Cognitive Threat Analytics

Интеллектуальная облачная защита от угроз
Cognitive Threat Analytics

2© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Старые угрозы Новые
Сложно найти современные угрозы в
рамках обычных операций
Вредоносное ПО использует хорошо известные
вектора, уже внесенные в черные списки
Современное вредоносное ПО использует легальные
каналы для распространения
Skype
Email
Tor

Реалии современных киберугроз
Злоумышленники
вероятнее всего будут
контролировать вашу
инфраструктурой через
web
Вероятнее всего
вас взломают через
email
Ваше окружение
будет взломано

Угрозы ОкружениеПериметр
Email-вектор
Web-вектор
3
Жертв
кликает на
резюме
Инсталляция бота,
установка соединения с
сервером C2
4 5
Сканирование LAN &
альтернативный бэкдор и
поиск привилегированных
пользователей
Система
скомпрометирована и
данные утекли. Бэкдор
сохранен
8
Архивирует данные, разделение
на разные файлы и отправка их на
внешние сервера по HTTPS
7
Посылка
фальшивого
резюме
(you@gmail.com)
2
Адми
н
Изучение
жертвы
(SNS)
1
Привилегированные
пользователи найдены.
6
Админ ЦОДПК
Елена
Иванова
Елена Иванова
• HR-координатор
• Нужны инженеры
• Под давлением времени
Анатомия современной атаки

Вредоносный код: обнаружение и обход
Техники обнаружения Техники обхода
Известные сайты и узлы в Интернет Смена узлов / страницы перенаправления
Песочница Обнаружение виртуализации
Антивирус Обнаружение антивируса / безфайловое
инфицирование
Сигнатурные системы (IDS/IPS) Обфускация файлов / полиморфный код

Защита от современных угроз должна…
Идентифицировать угрозы,
опираясь на разные методы и
огромные объемы данных
Видеть уже произошедшие
инциденты и заражения
Реализовывать реагирование,
базируясь на контексте

Что может быть использовано для
обнаружения Web-угроз? Разве это все?!
Анализ файлов в Web-
трафике на лету
Отправка файлов
для анализа в
песочнице
Анализ DNS-
запросов и ответов
Категоризация и
контроль репутации
URL
ThreatGRID
WSA/CWS

Распространенные техники хакеров
0
+
Webrep
AV
Возраст домена: 2 недели
0
Возраст домена: 2 недели
-
Возраст домена: 3 часа
-
Возраст домена: 1 день
Domain Generation
Algorithm (DGA)
Туннелирование
данных через URL
(C&C)
DGA
C&C
DGA
DGA
DGA
C&C
Техники хакеров:
Активные каналы
Web
периметр
CTA
Анализ
Web-логов

Рост видимости
Контроль коммуникаций с серверами C2 для идентификации угроз
Снижение времени нейтрализации (TTR)
Получение сигналов тревоги на подтвержденные угрозы
Обнаружение аномалий
Быстрая идентификация угроз в web и сетевом трафике, используя
расширенную аналитику и моделирование
Что нового предлагает Cisco

CTA расширяет безопасность web за счет дополнительного анализа трафика и
обнаружения сложно идентифицируемых угроз
С Cognitive Threat Analytics (CTA)
Аномалии
Web-запросы
Угрозы
Инциденты
Вредоносное ПО
События
Обнаружение
аномалий
Моделирование
доверия
Классификация
событий
взаимоотношений
10B
запросов
в день
1K
инцидентов
в день

CTA
Анализ
Web-логов
Инфицированные
email или USB stick
Инфраструктура угрозы
Админ
STIX / TAXII
(API)
Идентификация
взломов используя
обнаружение аномалий и
анализ сетевого трафика.
Видимость угроз
которые могут обходить вектор
web-заражения, например,
инфицированные email, USB
stick или гостевые устройства.
CTA
0I000III0I00II0II00III000I000III0I000III0
I00I0I00I0000I0I00I0II0I00I0I00I000I00I0I0
0I00
0I
II0I
0II
00I
0II0
0I0
I00
I0II
II0I
000
0I00
0I
II00
I0I0
0I0
000
0II0
0II
IIII
00I
0I0
00I
II0I
I0II
00I
00II
0I0I
I00
0III
I00I
00II
0I00
0I
II0I
0II
00I
0II0
0I0
I00
I0II
II0I
000
0I00
0I
II00
I0I0
0I0
000
0II0
0II
IIII
00I
0I0
00I
II0I
I0II
00I
00II
0I0I
I00
0III
I00I
00II
Command
& Control
Domain
Generated
Algorithm
CTA
Tunneling
0I000III 0I00 II 0I I0000 III000II00II0I 00I0I0000II 0000I
Web-периметр
Cognitive Threat Analytics
Обнаружение взломов & видимость продвинутых угроз

