Технология защиты от Malware на базе SourceFire FireAMP
Click here to load reader
-
Upload
cisco-russia -
Category
Technology
-
view
151 -
download
3
description
Transcript of Технология защиты от Malware на базе SourceFire FireAMP
![Page 1: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/1.jpg)
Дмитрий КазаковСистемный инженерCCIE Security #29472
Технология защиты от Malware на базе SourceFire FireAMP
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
![Page 2: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/2.jpg)
План презентации
• Актуальные угрозы Malware• Отличие ретроспективного подхода к защите• Особенности анализа и работы системы FireAMP• Интеграция в продукты Cisco• Заключение
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
![Page 3: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/3.jpg)
Актуальные угрозы Malware
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3
![Page 4: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/4.jpg)
“78% вторжений было обнаружено лишь спустя две и более недели“70% было обнаружено третьими сторонами”2013 Verizon Data Breach Investigation Report
Симптом: Malware на устройствеЗащитапериметра Защита
сети Защита устройств Устройство
Несмотря на уровни защиты
![Page 5: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/5.jpg)
VIRUSESMACRO
VIRUSES
APTsMALWARE
WORMSHACKERS
1985 1995 2000 2005 2010
SPYWARE /ROOTKITS
Icons: attack vectors
Атакующие и защищающиеся провоцируют друг друга развиваться…… приводя к последовательному развитию сложности атак
Индустриализация хакерства
![Page 6: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/6.jpg)
Серебрянной пули, ее не существует!…
“Самозащищающаясясеть”
“Совпадение шаблона”
“Нет False Positives,Нет False negatives.”
ApplicationControl
FW/VPN
IDS / IPSUTM
NAC
AVPKI
“Разрешить/Запретить”
“Fix theFirewall - NGFW”
“Нет ключа – нет доступа”
В процессе развития индустрии атак, каждый раз вендоры приходят и обещают нам решение, которое закроет проблемы InfoSec раз и навсегда!
….. И когда же это реально работало?
![Page 7: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/7.jpg)
Проблема: Слабый акцент на реагировании
ПредотвращениеИсторические исследования
Реакция на инцидентНужно сильнее фокусироваться и развивать
“… Согласно US Cert, Среднее время
от взлома до обнаружения 486
days и обычно взлом обнаруживается
сторонней компанией”
US CERT
По результатам расследования, возвращаясь на месяцы назад,
хакер взломал The Times компьютеры
еще Sept. 13.”NY Times, Jan 30, 2013
![Page 8: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/8.jpg)
Отличие ретроспективного подхода к защите
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 8
![Page 9: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/9.jpg)
Sourcefire Advanced Malware Protection
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 9
Включая Retrospective Security™
Коллективная интеллектуальная система безопасности
Всесторонний
Продолжительный анализ
Интегрированные средства реагирования
Аналитика Big Data
Контроль и излечение
![Page 10: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/10.jpg)
Ретроспективный анализ
Продолжительный анализ – Ретроспективное обнаружение за горизонтом событий
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 10
Всегда наблюдает… Никогда не забудет… Поворачивает время вспять
Траектория – Понимание масштабов путем отслеживания движения и активности Malware Траектория файла – Видимость по
организации, концентрация на данном файле Траектория устройства – Глубокая видимость
в файловую активность на одной системе
![Page 11: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/11.jpg)
За горизонтом события ИБ
Антивирус
ПесочницаНачальное значение = Чисто
Точечное обнаружение
Начальное значение = Чисто
AMP
Пропущены атаки
Актуальное значение = Плохо = Поздно!!
Регулярный возврат к ретроспективе
Видимость и контроль – это ключ
Не 100%Анализ остановлен
Отложенный пускНеизв. протоколыШифрованиеПолиморфизм
Актуальное значение = Плохо = Блокировано!
Ретроспективное обнаружение, анализ продолжается
Убирает ограничения обнаружения в текущем времени
![Page 12: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/12.jpg)
Файловая траектория
• Какие системы были заражены?• Кто был заражен первым (“пациент 0”) и когда это
случилось?• Какова была точка входа?• Когда это произошло?• Что еще оно с собой принесло?
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 12
Быстро понять масштаб заражения и угрозы
Смотрит ПО ВСЕЙ организации и отвечает на вопросы:
![Page 13: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/13.jpg)
Траектория устройства
• Как Malware попало в систему?• Насколько глубоко инфекция ушла в
систему?• Какие были установлены связи?• О чем я еще не знаю?• Какова цепь событий?
