Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
1. 12 октября 2017
Бизнес-консультант по безопасности
Один из аспектов
технической защиты
информации
Борьба с вредоносным кодом
Алексей Лукацкий
2. Проблема сознания
• Ориентация на прошлый
опыт
• Следование принципу «здесь
и сейчас»
• Нежелание встать на место
злоумышленника
• Точечный подход
• Фокус только на ПК
3. К чему это приводит или как мы обычно
боремся с вредоносным ПО?
• ИБ или ИТ-службы, которые привыкли
делать «потому что так принято», не
задумываясь о актуальной модели угроз
• Традиционный (или даже продвинутый)
антивирус на ПК
• МСЭ на периметре для блокирования
вредоносных коммуникаций (C&C или
139-й порт)
• Настройки антивируса обычно
используются по умолчанию
Антивирус
МСЭ
4. C чем может бороться данный
сценарий?
• Широко
распространенное
вредоносное ПО
• Сигнатуры для него
известны в течение
месяцев
• Если используются
командные C&C-сервера,
то их IP-адреса обычно
известны
• Вложения в e-mail,
содержащие старые
исполняемые файлы
• Старое вредоносное ПО
на флешках
• Прямая загрузка
вредоносного ПО из
Интернет (например,
бесплатные антивирусы
или дефрагментаторы)
Уровень обнаружения на VT – выше 80%
5. Почему этого сценария недостаточно?
• Сложные программные продукты, созданные квалифицированными
программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН
вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на
99% приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем
заинтересованности
• Все лучшие методологии разработки и отладки
16. • TheHarvester – утилита
для сбора контактной
информации (e-mail,
поддомены, имена
сотрудников и т.п.)
• Ищут в поисковых
системах (включая
Яндекс), серверах ключей
PGP, SHODAN и т.п.
Сбор контактов с помощью TheHarvester
http://www.edge-security.com/theharvester.php
18. Сбор контактов с помощью recon-ng
• Recon-ng –
многофункциональный
инструмент для
изучения/разведки Web
• Множество разных
модулей, решающих
различные задачи,
включая и сбор контактов
• Входит в состав Kali Linux
https://bitbucket.org/LaNMaSteR53/recon-ng
20. Попробуем перейти на базовый уровень
• Стандартизованные и централизованно
управляемые антивирусы, системы
управления патчами и резервного
копирования
• Ограничение использования прав
локальных администраторов
пользователями
• Защита электронной почты и
фильтрация URL
Email Security
Web Security
Антивирус
МСЭ
21. C чем может бороться данный
сценарий?
• Тривиальные
модификации известного
вредоносного ПО
• Вариации
использованных IP-
адресов, хешей файлов,
но с повторным
использованием
основных компонент ПО,
поведения и методов
заражения
• Эксплойты для известных
и старых уязвимостей в
пользовательском ПО
(браузеры, MS Office,
Acrobat Reader и т.п.)
Уровень обнаружения на VT – от 40 до 80%
22. Мы часто ошибаемся, нажимая на клавиши
• Что произойдет, если мы наберем «w» вместо «s» или «x» вместо
«c»?
24. Фальшивые домены и URLcrazy
• URLcrazy – утилита
для изучения
комбинаций
возможных имен
сайта, похожих на
«жертву»
• 8000 типичных
ошибок
• 15 типов вариантов
доменов
http://www.morningstarsecurity.com/research/urlcrazy
http://tools.kali.org/information-gathering/urlcrazy
34. Попробуем всем управлять
• Уход от антивируса в сторону EPP
• Стандартизованные образы ПО
• Несколько антивирусных движков на
уровне защиты e-mail и Web
• Перезапись URL в e-mail
• Песочница для средств защиты e-mail и
Web
• Антифишинговые тренинги
• Формализованный процесс управления
уязвимостями
• Обнаружение C&C
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
Мониторинг DNS
35. C чем может бороться данный
сценарий?
• Использование
полиморфизма в коде, но
поведение повторяется
• Обфускация файлов для
обхода распространенных
антивирусов и базовых
песочниц
• Безфайловые вирусы
• Эксплойты для
известных, но свежих
уязвимостей в
пользовательском ПО
(браузеры, MS Office,
Acrobat Reader и т.п.)
Уровень обнаружения на VT – от 5 до 40%
36. Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Thi
s
Thi
s
This
image
cannot
Th
is
Th
is
Th
is
Th
is
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
This
imag
e
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Современный хакер обращает
внимание не только на периметр
48. Продвинутая защита для большинства
случаев
• Threat Intelligence для всех элементов
системы защиты
• Расширение функционала решения за
счет контроля поведения трафика и
пользователей
• Дополнение функционала EPP функциями
обнаружения и реагирования на
инциденты (EDR) и круглосуточный
мониторинг и реагирование (MDR)
• Интеграция хостовых и сетевых средств
обнаружения и реагирования
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Мониторинг DNS
ИБ IaaS/PaaS
Mobile Device
Management (MDM)
Защита
серверов
CASB
49. C чем может бороться данный
сценарий?
