AntiAPT - необходимые и недостаточные условия
•Download as PPTX, PDF•
0 likes•191 views
Как прячется APT и где его искать
Recommended
More Related Content
What's hot
What's hot (20)
Similar to AntiAPT - необходимые и недостаточные условия
Similar to AntiAPT - необходимые и недостаточные условия (20)
More from Alexey Kachalin
More from Alexey Kachalin (20)
AntiAPT - необходимые и недостаточные условия
- 2. 2 2 ptsecurity.com AntiAPT: Необходимые и недостаточные условия обнаружения неизвестных ptsecurity.com Качалин А.И.
- 3. 3 3 ptsecurity.com 3 Портрет угрозы. Определение apt • Advanced: • Атакующий обладает максимальным спектром возможностей • Включает, но не ограничен модифицированным вредоносным ПО и средствами осуществления атак • Комбинация возможностей • Persistent: • Атакующий действует с заданной целью • Ключевой подход «медленно и тихо» • Поддержание возможности возобновления доступа к атакуемой системе • Threat: • APT – угроза т.к. присутствует возможность и цель • Атакующий – не программа, а человек (группа людей) • Максимальная гибкость в выборе методов и корректировке воздействий
- 4. 4 4 ptsecurity.com 4 С чем боремся: apt в первую очередь не «что», а «кто» «APT is a Who My second job after college was working for Mandiant (Now FireEye Services as a Security Consultant. This was a great job where I learned a ton and that was because I worked with such a skilled team. The team that started Mandiant primarily came from the United States Air Force Office of Special Investigations; a team that handled, among other things, some of the first nation state level computer intrusions of the Internet era such as Solar Sunrise, Moonlight Maze, and Titan Rain. This was a weird time, because (like today) attacks weren’t just aimed at military targets but commercial targets as well. AFOSI, as well as other government intelligence & defense groups, investigated using open source and classified methods. For operational security, this leads to classified intelligence. This classified intelligence was a problem. While the Defense Industrial Base has people with clearances who can handle classified data, other companies, without cleared people, came under attack as well. These DoD/IC teams wanted to help, but couldn’t disclose classified information. They came up with a compromise: sharing indicators and information without disclosing the actual actor behind it. Instead they just referred to the actor using a pseudonym: The Advanced Persistent Threat. Specifically APT, supposedly coined by Colonel Greg Rattray, was a couple groups of actors primarily operating out of mainland China and believed to be members of the People’s Liberation Army. We now know these groups today as APT1, Anchor Panda, and Elderwood, as well as other private designations. APT is a term to refer to Chinese espionage without saying Chinese espionage. Full stop.» http://sroberts.github.io/2015/02/16/ap «Термин APT был придуман чтобы сослаться на китайский шпионаж и не упоминать при этом китайский шпионаж»
- 5. 5 5 ptsecurity.com Как увидеть невидимое: обнаружение apt Действия атакующего • Подготовка к реализации угрозы • Сбор начальной информации • Подготовка средств • Начальная компрометация • Получение доступа • Повышение привилегий • Внутренняя разведка • «Горизонтальное движение» • Поддержание присутствия • Достижение цели • Извлечение данных • Вывод из строя С точки зрения атакуемого?
- 6. 6 6 ptsecurity.com Как увидеть невидимое: обнаружение apt Действия атакующего • Подготовка к реализации угрозы • Сбор начальной информации • Подготовка средств • Начальная компрометация • Получение доступа • Повышение привилегий • Внутренняя разведка • «Горизонтальное движение» • Поддержание присутствия • Достижение цели • Извлечение данных • Вывод из строя С точки зрения атакуемого • Действия атакующего основаны на восприятии атакуемой системы • Воздействия содержат признаки злоупотреблений • Воздействия содержат признаки аномалий
- 7. 7 7 ptsecurity.com 7 Ограничения практики реагирования на инциденты при apt • Расследование ограничивается атакой • Инцидент прекращается для уменьшения ущерба • Взаимосвязь инцидентов? • Во времени • В разных системах?
- 8. 8 8 ptsecurity.com 8 Модель можно усложнять бесконечно Что делать?
- 9. 9 9 ptsecurity.com 9 Противодействие APT: анатомия угрозы Противодействие APT это больше чем - обнаружение событий и построение цепочки атак - обнаружение инцидентов - выявление артефактов и их глубокий анализ Это успешное решение всех вышеперечисленных задач и ответ на вопрос – кто за всем этим стоит, чего он хочет, что может предпринять завтра? И подготовка к этому.
