Один зеродей и тысяча ночей без сна

Алексей Лукацкий
Бизнес-консультант по безопасности
Один зеродей и
тысяча ночей без
сна

Как мы обычно боремся с вредоносным ПО?
• ИБ или ИТ-службы, которые привыкли
делать «потому что так принято», не
задумываясь о актуальной модели угроз
• Традиционный (или даже продвинутый)
антивирус на ПК
• МСЭ на периметре для блокирования
вредоносных коммуникаций (C&C или
139-й порт)
• Настройки антивируса обычно
используются по умолчанию
Антивирус
МСЭ

C чем может бороться данный сценарий?
• Широко
распространенное
вредоносное ПО
• Сигнатуры для него
известны в течение
месяцев
• Если используются
командные C&C-
сервера, то их IP-адреса
обычно известны
• Вложения в e-mail,
содержащие старые
исполняемые файлы
• Старое вредоносное ПО
на флешках
• Прямая загрузка
вредоносного ПО из
Интернет (например,
бесплатные антивирусы
или дефрагментаторы)
Уровень обнаружения на VT – выше 80%

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Начнем с
определений

Жизненный цикл уязвимости
tv te td t0 ts tp ta
Уязвимость
появилась
Эксплойт выпущен
в
мир
известна
вендору
публично
раскрыта
Выпущена
сигнатура
для
AV/IDS
Выпущен
патч
Патч
внедрен
Окно незащищенности
Атака 0day

Кто вовлечен в бизнес по поиску 0day?
Приват
Приват
Паблик
t
Государства,
оборонные
подрядчики,
разработчики
эксплойтов,
исследователи
уязвимостей
«Плохие
парни»
Вендора,
ищущие 0day в
своих
решениях,
охотники bug
bounty, Google
Project Zero…

Биржи скупки уязвимостей

Биржа скупки уязвимостей Zerodium
В отличие от легальных
программ Bug Bounty,
предлагаемых ИТ-
производителями, биржи
скупки уязвимостей платят
на порядок больше денег,
мотивируя
«исследователей»
работать с ними

И даже прямо ищут

• 0-Day для Adobe – 30000$
• 0-Day для Apple – 250000$
• Эксплойт-кит – 200-600$
• Blackhole эксплойт-кит – 700$
в месяц (лизинг) или 1500$ в
год
• Шпионское ПО – 200$
Разработка на заказ
Примечание: цены могут постоянно меняться в ту или иную сторону

0day встречаются не только в APT
1%
9%
90%
Сигнатуры и
правила
Поведенческий анализ,
облачная репутация,
Threat Intelligence, NTA
Машинное обучение,
песочницы, threat hunting,
forensics
Широко
распространенное,
обычное ВПО
Сложное ВПО
Целевое и
уникальное ВПО

Несколько фактов о 0day
• Средняя длительность 0day-атаки
составляет 312 дней (медиана – 8
месяцев)
• После раскрытия 0day-уязвимости
число использующего ее ВПО
возрастает в 183-85000 раз, а число
атак с ней возрастает на 5 (!) порядков
• Эксплойты для 0day уязвимостей
появляются в течение 30 дней после
даты раскрытия уязвимости в 42%
случаев
Длительность 0day-атак

Несколько фактов о 0day
Атаки с 0day-уязвимостями ВПО с 0day-уязвимостями
Источник: Symantec Research Lab

Зачем полагаться на
антивирус, если он
ловит только
банальщину?

Антивирус не спасает
Источник: Group-IB
Нет антивируса
14%
Kaspersky
44%
Microsoft
16%
Symantec
7%
Dr.Web
8%
Другие
11%

SaaS для киберпреступности – проверка
детектирования
• Проверка вредоносного
кода на проверку набором
антивирусов
• Снижение рисков
обнаружения

Так у меня на
периметре стоит
NGFW из правого
верхнего квадранта
Гартнера!

