SlideShare ist ein Scribd-Unternehmen logo

10 cамых частых ошибок в безопасности сетей

Denis Batrankov, CISSP
Denis Batrankov, CISSP

Презентация описывает частые ошибки, которые встречаются в дизайне сетей на периметре и в ЦОД. В слайдах содержится 20% информации. Лучше заказать вебинар на эту тему у автора.

Internet
1 von 41
2 НОЯБРЯ 2017 МОСКВЕ
Денис Батранков Russia@paloaltonetworks.com 10 самых частых ошибок в защите сетей
АТАКА ANUNAK Элементы атаки Поддельные письма с вредоносными вложениями от имени ЦБ РФ Использование существующих ботнетов для распространени я нового кода Инфицирование через drive-by- download: Andromeda и Pony трояны через Neutrino Exploit Kit Доступ к банкоматам из специализи- рованных сегментов, которые должны быть изолированными, и инфицирование ОС Снятие денег из банкоматов и через Интернет- кошельки, напр. Yandex Money Подтверждено, что было захвачено 52 банкомата. Кража более 1 млрд. рублей. http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf Успешно получен доступ внутрь корпоративных сетей более чем 50 банков. Украдено более 1 млрд. рублей с 2013 по 2014 год из банков в России
У взломанных сетей была защита Классический «портовый» межсетевой экран L4 Статический IPS (или IDS) Прокси сервера для проверки HTTP доступа в Интернет Классический антивирус на ПК (лучший из top10)
Ошибка: Нет сегментации внутри сети • Принцип «доверяй но проверяй!» как никогда актуален при взаимодействии сетевых устройств друг с другом внутри «защищенного» периметра. • Безопасников учат защищать периметр. А нужно еще защищать площадь и объем. Что может сделать преступник попав внутрь хранилища Любой хакер, вошедший во внутреннюю сеть может делать что угодно дальше
Что изменилось в сети?
Пользователи не хотят жить по правилам Пользователи постоянно перемещаются
Изменились приложения  Приложения ≠ порт TCP/UDP  18,5% используют динамические TCP/UPD порты  18% могут туннелировать другие приложения  37% используют шифрование для сокрытия контента  11% вредоносных сессий бот-сетей идентифицируются в трафике как tcp/udp трафик с непонятным содержимым Список приложений в сети: applipedia.paloaltonetworks.com
Межсетевые экраны не изменились Политики межсетевых экранов базируются на контроле: • Протоколов 4 уровня модели OSI ISO (TCP/UDP/ICMP) • Портов TCP/UDP • IP адресов
Разрешая одно приложение вы автоматически разрешаете другие Разрешить MS Lync/Skype for business? Запросто! MS Technet: 1434(UDP), 5060, 5061, 444, 135, 5062, 8057, 8058, 5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061, 5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082, 5065, 49152-57500(TCP/UDP), 5073, 5075, 5076, 5066, 5071, 8404, 5080, 448, 445, 881, 5041
Программы используют техники обхода IPS/IDS и Firewall 1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты • нестандартное использование стандартных портов • создание новых специализированных протоколов для атаки 2. Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования signatures Port 10000 HTTP Port 80
Пример обхода защиты: туннелирование поверх DNS Примеры утилит • tcp-over-dns • dns2tcp • Iodine • Heyoka • OzymanDNS • NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
Пакет Source Address TCP Port 80Данные приложения Destination Address Source Address TCP Port 80 Destination AddressПакет Какую часть сетевого трафика теперь надо проверять? Традиционно: Приложение = номер порта (напр., HTTP = 80) Новое определение: Приложение = Специфические передаваемые данные flash = данные для анимации Adobe Player внутри браузера Данные приложения
Ваш межсетевой экран должен измениться Новый межсетевой экран должен восстановить контроль Новые критерии пропуска для трафика в сети • Приложения • Пользователи • Содержимое (данные, файлы)
file-sharing URL category PowerPoint file type “Confidential and Proprietary” content rivanov user marketing group canada destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol slideshare application slideshare-uploading application function Разница между межсетевым экраном L4 и L7
Ошибка: смотреть только на L4
Что Вы видите со cтарым firewall? Много трафика по порту 80 Много трафика по порту 53 Много трафика по порту 21 Много трафика по порту 25
NGFW: Вашей сетью пользуется 200-300 приложений
Отчет SLR позволяет показать приложения, вирусы, атаки, бот-сети Отчет по приложениям и угрозам Security Lifecycle Report (SLR)
