Upload
denis-batrankov-cissp
View
231
Download
3
Embed Size (px)
Citation preview
1
PALO ALTO NETWORKS
Концепция Zero Trust NetworkingIDC Security Roadshow 2015
Денис Батранков
консультант по информационной безопасности
АТАКА ANUNAK
Элементы атаки
Поддельные
письма с
вредоносными
вложениями от
имени ЦБ РФ
Использование
существующих
ботнетов для
распространения
нового кода
Инфицирование
через drive-by-
download:
Andromeda и Pony
трояны через
Neutrino Exploit Kit
Доступ к банкоматам
из специализи-
рованных сегментов,
которые должны
быть
изолированными, и
инфицирование ОС
Снятие денег из
банкоматов и
через Интернет-
кошельки, напр.
Yandex Money
Подтверждено, что
было захвачено 52
банкомата. Кража
более 1 млрд.
рублей.
Успешно получен доступ внутрь корпоративных сетей более чем 50 банков.
Украдено более 1 млрд. рублей с 2013 по 2014 из банков в России
http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html
http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
Сотрудник компании «сам» скачивает вредоносный код
Установление обратного канала и скачивание дополнительного вредоносного ПО
Для упрощения далее будем называть
Вирус – любой вид кода созданный с злым
умыслом
Эксплойт – любая программа созданная
для проведения атаки
Инфицирование отдельных
серверов в ЦОД
Достичь ЦОД
Получить управление над
целевой системой в ЦОД
Достичь цели
Этапы целенаправленной атаки
Вектор атаки
Блокировать хотя бы одно звено цепи – предотвратить атаку.
В атаке Anunak cреднее время от первого письма до вывода
денег – 42 дня
Кража интеллектуальной
собственности, финансовые
манипуляции
Кража данных
Перемещение внутри сети и
инфицирование других
станций
Манипуляции на конечных
станциях
Приманка, компрометация,
доставка эксплойта
Брешь в защите периметра
Загрузка полноценного вируса и
установление обратного канала
Доставка вредоносного ПО
Сетевые приложения изменились
Приложения ≠ Порты
368 приложений используют динамические TCP/UPD порты (18,5%)
352 приложений могут туннелировать другие приложения (18%)
740 используют шифрование для сокрытия контента (37%)
11% вредоносных сессий с ботами идентифицируются в трафике как
“unknown tcp/udp”
SSL зашифрована треть трафика сети
https://applipedia.paloaltonetworks.com/
Что Вы видите с NGFW
НЕДОСТАТКИ ТРАДИЦИОННОЙ АРХИТЕКТУРЫ
Anti-APT for
port 80 APTs
Anti-APT for
port 25 APTs
Хостовый
антивирус
Облако с репутационной базой
Сетевой
антивирус
Фильтрация DNS
запросов
Anti-APT в облаке
Internet
Корпоративная сеть
UTM
Ограниченная
видимость
Устранение
последствий вручную
Отсутствие
корреляции
Vendor 1
Vendor 2
Vendor 3
Vendor 4
Internet Connection
Malware Intelligence
DNS AlertEndpoint Alert
AV Alert
SMTP Alert
AV Alert
Web Alert
Web Alert
SMTP Alert
DNS Alert
AV Alert
DNS Alert
Web Alert
Endpoint Alert
ПакетSource
AddressTCP Port 80Данные
приложения
Destination
Address
Source
AddressTCP Port 80
Destination
AddressПакет
Достаточно проверять только порт сетевого пакета?
Последние 20 лет: Приложение = номер порта
HTTP = 80
Современно: Приложение = специфические передаваемые данные
flash = данные для анимации приложения Adobe Flash Player
Данные
приложения
Общие черты взломанных сетей
1. «Портовый» межсетевой экран
2. Сигнатурный IDS (или даже IPS)
3. Сигнатурный антивирус (может быть даже с эвристикой)
4. Кража идентификационных данных
Новые технологии изменили межсетевой экран
App-ID™Идентификациятрафика приложений
User-ID™Идентификацияпользователей
Content-ID™
Контроль данных:IPS, AV, URL, DLP
Защита улучшается по
мере работы и блокирует
сразу
Собираются данные из:
WildFire – специализированная виртуальная среда / песочница
Web
Обнаруживает неизвестные Вредоносный код
Эксплойты
Центры управления ботами
DNS запросы
Вредоносные URL
3000+пользователей
WildFire
WildFireThreat
PrevetntionURL Filtering
All trafficSSL encryption
All ports
Perimeter
All commonly
exploited file types
3rd party data
Data centerEndpoint
FTP
SMTP
SMB
Анализируется 130+ типов поведения
40% новых экземпляров – это вариации одних и тех же вирусов
Сигнатура автоматически создается и загружается на все устройства
1 сигнатура покрывает до 1500+ уникальных хэшей SHA
Два варианта работы сервиса WildFire1. Автоматическая или по запросу
генерация сигнатуры в «облаке»
2. Изолированная сеть
Устройство WF-500
Статистика по обнаруженному вредоносному ПО
Тренды за последние 3 месяца 2014
года:
– Высокая активность в праздники
– Ниже после НГ
В среднем 26 тыс. новых zero day
Malware в день
– Максимум до 70 тыс./день
– В ноябре в среднем 30 тыс./день
– В декабре в среднем 31,5 тыс./день
– В январе в среднем 20,5 тыс./день
270 новых сигнатур AV каждые 15 мин.