Сеть
Пользователи
Головной офис
ЦОД
Администратор
Филиал
Посмотрите на современную, вашу, сеть
Мобильные пользователи
Облако
Какие варианты проникновения в нее существуют?

Нормальное распределение длин поддоменов Аномалии в названии поддоменов
log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com
log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com
Что скрывается в этой строке на 231 символ?
Утечка номеров кредитных карт через DNS

Взлом через Wi-Fi в контролируемой зоне

История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др.
• 44-ФЗ как угроза информационной безопасности…
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод
заражения
Статический Статический
В процессе
исполнения
В процессе
В процессе
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
Начало 2000-х годов

Взлома Web-портала Equifax
• 10 марта 2017 года злоумышленники нашли
известную уязвимость на портале Equifax,
позволившую получить доступ к Web-
порталу и выполнять на нем команды
• Информация об уязвимости была разослана
US CERT двумя днями ранее
• После идентификации уязвимости
злоумышленники запустили эксплойт и
получили доступ к системе, проверив
возможность запуска команд
• Никаких данных украдено еще не было

Шаг 2 в атаке на Equifax: эксплуатация
уязвимости
• 13 мая 2017 года
злоумышленники
эксплуатировали эту
уязвимость и проникли во
внутренние системы, выполнив
ряд маскирующих процедур
• Например, использовалось
существующее
зашифрованное соединение
для генерации
запросов/получения ответов

Взлом British Airways
• Между 21 августа и 5
сентября 2018 года
хакерская группа Magecart
(или маскирующаяся под
нее), взломав сервер
авиакомпании British Airways,
похитила данные 380 тысяч
клиентов, включая их ПДн и
финансовую информацию
• Позже BA сообщила, что
могли пострадать еще 185
тысяч клиентов

Начало сценария схоже с Equifax
• Отличие в том, что в случае с BA
был взломан сайт авиакомпании и
подменен JavaScript, собирающий
данные клиентов, с последующей
пересылкой данных на
вредоносный ресурс baways.com
• Также есть предположение, что
взломан мог быть не сайт BA, а CDN,
используемый провайдерами связи
для кеширования популярных
ресурсов или сервер третьей
стороны

Атака «водопой» (water hole)
А также взлом ASUS,
Avast и др.

Взлом NASA
• В апреле 2018 хакеры
проникли во внутреннюю
сеть NASA и украли 500 МБ
данных по миссии на Марс
• В качестве точки входа
использовался портативный
компьютер Raspberry Pi,
установленный в сети NASA

17 каналов проникновения плохих парней в вашу
организацию?
1. E-mail
2. Web
3. Site-to-Site VPN
4. Remote Access VPN
5. Sharing resources
6. USB
7. Wi-Fi
8. Warez
9. BYOD
10. Embedded
11. Клиент-сервер с
шифрованием
12. DevOps
13. Подрядчики
14. Уязвимость на
портале
15. «Водопой» (Waterhole)
16. DNS
17. Облако

Можем ли мы бороться
с тем, чего не знаем?

Для защиты от 0day надо учитывать Kill chain
Доставка
Эксплойт
Инсталляция
C&C
Действие
Анализ
Расширение
плацдарма
Инсталляция /
исполнение
Запуск
Захват Сбор Утечка Удаление
Разведка
Вооружение Определение цели
Подготовка
Планирование
Вторжение

Любая активность
злоумышленников
базируется на
наблюдаемых и
измеряемых действиях

Threat Intelligence - это не только фиды и IoCи
•Инструменты
•Артефакты
•Индикаторы
•Кампании
•Тактика
•Техника
•Процедуры
•Атрибуция
•Цели
•Стратегия
Стратегический Тактический
ТехническийОперационный
Долгосрочные
Краткосрочные
Менее детальные Более детальные

Откуда можно брать данные TI?
• Открытые источники фидов
• Частные (закрытые) источники фидов
• Социальные сети
• Twitter
• Сайты и блоги исследователей
• Youtube
• Deep Web / Darknet
🔍

