fortinet. Алексей Мальцев "Стратегический подход к...
TRANSCRIPT
© Copyright Fortinet Inc. All rights reserved.
СТРАТЕГИЧЕСКИЙ ПОДХОД К ПРОТИВОДЕЙСТВИЮ СОВРЕМЕННЫМ УГРОЗАМАлексей Мальцев29 октября 2015
#codeIB/Тюмень
2
БЕСКОНЕЧНОЕ ПРОТИВОСТОЯНИЕ… ПРОДОЛЖАЕТСЯ
#codeIB
3
• Комплексные направленные угрозы• APT и ATA
• Отраслевая направленность• Новые техники атак• Используются известные инструменты• Противостояние на высоком уровне
ВИДЫ УГРОЗ
APT – Advanced Persistent ThreatATA – Advanced Targeted Attacks
#codeIB
5
НЕОБХОДИМЫ СЕРЬЕЗНЫЕ РЕСУРСЫВ глобальном масштабе только несколько групп имеют возможности, навыки, необходимое финансирование и инфраструктуру для осуществления APTКитай APT1. Подразделение 61398 Народно-освободительной армии Китая (People’s Liberation Army (PLA’s) Unit 61398). Начиная с 2006 г. скомпрометировала 141 организацию из 20 основных отраслей промышленности. Имеет четко определенную методологию атаки. Похищение больших объемов ценной интеллектуальной собственности;В 87% случаев штаб-квартиры этих компаний находились в англо-говорящих странах
Россия В российской армии появится новый род войск, который будет заниматься борьбой с киберугрозами и будет отвечать за информационную безопасность страны - сообщает РИА Новости со ссылкой на собственный источник в Министерстве обороны РФ
США Кибернетическое командование США (англ. United States Cyber Command, USCYBERCOM) — подразделение вооружённых сил США, находящееся в подчинении стратегического командования США. Основными задачами командования являются централизованное проведение операций кибервойны, управление и защита военных компьютерных сетей США. http://www.rg.ru/2013/07/05/cyberwar-site-anons.html
http://en.wikipedia.org/wiki/United_States_Cyber_Commandhttp://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
9ec4c12949a4f31474f299058ce2b22a
9ec4c12949a4f31474f299058ce2b22a
#codeIB
6
ЖИЗНЕННЫЙ ЦИКЛ APT (ATA)
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
…от 1 дня до 2+ лет…
Начальный этап
внедренияСоздание
плацдармаПовышение привилегий
Сбор информацииНачальная
разведка
Поддержка присутствия
Основнаядеятельность
Завершениемиссии
#codeIB
7
ОБЪЕДИНЕНИЕ УСИЛИЙ
ИнновацииВозможно
ли использоват
ь накопленны
й опыт?
Платформы
Исследования
Широкий мониторинг угроз – Партнерство и уникальный
подход
Fortinet, McAfee, Palo Alto Networks и Symantec совместно создали первый альянс по противостоянию киберугрозам
#codeIB
8
МОДЕЛЬ ПРЕДОТВРАЩЕНИЯ УГРОЗ (ATP VS APT)
ПредотвращениеУменьшение количества атак
Анализ и блокирование известных угроз
Техники:VPN, Authentication,
Network Access Control, SSL, App Controls, User ID, IPS, AV,
Antispam, IP Reputation, Web Filtering
ВыявлениеОпределение неизвестных угрозАнализ поведенияВыявление тенденций
Техники: Sandboxing, мониторинг, управление, отчетность, корреляция
Применение ответных мерИзучение и анализ новых угроз
Создание новых методов защитыснижение неопределенности
Техники:Карантин, новые сигнатуры, IP репутация, категоризация,
патч-менеджмент, инцидент-менеджмент
#codeIB
9
ЗАЩИЩЕННАЯ СЕТЬ ОТ FORTINET
FortiDBDatabaseProtection
FortiClientEndpoint Protection, VPN
FortiTokenTwo Factor Authentication