Идентификация
аномального web-
трафика с помощью
статистического
анализа
Распознавание атак
путем анализа имени
доменов в каждом
запросе HTTP/HTTPS
Обнаружение
инфекций в web-
запросах
Обнаружение широкого
спектра угроз путем
анализа коммуникаций
с серверами C2
Определение
опасного трафика,
тунелированного в
HTTP/HTTPS-
запросы путем
использования IOC
Что может обнаруживать CTA?
Утечки данных Domain Generation
Algorithm (DGA)
Exploit KitКоммуникации с C2-
серверами
через HTTP/S

CTA представляет результаты 2-х типов
Подтвержденная угроза
Подтвержденные угрозы – Хакерские кампании
• Угроза, которой подверглось множество пользователей
• 100% подтвержденные взломы/заражения
• Автоматизация обработки приводит к быстрому лечению
• Добавление контекста от Cisco CSI

AMP Threat Grid расширяет отчеты CTA
AMP Threat Grid помогает
расследовать на ПК
представляя:
• Ассоциированные
артефакты угрозы из AMP
Threat Grid, соотнося
сетевое поведение с
ПОДТВЕРЖДЕННОЙ
угрозой от CTA
• Сигнатуры безопасности
контента для ассоциации с
глобальными семплами
угроз
• Исследования того, что
угроза делает на самом
деле (поведение на ПК)

CTA представляет результаты 2-х типов
Обнаруженные угрозы
Обнаруженные угрозы– Разовые угрозы
• Уникальные угрозы, обнаруженные в отношении одиночек
• Подозреваемая угроза и уровень риска
• Полуавтоматическая обработка
• Почти или совсем отсутствующий контекст

Интеграция CTA с внешними системами
STIX / TAXII API
TAXII Log Adapter:
https://github.com/CiscoCTA/taxii-log-
adapter
Информация об
угрозе от CTA в
формате STIX
Poll
ServiceTransform
Адаптер
Инцидент
CTA

Интеграция с Splunk

Как происходит
обнаружение?

Layer 1
Layer 2
AMP
CTA
CWS PREMIUM
AMP
CTA
Layer 3
File Reputation Anomaly
detection
Trust
modeling
Event classification Entity modeling
Dynamic
Malware
Analysis
File
Retrospection
Relationsh
CTA
Идентификация подозрительного трафика
с помощью обнаружения аномалий
Норма
Неизвестно
Аномалия
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
10B+ запросов
обрабатывается ежедневно с
помощью 40+ детекторов
Каждый детектор
обеспечивает свой рейтинг
аномалии
Агрегированный рейтинг
используется для сегрегации
нормального трафика

Layer 1
Layer 2
AMP
CTA
CWS PREMIUM
AMP
CTA
Layer 3
detection
Trust
modeling
Dynamic
Malware
Analysis
File
Retrospection
Relationsh
CTA
• Каждый HTTP(S) запрос
сканируется 40+ детекторами,
каждый по своему алгоритму
• Множество детекторов
увеличивают рейтинг
аномалии, снижая число
ложных срабатываний и
необнаружений
Примеры обнаружения аномалий
(HTTP, реальный и искусственное вредоносное ПО)
HTTP(S)
Request
Множество
детекторов &
доверия
Норма
Аномалия
0
1
2
3
4
5
7
6
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1.0
Динамический порог
Необнаружение Ложное
срабатывание
# of web запросов
Рейтинг аномалии
Норма
Аномалия
0
1
2
3
4
5
7
6
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1.0
Ложное
срабатывание
Динамический порог
# web запросов
Рейтинг аномалии
Один
детектор

