ݺߣ

ݺߣShare a Scribd company logo

FireEye - система защиты от целенаправленных атак

DialogueScience
DialogueScience

В настоящее время угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара будет рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.

1 of 26
Downloaded 11 times
FireEye – эффективное решение для защиты от APT-угроз
Обо мне Николай Петров, CISSP Директор по развитию бизнеса, ДиалогНаука Первым в России был удостоен звания CISSP На протяжении многих лет являюсь единственным сертифицированным инструктором (ISC)2 в России Работал в компаниях Philip Morris, Kerberus, MIS Training Institute, (ISC)2, Ernst & Young 2
План презентации 1.Особенности APT 2.Решение FireEye Продолжительность 25 мин 3
Известные атаки 4 •Operation Aurora •F-35 и F-22 •Stuxnet •RSA •Citigroup •Globalpayments •NY Times •Red October •NetTraveler
Известные атаки 5 NY Times • Атака началась на следующий день после публикации статьи о причастности к коррупции премьер министра Китая Вэнь Цзябао – 24 октября 2012 • Была обнаружена в январе 2013 • Расследование проводимое компанией Mandiant показало, что были установлены 45 вариантов вредоносного ПО. Только один из них был обнаружен Symantec и помещен в карантин • Атакующие получили доступ к файлам и электронной почте сотрудников NY Times, включая редакторов Шанхайского бюро 2013
Особенности APT
Особенности APT 7 APT - целенаправленная сетевая атака, при которой атакующий получает неавторизованный доступ в сеть и остается необнаруженным в течении длительного времени Термин APT введен U.S. Air Force в 2006 • Advanced: Атакующий является экспертом и использует свои собственные, неизвестные другим инструменты для эксплуатации уязвимостей • Persistent: Атакующий не ограничен во времени, т е он будет тратить столько времени, сколько нужно, чтобы получить доступ и остаться незамеченным • Threat: Атакующий организован, мотивирован, обладает необходимыми финансовыми ресурсами APT • считается наиболее опасным типом атак • не вредоносное ПО • спланированная атака, мотивированная деньгами, политикой/национальными интересами и направленная для достижения определенной цели
Особенности APT 8 Обход защиты основанной на анализе сигнатур • Традиционные продукты, такие как IDS/IPS, межсетевые экраны следующего поколения (NGFW), шлюзы Wеб-безопасности (secure Web gateways), антивирусное ПО— анализируют сигнатуры для обнаружения известным им атак, и в некоторых случаях, неизвестных атак, которые используют известные им уязвимости Обход защиты основанной на анализе аномалий • Продвинутые IDS/IPS и решения анализирующие сетевые аномалии могут обнаруживать APT. Они собирают траффик (e.g., NetFlow, sFlow, cFlow) с сетевых устройств и сравнивают его с “обычным” сетевым трафиком в имевшем место в течении дня, недели, месяца • Однако такие решения подвержены ошибкам 1-го и 2-го рода. False positives – когда нормальный трафик принимается за атаку, и наоборот, false negatives – когда атака воспринимается как нормальный трафик
Особенности APT 9 Межсетевые экраны IDS/IPS Шлюзы Web- безопасности Средства защиты от спама Антивирус Традиционные технологии не могут остановить APT
Особенности APT 10 Эксплуатация уязвимости 1 3 Связь с сервером управления 2 Загрузка вредоносного кода Compromised Web server, or Web 2.0 site 1 Callback Server IPS 3 2 Передача конфиденциальной информации 4 Дальнейшее распространение атаки 5 DMZ File Share 2 File Share 1 4 5
Особенности APT 11 Стадия 1 • Эксплуатация уязвимости обычно происходит через Web (JavaScript, JPG) или email (вложение XLS, PDF) • Достаточно кликнуть мышью на гиперссылке • Открывается Web броузер (или другое приложение Adobe Reader, Microsoft Word, or Microsoft Excel) • Гиперссылка использует скрытый адрес закодированный с помощью base64. После его раскодирования, компьютер жертвы устанавливает соединение с сервером атакующего, откуда загружается вредоносное ПО Стадия 2 • Устанавливается соединение с сервером управления и загрузка дополнительного вредоносного кода Стадия 3 • Вредоносное ПО устанавливает шифрованное соединение с сервером управления (например, SSL) • Обходит традиционную защиту предлагаемую межсетевыми экранами и системами обнаружения вторжений