- 10. 10 10 ptsecurity.com 10 ptsecurity.com AntiAPT. Стратегия защиты «Поэтому сказано, что тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении.» Сунь-цзы, «Искусство войны» • Знать себя • Действовать, устраняя свои слабости • Узнать «врага» • Не дать себя обмануть • Не дать узнать себя «врагу» • Заставить «врага» рассказать о своих методах и целях
- 11. 11 11 ptsecurity.com 11 Positive Technologies: наши возможности • Инвентаризация, анализ уязвимостей, менеджмент инцидентов • ((МaxPatrol 8)) • ((МaxPatrol SIEM)) • Анализ трафика, анализ ПО • ((PT NetForensic)) – Анализ сетевого трафика • ((PT AF)) – Application Firewall • ((PT AI)) – Application Inspector • Продвинутые средства противодействия новым угрозам • ((PT Multiscaner)) • ((PT Honeypot)) • PT Expert Security Center ((PT ESC)) • Пентест и выявление уязвимостей • Мониторинг безопасности и расследование инцидентов • Экспертиза по угрозам и методам противодействия • Широкий спектр исследуемых технологий (web, SCADA, мобильные приложения, ДБО)
- 12. 12 12 ptsecurity.com 12 АntiAPT: Знать себя AntiAPT: необходимые условия обнаружения неизвестных
- 13. 13 13 ptsecurity.com 13 Портрет жертвы apt • Маленькая хорошо защищенная компания без критических активов в ИТ • Большая компания – много, критично, распределенно • Площадки • ИТ-Инфраструктура • Сотрудники • Активы, процессы, данные • Клиенты • Подрядчики • ИБ • Медленные процессы развития и реагирования (ИБ)
- 14. 14 14 ptsecurity.com 14 Необходимые меры: начало • Предусловие: информационная безопасность – в порядке • Выполнение политики ИБ • СЗИ • Ключевая возможность – мониторинг ресурсов и менеджмент инцидентов • анализ уявзимостей, автоматическое тестирование в режиме теста на проникновение ((МaxPatrol 8)) • Учёт активов, менеджмент инцидентов ((MaxPatrol SIEM)) • Безопасность – это процесс. ((PT ESC)) • Контроль периметра и инфраструктуры • Аудит заказного ПО • Тесты на проникновение с анализом реакции СЗИ
- 15. 15 15 ptsecurity.com 15 Просто DDoS или отвлекающий маневр APT?
- 16. 16 16 ptsecurity.com 16 Безопасность – в деталях • Можем выявить ключевые события за всплеском • Активности • Аномальной активности? • Сообщений СЗИ?? • Вредоносной активности, атак??? • Инцидентов????? • Сопоставить события в «окне» • День • Месяц?? • Год??? • Отфильтровать, соотнести и интерпретировать события при всплеске активности?
- 17. 17 17 ptsecurity.com 17 Задача анализа ((MaxPatrol SIEM)) Выходные данныеВходные данные Данные об активах Сетевая активность События безопасности Уязвимости и данные конфигурации Инциденты ИБ Контроль изменений конфигурации Конфигурация и карта сети Модель актива Контекстные метрики Низкоуровневые события Выявление слабых мест
- 18. 18 18 ptsecurity.com 18 AntiAPT: узнать «врага» своего AntiAPT: необходимые условия обнаружения неизвестных
- 19. 19 19 ptsecurity.com 19 Сценарий: (анти)антивирусное противоборство 1. (А)такующий: создать ВПО 1. Защищённый дроппер + полезная нагрузка 2. Противодействие антивирусу 2. А – проверить ВПО на обнаруживаемость антивирусами 3. А – внедрить ВПО 4. А – незаметное присутствие в системе 5. Защита: обнаружить аномалию 1. Проверить на Virustotal 2. Сообщить AV-вендору 6. А: мониторинг обновлений AV 1. узнать о «раскрытии» 7. А: модифицировать ВПО 8. А: обновить ВПО (на шаг 4)
- 20. 20 20 ptsecurity.com Решение - Positive Technologies ((PT MultiScanner))
- 21. 21 21 ptsecurity.com ((PT MultiScanner)) – возможность ретроспективы Спустя 2 недели, новые базы Первичное сканирование - Далеко не всегда все зловреды сразу попадаются аналитикам и обнаруживаются антивирусами - Может пройти некоторое время (бывает месяца, года) прежде чем зловреда поймают и научатся обнаруживать - За время файл уже мог распространиться и очень важно это определить и понять зоны поражения
- 22. 22 22 ptsecurity.com 22 AntiAPT: не дать «врагу» узнать тебя AntiAPT: необходимые условия обнаружения неизвестных
- 23. 23 23 ptsecurity.com 23 Ты знаешь, что я знаю о чём ты не знаешь? • Уникальные знания и процессы, недоступные атакующему • Правила в SIEM • Обновляемая база знаний об угрозах • Черные списки подозрительных доменов и ip • Обмен IоC, информацией о тактике и инструментах атакующих (TTP) • Автоматизация генерации правил реагирования и блокирования • Упреждающее знание своих слабостей • Обманные цели
- 24. 24 24 ptsecurity.com 24 ptsecurity.com PT AppSec Suite - узнать раньше атакующего Design Development Deployment Maintenance Upgrade PT AI PT AF PT AF & PT AI PT AF & PT AI Генерация экспресс-патчей для PT AF по результатам анализа PT AI PT Application Inspector – анализатор исходных кодов PT Application Firewall – решение для защиты корпоративных приложений
- 25. 25 25 ptsecurity.com 25 АntiAPT: Заставить «врага» рассказать о себе? AntiAPT: необходимые условия обнаружения неизвестных
- 26. 26 26 ptsecurity.com 26 Я слежу за тобой, %атакующий% • Заведомо подложная цель • Выявить аномальную активность • Наблюдать действия атакующего • Не вмешиваться/скрывать присутствие • Что ищет? • Когда и как попадает в систему? • Куда ещё ходили в «похожее» время • Куда ещё «ходили» с этого узла • Выявить скомпрометированные узлы • Собирать • Артефакты • Скачиваемые • Передаваемые во вне – анализ утечки • … Плохо реализуемо без технических средств ((PT ESC)) Практика мониторинга и расследования инцидентов
- 27. 27 27 ptsecurity.com PT MultiScanner+Honeypot Песочница (Sandbox/Detonation Chamber) Защищенная изолированная среда исполнения ПО Контролируемое окружение Защита от детектирования Ловушка (Honeypot) Эмуляция уязвимых сервисов Отправка на анализ файлов в песочницу Индикаторы компрометации Статический и динамический анализ Файлов, веб-сайтов на наличие зловредного поведения Собственная среда исполнения Поведенческий анализ ПО Статический анализ на множественных движках АВ Black/white/репутационные списки Пассивный и активный сбор артефактов Пассивный анализ передаваемых в трафике файлов, веб-ссылок с возможностью уведомления Активный контроль передачи опасных объектов в трафике «на лету» Анализ почтового, веб трафика, поддержка протокола ICAP