FortiSandboxAdvanced ThreatProtection
FortiClientEndpoint Protection
FortiGateNGFW
FortiAuthenticatorUser Identity Management
FortiManagerCentralized Management
FortiAnalyzerLogging, Analysis,Reporting
FortiADCApplicationDelivery Control
FortiWebWeb Application Firewall
FortiGateDCFW FortiGate
Internal NGFW
FortiDDoSDDoS Protection
FortiMailEmail Security
FortiGateVMXSDN, Virtual Firewall
FortiAPSecure Access Point
DATA CENTER
BRANCHOFFICE
CAMPUS
FortiGateCloud
FortiWiFiUTM
FortiGateTop-of-Rack
FortiCameraIP Video Security
FortiVoiceIP PBX Phone System
FortiGateNext Gen IPS
FortiExtenderLTE Extension
Secure Wireless
Switching
Advanced Threat
Protection
Authentication & Tokens
Application Security
Application Delivery/SLB
Endpoint Security
IP PBX and Phones
IP Video Surveillance
More…#codeIB
10
• Эшелонированная безопасность• Высокая скорость реакции
СИНЕРГИЯ ПРИ ПРЕДОТВРАЩЕНИИ УГРОЗ
IPS
Antivirus
Anti-Spam
IP Reputati
on
Web Filtering
App Control
ЗАДАЧА – РАЗОРВАТЬ ЦЕПЬ УГРОЗ И РАЗРУШИТЬ ЛОГИКУ APT
#codeIB
11
Спам фильтр существенно снижает объем спама, содержащего вредоносные ссылки, инфицированные файлы с низким уровнем ошибок и с высокой производительностьюМетоды определения:
– Глобальная спам фильтрация: IP репутация + база обширная актуальная база сигнатур
– Детальная фильтрация: запрещенные слова, черные белые списки, эвристика, грейлистинг…
– Постоянный сбор данных– Блокирование источника распространения спама– Детальные политики
АНТИСПАМЦель: доставить ссылку на вредоносный ресурс
IPS
Antivirus
Anti-spam
IP Reputat
ion
Web Filterin
g
App Control
#codeIB
12
АНТИСПАМ
#codeIB
FortiGate как антиспам шлюз• Тегирование или блокирование нежелательного почтового трафика• Локальные и облачные базы FortiGuard для определения спама• Определение мошеннических сообщений
FortiMail для анализа почтового трафика• Анализ сессий, контента, репутации
отправителя и многое другое…• Карантин подозрительных (или рискованных)
объектов для дополнительного анализа• Использование «песочницы» для
дополнительного анализа
Email Traffic
WebFiltering
AV Anti-Botnet
Code Emulation
OS Sandbox
IPS
Antivirus
Anti-spam
IP Reputation
Web Filterin
g
App Contro
l
13
WEB-ФИЛЬТРАЦИЯ
Web-фильтры ограничивают доступ к вредоносному и нежелательному контенту.
Блокировка по категориям, фиксированным спискам и отдельным страницам.
+ 78 категорий+ 250 млн ресурсов
IPS
Antivirus
Anti-spam
IP Reputat
ion
Web Filterin
g
App Control
Цель: заманить пользователя на вредоносный ресурс
#codeIB
14
• 78 Категорий в 6 группах• Более 250 млн URL• 70 языков• 40-80 млрд обращений в неделю• 40K URL проходят автоматическую
категоризацию ежедневно
• 96% посещаемых сайтов категорированы• Участник Internet Watch Foundation (IWF)
Точное определение
Низкий уровень ошибок
Автоматическое определение
WEB-ФИЛЬТРАЦИЯ
#codeIB
IPS
Antivirus
Anti-spam
IP Reputat
ion
Web Filterin
g
App Control
15
• IPS защищает как от известных так и скрытых сетевых угроз постоянно анализируя поток данных на сетевом уровне• Методы определения: - сигнатурный, статистический, поведенческий анализ;
- активный анализ и автоматический контроль данных; - предотвращение атак и блокирование источника угроз.