Особенности APT 12 Стадия 4 • Обычно зараженный компьютер не содержит данные, необходимые атакующему • Атака распространяется на компьютеры ИТ администраторов, файловые сервера и сервера БД Стадия 5 • Передача большого объема данных или данных в открытом виде обнаруживается системами IDS/IPS и DLP • Данные передаются порциями по 50-100 МБ в зашифрованном виде
Решение FireEye
Решение FireEye 14 •Компания FireEye с 2004 г в США •Поставляет продукты с 2006 г •Мировой лидер – FireEye используют 1/3 компаний Fortune 100
Отчет Gartner 15 “Все согласны с тем, что целенаправленные атаки обходят традиционные средства защиты и остаются необнаруженными в течение длительного времени. Угроза реальна. Ваши сети скомпрометированы независимо от того, знаете Вы об этом или нет.” Отчет Gartner 2012 Как вы думаете, в сети вашей организации есть вредоносное ПО?
Результаты тестирования 16 Мы провели более 10 пилотных проектов в Москве В результате пилотного тестирования, FireEye обнаружил: • Не менее 8 рабочих станций контролируются злоумышленниками извне Компании • Не менее 24 рабочих станций потенциально заражены троянскими программами и могут контролироваться злоумышленниками извне Компании • Основные каналы распространения WEB и электронная почта Количество рабочих станций у клиента - 2000 Multi- Stage
Схема тестирования 17 User segmentDTIInternethttps://cloud.fireeye.comEmail GatewayFireEye NX 7400FireEye EX 5400FireEye CM 7400FirewallEmail Servers
Экран системы
Решение FireEye 19 •Специализированный гипервизор •Разработан для анализа угроз Аппаратный гипервизор FireEye 1 Многопоточный виртуальный запуск 2 •Разные ОС •Разные сервис-паки •Разные приложения •Разные типы файлов Защита от угроз в масштабе 3 •Параллельный запуск •Многоуровневый анализ Оборудование Аппаратный гипервизор FireEye Многорежимный виртуальный запуск Параллельный запуск Более 10 микро-задач v1 v1 v2 v3 v2 v3 FireEye
Передача информации об атаках Локально Seconds Web MPS Уровень компании Central Management System Глобально
Передача информации об атаках •Файлы из вашей сети не передаются в Облако (Персональные данные, конфиденциальная информация) •Идентификаторы вредоносного ПО со всего мира •Возможность выбрать вариант обмена информацией
Операция Аврора 2. Signature-less detection of Zero day attack 4. Decryption routine for “a.exe” 3. Malicious binary posing as JPG 1. pcap, Text and Video
Операция Аврора 5. Decrypted Trojan (Later named the Hydraq.Trojan) 7. Hydraq callback New Binary DFS.bat 8. Unpacked and hidden from system processes 6. Registry Keys Modified 9. Install files deleted once infection complete
Почему FireEye? •11 из 13 уязвимостей нулевого дня (Zero Day) в 2013 году были обнаружены FireEye •4 уязвимости нулевого дня обнаружены в этом году •Выполняет анализ не только исполняемых файлов и MS Office, но и других (более 30 типов файлов, включая графические, аудио, видео) •Выполняется анализ веб-сессии целиком, а не отдельного файла •Обладает специализированым гипервизором для анализа угроз и позволяет обнаруживать неизвестные угрозы •Обеспечивает близкое к реальному времени скорость анализа (не более 5 мин) •Позволяет блокировать вредоносную активность на каждой стадии атаки •Отсутствуют ложные срабатывания 24
Дополнительная информация – мои статьи за 2014 г 25 «Защищаемся от целенаправленных атак» Национальный Банковский Журнал, №2 февраль 2014 «Целенаправленные атаки – обнаружение и защита» Информационная безопасность, №2 май 2014 «Расследование целевых атак» Безопасность Деловой Информации, №06 II квартал 2014
Вопросы?