- 28. 28 28 ptsecurity.com PT MultiScanner+Honeypot Обновления • Обновление системы и антивирусных баз без доступа комплекса к сети интернет • Загрузка обновлений с внешних носителей • Использование комплекса в полностью изолированных сетях Ретроспективный анализ • Автоматическая ретроспективная перепроверка ранее уже проверяемых файлов, web-ссылок и «поведенческих профилей» • Оповещение администраторов, пользователей системы и внешних подключенных систем об изменениях вердиктов Алгоритмы машинного обучения • Выдача вердиктов на основании алгоритмов машинного обучения • Определение и накопление поведенческих профилей общих между различными приложениями • Выдача вердиктов на основании ранее накопленных профилей поведения и оценки степени их совпадения с другими приложениями База знаний • Накопление собственной базы знаний по проверяемым файлам: имена, типы, контрольные суммы, метаданные • Накопление истории проверки файлов • Гибкие механизмы глобального поиска • Сопоставление вердиктов - источников и получателей файлов • Хранение проверяемых файлы для повторного анализа
- 29. 29 29 ptsecurity.com 29 APT is Who? Experts-in-the-Loop AntiAPT: необходимые условия обнаружения неизвестных
- 30. 30 30 ptsecurity.com 30 ptsecurity.com Анатомия угрозы. Экспертный взгляд • Прицельная и специально разработанная • Устойчива к средствам защиты • Персистентная – необнаружима долгое время • Резистивная - невосприимчива к улучшению защиты • Камуфлирована – скрытые каналы передачи данных • Многоуровневая - сочетание векторов, целей и взаимосвязи действий • Инновационная – уязвимости алгоритмов • Контролируемая – канал связи даже с труднодоступными системами • Вариативная – цели могут достигаться несколькими методами (уязвимостями) • Сложная, изощренная, обеспеченная ресурсами • Интердисциплинарная
- 31. 31 31 ptsecurity.comptsecurity.com Инструменты apt: Moker RAT 6.10.2015 • Предоставление удаленного доступа по RDP • Сокрытие в системе • Cоздание нового пользователя • Повышение привилегий • Изменение настроек безопасности и файлов настроек • Использование архитектурной уязвимости платформы Windows – «инновационность» • Local Access Trojan – Получить легальный доступ по VPN, затем использовать LAT- незаметно для сетевых СЗИ • Сокрытие источника атаки CnC в Черногории, домен в Африке • 2-шаговая инсталляция (Dropper+Payload) • Противодействие СЗИ: обход антивируса и sandbox’a • Противодействие обнаружению: обнаружение выполнения в виртуальной среде • Инжектирование в легитимные процессы • Набор методов усложняющих анализ • (Self-encryption, Evading debug techniques (crashes debugging process) • Снятие скриншотов, запись трафика, кейлоггер, извлечение данных из системы • Практиковались множественные пути доставки [1] http://breakin [2] http://blog.ens
- 32. 32 32 ptsecurity.com 32 ptsecurity.com Moker RAT: Рекомендации по противодействию Примите меры к самостоятельному тушению пожара «… … cуществующие меры противодействия в ОС Windows не могут быть использованы для противодействия Moker. … возможности противодействия: • Блокируйте в реальном времени весь вредоносный сетевой трафик • Противодействуйте в реальном времени попыткам изменить легитимные файлы • Наблюдайте за активностью для последующего анализа » http://blog.ensilo.c
- 33. 33 33 ptsecurity.comptsecurity.com PT Expert Security Center ((PT ESC)) • Оценка защищенности и анализ уязвимостей широкого спектра инфраструктур и приложений, включая веб- и мобильные приложения, SCADA, ДБО, ATM и сети телекомов. Тесты на проникновение и анализ исходного кода для поиска уязвимостей и закладок. • Автоматизированные Сервисы ESC такие как контроль внешнего периметра (Advanced Border Control) – непрерывно разрабатываются и поддерживаются специалистами PT и экспертами PT ESC, что позволяет получать Заказчику сервис экспертного уровня, содержащий актуальную информацию об угрозах и состоянии своих систем с высоким уровнем масштабируемости и по приемлемой цене. • Мониторинг и выявление инцидентов. Уникальные методики и опыт экспертов PT ESC в сочетании с передовыми технологиями и инструментами Positive Technologies позволяют оказывать услуги по выявлению инцидентов на ранних стадиях, а использование ретроспективного анализа дает возможность обнаружить инциденты, пропущенные штатными системами защиты, сократить возможности атакующих даже после успешного проникновения в систему. • Расследование инцидентов ИБ: восстановление хронологии атак, выявление затронутых активов и интересов злоумышленников, рекомендации по ликвидации последствий и предотвращению повторения инцидентов в будущем. • Анализ артефактов и аналитика угроз – исследование и формализация знаний о признаках возможных инцидентов, а также консолидация информации из различных отраслей и географических регионов о методах, инструментах и целях злоумышленников. • Консультации и исследования по ИБ. Клиенты PT ESC имеют возможность оперативно обратиться по вопросам к ведущим экспертам по ИБ и получить ответы на свои насущные вопросы, а также оперативно получать информацию об актуальных угрозах и резонансных уязвимостях, на которые стоит обратить внимание. • Анализ эффективности служб и систем ИБ – проведение аудита эффективности отдельных подсистем или службы в целом в режиме учений – лучший способ периодического контроля и проверки готовности к реальным вызовам. Доверяете аутсорсерам? Доказано: периодические проверки улучшат их работу.
