Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
Какие вопросы чаще всего задают вендору при выборе решения по информационной безопасности
1. Какие вопросы чаще всего задают
вендору при выборе решения по
информационной безопасности
Уральский форум по информационной безопасности финансовых организаций
Денис Батранков
Russia@paloaltonetworks.com
twitter @batrankov
2. АТАКА ANUNAK
Успешно получен доступ внутрь корпоративных сетей более чем 50 банков
Как атаковали:
• Инфицирование через drive-by-download: Andromeda и Pony
• Трояны через Neutrino Exploit Kit
• Поддельные письма с вредоносными вложениями от имени ЦБ РФ
• Использование существующих ботнетов для проникновения в банк
• Снятие денег из банкоматов и через Интернет-кошельки
Подтверждено, что было под удаленным управлением 52 банкомата
Украдено более 1 млрд. рублей с 2013 по 2014 год из банков в России
http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html
http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
3. Везде была защита, но не помогла:
Классический «портовый» межсетевой экран
Системы предотвращения атак (IPS)
Технологии на базе HTTP прокси серверов
Классический антивирус на ПК (лучший из top10)
6. Предлагаю механизм. Межсетевой экран может подгрузить
список IP, URL, доменных имен с сервера ФинЦЕРТ из
текстового файла и сразу заблокировать доступ
Скачивает этот список автоматически
www.paloaltonetworks.com/documentation/71/pan-os/pan-os/policy/external-dynamic-list.html
7. Threat Intelligence:
Как решение блокирует обратный
канал от зараженных пользователей и
серверов к внешнему серверу
управления злоумышленника
(command & control)?
9. 1. Распространение
вредоносного ПО или
нелегитимного трафика
через открытые порты
нестандартное использование
стандартных портов
создание новых
специализированных
протоколов для атаки
Техники уклонения от IPS/IDS и Firewall
11. Даже стандартные приложения являются
источником рисков
Приложения могут быть
“несанкционированными”
• P2P, туннельные
приложения, анонимайзеры,
мультимедиа, TOR, Bitcoin
Угрозы есть внутри
приложений
• Угрозы переместились на
уровень приложений –
система защиты еще на
уровне сети
13. Пакет
Source
Address
TCP Port 80
Данные
приложения
Destination
Address
Source
Address
TCP Port 80
Destination
AddressПакет
Как отличает приложения ваш межсетевой экран?
Критерий: Порт – традиционно обозначал приложение
(HTTP = порт 80). А что будет, если приложение использует
нестандартный порт?
Нужно добавить новый критерий проверки: данные приложения
Приложение использует специфические передаваемые данные и по ним его
можно определить вне зависимости от порта
flash = данные для анимации внутри браузера от Adobe
Данные
приложения
14. Анализируя данные, мы начинаем
идентифицировать приложения
вне зависимости от порта.
Например: другого способа определить в
трафике Skype, TeamViewer, TOR, Bittorent
не существует.
15. Может ли система защиты
определять динамические
приложения?
Например: Skype, TeamViewer, TOR,
Bittorent.
16. Может ли система защиты
- и видеть приложения
- и блокировать
приложения?
Пример: если skype блокировать один
способ подключения, то он находит
другие методы, обходя текущие
блокировки
17. Может ли система защиты
определять приложения по их
нестандартным портам?
Например: POP3 по порту 10000
19. Квалификаторы Firewall и UTM
rule1
• Если совпал source, destination, port
• Действие
rule2
• Если совпал source, destination, port
• Действие
rule3
• Если совпал source, destination, port
• Действие
По каким критериям мы принимаем решение о потоке трафика?
20. rule1
• Если совпал source, destination, port, приложение, URL,
пользователь
• Действие
rule2
• Если совпал source, destination, port, приложение, URL,
пользователь
• Действие
rule3
• Если совпал source, destination, port, приложение, URL,
пользователь
• Действие
Есть разница?
Квалификаторы NGFW Palo Alto Networks
По каким критериям мы принимаем решение о потоке трафика?
22. User-ID: Как вы распознаете пользователя на входе в сеть?
Пользователь = SOURCE IP + SOURCE PORT в каждый момент времени
1) Соответствие пользователь-IP-порт получаем из :
• активная аутентификация (Captive Portal, локальный агент)
• пассивная идентификация
• активная идентификация
2) user-group-mapping
Чем больше источников информации,
тем лучше:
MS AD, сетевые ресурсы,
VDI, Wi-Fi, NAC,
SSL VPN, BYOD, …
23. User-ID в распределенной сети очень полезна
Совмещение активной и пассивной аутентификации/идентификации,
агентской и безагентской схемы, репликация данных User-ID между NGFW
•Captive Portal
•Event log
monitoring
•WMI Probing
•Server session
monitoring
•User-ID Replication
24. Из каких источников средство
защиты берет соответствие
конкретного пользователя и его
текущего IP?
