михаил кондрашин

NAV против APTNetwork Analysis & Visualization — защита от

Advanced Persistent Threat

Михаил КондрашинAPL

Оглавление

• Advanced Persistent Threat (APT)• Примеры APT• Как защищаться?• Примеры использования средств защиты

Advanced Persistent Threat

Изощренная постоянная угроза

Индустрия взлома

• ROI• Не нацелена на кого-либо персонально• Множество участников• Автоматизация

APT

• Персонализация• Постоянство• Цель — контроль• Автоматизация в меньшем масштабе• Атакующий один

APT (Advanced Persistent Threat — Изощренная долгосрочная угроза) — это не «что», а «кто»

— Джош Корман, The 451 Group

Примеры

StuxnetЧестно…это для мирного

домашнегоиспользовани

я…

Aurora

Атака на RSA

• Штатные сотрудники получили сообщение с темой “2011 Recruitment Plan” (они попали, как спам в папки карантина);

• К письмам был прикреплен файл Excel с внедренным Flash. В последнем был 0-day эксплоит (CVE 20110609), который использовался для загрузки трояна.

• Троян начал поиск паролей доступа к все более и более значимым компьютерам, пока не получил привилегированный доступ к той системе, которая была изначальной целью.

• Желаемые файлы были украдены и отправлены на внешний компьютер (это был взломанный компьютер у хостунг-провайдера).

Защита

• Не переход на последнюю версию AV/FW/IDS/IPS/DLP/…

• Не еще одна «коробка с лампочками» NAV/NSM

• Управление рисками в реальном времени!

Какой разъем ведет в Интернет?

Доверенная сеть Недоверенная сетьНедоверенная сеть

NAV & NSMСканирование сети

Анализ потоков данных

Захват и анализ сетевых пакетов

Анализ сетевых метаданных

Расследование сетевых инцидентов

Network Analysis & VisualizationNetwork Security Monitoring

Жизненный цикл

1. Установить базовый уровень защиты2. Обновить информацию об угрозах3. Контролировать и изучать сетевой трафик4. Расследовать возможную угрозу5. Инициировать процесс реакции на инцидент

или обновить защиту6. Перейти к шагу 1.

Trend Micro Threat Intelligence Manager

AdvancedTargeted Threats

EmpoweredEmployees

De-PerimeterizationVirtualization, Cloud,

Consumerization & Mobility

Традиционной защитынедостаточно!

i.e., Stuxnet, Epsilon, Aurora, Mariposa, Zeus,Sony PlayStation, etc.

& Wikileaks

Threat Intelligence Manager

Deep SecuritySystem Integrity

Office ScanIncident Discovery

Threat Discovery ApplianceSuspicious Network Behavior

Threat Intelligence ManagerThreat Analysis and Response

Панель управления

Статистика Smart Protection Network

Fidelis XPS

Секретный ингредиент: Deep Session Inspection®

Полностью очищенная луковица

Уведомление, сохранение и блокировка на основе установленных правил в

реальном времени

Вот, что видит Deep Session Inspection:

Полное декодирование на всех портах, протоколах и приложениях

Полная видимость всего содержимого на

всех уровнях

Стевая сессия

Инкапсуляция Ethernet

Инкапсуляция IP

Инкапсуляция TCP

Инкапсуляция HTTP

Инкапсуляция MIME

Кодирование ZIP

Формат PowerPoint

Формат Excel

Конфиденциальное содержимое

Формат PDF

Сжатие PDF

Вредоносное содержимое

Что такое правила?

И/ИЛИ/НЕ

КТО?(местоположение,

репутация)

ЧТО? (содержимое)

КАК? (атрибуты сессии)

Экспорт

Блокировка

Перенаправление

Карантин

Шифрование

Ограничение скорости

Запись

Визуализация

Сигнал

Уведомление

Какие правила возможны?

• “Блокировать приложения в социальных сетях”• “Предупреждать о передаче наружу любых персональных данных вне

регламентированных бизнес-процессов”• “Передачу персональных данных на известные фишинговые и вредоносные

сайты”• “Предупреждать о использовании шифрования SSL/TLS с

подозрительными странами в нерабочие часы”• “Предупреждать об исполняемых файлах, у которых подменено

расширение”• “Предупреждать о PDF-файлах с внедренным исполняемым кодом”• “Предупреждать о зашифрованном трафике с неправильным

алгоритмом или стойкостью”• “Предупреждать о сессиях с неизвестным протоколом”

Все, что можно сформулировать словами:

Правила (выдержка из обновления за май)

Название правила Пояснение

FSS_Data Hiding Обнаружение некоторых видов сокрытия данных среди других данных

FSS_Executable in PDF Исполняемый код в PDF

FSS_Flash in Embedded Object Присутствие внедренных Flash/Shockwave в документах MS Office (см. CVE-2011-0611 и CVE-2011-0609)

FSS_Obfuscated JavaScript in PDF Трюки с заменой символов в PDF в заголовке раздела с JavaScript

FSS_Suspicious Filename Обнаружение некоторых троянов

FSS_Suspicious Executable Обнаружение недавно скомпилированных программ

FSS_Unexpected Protocol (possible tunnel) Обнаружение несоответствия протокола и порта

FSS_Suspicious Executable

Что поймали наши сети?

32

33

Нет “.tar”

Файл формата

tar

34

Ну и спрятался!

35

Это исполняемый

файл!

Что у нас в кустах?

36

(?!\/JavaScript)(?:\/|#2f|#2F)(?:J|#4a|#4A)(?:a|#61)(?:v|#76)(?:a|#61)(?:S|#53)(?:c|#63)(?:r|#72)(?:i|#69)(?:p|#70)(?:t|#74)

37

Это не просто поиск

подстроки!

Мартовская уязвимость нулевого дня во Flash

38

“Show me Flash in XLS”

Апрельская уязвимость в Flash “Show me Flash in Doc”

39

А теперь…

Product Min Price (in USD)

Symantec SIM $67k-275k

McAfee ePO $25,000

Arcsight ESM $50,000+

Trend Micro TIM $10,325

Seculert TBD

Competitive Pricing

•Pricing scenario is for 2,500 employee organization with 70 servers, and management of events from all devices.

•Pricing does not include database licenses, server clusters and more, which are required for all but the Trend Micro offering.