3. 3
• Комплексные направленные угрозы
• APT и ATA
• Отраслевая направленность
• Новые техники атак
• Используются известные инструменты
• Противостояние на высоком уровне
ВИДЫ УГРОЗ
APT – Advanced Persistent Threat
ATA – Advanced Targeted Attacks
#codeIB
4. 5
НЕОБХОДИМЫ СЕРЬЕЗНЫЕ РЕСУРСЫ
В глобальном масштабе только несколько групп имеют возможности,
навыки, необходимое финансирование и инфраструктуру для
осуществления APT
Китай APT1. Подразделение 61398 Народно-
освободительной армии Китая (People’s
Liberation Army (PLA’s) Unit 61398).
Начиная с 2006 г. скомпрометировала 141
организацию из 20 основных отраслей
промышленности. Имеет четко
определенную методологию атаки.
Похищение больших объемов ценной
интеллектуальной собственности;
В 87% случаев штаб-квартиры этих компаний
находились в англо-говорящих странах
Россия В российской армии появится
новый род войск, который будет
заниматься борьбой с киберугрозами и
будет отвечать за информационную
безопасность страны -
сообщает РИА Новости со ссылкой на
собственный источник в Министерстве
обороны РФ
США Кибернетическое командование
США (англ. United States Cyber Command,
USCYBERCOM) — подразделение вооружённых
сил США, находящееся в подчинении
стратегического командования США. Основными
задачами командования являются
централизованное проведение
операций кибервойны, управление и защита
военных компьютерных сетей США. http://www.rg.ru/2013/07/05/cyberwar-site-anons.html
http://en.wikipedia.org/wiki/United_States_Cyber_Commandhttp://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
9ec4c12949a4f31474f299058ce2b22a
9ec4c12949a4f31474f299058ce2b22a
#codeIB
5. 6
ЖИЗНЕННЫЙ ЦИКЛ APT (ATA)
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
…от 1 дня до 2+ лет…
Начальный
этап
внедрения
Создание
плацдарма
Повышение
привилегий
Сбор
информацииНачальная
разведка
Поддержка
присутствия
Основная
деятельность
Завершение
миссии
#codeIB
7. 8
МОДЕЛЬ ПРЕДОТВРАЩЕНИЯ УГРОЗ (ATP VS APT)
Предотвращение
Уменьшение количества атак
Анализ и блокирование известных
угроз
Техники:
VPN, Authentication,
Network Access Control,
SSL, App Controls, User ID, IPS, AV,
Antispam, IP Reputation, Web Filtering
Выявление
Определение неизвестных угроз
Анализ поведения
Выявление тенденций
Техники:
Sandboxing, мониторинг, управление,
отчетность, корреляция
Применение ответных мер
Изучение и анализ новых угроз
Создание новых методов защиты
снижение неопределенности
Техники:
Карантин, новые сигнатуры, IP репутация, категоризация,
патч-менеджмент, инцидент-менеджмент
#codeIB
8. 9
ЗАЩИЩЕННАЯ СЕТЬ ОТ FORTINET
FortiDB
Database
Protection
FortiClient
Endpoint Protection,
VPN
FortiToken
Two Factor
Authentication
FortiSandbox
Advanced Threat
Protection
FortiClient
Endpoint Protection
FortiGate
NGFW
FortiAuthenticator
User Identity
Management
FortiManager
Centralized
Management
FortiAnalyzer
Logging, Analysis,
Reporting
FortiADC
Application
Delivery Control
FortiWeb
Web Application
Firewall
