3. 3
3
ptsecurity.com
3
Портрет угрозы. Определение apt
• Advanced:
• Атакующий обладает максимальным спектром возможностей
• Включает, но не ограничен модифицированным вредоносным ПО и средствами
осуществления атак
• Комбинация возможностей
• Persistent:
• Атакующий действует с заданной целью
• Ключевой подход «медленно и тихо»
• Поддержание возможности возобновления доступа к атакуемой системе
• Threat:
• APT – угроза т.к. присутствует возможность и цель
• Атакующий – не программа, а человек (группа людей)
• Максимальная гибкость в выборе методов и корректировке воздействий
4. 4
4
ptsecurity.com
4
С чем боремся: apt в первую очередь не «что», а «кто»
«APT is a Who
My second job after college was working for Mandiant (Now FireEye Services as a Security
Consultant. This was a great job where I learned a ton and that was because I worked with
such a skilled team. The team that started Mandiant primarily came from the United States
Air Force Office of Special Investigations; a team that handled, among other things, some of
the first nation state level computer intrusions of the Internet era such as Solar
Sunrise, Moonlight Maze, and Titan Rain. This was a weird time, because (like today) attacks
weren’t just aimed at military targets but commercial targets as well. AFOSI, as well as other
government intelligence & defense groups, investigated using open source and classified
methods. For operational security, this leads to classified intelligence.
This classified intelligence was a problem. While the Defense Industrial Base has people with
clearances who can handle classified data, other companies, without cleared people, came
under attack as well. These DoD/IC teams wanted to help, but couldn’t disclose classified
information. They came up with a compromise: sharing indicators and information without
disclosing the actual actor behind it. Instead they just referred to the actor using a
pseudonym: The Advanced Persistent Threat. Specifically APT, supposedly coined by Colonel
Greg Rattray, was a couple groups of actors primarily operating out of mainland China and
believed to be members of the People’s Liberation Army. We now know these groups today
as APT1, Anchor Panda, and Elderwood, as well as other private designations.
APT is a term to refer to Chinese espionage without saying Chinese espionage. Full stop.» http://sroberts.github.io/2015/02/16/ap
«Термин APT был придуман
чтобы сослаться на китайский
шпионаж и не упоминать при
этом китайский шпионаж»
5. 5
5
ptsecurity.com
Как увидеть невидимое: обнаружение apt
Действия атакующего
• Подготовка к реализации угрозы
• Сбор начальной информации
• Подготовка средств
• Начальная компрометация
• Получение доступа
• Повышение привилегий
• Внутренняя разведка
• «Горизонтальное движение»
• Поддержание присутствия
• Достижение цели
• Извлечение данных
• Вывод из строя
С точки зрения атакуемого?
6. 6
6
ptsecurity.com
Как увидеть невидимое: обнаружение apt
Действия атакующего
• Подготовка к реализации угрозы
• Сбор начальной информации
• Подготовка средств
• Начальная компрометация
• Получение доступа
• Повышение привилегий
• Внутренняя разведка
• «Горизонтальное движение»
• Поддержание присутствия
• Достижение цели
• Извлечение данных
• Вывод из строя
С точки зрения атакуемого
• Действия атакующего
основаны на восприятии
атакуемой системы
• Воздействия содержат
признаки злоупотреблений
• Воздействия содержат
признаки аномалий
7. 7
7
ptsecurity.com
7
Ограничения практики реагирования на инциденты при apt
• Расследование
ограничивается
атакой
• Инцидент
прекращается для
уменьшения ущерба
• Взаимосвязь
инцидентов?
• Во времени
• В разных системах?
9. 9
9
ptsecurity.com
9
Противодействие APT: анатомия угрозы
Противодействие APT это больше чем
- обнаружение событий и построение цепочки атак
- обнаружение инцидентов
- выявление артефактов и их глубокий анализ
Это успешное решение всех вышеперечисленных задач и ответ на
вопрос – кто за всем этим стоит, чего он хочет, что может предпринять
завтра?
И подготовка к этому.
10. 10
10
ptsecurity.com
10
ptsecurity.com
AntiAPT. Стратегия защиты
«Поэтому сказано, что тот, кто знает врага и знает себя, не
окажется в опасности и в ста сражениях. Тот, кто не знает врага,
но знает себя, будет то побеждать, то проигрывать. Тот, кто не
знает ни врага, ни себя, неизбежно будет разбит в каждом
сражении.»