Пример: 2 российских поставщика TI
Источник: Владимир Бенгин, Positive Technologies
IP-адреса
Домены
5907
(активных 563)
305351
Данные по C2C-фидам
за 01.02.2019-07.02.2019
760
2568
32
IP-адреса
44
домена
Пересечение

Продвинутая защита для большинства случаев
• Threat Intelligence для всех элементов
системы защиты
• Расширение функционала решения за
счет контроля поведения трафика и
пользователей
• Дополнение функционала EPP
функциями обнаружения и
реагирования на инциденты (EDR) и
круглосуточный мониторинг и
реагирование (MDR)
• Интеграция хостовых и сетевых средств
обнаружения и реагирования
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Мониторинг DNS
ИБ IaaS/PaaS
Mobile Device
Management (MDM)
Защита
серверов
CASB

C чем может бороться данный сценарий?
• Отсутствие повтора
поведения
• Обфускация файлов для
обхода продвинутых
песочниц
• Маскировка под
нормальные файлы,
удаление индикаторов
заражение
• 0Day в пользовательских
приложениях
• Модификация известных
техник, адаптированных
под новые приложения и
ОС
• Распространение по сети
(например, после
компрометации ПК)
Уровень обнаружения на VT – менее 5%

Быстрый взгляд на DNS
DNS = Domain Name System
• Первый шаг в подключении к
Интернет
• Используется на всех устройствах
(даже на мобильных)
• Не зависит от порта
DNS FW / SIG
Cisco.com 72.163.4.161

Malware
C2 Callbacks
Phishing
ЦЕНТР
Sandbox
NGFW
Proxy
Netflow
AV AV
ФИЛИАЛ
Router/UTM
AV AV
РОУМИНГ
AV
Первая линия
Сеть и хосты
Сеть и хосты
Хосты
Всё начинается с
DNS
Предвосхищает открытие
файлов и IP соединение
Используется всеми
устройствами
Не зависит от порта

Три подхода к мониторингу внутренней сети
Анализ логов сетевых
устройств
• Самый дешевый вариант
• Зависит от производителя
и модели устройства
• Требует анализатора (LM
/ SIEM)
Потоки трафика
• Защита инвестиций в
инфраструктуру
• Зависит от типа
протокола Flow
• Требует анализатора
(NTA / SIEM)
«Сырой» трафик для
СОВ / СОА
• Самый распространенный
и самый очевидный
вариант
• Большое количество
решений на рынке
• Об этом же говорят
регуляторы

• Использование технологий SPAN,
RSPAN, ERSPAN или TAP
• Подходит для глубокого анализа
конкретной сессии с захватом не только
заголовка, но и тела данных
• Может быть использован для хранения
доказательной базы
Сравнение захвата пакетов и анализа потоков
• Использование протоколов Netflow,
sFlow, IPFIX, NetStream и других
• Сбор метаданных из сетевого трафика
• Первоначально использовался для
анализа статистики и поиска проблем в
сети
• Применение специальных алгоритмов
позволяет использовать для анализа
угроз безопасности
Захват пакетов Анализ потоков

Proxy
Data
Security Packet
Analyzer
Packet Data &
Storage
Решения класса NTA
Комплексная
безопасность
и сетевой
мониторинг
NTA Cloud
Endpoint
License
UDP
Director
Other
Traffic Analysis
Software
Flow
Sensor
Hypervisor with
Flow Sensor VE
Non-NetFlow
enabled equipment
VMVM
NAC
Flow
Collector
Management
Console
Threat Feed
License
NetFlow enabled
routers, switches,
firewalls
Cognitive
Analytics