FortiGate
DCFW
FortiGate
Internal NGFW
FortiDDoS
DDoS Protection
FortiMail
Email Security
FortiGateVMX
SDN, Virtual Firewall
FortiAP
Secure Access
Point
DATA CENTER
BRANCH
OFFICE
CAMPUS
FortiGate
Cloud
FortiWiFi
UTM
FortiGate
Top-of-Rack
FortiCamera
IP Video Security
FortiVoice
IP PBX Phone
System
FortiGate
Next Gen IPS
FortiExtender
LTE Extension
Secure Wireless
Switching
Advanced Threat Protection
Authentication & Tokens
Application Security
Application Delivery/SLB
Endpoint Security
IP PBX and Phones
IP Video Surveillance
More…
#codeIB
9. 10
• Эшелонированная безопасность
• Высокая скорость реакции
СИНЕРГИЯ ПРИ ПРЕДОТВРАЩЕНИИ УГРОЗ
IPS
Antivirus
Anti-Spam
IP
Reputation
Web
Filtering
App Control
ЗАДАЧА – РАЗОРВАТЬ ЦЕПЬ УГРОЗ И РАЗРУШИТЬ ЛОГИКУ
APT
#codeIB
10. 11
Спам фильтр существенно снижает объем спама,
содержащего вредоносные ссылки, инфицированные файлы с
низким уровнем ошибок и с высокой производительностью
Методы определения:
– Глобальная спам фильтрация: IP репутация + база обширная
актуальная база сигнатур
– Детальная фильтрация: запрещенные слова, черные белые
списки, эвристика, грейлистинг…
– Постоянный сбор данных
– Блокирование источника распространения спама
– Детальные политики
АНТИСПАМ
Цель: доставить ссылку на вредоносный ресурс
IPS
Antivirus
Anti-spam
IP Reputation
Web Filtering
App Control
#codeIB
11. 12
АНТИСПАМ
#codeIB
FortiGate как антиспам шлюз
• Тегирование или блокирование нежелательного почтового трафика
• Локальные и облачные базы FortiGuard для определения спама
• Определение мошеннических сообщений
FortiMail для анализа почтового
трафика
• Анализ сессий, контента, репутации
отправителя и многое другое…
• Карантин подозрительных (или рискованных)
объектов для дополнительного анализа
• Использование «песочницы» для
дополнительного анализа
Email Traffic
Web
Filtering
AV Anti-
Botnet
Code
Emulation
OS
Sandbox
IPS
Antivirus
Anti-
spam
IP
Reputati
on
Web
Filtering
App
Control
12. 13
WEB-ФИЛЬТРАЦИЯ
Web-фильтры ограничивают доступ к вредоносному и
нежелательному контенту.
Блокировка по категориям, фиксированным спискам и отдельным
страницам.
+ 78 категорий
+ 250 млн
ресурсов
IPS
Antivirus
Anti-spam
IP Reputation
Web Filtering
App Control
Цель: заманить пользователя на вредоносный ресурс
#codeIB
13. 14
• 78 Категорий в 6 группах
• Более 250 млн URL
• 70 языков
• 40-80 млрд обращений в неделю
• 40K URL проходят автоматическую
категоризацию ежедневно
• 96% посещаемых сайтов категорированы
• Участник Internet Watch Foundation (IWF)
Точное определение
Низкий уровень ошибок
Автоматическое определение
WEB-ФИЛЬТРАЦИЯ
#codeIB
IPS
Antivirus
Anti-spam
IP Reputation
Web Filtering
App Control
14. 15
• IPS защищает как от известных так и скрытых сетевых угроз
постоянно анализируя поток данных на сетевом уровне
• Методы определения:
- сигнатурный, статистический, поведенческий
анализ;
- активный анализ и автоматический контроль данных;
- предотвращение атак и блокирование источника угроз.
