br20 - cloud security: capture growing budgets and make it rain … › c › dam › m › ru_ru...
TRANSCRIPT
![Page 1: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/1.jpg)
Cisco Connect Москва, 2017
Цифровизация: здесь и сейчас
![Page 2: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/2.jpg)
![Page 3: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/3.jpg)
Защита и контроль приложений
Назим Латыпаев
Technical Solutions Architect
© 2017 Cisco and/or its affiliates. All rights reserved.
![Page 4: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/4.jpg)
Организационные вопросы
1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,
предложенные опросники, после каждой сессии!
2. Пожалуйста, помните, что в зале вэйпить запрещено!
3. Пожалуйста, переведите ваши мобильные телефоны в
беззвучный или вибро режим!
4. Пожалуйста, используйте мусорные ведра!
5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
![Page 5: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/5.jpg)
Как хакер проводит разведку вашей сети?
![Page 6: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/6.jpg)
Красивая приманка
![Page 7: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/7.jpg)
Не только через почту, но и через соцсети
![Page 8: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/8.jpg)
Что такое убийственная цепочка?
![Page 9: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/9.jpg)
1. Разведка Сбор информации для
создания стратегии атаки
и инструментов для атаки
2. Вооружение Объединение эксплоита с
уязвимостью в
запускаемый код
3. Доставка Доставка бандла жертве
через email, web, USB и
т.д.
4. Эксплуатация Эксплуатация уязвимости
для выполнения кода на
системе жертвы
5. Инсталляция Установка malware на
компьютере жертвы
6. Command & Control Командный канал для
удаленной манипуляции
системой жертвы
7. Действия по цели С полным доступом к системе нарушитель достигает своей
цели
Подготовка Вторжение Активная брешь
Цепочка атаки “Kill Chain”
![Page 10: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/10.jpg)
Какой ресурс более доверенный?
BRKSEC-2444 10
hxxp://google.com
hxxp://llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch.co.uk
![Page 11: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/11.jpg)
Какой ресурс более доверенный?
BRKSEC-2444 11
hxxp://google.com
Обычно используется злоумышленниками
hxxp://llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch.co.uk
Всего лишь ресурс посвященный деревни в Великобритании
![Page 12: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/12.jpg)
Индивидуальное шифрование
для каждой цели
Маркировка уже
зашифрованных систем
Использование биткойнов для анонимных платежей
Установка крайних сроков:
1. Для увеличения выкупа
2. Для удаления ключа
шифрования
Инновации программ-вымогателей
![Page 13: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/13.jpg)
Самораспространение • Использование уязвимостей в широко
распространенных продуктах
• Репликация на все доступные накопители
• Заражение файлов
• Базовые функции для атак методом подбора
• Устойчивость управления и контроля, в т.ч. полное отсутствие инфраструктуры контроля и управления
• Использование уже имеющегося в системе ВПО
Программы-вымогатели второго поколения
Модульность • Распространение через файлы автозапуска и USB-
накопители большой емкости
• Эксплойты в инфраструктуре аутентификации
• Сложные системы управления, контроля и отчетности
• Ограничители потребления системных ресурсов
• Фильтрация целевых адресов для заражения (RFC 1918)
![Page 14: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/14.jpg)
Эволюция вариантов вымогателей Стечение обстоятельств – легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить выкуп шантажистам
PC Cyborg
2001
GPCoder
2005 2012 2013 2014
Fake Antivirus
2006
Первый
коммерческий
смартфон
Android
2007
QiaoZhaz
2008 1989 2015 2016
CRYZIP
Redplus
Bitcoin сеть запущена
Reveton Ransomlock
Dirty Decrypt Cryptorbit Cryptographic Locker Urausy
Cryptolocker
CryptoDefense Koler Kovter Simplelock Cokri CBT-Locker TorrentLocker Virlock CoinVault Svpeng
TeslaCrypt
Virlock Lockdroid Reveton
Tox Cryptvault DMALock Chimera Hidden Tear Lockscreen Teslacrypt 2.0
Cryptowall
SamSam
Locky