- 35. 35 35 ptsecurity.com 35 ptsecurity.com Необходимые меры против apt Успешное противодействие «стандартным» «простым» угрозам • Постоянный мониторинг и «фильтрация шума» • Продвинутые возможности по анализу событий • Во времени • Между системами/в разных доменах • Уникальное знание, недоступное атакующему • Анализ уязвимостей • Знание себя: самообучение систем защиты (профилирование нормального поведения) • Advanced Persistent Defense • Ловушки для атакующего • Автоматизированные обновляемые средства постоянного анализа • Expert-in-the-loop • Мониторинг, реагирование, ретроспектива • Разведка, аналитика угроз
- 36. 36 36 ptsecurity.com Спасибо за вопросы?! ptsecurity.com AntiAPT: Необходимые и недостаточные условия обнаружения неизвестных Алексей Качалин akachalin@ptsecurity.com
- 37. 37 37 ptsecurity.com Boston, USA London, UK Moscow, Russia Rome, Italy Tunis, Tunisia Dubai, UAE Seoul, Korea Mumbai, India Основана 2002 400 Сотрудников 1,000+ клиентов #1 из наиболее развивающихся компании по анализу уязвимостей и управлению ИБ по версии San Paolo, Brazil Кратко о Positive Technologies 37
- 38. 38 38 ptsecurity.com Почему Positive Technologies? Более 12 лет опыта в выявлении уязвимостей и их оценке 200 экспертов и исследователей в области безопасности Выполнение 20+ глубоких оценок уровня защищенности и 200+ процедур анализа безопасности приложений каждый год Опыт в реализации глобального центра мониторинга (SOC): Олимпийские Игры Сочи 2014 и Универсиада Лидеры в безопасности систем SCADA, ERP и Application Security VULNERABILITY ALERTS 38
- 39. 39 39 ptsecurity.com Исследовательский центр Positive Одна из самых больших научно-исследовательских лабораторий по безопасности в Европе 100+ обнаружений 0-day уязвимостей в год 150+ обнаружений 0-day уязвимостей в SCADA 30+ обнаружений 0-day уязвимостей в Telco Наши знания используют ключевые промышленные центры
- 40. 40 40 ptsecurity.com MaxPatrol™ система контроля защищенности и соответствия стандартам Все в одном: средство автоматизированного анализа защищенности и контроля соответствия Точность: глубокий анализ систем с низким уровнем ошибок Гибкость: возможность интерпретации требований стандартов в простые и инструкции Защита сетей: ISC/SCADA, Core Telecom & Banking Защита SAP: сети, бизнес модули и SAP Notes, SoD анализ Исследования: более 120 встроенных, сгруппированных стандартов (CIS, PT) и возможность создания собственных 40
- 41. 41 41 ptsecurity.com PT Application Firewall™ Автоматическая блокировка zero-days: адаптивные механизмы машинного обучения для постоянного контроля за приложениями Virtual Patch: фоновое создание и установка патчей Постоянный контроль: автоматическая агрегация, классификация и приоритезация угроз и стадий их реализации Контроль процедур обхода Firewall: выявление атак, включая HPC, HPP и HTTP verb tampering Блокировка BOT атак: выявление brute-force атак, попыток сбора password lists и блокировки служб Исследования: Уникальная технология машинного обучения и корреляции для выявления атак в реальном времени 41
- 42. 42 42 ptsecurity.com PT Application Inspector™ Автоматическое создание exploit: демонстрация эксплуатация уязвимостей ПО Гибкий AST: инновационная комбинация из SAST, DAST и IAST; возможность проверки части кода либо всего приложения Меньше ошибок анализа: фокусировка только на уязвимости а не на ошибки в коде Поддержка многих технологий: защита приложений на PHP, Java, .NET, SAP ABAP, SQL и HTML/JavaScript Полный SSDL: проверка на уязвимости во время разработки, QA, после установки или использования ПО Исследования: в планах анализ бинарных файлов и мобильных приложений 42
- 43. 43 43 ptsecurity.com PT SIEM™ Глубина понимания, широта охвата Идентификация и инвентаризация активов активными и пассивными механизмами Знаем злоумышленника в лицо Автоматическая генерация правил корреляции и выявление инцидентов на самых ранних стадиях. Ловим реальные инциденты Концентрация на сборе действительно важной информации для оценки состояния и поведения активов в любой момент времени. Визуализация и упреждающее реагирование Построение L2-, L3-, L7- топологии сети с моделированием возможных действий нарушителя, векторов и сценариев. Гибкость платформы Модульная архитектура поддерживает любые конфигурации системы соответствующие требованиям заказчика. Экономия средств при внедрении. Легкость миграции Безболезненный для бизнес процессов переход с других решений на PT SIEM благодаря поддержке экспертов и техническим инновациям, заложенным в продукт Соответствие стандартам Система спроектирована в России, с учетом специфики решаемых задач и требований регуляторов. Реальное понимание угроз Уникальная база знаний, 15-летний опыт масштабных тестов на проникновение, расследования сложных инцидентов и экспертного сопровождения таких крупнейших мероприятий. 43