0
10000
20000
30000
40000
50000
60000
70000
80000
10/26/14
11/2/14
11/9/14
11/16/14
11/23/14
11/30/14
12/7/14
12/14/14
12/21/14
12/28/14
1/4/15
1/11/15
AxisTitle
MalwareperDay
Что защищает архитектура Zero Trust
ОБНАРУЖИВАТЬ И ПРЕДОТВРАЩАТЬ УГРОЗЫ НА ВСЕХ УРОВНЯХ ИТ ИНФРАСТРУКТУРЫ
Периметр Внутри LAN На периметре
ЦОД и между VM
Мобильные
устройства
Cloud
Внутри частного
или публичного
облака
Периметр Интернет
Защита сети от известных угроз
Средства ИБ:
– Для работы бизнеса можно только открыть порты
– IPS для блокировки известного вредоносного кода и атак
по сигнатурам
– Блокировать известные и неподтвержденные URL
Статический набор правил
Средства ИБ должны обеспечивать:
– «Белые» и «черные» списки по приложениям и пользователям
– «Песочница» (Wildfire) для обнаружения неизвестного
вредоносного ПО
– Обратная связь «неизвестноеизвестное» для предотвращения
– Интегрированные сигнатуры AV для известного и нового
вредоносного ПО
– Запрет известных вредоносных URL – добавляется 13,5 тыс. в
день
– Интегрированные политики для приложений, сигнатур угроз и
URL
Динамическая защита
Что было раньше Что необходимо теперь
Цель
Блокировать известные плохие порты, сигнатуры, IP и
URL
Цель
Безопасная работа пользователей с приложениями с защитой
от угроз «нулевого» дня
Сегментирование сети
Цель
Ограничить потоки трафика между разными сегментами
Разные группы пользователей требуют разных
привилегий и сегментов
Цель
Остановить перемещение вредоносного ПО между сегментами
Создать зоны безопасности для разных групп пользователей
Строго контролировать трафик между зонами безопасности
Ограничить типы приложений между зонами сети
Что было раньше Что необходимо теперь
• Обычно открыт список определенных TCP/UDP-портов
между сегментами
• Список доступа базируется на понятии IP адрес • USER-ID и APP-ID Список доступа базируется на списке
приложений и пользователей, остальное автоматически
запрещается
• CONTENT-ID Постоянное обнаружение и блокирование
вредоносного ПО и атак (по проходящему трафику)
Периметр ЦОД (потоки трафика «север-юг»)
Цель
Защитить ЦОД от запрещенного трафика
Цель
Защита ЦОД от любого скомпрометированного пользователя
или вредоносного ПО. Пользователи более не являются
доверенными
Что было раньше Что необходимо теперь
Политики базировались на:
– Открытие/закрытие всех портов, поддерживаемых
приложениями
– IPS почти не применялся, либо как IDS
– Меньше внимания исходящему трафику ЦОД
Больше внимания соответствию регуляторам, чем
защите от реальных угроз
Политики базируются на:
– «белые» списки: все участники взаимодействия известны,
разрешены только необходимые функции соответствующим
группам пользователей
Для разрешенного трафика использовать сканирование на
все известные угрозы и «песочницу» (Wildfire/WF-500) с
целью своевременного обнаружения/блокирования атак
Применить строгие политики по приложения для исходящего
трафика, чтобы предотвратить утечку данных
Внутри ЦОД (потоки трафика «восток-запад»)
Цель
Защита виртуальных машин на уровне портов, которые
используются приложениями
Цель
Защита данных в ЦОД от любой скомпрометированной VM или
вредоносного ПО. VM более не являются доверенными
Что было раньше Что необходимо теперь
Политики базировались на:
– Открытие разрешенных портов между VM
– IPS почти не применялся, либо как IDS
Политики базируются на:
– «белые» списки: все участники взаимодействия известны,
разрешены только необходимые сервисы соответствующим
VM на уровне приложений (а не портов)
Для разрешенного трафика использовать сканирование на
все известные угрозы и «песочницу» (Wildfire/WF-500) с
целью своевременного обнаружения/блокирования атак и
встроенного вредоносного ПО
Удаленные и мобильные пользователи
Обеспечить защищенный доступ пользователям извне
Политики базировались на:
