udobna vožnja kroz mrežnisaobraćaj uz vectra(ai) · 2019-10-10 · put kompromitovanja Širenje...
TRANSCRIPT
Udobna vožnja kroz mrežni saobraćaj uz Vectra(AI)
Jasna Miletić
Put unapređenja security-a u enterprise
okruženjima
Antivirus & endpoint security
• Sophos
• Trend Micro
• Checkpoint
• McAffee
Firewall & network security
• Check Point
• Fortinet
• F5
• Trend Micro
Log collection & SIEM
• ArcSight
• McAfee
• Vmware Log/Network Insight
Human risk (IAM & PAM)
• WALLIX
• CyberArk
• Okta
APT and zero-day protection
• Checkpoint
• Trend Micro
• Threat Intelligencesubscriptions
AI-baseddetection
and reaction automation
Vozimo se u začaranom krugu
Put kompromitovanja
Širenje
na druge
sisteme
Inicijalni
napad
Učvrstiti
prisutnost i
učenje
Sken
lokalne
mreže
Sken
domena
Lociranje
ključnih
tačaka
Kompro-
mitovanje
DC-a
Ulaz u
data
centar
Istraživanje
data centra
Izvlačenje
podataka
IDS/IPS
● Dobar alat za detekciju
poznatih pretnji
● Nekoliko 1000 signatura
● Mnoge signature su po
defaultu ugašene
● Zahteva redovan pregled
novih signatura
● Nemogućnost detekcije
zero-day napada
Detekcija nepoznatih pretnji
Vidljivost
Tačnost detekcije (nizak false positive)
Uvid u ceo tok napada
IDSBaziran na signaturama
Nemogućnost
detekcije novih pretnji
Tačnost
Netflow
● Dobar alat za statistiku i
detekciju izvesnih pretnji
● Nepotpuna vidljivost (L3-L4)
● Najčešće se koristi kada je
već poznato da se odigrao
napad
● Velika količina logova
Detekcija nepoznatih pretnji
Vidljivost
Tačnost detekcije (nizak false positive)
Uvid u ceo tok napada
IDSBaziran na signaturama
Nemogućnost
detekcije novih pretnji
Tačnost
Mogućnost detekcije anomalija
Previše logova, previše false
positiva
NetFlow
SIEM
● Moćan alat za detekciju
napada duž sistema – daje
celokupnu sliku
● Kompleksan za
konfiguraciju
● Opasnost od prevelikog
broja alarma
● Veliko angažovanje
inženjera
Detekcija nepoznatih pretnji
Vidljivost
Tačnost detekcije (nizak false positive)
Uvid u ceo tok napada
IDSBaziran na signaturama
Nemogućnost
detekcije novih pretnji
Tačnost
Mogućnost detekcije anomalija
Previše logova, previše false
positiva
NetFlow
SIEMKompleksno i zahtevno rešenje
Opasnost od neadekvatne
analize događaja
Endpoint APT rešenja
● Pokriva sve vektore napada
● Koriste se machine learning
mehanizmi
● Odlični forenzički izveštaji
● Zavisi od instalacije agenata
– ostaju nepokriveni mnogi
uređaji
● Zahteva vreme za korelaciju
događaja
Detekcija nepoznatih pretnji
Vidljivost
Tačnost detekcije (nizak false positive)
Uvid u ceo tok napada
IDSBaziran na signaturama
Nemogućnost
detekcije novih pretnji
Tačnost
Mogućnost detekcije anomalija
Previše logova, previše false
positiva
NetFlow
Neophodan agent
Hypervisor, NAS, storage, IoT, …
Endpoint DR
SIEMKompleksno i zahtevno rešenje
Opasnost od neadekvatne
analize događaja
Gateway PCAP Celokupan snimak paketa
Veoma spor za analizu i
loša pokrivenost
Core network DRDetekcija celog toka
jednog napada
Good user
Attacker
Rogue employee
Bob reading email on a Thai
beachJim checking build server status during a
rare bout of insomnia
Sam discovers a
love for a
Russian
cooking
website
Laura downloading the files for a project
she’s just been
assigned
John’s PC being controlled via RAT to
attack the datacenter
using IPMI credentials
Jenny’s Mac exfiltrates
data to
Dropbox
Strange website seen at 2 a.m. It turns out
to be an IoT device
misbehaving
Host contacting TOR network
Domain never seen before
Lots of users uploading
cat videos
Detekcija pravih pretnji
Razdvajanje šta je benigna
anomalija u ponašanju od prave
pretnje
Vectra AI – Cognito platforma
Detekcija nepoznatih i skrivenih pretnji
● Identifikuje kompromitovane uređaje ili naloge, kako se bi se
sprečilo širenje pretnje i izbegao gubitak podataka
● Detekcija koja se ne bazira na signaturama ili listama loše
reputacije
● Identifikuje skrivene tunele u okviru standardnih protokola
HTTP, HTTPS, DNS...
● Identifikuje sumnjivo ponašanje i u okviru enkriptovane
komunikacije na osnovu metadata podataka – bez potrebe za
dekripcijom
● Detektuje prošle, do sada nezapažene incidente na osnovu
novih tipova ponašanja napadača
Detekcija pretnji u data centru
● Učenje dinamike normalne
naspram sumnjive promene:
dodavanje, pomeranje ili
brisanje komponenti
● Učenje modela admin
pristupa: ko pristupa, čemu,
kada i odakle
● Detekcija zloupotrebe
privilegovanog naloga
● Prioritetizacija događajaVectra detektuje događaje koji bi ostali
nezapaženi
Bolja efikasnost
● Svi srodni događaji se prikazuju
kao kampanja napada, zarad
lakšeg početka troubleshootinga.
Za svaki događaj može da se
dobije detaljna inspekcija
● Moguća integracija sa drugim
sigurnosnim rešenjima za
dobijanje automatske reakcije na
detektovan incident
● Manje opterećenje inženjera u
svakodnevnom monitoringu i
održavanju i do 36 puta
Vreme detekcije se smanjuje od više dana
do par minuta
Bolja efikasnost
Detekcija pretnji – kill chain
Primer napada - Equifax
● Napad je trajao 76 dana
● Inicijalni ulaz preko nepatchovanog Apache web servera
● Napadač je došao da neenkriptovanog fajla sa kredencijalima
● Ugroženo je 48 međusobno nepovezanih baza podataka
Equifax– kill chain
DEMO