Сунь-цзы, «Искусство войны»
• Знать себя
• Действовать, устраняя свои слабости
• Узнать «врага»
• Не дать себя обмануть
• Не дать узнать себя «врагу»
• Заставить «врага» рассказать о своих методах и целях
11. 11
11
ptsecurity.com
11
Positive Technologies: наши возможности
• Инвентаризация, анализ уязвимостей, менеджмент инцидентов
• ((МaxPatrol 8))
• ((МaxPatrol SIEM))
• Анализ трафика, анализ ПО
• ((PT NetForensic)) – Анализ сетевого трафика
• ((PT AF)) – Application Firewall
• ((PT AI)) – Application Inspector
• Продвинутые средства противодействия новым угрозам
• ((PT Multiscaner))
• ((PT Honeypot))
• PT Expert Security Center ((PT ESC))
• Пентест и выявление уязвимостей
• Мониторинг безопасности и расследование инцидентов
• Экспертиза по угрозам и методам противодействия
• Широкий спектр исследуемых технологий (web, SCADA, мобильные приложения, ДБО)
13. 13
13
ptsecurity.com
13
Портрет жертвы apt
• Маленькая хорошо защищенная компания без критических
активов в ИТ
• Большая компания – много, критично, распределенно
• Площадки
• ИТ-Инфраструктура
• Сотрудники
• Активы, процессы, данные
• Клиенты
• Подрядчики
• ИБ
• Медленные процессы развития и реагирования (ИБ)
14. 14
14
ptsecurity.com
14
Необходимые меры: начало
• Предусловие: информационная безопасность – в порядке
• Выполнение политики ИБ
• СЗИ
• Ключевая возможность – мониторинг ресурсов и менеджмент
инцидентов
• анализ уявзимостей, автоматическое тестирование в режиме теста на
проникновение ((МaxPatrol 8))
• Учёт активов, менеджмент инцидентов ((MaxPatrol SIEM))
• Безопасность – это процесс. ((PT ESC))
• Контроль периметра и инфраструктуры
• Аудит заказного ПО
• Тесты на проникновение с анализом реакции СЗИ
16. 16
16
ptsecurity.com
16
Безопасность – в деталях
• Можем выявить ключевые события за всплеском
• Активности
• Аномальной активности?
• Сообщений СЗИ??
• Вредоносной активности, атак???
• Инцидентов?????
• Сопоставить события в «окне»
• День
• Месяц??
• Год???
• Отфильтровать, соотнести и интерпретировать события при
всплеске активности?
17. 17
17
ptsecurity.com
17
Задача анализа ((MaxPatrol SIEM))
Выходные данныеВходные данные
Данные об
активах
Сетевая
активность
События
безопасности
Уязвимости и
данные
конфигурации
Инциденты ИБ
Контроль
изменений
конфигурации
Конфигурация и
карта сети
Модель актива
Контекстные
метрики
Низкоуровневые
события
Выявление
слабых мест
21. 21
21
ptsecurity.com
((PT MultiScanner)) – возможность ретроспективы
Спустя 2 недели,
новые базы
Первичное
сканирование
- Далеко не всегда все зловреды сразу попадаются аналитикам и обнаруживаются антивирусами
- Может пройти некоторое время (бывает месяца, года) прежде чем зловреда поймают и научатся обнаруживать
- За время файл уже мог распространиться и очень важно это определить и понять зоны поражения
23. 23
23
ptsecurity.com
23
Ты знаешь, что я знаю о чём ты не знаешь?
• Уникальные знания и процессы, недоступные атакующему
• Правила в SIEM
• Обновляемая база знаний об угрозах
• Черные списки подозрительных доменов и ip
• Обмен IоC, информацией о тактике и инструментах атакующих (TTP)
• Автоматизация генерации правил реагирования и блокирования
• Упреждающее знание своих слабостей
• Обманные цели
24. 24
24
ptsecurity.com
24
ptsecurity.com
PT AppSec Suite - узнать раньше атакующего
Design
Development
Deployment
Maintenance
Upgrade
PT AI
PT AF
PT AF & PT AI
PT AF & PT AI
Генерация экспресс-патчей
для PT AF по результатам
анализа PT AI
PT Application Inspector – анализатор
исходных кодов
PT Application Firewall – решение для
защиты корпоративных приложений
26. 26
26
ptsecurity.com
26
Я слежу за тобой, %атакующий%
• Заведомо подложная цель
• Выявить аномальную активность
• Наблюдать действия атакующего
• Не вмешиваться/скрывать присутствие
• Что ищет?
• Когда и как попадает в систему?
• Куда ещё ходили в «похожее» время
• Куда ещё «ходили» с этого узла
• Выявить скомпрометированные узлы
• Собирать
• Артефакты
• Скачиваемые
• Передаваемые во вне – анализ утечки
• …
Плохо реализуемо без технических средств
((PT ESC)) Практика мониторинга и
расследования инцидентов
27. 27
27
ptsecurity.com
PT MultiScanner+Honeypot
Песочница (Sandbox/Detonation Chamber)
Защищенная изолированная среда исполнения ПО
Контролируемое окружение
Защита от детектирования
Ловушка (Honeypot)
Эмуляция уязвимых сервисов
Отправка на анализ файлов в
песочницу
Индикаторы
компрометации
Статический и динамический
анализ
Файлов, веб-сайтов на наличие зловредного поведения
Собственная среда исполнения
Поведенческий анализ ПО
Статический анализ на множественных движках АВ
Black/white/репутационные списки
Пассивный и активный сбор артефактов
Пассивный анализ передаваемых в трафике файлов, веб-ссылок с
возможностью уведомления
Активный контроль передачи опасных объектов в трафике «на лету»
Анализ почтового, веб трафика, поддержка протокола ICAP
28. 28
28
ptsecurity.com
PT MultiScanner+Honeypot
Обновления
• Обновление системы и антивирусных
баз без доступа комплекса к сети
интернет
• Загрузка обновлений с внешних
носителей
• Использование комплекса в полностью
изолированных сетях
