Подход zero trust для обеспечения безопасности сети от Palo Alto Networks
1. Москва, 12 Ноября 2015
Данил Дрожжин
Эксперт по продуктам сетевой безопасности
ПОДХОД ZERO TRUST
ДЛЯ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ СЕТИ ОТ
PALO ALTO NETWORKS
2. /162
• Особенности stateful межсетевых экранов
• Zero-day атаки и как им противостоять
• Демонстрация
СОДЕРЖАНИЕ
4. /164
ТЕХНОЛОГИЯ STATEFUL INSPECTION
• Тысячи приложений
• Изменение их поведения
• Удаленный доступ и VDI
• Миллионы известных
и неизвестных вирусов и атак
Проблемы:
5. /165
PALO ALTO NGFW
• идентификация, контроль
и безопасное разрешение
приложений;
• идентификация пользователей без
привязки к устройству;
• обнаружение известных
и неизвестных угроз в реальном
времени;
• расшифровка входящего
и исходящего SSL/SSH трафика;
• высокая пропускная способность,
низкие задержки при обработке.
6. /166
PALO ALTO NGFW
Palo Alto Networks
Next-Generation Threat Cloud
Palo Alto Networks
Next-Generation
Endpoint
Palo Alto Networks
Next-Generation
Firewall
Облачный сервис защиты от угроз WildFire
• Сбор подозрительных файлов и DNS-
запросов с межсетевого экрана и хостов
• Поведенческий анализ и корреляция
угроз, создание сигнатур (IPS, AV, DNS)
и обновление базы URL
• Распространение обновлений на МЭ
TRAPS (Advanced Endpoint Protection)
• Инспекция всех процессов Windows
• Предотвращение известных
и неизвестных угроз
• Легкий клиент и облачный сервис
Межсетевой экран следующего поколения
• App-ID, User-ID, Content-ID
• Расшифровка SSL
• Инспекция всего трафика по любым
портам на L7
• Безопасное разрешение приложений
• Отсылает подозрительные файлы в
облако
• Блокирует угрозы на уровне сети
7. /167
СТАТИСТИКА
42%
44%
45%
47%
49%
49%
50%
53%
54%
00% 10% 20% 30% 40% 50% 60%
Молдова
Беларусь
Монголия
Украина
Армения
Вьетнам
Азербайджан
Казахстан
Россия
Риск заражения пользователей вредоносным программным обеспечением
Россия занимает 1-ое место в рейтинге стран по возможности заражению
вредоносным программным обеспечением
* - статистика Kaspersky Security Bulletin 2014
9. /169
ЭТАПЫ АТАКИ
Приманка
1
Завлечь
использовать
специальное
ПО, открыть
файл или
перейти
на веб-сайт
с вредоносным
ПО
Эксплоит
2
Зараженный
контент
использует
уязвимости
установленного
ПО без ведома
пользователя
Загрузка
ПО для
«черного
хода»
3
В фоне
загружается
и устанавли-
вается второй
вредонос
Установление
обратного
канала
4
Вредонос
устанавливает
исходящее
подключение
для связи
с злоумышлен-
ником
Разведка
и кража
данных
5
Удаленный
злоумышлен-
ник имеет
доступ внутри
сети и проводит
атаку
11. /1611
PALO ALTO TRAPS
Уязвимости и эксплойты Техники эксплуатации
Тысячи в год Всего 2-4 техники в год
Вредоносное ПО Техники работы вредоносного ПО
Миллионы в год Всего 10-100 в год
Блокировка базовых техник, а не конкретных угроз
12. /1612
ПРЕДОТВРАЩЕНИЕ ЭКСПЛОЙТА
ПРЕДОТВРАЩЕНИЕ– КАК ЭТО РАБОТАЕТ
Пользователь
открывает
документ
Traps прозрачно
инжектирует
ловушки
в процессы
Процесс защищен,
так как при попытке
использования
эксплойта
срабатывает ловушка
CPU
<0.1
%
Атака остановлена
до исполнения
вредоносного кода
Safe!Остановка
процесса
Сбор данных
Оповещения
пользователя и
администратора
Traps выполняет
действия только
в момент
срабатывания
ловушки
Отчет в
ESM
13. /1613
БОРЬБА С ZERO-DAY ЭКСПЛОЙТАМИ
Блокирование хотя бы одной техники останавливает атаку целиком
DLL
Security
IE Zero Day
CVE-2013-3893
Heap Spray
DEP
Circumvention
UASLR
ROP/Utilizing
OS Function
ROP Mitigation/
DLL Security
Adobe Flash
CVE-2015-5119
Return Oriented
Programming
SysExit
&
ROP
Utilizing
OS Function
DLL
Security
Adobe Flash
CVE-2015-
3010/0311
ROP
ROP
Mitigation
JIT Spray
JIT
Mitigation
Utilizing
OS Function
DLL
Security
Memory
Limit Heap
Spray Check