IPS – ОПРЕДЕЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ УГРОЗ
+ 8000 сигнатур+ 3000 приложений
Цель: получить контроль над приложением или устройствомIPS
Antivirus
Anti-spam
IP Reputat
ion
Web Filterin
g
App Control
#codeIB
16
IPS сигнатуры Over 8,000+ Signatures Интегрированная FortiGuard IPS энциклопедия атак Защита от Zero-day угроз Добавление собственных сигнатур Поведенческий анализ Сигнатуры для индустриальных решений Карантин, подробный анализ трафика
DOS защита Набор пороговых значений для различных типов
сетевых операций FortiDDoS – исключительная защита от DDoS атак
Варианты развертывания В зеркальном режиме Байпасс & FortiBridge
2015 NSS Labs Next Generation IPS
#codeIB
IPS – ОПРЕДЕЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ УГРОЗ
17
Контроль приложений защищает от атак,контролируя активность и использование сетевых приложений
КОНТРОЛЬ ПРИЛОЖЕНИЙЦель: утилизация ресурсов, неавторизованный доступ, скрытая передача данных
IPS
Antivirus
Anti-spam
IP Reputat
ion
Web Filterin
g
App Control
#codeIB
18
КОНТРОЛЬ ПРИЛОЖЕНИЙ
#codeIB
Более 3,300+ сигнатур, 19 категорий Интерактивное оповещение пользователей
через FortiBar или HTTP сообщения Детальный анализ трафика приложений
Шейпинг трафика приложений Поддержка протокола SPDY Анализ SSH Изменяемые сигнатуры
19
Защищает от новейших угроз на уровне данных, путем обнаружения и удаления вредоносного ПОМетоды определения:
– расширенный эвристический анализ данных для определения вирусов и шпионских программ
– Обнаружение и блокирование ботнет активности
АНТИВИРУС
35 наград
Цель: получение доступа к сети и даннымIPS
Antivirus
Anti-spam
IP Reputat
ion
Web Filterin
g
App Control
#codeIB
20
AntiMalware Потоковый и прокси режим Анализ типов файлов Эвристический анализ Интеграция с FortiSandbox Непрерывное пополнение базы
данных угроз Карантин файлов
Антиботнет По категориям приложений Черный список Ботнет IP
АНТИВИРУС
#codeIB
21
• IP репутация защищает от централизованных и автоматизированных ботнет атак используя актуальную информацию об источниках угрозы:– используется глобальный сбор информации
об угрозах– Блокирование атаки– Динамическое решение с определением
попыток обхода средств защиты
IP РЕПУТАЦИЯ
IPS
Antivirus
Anti-spam
IP Reputat
ion
Web Filterin
g
App Control
Цель: Создание ботсети, автоматизированного фишинга, рассылки спама, сканирования сети, организации DDoS, кражи данных
#codeIB
22
FORTIGUARD – НАДЕЖНАЯ ЗАЩИТАFORTIGUARD.COM
За одну минуту Обновлений в неделю
21,000Spam emails intercepted
390,000Network Intrusion Attempts resisted
460,000Malware programs neutralized
160,000Malicious Website accesses blocked
50,000Botnet C&C attempts thwarted
43 MillionWebsite categorization requests
46 MillionNew & updated spam rules
120Intrusion prevention rules
1.8 MillionNew & updated AV definitions
1.4 MillionNew URL ratings
8,000Hours of threat research globally
FortiGuard база данных
190Terabytes of threat samples
18,000Intrusion Prevention rules
5,800Application Control rules
250 MillionRated websites in 78 categories
200Zero-day threats discovered
По данным Q2 2015
#codeIB
App Control Antivirus Anti-spam
IPS Web App Database
WebFiltering Vulnerability
ManagementIP
Reputation
23
ВОЗМОЖНЫЙ СЦЕНАРИЙ
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
#codeIB
24
РАЗРЫВА ЦЕПИ УГРОЗ – ШАГ 1
Спам МошенническоесообщениеСпам
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
#codeIB
25
Спам МошенническоесообщениеСпам
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
ФишингСайт злоумышленника
Фишинг
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 2
#codeIB
26
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Спам
ФишингСайт злоумышленника
Спам
Фишинг
Эксплойт
Мошенническоесообщение
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 3
#codeIB
27
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Спам
ФишингСайт злоумышленника
Спам
Фишинг
Эксплойт
Мошенническоесообщение
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 4
#codeIB
28
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Спам
ФишингСайт злоумышленника
Вредоносное ПО
Спам
Фишинг
Эксплойт
Вредоносное ПО
Мошенническоесообщение
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 5
#codeIB
29
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Спам
ФишингСайт злоумышленника
Вредоносное ПОC&C Центр
Спам
Фишинг
Эксплойт
Вредоносное ПО
Бот активностьи кража данных
Мошенническоесообщение
Бот активностьи кража данных
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 6
#codeIB
30
Спам
ФишингСайт злоумышленника
Эксплойт
Вредоносное ПОC&C Центр
Спам
Фишинг
Эксплойт
Вредоносное ПО
Бот активностьи кража данных
Sand
box
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Мошенническоесообщение
Бот активностьи кража данных
РАЗРЫВ ЦЕПИ УГРОЗ – ШАГ 7. ВНЕДРЯЕМ SANDBOX
#codeIB
31
РАЗРЫВА ЦЕПИ УГРОЗ – ШАГ 8 ПОДДЕРЖКА АКТУАЛЬНОСТИ СИСТЕМЫ ЗАЩИТЫ
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/IP Reputation
Sand
box
ЦОД
Предприятия и филиальная сеть
Облако
Мобильные
Распределенная сеть
DLP
#codeIB