Москва, 12 Ноября 2015 Данил Дрожжин Эксперт по продуктам сетевой безопасности ПОДХОД ZERO TRUST ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕТИ ОТ PALO ALTO NETWORKS
Feb 17, 2017
Москва, 12 Ноября 2015
Данил Дрожжин Эксперт по продуктам сетевой безопасности
ПОДХОД ZERO TRUST ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕТИ ОТ PALO ALTO NETWORKS
/16 2
• Особенности stateful межсетевых экранов
• Zero-day атаки и как им противостоять
• Демонстрация
СОДЕРЖАНИЕ
/16 3
• 1434 (UDP), 5060, 5061, 444, 135, 5062, 8057, 8058, 5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061, 5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082, 5065, 49152-57500 (TCP/UDP), 5073, 5075, 5076, 5066, 5071, 8404, 5080, 448, 445, 881, 5041*
КАК РАЗРЕШИТЬ MICROSOFT LYNC
* Источник – https://technet.microsoft.com/en-us/library/gg398833.aspx
/16 4
ТЕХНОЛОГИЯ STATEFUL INSPECTION
• Тысячи приложений
• Изменение их поведения
• Удаленный доступ и VDI
• Миллионы известных и неизвестных вирусов и атак
Проблемы:
/16 5
PALO ALTO NGFW
• идентификация, контроль и безопасное разрешение приложений;
• идентификация пользователей без привязки к устройству;
• обнаружение известных и неизвестных угроз в реальном времени;
• расшифровка входящего и исходящего SSL/SSH трафика;
• высокая пропускная способность, низкие задержки при обработке.
/16 6
PALO ALTO NGFW Palo Alto Networks
Next-Generation Threat Cloud
Palo Alto Networks Next-Generation
Endpoint
Palo Alto Networks Next-Generation
Firewall
Облачный сервис защиты от угроз WildFire • Сбор подозрительных файлов и DNS-
запросов с межсетевого экрана и хостов • Поведенческий анализ и корреляция
угроз, создание сигнатур (IPS, AV, DNS) и обновление базы URL
• Распространение обновлений на МЭ
TRAPS (Advanced Endpoint Protection) • Инспекция всех процессов Windows • Предотвращение известных
и неизвестных угроз • Легкий клиент и облачный сервис
Межсетевой экран следующего поколения • App-ID, User-ID, Content-ID • Расшифровка SSL • Инспекция всего трафика по любым
портам на L7 • Безопасное разрешение приложений • Отсылает подозрительные файлы в
облако • Блокирует угрозы на уровне сети
/16 7
СТАТИСТИКА
42%
44%
45%
47%
49%
49%
50%
53%
54%
00% 10% 20% 30% 40% 50% 60%
Молдова
Беларусь
Монголия
Украина
Армения
Вьетнам
Азербайджан
Казахстан
Россия
Риск заражения пользователей вредоносным программным обеспечением
Россия занимает 1-ое место в рейтинге стран по возможности заражению вредоносным программным обеспечением
* - статистика Kaspersky Security Bulletin 2014
/16 8
РАСПРОСТРАНЕНИЕ 0-DAY
Коли
чест
во п
опы
ток
зара
жен
ия
Подписка WildFire
На примере 50 вредоносов
нулевого дня в сетях заказчиков Palo Alto Networks
• Очень высокая скорость в первые 8 часов
• Выравнивание после 24 часов
/16 9
ЭТАПЫ АТАКИ
Приманка
1
Завлечь использовать специальное ПО, открыть файл или перейти на веб-сайт с вредоносным ПО
Эксплоит
2
Зараженный контент использует уязвимости установленного ПО без ведома пользователя
Загрузка ПО для «черного хода»
3
В фоне загружается и устанавли-вается второй вредонос
Установление обратного канала
4
Вредонос устанавливает исходящее подключение для связи с злоумышлен-ником
Разведка и кража данных
5
Удаленный злоумышлен-ник имеет доступ внутри сети и проводит атаку
/16 10
АТАКА ANUNAK
• Пострадало более 50 банков • Ущерб около 1 млрд рублей
/16 11
PALO ALTO TRAPS
Уязвимости и эксплойты Техники эксплуатации
Тысячи в год Всего 2-4 техники в год
Вредоносное ПО Техники работы вредоносного ПО
Миллионы в год Всего 10-100 в год
Блокировка базовых техник, а не конкретных угроз
/16 12
ПРЕДОТВРАЩЕНИЕ ЭКСПЛОЙТА
ПРЕДОТВРАЩЕНИЕ– КАК ЭТО РАБОТАЕТ
Пользователь открывает документ
Traps прозрачно инжектирует
ловушки в процессы
Процесс защищен, так как при попытке
использования эксплойта
срабатывает ловушка
CPU <0.1%
Атака остановлена до исполнения
вредоносного кода
Safe! Остановка процесса
Сбор данных
Оповещения пользователя и администратора
Traps выполняет действия только
в момент срабатывания
ловушки
Отчет в ESM
/16 13
БОРЬБА С ZERO-DAY ЭКСПЛОЙТАМИ
Блокирование хотя бы одной техники останавливает атаку целиком
DLL Security
IE Zero Day CVE-2013-3893 Heap Spray DEP
Circumvention UASLR ROP/Utilizing OS Function
ROP Mitigation/ DLL Security
Adobe Flash CVE-2015-5119
Return Oriented Programming
SysExit &
ROP
Utilizing OS Function
DLL Security
Adobe Flash CVE-2015- 3010/0311
ROP ROP Mitigation JIT Spray JIT
Mitigation Utilizing
OS Function DLL
Security
Memory Limit Heap
Spray Check
/16 14
С ЧЕГО НАЧАТЬ ЗАЩИТУ
L2/L3 Мониторинг In-Line
/16 15
ЗАЩИТА ДОЛЖНА БЫТЬ УМНОЙ
Данил Дрожжин Эксперт по продуктам сетевой безопасности
111033, Москва, ул. Волочаевская, д.5, к.1 Т: (495) 974 2274 ext. 2707 | Ф: (495) 974 2277 E-mail: [email protected] croc.ru
СПАСИБО ЗА ВНИМАНИЕ!