Ретроспективный анализ
• Автоматическая ретроспективная
перепроверка ранее уже проверяемых файлов,
web-ссылок и «поведенческих профилей»
• Оповещение администраторов, пользователей
системы и внешних подключенных систем об
изменениях вердиктов
Алгоритмы машинного обучения
• Выдача вердиктов на основании алгоритмов
машинного обучения
• Определение и накопление поведенческих
профилей общих между различными
приложениями
• Выдача вердиктов на основании ранее
накопленных профилей поведения и оценки
степени их совпадения с другими приложениями
База знаний
• Накопление собственной базы знаний
по проверяемым файлам: имена, типы,
контрольные суммы, метаданные
• Накопление истории проверки файлов
• Гибкие механизмы глобального поиска
• Сопоставление вердиктов - источников
и получателей файлов
• Хранение проверяемых файлы для
повторного анализа
30. 30
30
ptsecurity.com
30
ptsecurity.com
Анатомия угрозы. Экспертный взгляд
• Прицельная и специально разработанная
• Устойчива к средствам защиты
• Персистентная – необнаружима долгое время
• Резистивная - невосприимчива к улучшению защиты
• Камуфлирована – скрытые каналы передачи данных
• Многоуровневая - сочетание векторов, целей и взаимосвязи действий
• Инновационная – уязвимости алгоритмов
• Контролируемая – канал связи даже с труднодоступными системами
• Вариативная – цели могут достигаться несколькими методами (уязвимостями)
• Сложная, изощренная, обеспеченная ресурсами
• Интердисциплинарная
31. 31
31
ptsecurity.comptsecurity.com
Инструменты apt: Moker RAT 6.10.2015
• Предоставление удаленного доступа по RDP
• Сокрытие в системе
• Cоздание нового пользователя
• Повышение привилегий
• Изменение настроек безопасности и файлов настроек
• Использование архитектурной уязвимости платформы Windows – «инновационность»
• Local Access Trojan – Получить легальный доступ по VPN, затем использовать LAT- незаметно для сетевых
СЗИ
• Сокрытие источника атаки CnC в Черногории, домен в Африке
• 2-шаговая инсталляция (Dropper+Payload)
• Противодействие СЗИ: обход антивируса и sandbox’a
• Противодействие обнаружению: обнаружение выполнения в виртуальной среде
• Инжектирование в легитимные процессы
• Набор методов усложняющих анализ
• (Self-encryption, Evading debug techniques (crashes debugging process)
• Снятие скриншотов, запись трафика, кейлоггер, извлечение данных из системы
• Практиковались множественные пути доставки
[1] http://breakin
[2] http://blog.ens
32. 32
32
ptsecurity.com
32
ptsecurity.com
Moker RAT: Рекомендации по противодействию
Примите меры к самостоятельному тушению
пожара
«…
… cуществующие меры противодействия в ОС Windows не
могут быть использованы для противодействия Moker.
… возможности противодействия:
• Блокируйте в реальном времени весь вредоносный сетевой
трафик
• Противодействуйте в реальном времени попыткам изменить
легитимные файлы
• Наблюдайте за активностью для последующего анализа
»
http://blog.ensilo.c
33. 33
33
ptsecurity.comptsecurity.com
PT Expert Security Center ((PT ESC))
• Оценка защищенности и анализ уязвимостей широкого спектра инфраструктур и
приложений, включая веб- и мобильные приложения, SCADA, ДБО, ATM и сети телекомов. Тесты на проникновение и анализ исходного кода для поиска
уязвимостей и закладок.
• Автоматизированные Сервисы ESC такие как контроль внешнего периметра (Advanced Border Control) –
непрерывно разрабатываются и поддерживаются специалистами PT и экспертами PT ESC, что позволяет получать Заказчику сервис экспертного уровня,
содержащий актуальную информацию об угрозах и состоянии своих систем с высоким уровнем масштабируемости и по приемлемой цене.
• Мониторинг и выявление инцидентов. Уникальные методики и опыт экспертов PT ESC в сочетании с
передовыми технологиями и инструментами Positive Technologies позволяют оказывать услуги по выявлению инцидентов на ранних стадиях, а использование
ретроспективного анализа дает возможность обнаружить инциденты, пропущенные штатными системами защиты, сократить возможности атакующих даже после
успешного проникновения в систему.
• Расследование инцидентов ИБ: восстановление хронологии атак, выявление затронутых активов и интересов
злоумышленников, рекомендации по ликвидации последствий и предотвращению повторения инцидентов в будущем.
• Анализ артефактов и аналитика угроз – исследование и формализация знаний о признаках возможных
инцидентов, а также консолидация информации из различных отраслей и географических регионов о методах, инструментах и целях злоумышленников.
• Консультации и исследования по ИБ. Клиенты PT ESC имеют возможность оперативно обратиться по
вопросам к ведущим экспертам по ИБ и получить ответы на свои насущные вопросы, а также оперативно получать информацию об актуальных угрозах и
резонансных уязвимостях, на которые стоит обратить внимание.
• Анализ эффективности служб и систем ИБ – проведение аудита эффективности отдельных
подсистем или службы в целом в режиме учений – лучший способ периодического контроля и проверки готовности к реальным вызовам. Доверяете аутсорсерам?
Доказано: периодические проверки улучшат их работу.
