Продвинутая защита от продвинутых атак. resentation.pdf ·...
Transcript of Продвинутая защита от продвинутых атак. resentation.pdf ·...
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 1
Продвинутая защита от
продвинутых атак.
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 2
Знакомство с FireEye
• Компания основана в 2004 году, поставляет
свои решения с 2006
• 1000+ сотрудников в 6 странах, Штаб-квартира
Милпитас, Калифорния
• ~2200 Клиентов, во всех регионах, в каждой
индустрии
• Инвестиции от Топ-компаний - Sequoia Capital,
NorWest, Juniper, Silicon Valley Bank,
• Лучший Security IPO за 8 лет (капитализация
$ 4,594 млн)
Включена в зал Инноваций
1 место в списке Наиболее быстро
растущих компаний 2013
2012 Technology Innovation Award
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 3
Тестирование в «реальном мире»
«Линия Мажино
кибербезопасности:Оценка многоуровневой модели
безопасности в реальном мире
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 4
Тестирование в «реальном мире»
Проанализированы данные с 1614 устройств FireEye
Исследовано 1216 организациях по всему миру в период с Октября
2013 по Март 2014
Опрошено 348 организаций
Исходные данные:
Сетевое и почтовое решение
FireEye ставится за всеми
остальными решениями
безопасности.
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 5
Тестирование в «реальном мире»
Результаты!
97% организаций оказались
взломанными
27% Атак имели признаки
APT
122Вредоносных элемента
пропустила каждая
организация
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 6
Ландшафт киберугроз
Угрозы нового поколения
• Zero-day атаки
• APT (ATA)
• Полиморфные угрозы
• Смешанные угрозы
• Spear Phishing
2004 2006 2008 2010 2012
Advanced Persistent Threats
Zero-dayTargeted AttacksDynamic Trojans
Stealth Bots
WormsViruses
Spyware/BotsУ
ще
рб
от
Ата
к
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 7
Ландшафт киберугроз
Угрозы нового поколения
• Глобальные
• Адаптивные
• Скрытные
• Динамичные
• Настойчивые
2004 2006 2008 2010 2012
Advanced Persistent Threats
Zero-dayTargeted AttacksDynamic Trojans
Stealth Bots
WormsViruses
Spyware/BotsУ
ще
рб
от
Ата
к
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 8
Анатомия проникновения угрозы/APT
Многоэтапность атаки
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 9
Ключ успеха современных атак
Firewalls/
NGFW
Блокировка
соединений по
IP\портам, L7.
Не эффективен
против APT
IPSSecure Web
Gateways
Анализ
скриптовых
угроз, AV, IP/URL
фильтрация. Не
способность
обнаружить
APT, 0-day
Anti-Spam
Gateways
Концентрация на
борьбе с
вирусами,
сигнатурный
анализ.
Отсутствует
защита от
направленного
фишинга (spear-
phishing)
Desktop AV
Анализ угроз на
основе сигнатур.
Не способность
отражать ATA
Несмотря на наличие всех этих решений, 90% организаций
находятся под угрозой атаки
Обнаружение атак
по сигнатурам.
Поверхностный
анализ
приложений,
высокий уровень
ложных
срабатываний
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 10
FIREEYE НЕПРЕРЫВНЫЙ ПРОЦЕСС ПРЕДОТВРАЩЕНИЯ УГРОЗ
ОБНАРУЖИТЬ
РЕАГИРОВАТЬ
ПРЕДОТВРАТИТЬ
АНАЛИЗОВАТЬ
МЕТОД ОСНОВАННЫЙ НА
МНОГОПОТОЧНОЙ ВИРТУАЛЬНОЙ
МАШИНЕ НЕ ИСПОЛЬЗУЮЩЕЙ
СИГНАТУРЫ
ПОДДЕРЖКА ВОССТАНОВЛЕНИЯ,
ДАННЫХ ОБ УГРОЗАХ С ЦЕЛЬЮ
УСТРАНЕНИЯ И УЛУЧШЕНИЯ
СОСТОЯНИЯ РИСКОВ
МНОГОВЕКТОРНОЕ “INLINE”
ПРЕДОТВРАЩЕНИЕ ИЗВЕСТНЫХ И
НЕИЗВЕСТНЫХ УГРОЗ
УДЕРЖАНИЕ, СУДЕБНАЯ ЭКСПЕРТИЗА И
РЕКОНСТРУКЦИЯ
ПОСЛЕДОВАТЕЛЬНОСТИ СОБЫТИЙ
Security Reimagined
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 11
Старый подход для борьбы с новыми угрозами?
Новый метод
Виртуальных Машин
• Без сигнатур
• Режим реального времени
• Известные\не известные
угрозы
• Минимум ложных
срабатываний
• Сигнатуры – черный список
– репутация– эвристика
• Реактивный
• Только известные угрозы
• Ложные срабатывания
Определение по
шаблонам
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 12
Каким должно быть NGTP ?
• Никаких сигнатур;
• Не только определение, но и защита;
• Защита всех векторов распространения атак;
• Высокая точность;
• Глобальность.
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 13
Next Generation Threat Protection
Новый класс решений безопасности, который специально предназначен
для определения и защиты от атак нового поколения.
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 14
FireEye Защита от угроз нового поколения
FireEye FX Series
FireEye EX Series
FireEye AX Series
FireEye NX Series
FireEye CM
Dynamic Threat Intelligence (DTI)
Централизованное управлениеВсеми устройствами и DTI
Защищает от угроз распространяющихся через Web Callback и блокирование
Расследование происхождения угроз
Защищает от угроз распространяющихся через Email
Защищает от угроз, найденных в файловой системе
Анализ осуществляется на «борту» устройства!