Layer 1
Layer 2
AMP
CTA
AMP
CTA
Layer 3
detection
Trust
modeling
Dynamic
Malware
Analysis
File
Retrospection
Relationsh
CTA
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
Снижение ложных срабатываний с
моделированием доверия
Аномалия
Норма
Норма
Unknown
Unknown
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
RequestHTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
RequestHTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
Моделирование доверия
HTTP(S) запросы с аналогичными атрибутами
объединяются в кластер
Спустя время, кластер меняет свой рейтинг
аномалии, за счет добавления новых запросов

Layer 1
Layer 2
AMP
CTA
AMP
CTA
Layer 3
detection
Trust
modeling
Dynamic
Malware
Analysis
File
Retrospection
Relationsh
CTA
Категорирование запросов с
классификацией событий
Оставить
легитимным
Пометить
вредоносным
Оставить
подозрительным
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
Сайт с мультимедиа
Обновление ПО
Проверка
сертификата
Алгоритм генерации
доменов
C&C
Подозрительное
расширение
Повторный запрос
Неожиданное
окончание
Классификация событий
100+ классификаторов применяются к
аномальным и неизвестным кластерам
Рейтинг аномалии запросы обновляется исходя
из его классификации

Layer 1
Layer 2
AMP
CTA
CWS PREMIUM
AMP
CTA
Layer 3
detection
Trust
modeling
Dynamic
Malware
Analysis
File
Retrospection
Relatio
CTA
Атрибуция аномальных запросов к ПК
идентификация угроз с моделирование
сущностей
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
Угроза
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
УГРОЗА HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
УГРОЗА
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
УГРОЗА
HTTP(S)
Request
УГРОЗА
Моделирование сущностей
Угроза возникает, когда превышается
пороговое значение
Новые угрозы помечаются, когда больше
доказательств аккумулируется за тоже самое
время

Layer 1
Layer 2
AMP
CTA
CWS PREMIUM
AMP
CTA
Lay
detection
Trust
modeling
Dynamic
Malware
Analysis
File
Retrospection
Relationsh
CTA
Компания B
Компания C
Определение угрозы, как части кампании с
моделированием взаимосвязей
Атакующий 1
Атакующий 2
Компания A Компания A Компания A
Фаза 1 Фаза 2 Фаза 3
Тип
угрозы 1
Тип
угрозы 1
Тип
угрозы 2
Инцидент
Инцидент
Инцидент
Инцидент
Корреляция по похожести Корреляция по
инфраструктуре
Компания B
Компания C
Компания B
Компания C
Инцидент
Инцидент
Инцидент
Инцидент
Инцидент
Инцидент
Инцидент
Инциден
т
Аналогичное
глобальное
поведение
Аналогичное
локальное
поведение Аналогичное
локальное &
глобальное
поведение
Общая
инструктура
атакующего
Моделирование взаимосвязей

Что в итоге?..
Обработка, близкая к реальному времени
1K-50K инцидентов в день10B запросов в день +/- 1% аномалий 10M событий в день
HTTP(S)
Request
Классифи
катор X
Классифи
катор A
Классифи
катор H
Классифи
катор Z
Классифи
катор K
Классифи
катор M
Кластер 1
Кластер 2
Кластер 3
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
Кластер 1
Кластер 2
Кластер 3
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
RequestHTTP(S)
Request
HTTP(S)
Request
HTTP(S)
RequestHTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
RequestHTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
Обнаружение аномалий Моделирование доверия Классификация
сущностей
отношений
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
HTTP(S)
Request
ПОДТВЕРЖДЕН взлом
(нескольких пользователей)
ОБНАРУЖЕНА угроза (unique)

Примеры обнаружения
угроз с помощью CTA

Обнаружение криптолокера
Фев 25 Мар 1 Мар 21 Мар 24 Мар 25 Апр 4
Активность угрозы продолжает детектироваться CTA !
CTA
обнаруживает
AV удаляет троян
AV сигнатура
обновилась &
троян удален
Червь удален при
ежедневном
сканировании
CryptoLocker
подтвержден & ПК
отправляется на
переустановку
< Вредоносное ПО действовало более 20 дней >
Время
AV удаляет червя
& сигнатура
устарела
1Пример

