Системы breach detection - вебинар bisa
DESCRIPTION
http://bis-expert.ru/webinar/44913TRANSCRIPT
![Page 1: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/1.jpg)
СИСТЕМЫ КЛАССА BREАCH DETECTION – ЗАЧЕМ И ПОЧЕМУ: ТИПОЛОГИЯ, ВОЗМОЖНОСТИ, ОСОБЕННОСТИ Денис Безкоровайный, CISA, CISSP, CCSK, Аудитор СТО БР ИББС Руководитель направления по работе с заказчиками Trend Micro
![Page 2: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/2.jpg)
О чем пойдет речь
• Почему мы можем не знать про успешные атаки
• Что такое системы Breach Deteclon • Как работают новые инструменты и что дают ИБ-‐отделам
2
![Page 3: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/3.jpg)
Была ли ваша компания атакована?
3
§ Для проведения 75% атак не требуется специальных знаний 1…
… но для их обнаружения и устранения нужны
§ 63% специалистов ИБ уверены, что они будут атакованы рано или поздно2
1. Verizon 2: Source: ISACA APT Awareness Study, 2013
![Page 4: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/4.jpg)
Как вы узнаете о взломе?
4
![Page 5: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/5.jpg)
5
![Page 6: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/6.jpg)
Была ли ваша компания атакована успешно?
Обнаружено % компаний
Известное ВПО 98%
Активные ботнеты 94%
Disruplve applicalons 88%
Банковское ВПО 75%
Вредоносные документы 75%
ВПО, использующее уязвимости нулевого дня
49%
Сетевые атаки 84%
ВПО для Android 28%
6
![Page 7: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/7.jpg)
Все это борется только с известными угрозами
Next-‐Gen Firewall
Системы обнаружения атак (IDS)
Системы IPS
Антивирус
Шлюз Email /Web
Известные угрозы
Что уже есть в ИБ-‐продвинутой компании
7
![Page 8: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/8.jpg)
Традиционную защиту довольно просто обойти
Но достаточно ли этого?
§ Разведка и подготовка § Целевой email-‐фишинг § Неизвестное ВПО § Новые эксплойты § Широкий набор уязвимостей § Динамические C&C-‐серверы § BYOD ?
8
Next-‐Gen Firewall
Системы обнаружения атак (IDS)
Intrusion Preven\on (IPS)
Антивирус
Шлюз Email /Web
![Page 9: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/9.jpg)
Есть интернет и электронная почта – есть точка входа
91% атак начинаются с электронной почты
9
![Page 10: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/10.jpg)
Атакующий всегда проверяет свой вредоносный код перед атакой
10
![Page 11: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/11.jpg)
Confidenlal | Copyright 2014 TrendMicro Inc.
![Page 12: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/12.jpg)
12
![Page 13: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/13.jpg)
Confidenlal | Copyright 2014 TrendMicro Inc.
![Page 14: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/14.jpg)
Краткий курс молодого хакера
14
![Page 15: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/15.jpg)
Copyright 2014 Trend Micro Inc. 15
Много систем и данных
Много событий для анализа
Мало ресурсов
Гигантская поверхность атаки
Хватит одной успешной атаки
? ? ? ?
15
Куда смотреть? Что искать?
![Page 16: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/16.jpg)
§ Почти нет риска быть наказанным
§ Простой доступ к знаниям и инструментам
§ Социальная инженерия — просто как никогда
§ Широкий набор эксплойтов и уязвимостей
У темной стороны большое преимущество!
16
![Page 17: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/17.jpg)
Реакция ИБ-‐отрасли
17
![Page 18: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/18.jpg)
Эволюция
Copyright 2014 TrendMicro Inc.
Сигнатуры
Эвристика
Черные списки URL
Репутация URL
Защита от эксплойтов
Поведенческий анализ
18
Генераторы ВПО
Полиморфизм, крипторы
Динамические домены
Ручной отбор доменов для атаки
Zero day, соц.инженерия
Анализ среды
![Page 19: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/19.jpg)
Почти решение
Copyright 2014 TrendMicro Inc.
Поведенческий анализ
19
Много ложных срабатываний
Зависимость от среды исполнения
Необходимо много вычислительных ресурсов
Сложно выполнять на рабочих станциях
![Page 20: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/20.jpg)
Множество названий
Copyright 2014 TrendMicro Inc.
§ Anl-‐APT § Advanced Threat Proteclon § Payload Analysis § Breach Deteclon Systems (BDS)
20
![Page 21: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/21.jpg)
Для чего нужны BDS
Copyright 2014 TrendMicro Inc.