35. 35
35
ptsecurity.com
35
ptsecurity.com
Необходимые меры против apt
Успешное противодействие «стандартным» «простым» угрозам
• Постоянный мониторинг и «фильтрация шума»
• Продвинутые возможности по анализу событий
• Во времени
• Между системами/в разных доменах
• Уникальное знание, недоступное атакующему
• Анализ уязвимостей
• Знание себя: самообучение систем защиты (профилирование нормального
поведения)
• Advanced Persistent Defense
• Ловушки для атакующего
• Автоматизированные обновляемые средства постоянного анализа
• Expert-in-the-loop
• Мониторинг, реагирование, ретроспектива
• Разведка, аналитика угроз
37. 37
37
ptsecurity.com
Boston, USA
London, UK
Moscow, Russia
Rome, Italy
Tunis, Tunisia
Dubai, UAE
Seoul,
Korea
Mumbai, India
Основана 2002
400 Сотрудников
1,000+ клиентов
#1 из наиболее развивающихся
компании по анализу уязвимостей и
управлению ИБ по версии
San Paolo, Brazil
Кратко о Positive Technologies
37
38. 38
38
ptsecurity.com
Почему Positive Technologies?
Более 12 лет опыта в выявлении
уязвимостей и их оценке
200 экспертов и исследователей в области
безопасности
Выполнение 20+ глубоких оценок уровня
защищенности и 200+ процедур анализа
безопасности приложений каждый год
Опыт в реализации глобального центра
мониторинга (SOC): Олимпийские Игры
Сочи 2014 и Универсиада
Лидеры в безопасности систем SCADA, ERP
и Application Security
VULNERABILITY ALERTS
38
39. 39
39
ptsecurity.com
Исследовательский центр Positive
Одна из самых больших научно-исследовательских
лабораторий по безопасности в Европе
100+ обнаружений 0-day уязвимостей в год
150+ обнаружений 0-day уязвимостей в SCADA
30+ обнаружений 0-day уязвимостей в Telco
Наши знания используют ключевые промышленные центры
40. 40
40
ptsecurity.com
MaxPatrol™ система контроля защищенности и
соответствия стандартам
Все в одном: средство
автоматизированного
анализа
защищенности и
контроля соответствия
Точность: глубокий
анализ систем с
низким уровнем
ошибок
Гибкость:
возможность
интерпретации
требований
стандартов в простые
и инструкции
Защита сетей:
ISC/SCADA, Core
Telecom & Banking
Защита SAP: сети,
бизнес модули и SAP
Notes, SoD анализ
Исследования:
более 120
встроенных,
сгруппированных
стандартов (CIS, PT)
и возможность
создания
собственных
40
41. 41
41
ptsecurity.com
PT Application Firewall™
Автоматическая
блокировка zero-days:
адаптивные
механизмы
машинного обучения
для постоянного
контроля за
приложениями
Virtual Patch: фоновое
создание и установка
патчей
Постоянный
контроль:
автоматическая
агрегация,
классификация и
приоритезация угроз
и стадий их
реализации
Контроль процедур
обхода Firewall:
выявление атак,
включая HPC, HPP и
HTTP verb tampering
Блокировка BOT атак:
выявление brute-force
атак, попыток сбора
password lists и
блокировки служб
Исследования:
Уникальная технология
машинного обучения и
корреляции для
выявления атак в
реальном времени
41
42. 42
42
ptsecurity.com
PT Application Inspector™
Автоматическое
создание exploit:
демонстрация
эксплуатация
уязвимостей ПО
Гибкий AST:
инновационная
комбинация из SAST,
DAST и IAST;
возможность
проверки части кода
либо всего
приложения
Меньше ошибок
анализа:
фокусировка только
на уязвимости а не
на ошибки в коде
Поддержка многих
технологий: защита
приложений на PHP,
Java, .NET, SAP ABAP,
SQL и HTML/JavaScript
Полный SSDL:
проверка на
уязвимости во время
разработки, QA, после
установки или
использования ПО
Исследования: в
планах анализ
бинарных файлов и
мобильных
приложений
42
43. 43
43
ptsecurity.com
PT SIEM™
Глубина понимания,
широта охвата
Идентификация и
инвентаризация активов
активными и пассивными
механизмами
Знаем злоумышленника в
лицо
Автоматическая генерация
правил корреляции и
выявление инцидентов на
самых ранних стадиях.
Ловим реальные
инциденты
Концентрация
на сборе действительно
важной информации для
оценки состояния и
поведения активов в
любой момент
времени.
Визуализация
и упреждающее
реагирование
Построение L2-, L3-, L7-
топологии сети с
моделированием возможных
действий нарушителя,
векторов и сценариев.
Гибкость платформы
Модульная архитектура
поддерживает любые
конфигурации системы
соответствующие требованиям
заказчика. Экономия средств
при внедрении.
Легкость миграции
Безболезненный для бизнес
процессов переход с других
решений на PT SIEM
благодаря поддержке
экспертов и техническим
инновациям, заложенным в
продукт
Соответствие стандартам
Система спроектирована в России, с
учетом специфики решаемых задач и
требований регуляторов.
Реальное понимание угроз
Уникальная база знаний, 15-летний
опыт масштабных тестов на
проникновение, расследования
сложных инцидентов и экспертного
сопровождения таких крупнейших
мероприятий.