- 44. 44 44 ptsecurity.com PT SIEM™ MaxPatrol SIEM Ведение информации об активе и привязка событий Обнаружение уязвимостей - активное сканирование по методам черного и белого ящиков Анализ событий с источников Анализ сетевого трафика Сбор информации о конфигурации и контроль изменений Построение связей между активами 44
- 45. 45 45 ptsecurity.com PT SIEM™ Обнаружение источников и сбор событий Агрегация и приоритезация Формирование инцидентов при обнаружении критичных событий Формирование правил корреляции и приоритезации событий на основе векторов атак Отслеживание состояния компонентов системы 45
- 46. 46 46 ptsecurity.com PT MultiScanner™ Комплексная и многопоточная проверка файлов или архивов, загруженных пользователем непосредственно в систему Статический и динамический анализ Собственная среда исполнения. Поведенческий анализ ПО. Встроенные статические правила. Повторный анализ на движках АВ объектов полученных после запуска файла. Защита почты On-line проверка сообщений на внешних и внутренних почтовых серверах. Периодическая проверка хранимых почтовых архивов. Практическая мера защиты против социальной инженерии с использованием зловредов. Контроль трафика Блокировка угрозы на лету. Быстрые вердикты по хеш суммам файлов. Ретроспектива на полном наборе АВ. Выявление ботов во внутренней сети. Оперативное реагирование и расследование инцидентов. Интеграция с SIEM Контроль файловых хранилищ Выявление вредоносного ПО, зараженных дистрибутивов и документов. Блокировка распространения. Ретроспектива и выявление угроз без пересканирования. Защита Web-порталов и пользователей от вредоносного контента. Контроль утечек информации и выявление веб-ботов. Контроль загружаемого контента пользователей. Блокировка ВПО. 46
- 47. 47 47 ptsecurity.com 47 PT ESC • Команда PT ESC. Команда экспертного центра обеспечивает оперативное реагирование на обращения и собираемую информацию, работает с инцидентами и координирует взаимодействие с командой PT, партнерами, производителями и сообществом. • Команда экспертов PT. Исследовательский центр Positive Technologies насчитывает более 150 человек и является одним из крупнейших в Европе. Специалисты центра заслужили репутацию экспертов мирового уровня по защите важнейших современных отраслей — веб-порталов и онлайн-банков, АСУ ТП и ERP, сетей мобильной связи и облачных технологий. • Взаимодействие с партнерами и производителями средств ИБ –возможности компании PT в рамках технологического партнерства получения комментариев и содействия со стороны ключевых производителей, интеграторов, эксплуатирующих организаций информации позволяет оперативно исключать ложные срабатывания систем обеспечения, сузить область анализа инцидента, а также существенно масштабировать объем оказываемых услуг PT ESC. • Взаимодействие с ИБ-сообществом. Компания PT активно участвует и развивает ИБ сообщество, являясь организатором конференции PHDays. • Специализированные методики инструменты и сервисы. Команда PT ESC непрерывно развивает компетенции по ключевым областям специализации в ходе выполнения работ. Существенная доля этих знаний становится доступна потребителям в виде обновлений сигнатур, правил и эвристик для продуктов PT. • База знаний уязвимостей и угроз, используемая в PT ESC, — одна из крупнейших в мире. Эксперты Positive Technologies обнаружили и помогли устранять множество уязвимостей в продуктах таких компаний, как Cisco, Google, Microsoft, Oracle, SAP, Siemens, Huawei, Schneider Electric, Honeywell. База постоянно пополняется за счёт новых исследований и аналитических сервисов. • Сервис PT ESC – сделано для Вас! Обеспечение ИБ – это непрерывный процесс. В рамках наших услуг мы непрерывно отслеживаем состояние зафиксированных обращений и открытых инцидентов. Мы предлагаем гибкие возможности подключения систем сбора информации, различные варианты обращений для получения сервиса и возможность интеграции с вашими системами отслеживания задач.