• Экспорт Netflow/IPFIX зависит от
активного/неактивного таймера и
может приводить к задержкам до
30 минут
• Полная видимость всего трафика
• Позволяет обеспечивать
расследование инцидентов
Анализ семплированной телеметрии в
контексте кибербезопасности
• Данные передаются в реальном
времени
• Хорошо подходит для обнаружения
массированных DoS/DDoS-атак
• Пропуск «многопакетных» атак,
непопавших в семплированный
трафика
• Пропуск «атомарных» атак
• Не подходит для расследования
инцидентов
Несемплированная Семплированная

Что вы можете увидеть?
botnet
excessive communication
torrent
SSH cracking
8
6
5
c&c8
5
DETECTED INCIDENTS
ICMP burst7
unexpected DNS usage6
SMB service discovery8 6-
TOR4
vulnerability scanning tool5
phishing5
risk
cryptowall10
sality8
ramnit9
suspicious file download7
CONFIRMED INCIDENTS
anomaly detection + global feature cache + IOCs
ad injector
anonymization software
banking trojan
click fraud
cryptocurrency miner
exfiltration
exploit kit
information stealer
malicious advertising
malicious content distribution
malware distribution
maney scam
PUA
ransomware
scareware
spam botnet
spam tracking
trojan
310 -
DNS sinkhole7

Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз
Сетевые потоки | Поведение | Сигнатуры | Исследования

Предотвращаем Обнаруживаем Снижаем риск
•Антивирус
•Обнаружение бестелесного
ВПО
•Облачная аналитика (1:1,
1:многим)
•Клиентские индикаторы
компрометации
•Статический анализ
•Песочница
•Защита от вредоносной
активности
•Машинное обучение
•Корреляция потоков данных
с устройства
•Облачные индикаторы
компрометации
•Уязвимое ПО
•Редко встречаемые файлы
•Анализ логов прокси
Как защитить ПК и сервера? EDR!

Что произошло?
Где точка отсчета?
Куда попало ВПО?
Что происходит?
Как остановить это?
Непрерывный мониторинг хостов с EDR

Поиск следов угроз (Threat hunting)
Лечение в один клик
Корреляция данных об угрозах
Обеспечение глубокого расследования

Ключевые особенности технологии
поведенческой аналитики
• Анализ активности не столько пользователей,
сколько активностей, с ними связанной (действия,
процессы, приложения, сетевой трафик и т.п.)
• Анализу подлежит активность и поведение
пользователей, а не роли, атрибуты или параметры
доступа (хотя они важны в контексте)
• Анализ подразумевает не использование жестко
зафиксированных правил корреляции, а
применение более интеллектуальных методов
(например, машинного обучения и т.п.),
позволяющих без описанных ранее шаблонов
зафиксировать аномалии в поведении

3 причины обращения заказчиков к UEBA
• Нехватка возможностей существующих
решений и технологий по обнаружение
угроз, связанных с деятельностью
пользователей
• Необходимость мониторить окружение,
которое не покрывается другими
решениями и технологиями
• Высокая стоимость сортировки и
приоритезации событий ИБ в
существующих SIEM-решений, которые
как-то оперируют событиями, связанными
с пользователями

Продукт или технология?
• Вы можете выбрать
отдельный продукт или
встроенную в
существующее решение
технологию / функцию
• Возможно сегмент
отдельных продуктов
UEBA «вымрет»,
слившись с другими
классами продуктов,
повысивших свою
эффективность работы с
пользовательским
контекстом
UEBA
Технология
SIEM DLP NTA EDR IAG/PAM
Продукт

Автоматизация обнаружения атак на уровне
сети и хостов
Если ВПО
попало на хост Немедленное
Блокирование /
удаление на
хосте
Блокирование на уровне
сети, хостов, email и облаков
EDR + NTA + UEBA + NGIPS + …

Кто?
Известные пользователи
(Сотрудники, продавцы, HR)
Неизвестные пользователи
(Гости)
Что?
Идентификатор устройства
Классификация устройств
(профиль)
Состояние устройства
(posture)
Как?
Проводное подключение
Беспроводное
подключение
VPN-подключение
Где / куда / откуда?
Географическое
местоположение
Департамент / отдел
SSID / Порт коммутатора
Когда?
Дата
Время
Другие?
Пользовательские
атрибуты
Статус устройства /
пользователя
Используемые
приложения
Опыт динамической сегментации в Cisco