43
44. 44
44
ptsecurity.com
PT SIEM™
MaxPatrol
SIEM
Ведение информации
об активе и привязка
событий
Обнаружение
уязвимостей -
активное
сканирование по
методам черного и
белого ящиков
Анализ событий с
источников
Анализ сетевого
трафика
Сбор информации о
конфигурации и
контроль изменений
Построение
связей между
активами
44
45. 45
45
ptsecurity.com
PT SIEM™
Обнаружение
источников и
сбор событий
Агрегация и
приоритезация
Формирование
инцидентов при
обнаружении
критичных
событий
Формирование
правил корреляции
и приоритезации
событий на основе
векторов атак
Отслеживание
состояния
компонентов
системы
45
46. 46
46
ptsecurity.com
PT MultiScanner™
Комплексная и многопоточная
проверка файлов или архивов,
загруженных пользователем
непосредственно в систему
Статический и динамический
анализ Собственная среда
исполнения. Поведенческий
анализ ПО. Встроенные
статические правила.
Повторный анализ на движках
АВ объектов полученных после
запуска файла.
Защита почты
On-line проверка сообщений
на внешних и внутренних
почтовых серверах.
Периодическая проверка
хранимых почтовых архивов.
Практическая мера защиты
против социальной инженерии
с использованием зловредов.
Контроль трафика
Блокировка угрозы на лету.
Быстрые вердикты по хеш
суммам файлов.
Ретроспектива на полном
наборе АВ. Выявление ботов
во внутренней сети.
Оперативное реагирование и
расследование инцидентов.
Интеграция с SIEM
Контроль файловых
хранилищ
Выявление вредоносного ПО,
зараженных дистрибутивов и
документов. Блокировка
распространения.
Ретроспектива и выявление
угроз без пересканирования.
Защита Web-порталов
и пользователей от вредоносного
контента. Контроль утечек
информации и выявление веб-ботов.
Контроль загружаемого контента
пользователей. Блокировка ВПО.
46
47. 47
47
ptsecurity.com
47
PT ESC
• Команда PT ESC. Команда экспертного центра обеспечивает оперативное реагирование на обращения и собираемую
информацию, работает с инцидентами и координирует взаимодействие с командой PT, партнерами, производителями и
сообществом.
• Команда экспертов PT. Исследовательский центр Positive Technologies насчитывает более 150 человек и является одним из
крупнейших в Европе. Специалисты центра заслужили репутацию экспертов мирового уровня по защите важнейших
современных отраслей — веб-порталов и онлайн-банков, АСУ ТП и ERP, сетей мобильной связи и облачных технологий.
• Взаимодействие с партнерами и производителями средств ИБ –возможности компании PT в рамках технологического
партнерства получения комментариев и содействия со стороны ключевых производителей, интеграторов,
эксплуатирующих организаций информации позволяет оперативно исключать ложные срабатывания систем обеспечения,
сузить область анализа инцидента, а также существенно масштабировать объем оказываемых услуг PT ESC.
• Взаимодействие с ИБ-сообществом. Компания PT активно участвует и развивает ИБ сообщество, являясь организатором
конференции PHDays.
• Специализированные методики инструменты и сервисы. Команда PT ESC непрерывно развивает компетенции по
ключевым областям специализации в ходе выполнения работ. Существенная доля этих знаний становится доступна
потребителям в виде обновлений сигнатур, правил и эвристик для продуктов PT.
• База знаний уязвимостей и угроз, используемая в PT ESC, — одна из крупнейших в мире. Эксперты Positive Technologies
обнаружили и помогли устранять множество уязвимостей в продуктах таких компаний, как Cisco, Google, Microsoft, Oracle,
SAP, Siemens, Huawei, Schneider Electric, Honeywell. База постоянно пополняется за счёт новых исследований и
аналитических сервисов.
• Сервис PT ESC – сделано для Вас! Обеспечение ИБ – это непрерывный процесс. В рамках наших услуг мы непрерывно
отслеживаем состояние зафиксированных обращений и открытых инцидентов. Мы предлагаем гибкие возможности
подключения систем сбора информации, различные варианты обращений для получения сервиса и возможность
интеграции с вашими системами отслеживания задач.
49. 49
49
ptsecurity.com
49
ptsecurity.com
Positive Technologies
9
• Опыт работы в глобальных
инфраструктурах и сложных проектах
• Эксперты Исследовательского Центра
• Моментальное масштабирование
Большой набор компетенций:
• Сетевая и системная инфраструктура
• Бизнес, веб и мобильные приложения
• Тюнинг и эксплуатация средств защиты
• Анализ защищенности и поиск 0-day
• Расследования инцидентов и forensic
51. 51
51
ptsecurity.com
Positive унифицировал процессы ИБ
О компании:
Сфера: телекоммуникации
Известность: 10 дочерних
организаций включая
Билайн, WIND и djuice
Распространение: 18 стран
- Алжир, Канада, Италия,
СНГ
Сотрудники: 66,000
Клиенты: 215 миллионов
(6-ой оператор в мире)
Доход: USD 23.1
миллионов (2012)
NYSE: VIP
Задачи
Привести в соответствие различные ИТ системы с помощью
унифицированного решения
На всем масштабе организации
Для специального телеком оборудования
Решение
Совместное использование SOC, MaxPatrol позволило
унифицировать решения по анализу угроз и оценке
защищённости
Мониторинг сетевого оборудования Cisco, Nortel и Huawei,
серверов и рабочих станций, ОС, Oracle БД и AD
Результат
Получена возможность прозрачного контроля за сотовой
сетью, полосой пропускания и биллингом
Единый подход в 10 дочерних организациях
Упрощение выполнения требований SOX, ISO 27001 и PCI DSS
51
52. 52
52
ptsecurity.com
PT Application Firewall для телекома
О компании:
Сфера: телекоммуникации
Основные акционеры: AF
Telecom, TeliaSonera
Распространение: 83 субъекта РФ
Клиенты: 70 млн абонентов
Масштаб: 12 ключевых систем на
двух региональных площадках,
до 60 000 пользовательских
запросов в секунду
Доход: 297 миллиарда рублей
Задачи
Защита приложений, разработанных с применением
гибких методик разработки – DevOps, Agile и др.