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 15
Multi Vector Execution Engine
Масштабируемость
• Различные ОС, приложения,
браузеры, плагины и их версии
• Множество типов файлов
• Многозадачность
• Физический гипервизор
• Контрмеры от вредоносного ПО
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 16
Multi Vector Execution Engine
Много-этапный анализ
Минимум ложных срабатываний
Нет нагрузки на систему
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 17
• Блокировка входящего
и исходящего трафика
• Продвинутый анализ
содержимого(PDF,
JavaScript, URLs)
• Модели до 4 Gbps
FEATURES
FireEye NX Series (Web защита)
• Установка «в разрез сети», режим реального времени
• Анализ всех web объектов (web страниц, flash, PDF, офисных документов и *.exe);
• Блокирование callback, прерывание несанкционированного использования данных;
• Динамическое создание профилей угроз нулевого дня и передача их в DTI;
• Интеграция с устройствами FireEye EX, FX и AX серий для динамического
блокирования callback коммуникаций, выполненных вредоносным ПО.
http://
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 18
FireEye NX Series (Web защита)
Windows 7 – SP1
Virtual Execution
Environment Analysis
Первона
чальный
анализ
Play Malware
Attack
Windows XP - Base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Мгновенная
Блокировка
Известных
уязвимостей
W
e
b
У
г
р
о
з
ы
Захват
пакетов
1 2 3 4
C
A
L
L
B
A
C
K
E
N
G
I
N
E
DTI5
Предотвр
ащение
несанкц.
использо
вания
данных
Port0
65k
Исходящие
Профили атак
нулевого-дня
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 19
FireEye EX Series (Email защита)
8300 поддерживает 96 Virtual Execution
Environments (VXE)
Virtual Execution
Environment (VXE) Analysis
Play Malware
Attack
Windows XP - base
Windows XP – SP2
Windows XP – SP3
Windows 7 - Base
Windows 7 – SP1
Распределение
Объектов Анализа
Перехват
писем
1 2 3
URL передаются в cписки
приоритетных URL на
FireEye NX через консоль
управления
Отчеты, Оповещения и
Карантин
4
✔
✔
✔
Профили атак
нулевого-дня
DTI
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 20
FireEye HX Series (Защита рабочих станций)
• Обнаружение APT атак на конечных станциях
• Интеграция с сетевыми решениями безопасности (NX и др)
• Постоянный анализ и расследование инцидентов
• Возможность блокирования зараженных станций
• Контроль рабочих станций не подключенных к сети (Agent Anywhere)
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 21
Защита от смешанных атак
Защита против комбинированных атак через URL-ссылки,
содержащиеся в email-письмах
• Анализ высокоприоритетных URL-ссылок в FireEye NX Series MVX механизме;
• Интеграция FireEye NX Series и EX Series через FireEye CM для:
– корреляции вредоносных URL с электронными письмами направленного фишинга;
– внесения в черный список IP адресов C&C серверов.
FireEye CM
FireEye NX FireEye EX
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 22
Проблемы песочниц!
• Часто основаны на коммерческих гипервизорах
• (Vmware, Xen, Hyper-V), а не на физических
• Нет защиты от мульти-векторных атак
• Нет анализа многопоточности
• Работа только с исполняемыми файлами
• Нет матрицы уязвимого ПО
• Нет способности обнаружить эксплоит
• Не способны создавать правила и сигнатуры
автоматически
• Анализ угроз в облаке
• Не видят полного цикла атаки
Это не решение для защиты от APT атак!
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 23
Проблемы песочниц!
Способы обхода песочниц
Чувствительность к настройкам
• «Режим ожидания» замирание на определенное время
• «Временной триггер» запуск в определенное время
• «Скрытый процесс»
• «Исполнение после перезагрузки»
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 24
Проблемы песочниц!
Способы обхода песочниц
Среда
• «Проверка версии»
• «Запрос загрузчика DLL»
• «Внедрение ifarmes в GIF и Flash»
Обход VMware
• Проверка сервисов присущих для Vmware (vmicheatbeat, vmci,
vmdebug,
vmmouse, vmscis… )
• Проверка наличия уникальных файлов (наличие vmmouse.sys)
• Наличие порта VMX
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 25
Network
Monitoring
Endpoint
Платформа FireEye : Партнеры
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 26
Вопросы?
Спасибо за внимание!
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 27
Установка FireEye NX (Web защита)
NG Firewall
Switch
HR
SPAN / TAP
wMPS 1
wMPS N
Router
NG Firewall
HR
INLINEIPS (Optional)
wMPS
Router
NG Firewall
Switch
HR
PROXY
wMPS
IPS
Switch
A1 A2
B1 B2
Router
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 28
Установка FireEye EX (Email защита)
Router
NG Firewall
HR
MTA
Switch
DMZ
Anti SpamGateway / MTA
eMPS
Router
NG Firewall
HR
BCC
Switch
DMZ
Anti SpamGateway / MTA
eMPS
Router
NG Firewall
HR
SPAN
Switch
DMZ
Anti SpamGateway / MTA
eMPS
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 29
Установка FireEye FX (Контент защита)
Router
NG Firewall
HR
MOUNT MODE
Switch
DC
Private
File AppfMPS
Mount Mode
fMPS
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 30
Анализ событий
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 31
Инфицирован или нет…
если есть callback – система инфицирована!
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 32
Dashboard – Статус защиты от вредоносного ПО
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 33
Обзор инфицированного хоста
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 34
Вопросы?
Спасибо за внимание!