Например: из журналов Active Directory
25. Сегментация сети
Почему не смотреть свой же трафик
внутри?
Разделите сеть на зоны и
контролируйте приложения и угрозы
внутри и заражения станций
Пример: В атаке ANUNAK взломав компьютер
сотрудника банка, следующим этапом проникали
в банкоматы по RDP, потому что не было
внутренней сегментации
26. Хватит ли производительности
устройства защиты на внутренний
трафик между сегментами?
Например: вы хотите проверять приложения, вирусы и атаки
на суммарной скорости 10Гбит/с
27. У вас 200-300 приложений в сети.
Сколько из них вы защищаете сегодня?
Чаще всего защита только HTTP и SMTP
HTTP – Port 80
HTTPS – Port 443
???
???
???
???
???
???
Фокус на HTTP/SMTP оставляет
злоумышленнику доступным большой арсенал
атак по другим приложениям.
Проверяете ли вы FTP, IMAP, POP3?
28. Проверка файлов на NGFW
Межсетевые экраны нового поколения видят
файлы (которые приложения передают), дают
возможность блокировать передачу файлов по
различным критериям, например:
- Запретить передачу данного типа файлов
- Запретить передачу файла, потому что там
содержится вирус
Например:
запретить передачу зашифрованного архива RAR в GMAIL
29. В каких именно приложениях
ваше средство защиты видит
файлы?
HTTP (S)
SMTP (S)
POP3 (S)
IMAP (S)
FTP (S)
SMB
Например:
30. В каких именно приложениях
работает сигнатурный антивирус?
HTTP (S)
SMTP (S)
POP3 (S)
IMAP (S)
FTP (S)
SMB
Например:
31. Как устройство защиты
определяет тип файла: по имени
или по внутреннему формату?
Например:
Злоумышленник может переименовать exe файл в расширение txt и передать
Злоумышленник может переименовать doc файл в jpg и передать
32. Пример
Контроль файлов для разных веб-приложений
Разрешить веб-почту только по HTTPS (но не по HTTP)
Разрешить отдельные онлайн файловые сервисы для VIP
Запретить получение/скачивание исполняемых файлов (высокий уровень риска)
Запретить отправку архивов с паролем, которые не могут быть проверены на
внешнем DLP
Разрешить отправку документов только для веб-почты, но не для файловых
сервисов
33. Может ли ваш межсетевой экран
пройти NGFW тест на сайте
http://pdftest.ngfw-test.com/ ?
Включить блокировку pdf файлов только в приложении
Application1. Показать в журнале межсетевого экрана
соответствующую запись где есть следующие поля: имя
приложения, имя файла (должно быть PowerShell_ISE_v4.pdf) и
примененное действие (должно быть заблокировано)
Включить блокировку вирусов только от приложения Application1.
Показать в журнале межсетевого экрана соответствующую запись
где есть следующие поля: имя приложения, имя вируса (должно
быть Eicar) и действие (должно быть заблокировано)
34. Две стороны одного протокола SSL
SSL для защиты данных или чтобы скрыть вредоносную активность?
TDL-4
Poison IVY
Rustock
APT1Ramnit
Citadel
Aurora
BlackPOS
35. Исходящий SSL требует перехвата сессии
Установить SSL
соединение
Session Key 1
Клиент думает, что проверяет сертификат от сервера, а на самом деле от NGFW
Сервер
отправляет свой
сертификат на
NGFW
NGFW создает
сертификат и
отправляет
пользователю
Session Key 2
Внутренний
пользователь
Внешний
сервер
36. Входящий SSL не требует перехвата
Сессия между сервером и пользователем остается неизменной,
однако NGFW видит сессионный ключ и расшифровывает трафик
Создать SSL
подключение
Клиент проверяет сертификат сервера
Сервер посылает
свой сертификат
NGFW уже содержит
сертификат сервера
Session Key
Внешний
пользователь
Внутренний
сервер
40. SSL и URL фильтрация
URL категории без расшифрования
IP адрес сервера
Common Name and SubjectAlternativeName in a Server
Certificate
SNI (Server Name Indicator) in TLS Handshake Extension
URL фильтрация после расшифрования
URL база с категориями (60+ Cayegories, millions of URLs)
Собственные URL ссылки и категории
До 200K собственных URL ссылок в PA-7050
43. Интеграция в сетевую инфраструктуру?