Ошибка: Все 200-300 приложений – никто не проверяет! Пример: полагаются только на прокси-сервер – контролируют только web трафик. HTTP – Port 80 HTTPS – Port 443 ??? ??? ??? ??? ??? ??? Фокус на HTTP и HTTPS оставляет злоумышленнику доступным большой арсенал атак по другим приложениям
Ошибка: Все 200-300 приложений – никто не проверяет! Пример: проверяют только SMTP – контролируют только один канал почты. SMTP– Port 25 SMTPS – Port 465 ??? ??? ??? ??? ??? ??? Фокус на SMTP и SMTPS, и упускают личную почту, которую человек принимает по HTTPS или POP3 или IMAP
Ошибка: игнорируется использование SaaS Используем компонент Aperture для защиты облачных ресурсов компании
Ошибка: разрешаем небезопасные приложения Приложения сами могут быть “угрозами” • P2P file sharing, туннельные приложения, анонимайзеры, мультимедиа, TOR, Bitcoin Приложения могут способствовать распространению угроз • Основные угрозы – это угрозы уровня приложений Приложения и угрозы уровня приложений создают бреши в системе безопасности
Ошибка: доверие только IPS - Они показывают вам только известные им атаки - Они работают в режиме мониторинга (IDS) - Мы можем проигнорировать сообщение IDS
Атаки через SSL Botnet Herder Clients Data exfiltration over SSLchannels Command and Control Servers HTTPS Malicious file in instant messaging Drive-by download from an HTTPS site Malicious attachment sent over SMTPS • Encryption obscures: – Bot installation – C&C communication – Data exfiltration
Что сотрудники передают через зашифрованные каналы? Применение шифрования: • SSL • Специальные протоколы шифрования Ошибка: игнорируем зашифрованные каналы
Статистика: SSL зашифрована треть трафика сети Доверяй, но проверяй!
Anunak – письмо с вредоносным вложением
Антивирусы не справляются со скоростью появления новых видов вредоносного ПО Антивирусы не могут заблокировать эксплойты Что делать: при нажатии на ссылку, каждому новому нажавшему генерируется новый совершенно код вируса?
Антивирусы не справляются со скоростями сети 10Гбит!
Неизвестные хорошие Неизвестные плохие Известные хорошие Известные плохие (есть сигнатура) Ошибка: ищем только известные плохие файлы антивирусом хорошие плохие неизвестныеизвестные
Сколько вирусов не знает ваш антивирус? Wildfire = 5 минут на определение Проверка файлов в песочнице
TOP 10 приложений доставляющие неизвестное вредоносное ПО (по количеству сессий) http-proxy 0.9% web browsing 18.201% flash 0.036% imap .256% SMTP 78.291% webdav 0.017% soap 0.014% ftp 0.129% yunpan 0.014% pop3 2.895%
URL фильтр DNS Sinkholing Динамиче ские DNS Detect and Block  Threat Intelligence эффективен: блокировка центров управления и скачивания malware URL категория – malware и CnC, Индикаторы: DNS и IP, Сигнатуры Anti-Spyware Сразу блокируем ненужные для работы URL Сразу видим DNS запросы к вредоносным ресурсам. Сразу блокируем сайты на динамических DNS Сигнатуры популярных систем удаленного управления
Сколько компьютеров в бот-сети?
Отличие производительности UTM и NGFW
UTM – это несколько разрозненных движков в одном корпусе App Signatures IPS Signatures Virus Signature s URL Signatures Application Policy Application Inspection IPS Policy Threat Inspection Anti-Virus Proxy AV Inspection Web Filtering Policy URL Inspection PacketInspectionFlow Stateful FW policy Port-based session Inspection L4 Session Table • Использование UTM - отдельных функциональных модулей в одном устройстве делает его ОЧЕНЬ медленным
Повышаем безопасность = хуже производительность Традиционная безопасность • Каждая новая функция безопасности снижает производительность • Идут трения между ИТ и безопасностью Лучшая производительность Firewall Anti-Malware IPS
Снижение производительности при включении функций безопасности 0% 25% 50% 75% 100% Fortinet Juniper Check Point Palo Alto Networks 13% 15% 18% 83% NGFW Rate Advertised Max Источник: datasheet с сайта для Palo Alto Networks PA-7050, Check Point 61000, Juniper SRX 5800 и Fortinet 5140B
Ошибка: неверный сайзинг устройства • В тендер требуется производительность при включенной одной функции • В тендер требуется включить подписки на весь функционал, например, IPS, антивирус, URL • Оценивается число сессий L4 вместо L7 • Оценивается скорость Firewall, вместо скорости Firewall+IPS+антивирус+URL+песочница
ВОПРОСЫ 2 НОЯБРЯ 2017 МОСКВЕ