ПОСТРАДАЛ winnt://emeauser1
Amazon.com, Inc
LeaseWeb B.V.
intergenia AG
Qwest communication..
95.211.239.228
85.25.116.167
54.240.147.123
54.239.166.104
63.234.248.204
54.239.166.69
63.235.36.156
54.240.148.64
6 Http traffic to ip addr…
Activities (8) Domain (8) IPs (8) Autonomous systems (5)
9 Url string as comm…
95.211.239.228
85.25.116.167
54.239.166.69
63.235.36.156
54.240.148.64
54.240.147.123
54.239.166.104
Amazon.com Tech Tel…
63.234.248.204
1Пример
http://95.211.239.228/MG/6XYZCn5dkOpx7yzQbqbmefOBUM9H97ymDGPZ+X8inI56FK/0XHGs6uRF5zaWKXZxmdVbs
91AgesgFarBDRYRCqEi+a8roqlRl77ZucRB4sLOlkpoG5d44OZ95VO6pVjtKVAj0SIOXHGFTr7+w5jqe46Kz4//NDHGJw6
C2L2hCLEExuNJaeA9wtSRmOgxVg9NhpJXK7oD8dTDoGOD46zWaWDDpQ9zNdmhNtmOfeWA3xxgZ9KzDpd7SVUnz
ATdD3E1USpWmkpsYsGkTE8fVQ692WQd8h2cRp+KHDg8F2ECZlcDXGOPQPU9TrWFw…
Зашифрованный Command & Control
9 УГРОЗА 100% уверенность

1Пример
Локальный
контекст
Впервые обнаружен в вашей сети 11 марта 2015, а последний раз 14
апреля 2015. Всего 3 пользователя демонстрировали аномальное
поведение за последние 45 дней.
Глобальный
контекст
Также обнаружено в 5+ других компаниях, где пострадало 10+ других
пользователей.
Угроза связана с семейством Zeus Trojan, которое имеет сложную структуру и
большие возможности, например, функции руткита для скрытия своего
присутствия, а также использует разные механизмы C2. Zeus часто
используется для отслеживания активности пользователя и кражи информации
за счет перехвата ввода с клавиатуры и анализа форм. Zeus моет быть
также использовать для установки CryptoLocker для кражи данных.
Просканируйте вашу сеть и переустановите ОС/ПО на скомпрометированных
узлах.
9 УГРОЗА 100% уверенность ПОСТРАДАЛО 3
пользователя

Число пострадавших пользователей в месяц
Malvertising BotNet
Cisco обнаружила 4000+ вариантов расширения для браузера (add-on)!
Malvertising для браузера собирает данные, используемые для продажи
Регулярно обновляемый код и интересная бизнес-модель
17511170 Компаний Месяцев 886,646 пользователей Узлов пострадало
Ноябрь, 2014
Источник: Cisco Security Research
Июнь, 2014
# пострадавших в месяц
2Пример

IPs (3)Activities (5) Domain (10) Autonomous systems (0)
54.68.144.135
54.69.230.10
54.68.109.54anomalous http traf…7
7 anomalous http traf…
veterance.com
veterances.net
Getjpi77.info
probookmynew.us
skyfunnjobbest.info
Versiontraffic.com
filehelper.co.il
appzappzappz.com
2Пример
hXXp://getjpi77.info/sync2/?q=hfZ9oeZHrjYMCyVUojC6qGhTB6lKDzt4ok8gtNtVh7n0rjnEpjwErjrGrHrEtMFHhd9Fqda4rj
aFqTr6qjaMDMlGojUMAe4UojkFrdg5rjwEqjnGrTw5pjY4qHYMC6qUojk7pdn5rHY9pdUHqjwFrdUGqTCMWy4ZBek0nMl
HDwmPC7qLDe49nfbEtMZPhd99qdg5qHn5qHk5rdUErjg4rHkGtM0HAen0qTaFtMVKC6n0rTwMgNr0rn%3D%3D&amse
=hs18&xname=BestDiscountApp
hXXp://getjpi77.info/sync2/?q=ext=hs18&pid=777&country=MX&regd=140910132330&lsd=140910163750&ver=9&ind=5
106811054221898978&ssd=5684838489351109267&xname=BestDiscountApp&hid=4468748758090169352&osid=601
&inst=21&bs=1%3D%3D&amse=hs18&xname=BestDiscountApp
Зашифрованный Command & Control
ПОСТРАДАЛ winnt://emeauser26 УГРОЗА 100% уверенность