Защита чужого, наследуемого кода
Защита клиентов от онлайн-фрода
Решение
Низкое количество ложных срабатываний
Автоматическая верификация уязвимостей (DAST)
Корреляция событий и построение цепочек атак
Выявление нетипового поведения пользователей и
приложений
Снижение затрат на обработку результатов
Результат
Своевременное обнаружение атак на веб и мобильные
приложения
Защита устаревшего ПО
Устранение уязвимостей разработки без внесения
изменений в исходный код 52
53. 53
53
ptsecurity.com
Positive помог усовершенствовать ИТ
безопасность
О компании:
Сфера: инфо-
телекоммуникационные
технологии (ICT) компании
Samsung
Клиенты: различные
организации по всему миру
Масштаб: 17,500 сотрудников
на четырех континентах
Доход: USD $5.7 миллиардов
(2012)
Задачи
Защита 5,000 узлов от современных угроз ИБ
Увеличение продуктивности ИБ подразделений
Гибкий и единый механизм контроля защищенности и
оценки соответствия
Решение
Решения MaxPatrol для аудита, оценки и контроля
соответствия
Мониторинг сети, серверов, DBMS, серверов web
приложений и оборудования Cisco
Результат
Увеличена продуктивность ИБ подразделений за счет
уменьшения ложных срабатываний систем защиты
Улучшен процесс управления уязвимостями
53
54. 54
54
ptsecurity.com
MaxPatrol усиливает ИТ защиту
О компании:
Сфера: телекоммуникации
На рынке: #1 в Корее
Клиенты: 27 миллионов,
50.3% рынка (2012)
Доход: USD
$15миллиардов (2012)
Задачи
Улучшить процесс обнаружения уязвимостей на более чем
7,500 хостах, используемых 30,000 сотрудниками
Выполнение требований законодательства Кореи в том
числе MOPAS
Автоматизация управления уязвимостями, уменьшение
ложных ошибок
Решение
MaxPatrol автоматизирует процесс управления
защищенностью примерно на 7,500 хостах
Аудит сетевых сервисов (HTTP, HTTPS, Telnet, SSH, NTP, POP3
etc.) в совокупности с IP адресами, портами и уязвимостями.
Результат
Увеличен уровень прозрачности реальных активов и их
уязвимостей
Уменьшен риск эксплуатации неизвестных ранее проблем в
ИБ
Приоритезация рисков, путем оценки и общего уровня
защищенности 54
55. 55
55
ptsecurity.com
PT AI + PT AF решение для SSDL
О компании:
Сфера: IT, финансы
На рынке: один из
мировых лидеров в
разработке ключевого
банковского ПО
Клиенты: более 300
финансовых организаций,
среди них 55 российских
банков из топ-100
Доход: 3,6 миллиарда
рублей
Задачи
Реализация политик безопасной разработки (Secure Software
Development Lifecycle, SSDL).
Автоматизация анализа исходных кодов
Устранение уязвимостей в клиентских приложениях до
исправления кода
Решение
PT AI позволяет эффективно выявлять и устранять уязвимости
на раннем этапе разработки
Проверка кода, написанного подрядчиками
Результат
Безопасная разработка собственных продуктов
Использование Diasoft Framework партнерами совместно с
PT AI
PT Application Firewall защищает приложения, развернутые у
клиентов
Ежедневная защита ПО в банках и других финансовых
организациях
55
56. 56
56
ptsecurity.com
PT Application Firewall защищает СМИ
О компании:
Сфера: СМИ
На рынке: Всероссийская
государственная
телевизионная и
радиовещательная
компания
Клиенты: более 80
телеканалов и
телерадиокомпаний
Аудитория интернет
вещания: более 300 млн
человек в год на десятках
сайтов в том числе и с
потоковым вещанием
Задачи
Защита более 20 веб-приложений, реализованных с
помощью разных технологий от атак злоумышленников
Фокусировка на действительно важных событиях
Работа под высокой нагрузкой
Защита в режиме реального времени
Решение
Интеллектуальные механизмы PT Application Firewall снизили
нагрузку на операторов защиты.
Концентрация внимания ИБ-экспертов ВГТРК на самых
важных происшествиях
Интеграрация с SIEM для централизованной обработки
событий в рамках корпоративного Центра управления
безопасностью (SOC).
Результат
PT AF обнаружил серьезные атаки на 13 веб-сайтов
медиахолдинга. Злоумышленники пытались проникнуть во
внутреннюю сеть компании.