IPS – ОПРЕДЕЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ УГРОЗ
+ 8000 сигнатур
+ 3000 приложений
Цель: получить контроль над приложением или устройством
IPS
Antivirus
Anti-spam
IP Reputation
Web Filtering
App Control
#codeIB
15. 16
IPS сигнатуры
Over 8,000+ Signatures
Интегрированная FortiGuard IPS энциклопедия атак
Защита от Zero-day угроз
Добавление собственных сигнатур
Поведенческий анализ
Сигнатуры для индустриальных решений
Карантин, подробный анализ трафика
DOS защита
Набор пороговых значений для различных типов
сетевых операций
FortiDDoS – исключительная защита от DDoS атак
Варианты развертывания
В зеркальном режиме
Байпасс & FortiBridge
2015 NSS Labs Next Generation IPS
#codeIB
IPS – ОПРЕДЕЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ УГРОЗ
16. 17
Контроль приложений защищает от атак,
контролируя активность и использование сетевых приложений
КОНТРОЛЬ ПРИЛОЖЕНИЙ
Цель: утилизация ресурсов, неавторизованный доступ,
скрытая передача данных IPS
Antivirus
Anti-spam
IP Reputation
Web Filtering
App Control
#codeIB
17. 18
КОНТРОЛЬ ПРИЛОЖЕНИЙ
#codeIB
Более 3,300+ сигнатур, 19 категорий
Интерактивное оповещение пользователей
через FortiBar или HTTP сообщения
Детальный анализ трафика приложений
Шейпинг трафика приложений
Поддержка протокола SPDY
Анализ SSH
Изменяемые сигнатуры
18. 19
Защищает от новейших угроз на уровне данных, путем
обнаружения и удаления вредоносного ПО
Методы определения:
– расширенный эвристический анализ данных для
определения вирусов и шпионских программ
– Обнаружение и блокирование ботнет активности
АНТИВИРУС
35 наград
Цель: получение доступа к сети и данным
IPS
Antivirus
Anti-spam
IP Reputation
Web Filtering
App Control
#codeIB
19. 20
AntiMalware
Потоковый и прокси режим
Анализ типов файлов
Эвристический анализ
Интеграция с FortiSandbox
Непрерывное пополнение базы
данных угроз
Карантин файлов
Антиботнет
По категориям приложений
Черный список Ботнет IP
АНТИВИРУС
#codeIB
20. 21
• IP репутация защищает от
централизованных
и автоматизированных ботнет атак
используя актуальную информацию об
источниках угрозы:
– используется глобальный сбор информации
об угрозах
– Блокирование атаки
– Динамическое решение с определением
попыток обхода средств защиты
IP РЕПУТАЦИЯ
IPS
Antivirus
Anti-spam
IP Reputation
Web Filtering
App Control
Цель: Создание ботсети, автоматизированного фишинга,
рассылки спама, сканирования сети, организации DDoS,
кражи данных
#codeIB
21. 22
FORTIGUARD – НАДЕЖНАЯ ЗАЩИТА
FORTIGUARD.COM
За одну минуту Обновлений в неделю
21,000
Spam emails intercepted
390,000
Network Intrusion Attempts resisted
460,000
Malware programs neutralized
160,000
Malicious Website accesses blocked
50,000
Botnet C&C attempts thwarted
43 Million
Website categorization requests
46 Million
New & updated spam rules
120
Intrusion prevention rules
1.8 Million
New & updated AV definitions
1.4 Million
New URL ratings
8,000
Hours of threat research globally
FortiGuard база данных
190
Terabytes of threat samples
18,000
Intrusion Prevention rules
5,800
Application Control rules
250 Million
Rated websites in 78 categories
200
Zero-day threats discovered
По данным Q2 2015
#codeIB
App Control Antivirus Anti-spam
IPS Web App Database
Web
Filtering
Vulnerability
Management
IP
Reputation
28. 29
Anti-spam
Web Filtering
Intrusion Prevention
Antivirus
App Control/
IP Reputation
Спам
Фишинг
Сайт
злоумышленника
Вредоносное ПО
C&C Центр
Спам
Фишинг
Эксплойт
Вредоносное ПО
Бот активность
и кража данных
Мошенническое
сообщение
Бот активность
и кража данных
РАЗРЫВ ЦЕПИ УГРОЗ –
ШАГ 6
#codeIB
30. 31
РАЗРЫВА ЦЕПИ УГРОЗ – ШАГ 8
ПОДДЕРЖКА АКТУАЛЬНОСТИ СИСТЕМЫ ЗАЩИТЫ
Anti-spam
Web Filtering
Intrusion
Prevention
Antivirus
App Control/
IP Reputation
Sandbox
ЦОД
Предприятия и
филиальная сеть
Облако
Мобильные
Распределенная сеть
DLP
#codeIB
Editor's Notes
Добрый день, уважаемые коллеги! Меня зовут Мальцев Алексей, я системный инженер компании Фортинет.