More Related Content

FireEye - система защиты от целенаправленных атак

  • 1. FireEye – эффективное решение для защиты от APT-угроз
  • 2. Обо мне Николай Петров, CISSP Директор по развитию бизнеса, ДиалогНаука Первым в России был удостоен звания CISSP На протяжении многих лет являюсь единственным сертифицированным инструктором (ISC)2 в России Работал в компаниях Philip Morris, Kerberus, MIS Training Institute, (ISC)2, Ernst & Young 2
  • 3. План презентации 1.Особенности APT 2.Решение FireEye Продолжительность 25 мин 3
  • 4. Известные атаки 4 •Operation Aurora •F-35 и F-22 •Stuxnet •RSA •Citigroup •Globalpayments •NY Times •Red October •NetTraveler
  • 5. Известные атаки 5 NY Times • Атака началась на следующий день после публикации статьи о причастности к коррупции премьер министра Китая Вэнь Цзябао – 24 октября 2012 • Была обнаружена в январе 2013 • Расследование проводимое компанией Mandiant показало, что были установлены 45 вариантов вредоносного ПО. Только один из них был обнаружен Symantec и помещен в карантин • Атакующие получили доступ к файлам и электронной почте сотрудников NY Times, включая редакторов Шанхайского бюро 2013
  • 7. Особенности APT 7 APT - целенаправленная сетевая атака, при которой атакующий получает неавторизованный доступ в сеть и остается необнаруженным в течении длительного времени Термин APT введен U.S. Air Force в 2006 • Advanced: Атакующий является экспертом и использует свои собственные, неизвестные другим инструменты для эксплуатации уязвимостей • Persistent: Атакующий не ограничен во времени, т е он будет тратить столько времени, сколько нужно, чтобы получить доступ и остаться незамеченным • Threat: Атакующий организован, мотивирован, обладает необходимыми финансовыми ресурсами APT • считается наиболее опасным типом атак • не вредоносное ПО • спланированная атака, мотивированная деньгами, политикой/национальными интересами и направленная для достижения определенной цели
  • 8. Особенности APT 8 Обход защиты основанной на анализе сигнатур • Традиционные продукты, такие как IDS/IPS, межсетевые экраны следующего поколения (NGFW), шлюзы Wеб-безопасности (secure Web gateways), антивирусное ПО— анализируют сигнатуры для обнаружения известным им атак, и в некоторых случаях, неизвестных атак, которые используют известные им уязвимости Обход защиты основанной на анализе аномалий • Продвинутые IDS/IPS и решения анализирующие сетевые аномалии могут обнаруживать APT. Они собирают траффик (e.g., NetFlow, sFlow, cFlow) с сетевых устройств и сравнивают его с “обычным” сетевым трафиком в имевшем место в течении дня, недели, месяца • Однако такие решения подвержены ошибкам 1-го и 2-го рода. False positives – когда нормальный трафик принимается за атаку, и наоборот, false negatives – когда атака воспринимается как нормальный трафик
  • 9. Особенности APT 9 Межсетевые экраны IDS/IPS Шлюзы Web- безопасности Средства защиты от спама Антивирус Традиционные технологии не могут остановить APT
  • 10. Особенности APT 10 Эксплуатация уязвимости 1 3 Связь с сервером управления 2 Загрузка вредоносного кода Compromised Web server, or Web 2.0 site 1 Callback Server IPS 3 2 Передача конфиденциальной информации 4 Дальнейшее распространение атаки 5 DMZ File Share 2 File Share 1 4 5
  • 11. Особенности APT 11 Стадия 1 • Эксплуатация уязвимости обычно происходит через Web (JavaScript, JPG) или email (вложение XLS, PDF) • Достаточно кликнуть мышью на гиперссылке • Открывается Web броузер (или другое приложение Adobe Reader, Microsoft Word, or Microsoft Excel) • Гиперссылка использует скрытый адрес закодированный с помощью base64. После его раскодирования, компьютер жертвы устанавливает соединение с сервером атакующего, откуда загружается вредоносное ПО Стадия 2 • Устанавливается соединение с сервером управления и загрузка дополнительного вредоносного кода Стадия 3 • Вредоносное ПО устанавливает шифрованное соединение с сервером управления (например, SSL) • Обходит традиционную защиту предлагаемую межсетевыми экранами и системами обнаружения вторжений