Предотвратил атаку, грозившую утечкой большого объема
конфиденциальных данных 56
Advanced: Operators behind the threat have a full spectrum of intelligence-gathering techniques at their disposal. These may include computer intrusion technologies and techniques, but also extend to conventional intelligence-gathering techniques, such as telephone-interception technologies, satellite imaging and Human Intelligence (HUMINT) capabilities. While individual components of the attack may not be classed as particularly “advanced” (e.g., malware components generated from commonly available do-it-yourself malware construction kits, or the use of procured exploit materials), their operators can typically access and develop more advanced tools if required. They often combine multiple targeting methods, tools, and techniques in order to reach and compromise their target and maintain access to it. Operators may also demonstrate a deliberate focus on operational security that differentiates them from “less advanced” threats
Persistent: Operators give priority to a specific task, rather than seeking for financial or other gain. This distinction implies that the attackers are guided by external entities. Targeting is conducted through continuous monitoring and interaction in order to achieve the defined objectives. This does not mean a barrage of constant attacks and malware updates. In fact, a “low-and-slow” approach is usually more successful. If the operator loses access to their target they usually will reattempt access, and most often, successfully. One of the operator's goals is to maintain long-term access to the target, in contrast to threats that only need access to execute a specific task.
Threat: APTs are a threat, because they have both, capability and intent. APT attacks are executed by coordinated, considered human actions, rather than by mindless and automated pieces of code. Operators have a specific objective and are highly skilled, motivated, organized and well-funded.
Initial compromise – performed by use of social engineering and spear phishing, over email, using zero-day viruses. Another popular infection method was planting malware on a website that the victim employees will be likely to visit.
Establish Foothold – plant remote administration software in victim's network, create network backdoors and tunnels allowing stealth access to its infrastructure.
Escalate Privileges – use exploits and password cracking to acquire administrator privileges over victim's computer and possibly expand it to Windows domain administrator accounts.
Internal Reconnaissance – collect information on surrounding infrastructure, trust relationships, Windows domain structure.
Move Laterally – expand control to other workstations, servers and infrastructure elements and perform data harvesting on them.
Maintain Presence – ensure continued control over access channels and credentials acquired in previous steps.
Complete Mission – exfiltrate stolen data from victim's network.
Initial compromise – performed by use of social engineering and spear phishing, over email, using zero-day viruses. Another popular infection method was planting malware on a website that the victim employees will be likely to visit.
Establish Foothold – plant remote administration software in victim's network, create network backdoors and tunnels allowing stealth access to its infrastructure.
Escalate Privileges – use exploits and password cracking to acquire administrator privileges over victim's computer and possibly expand it to Windows domain administrator accounts.
Internal Reconnaissance – collect information on surrounding infrastructure, trust relationships, Windows domain structure.
Move Laterally – expand control to other workstations, servers and infrastructure elements and perform data harvesting on them.
Maintain Presence – ensure continued control over access channels and credentials acquired in previous steps.
Complete Mission – exfiltrate stolen data from victim's network.
http://www.eweek.com/c/a/Security/Sony-Data-Breach-Was-Camouflaged-by-Anonymous-DDoS-Attack-807651
http://www.prosecurityzone.com/News_Detail_Ddos_attacks_being_used_to_camouflage_fraud_attacks_20690.asp
http://www.corero.com/blog/555-whats-hiding-behind-that-ddos-attack.html
http://www.darkreading.com/analytics/security-monitoring/large-attacks-hide-more-subtle-threats-in-ddos-data/d/d-id/1139783
http://www.telegraph.co.uk/finance/newsbysector/epic/cpw/11794521/Carphone-Warehouse-hackers-used-traffic-bombardment-smokescreen.html
According to The Telegraph's article, an unnamed source with knowledge of the attack claims that the company's online retail systems were bombarded with a DDoS attack "as a cover to help them infiltrate the retailer's systems and perpetrate one of Britain’s biggest ever data thefts.“
Зачем это нужно?
Для совмещения контекста и собранных событий => развитая аналитика
Для определения владельца актива
Для отслеживания изменений актива
Для построения топологии сети и векторов атак
В конечном счете:
Полнота сведений
Актуальность
Наглядность
Оперативность (для быстрого реагирования)
Какого рода аналитику получаем?
Данные об уязвимостях и информация о конфигурации могут быть совмещены с данными о конфигурации сети
Эмуляция времени для принудительного запуска вредоноса
Сигнатура для DPI
Анализ ссылок – эмуляция пользователя
Exploit kit
Targeted: With recourse to the definition of a Targeted Attack introduced in Section 2.2, targeted refers to attacks specifically designed for an individual (person/organization) to withstand respective protective mechanisms. Thus, the attack is not "spread in the wild", but very custom, specifically created for the target that is being attacked. At its best, this can be a malicious program created by a sophisticated attack toolkit, which is able to bypass the security mechanisms of the target. With higher capabilities of the attacker respectively defender, new and specifically designed programs and attack strategies will be generated.
Immune: The term targeted is closely associated with the notion “immune”. In order to be successful with a Targeted Attack, this usually implies overcoming existing protection mechanisms. In the context of IT security, this includes bypassing systems such as intrusion detection / prevention systems (IDPS), firewalls, antivirus systems, and other protective measures.
Persistent: Persistence refers to the ability to remain undetected over a long time. In this regard, one possibility is 'sleeping' malicious software. For instance, a malware (especially when realized as part of the hardware, for example as a backdoor) can be passive for many years, only enabling itself under very special conditions. One example of a targeted, persistent and immune attack is a specially prepared commercial off-the shelf (COTS) product (such as a Print/Copy/Fax machine with modified firmware), which - besides printing the documents - also sends them via fax to the attacker (after a delaying timer has expired). As modern multi-function printers typically are able to send scans via email, this capability can also be used to exfiltrate data.