Tap режим - SPAN порт свитча для аудита или обзора приложений в сети
Virtual Wire - для прозрачного контроля и сохранения текущей топологии
На 2 уровне OSI идеально для фильтрации между VLAN
На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW
Tap Layer 3
OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN LACP VPN QoS
Virtual Wire Layer 2
Виртуальные системы, кластер А/А, А/Р
47. Технологии Palo Alto Networks, применяемые для защиты
от современных угроз
App-ID
URL
IPS
ThreatLicense
Spyware
AV
Files
Sandboxing &
Adv.Endpoint
Protection
Block
high-risk apps
Block
known malware
sites
Block
the exploit
Prevent drive-by-downloads
Detect / prevent
unknown
malware
Block malware
Block spyware,
C&C traffic
Block C&C on
non-standard
ports
Block malware,
fast-flux domains
Correlate and block
C&C: malware URL,
DNS sinkholing
Координи-
рованное
блокирование
активных атак
по сигнатурам,
источникам,
поведению
Приманка Эксплоит
Загрузка ПО для
«черного хода»
Установление
обратного канала
Разведка и
кража данных
Anti-Exploitation
– prevent 0-day
Check e-mail
links
48. Анализируем поведение: помещаем файл в песочницу
Wildfire – защита от неизвестных угроз на уровне сети
Корпоративная сеть
Internet
Palo Alto
Networks
security platform
center
Локальная песочница
(WF-500)
Файлы
Сигнатуры
Публичная песочница – облачный сервис
Сигнатуры
Файлы
WildFireTM
Исполняемые файлы
(*.exe,*.dll, *.bat, *.sys, и
т.д.) , flash, JAR, Android
APK, ссылки в почте
Офисные документы,
PDF
Анализируем протоколы SMB, FTP, HTTP, SMTP,
POP3, IMAP
Анализируем файлы exe, dll, bat, sys, flash, jar,
apk, doc, pdf и т.д.
49. Песочница для WEB
Песочница для email
Песочница для файл-сервера
Центр управления
Ручной анализ
Много песочниц: на каждое приложение: HTTP, SMTP, POP3, IMAP, FTP, SMB
При масштабировании нужны снова все эти песочницы
WildFireTM
WildFire облако или
устройство WF-500
Один межсетевой экран + одна песочница Wildfire.
При масштабировании новая песочница не нужна
Легкая интеграция
Легко расширяется
Эффективное
расходование средств
Перехват файлов на
NGFW и отправка в
WildFire
Отправка файлов в
WildFire через XML API
Сложно управлять
Сложно масштабировать
Дорого
Множество устройств для
перехвата файлов из
разных приложений
Разные архитектуры песочниц
52. Есть сигнатура в песочнице – чем
блокировать теперь трафик с
вредоносным кодом?
53. Будет ли перехватывать файлы
песочница по нестандартному порту?
Как работает с нестандартными
портами потоковый антивирус?
Как работает с нестандартными
портами сетевой IPS?
54. Какие типы файлов можно
запускать в песочнице?
Пример:
exe, dll, bat, sys, flash, jar, apk, doc, xls, pdf, Mach-O, DMG, PKG
55. В каких приложениях работает
песочница?
HTTP (S)
SMTP (S)
POP3 (S)
IMAP (S)
FTP (S)
SMB
Например:
58. Что предлагает производитель
делать с файлом, в то время пока
файл анализируется и еще нет
вердикта?
Пример: сотрудник скачал файл по FTP
на свой компьютер. Сигнатурный
антивирус говорит, что файл чистый.
Песочница еще не вернула результат
анализа. Что делать?
63. Туннелирование в DNS запросах?
tcp-over-dns – мы видим почти в каждой сети этот туннель
Например: Номера кредитных карточек из
компании Sony после взлома Sony
Playstation Network отправляли внутри
DNS запросов
64. А видите ли вы туннелирование?
Например, внутри трафика DNS:
Примеры
tcp-over-dns
dns2tcp
Iodine
Heyoka
OzymanDNS
NSTX
Использование рекурсивных запросов для передачи инкапсулированных
сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
66. Платформа Palo Alto Networks
Мы работаем для вашей защиты
Обеспечиваем заданную производительность при всех включенных сервисах безопасности
Email офиса в России: Russia@paloaltonetworks.com
Hinweis der Redaktion
meThoDs of mAlwAre DisTribuTion
At the very beginning of their activity in 2013 due to lack of the target Trojan the attackers began to distribute Andromeda and Pony. They distributed these malware using Driveby through a bunch of Neutrino Exploit Kit exploits.
Parallel to this technique they also use another infection method, which was one of the principal methods. The main method of distribution is sending emails with malicious attachments on behalf of the Central Bank of the Russian Federation.
Another used method is to install a special malware to carry out targeted attacks via another malware that might appear in the local network by accident. To find such malicious programs the criminal group keeps in touch with several owners of large botnets that massively distributes their malware. The attackers buy from these botnet owners the information about IP-addresses of computers where the botnet owners have installed malware and then check whether the IP-address belongs to the financial and government institutions. If the malware is in the subnet of interest, the attackers pay the large botnet owner for installation of their target malware. Such partner relations were established with owners of botnets Zeus, Shiz Ranbyus. All of these trojans are bank Trojans, their usage is explained by the previously established relationships.
