Власов Михаил Евгеньевич, начальник Службы информационной безопасности, АКБ «ЕВРОМЕТ»

1. IV Форум АЗИ
Актуальные вопросы
информационной безопасности
России
Чего не хватает в современных СОВ
для защиты банковских
приложений

2. Методы обнаружения атак в СОВ
• анализ сигнатур;
• статистический анализ;
• контроль целостности;
• анализ систем состояний;
• графы сценариев атак;
• экспертные системы;
• методы, основанные на спецификациях;
• нейронные сети;
• иммунные сети;
• кластерный анализ;
• поведенческая биометрия.

3. Кластерный анализ
Суть данной группы методов состоит в разбиении
множества наблюдаемых векторов-свойств
системы на кластеры, среди которых выделяют
кластеры нормального поведения.
В каждом конкретном методе кластерного анализа
используется своя метрика, которая позволяет
оценивать принадлежность наблюдаемого
вектора свойств системы одному из кластеров или
выход за границы известных кластеров.
Е. А. Новиков, А. А. Краснопевцев «СРАВНИТЕЛЬНЫЙ АНАЛИЗ МЕТОДОВ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ»

4. Определение аномального трафика
Разбиение множества наблюдаемых
векторов-свойств системы на кластеры,
среди которых выделяют кластеры
нормального поведения.
Вопрос:
Наличие профилей (3) для различных АБС ?
Работа с мобильными устройствам (ДБО) ?
Охватывают ли профили все уровни АБС ?

5. Заполнение профилей систем

6. Все ли типы устройств знает СОВ ?

7. Уязвимости мобильных устройств

8. Проблемы SQL ?
Использование noSQL СУБД как практика в
распределенных СУИБ для аналитики в СОВ.

9. Масштабируемость на уровне СОВ

10. Масштабируемость на уровне СУБД
Масштабирование бывает 2-х видов —
горизонтальное и вертикальное.
• Вертикальное масштабирование —
наращивание мощностей одной машины —
добавление CPU, RAM, HDD.
• Горизонтальное масштабирование —
добавление новых машин к существующим
и распределение данных между ними.

11. Кластеризация СУБД в СОВ

12. Работа на разных уровнях TCP/IP
Использование своей метрики, которая
позволяет оценивать принадлежность
наблюдаемого вектора свойств системы
одному из кластеров или выход за
границы известных кластеров.
Вопрос:
Производится ли анализ трафика в СОВ на
уровнях выше 4-го по модели TCP/IP по
хосту ?

13. Анализ трафика по правилам DPI

14. Пример анализа трафика без DPI
Заявлено:
Функционал СОВ,
реализованный в продукте,
позволяет оперативно
обнаруживать различные
атаки:
· на web-службы;
· по служебным протоколам
(в том числе SMTP, POP, SNMP,
TELNET, FTP);
· на известные базы данных;
· класса «отказ в
обслуживании (DOS и DDOS);
· и другие.

15. Что не могут традиционные СОВ
• Большинство банковских приложений (front-end) используют в
свой работе протоколы HTTP и HTTPS – что позволяет внедрить
в запрос HTTP/HTTPS вредоносный код управления рабочего
места
• В современных приложениях используются скрытые p-t-p
протоколы позволяющие обойти политику безопасности на МЭ
и СОВ
• Большинство СОВ не анализируют данные от исходящего
трафика локально прокси -сервера – а это удаленный доступ к
рабочему столу и SSL туннели на АРМ
• Типовые СОВ базируются на контроле портов, IP адресов – не
производя при этом глубокий анализ приложений
• PCI DSS требует наличия разбора WEB APP приложений
• Разбор трафика происходит без участия AV модуля

16. Выбор решения: DPI или AppFW?
Работающие решения DPI:
BRO IDS http://www.bro-ids.org
Palo Alto
Procera PacketLogic
SNORT IDS http://www.snort.org
TENABLE SC 4 http://www.tenable.ru
Работающие решения WEB AppFW:
Cisco ASA
CheckPoint
Palo Alto
Вывод : использование гибридной модели

17. Поиск цепочки событий от IDS ?