Сегодня я расскажу Вам о «Стратегическом подходке компании к противодействию современным угрозам».
Бесконечное, обостряющееся год от года ПРОТИВОСТОЯНИЕ между злоумышленниками с одной стороны, и жертвами с другой ПРОДОЛЖАЕТСЯ.
Эпоха студентов-энтузиастов осталась далеко позади.
Пришло время профессиональных групп инженеров и хакеров, которые проводят атаки с целью получения выгоды и дохода. С увеличением активности злоумышленников и повышением уровня их подготовленности растет число и сложность атак.Компания Фортинет предлагает комплекс решений и продуктов для защиты от современных угроз. Об этом мы сегодня и поговорим.
Среди всего объема атак можно выделить простые атаки и целенеправленные.
Простые атаки характеризуются использование механизмов подбора паролей, спуфинга, использование перехвата трафика.
Целенаправленная или таргетированная сетевая атака – это атака, при которой атакующий получает неавторизованный доступ в сеть и остается необнаруженным в течение длительного времени. При таких атаках злоумышленники используют методы социальной инженерии и собственные инструменты для эксплуатации уязвимостей нулевого дня.
Характерными особенностями таких атак являются:
Нацеленность на конкретную жертву.
Отраслевая направленность (примером, может служить вирус Stuxnet, нацеленный на ядерную индустрию);
Скрытность и применением специальных методов обхода (коды пишутся под конкретную компанию и используемые ей средства защиты).
Новостные ресурсы постоянно сообщают об успешных атаках на такие крупнейшие ИТ-компании, как RSA, eBay, Sony. Вследствие, ИТ-гиганты несут огромные финансовые и репутационные потери.
Например, компания eBay в прошлом году заявила об удачной попытке взлома её инфраструктуры. В результате атаки было украдено информация о 145 миллионах учётных записей.Компания Sony(click!) была вынуждена во всеуслышание заявить об утечке данных.
Кроме этого, множество компаний заявляют о том, что они подверглись атакам в стиле APT.
4
Нужно понимать, что для организации комплексной атаки на конкретную жертву с целью достижения определенного результата необходимы серьезные ресурсы, в том числе на государственном уровне.
В ВС РФ создаются подразделения …
Давайте рассмотрим структуру целенаправленных атак.
1. В первую очередь проводится сбор данных о жертве.
2. На начальном этапе внедрения очень часто используются методы социальной инженИрии, фишинга. Отправляемое пользователю сообщение содержит ссылку или непосредственно зловредное вложение.
3. На следующем этапе злоумышленник пытается закрепиться в сети жертвы. После запуска вложения в сети жертвы как правило появляется средство удаленного администрирования (бэкдор), которое сложно обнаружить традиционными средствами (FW, AV, IPS). Сложность обнаружения бекдор заключается в том, что активность часто осуществляется изнутри-наружу, что делает его менее уязвимым.
Средства бэкдор позволяет осуществлять следующие действия:
- пользовать программной оболочкой (shell); - загружать и запускать файлы; - оставаться незамеченным долгое время (снижать активность); - осуществлять удаленное администрирование;
- делать снимки экрана и фиксировать нажатие клавиш; - скрытый канал общения (covert) channel.
4. Дальнейшая активность направлена на повышение собственных привилегий в сети жертвы. Производится сбор учетной информации, кража паролей и т.п. Завладев учетными данными злоумышленник может действовать в сети на «легальных» основаниях что позволяет ему оставаться незамеченным долгое время.
5. Долго оставаясь незамеченным преступник собирает необходимую информацию.
6. Злоумышленник может устанавливать новые бэкдоры, удалять старые.