Примеры из жизни – неизвестное ВПО
§ Атаки с социальной инженерией через веб § Drive-‐by атаки § Социальная инженерия через email и другие не-‐web каналы
§ Эксплойты в документах § BYOD и заражения вне корпоративной сети
21
![Page 22: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/22.jpg)
Copyright 2014 Trend Micro Inc. 22
Что можно узнать
§ Откуда атака? Куда выводятся данные?
§ Сколько машин/сотрудников скомпрометированы?
§ Какие данные были скомпрометированы?
§ Как давно? § Атака уникальная или просто мой АВ
не справился? § Как предупредить?
![Page 23: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/23.jpg)
Необходимый минимум возможностей
Copyright 2014 TrendMicro Inc.
§ Идентификация известного и неизвестного ВПО § Идентификация коммуникаций с C&C серверами
23
![Page 24: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/24.jpg)
Дополнительная программа
Copyright 2014 TrendMicro Inc.
§ Анализ всего внутреннего трафика – не только на периметре § Выявление действий атакующего
Ø Эксплойты, спец.утилиты § Корреляция данных от разных каналов и инцидентов
24
![Page 25: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/25.jpg)
Какие механизмы это реализуют
Copyright 2014 TrendMicro Inc.
§ Динамический анализ угроз § Продвинутый сетевой анализ
25
![Page 26: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/26.jpg)
Динамический анализ угроз
Copyright 2014 TrendMicro Inc. 26
§ Виртуальные машины «песочницы» для исполняемых файлов и запуска документов
Ø поиск необнаруживаемых сигнатурами образцов Ø предотвратить заражение или хотя бы узнать про него
![Page 27: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/27.jpg)
Песочницы – что исследуется § Исполняемые файлы
Ø агрессивный эвристический анализ Ø поведение – мониторинг сетевой активности и коммуникаций,
действия с ОС
§ Офисные файлы и документы
Ø запуск в «реальной» программе просмотра (Word, PDF ридер) Ø мониторинг активностей после открытия файла Ø (сработал эксплойт –> появился процесс –> скачался новый файл и
тд) Confidenlal | Copyright 2014 TrendMicro Inc.
![Page 28: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/28.jpg)
Продвинутый сетевой анализ
Copyright 2014 TrendMicro Inc. 28
§ Активность вредоносного ПО
Ø загрузка, коммуникации с C&C Ø не только по адресам C&C!
§ Активность атакующего
Ø скан портов, brute force, загрузка спец. утилит
§ Поиск аномалий
Ø вывод данных по открытым и скрытым каналам Ø нестандартное использование протоколов
![Page 29: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/29.jpg)
Индикаторы компрометации
Copyright 2014 TrendMicro Inc. 29
§ Indicators of Compromise (IoC) – это информация, которую можно использовать для обнаружения потенциально скомпрометированных систем, например:
Ø IP адреса, домены Ø Паттерны в URL Ø Хеш-‐суммы файлов Ø Email адреса Ø X-‐Mailer Ø HTTPUserAgent
![Page 30: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/30.jpg)
Песочница – ограничения и вопросы
Copyright 2014 TrendMicro Inc. 30
§ Если атака целевая — не сработает в неподходящей среде
§ Среда песочницы должна в точности повторять типовую среду организации-‐жертвы
§ Производительность
![Page 31: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/31.jpg)
Системы BDS в общей структуре ИБ
Copyright 2014 TrendMicro Inc.
§ Интеграция с существующими системами ИБ -‐ добавляет знаний (IoC) и возможностей в системы
Ø защиты электронной почты Ø веб-‐шлюзы Ø МСЭ Ø IDS/IPS Ø SIEM Ø Системы защиты конечных точек Ø Системы форенсики
§ Примеры
31
![Page 32: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/32.jpg)
Отсылают файлы для анализа
Web шлюз
Общая картина
Confidenlal | Copyright 2014 TrendMicro Inc.
Обновления «черных списков» IP/доменов Обновления АВ сигнатур
Email шлюз
Endpoint защита
IPS
Breach Deteclon System
Отсылает IoC и обратную связь
Коммутатор Сбор трафика для анализа (SPAN)
SIEM
Endpoint Forensics
Другие продукты
Отсылает IoC и события
![Page 33: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/33.jpg)
BDS — логичное дополнение системы защиты
33
§ Управление ИБ § Повышение осведомленности § Управление уязвимостями § Разграничение прав доступа § Управление учетными записями § Мониторинг и реагирование
на инциденты
![Page 34: Системы Breach Detection - вебинар BISA](https://reader033.vdocuments.net/reader033/viewer/2022052904/55838f67d8b42a8e0c8b512f/html5/thumbnails/34.jpg)
Вопросы?
34