Инновационные технологии в области сетевой...

ИННОВАЦИОННЫЕ ТЕХНОЛОГИИ

В ОБЛАСТИ СЕТЕВОЙ БЕЗОПАСНОСТИ

Евгений Дружинин,

эксперт направления информационной безопасности

Москва, 05.06.2014

2

АТАКА НА СЕТЕВУЮ ИНФРАСТРУКТУРУ

Сбор информации

Вторжение

Закрепление влияния

Извлечение данных

Удержание влияния

3

ЭТАП 1 – СБОР ИНФОРМАЦИИ

Традиционные средства защиты от раскрытия информации об инфраструктуре компании:

• Межсетевые экраны

• Системы обнаружения и предотвращения вторжений

4

ЭТАП 1 – СБОР ИНФОРМАЦИИ

Недостатки традиционных средств:

• Сложность обнаружения медленных и распределенных сканирований

• Отсутствие корреляции между результатами работы систем

5

ЭТАП 1 – СБОР ИНФОРМАЦИИ NEXT GENERATION FIREWALL (NGFW)

Функционал Результат

• Межсетевое экранирование

• Обнаружение и предотвращение вторжений

Сопоставление результатов позволяет обнаружить факт подготовки к атаке

• Глубокая инспекция сетевого трафика на уровне приложений

• Фильтрация информационных потоков с использованием метаданных о пользователях

Определение потенциальных целей злоумышленника и своевременное принятие мер по усилению защиты

6

ЭТАП 2 - ВТОРЖЕНИЕ

Традиционные средства защиты от вторжений:

• Межсетевые экраны

• Системы обнаружения и предотвращения вторжений

• Фильтрация запросов к веб-серверам

• Антивирусное ПО на серверах и рабочих станциях

7

ЭТАП 2 - ВТОРЖЕНИЕ

Недостатки традиционных средств: • Невозможность обнаружения 0-day атак при передаче вредоносного

ПО • Невозможность обнаружения 0-day атак

на сетевые приложения

8

ЭТАП 2 - ВТОРЖЕНИЕ

Средства защиты: • Межсетевые экраны нового поколения (NGFW) • Специализированные средства защиты от APT • Специализированные средства защиты веб-приложений (WAF)

9

ЭТАП 2 - ВТОРЖЕНИЕ

Специализированные системы обнаружения 0-day: • Обнаружение потенциально-опасных файлов

• Эмуляция их работы в «песочнице»

Антивирусный сигнатурный анализ

Проверка IP по репутационной базе

Анализ модели поведения (статический анализ кода)

Динамический анализ кода

Проверка по базе доверенных файлов

10

ЭТАП 2 - ВТОРЖЕНИЕ

Специализированные средства защиты веб-приложений (WAF) обеспечивают: • Создание базового профиля запросов к веб-серверам

и обнаружение отклонений от шаблона • Анализ поведения отдельных пользователей

в используемом приложении • Виртуальное исправление уязвимостей web-сайтов

11

ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ ВНУТРИ СЕТИ

Традиционные средства анализа аномалий внутри сети:

• Системы обнаружения и предотвращения вторжений

• SIEM-системы

Не обнаруживают:

• Медленные сканирования

• Нестандартные алгоритмы сбора информации

• Зашифрованные каналы связи с командным центром

12

Средства защиты: • Межсетевые экраны нового поколения (NGFW) • Специализированные средства выявления сетевых аномалий • Специализированные компоненты контроля сетевых

взаимодействий

ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ ВНУТРИ СЕТИ

13

ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ ВНУТРИ СЕТИ

Инструменты анализа сетевых потоков данных обеспечивают:

• Выявление аномального трафика

• Обнаружение новых типов сетевых атак

• Проведение детального расследования сетевых аномалий

14

ЭТАПЫ С 3 ПО 5 – АКТИВНЫЕ ДЕЙСТВИЯ ВНУТРИ СЕТИ

Механизмы контроля сетевых взаимодействий позволяют:

• Сформировать профиль типовых взаимодействий между системами

• Выявить отклонения от него

15

СНИЖЕНИЕ РИСКОВ ПРИ УПРАВЛЕНИИ РАСПРЕДЕЛЕННЫМИ СЕТЯМИ

• Своевременное выявление ошибок в конфигурациях

• Контроль изменений конфигураций

• Оптимизация структуры правил фильтрации

Централизованный контроль

конфигураций и управления

сетевой инфраструктурой:

16

ЗАКЛЮЧЕНИЕ

Для обеспечения защиты от направленных атак необходим комплекс средств защиты:

• Системы класса NGFW

• Системы обнаружения потенциально-опасных файлов

• Специализированные средства защиты веб-приложений

• Системы обнаружения аномалий в сетевом трафике

• Системы анализа и управления конфигурациями сетевого оборудования

17

Евгений Дружинин Эксперт направления информационной безопасности

111033, Москва, ул. Волочаевская, д.5, корп.1 +7 495 974 2274, доб. 6423, +7 495 974 2277 (факс)

EDruzhinin@croc.ru www.croc.ru

СПАСИБО ЗА ВНИМАНИЕ!