7. После сбора необходимых данных происходит их отправка в центр управления атакой (в виде почтовых сообщений, по FTPs и т.п.).
Учитывая глобальный масштаб угроз мы предложили нашим коллегам из других организаций объединить усилия направленные на то, чтобы совместно изучать текущий ландшафт угроз и делиться опытом. Данная практика позволяет очень эффективно противостоять современным угрозам, т.к. учитывается опыт совершенно независимых организаций: Fortinet, McAfee, Symantec, Palo Alto Networks.
Для вас может показаться странным что заклятые конкуренты что-то делают совместно. Но в итоге все получают выгоду от такого сотрудничества. И в первую очередь Вы, уважаемы заказчики.
8
Предлагаю посмотреть на портфолио решение компании Fortinet, применение которых обеспечивает комплексный подход к обеспечению ИБ. В списке решений есть не только решения периметровой защиты, такие как NGFW, UTM, но и решения по защите от DDoS, защиты приложений, почты, баз данных.
Например, решения отлично подходят для замены Microsoft TMG.
Таргетированные солжные атаки требуют применения адекватных, аналогичных ответных мер.
Ответ компании Fortinet заключается в обеспечении эшелонированного подхода к обеспечению защиты, целью которого является защита данных и ресурсов всех уровнях от сетевого до уровня приложений.
Основная задача при противодействии целенаправленным атакам – разорвать цепь угроз и разрушить логику работы. Чем раньше это произойдет, тем более эффективны будут меры противодействия угрозе и ниже риск успеха у злоумышленников.
Рассмотрим варианты противодействия развитию APT на разных этапах развития атаки.
Модуль АНТИСПАМ обеспечивает безопасность инфраструктуры электронной почты и ее эффективную защиту от спама, вирусов и другого вредоносного ПО.
Ключевыми преимуществами являются:
Высокая эффективность, низкий процент ложных срабатываний;
Обнаружение угроз и атак в режиме реального времени;
Детальная настройка, которая сочетается с простотой администрирования;
Защита от фишинга и мошеннических сообщений.
Модуль Антиспам применяется не только на выделенном решении по защите почтового трафика FortiMail, но и на шлюзе периметровой защиты FortiGate.
Веб-фильтрация. Данный компонент может классифицировать и фильтровать веб-трафик по различным предустановленным и настраиваемым политикам и правилам.
Ключевыми особенностями данного модуля является поддержка:
78 категорий;
В базе содержится более 250 миллионов уникальных URL-записей;
Поддерживаются различные языки и кодировки (в том числе киррилические домены).
Функционал обнаружения и предотвращения вторжений включает в себя механизмы сигнатурного обнаружения вторжений.
Система предотвращения вторжений IPS предлагает широкий спектр функций, которые могут быть использованы для блокирования нежелательной сетевой активности, в том числе: предустановленные и персонализированные сигнатуры, декодирование протокола, журналирование пакетов.
Технология IPS поддерживается автоматической доставкой в режиме реального времени обновлений от сервисов FortiGuard, имеющих базу данных с тысячами уникальных сигнатур атак, в том числе уязвимостей «нулевого дня».
Контроль приложений необходим для управления огромным количеством сетевых приложений.
Это позволяет вам контролировать более 3 000 различных веб-приложений, программных продуктов, сетевых сервисов и протоколов. Получать детальный анализ используемых приложений, поддерживается шйпирование на уровне приложений, и также создание собственных сигнатур.
Антивирусная защиты позволяет обнаруживать и блокировать передачу зараженных, вредоносных файлов. Защищает сеть от шпионских программ, червей, троянов и других атак.Backdoor / Bot
Binary blocked by AV
If not, access to C & C blocked by IPS
If not, by WCF
=> Our overall goal will be to prevent the The bot cannot “phone home”
Ключевыми особенностями является:
Поддержка работы антивируса в потоковом и прокси режиме;
Интеграция с песочницей FortiSandbox для проведения анализа подозрительных файлов и вложений и выявления неизвестных и целенаправленных атак ;
Функции эвристического анализа файлов;
Своевременное обновление сигнатур
Возможность использования карантина.