Empfohlen

Больше половины HTTPS трафика уже HTTP/2 версия
Больше половины HTTPS трафика уже HTTP/2 версияБольше половины HTTPS трафика уже HTTP/2 версия
Больше половины HTTPS трафика уже HTTP/2 версияDenis Batrankov, CISSP
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 
Как автоматизировать, то что находит аналитик SOC
Как автоматизировать, то что находит аналитик SOCКак автоматизировать, то что находит аналитик SOC
Как автоматизировать, то что находит аналитик SOCDenis Batrankov, CISSP
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADADenis Batrankov, CISSP
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPSDenis Batrankov, CISSP
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 

Empfohlen

Больше половины HTTPS трафика уже HTTP/2 версия
Больше половины HTTPS трафика уже HTTP/2 версияБольше половины HTTPS трафика уже HTTP/2 версия
Больше половины HTTPS трафика уже HTTP/2 версияDenis Batrankov, CISSP
 
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...
Как правильно подключать сотрудников из дома через VPN шлюз на Palo Alto Netw...Denis Batrankov, CISSP
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 
Как автоматизировать, то что находит аналитик SOC
Как автоматизировать, то что находит аналитик SOCКак автоматизировать, то что находит аналитик SOC
Как автоматизировать, то что находит аналитик SOCDenis Batrankov, CISSP
 
Лучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADAЛучшие практики по защите IoT и ICS/SCADA
Лучшие практики по защите IoT и ICS/SCADADenis Batrankov, CISSP
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPSDenis Batrankov, CISSP
 
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Какие вопросы чаще всего задают вендору при выборе решения по информационной ...
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTMDenis Batrankov, CISSP
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Мобильные устройства и безопасность
Мобильные устройства и безопасностьМобильные устройства и безопасность
Мобильные устройства и безопасностьDenis Batrankov, CISSP
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 

Weitere ähnliche Inhalte

Mehr von Denis Batrankov, CISSP

Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Denis Batrankov, CISSP
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Мобильные устройства и безопасность
Мобильные устройства и безопасностьМобильные устройства и безопасность
Мобильные устройства и безопасностьDenis Batrankov, CISSP
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасностиDenis Batrankov, CISSP
 

Mehr von Denis Batrankov, CISSP (8)

Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
 
Отличие NGFW и UTM
Отличие NGFW и UTMОтличие NGFW и UTM
Отличие NGFW и UTM
 
Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое Expose the underground - Разоблачить невидимое
Expose the underground - Разоблачить невидимое
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Мобильные устройства и безопасность
Мобильные устройства и безопасностьМобильные устройства и безопасность
Мобильные устройства и безопасность
 
Новые угрозы безопасности
Новые угрозы безопасностиНовые угрозы безопасности
Новые угрозы безопасности
 