Availability of access to bank internal networks opens great opportunities for the hackers. One of these opportunities is access to ATMs from special network segments that had to be isolated. It is confirmed that this criminal group gained access to 52 ATMs.
Having access, the attackers downloaded malicious scripts and changed denominations of issued banknotes in the ATM operating system registry. As a result, for query to get 10 notes with denomination of 100 rubles the attackers received 10 banknotes with denomination of 5,000 rubles.
When the attackers had obtained control of ATM management service (attacker purpose), money were withdrawn directly from the ATM by the attacker command. In this case the whole cashout process consisted in that a drop person had to be near the ATM at the specified time with a bag to empty the dispenser
In addition to all the above methods, cash sending channels were also employed through the settlements systems, electronic wallets and payment systems, such as web money, Yandex Money.
The average time from the moment of penetration into the financial institutions internal network till successful theft is 42 days.
---------------------------------------------------------
Facts & Credits
http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
The list of applications and protocols supported by most proxies is limited to a handful of applications, such as web-based clients and media streaming. It is also limited to specific protocols, such as HTTP (port 80), HTTPS (port 443), and FTP (port 21).
While many applications are web-based by design, and are using ports 80 or 443, some very common applications, like Skype, BitTorrent, or Lync are capable of dynamically seeking out and utilizing any available port on the network. We have to remember there are more than 65,000 ports available on any network.
These port-hopping capabilities allow these applications to scale, be responsive, service the needs of the user… and bypass the limited visibility and security technologies of proxy-based devices.
Along the same lines, proxies are limited in their ability to protect against evasive techniques used by tools such as open proxy servers such as PHProxy or CGIproxy, or anonymizers such as Tor.
No way with any Firewall other than Palo Alto Networks ones to allow internal users download files from a given webApp and deny downloads on another WebApp if these apps live in the same Web Application Server (same IP and TCP Port)
SSL or HTTPs specifically, was always intended to be used for security. There are many applications that use SSL as a means of security.
But attackers are smart.
<click>
Here are some of the applications as well as the threats that we see on the network that use SSL as a means of hiding. Tor – ultrasurf – neither belong on your network….
APT 1, the attack found by mandiant, BlackPOS the recent attack on the US retailer target, RamNIT – a 2012 bot that has resurfaced in 2014 – all use SSL as a means of both privacy and hiding in plain sight.
<click>
The two faces of SSL present us with a challenge – how do you know?
Palo Alto Networks next-generation firewalls are able to integrate with your existing data center architecture, making it easier to add our security and threat prevention framework into your data center.
With our Tap Mode, you can tap into your existing switching infrastructure via their span ports for traffic visibility, or to audit what’s going on throughout your network.
Our Layer 1 deployment approach is called Vwire Mode, and it allows you to slip our firewall within your existing topology without the need to reallocate your IP addresses or redesign your network.
Layer 2 mode enables you to securely segment 2 or more different networks together, which is ideal for firewalling between your VLANs, as well as securely bridging a Layer 2 network with a Layer 3 network.
The most common deployment method within data centers, especially at the edge of the data center – is using our Layer 3 mode for deployment. This is when you replace your existing legacy firewall with our next-generation firewall at a time that’s convenient for you, usually when your existing equipment is up for renewals.
[Click]
In addition to these deployment modes, our NGFW includes a rich set of networking features that set us apart from other solutions, including… [read off the various network and routing technologies/protocols that we support]
The most dangerous emailings are those that are sent on behalf of partners with whom financial and government institutions communicates permanently by email. An example of such emailing occurred on September 25, 2014, at 14:11, from the e-mail address “Elina Shchekina <e.shekina@rbkmoney.com>” with the subject “Updated agreement version”. The attachment “agreement.doc” exploits the vulnerability CVE-2012-2539 and CVE-2012-0158. The emailing was conducted for more than 70 addresses of various companies (where multiple recipient addresses may be within one company).
---------------------------------------------------------
Facts & Credits
http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
Just how does the WildFire architecture scale?
Because all files are send the the WildFire public or private cloud – you only need to put a single security platform in the key ingress/egress or points of segmentation throughout your network. This is one device that covers all traffic, all protocols, with automated in-line prevention. Not only this, but a single management pane and one security policy.
The “APT Add-on approach” quickly becomes more of a challenge then a help. These solutions are focused on detection, creating alerts for security teams to manually remediate. Not only this, but they often require individual appliances to just detect threats for EACH PROTOCOL. Think about one expensive device for Port 80 Web, Port 23 SMTP, SMB file shares, and a central management box to tie them all together. Can you image deploying and managing this on your network, let alone the up-front and annual renewal cost? All without preventing a threat? It does not scale.