  • 12. Особенности APT 12 Стадия 4 • Обычно зараженный компьютер не содержит данные, необходимые атакующему • Атака распространяется на компьютеры ИТ администраторов, файловые сервера и сервера БД Стадия 5 • Передача большого объема данных или данных в открытом виде обнаруживается системами IDS/IPS и DLP • Данные передаются порциями по 50-100 МБ в зашифрованном виде
  • 14. Решение FireEye 14 •Компания FireEye с 2004 г в США •Поставляет продукты с 2006 г •Мировой лидер – FireEye используют 1/3 компаний Fortune 100
  • 15. Отчет Gartner 15 “Все согласны с тем, что целенаправленные атаки обходят традиционные средства защиты и остаются необнаруженными в течение длительного времени. Угроза реальна. Ваши сети скомпрометированы независимо от того, знаете Вы об этом или нет.” Отчет Gartner 2012 Как вы думаете, в сети вашей организации есть вредоносное ПО?
  • 16. Результаты тестирования 16 Мы провели более 10 пилотных проектов в Москве В результате пилотного тестирования, FireEye обнаружил: • Не менее 8 рабочих станций контролируются злоумышленниками извне Компании • Не менее 24 рабочих станций потенциально заражены троянскими программами и могут контролироваться злоумышленниками извне Компании • Основные каналы распространения WEB и электронная почта Количество рабочих станций у клиента - 2000 Multi- Stage
  • 17. Схема тестирования 17 User segmentDTIInternethttps://cloud.fireeye.comEmail GatewayFireEye NX 7400FireEye EX 5400FireEye CM 7400FirewallEmail Servers
  • 19. Решение FireEye 19 •Специализированный гипервизор •Разработан для анализа угроз Аппаратный гипервизор FireEye 1 Многопоточный виртуальный запуск 2 •Разные ОС •Разные сервис-паки •Разные приложения •Разные типы файлов Защита от угроз в масштабе 3 •Параллельный запуск •Многоуровневый анализ Оборудование Аппаратный гипервизор FireEye Многорежимный виртуальный запуск Параллельный запуск Более 10 микро-задач v1 v1 v2 v3 v2 v3 FireEye
  • 20. Передача информации об атаках Локально Seconds Web MPS Уровень компании Central Management System Глобально
  • 21. Передача информации об атаках •Файлы из вашей сети не передаются в Облако (Персональные данные, конфиденциальная информация) •Идентификаторы вредоносного ПО со всего мира •Возможность выбрать вариант обмена информацией
  • 22. Операция Аврора 2. Signature-less detection of Zero day attack 4. Decryption routine for “a.exe” 3. Malicious binary posing as JPG 1. pcap, Text and Video
  • 23. Операция Аврора 5. Decrypted Trojan (Later named the Hydraq.Trojan) 7. Hydraq callback New Binary DFS.bat 8. Unpacked and hidden from system processes 6. Registry Keys Modified 9. Install files deleted once infection complete
  • 24. Почему FireEye? •11 из 13 уязвимостей нулевого дня (Zero Day) в 2013 году были обнаружены FireEye •4 уязвимости нулевого дня обнаружены в этом году •Выполняет анализ не только исполняемых файлов и MS Office, но и других (более 30 типов файлов, включая графические, аудио, видео) •Выполняется анализ веб-сессии целиком, а не отдельного файла •Обладает специализированым гипервизором для анализа угроз и позволяет обнаруживать неизвестные угрозы •Обеспечивает близкое к реальному времени скорость анализа (не более 5 мин) •Позволяет блокировать вредоносную активность на каждой стадии атаки •Отсутствуют ложные срабатывания 24
  • 25. Дополнительная информация – мои статьи за 2014 г 25 «Защищаемся от целенаправленных атак» Национальный Банковский Журнал, №2 февраль 2014 «Целенаправленные атаки – обнаружение и защита» Информационная безопасность, №2 май 2014 «Расследование целевых атак» Безопасность Деловой Информации, №06 II квартал 2014