1

PALO ALTO NETWORKS

Концепция Zero Trust NetworkingIDC Security Roadshow 2015

Денис Батранков

консультант по информационной безопасности

АТАКА ANUNAK

Элементы атаки

Поддельные

письма с

вредоносными

вложениями от

имени ЦБ РФ

Использование

существующих

ботнетов для

распространения

нового кода

Инфицирование

через drive-by-

download:

Andromeda и Pony

трояны через

Neutrino Exploit Kit

Доступ к банкоматам

из специализи-

рованных сегментов,

которые должны

быть

изолированными, и

инфицирование ОС

Снятие денег из

банкоматов и

через Интернет-

кошельки, напр.

Yandex Money

Подтверждено, что

было захвачено 52

банкомата. Кража

более 1 млрд.

рублей.

Успешно получен доступ внутрь корпоративных сетей более чем 50 банков.

Украдено более 1 млрд. рублей с 2013 по 2014 из банков в России

http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html

http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf

Anunak – письмо с вредоносным вложением

Сотрудник компании «сам» скачивает вредоносный код

Установление обратного канала и скачивание дополнительного вредоносного ПО

Для упрощения далее будем называть

Вирус – любой вид кода созданный с злым

умыслом

Эксплойт – любая программа созданная

для проведения атаки

Инфицирование отдельных

серверов в ЦОД

Достичь ЦОД

Получить управление над

целевой системой в ЦОД

Достичь цели

Этапы целенаправленной атаки

Вектор атаки

Блокировать хотя бы одно звено цепи – предотвратить атаку.

В атаке Anunak cреднее время от первого письма до вывода

денег – 42 дня

Кража интеллектуальной

собственности, финансовые

манипуляции

Кража данных

Перемещение внутри сети и

инфицирование других

станций

Манипуляции на конечных

станциях

Приманка, компрометация,

доставка эксплойта

Брешь в защите периметра

Загрузка полноценного вируса и

установление обратного канала

Доставка вредоносного ПО

Сетевые приложения изменились

Приложения ≠ Порты

368 приложений используют динамические TCP/UPD порты (18,5%)

352 приложений могут туннелировать другие приложения (18%)

740 используют шифрование для сокрытия контента (37%)

11% вредоносных сессий с ботами идентифицируются в трафике как

“unknown tcp/udp”

SSL зашифрована треть трафика сети

https://applipedia.paloaltonetworks.com/

Что Вы видите с портовым МСЭ + надстройкой для

распознавания приложений

Что Вы видите с NGFW

НЕДОСТАТКИ ТРАДИЦИОННОЙ АРХИТЕКТУРЫ

Anti-APT for

port 80 APTs

Anti-APT for

port 25 APTs

Хостовый

антивирус

Облако с репутационной базой

Сетевой

антивирус

Фильтрация DNS

запросов

Anti-APT в облаке

Internet

Корпоративная сеть

UTM

Ограниченная

видимость

Устранение

последствий вручную

Отсутствие

корреляции

Vendor 1

Vendor 2

Vendor 3

Vendor 4

Internet Connection

Malware Intelligence

DNS AlertEndpoint Alert

AV Alert

SMTP Alert

AV Alert

Web Alert

Web Alert

SMTP Alert

DNS Alert

AV Alert

DNS Alert

Web Alert

Endpoint Alert

ПакетSource

AddressTCP Port 80Данные

приложения

Destination

Address

Source

AddressTCP Port 80

Destination

AddressПакет

Достаточно проверять только порт сетевого пакета?

Последние 20 лет: Приложение = номер порта

HTTP = 80

Современно: Приложение = специфические передаваемые данные

flash = данные для анимации приложения Adobe Flash Player

Данные

приложения

Использование туннелирования поверх DNS

Примеры

tcp-over-dns

dns2tcp

Iodine

Heyoka

OzymanDNS

NSTX

Доверяй, но проверяй

Общие черты взломанных сетей

1. «Портовый» межсетевой экран

2. Сигнатурный IDS (или даже IPS)

3. Сигнатурный антивирус (может быть даже с эвристикой)

4. Кража идентификационных данных

Новые технологии изменили межсетевой экран

App-ID™Идентификациятрафика приложений

User-ID™Идентификацияпользователей

Content-ID™

Контроль данных:IPS, AV, URL, DLP

Настоящий NGFW: безопасное разрешение приложений

Защита улучшается по

мере работы и блокирует

сразу

Собираются данные из:

WildFire – специализированная виртуальная среда / песочница

Web

Обнаруживает неизвестные Вредоносный код

Эксплойты

Центры управления ботами

DNS запросы

Вредоносные URL

3000+пользователей

WildFire

WildFireThreat

PrevetntionURL Filtering

All trafficSSL encryption

All ports

Perimeter

All commonly

exploited file types

3rd party data

Data centerEndpoint

Email

FTP

SMTP

SMB

Анализируется 130+ типов поведения

40% новых экземпляров – это вариации одних и тех же вирусов

Сигнатура автоматически создается и загружается на все устройства

1 сигнатура покрывает до 1500+ уникальных хэшей SHA

Два варианта работы сервиса WildFire1. Автоматическая или по запросу

генерация сигнатуры в «облаке»