- 49. 49 49 ptsecurity.com 49 ptsecurity.com Positive Technologies 9 • Опыт работы в глобальных инфраструктурах и сложных проектах • Эксперты Исследовательского Центра • Моментальное масштабирование Большой набор компетенций: • Сетевая и системная инфраструктура • Бизнес, веб и мобильные приложения • Тюнинг и эксплуатация средств защиты • Анализ защищенности и поиск 0-day • Расследования инцидентов и forensic
- 50. 50 50 ptsecurity.com Нам доверяют более 1000 клиентов Промышленность, энергетика Телекоммуникации ГоссекторФинансы, страхование 50
- 51. 51 51 ptsecurity.com Positive унифицировал процессы ИБ О компании: Сфера: телекоммуникации Известность: 10 дочерних организаций включая Билайн, WIND и djuice Распространение: 18 стран - Алжир, Канада, Италия, СНГ Сотрудники: 66,000 Клиенты: 215 миллионов (6-ой оператор в мире) Доход: USD 23.1 миллионов (2012) NYSE: VIP Задачи Привести в соответствие различные ИТ системы с помощью унифицированного решения На всем масштабе организации Для специального телеком оборудования Решение Совместное использование SOC, MaxPatrol позволило унифицировать решения по анализу угроз и оценке защищённости Мониторинг сетевого оборудования Cisco, Nortel и Huawei, серверов и рабочих станций, ОС, Oracle БД и AD Результат Получена возможность прозрачного контроля за сотовой сетью, полосой пропускания и биллингом Единый подход в 10 дочерних организациях Упрощение выполнения требований SOX, ISO 27001 и PCI DSS 51
- 52. 52 52 ptsecurity.com PT Application Firewall для телекома О компании: Сфера: телекоммуникации Основные акционеры: AF Telecom, TeliaSonera Распространение: 83 субъекта РФ Клиенты: 70 млн абонентов Масштаб: 12 ключевых систем на двух региональных площадках, до 60 000 пользовательских запросов в секунду Доход: 297 миллиарда рублей Задачи Защита приложений, разработанных с применением гибких методик разработки – DevOps, Agile и др. Защита чужого, наследуемого кода Защита клиентов от онлайн-фрода Решение Низкое количество ложных срабатываний Автоматическая верификация уязвимостей (DAST) Корреляция событий и построение цепочек атак Выявление нетипового поведения пользователей и приложений Снижение затрат на обработку результатов Результат Своевременное обнаружение атак на веб и мобильные приложения Защита устаревшего ПО Устранение уязвимостей разработки без внесения изменений в исходный код 52
- 53. 53 53 ptsecurity.com Positive помог усовершенствовать ИТ безопасность О компании: Сфера: инфо- телекоммуникационные технологии (ICT) компании Samsung Клиенты: различные организации по всему миру Масштаб: 17,500 сотрудников на четырех континентах Доход: USD $5.7 миллиардов (2012) Задачи Защита 5,000 узлов от современных угроз ИБ Увеличение продуктивности ИБ подразделений Гибкий и единый механизм контроля защищенности и оценки соответствия Решение Решения MaxPatrol для аудита, оценки и контроля соответствия Мониторинг сети, серверов, DBMS, серверов web приложений и оборудования Cisco Результат Увеличена продуктивность ИБ подразделений за счет уменьшения ложных срабатываний систем защиты Улучшен процесс управления уязвимостями 53
- 54. 54 54 ptsecurity.com MaxPatrol усиливает ИТ защиту О компании: Сфера: телекоммуникации На рынке: #1 в Корее Клиенты: 27 миллионов, 50.3% рынка (2012) Доход: USD $15миллиардов (2012) Задачи Улучшить процесс обнаружения уязвимостей на более чем 7,500 хостах, используемых 30,000 сотрудниками Выполнение требований законодательства Кореи в том числе MOPAS Автоматизация управления уязвимостями, уменьшение ложных ошибок Решение MaxPatrol автоматизирует процесс управления защищенностью примерно на 7,500 хостах Аудит сетевых сервисов (HTTP, HTTPS, Telnet, SSH, NTP, POP3 etc.) в совокупности с IP адресами, портами и уязвимостями. Результат Увеличен уровень прозрачности реальных активов и их уязвимостей Уменьшен риск эксплуатации неизвестных ранее проблем в ИБ Приоритезация рисков, путем оценки и общего уровня защищенности 54
- 55. 55 55 ptsecurity.com PT AI + PT AF решение для SSDL О компании: Сфера: IT, финансы На рынке: один из мировых лидеров в разработке ключевого банковского ПО Клиенты: более 300 финансовых организаций, среди них 55 российских банков из топ-100 Доход: 3,6 миллиарда рублей Задачи Реализация политик безопасной разработки (Secure Software Development Lifecycle, SSDL). Автоматизация анализа исходных кодов Устранение уязвимостей в клиентских приложениях до исправления кода Решение PT AI позволяет эффективно выявлять и устранять уязвимости на раннем этапе разработки Проверка кода, написанного подрядчиками Результат Безопасная разработка собственных продуктов Использование Diasoft Framework партнерами совместно с PT AI PT Application Firewall защищает приложения, развернутые у клиентов Ежедневная защита ПО в банках и других финансовых организациях 55
- 56. 56 56 ptsecurity.com PT Application Firewall защищает СМИ О компании: Сфера: СМИ На рынке: Всероссийская государственная телевизионная и радиовещательная компания Клиенты: более 80 телеканалов и телерадиокомпаний Аудитория интернет вещания: более 300 млн человек в год на десятках сайтов в том числе и с потоковым вещанием Задачи Защита более 20 веб-приложений, реализованных с помощью разных технологий от атак злоумышленников Фокусировка на действительно важных событиях Работа под высокой нагрузкой Защита в режиме реального времени Решение Интеллектуальные механизмы PT Application Firewall снизили нагрузку на операторов защиты. Концентрация внимания ИБ-экспертов ВГТРК на самых важных происшествиях Интеграрация с SIEM для централизованной обработки событий в рамках корпоративного Центра управления безопасностью (SOC). Результат PT AF обнаружил серьезные атаки на 13 веб-сайтов медиахолдинга. Злоумышленники пытались проникнуть во внутреннюю сеть компании. Предотвратил атаку, грозившую утечкой большого объема конфиденциальных данных 56
Editor's Notes
- Advanced: Operators behind the threat have a full spectrum of intelligence-gathering techniques at their disposal. These may include computer intrusion technologies and techniques, but also extend to conventional intelligence-gathering techniques, such as telephone-interception technologies, satellite imaging and Human Intelligence (HUMINT) capabilities. While individual components of the attack may not be classed as particularly “advanced” (e.g., malware components generated from commonly available do-it-yourself malware construction kits, or the use of procured exploit materials), their operators can typically access and develop more advanced tools if required. They often combine multiple targeting methods, tools, and techniques in order to reach and compromise their target and maintain access to it. Operators may also demonstrate a deliberate focus on operational security that differentiates them from “less advanced” threats Persistent: Operators give priority to a specific task, rather than seeking for financial or other gain. This distinction implies that the attackers are guided by external entities. Targeting is conducted through continuous monitoring and interaction in order to achieve the defined objectives. This does not mean a barrage of constant attacks and malware updates. In fact, a “low-and-slow” approach is usually more successful. If the operator loses access to their target they usually will reattempt access, and most often, successfully. One of the operator's goals is to maintain long-term access to the target, in contrast to threats that only need access to execute a specific task. Threat: APTs are a threat, because they have both, capability and intent. APT attacks are executed by coordinated, considered human actions, rather than by mindless and automated pieces of code. Operators have a specific objective and are highly skilled, motivated, organized and well-funded.
