Продвинутая защита от продвинутых атак. resentation.pdf · Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 9 Ключ успеха

Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 1

Продвинутая защита от

продвинутых атак.


Знакомство с FireEye

• Компания основана в 2004 году, поставляет

свои решения с 2006

• 1000+ сотрудников в 6 странах, Штаб-квартира

Милпитас, Калифорния

• ~2200 Клиентов, во всех регионах, в каждой

индустрии

• Инвестиции от Топ-компаний - Sequoia Capital,

NorWest, Juniper, Silicon Valley Bank,

• Лучший Security IPO за 8 лет (капитализация

$ 4,594 млн)

Включена в зал Инноваций

1 место в списке Наиболее быстро

растущих компаний 2013

2012 Technology Innovation Award


Тестирование в «реальном мире»

«Линия Мажино

кибербезопасности:Оценка многоуровневой модели

безопасности в реальном мире



Проанализированы данные с 1614 устройств FireEye

Исследовано 1216 организациях по всему миру в период с Октября

2013 по Март 2014

Опрошено 348 организаций

Исходные данные:

Сетевое и почтовое решение

FireEye ставится за всеми

остальными решениями

безопасности.



Результаты!

97% организаций оказались

взломанными

27% Атак имели признаки

APT

122Вредоносных элемента

пропустила каждая

организация


Ландшафт киберугроз

Угрозы нового поколения

• Zero-day атаки

• APT (ATA)

• Полиморфные угрозы

• Смешанные угрозы

• Spear Phishing

2004 2006 2008 2010 2012

Advanced Persistent Threats

Zero-dayTargeted AttacksDynamic Trojans

Stealth Bots

WormsViruses

Spyware/BotsУ

ще

рб

от

Ата

к


Ландшафт киберугроз

Угрозы нового поколения

• Глобальные

• Адаптивные

• Скрытные

• Динамичные

• Настойчивые

2004 2006 2008 2010 2012

Advanced Persistent Threats

Zero-dayTargeted AttacksDynamic Trojans

Stealth Bots

WormsViruses

Spyware/BotsУ

ще

рб

от

Ата

к


Анатомия проникновения угрозы/APT

Многоэтапность атаки


Ключ успеха современных атак

Firewalls/

NGFW

Блокировка

соединений по

IP\портам, L7.

Не эффективен

против APT

IPSSecure Web

Gateways

Анализ

скриптовых

угроз, AV, IP/URL

фильтрация. Не

способность

обнаружить

APT, 0-day

Anti-Spam

Gateways

Концентрация на

борьбе с

вирусами,

сигнатурный

анализ.

Отсутствует

защита от

направленного

фишинга (spear-

phishing)

Desktop AV

Анализ угроз на

основе сигнатур.

Не способность

отражать ATA

Несмотря на наличие всех этих решений, 90% организаций

находятся под угрозой атаки

Обнаружение атак

по сигнатурам.

Поверхностный

анализ

приложений,

высокий уровень

ложных

срабатываний


FIREEYE НЕПРЕРЫВНЫЙ ПРОЦЕСС ПРЕДОТВРАЩЕНИЯ УГРОЗ

ОБНАРУЖИТЬ

РЕАГИРОВАТЬ

ПРЕДОТВРАТИТЬ

АНАЛИЗОВАТЬ

МЕТОД ОСНОВАННЫЙ НА

МНОГОПОТОЧНОЙ ВИРТУАЛЬНОЙ

МАШИНЕ НЕ ИСПОЛЬЗУЮЩЕЙ

СИГНАТУРЫ

ПОДДЕРЖКА ВОССТАНОВЛЕНИЯ,

ДАННЫХ ОБ УГРОЗАХ С ЦЕЛЬЮ

УСТРАНЕНИЯ И УЛУЧШЕНИЯ

СОСТОЯНИЯ РИСКОВ

МНОГОВЕКТОРНОЕ “INLINE”

ПРЕДОТВРАЩЕНИЕ ИЗВЕСТНЫХ И

НЕИЗВЕСТНЫХ УГРОЗ

УДЕРЖАНИЕ, СУДЕБНАЯ ЭКСПЕРТИЗА И

РЕКОНСТРУКЦИЯ

ПОСЛЕДОВАТЕЛЬНОСТИ СОБЫТИЙ

Security Reimagined


Старый подход для борьбы с новыми угрозами?

Новый метод

Виртуальных Машин

• Без сигнатур

• Режим реального времени

• Известные\не известные

угрозы

• Минимум ложных

срабатываний

• Сигнатуры – черный список

– репутация– эвристика

• Реактивный

• Только известные угрозы

• Ложные срабатывания

Определение по

шаблонам


Каким должно быть NGTP ?

• Никаких сигнатур;

• Не только определение, но и защита;

• Защита всех векторов распространения атак;

• Высокая точность;

• Глобальность.


Next Generation Threat Protection

Новый класс решений безопасности, который специально предназначен

для определения и защиты от атак нового поколения.


FireEye Защита от угроз нового поколения

FireEye FX Series

FireEye EX Series

FireEye AX Series

FireEye NX Series

FireEye CM

Dynamic Threat Intelligence (DTI)

Централизованное управлениеВсеми устройствами и DTI

Защищает от угроз распространяющихся через Web Callback и блокирование

Расследование происхождения угроз

Защищает от угроз распространяющихся через Email

Защищает от угроз, найденных в файловой системе

Анализ осуществляется на «борту» устройства!