– Создание шифрованных туннелей от устройств
удаленных пользователей к VPN-концентратору в сети
компании
– После аутентификации пользователя – полный доступ к
сегменту сети
– Дополнительные средства защиты крайне ограничены
Обеспечить защищенный доступ пользователям извне
безопасно для корпоративной сети
Политики базируются на:
– Проверка состояния мобильного устройства, чтобы убедиться,
что оно безопасно для корпоративной сети
– Проверка мобильного устройства на наличие вредоносного ПО
– Шифрованный туннель для всего трафика
– Использование User-ID для универсальных правил доступа,
независимо от способа подключения
– Полная инспекция всего трафика от мобильного устройства (к
ЦОД, в Интернет) для обнаружения и блокирования
вредоносной активности
Что было раньше Что необходимо теперь
Цель
Remote VPN с предотвращением вредоносного ПО и атак
Цель
Remote VPN
Предотвращение атак на различных стадиях
Проникновение сквозь
периметр1 Доставка эксплойта2 Продвижение по сети3 Кража данных4
URL Filtering
Борьба с социальным
инжинирингом и блокирование
вредоносных URLs и IP
Next-Generation Firewall /
GlobalProtect
Визуализация всего трафика,
включая SSL
Блокирование приложений с
высоким уровнем риска
Блокирование файлов по типам
Threat Prevention
Блокирование известных
эксплойтов, malware и трафика
command-and-control
WildFire
Отправка входящих файлов и
вложенных ссылок в наше или
частное облако для инспекции
Обнаружение новых угроз
Автоматизированная глобальная
доставка обновлений
Next-Generation Firewall /
GlobalProtect
Создание зон безопасности с
контролем доступа
Инспекция трафика между зонами
безопасности
Threat Prevention
Блокирование исходящего
трафика command-and-control
Блокирование отправки файлов
Мониторинг DNS
Traps / WildFire
Блокирование известных и
неизвестных эксплойтов и вирусов
Предоставление детальной
информации об атаках
URL Filtering
Блокирование исходящих
соединений с вредоносными URL
и IP
WildFire
Обнаружение новых угроз внутри
сети, а не только на входе
Почему мало проверять на угрозы только один раз?
ОБНАРУЖИВАТЬ И ПРЕДОТВРАЩАТЬ УГРОЗЫ НА ВСЕХ УРОВНЯХ ИТ ИНФРАСТРУКТУРЫ
- это не только про периметр Интернет!
Периметр Внутри LAN На периметре
ЦОД и между VM
Мобильные
устройства
Cloud
Внутри частного
или публичного
облака
И более важно, упростить это …
Anti-APT for
port 80 APTs
Anti-APT for
port 25 APTs
Endpoint AV
DNS protection cloud
Network AV
DNS protection for
outbound DNS
Anti-APT cloud
Internet
Корпоративная сеть
UTM/Blades
Ограниченная
видимость
Устранение
последствий вручную
Отсутствие
корреляции
Vendor 1
Vendor 2
Vendor 3
Vendor 4
Internet Connection
Malware Intelligence
DNS AlertEndpoint Alert
AV Alert
SMTP Alert
AV Alert
Web Alert
Web Alert
SMTP Alert
DNS Alert
AV Alert
DNS Alert
Web Alert
Endpoint Alert
Сделать так:
Internet
Корпоративная сеть
NGFW
DNS Alert
Endpoint Alert
Web Alert
APT
Endpoint AlertWildFireTM GlobalProtect
Palo Alto Networks
Предотвращение
вредоносного ПО
NGFWNGFW
①Существенно снижаются риски кражи данных
②Снижается стоимость сопровождения (TCO)
③Повышается скорость развития бизнес-сервисов
Traps
Traps
Traps
Traps
Traps
Traps
ЭКОСИСТЕМА ТЕХНОЛОГИЧЕСКИХ ПАРТНЕРОВ
ИБВиртуализацияСетевое
оборудование
Решения для
мобильностиАналитика и SIEM
PALO ALTO NETWORKS единая платформа для борьбы с
известными и неизвестными угрозами в сети
О КОМПАНИИ
• 2007 год - создатель
межсетевого экрана нового
поколения (NGFW)
• 2014 год – хостовая защита от
Zero Day эксплойтов (TRAPS)
• Лидер магического квадранта
Gartner в 2011-2014 гг
• 1700+ сотрудников
• Q4FY14: оборот $178.2M $13
$49
$119
$255
$396
$598
$0
$200
$400
$600
FY09 FY10 FY11 FY12 FY13 FY14
$MM
ОБОРОТ ЗАКАЗЧИКИ
4,700
9,000
13,500
19,000
0
4,000
8,000
12,000
16,000
20,000
Jul-11 Jul-12 Jul-13 Jul-14