Cerber Radamant Hydracrypt Rokku Jigsaw Powerware
73V3N Keranger Petya Teslacrypt 3.0 Teslacrypt 4.0 Teslacrypt 4.1
![Page 15: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/15.jpg)
Уязвимая инфраструктура используется оперативно и широко
Рост атак на 221 процент на WordPress
![Page 16: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/16.jpg)
![Page 17: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/17.jpg)
![Page 18: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/18.jpg)
• Threat intelligence – Накапливать и использовать знания о существующих зловредах и векторах взаимодействия
• Безопасность E-mail – Блокировать вложения и линки зловредов
• Web Безопасность – Блокировать Веб сессии к зараженным ресурсам и файлам
• Безопасность DNS – Прервать общение с C&C (управление)
Что нужно для прерывания убийственной цепочки (Kill Chain)
DNS
• Безопасность конечных пользователей – Инспектировать файлы на наличие зловредов, отправлять их в карантин и удалять
• Сегментация инфраструктуры - Проверять доступ, разделять трафик по ролям или политикам
• Предотвращение вторжений- Блокировать атаки, сбор и использование данных
• Контролировать коммуникации инфраструктуры – определять и сообщать об анамалиях
![Page 19: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/19.jpg)
Возможности для борьбы с убийственной цепочкой (Kill Chain)
Разведка Вооружение
ЦЕЛЬ
C&C Действия
по цели
ВЗЛОМ
Доставка Эксплуа
тация Инсталляция
КОМПРОМЕНТАЦИЯ
Защита инфраструктуры
End–to–End
NGIPS
NGFW
Flow Analytics
Network Anti-
Malware
NGIPS
NGFW
Host Anti-
Malware
DNS DNS Security
Web Security
Email Security
NGIPS
DNS DNS Security
Web Security
NGIPS
Threat Intelligence
![Page 20: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/20.jpg)
DNS: слепая зона для безопасности
91,3% Вредоносного ПО
использует DNS
68% Организаций не
мониторят его
Популярный протокол, который используют злоумышленники для управления, утечки данных и
перенаправления трафика
![Page 21: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/21.jpg)
Что еще было выявлено?
• Адресное пространство заказчика
входит в блок-списки третьих
сторон по спаму и вредоносному
ПО
• Адресное пространство заказчиков
маркировано для известных
серверов внешнего управления
Zeus и Palevo
• Активные кампании вредоносного
ПО, в том числе CTB-Locker, Angler
и DarkHotel
• Подозрительные действия,
включая использование сети Tor,
автоматическое перенаправление
электронной почты и онлайн-
преобразование документов
• Повсеместное туннелирование
DNS на домены,
зарегистрированные в Китае
• «Тайпсквоттинг» DNS
• Внутренние клиенты, обходящие
доверенную инфраструктуру DNS
клиента
![Page 22: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/22.jpg)
ИМЯ DNS IP NO C&C TOR ОПЛАТА
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNS
Шифрование C&C Шантаж
Какие протоколы используют вымогатели?
![Page 23: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/23.jpg)
Первые шаги, Cisco OpenDNS
![Page 24: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/24.jpg)
Где находится Umbrella? Malware
C2 Callbacks
Phishing
Центральный
Офис
Sandbox
NGFW
Proxy
Netflow
AV AV
Филиал
Router/UTM
AV AV
Роуминг
AV
Первая
линия
Сеть и хосты
Сеть и хосты
Хосты
Всё начинается с DNS
Предшествует открытию файлов и установлению IP соединения
Используется всеми устройствами
Независимо от порта
![Page 25: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/25.jpg)
UMBRELLA Сервисы защиты Сервис сетевой безопасности Защита любого устройства везде
INVESTIGATE Интеллект Обнаружение и прогнозирование атак перед их началом
Продукты и технологии
![Page 26: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/26.jpg)
Новый уровень защиты от угроз
UMBRELLA
Предотвращение угроз Не только обнаружение угроз
Встроенные и настраиваемые API интеграции Не требует профессионального сервиса для настройки
Защита внутри и снаружи сети Не ограничивается устройствами отсылающими трафик на устройства защиты внутри сети
Всегда актуально Не требуется подключение VPN к офисной сети для обновлений
Блокировка по домену на всех портах Не только адреса и домены только по портам 80/443
![Page 27: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/27.jpg)
Единый источник коррелированной информации
INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и геораспределение
База пассивной инф. DNS
Вендоры конкуренты
Not available
Not available
Not available
![Page 28: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/28.jpg)
Интеграция для усиления имеющейся защиты Блокировка вредоносных доменов из системы партнера или собственных систем
Umbrella
Ваш текущий набор решений ИБ
Appliance-based detection + Другие
Threat intelligence platform + Другие
AMP Threat Grid Threat analysis feed + Другие
Python Script Bro IPS Custom integrations + Другие
IOCs
![Page 29: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/29.jpg)
Где находится OpenDNS в KillChain
RECON STAGE
ЦЕЛЬ
CALLBACK PERSIST
ВЗЛОМ
LAUNCH EXPLOIT INSTALL (often w/callback)
КОМПРОМЕТАЦИЯ
ДАЛЬНЕЙШЕЕ РАСПРОСТРАНЕНИЕ
ВРЕДОНОС Exploit Kit или Свой код
Известная или Zero-Day уязвимость
Жестко забитые или DGA отзвоны
Порты и протоколы связи
АТАКУЮЩИЙ Инструменты, Тактика и процедуры
Индустрии и целеполагание
Мотивация и связи
Языки и Регионы
Инфраструктура Сети развертывания (и ASNы)
Сервера инфр-ры ( и DNS )
Выделенное IP поле
Регистрация (и Flux) Домены
НАБЛЮДАЕМЫЕ ЭЛЕМЕНТЫ
УБИЙСТВЕННАЯ ЦЕПОЧКА
![Page 30: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/30.jpg)
Статистическое моделирование
Виновен по поведению
Модель совместных запросов
Геолокационная модель
Модель индекса безопасности
Виновен по связям
Модель предсказуемого IP сегмента
Корреляция DNS и WHOIS данных
Шаблон виновности
Модель всплесков активности
Модель оценки языкового шаблона (NLP)
Обнаружение DGA
2M+ событий в секунду
11B+ исторических событий
![Page 31: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/31.jpg)
Модель совместных запросов Домены виновные по модели связанных вызовов
a.com b.com c.com x.com d.com e.com f.com
Время - Время +
Совместное появление доменов означает что статистически значимое
количество хостов запросило оба домена одновременно в короткий
промежуток времени
Возможно вредоносный домен Возможно вредоносный домен
Известный вредоносный домен
![Page 32: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/32.jpg)
Модель всплесков активности Шаблоны виновности
y.com
ДНИ
DN
S З
АП
РО
СЫ
Огромное
количество
запросов DNS
собирается и
анализируется
Объем запросов DNS соответствует
известному шаблону, характерному для
exploit kit и предсказывает будущие атаки
DGA MALWARE EXPLOIT KIT PHISHING
y.com заблокирован до
того как атака началась
![Page 33: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/33.jpg)
155.12.144. 25
179.67.73.66
72.78.28.73
Мониторинг предсказуемого IP сегмента Виновен по ассоциации
Обнаруживает подозрительные домены, и изучает их IP отпечатки
Идентифицирует другие IP (хостящиеся на том же сервере) которые имеют схожие отпечатки
Блокируем эти IP и их ассоциированные домены
DOMAIN
209.67.132.176
![Page 34: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/34.jpg)
IP ГЕО-локационный анализ
ХОСТ ИНФРАСТРУКТУРА Расположение сервера
IP адреса связанные с
доменом
Хостится в более чем 28+ странах
DNS ЗАПРАШИВАЮЩИЕ ХОСТЫ Расположение сетевые и вне сети
IP адреса запрашивающих домен
Только заказчики из US связываются с .RU TLD
![Page 35: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/35.jpg)
Модель языкового моделирования (NLPRank) Идентификация вредоносных доменов и направленных C2 или фишинговых доменов
Читаем APT отчет Шаблоны в доменах используемых для
атаки
Проверили данные и подтвердили
опасения
Построили модель и продолжаем
подстройку
Подлог домена использован для спуфинга
Частые имена брендов и слово “update”
Примеры: update-java[.]net adobe-update[.]net
Словарные слова и имена компаний слитно
Измененные строчные буквы # на символы для сокрытия
Домены хостятся на ASNах не ассоциированных с компанией
Изменённые отпечатки WEB страниц
Обнаружение доменов для фрода:
1inkedin.net
linkedin.com
1 2 3 4
NLP = natural language processing
![Page 36: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/36.jpg)
Обнаружение алгоритмов генерации доменов DGA Domain Generation Algorithms: техника избежания задания статичных имен доменов в вредоносе
yfrscsddkkdl.com
qgmcgoqeasgommee.org
iyyxtyxdeypk.com
diiqngijkpop.ru
Анализ энтропии
Не выглядит ли распределение
символов случайным?