2. Изолированная сеть

Устройство WF-500

Статистика по обнаруженному вредоносному ПО

Тренды за последние 3 месяца 2014

года:

– Высокая активность в праздники

– Ниже после НГ

В среднем 26 тыс. новых zero day

Malware в день

– Максимум до 70 тыс./день

– В ноябре в среднем 30 тыс./день

– В декабре в среднем 31,5 тыс./день

– В январе в среднем 20,5 тыс./день

270 новых сигнатур AV каждые 15 мин.

0

10000

20000

30000

40000

50000

60000

70000

80000

10/26/14

11/2/14

11/9/14

11/16/14

11/23/14

11/30/14

12/7/14

12/14/14

12/21/14

12/28/14

1/4/15

1/11/15

AxisTitle

MalwareperDay

ZERO TRUST NETWORKINGЭволюция подхода к построению

корпоративной безопасности

Что защищает архитектура Zero Trust

ОБНАРУЖИВАТЬ И ПРЕДОТВРАЩАТЬ УГРОЗЫ НА ВСЕХ УРОВНЯХ ИТ ИНФРАСТРУКТУРЫ

Периметр Внутри LAN На периметре

ЦОД и между VM

Мобильные

устройства

Cloud

Внутри частного

или публичного

облака

Периметр Интернет

Защита сети от известных угроз

Средства ИБ:

– Для работы бизнеса можно только открыть порты

– IPS для блокировки известного вредоносного кода и атак

по сигнатурам

– Блокировать известные и неподтвержденные URL

Статический набор правил

Средства ИБ должны обеспечивать:

– «Белые» и «черные» списки по приложениям и пользователям

– «Песочница» (Wildfire) для обнаружения неизвестного

вредоносного ПО

– Обратная связь «неизвестноеизвестное» для предотвращения

– Интегрированные сигнатуры AV для известного и нового

вредоносного ПО

– Запрет известных вредоносных URL – добавляется 13,5 тыс. в

день

– Интегрированные политики для приложений, сигнатур угроз и

URL

Динамическая защита

Что было раньше Что необходимо теперь

Цель

Блокировать известные плохие порты, сигнатуры, IP и

URL

Цель

Безопасная работа пользователей с приложениями с защитой

от угроз «нулевого» дня

Сегментирование сети

Цель

Ограничить потоки трафика между разными сегментами

Разные группы пользователей требуют разных

привилегий и сегментов

Цель

Остановить перемещение вредоносного ПО между сегментами

Создать зоны безопасности для разных групп пользователей

Строго контролировать трафик между зонами безопасности

Ограничить типы приложений между зонами сети

Что было раньше Что необходимо теперь

• Обычно открыт список определенных TCP/UDP-портов

между сегментами

• Список доступа базируется на понятии IP адрес • USER-ID и APP-ID Список доступа базируется на списке

приложений и пользователей, остальное автоматически

запрещается

• CONTENT-ID Постоянное обнаружение и блокирование

вредоносного ПО и атак (по проходящему трафику)

Периметр ЦОД (потоки трафика «север-юг»)

Цель

Защитить ЦОД от запрещенного трафика

Цель

Защита ЦОД от любого скомпрометированного пользователя

или вредоносного ПО. Пользователи более не являются

доверенными

Что было раньше Что необходимо теперь

Политики базировались на:

– Открытие/закрытие всех портов, поддерживаемых

приложениями

– IPS почти не применялся, либо как IDS

– Меньше внимания исходящему трафику ЦОД

Больше внимания соответствию регуляторам, чем

защите от реальных угроз

Политики базируются на:

– «белые» списки: все участники взаимодействия известны,

разрешены только необходимые функции соответствующим

группам пользователей

Для разрешенного трафика использовать сканирование на

все известные угрозы и «песочницу» (Wildfire/WF-500) с

целью своевременного обнаружения/блокирования атак

Применить строгие политики по приложения для исходящего

трафика, чтобы предотвратить утечку данных

Внутри ЦОД (потоки трафика «восток-запад»)

Цель

Защита виртуальных машин на уровне портов, которые

используются приложениями

Цель

Защита данных в ЦОД от любой скомпрометированной VM или

вредоносного ПО. VM более не являются доверенными

Что было раньше Что необходимо теперь

Политики базировались на:

– Открытие разрешенных портов между VM

– IPS почти не применялся, либо как IDS

Политики базируются на:

– «белые» списки: все участники взаимодействия известны,

разрешены только необходимые сервисы соответствующим

VM на уровне приложений (а не портов)