• Отсутствие повтора
поведения
• Обфускация файлов для
обхода продвинутых
песочниц
• Маскировка под
нормальные файлы,
удаление индикаторов
заражение
• 0Day в пользовательских
приложениях
• Модификация известных
техник, адаптированных
под новые приложения и
ОС
• Распространение по сети
(например, после
компрометации ПК)
Уровень обнаружения на VT – менее 5%
50. История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image
Signing и др.
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
51. Вот так развивалась защита сетевого
оборудования Cisco
3900(E)
ISR 4451-X
2000
2005
2010
2015
Anti-Counterfeiting (ACT)
39[24]5 PPC (XSPACE, ASLR)
MIPs based G2 – Partial ASLR
39[24]5e Intel (XSPACE)
Image Signing
Common Criteria + НДВ ФСТЭК
FIPs
CSDL
Trust Anchor Module
(SUDI, Secure Storage,
Entropy)
Secure Boot,
Image Signing,
XSPACE.
ASLR enabled IOSd
Cisco SSL
Common Criteria, FIPs
ISR
Anti-Counterfeiting (ACT)
Common Criteria
FIPs
3900 Series
1900 Series
800 Series
Cisco 1800 Cisco 2800 Cisco 3800
G1
G2
G3
51
52. Как бороться со спецслужбами?
• Фокус на обнаружении
• Стратегия разрешения только хорошо
известного
• Белые списки приложений и изоляция
сегментов сети, приложений и узлов на
уровне данных, не допуская
взаимодействия доверенных и
недоверенных активов
• Виртуализация, удаленные браузеры на
уровне ПК
• TPM, контроль целостности ОС, подпись
всех e-mail, контроль потоков, удаленная
верификация
Email Security
Web Security
МСЭ
EPP
Песочница
МСЭ
IPS
UEBA
EDR
Анализ
трафика
Контроль
приложений
ЛокализацияЗащита
серверов
Изоляция
Мониторинг DNS
Mobile Device
Management (MDM)
53. C чем может бороться данный
сценарий?
• Разрешенные известные,
подписанные или в
памяти
• Скрытие в firmware или
других компонентах,
невидимых для ОС
• Продвинутые техники
обхода
• Отсутствие или хорошо
замаскированные
коммуникации с C&C
• 0Day, задействующие
новые техники
• Экслойты в
привилегированном коде
• Злоупотребление
разрешенными
приложениями
• Атака на firmware/BIOS
• Атака через физический
доступ
Уровень обнаружения на VT – 0%
54. Три измерения борьбы с вредоносным
ПО
Конкретный семпл
Инфраструктура злоумышленников
ПКВся сеть
ВПО
Канал управления
- традиционная защита
- рекомендуемая защита
55. Решение по защите от вредоносного ПО
1Gartner Report “Office 365, Google Apps for Work and Other Cloud Office Key Initiative Overview” July 2015
Эффективное решение по защите от вредоносного ПО – это не
серебряная пуля и не гарантирует 100%-й защиты. Однако оно
способно помочь:
• Предотвратить попадание вредоносного ПО в сеть или на ПК, когда
это возможно
• Остановить его до того, как оно будет управляться извне
• Обнаружить, когда оно появится в сети
• Локализовать его для защиты от распространения по сети
• Обеспечить реагирование для устранения уязвимостей и локализации
атакованных участков
56. Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
Всесторонняя
инфраструктура
защиты
NGIPS
NGFW
Анализ
аномалий
Network
Anti-
Malware
NGIPS
NGFW
Host
Anti-
Malware
DNSЗащита
DNS
Защита
Web
Защита
Email
NGIPS
DNSЗащита
DNS
Защита
Web
NGIPS
Threat
Intelligence
57. Резюмируя
Старое ВПО
VT >80%
Известные
эксплойты,
ботнеты
VT 40-80%
Новые варианты
VT 5-40%
Целевое ВПО
VT < 5%
Новое ВПО
VT =0%
Зрелость защиты от вредоносного ПО
СложностьвредоносногоПО
СтарыйИзвестныйНовыйЦелевойПродвинутый
Процесс
реагирования
Патчи, защита e-
mail
и URL-
фильтрация
Архитектура,
осведомленность
Управление
уязвимостями,
EPP, песочница
Мониторинг 24/7
и непрерывное
тестирование
EDR
Адаптивная
архитектура
Изоляция, threat
hunting
60% всех
вредоносных
программ
95% всех вредоносных программ
99% всех вредоносных программ
58. Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте используемые
вами технологии ИБ, используемые
данные и способы их получения, не
забывая про моделирование угроз
Определите ваши краткосрочные,
среднесрочные и долгосрочные планы
и возможные угрозы для них, а затем
определите данные, которые вам
нужны для их обнаружения
Выберите необходимые источники
данных, обучите персонал и, по
необходимости, внедрите новые
решения по кибербезопасности и
анализу информации для ИБ
Что сделать после конференции?
59. Где вы можете узнать больше?
http://www.cisco.com/c/ru_ru/about/brochures.html
https://habrahabr.ru/company/cisco/
https://www.cisco.com/c/en/us/
solutions/enterprise-
networks/ransomware-
defense/index.html
60. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/