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 13
Быстрый анализ ключевой причины с интегрированными средствами излечения
Смотрит ГЛУБОКО в устройство и отвечает на вопросы:
![Page 14: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/14.jpg)
Контроль вторжений
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 14
Множество способов остановить угрозу и устранить причину проникновения
SimpleCustom
Detections
AdvancedCustom
Signatures
ApplicationBlocking
Lists
CustomWhiteLists
Быстрые и
точные
СемействаMalware
Контроль групповой политики
Доверенные приложения и
образы
Простые и специализированные блокировки, илиКонтекстные сигнатуры для широкого контроля
Device Flow Correlation / IP Blacklists
Блокировка соединений к
плохим сайтам
Защита от Облака и Клиента
![Page 15: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/15.jpg)
Всеобъемлющий
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 15
ВО ВРЕМЯОбнаружение & Блокировка
ПОСЛЕРеагирование, Источник, Расследование
Масштаб и глубина во всех аспектах цикла атаки
Сеть
Хост
ДОПолитики & Контроль
Ретроспективное уведомлениеТраекторияЗнание контекста
Автоматизация контроля
Соединяетцикл атаки:• Десктоп• Мобильный• Виртуальный
ТраекторияАнализ файлов
Сетевой AMP
Хостовый AMP Расследование
Индикаторы пораженияКонтроль вторжений
![Page 16: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/16.jpg)
Особенности анализа и работы системы FireAMP
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17
![Page 17: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/17.jpg)
Так что же такое FireAMP?
Работает совместно с существующей системой защиты хостов
Беспрецедентная Видимость и Контроль внутрь Malware
Защищает Вас Изнутри и Снаружи Вашей сети
Излечение за Секунды нежели чем за Дни…..
![Page 18: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/18.jpg)
Из каких компонент он состоит?
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 20
Видимость и контроль
Видимость и контроль
AMP для ХостовКоллективный анализ угроз
AMP для Сетей
Десктоп Мобильный
ОбнаружениеАнализБлокированиеИзлечение
![Page 19: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/19.jpg)
FireSIGHT Management Console(Defense Center)
FirePOWER Appliance
AMP для Сетей с интеграцией AMP для Хостов
VRT Dynamic Analysis Cloud
Файл направляется на динамический
анализ (по политике)
Запрос диспозиции файла в Облаке AMP
(SHA256, Spero)
- Захват файлов с сетевых потоков- Локальное хранение- Калькуляция Хэша для запросов(по политике)
Конфигурация (политика) -Файловая траектория-
AMP корреляция событий -Ссылка на публичное
облако AMP для ХостовСобытия с Агента
Хостовые Агенты
Ручной динамический анализ для Хостовых Агентов
AMP Cloud
![Page 20: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/20.jpg)
Конкретный(ОДИН К ОДНОМУ)
(•)
Механизмы обнаружения AMP
Общий(ETHOS)
{•••}
Дерево решений(SPERO)
Интегративный (Расширенный
анализ)
∫ 1
пользователи, механизмы
Момент сопротивления
при обнаружении
ОсновнойХэш
Функцияотпечатков
ОДИН К ОДНОМУПерехватывает «известные» вредоносные программы с
помощью первичного сопоставления SHA.
Эквивалентно системе на базе сигнатур.
ETHOSПерехватывает семейства вредоносных программ с помощью «нечеткого хэша»,
встроенного в функцию печати. Противодействует обходу правил
вредоносными программами за счет «битового жонглирования».
SPEROИспользует методы технологии искусственного интеллекта для
обнаружения вредоносных программ в режиме реального времени с учетом среды
и поведения. Периодически проверяет хранилище больших данных для
выполнения ретроспективного анализа
РАСШИРЕННЫЙ АНАЛИЗИнтегрирует функции эвристического
анализа из среды вредоносной программы, хранилища больших
данных, ETHOS и SPERO позволяют разъяснить результаты признания
программ вредоносными
![Page 21: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/21.jpg)
Какие процессы происходят на хосте
Хостовый агентФайловые операции Сетевые операции
Захват I/O операций
Генерация отпечатка(SHA256)
Запрос диспозиции в облако
Отсылка SHA256 +Нечеткий Хэш в
облако
Захват сетевого трафика
Отсылка TCP+UDP в Облако
Если Malware –Блокируем!
Нет PIIPII
Вкл/Выкл
Операции управления
Имя Хоста
IP адрес хоста
Heartbeat (Keepalive)
Логин (опция) PIIВкл/Выкл
PII
PII
Если Malware –Блокируем!
