми
приложениями
ЦОД
Мультиоблако
SaaS
В любых
местах
Внутри сети
Через VPN
Вне сети

56. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Политики белых
списков для обычной
активности
Безопасность
требует
непрерывных
обнаружения
и
верификации
Цифровой бизнес оперирует в серой зоне
Идентификатор
пользователя
Статус
устройства
Профиль
устройства
Зависимость
приложений
Файл · IOC
Домен
IP · URL
Отправитель
сообщения
Шаблон
поведения
Политики черных
списков для вредной
активности
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

57. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
4 столпа доверенного предприятия в Cisco
Secure
Administration
Identity Services
Engine (ISE)
Software Defined
Access
Доверенный
доступ
Single Sign On
802.1x
Multi-Factor
Authentication
Доверенная
идентичность
Trusted Endpoint
Trusted Server
Trusted Network
Network Services
Orchestrator
Доверенная
инфраструктура
Internal App
security
baselines
SaaS security
baselines
IaaS security
baselines
Доверенные
сервисы

58. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Доверенные оконечные устройства
Стандарт доверенного устройства
Регистрация устройства
Anti-malware
Версия ОС
Обновление ПО
Шифрование
Обнаружение root/jailbreak (только для мобильных)
Пароль/Скринсейвер
Удаленная очистка данных
Управление устройством (MDM)
Инвентаризация ПО и железа
Cisco Security Suites
CISCO CYODКУПЛЕНО CISCO
65,344
MOBILE
DEVICES
121,593
CISCO
SUPPLIED
DEVICES
6,230
41,655
13,472
74,947
48,802
341

59. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Доверенные сервера
Стандарт доверенного сервера
Регистрация устройства
Управление конфигурацией
Защита ОС
Обновление ОС
Управление уязвимостями ПО и ОС
Защищенное управление
Централизованная аутентификация
Шифрование данных
Защита учетных записей и разделяемых секретов
Anti-malware
Интеграция с SIEM и реагированием на инциденты
Замкнутая программная среда (AWL)
IT UCS
серверов
12,042
Виртуальных
машин
47,526

60. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Доверенные сетевые устройства
61
Аутентификация периметра (802.1x)
Защищенное управление
Контроль & автоматизация защищенной
конфигурации (SDN)
Сегментация
MFA для удаленного доступа
Шифрование WAN
Role Based Access Controls (ARBAC)
Политики защищенного доступа
(SNMP/SSH ACL)
Шифрование канала аутентификации
(TACACS шифрование)
Аутентификация и шифрование уровня
управления (SNMPv3)
Централизованная регистрация событий
Аутентификация и централизация хранилища
identity (TACACS+, LDAP)
Контролируемый защищенный авторитативный
DNS-сервис (pDNS, ODNS)
Защищенный источник времени (NTP)
Мониторинг административного доступа (AAA
Accounting & Logging)
Аутентификация протоколов маршрутизации
Контроль целостности имиджа сетевой ОС
Дифференцированный доступ (политика
динамических пользователей и устройств,
оценка состояния & защита)
Стандарт доверенного сетевого устройства
8,495
LAN Switches
7,607
Routers
653
Wireless LAN
Controllers
30,022
Cisco Virtual
Office
715
Firepower, ASA

61. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Доверенные внутренние приложения
62
Стандарт доверенного приложения
Регистрация приложений (ServiceNow)
Управление конфигурацией
Централизованная аутентификация (SSO)
Оценка воздействия на приватность (GDPR)
Управление уязвимостями и патчами (Qualys, Rapid7)
Защищенное управление
Мониторинг и защита данных (DLP, IRM, шифрование)
Оценка исходного кода приложений (SCAVA)
Базовая и глубокая оценка приложений (BAVA/DAVA)
Управление ключами и шифрование
Защита SOAP, REST и API
Интеграция с SIEM и реагированием на инциденты
3982 внутренних
приложений
Сложности
• Старые приложения
• Высокая кастомизация
• Поддержка после EOL
• Как управлять рисками
• Автоматизация стандарта

62. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проверка
гигиены
Managed
Browser
OS Status
Mac OS X is out of
date
Out-of-date operating
systems are a security
concern.
Mac OS X 10.14.2
Mac OS X 10.14
See how to update Mac OS X
Автоматизация доверенного доступа
Проверка
идентичности
Доступ
нормальных
приложений
Блокирование
доступа
Доступ
разрешен
© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public

63. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Модель зрелости безопасности
Политика на
базе
места/IP
вставки
безопасности
Политика на
базе
понимания
App/ID
на все
предприятие
Дизайн
потоков от
активов к
данным
по бизнес-целям
Обнаружение
активов &
данных
предприятие+3-и
стороны
Непрерывное
обнаружение
сеть+облако+ПК
Непрерывная
верификация
предприятие+3-и
стороны
1
2
3
4
5
6
Усиление инфраструктуры
Управление рисками
Динамический контекст
Эволюция угроз и доверия
Статическое
предотвращение

64. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Непрерывная верификация
На примере бета-проекта в Cisco

65. Как бороться со спецслужбами?
• Фокус на обнаружении
• Стратегия разрешения только хорошо
известного
• Белые списки приложений и изоляция
сегментов сети, приложений и узлов на
уровне данных, не допуская взаимодействия
доверенных и недоверенных активов
• Виртуализация, удаленные браузеры на
уровне ПК
• TPM, контроль целостности ОС, подпись всех
e-mail, контроль потоков, удаленная
верификация
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Контроль
приложений
ЛокализацияЗащита
серверов
Изоляция
Мониторинг DNS
Mobile Device
Management (MDM)

66. • Начать с пересмотра стратегии кибербезопасности
• Понять мотивацию злоумышленников для их предприятия
• Учесть тактику, техники и процедуры (TTP), используемые
злоумышленниками
• Идентифицировать слабые звенья в их организации, в их сети,
в их системе защиты
• Думать как злоумышленники – действовать как безопасники
(применяйте Red Team / Blue Team)
• Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ»
Что надо делать компаниям?

67. • Пересмотреть их систему защиты
• Сбалансировать технологии защиты (предотвращение,
обнаружение и реагирование) – вместо соотношения 80-15-5
перейдите к 33-33-34
• Задуматься о безопасности внутренней сети также, как они
защищают периметр
• Мониторить даже то, чего у них по политике нет (Wi-Fi,
мобильные устройства, 3G/4G-модемы, облака и т.п.)
• Внедрить систему Threat Intelligence для раннего
предупреждения об угрозах
Что надо делать компаниям?

68. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public

69. Спасибо
за
внимание!
alukatsk@cisco.com