Автоматизация сетевой сегментации
Сеть
Сетевая
безопасность
Контроль
сетевого
доступа
Кто
Что
Где
Автоматический
карантин

Сетевая инфраструктура должна быть
системой защиты
0
1
2
3
4
Не ограничивайтесь
периметром
Используйте
Netflow или IPFIX
Используйте
несемплированный
Netflow
Проверьте загрузку
оборудования
Начните с уровня
доступа
5
6
7
8
9
Если российское, то
с поддержкой flow
Комбинируйте
NTA и СОВ/СОА
Думайте о зонировании,
а не о МСЭ
Интегрируйте средства
мониторинга сети и
контроля сетевого доступа
Учитывайте стратегию
развития своей сети

В современных предприятиях данным разрешено
перемещаться между…
Любыми
пользователями
Сотрудники
Контрактники
Партнеры
Любыми
устройствами
Корпоративные
Собственные
IoT
Любыми
приложениями
ЦОД
Мультиоблако
SaaS
В любых
местах
Внутри сети
Через VPN
Вне сети

Политики белых
списков для обычной
Безопасность
требует
непрерывных
обнаружения
и
верификации
Цифровой бизнес оперирует в серой зоне
Идентификатор
пользователя
Статус
устройства
Профиль
устройства
Зависимость
приложений
Файл · IOC
Домен
IP · URL
Отправитель
сообщения
Шаблон
поведения
Политики черных
списков для вредной
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

4 столпа доверенного предприятия в Cisco
Secure
Administration
Identity Services
Engine (ISE)
Software Defined
Access
Доверенный
доступ
Single Sign On
802.1x
Multi-Factor
Authentication
Доверенная
идентичность
Trusted Endpoint
Trusted Server
Trusted Network
Network Services
Orchestrator
Доверенная
инфраструктура
Internal App
security
baselines
SaaS security
baselines
IaaS security
baselines
Доверенные
сервисы

Доверенные оконечные устройства
Стандарт доверенного устройства
Регистрация устройства
Anti-malware
Версия ОС
Обновление ПО
Шифрование
Обнаружение root/jailbreak (только для мобильных)
Пароль/Скринсейвер
Удаленная очистка данных
Управление устройством (MDM)
Инвентаризация ПО и железа
Cisco Security Suites
CISCO CYODКУПЛЕНО CISCO
65,344
MOBILE
DEVICES
121,593
CISCO
SUPPLIED
DEVICES
6,230
41,655
13,472
74,947
48,802
341

Доверенные сервера
Стандарт доверенного сервера
Регистрация устройства
Управление конфигурацией
Защита ОС
Обновление ОС
Управление уязвимостями ПО и ОС
Защищенное управление
Централизованная аутентификация
Шифрование данных
Защита учетных записей и разделяемых секретов
Anti-malware
Интеграция с SIEM и реагированием на инциденты
Замкнутая программная среда (AWL)
IT UCS
серверов
12,042
Виртуальных
машин
47,526

Доверенные сетевые устройства
61
Аутентификация периметра (802.1x)
Контроль & автоматизация защищенной
конфигурации (SDN)
Сегментация
MFA для удаленного доступа
Шифрование WAN
Role Based Access Controls (ARBAC)
Политики защищенного доступа
(SNMP/SSH ACL)
Шифрование канала аутентификации
(TACACS шифрование)
Аутентификация и шифрование уровня
управления (SNMPv3)
Централизованная регистрация событий
Аутентификация и централизация хранилища
identity (TACACS+, LDAP)
Контролируемый защищенный авторитативный
DNS-сервис (pDNS, ODNS)
Защищенный источник времени (NTP)
Мониторинг административного доступа (AAA
Accounting & Logging)
Аутентификация протоколов маршрутизации
Контроль целостности имиджа сетевой ОС
Дифференцированный доступ (политика
динамических пользователей и устройств,
оценка состояния & защита)
Стандарт доверенного сетевого устройства
8,495
LAN Switches
7,607
Routers
653
Wireless LAN
Controllers
30,022
Cisco Virtual
Office
715
Firepower, ASA