![Page 22: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/22.jpg)
FireAMP Дизайн частного облака
• Административный портал для быстрого развертывания и управления
• Анонимные запросы файловой диспозиции
• Ретроспективный анализ
• Траектория устройства
• Файловая траектория
• Поиск причин заражения
• Отслеживание и блокирование
![Page 23: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/23.jpg)
Публичное облако, связи и ретроспектива
File Query, Enterprise(Connector ID, SHA, Spero, Ethos)
Ответ с диспозицией
Хостовые агенты
PING2 Query
Изменение диспозиции
Ретроспективная очередь
SHA C
onvictionAMP
Облако
![Page 24: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/24.jpg)
Частное облако, связи и ретроспектива
File Query, Enterprise First / Unique(Connector ID, SHA, Spero, Ethos)
Spero, Ethos(Локальный анализ)
Ретроспективная очередь
Ответ с диспозицией
Upstream File Query(Device ID, SHA)
Ответ с диспозицией
Ретроспективная очередь
SHA C
onviction
Изменение диспозиции
Изменение диспозиции
PING2 Query
PING2 Query
Хостовые агентыЧастное облако
(Серверная клиента)AMP
Cloud
File Query, Previously Seen in Ent.(Connector ID, SHA, Spero, Ethos)
Spero, Ethos(Локальный анализ)
Ответ с диспозицией
![Page 25: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/25.jpg)
Время появления
Инфицированные системы
Сетевая траектория файла
![Page 26: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/26.jpg)
Анализ траектории файла
• Траектория распространения
• Используемые протоколы
• Используемые приложения
• Пациент номер 0
• Диспозиция файла и SHA256
хэш
• История транзацкий
![Page 27: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/27.jpg)
Неизвестный файл находится на станции с IP: 10.4.10.183, был загружен через Firefox
В 10:57, неизвестный файл пересылается с IP 10.4.10.183 на IP: 10.5.11.8
Семью часами позже файл перемещается на третий хост (10.3.4.51) используя приложение SMB
Cisco Collective Security Intelligence Cloud обнаружила что файл вредоносен и ретроспективное действие вызывается для всех 4-х станций мгновенно.
Файл копируется на 4-ю станцию (10.5.60.66) через тоже SMB приложение через пол часа
В тоже время хост с FireAMPагентом реагирует на ретроспективное событие и мгновенно блокирует и помещает в карантин новое обнаруженное Malware
8 спустя первой атаки, the Malware пытается пройти в систему через оригинальную точку входа, но распознается и блокируется.
![Page 28: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/28.jpg)
Анализ траектории хоста
• Извлекаемые процессы
• Скачиваемые файлы
• I/O операции
• Используемые
приложения
• Сетевые транзакции
• Хэш файла
• Родительские процессы
• Диспозиция файла
• Облачный
ретроспективный анализ
![Page 29: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/29.jpg)
Сложим все вместеНа примере Zero-Day атаки
![Page 30: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/30.jpg)
Анализ в песочнице
• Выживаемость в системе
• Особенности инсталляции
• Попытки скрыться
• Защита от удаления
• Механизм обхода защиты
• Anti Debugging
• Обнаружение песочницы
• Распространение
• Использование эксплоит
• Сетевая активность
• Сниффинг, кейлоггинг и т.д.
![Page 31: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/31.jpg)
Интеграция в продукты Cisco
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 34
![Page 32: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/32.jpg)
FireSIGHT
FireAMP FirePOWERASA
ESAWSACWS
Dynamic Analysis
Dynamic AnalysisFireAMP Private Cloud
События/ Корреляция
Облачныесервисы
Локальные сервисы
Хосты Сеть Шлюзы Песочница
Cisco обладает наиболее всесторонней системой защиты от Malware
AMP Везде
![Page 33: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/33.jpg)
Признаки (индикаторы) компрометации
События СОВ
БэкдорыПодключения к
серверам управления и
контроля ботнетов
Наборы эксплойтов
Получение администраторски
х полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP
серверов управления и
контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
![Page 34: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/34.jpg)
FireAMP > FireSight(DC)
![Page 35: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/35.jpg)
FireAMP > FireSight(DC)
![Page 36: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/36.jpg)
Заключение
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 39
![Page 37: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/37.jpg)
Collective Security Intelligence
Private & PublicThreat Feeds
Honeypots
Advanced Microsoft & Industry Disclosures
50,000 MalwareSamples per Day Snort® & ClamAV™
Open SourceCommunities
SourcefireAEGIS™
ProgramSourcefire
FireCLOUD™
IPS правилаЗащита отMalware
IP & URLBlacklists Обновление баз
уязвимостейSourcefire
VulnerabilityResearch
Team
Глобальная видимость через открытое комьюнити
![Page 38: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/38.jpg)
Интеллект в цифрах
14,443,920 экземпляровmalware отправлено на анализ
>2,250,000 хостов отчитывают атаки в FireCLOUD
Лучшее в индустрии покрытие уязвимостей получено в NSS Labs IPS групповом тесте
В первый день закрытие уязвимостей Microsoft
![Page 39: Технология защиты от Malware на базе SourceFire FireAMP](https://reader037.fdocuments.net/reader037/viewer/2022100300/559868791a28aba9738b466a/html5/thumbnails/39.jpg)
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом#CiscoConnectRu
Пожалуйста, используйте код для оценки доклада2919Ваше мнение очень важно для нас.
Спасибо
КонтактыИмя: Дмитрий КазаковТелефон: +7 499 929 5237E-mail: [email protected]
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.