“N-gram” анализ
Соответствуют ли наборы рядом
стоящих символов языковому шаблону?
![Page 37: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/37.jpg)
Cisco Email Security
![Page 38: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/38.jpg)
Защита от угроз Cisco Email Полная защита от угроз
Cisco® Talos Репутационная фильтрация SenderBase
Антиспам
Outbreak Filters
Анализ URL в реальном времени
Drop
Drop/Quarantine
Антивирус Drop/Quarantine
Advanced Malware Protection (AMP) Drop/Quarantine
Quarantine/Rewrite
Deliver Quarantine Rewrite URLs Drop
Обнаружение Graymail Rewrite
![Page 39: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/39.jpg)
Защита от malware нулевого дня Advanced Malware Protection
Outbreak Filters Advanced Malware Protection
Репутация файлов
Известная репутация
«песочница»
Неизвестные файлы загружаются в песочницу (archived, Windows PE, PDF, MS Office)
Cisco® AMP
интеграция
Обновление репутации
![Page 40: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/40.jpg)
Cisco AMP сетевых устройств, AMP4E
![Page 41: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/41.jpg)
AMP
Threat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OS
CentOS, Red Hat
Linux
AMP on Web & Email Security Appliances AMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat Grid Malware Analysis + Threat Intelligence
Engine
AMP on ISR with Firepower Services
AMP Везде
AMP for Endpoints
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be
launched from AnyConnect
![Page 42: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/42.jpg)
Cisco AMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасность Точечное обнаружение
Непрерывная и постоянна защита Репутация файла и анализ его поведения
![Page 43: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/43.jpg)
Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств
![Page 44: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/44.jpg)
Cisco AMP обеспечивает ретроспективную защиту
Траектория Поведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек
атак
![Page 45: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/45.jpg)
Контроль по типам файлов
![Page 46: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/46.jpg)
Сетевая траектория – Отслежвание NGIPS с FireAMP
Отслеживание отправителей
/ получателей в континиуме
атаки
Файловая диспозиция изменилась на MALWARE История распространения
файла
Детали
хоста
![Page 47: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/47.jpg)
Описание собственных приложений
Приложения могут быть описаны шаблонами:
• ASCII
• HEX
• PCAP-файл
• OpenAppID (NEW!)
![Page 48: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/48.jpg)
OpenAppID Интеграция
Сила Open Source приходит к безопасности уровня
приложений
• Создавайте, обменивайтесь и применяйте
собственные правила обнаружения приложений
• Отдайте контроль в руки клиентов и большого
сообщества ИБ
• Групповая разработка в рамках сообщества
ускоряет создание сигнатур обнаружения и
контроля
Что такое OpenAppID ?
• Open-Source язык: специализированный на обнаружение приложений
• > 2500 детекторов привнесено Cisco
• > 20,000 загрузок пакетов детекторов с прошлого Сентября
• Поддерживается со стороны Snort сообщества
• Простой язык
• Уменьшенная зависимость от производителя и его релизов
• Пишется с использованием скриптового языка Lua
Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям
создавать, обмениваться и внедрять собственное обнаружение приложений.
![Page 49: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/49.jpg)
Cisco CloudLock
![Page 50: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/50.jpg)
Куда все движутся?..
![Page 51: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/51.jpg)
Десктопы Бизнес-приложения
Критическая инфраструктура
Пора выйти за пределы периметра
![Page 52: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/52.jpg)
Корпоративная инфраструктура (AWS, Azure, Force.com)
Бизнес-приложения (Salesforce, Box, DocuSign, и т.д.)
Дистанционные пользователи
Филиалы
Десктопы Бизнес-приложения
Критическая инфраструктура
К удаленной работе
![Page 53: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/53.jpg)
Согласно оценкам Гартнер к 2018:
25% корпоративного трафика будет миновать периметр ИБ.
![Page 54: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/54.jpg)
75% это не 100%
![Page 55: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/55.jpg)
Что происходит в облаках?
![Page 56: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/56.jpg)
Не забыть про облака
Корпоративная инфраструктура (AWS, Azure, Force.com)
Бизнес-приложения (Salesforce, Office365, Box и т.д.)