10 cамых частых ошибок в безопасности сетей

  • 1. 2 НОЯБРЯ 2017 МОСКВЕ
  • 2. Денис Батранков Russia@paloaltonetworks.com 10 самых частых ошибок в защите сетей
  • 3. АТАКА ANUNAK Элементы атаки Поддельные письма с вредоносными вложениями от имени ЦБ РФ Использование существующих ботнетов для распространени я нового кода Инфицирование через drive-by- download: Andromeda и Pony трояны через Neutrino Exploit Kit Доступ к банкоматам из специализи- рованных сегментов, которые должны быть изолированными, и инфицирование ОС Снятие денег из банкоматов и через Интернет- кошельки, напр. Yandex Money Подтверждено, что было захвачено 52 банкомата. Кража более 1 млрд. рублей. http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf Успешно получен доступ внутрь корпоративных сетей более чем 50 банков. Украдено более 1 млрд. рублей с 2013 по 2014 год из банков в России
  • 4. У взломанных сетей была защита Классический «портовый» межсетевой экран L4 Статический IPS (или IDS) Прокси сервера для проверки HTTP доступа в Интернет Классический антивирус на ПК (лучший из top10)
  • 5. Ошибка: Нет сегментации внутри сети • Принцип «доверяй но проверяй!» как никогда актуален при взаимодействии сетевых устройств друг с другом внутри «защищенного» периметра. • Безопасников учат защищать периметр. А нужно еще защищать площадь и объем. Что может сделать преступник попав внутрь хранилища Любой хакер, вошедший во внутреннюю сеть может делать что угодно дальше
  • 7. Пользователи не хотят жить по правилам Пользователи постоянно перемещаются
  • 8. Изменились приложения  Приложения ≠ порт TCP/UDP  18,5% используют динамические TCP/UPD порты  18% могут туннелировать другие приложения  37% используют шифрование для сокрытия контента  11% вредоносных сессий бот-сетей идентифицируются в трафике как tcp/udp трафик с непонятным содержимым Список приложений в сети: applipedia.paloaltonetworks.com
  • 9. Межсетевые экраны не изменились Политики межсетевых экранов базируются на контроле: • Протоколов 4 уровня модели OSI ISO (TCP/UDP/ICMP) • Портов TCP/UDP • IP адресов
  • 10. Разрешая одно приложение вы автоматически разрешаете другие Разрешить MS Lync/Skype for business? Запросто! MS Technet: 1434(UDP), 5060, 5061, 444, 135, 5062, 8057, 8058, 5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061, 5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082, 5065, 49152-57500(TCP/UDP), 5073, 5075, 5076, 5066, 5071, 8404, 5080, 448, 445, 881, 5041
  • 11. Программы используют техники обхода IPS/IDS и Firewall 1. Распространение вредоносного ПО или нелегитимного трафика через открытые порты • нестандартное использование стандартных портов • создание новых специализированных протоколов для атаки 2. Использование стандартных протоколов на нестандартных портах – уклонение от сигнатурного сканирования signatures Port 10000 HTTP Port 80
  • 12. Пример обхода защиты: туннелирование поверх DNS Примеры утилит • tcp-over-dns • dns2tcp • Iodine • Heyoka • OzymanDNS • NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
  • 13. Пакет Source Address TCP Port 80Данные приложения Destination Address Source Address TCP Port 80 Destination AddressПакет Какую часть сетевого трафика теперь надо проверять? Традиционно: Приложение = номер порта (напр., HTTP = 80) Новое определение: Приложение = Специфические передаваемые данные flash = данные для анимации Adobe Player внутри браузера Данные приложения
  • 14. Ваш межсетевой экран должен измениться Новый межсетевой экран должен восстановить контроль Новые критерии пропуска для трафика в сети • Приложения • Пользователи • Содержимое (данные, файлы)
  • 15. file-sharing URL category PowerPoint file type “Confidential and Proprietary” content rivanov user marketing group canada destination country 172.16.1.10 source IP 64.81.2.23 destination IP TCP/443 destination port SSL protocol HTTP protocol slideshare application slideshare-uploading application function Разница между межсетевым экраном L4 и L7
  • 17. Что Вы видите со cтарым firewall? Много трафика по порту 80 Много трафика по порту 53 Много трафика по порту 21 Много трафика по порту 25
  • 18. NGFW: Вашей сетью пользуется 200-300 приложений
  • 19. Отчет SLR позволяет показать приложения, вирусы, атаки, бот-сети Отчет по приложениям и угрозам Security Lifecycle Report (SLR)
