V (Юбилейная) Конференция «Развитие информационной безопасности в Казахстане» 28.10.2016г Астана

1. .
Confidential
Игорь Савин | Sales Engineer, Intel Security в Казахстане и СНГ
Построение системы адаптивной
защиты от угроз ИБ
Intel Security Threat Defense Lifecycle

2. .
Confidential
2

3. .
Confidential
Сложности в обеспечении безопасности
Целенаправленные атаки
Разрозненные
средства ИБ
Сложная
визуализация
Разнородные средства и продукты,
работающие отдельно друг от друга
без обмена данными и аналитикой.
Все более и более сложные день ото
дня…
Автономные и невидимые, созданные «под»
конкретную инфраструктуру, включая
людей и технологиии.
Слишком много данных без
аналитики делают процесс анализа
чрезмерно сложным и долгим.
3

4. .
Confidential
Жизненный цикл целенаправленной атаки
Подготовка Проникновение РезультатОперация
• Сбор данных
(технологии vs.
люди)
• Исследование
периметра
• Проверка средств
защиты
• Подготовка пакета
• Доставка
• Эксплуатация
• Установка
соединения
• Превышение
полномочий
• Распространение
• Вывод данных за
пределы компании
• Прерывание
сервисов
• Устойчивое
закрепление в
инфраструктуре
4

5. .
Confidential
Подготовка Проникновение РезультатОперация
Стратегия защиты от целенаправленной атаки
“До взлома” “После взлома”
Защита Обнаружение
Устранение
$ $$$$
5

6. .
Confidential
Традиционная реакция на инцидент
6
Количество
событий
Время
Атаки «наугад»
Целенаправленные атаки чрезвычайно долго устранять
Защита УстранениеОбнаружение
Сложная изоляция Трудоемкие
операционные
затраты
До взлома После взлома

7. .
Confidential
Подход Security Connected
7
Сильное сжатие времени устранения и реакции
Мин. время Минимизированное
время
Количество
событий
Время
До взлома После взлома
Защита Обнаружение Устранение
Длительное время реакции
Быстрое
обнаружение
Быстрая
реакиця
команды ИБ
Адаптивное
уменьшение
количества угроз

8. .
Confidential
Адаптивная модель безопасности
Интегрированные компоненты безопасности
Обнаружение – непрерывный мониторинг выявляет
аномальное поведение и не дает атакам остаться
незамеченными
Защита – комплексные средства безопасности защищают
наиболее важные векторы проникновения, мешая «работать»
совершенно новым типам угроз («0-day»)
Адаптация – мгновенная адаптация всех средств комплекса к
новым угрозам
Устранение – с помощью специального инструментария для
выявления и проведения расследований
8

9. .
Confidential
9
​Защита, обнаружение и устранение

10. .
Confidential
Традиционная система безопасности
Независимые друг от друга попытки предотвратить угрозу…
До взлома После взлома
Каждая в отдельности технология
может быть чрезвычайно
эффективной, однако отсутствие
интеграции между ними
оставляет скрытые пути
проникновения
10

11. .
Confidential
Защита на основе Security Connected
Адаптация всей системы в режиме реального времени
Интегрированная
инфраструктура мгновенно
адаптируется к новым угрозам
11
До взлома После взлома

12. .
Confidential
12
McAfee
Web Gateway
Network
Security Platform
Endpoint Security
McAfee Advanced
Threat Defense
McAfee
Active Response
McAfee Enterprise
Security Manager (SIEM) McAfee ePO
McAfee Threat
Intelligence
Exchange/Data
Exchange Layer
McAfee
Active Response
McAfee Enterprise
Security Manager (SIEM)
McAfee ePO
McAfee Threat
Intelligence
Exchange/Data
Exchange Layer
McAfee Deep
Command
McAfee Advanced
Threat Defense
Threat Intelligence Exchange Data Protection
Защита
ОбнаружениеУстранение
Немного о продуктах Intel Security