Червь Qakbot
Постоянно
адаптировался для
обхода защитных
механизмов
Появился в 2011, а в 2014
появился вновь
500,000+ зараженных ПК
& большой доход у
мошенников
Способность руткита для скрытия
своего присутствия, может
распространяться через расширенные
локальные ресурсы и отчуждаемые
носители
Кража данных пользователей и
паролей, может отслеживать
пользовательскую активность или
устанавливать другой вредоносный код
3Пример

Amazon.com, Inc
RCS & RDS SA
Unified Layer
bnhrtqbyaujiujosnevtvn.info
ehawgbpcjefdjzxohshnmu.com
hwtmnipazuwtghl.biz
ibxyfokmjbxyfqikjiis.org
iyulawjlxbltrsut.com
julfmuljitllgtnop.biz
kkgjxxpt.biz
qfvkuoiasjqbmqrwx.info
vmdekoznnkqmerkch.net
wqdiulsyylepifnbkyatwqcr.com
olbkpxtpgckuoaharw.biz
vwnlzeuaaygbgahiwrmxsp.biz
rgfxyewwsvtaobjbdlxc.infio
Activities (10) Domain (18) IPs (7) Autonomous system (4)
9
8
8
8
8
8
8
5.2.189.251
86.124.164.25
54.72.9.51
69.89.31.210
74.220.207.180
Communication to automatically gener
3Пример

4Пример
Локальный
контекст Впервые обнаружен в вашей сети 15 марта 2015, а последний раз 17
апреля 2015. Всего 1 пользователей демонстрировал аномальное
поведение за последние 45 дней.
Глобальный
контекст
Также обнаружена в 5+ других компаниях, где пострадало 5+ других
пользователей.
Угроза связана с Dridex. Обычно распространяемый через спам, Dridex – это
банковский троян, основная цель которого красть конфиденциальную
информацию относительно онлайн-банкинга и других платежных систем.
Троян взаимодействует с C2-сервером с помощью HTTP, P2P или I2P.
Просканируйте вашу сеть и переустановите ОС/ПО на скомпрометированных
узлах.
ПОСТРАДАЛ 1 user9 УГРОЗА 100% уверенность

9
9
9
9
9
9
9
9
9
9
9
9
9
54.83.43.69
95.211.239.228
85.25.116.167
178.162.209.40
188.138.1.96
94.242.233.162
184.107.255.138
193.105.134.63
79.103.160.138
Amazon.com, Inc
LeaseWeb B.V.
intergenia AG
root SA
iWeb Technologies Inc.
Portlane Networks AB
Telenor Norge AS
qcnbmfvglhxlrorqolfxaeh.org
95.211.239.228
85.25.116.167
retufator.com
188.138.1.96
krjbjccop.com
94.242.233.162
184.107.255.138
193.105.134.63
79.103.160.138
Anomalous http traffic
Commination to automatically ge…
Http traffic to ip address (no domain…
Http traffic to ip address (no domain…
Url string as communication channel
Http traffic to ip address (no domain
Anomalous http traffic
Activities (14) Domain (10) IPs (10) Autonomous systems (7)
88.208.57.103
4Пример

Место CTA в среде
заказчика

Cisco WSA (Web Security Appliance)
Внешняя телеметрия (BlueCoat Sec. GW)
Cisco CWS (Cloud Web Security)
Cisco
Cognitive Threat
Analytics (CTA)
Confirmed Threats
Detected Threats
Threat Alerts
Реагирование
на инциденты
HQ
STIX / TAXII API
CTACTACTA
SIEMs:
Splunk, ArcSight,
Q1 Radar, ...
HQ
Web Security
Gateways
Cloud
Web Security
Gateways
CTA a-la-carte
ATD bundle = CTA & AMP
WSP bundle = CWS & ATD
CTA a-la-carte
CTA a-la-carte
Логи Web (входная телеметрия)
Обнаружение взломов &
Видимость сложных угроз
Архитектура Cognitive Threat
Analytics

CTA как часть вашей стратегии
безопасности
3. CTA делает ваш SIEM еще «умнее»
1. CTA превращает ваш proxy в сенсор
2. CTA помогает вам уменьшить время
реакции на взлом/заражение/компрометацию