  • 20. Ошибка: Все 200-300 приложений – никто не проверяет! Пример: полагаются только на прокси-сервер – контролируют только web трафик. HTTP – Port 80 HTTPS – Port 443 ??? ??? ??? ??? ??? ??? Фокус на HTTP и HTTPS оставляет злоумышленнику доступным большой арсенал атак по другим приложениям
  • 21. Ошибка: Все 200-300 приложений – никто не проверяет! Пример: проверяют только SMTP – контролируют только один канал почты. SMTP– Port 25 SMTPS – Port 465 ??? ??? ??? ??? ??? ??? Фокус на SMTP и SMTPS, и упускают личную почту, которую человек принимает по HTTPS или POP3 или IMAP
  • 22. Ошибка: игнорируется использование SaaS Используем компонент Aperture для защиты облачных ресурсов компании
  • 23. Ошибка: разрешаем небезопасные приложения Приложения сами могут быть “угрозами” • P2P file sharing, туннельные приложения, анонимайзеры, мультимедиа, TOR, Bitcoin Приложения могут способствовать распространению угроз • Основные угрозы – это угрозы уровня приложений Приложения и угрозы уровня приложений создают бреши в системе безопасности
  • 24. Ошибка: доверие только IPS - Они показывают вам только известные им атаки - Они работают в режиме мониторинга (IDS) - Мы можем проигнорировать сообщение IDS
  • 25. Атаки через SSL Botnet Herder Clients Data exfiltration over SSLchannels Command and Control Servers HTTPS Malicious file in instant messaging Drive-by download from an HTTPS site Malicious attachment sent over SMTPS • Encryption obscures: – Bot installation – C&C communication – Data exfiltration
  • 26. Что сотрудники передают через зашифрованные каналы? Применение шифрования: • SSL • Специальные протоколы шифрования Ошибка: игнорируем зашифрованные каналы
  • 27. Статистика: SSL зашифрована треть трафика сети Доверяй, но проверяй!
  • 28. Anunak – письмо с вредоносным вложением
  • 29. Антивирусы не справляются со скоростью появления новых видов вредоносного ПО Антивирусы не могут заблокировать эксплойты Что делать: при нажатии на ссылку, каждому новому нажавшему генерируется новый совершенно код вируса?
  • 30. Антивирусы не справляются со скоростями сети 10Гбит!
  • 31. Неизвестные хорошие Неизвестные плохие Известные хорошие Известные плохие (есть сигнатура) Ошибка: ищем только известные плохие файлы антивирусом хорошие плохие неизвестныеизвестные
  • 32. Сколько вирусов не знает ваш антивирус? Wildfire = 5 минут на определение Проверка файлов в песочнице
  • 33. TOP 10 приложений доставляющие неизвестное вредоносное ПО (по количеству сессий) http-proxy 0.9% web browsing 18.201% flash 0.036% imap .256% SMTP 78.291% webdav 0.017% soap 0.014% ftp 0.129% yunpan 0.014% pop3 2.895%
  • 34. URL фильтр DNS Sinkholing Динамиче ские DNS Detect and Block  Threat Intelligence эффективен: блокировка центров управления и скачивания malware URL категория – malware и CnC, Индикаторы: DNS и IP, Сигнатуры Anti-Spyware Сразу блокируем ненужные для работы URL Сразу видим DNS запросы к вредоносным ресурсам. Сразу блокируем сайты на динамических DNS Сигнатуры популярных систем удаленного управления
  • 37. UTM – это несколько разрозненных движков в одном корпусе App Signatures IPS Signatures Virus Signature s URL Signatures Application Policy Application Inspection IPS Policy Threat Inspection Anti-Virus Proxy AV Inspection Web Filtering Policy URL Inspection PacketInspectionFlow Stateful FW policy Port-based session Inspection L4 Session Table • Использование UTM - отдельных функциональных модулей в одном устройстве делает его ОЧЕНЬ медленным
  • 38. Повышаем безопасность = хуже производительность Традиционная безопасность • Каждая новая функция безопасности снижает производительность • Идут трения между ИТ и безопасностью Лучшая производительность Firewall Anti-Malware IPS
  • 39. Снижение производительности при включении функций безопасности 0% 25% 50% 75% 100% Fortinet Juniper Check Point Palo Alto Networks 13% 15% 18% 83% NGFW Rate Advertised Max Источник: datasheet с сайта для Palo Alto Networks PA-7050, Check Point 61000, Juniper SRX 5800 и Fortinet 5140B
  • 40. Ошибка: неверный сайзинг устройства • В тендер требуется производительность при включенной одной функции • В тендер требуется включить подписки на весь функционал, например, IPS, антивирус, URL • Оценивается число сессий L4 вместо L7 • Оценивается скорость Firewall, вместо скорости Firewall+IPS+антивирус+URL+песочница