- Initial compromise – performed by use of social engineering and spear phishing, over email, using zero-day viruses. Another popular infection method was planting malware on a website that the victim employees will be likely to visit. Establish Foothold – plant remote administration software in victim's network, create network backdoors and tunnels allowing stealth access to its infrastructure. Escalate Privileges – use exploits and password cracking to acquire administrator privileges over victim's computer and possibly expand it to Windows domain administrator accounts. Internal Reconnaissance – collect information on surrounding infrastructure, trust relationships, Windows domain structure. Move Laterally – expand control to other workstations, servers and infrastructure elements and perform data harvesting on them. Maintain Presence – ensure continued control over access channels and credentials acquired in previous steps. Complete Mission – exfiltrate stolen data from victim's network.
- Initial compromise – performed by use of social engineering and spear phishing, over email, using zero-day viruses. Another popular infection method was planting malware on a website that the victim employees will be likely to visit. Establish Foothold – plant remote administration software in victim's network, create network backdoors and tunnels allowing stealth access to its infrastructure. Escalate Privileges – use exploits and password cracking to acquire administrator privileges over victim's computer and possibly expand it to Windows domain administrator accounts. Internal Reconnaissance – collect information on surrounding infrastructure, trust relationships, Windows domain structure. Move Laterally – expand control to other workstations, servers and infrastructure elements and perform data harvesting on them. Maintain Presence – ensure continued control over access channels and credentials acquired in previous steps. Complete Mission – exfiltrate stolen data from victim's network.
- http://www.eweek.com/c/a/Security/Sony-Data-Breach-Was-Camouflaged-by-Anonymous-DDoS-Attack-807651 http://www.prosecurityzone.com/News_Detail_Ddos_attacks_being_used_to_camouflage_fraud_attacks_20690.asp http://www.corero.com/blog/555-whats-hiding-behind-that-ddos-attack.html http://www.darkreading.com/analytics/security-monitoring/large-attacks-hide-more-subtle-threats-in-ddos-data/d/d-id/1139783 http://www.telegraph.co.uk/finance/newsbysector/epic/cpw/11794521/Carphone-Warehouse-hackers-used-traffic-bombardment-smokescreen.html According to The Telegraph's article, an unnamed source with knowledge of the attack claims that the company's online retail systems were bombarded with a DDoS attack "as a cover to help them infiltrate the retailer's systems and perpetrate one of Britain’s biggest ever data thefts.“
- Зачем это нужно? Для совмещения контекста и собранных событий => развитая аналитика Для определения владельца актива Для отслеживания изменений актива Для построения топологии сети и векторов атак В конечном счете: Полнота сведений Актуальность Наглядность Оперативность (для быстрого реагирования) Какого рода аналитику получаем? Данные об уязвимостях и информация о конфигурации могут быть совмещены с данными о конфигурации сети
- Эмуляция времени для принудительного запуска вредоноса Сигнатура для DPI Анализ ссылок – эмуляция пользователя Exploit kit
- Targeted: With recourse to the definition of a Targeted Attack introduced in Section 2.2, targeted refers to attacks specifically designed for an individual (person/organization) to withstand respective protective mechanisms. Thus, the attack is not "spread in the wild", but very custom, specifically created for the target that is being attacked. At its best, this can be a malicious program created by a sophisticated attack toolkit, which is able to bypass the security mechanisms of the target. With higher capabilities of the attacker respectively defender, new and specifically designed programs and attack strategies will be generated. Immune: The term targeted is closely associated with the notion “immune”. In order to be successful with a Targeted Attack, this usually implies overcoming existing protection mechanisms. In the context of IT security, this includes bypassing systems such as intrusion detection / prevention systems (IDPS), firewalls, antivirus systems, and other protective measures. Persistent: Persistence refers to the ability to remain undetected over a long time. In this regard, one possibility is 'sleeping' malicious software. For instance, a malware (especially when realized as part of the hardware, for example as a backdoor) can be passive for many years, only enabling itself under very special conditions. One example of a targeted, persistent and immune attack is a specially prepared commercial off-the shelf (COTS) product (such as a Print/Copy/Fax machine with modified firmware), which - besides printing the documents - also sends them via fax to the attacker (after a delaying timer has expired). As modern multi-function printers typically are able to send scans via email, this capability can also be used to exfiltrate data. Resistant: The last example also introduces the concept of being resistant to new protective measures, e.g., an update of signatures (which are very common in case of IDPSs and antivirus systems). In general, resistance refers to the ability of an attack to withstand against future adverse effects (such as new or improved protective mechanisms). Camouflaged: As (with regard to the previous example) the data is transmitted by fax instead of using the data network, a detection by traditional IDPSs is rather difficult. This will especially be the case, if the information is not actively sent (i.e. telephone charges may indicate attack traces), but instead with a passive approach (e.g., the system is