Resistant: The last example also introduces the concept of being resistant to new protective measures, e.g., an update of signatures (which are very common in case of IDPSs and antivirus systems). In general, resistance refers to the ability of an attack to withstand against future adverse effects (such as new or improved protective mechanisms).
Camouflaged: As (with regard to the previous example) the data is transmitted by fax instead of using the data network, a detection by traditional IDPSs is rather difficult. This will especially be the case, if the information is not actively sent (i.e. telephone charges may indicate attack traces), but instead with a passive approach (e.g., the system is contacted by the attacker at night and data is transferred in the form of a "fax-demand"; therefore a pull-approach). In such a case, a detection is very difficult and the attack vector is very well camouflaged. Camouflaged corresponds to the attacker's goals to maintain long-term access in order to carry out one specific task and thus refers to the ability of "staying under the radar".
Multilayered: Today, critical systems are (respectively shouldn’t be) usually not directly connected to the Internet. Often, such systems can only be reached by overcoming multiple security zones. According to the concept of perimeter security, specific policies are applied for transferring data between networks of different security levels (e.g., the transfer of data between the corporate network and the Internet). In case of high security networks, such a policy may also result in what is often referred to as “air gap”, which means, that the two networks like the Intranet and the Internet are physically separated. However, modern attack vectors have shown, that it is even possible to overcome this air gap. Since there is often still a necessity of a controlled data flow between the secured and the insecure network ("swivel chair interface"), already several examples are known in which the air gap has been overcome. The most prominent example of this is likely to be Stuxnet. There, human behaviour was (once again) the weak point to bridge the air gap, but this can also be done on a technical basis: see the recent discussion about the (theoretical) possibilities of “BadBIOS”, the use of audio modulation/demodulation presented by Hanspach et al. and the possibilities to bridge the air gap by technologies of the NSA leaked by the whistleblower Snowden. Hence, one facet of smart vectors is also that - since they cannot directly attack the target - they operate in a multilayered fashion and first target the perimeter network (the network directly connected to the Internet) and than the separated network. The example of the attack on Lockheed Martin clearly represents another example of a multilayered attack. Hackers managed to break into the network of Lockheed Martin and some other companies commissioned by the U.S. military. Instead of directly attacking Lockhead Martin (which was likely to be very difficult due to a strong protection), the attack was performed in a combined fashion. First, hackers captured information on SecurID products of crypto specialist RSA. Then in turn, this information was used to attack Lockhead Martin, since they made use of RSA products (Schneier, 2011).
Novel: Using the example of Flame, another facet of Smart Attacks can be illustrated. The Flame espionage malware that infected computers in Iran achieved mathematic breakthroughs that could have been accomplished only by world-class cryptographers (Goodin, 2012). Flame uses a yet unknown MD5 chosen-prefix collision attack. Collision attacks, in which two different sources of plaintext generate identical cryptographic hashes, have long been theorized, but Flame is the first known example of an MD5 collision attack being actively used maliciously in a real-world environment. By that, the malware was able to hijack the Windows Update mechanism (fake servers on the network as well as the corresponding malware appeared to originate from Microsoft). As a consequence, this was used to distribute "patches" (= the malware) to hundreds of millions of customers.
Controllable: Especially in the field of botnets, the ability of a malware to update itself is known. E.g., Zeus comes as a toolkit to build and administer a botnet. It has a control panel that is used to monitor and update patches to the botnet clients. Another example is the Trojan.Zbot that can also be updated by the attacker using the threat's back door capabilities.
Complex: Smart Attacks can exploit several vulnerabilities at the same time, or can consist of multiple attack vectors. This especially doesn't mean that all vulnerabilities are exploited at once, but if one fails, there are fallback possibilities to still exploit the system or keep the malicious code running. See, e.g., the integration of multiple Zero Days in Stuxnet (Falliere, Murchu, & Chien, 2011).
Sophisticated: Sophisticated threats are sophisticated in the sense that they are highly organized and have significant resources at their disposal (e.g., organized cybercrime).
Interdisciplinary: The concept of interdisciplinarity is closely related to the previous dimensions. Interdisciplinary refers to the use of approaches, ways of thinking, or at least methods of different disciplines. An attack on SCADA systems for instance requires experts for the penetration of the computer network as well as those that are able to sabotage control systems of industrial plants. In addition, especially the field of Computer Network Exploitation requires an interdisciplinary approach. HUMINT, for example, is rarely conducted by IT specialists, but it is an important component of today's attacks. Therefore, social engineers can gather information from a secretary, programmers develop a special kind of attack code while service technicians install a new malicious device into the network of a company.
Средства мониторинга и анализа. В рамках оказания услуг PT ESC активно использует собственные продукты Positive Technologies: систему оценки защищенности MaxPatrol, межсетевой экран PT Application Firewall, систему мониторинга событий безопасности MaxPatrol SIEM, модуль выявления вредоносных кодов PT Multiscanner и систему PT Network Forensics. Именно эти продукты стали ключевыми компонентами центров оперативного управления безопасностью, созданных для одного из крупнейших мировых операторов связи ОАО «Вымпелком» (2011), а также для защиты IT-инфраструктур Универсиады в Казани (2013) и зимней Олимпиады в Сочи (2014).