Доверенные внутренние приложения
62
Стандарт доверенного приложения
Регистрация приложений (ServiceNow)
Управление конфигурацией
Централизованная аутентификация (SSO)
Оценка воздействия на приватность (GDPR)
Управление уязвимостями и патчами (Qualys, Rapid7)
Мониторинг и защита данных (DLP, IRM, шифрование)
Оценка исходного кода приложений (SCAVA)
Базовая и глубокая оценка приложений (BAVA/DAVA)
Управление ключами и шифрование
Защита SOAP, REST и API
Интеграция с SIEM и реагированием на инциденты
3982 внутренних
Сложности
• Старые приложения
• Высокая кастомизация
• Поддержка после EOL
• Как управлять рисками
• Автоматизация стандарта

Проверка
гигиены
Managed
Browser
OS Status
Mac OS X is out of
date
Out-of-date operating
systems are a security
concern.
Mac OS X 10.14.2
Mac OS X 10.14
See how to update Mac OS X
Автоматизация доверенного доступа
Проверка
идентичности
Доступ
нормальных
Блокирование
доступа
Доступ
разрешен

Модель зрелости безопасности
Политика на
базе
места/IP
вставки
безопасности
Политика на
базе
понимания
App/ID
на все
предприятие
Дизайн
потоков от
активов к
данным
по бизнес-целям
Обнаружение
активов &
данных
предприятие+3-и
стороны
Непрерывное
сеть+облако+ПК
Непрерывная
верификация
предприятие+3-и
стороны
1
2
3
4
5
6
Усиление инфраструктуры
Управление рисками
Динамический контекст
Эволюция угроз и доверия
Статическое
предотвращение

Непрерывная верификация
На примере бета-проекта в Cisco

Как бороться со спецслужбами?
• Фокус на обнаружении
• Стратегия разрешения только хорошо
известного
• Белые списки приложений и изоляция
сегментов сети, приложений и узлов на
уровне данных, не допуская взаимодействия
доверенных и недоверенных активов
• Виртуализация, удаленные браузеры на
уровне ПК
• TPM, контроль целостности ОС, подпись всех
e-mail, контроль потоков, удаленная
верификация
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Контроль
ЛокализацияЗащита
серверов
Изоляция
Mobile Device
Management (MDM)

• Начать с пересмотра стратегии кибербезопасности
• Понять мотивацию злоумышленников для их предприятия
• Учесть тактику, техники и процедуры (TTP), используемые
злоумышленниками
• Идентифицировать слабые звенья в их организации, в их сети,
в их системе защиты
• Думать как злоумышленники – действовать как безопасники
(применяйте Red Team / Blue Team)
• Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ»
Что надо делать компаниям?

• Пересмотреть их систему защиты
• Сбалансировать технологии защиты (предотвращение,
обнаружение и реагирование) – вместо соотношения 80-15-5
перейдите к 33-33-34
• Задуматься о безопасности внутренней сети также, как они
защищают периметр
• Мониторить даже то, чего у них по политике нет (Wi-Fi,
мобильные устройства, 3G/4G-модемы, облака и т.п.)
• Внедрить систему Threat Intelligence для раннего
предупреждения об угрозах
Что надо делать компаниям?

Спасибо
за
внимание!
alukatsk@cisco.com

Один зеродей и тысяча ночей без сна

More Related Content

What's hot (20)

Similar to Один зеродей и тысяча ночей без сна (20)

More from Aleksey Lukatskiy (7)

Один зеродей и тысяча ночей без сна