FireEye - защита от APT и Zero Day атак
-
Upload
artem-tarashkevych -
Category
Technology
-
view
659 -
download
12
description
Transcript of FireEye - защита от APT и Zero Day атак
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 1
FireEye Overview
2013
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 2
Знакомство с FireEye
• Компания основана в 2004 году, поставляет свои решения с 2006
• 500+ сотрудников в 6 странах, Штаб-квартира Милпитас, Калифорния
• ~1000 Клиентов, во всех регионах, в каждой индустрии
• 100% рост доходов в 2012 году• Инвестиции от Топ-компаний - Sequoia Capital,
NorWest, Juniper, Silicon Valley Bank, Goldman Sachs, In-Q-tel
Включена в зал Инноваций
4 место в списке Наиболее быстро растущих компаний
2012 Technology Innovation Award
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 3
Эра продвинутых постоянных атак
• Атаки становятся более изощренными
• Наблюдается беспрецедентный рост их количества
• Под угрозой все индустрии• Социальные сети позволяют
атаковать сотрудников прямо на их рабочих местах
“Компании столкнулись с динамическим развитием киберугроз, с которыми они просто не в силах бороться...продвинутые атаки, беспрепятственно минуют традиционные средства защиты и оседают в системе оставаясь незамеченными.” Gartner, 2012
2004 2006 2008 2010 2012
Advanced Persistent Threats
Zero-dayTargeted AttacksDynamic Trojans
Stealth Bots
WormsViruses
Spyware/BotsУ
щер
б о
т А
так
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 4
Карта угроз
Бизнес Технический
Ущерб
Breach Disclosure
High
Copyright (c) 2012, FireEye, Inc. All rights reserved. | CONFIDENTIAL 4
System Destruction
SEC Disclosures& Enquiries
Падение продуктивности
BrandReputation
High High
Кража IP
Оценка Рисков ПроизводительностьСистемы
Оценка затрат
Законодательство
RegulatoryRequirements
APT
FinancialLoss
Кража идентичности
Компенсации
ProcessAutomation
Политикипроцессы
Breach Clean Up Costs
BOTNETS
Peer to Peer
Recruitment &Retention
Low
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 5
Почему это происходит?
Firewalls/NGFW
Блокировка соединений по IP\портам, L7.Не видит эксплоитов, не эффективен против продвинутых постоянных атак.
IPS
Обнаружение атак по сигнатурам. Поверхностный анализ приложений, высокий уровень ложных срабатываний, нет понимания о происхождении атак
Secure WebGateways
Анализ скриптовых угроз, AV, IP/URL фильтрация. Не способность отражать продвинутые целевые атаки
Anti-SpamGateways
Концентрация на борьбе с вирусами, сигнатурный анализ. Отсутствует защита от нацеленного фишинга (spear-phishing)
Desktop AV
Анализ угроз на основе сигнатур. Не способность отражать продвинутые нацеленные атаки
Несмотря на наличие всех этих решений, 95% организаций находятся под угрозой атаки
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 6
Какое же решение?
Индустрия нуждается в решении которое сфокусировано на следующих проблемах:
• Защита от атак по всем возможных векторам – web, почта, передача файлов
• Защита должна отвечать характеру угрозы• Не использовать сигнатурный метод определения угроз• Защита от несанкционированного использования данных• Никаких дополнительных затрат на ИТ
FireEye – решение этих проблем!
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 7
Жизненный цикл Угроз/APT
Проникновение•Атака через браузер• Ссылка в персональном письме• Социальная инженерия
1
3 Кража данных и налаживание длительного контроля• Скачивание данных украденных с помощью
кейлогеров, троянцев, ботов• Один эксплоит ведет к десяткам других угроз• Хакеры налаживают длительный контроль
над всей системой
2 Установка вредоносных программ• Установка контроля• Установка связи со шпионским сервером
АтакующийWeb сервер, или
Web 2.0 сайт
1
Управляющий сервер
IPS, Gateway
Рабочие станции
3
2
Firewall
СерверОсновной Свитч
Интернет
Корпоративная сеть
3
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 8
FireEye Мультивекторная платформа защиты
Вэб Почта Файлы Угрозы
Central Management System
Dynamic Threat Intelligence™
Сетевые устройства дают подробное представление о сетевом трафике
Быстрая установка, никаких политик и правил
Гладкая интеграция с существующей инфраструктурой
Дополнительное специализированное средство для анализа вредоносных программ
Multi-Vector Virtual Execution™
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 9
Обзор: FireEye Web MPS
Windows 7 – SP1
Virtual Execution Environment Analysis
Первоначальный анализ
Play Malware Attack
Windows XP - Base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Мгновенная Блокировка Известных
уязвимостей
Web Угрозы
Захват пакетов
1 2 3 4
CALLBACK
ENGINE
DTI5
Предотвращение несанкц.
использования
данных
Port0
65k
Исходящие
Профили атак нулевого-дня
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 10
Обзор: Технологии Email MPS
8300 поддерживает 96 Virtual Execution Environments (VXE)
Virtual ExecutionEnvironment (VXE) Analysis
Play Malware Attack
Windows XP - base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Windows 7 – SP1
Распределение Объектов Анализа
Перехват писем
1 2 3
URL передаются в серые списки на Web MPS через
консоль управления
Отчеты, Оповещения и Карантин
4
✔
✔
✔
Профили атак нулевого-дня
DTI
• Обнаружение эксплоитов• Тест на извлечение• Всевозможные вариации
ОС\приложений• Происхождение URL
• Последовательность URL• C&C protocol descriptors
• Отчет об изменении ОС
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 11
Система Анализа Угроз
Файловое хранилище
Индивидуальныефайлы
Первоначальный анализ
011011110010
Сравнение с имеющейся базой угроз 7300 имеет 32 Virtual Execution
Environments (VXE)
Отслеживание Командно-Контрольныхдействий(в режиме реального времени)
Детальны отчет и видео факт
Детальный анализ
Play Malware Attack
Распространение информации об угрозах среди клиентов FireEye
РепозиторийУгроз
Windows XP - base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Windows 7 – SP1
Распределение
угроз в разные папки
УправлениеWeb UI CLI
URL’s
1 2
DTI
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 12
Network
Monitoring
Endpoint
Платформа FireEye : Партнеры
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 13
Установка
Установка Web MPS
Нет риска простоя, нет задержек
Использование FireEye позволяет Вам узнать больше о вашей сети
SPAN/TAP
Proxy, Gateway,IPS/IDS
Internet
Firewall
ПК\Ноутбуки
Пользователи
Web MPS
Администратор
SSHHTTPSУведомления
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 14
FireEye приступаем к работе
• POC– Бесплатное тестовое внедрение
• Поддержка– Premium поддержка на момент тестового внедрения
• Обновления Malware Protection Cloud– Бесплатное обновление в период тестового внедрения
• Быстрая настройка без нагрузки на сеть
• Легкая интеграция в существующую сеть