18. Проблема наличия сигнатур

19. Полнота обнаружения

20. Правила СОВ за 500$ ???
1. Традиционный способ занести IP адрес TOR в blacklists:
> $HOME_NET any (msg:"ET TOR Known Tor Exit Node Traffic group 3"; reference:url,doc.emergingthreats.net/bin/view/Main/TorRules; threshold: type limit, track by_src, se
conds 60, count 1; classtype:misc-attack; flowbits:set,ET.TorIP; sid:2520004; rev:2147;)
alert ip [108.60.148.50,108.61.167.240,108.61.195.213,108.61.212.102,109.120.148.60,109.120.173.48,109.120.180.245,109.163.234.2,109.163.234.4,109.163.234.5] any -> $HO
ME_NET any (msg:"ET TOR Known Tor Exit Node Traffic group 4"; reference:url,doc.emergingthreats.net/bin/view/Main/TorRules; threshold: type limit, track by_src, seconds
60, count 1; classtype:misc-attack; flowbits:set,ET.TorIP; sid:2520006;rev:2147;)
alert ip [109.163.234.7,109.163.234.8,109.163.234.9,109.163.235.246,109.169.0.29,109.169.23.202,109.169.33.163,109.173.59.180,109.203.108.66,109.235.50.163] any -> $HOM
E_NET any (msg:"ET TOR Known Tor Exit Node Traffic group 5"; reference:url,doc.emergingthreats.net/bin/view/Main/TorRules; threshold: type limit, track by_src, seconds
60, count 1; classtype:misc-attack; flowbits:set,ET.TorIP; sid:2520008; rev:2147;)
alert ip [109.74.151.149,110.174.43.136,110.93.23.170,111.69.160.106,117.18.75.235,118.193.194.95,120.29.217.51,120.51.157.211,120.56.172.191,120.59.168.164] any -> $HO
ME_NET any (msg:"ET TOR Known Tor Exit Node Traffic group 6"; reference:url,doc.emergingthreats.net/bin/view/Main/TorRules; threshold: type limit, track by_src, seconds
60, count 1; classtype:misc-attack; flowbits:set,ET.TorIP; sid:2520010;rev:2147;)
alert ip [120.59.39.197,120.59.46.238,121.54.175.50,122.19.43.24,123.108.224.70,124.217.226.73,128.117.43.92,128.199.165.212,128.199.168.142,128.199.247.148] any -> $HO
ME_NET any (msg:"ET TOR Known Tor Exit Node Traffic group 7"; reference:url,doc.emergingthreats.net/bin/view/Main/TorRules; threshold: type limit, track by_src, seconds
2. Занести сигнатуру вируса в обрабатываемые списки:
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET TROJAN Likely Fake Antivirus Download InternetAntivirusPro.exe"; flow:established,to_server; content:"GET"; nocas
e; http_method; content:"/InternetAntivirus"; http_uri; content:".exe"; http_uri; reference:url,doc.emergingthreats.net/2010061; classtype:trojan-activity; sid:2010061;
rev:10;)
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET TROJAN Likely Fake Antivirus Download AntivirusPlus.exe"; flow:established,to_server; content:"GET"; nocase; http
_method; content:"/AntivirusPlus"; http_uri; content:".exe"; http_uri; reference:url,doc.emergingthreats.net/2010062; classtype:trojan-activity; sid:2010062; rev:5;)
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"ET TROJAN Potential Fake AV GET installer.1.exe"; flow:established,to_server; content:"GET"; http_method; nocase; co
ntent:"/installer."; http_uri; nocase; content:".exe"; http_uri; nocase; pcre:"//installer.d+.exe/Ui"; reference:url,www.malwareurl.com; reference:url,doc.emergingt
hreats.net/2010452; classtype:trojan-activity; sid:2010452; rev:8;)

21. Решение по IDS/DPI на поверхности
• Использование noSQL для хранения данных
• Функции DPI в IDS как обязательные
• Масштабируемость на уровне организации
• Поддержка мобильных устройств
• Использование правил корреляции в IDS
• Расширение профиля клиентских устройств
• Единая база сигнатур FinCert-ФСТЭК