Для разрешенного трафика использовать сканирование на

все известные угрозы и «песочницу» (Wildfire/WF-500) с

целью своевременного обнаружения/блокирования атак и

встроенного вредоносного ПО

Удаленные и мобильные пользователи

Обеспечить защищенный доступ пользователям извне

Политики базировались на:

– Создание шифрованных туннелей от устройств

удаленных пользователей к VPN-концентратору в сети

компании

– После аутентификации пользователя – полный доступ к

сегменту сети

– Дополнительные средства защиты крайне ограничены

Обеспечить защищенный доступ пользователям извне

безопасно для корпоративной сети

Политики базируются на:

– Проверка состояния мобильного устройства, чтобы убедиться,

что оно безопасно для корпоративной сети

– Проверка мобильного устройства на наличие вредоносного ПО

– Шифрованный туннель для всего трафика

– Использование User-ID для универсальных правил доступа,

независимо от способа подключения

– Полная инспекция всего трафика от мобильного устройства (к

ЦОД, в Интернет) для обнаружения и блокирования

вредоносной активности

Что было раньше Что необходимо теперь

Цель

Remote VPN с предотвращением вредоносного ПО и атак

Цель

Remote VPN

Предотвращение атак на различных стадиях

Проникновение сквозь

периметр1 Доставка эксплойта2 Продвижение по сети3 Кража данных4

URL Filtering

Борьба с социальным

инжинирингом и блокирование

вредоносных URLs и IP

Next-Generation Firewall /

GlobalProtect

Визуализация всего трафика,

включая SSL

Блокирование приложений с

высоким уровнем риска

Блокирование файлов по типам

Threat Prevention

Блокирование известных

эксплойтов, malware и трафика

command-and-control

WildFire

Отправка входящих файлов и

вложенных ссылок в наше или

частное облако для инспекции

Обнаружение новых угроз

Автоматизированная глобальная

доставка обновлений

Next-Generation Firewall /

GlobalProtect

Создание зон безопасности с

контролем доступа

Инспекция трафика между зонами

безопасности

Threat Prevention

Блокирование исходящего

трафика command-and-control

Блокирование отправки файлов

Мониторинг DNS

Traps / WildFire

Блокирование известных и

неизвестных эксплойтов и вирусов

Предоставление детальной

информации об атаках

URL Filtering

Блокирование исходящих

соединений с вредоносными URL

и IP

WildFire

Обнаружение новых угроз внутри

сети, а не только на входе

Почему мало проверять на угрозы только один раз?

ОБНАРУЖИВАТЬ И ПРЕДОТВРАЩАТЬ УГРОЗЫ НА ВСЕХ УРОВНЯХ ИТ ИНФРАСТРУКТУРЫ

- это не только про периметр Интернет!

Периметр Внутри LAN На периметре

ЦОД и между VM

Мобильные

устройства

Cloud

Внутри частного

или публичного

облака

И более важно, упростить это …

Anti-APT for

port 80 APTs

Anti-APT for

port 25 APTs

Endpoint AV

DNS protection cloud

Network AV

DNS protection for

outbound DNS

Anti-APT cloud

Internet

Корпоративная сеть

UTM/Blades

Ограниченная

видимость

Устранение

последствий вручную

Отсутствие

корреляции

Vendor 1

Vendor 2

Vendor 3

Vendor 4

Internet Connection

Malware Intelligence

DNS AlertEndpoint Alert

AV Alert

SMTP Alert

AV Alert

Web Alert

Web Alert

SMTP Alert

DNS Alert

AV Alert

DNS Alert

Web Alert

Endpoint Alert

Сделать так:

Internet

Корпоративная сеть

NGFW

DNS Alert

Endpoint Alert

Web Alert

APT

Endpoint AlertWildFireTM GlobalProtect

Palo Alto Networks

Предотвращение

вредоносного ПО

NGFWNGFW

①Существенно снижаются риски кражи данных

②Снижается стоимость сопровождения (TCO)

③Повышается скорость развития бизнес-сервисов

Traps

Traps

Traps

Traps

Traps

Traps

ЭКОСИСТЕМА ТЕХНОЛОГИЧЕСКИХ ПАРТНЕРОВ

ИБВиртуализацияСетевое

оборудование

Решения для

мобильностиАналитика и SIEM

PALO ALTO NETWORKS единая платформа для борьбы с

известными и неизвестными угрозами в сети

О КОМПАНИИ

• 2007 год - создатель

межсетевого экрана нового

поколения (NGFW)

• 2014 год – хостовая защита от

Zero Day эксплойтов (TRAPS)

• Лидер магического квадранта

Gartner в 2011-2014 гг

• 1700+ сотрудников

• Q4FY14: оборот $178.2M $13

$49

$119

$255

$396

$598

$0

$200

$400

$600

FY09 FY10 FY11 FY12 FY13 FY14

$MM

ОБОРОТ ЗАКАЗЧИКИ

4,700

9,000

13,500

19,000

0

4,000

8,000

12,000

16,000

20,000

Jul-11 Jul-12 Jul-13 Jul-14