Multi Vector Execution Engine

Масштабируемость

• Различные ОС, приложения,

браузеры, плагины и их версии

• Множество типов файлов

• Многозадачность

• Физический гипервизор

• Контрмеры от вредоносного ПО


Multi Vector Execution Engine

Много-этапный анализ

Минимум ложных срабатываний

Нет нагрузки на систему


• Блокировка входящего

и исходящего трафика

• Продвинутый анализ

содержимого(PDF,

JavaScript, URLs)

• Модели до 4 Gbps

FEATURES

FireEye NX Series (Web защита)

• Установка «в разрез сети», режим реального времени

• Анализ всех web объектов (web страниц, flash, PDF, офисных документов и *.exe);

• Блокирование callback, прерывание несанкционированного использования данных;

• Динамическое создание профилей угроз нулевого дня и передача их в DTI;

• Интеграция с устройствами FireEye EX, FX и AX серий для динамического

блокирования callback коммуникаций, выполненных вредоносным ПО.

http://


FireEye NX Series (Web защита)

Windows 7 – SP1

Virtual Execution

Environment Analysis

Первона

чальный

анализ

Play Malware

Attack

Windows XP - Base

Windows XP – SP2

Windows XP – SP3

Windows 7 - Base

Мгновенная

Блокировка

Известных

уязвимостей

W

e

b

У

г

р

о

з

ы

Захват

пакетов

1 2 3 4

C

A

L

L

B

A

C

K

E

N

G

I

N

E

DTI5

Предотвр

ащение

несанкц.

использо

вания

данных

Port0

65k

Исходящие

Профили атак

нулевого-дня


FireEye EX Series (Email защита)

8300 поддерживает 96 Virtual Execution

Environments (VXE)

Virtual Execution

Environment (VXE) Analysis

Play Malware

Attack

Windows XP - base

Windows XP – SP2

Windows XP – SP3

Windows 7 - Base

Windows 7 – SP1

Распределение

Объектов Анализа

Перехват

писем

1 2 3

URL передаются в cписки

приоритетных URL на

FireEye NX через консоль

управления

Отчеты, Оповещения и

Карантин

4

✔

✔

✔

Профили атак

нулевого-дня

DTI


FireEye HX Series (Защита рабочих станций)

• Обнаружение APT атак на конечных станциях

• Интеграция с сетевыми решениями безопасности (NX и др)

• Постоянный анализ и расследование инцидентов

• Возможность блокирования зараженных станций

• Контроль рабочих станций не подключенных к сети (Agent Anywhere)


Защита от смешанных атак

Защита против комбинированных атак через URL-ссылки,

содержащиеся в email-письмах

• Анализ высокоприоритетных URL-ссылок в FireEye NX Series MVX механизме;

• Интеграция FireEye NX Series и EX Series через FireEye CM для:

– корреляции вредоносных URL с электронными письмами направленного фишинга;

– внесения в черный список IP адресов C&C серверов.

FireEye CM

FireEye NX FireEye EX


Проблемы песочниц!

• Часто основаны на коммерческих гипервизорах

• (Vmware, Xen, Hyper-V), а не на физических

• Нет защиты от мульти-векторных атак

• Нет анализа многопоточности

• Работа только с исполняемыми файлами

• Нет матрицы уязвимого ПО

• Нет способности обнаружить эксплоит

• Не способны создавать правила и сигнатуры

автоматически

• Анализ угроз в облаке

• Не видят полного цикла атаки

Это не решение для защиты от APT атак!



Способы обхода песочниц

Чувствительность к настройкам

• «Режим ожидания» замирание на определенное время

• «Временной триггер» запуск в определенное время

• «Скрытый процесс»

• «Исполнение после перезагрузки»



Способы обхода песочниц

Среда

• «Проверка версии»

• «Запрос загрузчика DLL»

• «Внедрение ifarmes в GIF и Flash»

Обход VMware

• Проверка сервисов присущих для Vmware (vmicheatbeat, vmci,

vmdebug,

vmmouse, vmscis… )

• Проверка наличия уникальных файлов (наличие vmmouse.sys)

• Наличие порта VMX


Network

Monitoring

Endpoint

Платформа FireEye : Партнеры


Вопросы?

Спасибо за внимание!


Установка FireEye NX (Web защита)

NG Firewall

Switch

HR

SPAN / TAP

wMPS 1

wMPS N

Router

NG Firewall

HR

INLINEIPS (Optional)

wMPS

Router

NG Firewall

Switch

HR

PROXY

wMPS

IPS

Switch

A1 A2

B1 B2

Router


Установка FireEye EX (Email защита)

Router

NG Firewall

HR

MTA

Switch

DMZ

Email

Anti SpamGateway / MTA

eMPS

Router

NG Firewall

HR

BCC

Switch

DMZ

Email


eMPS

Router

NG Firewall

HR

SPAN

Switch

DMZ

Email


eMPS


Установка FireEye FX (Контент защита)

Router

NG Firewall

HR

MOUNT MODE

Switch

DC

Private

File AppfMPS

Mount Mode

fMPS


Анализ событий


Инфицирован или нет…

если есть callback – система инфицирована!


Dashboard – Статус защиты от вредоносного ПО


Обзор инфицированного хоста


Вопросы?

Спасибо за внимание!

Documents

Продвинутая защита от продвинутых атак. resentation.pdf · Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 9 Ключ успеха