Дистанционные пользователи
Филиалы
Десктопы Бизнес-приложения
Критическая инфраструктура
![Page 57: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/57.jpg)
Объединяя ИБ из облака и для облака
DDoS
ASAv
OpenDNS
Stealthwatch
Cloud License
AMP
Безопасность из облака
Безопасность для облака
CWS
OpenDNS
Umbrella AMP
Cisco Defense
Orchestrator
Cognitive Threat
Analytics
Active Threat
Analytics
Hosted Identity
Service
Cloud consumption
services NGIPSv
NGFWv
CSRv
Cloud Email Security
![Page 58: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/58.jpg)
![Page 59: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/59.jpg)
CloudLock обеспечивает видимость и контроль защищаемых облачных приложений и инфраструктуры.
![Page 60: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/60.jpg)
Что такое CASB? (Cloud Access Security Broker)
Утечки данных Защита данных и соответствие требованиям
Риски теневых ИТ и приложений Контроль и видимость приложений
Скомпрометирован-ные учетные записи и внутренние угрозы Защита от угроз и UEBA
Приложения Учетные записи
Данные
![Page 61: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/61.jpg)
Technology for Information Security in 2016
CASB Cloud Access Security Broker
1 #
![Page 62: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/62.jpg)
Технологии CloudLock CASB
Защита применения
бизнес-приложений в
облаках
CASB для
SaaS
Защита критической
инфраструктуры в
облаках
CASB для
IaaS/PaaS
![Page 63: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/63.jpg)
Cisco AnyConnect
![Page 64: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/64.jpg)
Модуль сетевой видимости
Расширенный контекст об
активностях устройства
Коллектор и
системы отчетов
Расширяет сбор данных об устройстве
информацией о сетевой активности приложений/пользователей
Аналитика Аудит Наблюдаемость
. . .
![Page 65: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/65.jpg)
Модуль ‘Visibility’ для Anyconnect – обнаружение приложений
Cisco Anyconnect with
‘Network Visibility’ module
IPFIX/NetFlow
Collector
КСПД Public
Visibility in to process, process hash, URLs, and more
Context for Network Behavioral Analysis
Control run-time applications via ’Posture Policies’
Asset Visibility
![Page 66: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/66.jpg)
AMP коннектор расширяет защиту от malware
Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP)
Обеспечивает защиту конечного устройства до туннелирования трафика в сеть
Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения
Больше защиты
Windows/MAC Mobile
Мобильное устройство
![Page 67: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/67.jpg)
AnyConnect и OpenDNS модуль
![Page 68: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/68.jpg)
Обучение сотрудников
![Page 69: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/69.jpg)
![Page 70: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/70.jpg)
Инфраструктура
![Page 71: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/71.jpg)
The A.S. не The A.I.
![Page 72: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/72.jpg)
The A.S. не The A.I.Инфраструктура
![Page 73: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/73.jpg)
“Всегда стройте защиту своей инфраструктуры так, как будто человек, который будет ей управлять после Вас, является жестоким психопатом, знающим где Вы живёте”
BRKSEC-3303 74
Неизвестная девушка или парень @9GAG
![Page 74: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/74.jpg)
Неутомимые Неослабевающие
![Page 75: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/75.jpg)
Выводы • Комплексная интегрированная архитектура безопасности Cisco помогает снизить время
расследования инцидентов и увидеть невидимое.
• Методики глубокой интеграции средств защиты дают возможность эффективного автоматического обмена контекстом и событиями, что дает:
• Обогащение контекстом событий для расследования;
• Снижения ложных срабатываний ввиду лучшей видимости;
• Автоматической зонтичной защиты сети в периметре и за ее пределами;
• Предоставит эффективный План B, ретроспективную безопасность;
• Каждая организация БУДЕТ страдать от взломов.
7
7
![Page 76: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/76.jpg)
Запомните этот адрес:
dcloud.cisco.com
![Page 77: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/77.jpg)
Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
[email protected] или своему менеджеру
Cisco для организации встречи для более
глубокого обсуждения ваших потребностей
и того, как мы можем их удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию: • dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после семинара?
![Page 78: BR20 - Cloud Security: Capture Growing Budgets and Make it Rain … › c › dam › m › ru_ru › training-events › 2017 › c… · Доставка Доставка бандла](https://reader033.vdocuments.us/reader033/viewer/2022060416/5f13babe5eb6777588357a72/html5/thumbnails/78.jpg)
#CiscoConnectRu #CiscoConnectRu
Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410 www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia