михаил кондрашин
TRANSCRIPT
NAV против APTNetwork Analysis & Visualization — защита от
Advanced Persistent Threat
Михаил КондрашинAPL
Оглавление
• Advanced Persistent Threat (APT)• Примеры APT• Как защищаться?• Примеры использования средств защиты
Advanced Persistent Threat
Изощренная постоянная угроза
Индустрия взлома
• ROI• Не нацелена на кого-либо персонально• Множество участников• Автоматизация
APT
• Персонализация• Постоянство• Цель — контроль• Автоматизация в меньшем масштабе• Атакующий один
APT (Advanced Persistent Threat — Изощренная долгосрочная угроза) — это не «что», а «кто»
— Джош Корман, The 451 Group
Примеры
StuxnetЧестно…это для мирного
домашнегоиспользовани
я…
Aurora
Атака на RSA
• Штатные сотрудники получили сообщение с темой “2011 Recruitment Plan” (они попали, как спам в папки карантина);
• К письмам был прикреплен файл Excel с внедренным Flash. В последнем был 0-day эксплоит (CVE 20110609), который использовался для загрузки трояна.
• Троян начал поиск паролей доступа к все более и более значимым компьютерам, пока не получил привилегированный доступ к той системе, которая была изначальной целью.
• Желаемые файлы были украдены и отправлены на внешний компьютер (это был взломанный компьютер у хостунг-провайдера).
Защита
• Не переход на последнюю версию AV/FW/IDS/IPS/DLP/…
• Не еще одна «коробка с лампочками» NAV/NSM
• Управление рисками в реальном времени!
Какой разъем ведет в Интернет?
Доверенная сеть Недоверенная сетьНедоверенная сеть
NAV & NSMСканирование сети
Анализ потоков данных
Захват и анализ сетевых пакетов
Анализ сетевых метаданных
Расследование сетевых инцидентов
Network Analysis & VisualizationNetwork Security Monitoring
Жизненный цикл
1. Установить базовый уровень защиты2. Обновить информацию об угрозах3. Контролировать и изучать сетевой трафик4. Расследовать возможную угрозу5. Инициировать процесс реакции на инцидент
или обновить защиту6. Перейти к шагу 1.
Trend Micro Threat Intelligence Manager
AdvancedTargeted Threats
EmpoweredEmployees
De-PerimeterizationVirtualization, Cloud,
Consumerization & Mobility
Традиционной защитынедостаточно!
i.e., Stuxnet, Epsilon, Aurora, Mariposa, Zeus,Sony PlayStation, etc.
& Wikileaks
Threat Intelligence Manager
Deep SecuritySystem Integrity
Office ScanIncident Discovery
Threat Discovery ApplianceSuspicious Network Behavior
Threat Intelligence ManagerThreat Analysis and Response
Панель управления
Статистика Smart Protection Network
Fidelis XPS
Секретный ингредиент: Deep Session Inspection®
Полностью очищенная луковица
Уведомление, сохранение и блокировка на основе установленных правил в
реальном времени
Вот, что видит Deep Session Inspection:
Полное декодирование на всех портах, протоколах и приложениях
Полная видимость всего содержимого на
всех уровнях
Стевая сессия
Инкапсуляция Ethernet
Инкапсуляция IP
Инкапсуляция TCP
Инкапсуляция HTTP
Инкапсуляция MIME
Кодирование ZIP
Формат PowerPoint
Формат Excel
Конфиденциальное содержимое
Формат PDF
Сжатие PDF
Вредоносное содержимое
Что такое правила?
И/ИЛИ/НЕ
КТО?(местоположение,
репутация)
ЧТО? (содержимое)
КАК? (атрибуты сессии)
Экспорт
Блокировка
Перенаправление
Карантин
Шифрование
Ограничение скорости
Запись
Визуализация
Сигнал
Уведомление
Какие правила возможны?
• “Блокировать приложения в социальных сетях”• “Предупреждать о передаче наружу любых персональных данных вне
регламентированных бизнес-процессов”• “Передачу персональных данных на известные фишинговые и вредоносные
сайты”• “Предупреждать о использовании шифрования SSL/TLS с
подозрительными странами в нерабочие часы”• “Предупреждать об исполняемых файлах, у которых подменено
расширение”• “Предупреждать о PDF-файлах с внедренным исполняемым кодом”• “Предупреждать о зашифрованном трафике с неправильным
алгоритмом или стойкостью”• “Предупреждать о сессиях с неизвестным протоколом”
Все, что можно сформулировать словами:
Правила (выдержка из обновления за май)
Название правила Пояснение
FSS_Data Hiding Обнаружение некоторых видов сокрытия данных среди других данных
FSS_Executable in PDF Исполняемый код в PDF
FSS_Flash in Embedded Object Присутствие внедренных Flash/Shockwave в документах MS Office (см. CVE-2011-0611 и CVE-2011-0609)
FSS_Obfuscated JavaScript in PDF Трюки с заменой символов в PDF в заголовке раздела с JavaScript
FSS_Suspicious Filename Обнаружение некоторых троянов
FSS_Suspicious Executable Обнаружение недавно скомпилированных программ
FSS_Unexpected Protocol (possible tunnel) Обнаружение несоответствия протокола и порта
FSS_Suspicious Executable
Что поймали наши сети?
32
33
Нет “.tar”
Файл формата
tar
34
Ну и спрятался!
35
Это исполняемый
файл!
Что у нас в кустах?
36
(?!\/JavaScript)(?:\/|#2f|#2F)(?:J|#4a|#4A)(?:a|#61)(?:v|#76)(?:a|#61)(?:S|#53)(?:c|#63)(?:r|#72)(?:i|#69)(?:p|#70)(?:t|#74)
37
Это не просто поиск
подстроки!
Мартовская уязвимость нулевого дня во Flash
38
“Show me Flash in XLS”
Апрельская уязвимость в Flash “Show me Flash in Doc”
39
А теперь…
Product Min Price (in USD)
Symantec SIM $67k-275k
McAfee ePO $25,000
Arcsight ESM $50,000+
Trend Micro TIM $10,325
Seculert TBD
Competitive Pricing
•Pricing scenario is for 2,500 employee organization with 70 servers, and management of events from all devices.
•Pricing does not include database licenses, server clusters and more, which are required for all but the Trend Micro offering.