В модуль Антивируса также входит защита от ботнетов, позволяющая детектировать и блокировать взаимодействие ботов с командными центрами управления.
Анализируется репутация IP-адресов и доменных имён, к которым хосты, расположенные внутри организации, пытаются получить доступ.
Основным фактором определяющим эффективность применяемых средств защиты является их актуальность!
Лаборатория FortiGuard Labs является частью компании Fortinet и занимается исследованиями в сфере информационной безопасности, исследованием угроз, разработкой ответных мер, выпуском обновлений для всех решений Fortinet.
Команда FortiGuard существует более 10 лет, круглосуточно предоставляя информацию об атаках и угрозах. Филиалы исследовательского центра FortiGuard открыты в США, Канаде, Франции, Великобритании, Японии, Китае и Сингапуре.
На текущий момент в лаборатории FortiGuard работает более 200 аналитиков и инженеров безопасности.
Лаборатория FortiGuard обеспечивают сигнатурами модули антивируса, системы предотвращения вторжения, контроля приложений, фильтрации веб-контента, IP-репутация и анти-спама. Эти модули и службы позволяют обеспечить защиту от угроз как на прикладном, так и на сетевом уровнях. Сервисы безопасности постоянно обновляются и передаются через глобальную распределенную сеть FortiGuard, гарантируя клиентам компании постоянную динамическую защиту от новых, целенаправленных атак на сеть, контент и устройства.
Рассмотрим возможный сценарий развития целенаправленной атаки, а также меры защиты, которые могут применяться для отражения данной атаки.
Шаг №1. Атакующий начинает с проведения разведки цели. Например, злоумышленник (хитро, умело, мастерски) составляет почтовое сообщение, вставляя ссылку или прикладывает зараженный файл. Далее письмо уходит получателю. Это тот шаг, где антиспам/анти-malware решение должно заблокировать сообщение. Если этого не произошло, письмо попадает к цели и атакующий надеется, что цель откроет зараженную ссылку.
Шаг №2. При открытии зараженной ссылки устанавливается соединение с сайтом для злоумышленника. Это тот шаг, где ваш веб-фильтр может заблокировать трафик. Но если этого не произошло, то …
Шаг №3. То зараженный сайт запускает эксплойт. На этом шаге система предотвращения вторжений пробует заблокировать использование той или иной уязвимости.
Шаг №4. Если модуль предотвращения вторжений не остановил применение эксплойта, появляется возможность запуска зараженной программы у жертвы.
Шаг №5. Зараженный файл передаётся к цели. Это тот шаг, где ваш антивирус должен защитить Вас.
Malware, short for malicious software, is any software used to disrupt computer operation, gather sensitive information, or gain access to private computer systems. It can appear in the form of executable code, scripts, active content, and other software.
Botnet, botnet is a combination of the words robot and network. A botnet is a collection of internet connected programs communicating with other similar programs in order to perform a task.
Шанг №6. Если же вредоносное ПО попало и запущено у цели, оно начинает сбор данных, конфиденциальной информации. Для завершения миссии данное ПО должно отправить сведения в командный центр управления. Это тот шаг, где должны работать методы контроля приложений, ботнет-сетей.
Но если перечисленных мер оказалось недостаточно, то вас взломали.
Шаг 7. Перечисленные выше модули (такие как Антиспам, IPS, контроль приложений, веб-фильтрация) являются очень важными, но не всегда способны остановить сложные атаки сегодня. Они нацелены на предотвращение уже известных атак.
Опасность приходит, когда атака новая и использует различные техники обхода и скрытия.
При добавлении песочницы к своей системе защиты вы получаете возможность определения уязвимого кода, даже если он не был известен и определен как вредоносный ранее.
Мы предлагаем единый подход к защите организаций любого уровня и размеров. Наше решения имеют высокую эффективность защиты, производительность, низкая стоимость владения.