Превратить Web Proxy в сенсор
CWS
WSAW W W
Экспорт телеметрии из решений третьих
фирм
Расширить существующие инвестиции в
Cisco
Других решений по ИБ
Blue Coat

Реагирование на угрозы

Подтвержденные взломы:
Автоматическое создание тикета, используя
существующий SIEM для команды на очистку или
переустановку ПК
Процесс реагирования
Фильтрация через GUI или интеграция с TAXII
Подозреваемые взломы и целевые атаки:
Комбинация высокого риска и высокой
уверенности с подозреваемой утечкой данных
может быть эскалирована на аналитиков 3-го
уровня поддержки для ручного анализа

CTA: что происходит после обнаружения
IPS
ISE ИТ-служба
CTA AMP For Endpoint
SIEM
AMP For Endpoint
Обнаружение угрозы Немедленная реакция Финальная реакция
Быстрота и автоматизация
Цель: блокировать
каналы, по которым
работает ВПО для
предотвращения утечки
данных
Тщательность и адаптация
Цель: понять причину и
источник, оценить потери,
обновить политики

CTA: Обнаружение C2 10мин

ISE: Карантин пользователя 15мин

AMP4E: Блокирование C2-канала 20мин

AMP4E: Поиск файлов, генерящих C2 20мин

AMP4E: Блокирование ВПО
Unknow
n
30мин

AMP4E+SIEM: разбор полетов 1 день
Ошибка пользователя? Уязвимое приложение? Новый эксплойт?

Связь CTA с другими
решениями по ИБ

CTA дополняет портфолио Cisco
10 миллиардов запросов
ежедневно
20k взломов ежедневно
10 взломов @ 1000 seats еженедельно
(машинное обучение)
FW/NGFW
NGIPS
Антивирус
Репутация/Правила
Политика/Патчи
Web Security
CTA

Web
Reputation
Web
Filtering Application
Visibility &
Control
CTA для Cisco Web Security (CWS / WSA)Talos
Отчеты
Управление
Allow Warn Block
Partial
Block
Админ
STIX / TAXII (APIs)
CTA
Cognitive
Threat Analytics
Anti-
Malware
File
Reputation
Webpage
Outbreak
Intelligence
После
www. websit e. co
m
Dynamic
Malware
Analysis
File
Retrospection

Сила – в комбинации технологий
AV+IDS Sandbox CTA Strategy
Усилия по обходу

Подводим итоги

Пользователи видят результат
“CTA закрыл у нас дыру
в безопасности. Он помог на
найти множество
инфицированных машин.”
-- Нефтегазовая
индустрия
“Посмотрели на новый
интерфейс…
вы проделали
феноменальную работу!”
-- Фармацевтическая
компания
“CTA определяет
APT и аномалии
в дополнение
к существующим
инструментамas (CWS &
защите ПК).”
-- Логистическая
компания
“Мы использовали
результаты работы CTA
для нейтрализации
продвинутых угроз.”
-- Химическая
индустрия
“Безсигнатурный
анализ дает
интересную перспективу.”
-- Глобальная
ИТ- и сервисная
компания
“Информация чере
STIX/TAXIIAPI в наш SIEM
помогла нашему SoC.”
-- Глобальный
ритейл-бренд

С CTA вы получаете…
Рост видимости
Контроль коммуникаций с
серверами C2 для
идентификации угроз
Быстрая идентификация
угроз в трафике, используя
расширенную аналитику и
моделирование
Снижение времени
устранения (TTR)
Получение уведомлений
о подтвержденных
угрозах

Что надо сделать дальше?
• Получить учетную запись CTA
• Связать CWS/WSA или BlueCoat с CTA
• Протестировать решение в течение 45 дней
и получить отчет о найденных проблемах
• Интегрироваться с вашим SIEM
Протестировать
Узнайте как CTA может помочь вашей организации
обнаруживать и локализовывать инциденты
Изучить больше

Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

Cognitive Threat Analytics

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Cognitive Threat Analytics

Ähnlich wie Cognitive Threat Analytics (20)

Mehr von Cisco Russia

Mehr von Cisco Russia (19)

Cognitive Threat Analytics