13. .
Confidential
McAfee
ePolicy Orchestrator
McAfee
ATD
Data Exchange Layer
McAfee ENS 10
McAfee MCP Agent
McAfee TIE Endpoint Module
McAfee
Global Threat
Intelligence
(GTI)
Потоки 3их
сторон
McAfee
Web
Gateway
Сервер
McAfee TIE
Интернет
McAfee
Active Response
ED
R
95% угроз
заблокировано
!
Репутация и
индикаторы
компрометации
(IOC) занесены
в сервер McAfee
Threat
Intelligence
Exchange (TIE)
Сценарий противодействия атакам «нулевого
дня»
Проактивная и эффективная защита
15

14. .
Confidential
Защита: периметр и сеть
15
McAfee Network Security Platform + ATD + TIE

15. .
Confidential
Защита: шлюзовая безопасность
16
McAfee Web Gateway + ATD + TIE

16. .
Confidential
Защита: серверы и конечные точки
17
McAfee Endpoint Security + ATD + TIE

17. .
Confidential
​McAfee Advanced Threat Defense

18. .
Confidential
Firewall
Сервера
дата-центра
Пользовательские
рабочие станции
DMZ
DNS/App
Web Gateway
IPS
Web Malware
Analysis
File Server
Malware
Analysis
Internet
Endpoint Sandbox
Manager
Управление и Экспертиза
SIEM
ePO
Malware Analysis/
Forensics
Central Manager
Инсталляция по определенному протоколу
Несколько аппаратных комплексов

19. .
Confidential
DMZ
DNS/App
Web Gateway
Malware Analysis/
Forensics
Central Manager
Web Malware
Analysis
File Server
Malware
Analysis
Advanced
Threat Defense
Internet
SIEM
ePO
Централизованная установка
Уменьшение себестоимости и производительность
Firewall
Сервера
дата-центра
Пользовательские
рабочие станции
IPS
Управление и Экспертиза

20. .
Confidential
Dynamic and Static Code
Analysis
Real-time Emulation
Обнаружение: McAfee ATD
Количество
образцов,
которое
нужно
обработать
Известные
«Хорошие» и «Плохие»
ИсполнениеЭмуляция поведения
White/
Black
Listing
AVGTI
21
Необходимые вычислительные процессы/Время на обработку
Комплексный многоуровневый подход

21. .
Confidential
Обнаружение: McAfee ATD
22
Анализ
Статический анализДинамический анализ
Анализ
Распаковка
Дизассемблирование
Выявление неактивного кода
Принадлежность к семейству
вредоносного кода
Подключаемые DLL
Сетевая активность
Операции с
файловой системой
Процессы
Отложенный запуск
Динамический и статический анализы угроз

22. .
Confidential
ATD
Advanced Threat Defense сканирует образец, однако…
Вредоносного поведения может быть не зафиксировано (отложенный запуск, VM Evasions)
Распаковка и классификация кода позволяют выявить вредоносный контент внутри файла
Некоторые угрозы «обходят» динамический анализ
23
В этих случаях помогает статический анализ кода
ATD
Пользователь
Распаккованный
код
Веб-сервер
злоумышленника Злоумышленник
Фишинговое письмо
Family Name: Trojan.Win32.APT_Guodl Similarity Factor: 66.72

23. .
Confidential
99,9% угроз не остаются незамеченными
24
Пример свежих криптолокеров
1. Даже сейчас про файл известно
далеко не всем…
2. Несколькими днями ранее он уже был
идентифицирован именно «песочницей»
3. На основе поведения, а не сигнатур

24. .
Confidential
Выявление последствий и их устранение
25
Наличие файлов в системе

25. .
Confidential
Выявление последствий и их устранение
26
Аномальная сетевая активность

26. .
Confidential
Выявление последствий и их устранение
27
Выявление подозрительных процессов в режиме реального времени

27. .
Confidential
Настраиваемая реакция
Windows/Linux – готовые и собственные действия
28

28. .
Confidential
Современные средства безопасности
Должны соответствовать следующим требованиям
Работать вместе Адаптироваться в
процессе работы
Обмениваться
информацией
29

29. .
Confidential
30