contacted by the attacker at night and data is transferred in the form of a "fax-demand"; therefore a pull-approach). In such a case, a detection is very difficult and the attack vector is very well camouflaged. Camouflaged corresponds to the attacker's goals to maintain long-term access in order to carry out one specific task and thus refers to the ability of "staying under the radar". Multilayered: Today, critical systems are (respectively shouldn’t be) usually not directly connected to the Internet. Often, such systems can only be reached by overcoming multiple security zones. According to the concept of perimeter security, specific policies are applied for transferring data between networks of different security levels (e.g., the transfer of data between the corporate network and the Internet). In case of high security networks, such a policy may also result in what is often referred to as “air gap”, which means, that the two networks like the Intranet and the Internet are physically separated. However, modern attack vectors have shown, that it is even possible to overcome this air gap. Since there is often still a necessity of a controlled data flow between the secured and the insecure network ("swivel chair interface"), already several examples are known in which the air gap has been overcome. The most prominent example of this is likely to be Stuxnet. There, human behaviour was (once again) the weak point to bridge the air gap, but this can also be done on a technical basis: see the recent discussion about the (theoretical) possibilities of “BadBIOS”, the use of audio modulation/demodulation presented by Hanspach et al. and the possibilities to bridge the air gap by technologies of the NSA leaked by the whistleblower Snowden. Hence, one facet of smart vectors is also that - since they cannot directly attack the target - they operate in a multilayered fashion and first target the perimeter network (the network directly connected to the Internet) and than the separated network. The example of the attack on Lockheed Martin clearly represents another example of a multilayered attack. Hackers managed to break into the network of Lockheed Martin and some other companies commissioned by the U.S. military. Instead of directly attacking Lockhead Martin (which was likely to be very difficult due to a strong protection), the attack was performed in a combined fashion. First, hackers captured information on SecurID products of crypto specialist RSA. Then in turn, this information was used to attack Lockhead Martin, since they made use of RSA products (Schneier, 2011). Novel: Using the example of Flame, another facet of Smart Attacks can be illustrated. The Flame espionage malware that infected computers in Iran achieved mathematic breakthroughs that could have been accomplished only by world-class cryptographers (Goodin, 2012). Flame uses a yet unknown MD5 chosen-prefix collision attack. Collision attacks, in which two different sources of plaintext generate identical cryptographic hashes, have long been theorized, but Flame is the first known example of an MD5 collision attack being actively used maliciously in a real-world environment. By that, the malware was able to hijack the Windows Update mechanism (fake servers on the network as well as the corresponding malware appeared to originate from Microsoft). As a consequence, this was used to distribute "patches" (= the malware) to hundreds of millions of customers. Controllable: Especially in the field of botnets, the ability of a malware to update itself is known. E.g., Zeus comes as a toolkit to build and administer a botnet. It has a control panel that is used to monitor and update patches to the botnet clients. Another example is the Trojan.Zbot that can also be updated by the attacker using the threat's back door capabilities. Complex: Smart Attacks can exploit several vulnerabilities at the same time, or can consist of multiple attack vectors. This especially doesn't mean that all vulnerabilities are exploited at once, but if one fails, there are fallback possibilities to still exploit the system or keep the malicious code running. See, e.g., the integration of multiple Zero Days in Stuxnet (Falliere, Murchu, & Chien, 2011). Sophisticated: Sophisticated threats are sophisticated in the sense that they are highly organized and have significant resources at their disposal (e.g., organized cybercrime). Interdisciplinary: The concept of interdisciplinarity is closely related to the previous dimensions. Interdisciplinary refers to the use of approaches, ways of thinking, or at least methods of different disciplines. An attack on SCADA systems for instance requires experts for the penetration of the computer network as well as those that are able to sabotage control systems of industrial plants. In addition, especially the field of Computer Network Exploitation requires an interdisciplinary approach. HUMINT, for example, is rarely conducted by IT specialists, but it is an important component of today's attacks. Therefore, social engineers can gather information from a secretary, programmers develop a special kind of attack code while service technicians install a new malicious device into the network of a company.
- Средства мониторинга и анализа. В рамках оказания услуг PT ESC активно использует собственные продукты Positive Technologies: систему оценки защищенности MaxPatrol, межсетевой экран PT Application Firewall, систему мониторинга событий безопасности MaxPatrol SIEM, модуль выявления вредоносных кодов PT Multiscanner и систему PT Network Forensics. Именно эти продукты стали ключевыми компонентами центров оперативного управления безопасностью, созданных для одного из крупнейших мировых операторов связи ОАО «Вымпелком» (2011), а также для защиты IT-инфраструктур Универсиады в Казани (2013) и зимней Олимпиады в Сочи (2014).