Hinweis der Redaktion

  1. meThoDs of mAlwAre DisTribuTion At the very beginning of their activity in 2013 due to lack of the target Trojan the attackers began to distribute Andromeda and Pony. They distributed these malware using Driveby through a bunch of Neutrino Exploit Kit exploits. Parallel to this technique they also use another infection method, which was one of the principal methods. The main method of distribution is sending emails with malicious attachments on behalf of the Central Bank of the Russian Federation. Another used method is to install a special malware to carry out targeted attacks via another malware that might appear in the local network by accident. To find such malicious programs the criminal group keeps in touch with several owners of large botnets that massively distributes their malware. The attackers buy from these botnet owners the information about IP-addresses of computers where the botnet owners have installed malware and then check whether the IP-address belongs to the financial and government institutions. If the malware is in the subnet of interest, the attackers pay the large botnet owner for installation of their target malware. Such partner relations were established with owners of botnets Zeus, Shiz Ranbyus. All of these trojans are bank Trojans, their usage is explained by the previously established relationships. Availability of access to bank internal networks opens great opportunities for the hackers. One of these opportunities is access to ATMs from special network segments that had to be isolated. It is confirmed that this criminal group gained access to 52 ATMs. Having access, the attackers downloaded malicious scripts and changed denominations of issued banknotes in the ATM operating system registry. As a result, for query to get 10 notes with denomination of 100 rubles the attackers received 10 banknotes with denomination of 5,000 rubles. When the attackers had obtained control of ATM management service (attacker purpose), money were withdrawn directly from the ATM by the attacker command. In this case the whole cashout process consisted in that a drop person had to be near the ATM at the specified time with a bag to empty the dispenser In addition to all the above methods, cash sending channels were also employed through the settlements systems, electronic wallets and payment systems, such as web money, Yandex Money. The average time from the moment of penetration into the financial institutions internal network till successful theft is 42 days. --------------------------------------------------------- Facts & Credits http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
  2. You can only see what you are looking for. With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.
  3. You can only see what you are looking for. With a Palo Alto Networks Next Generation Firewall, its like walking into a dark room and turning on the light. <CLICK> Complete visibility and control.
  4. The list of applications and protocols supported by most proxies is limited to a handful of applications, such as web-based clients and media streaming. It is also limited to specific protocols, such as HTTP (port 80), HTTPS (port 443), and FTP (port 21). While many applications are web-based by design, and are using ports 80 or 443, some very common applications, like Skype, BitTorrent, or Lync are capable of dynamically seeking out and utilizing any available port on the network. We have to remember there are more than 65,000 ports available on any network. These port-hopping capabilities allow these applications to scale, be responsive, service the needs of the user… and bypass the limited visibility and security technologies of proxy-based devices. Along the same lines, proxies are limited in their ability to protect against evasive techniques used by tools such as open proxy servers such as PHProxy or CGIproxy, or anonymizers such as Tor.
  5. The list of applications and protocols supported by most proxies is limited to a handful of applications, such as web-based clients and media streaming. It is also limited to specific protocols, such as HTTP (port 80), HTTPS (port 443), and FTP (port 21). While many applications are web-based by design, and are using ports 80 or 443, some very common applications, like Skype, BitTorrent, or Lync are capable of dynamically seeking out and utilizing any available port on the network. We have to remember there are more than 65,000 ports available on any network. These port-hopping capabilities allow these applications to scale, be responsive, service the needs of the user… and bypass the limited visibility and security technologies of proxy-based devices. Along the same lines, proxies are limited in their ability to protect against evasive techniques used by tools such as open proxy servers such as PHProxy or CGIproxy, or anonymizers such as Tor.
  6. Abstract: The growth of SSL Internet traffic is almost at 70% - 80% and for some organizations it is 100%. Their are many drivers for the use of SSL encryption such as privacy laws and regulatory compliance and cloud based applications and websites are forcing the use of SSL just for those reasons. The use of SSL encryption provides an element of great security hygiene and best practices. The adversaries are well aware of this fact and will take advantage of using this as a vector of attack as they know they will go undetected and bypass your network security controls. Additionally, this also increases the risk of insider attacks. There also needs to be a fine balance between end-point and network security controls and the risk of solely relying on end-point security controls as the threat surface is becoming exponential harder to cover with BYOD, mobile and IoT.  In this presentation we will cover the statistics around the rapid growth of SSL encryption, various attack vectors, use cases and why offloading SSL Decryption is necessary, complimentary and increases the efficiency of your existing network security controls.
  7. The most dangerous emailings are those that are sent on behalf of partners with whom financial and government institutions communicates permanently by email. An example of such emailing occurred on September 25, 2014, at 14:11, from the e-mail address “Elina Shchekina <e.shekina@rbkmoney.com>” with the subject “Updated agreement version”. The attachment “agreement.doc” exploits the vulnerability CVE-2012-2539 and CVE-2012-0158. The emailing was conducted for more than 70 addresses of various companies (where multiple recipient addresses may be within one company). --------------------------------------------------------- Facts & Credits http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
  8. Kelvin/Chris
  9. http://researchcenter.paloaltonetworks.com/unit42/