Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"

22 сентября 2016

Бизнес-консультант по безопасности

Внутренние угрозы. Обзор технологий противодействияАлексей Лукацкий

Один день из жизни CISO в Cisco

2

4TB

Данных для сбора/анализа

NetFlow для анализа в день

(Lancope)

15B

Инспектируется трафика в день

47TB

Сигналов тревоги в день

(NG-IPS)

1.5M

Сетевыхсобытий

1.2T

10K

Файлов для анализа в день

(ThreatGRID)

4.8B

Записей DNSв день

45M

Web-транзакцийблокируется

(WSA)

425

Защитных устройств

4.1M

Email-транзакцийблокируется в день

(ESA)

Не все ли вам равно, откудаисходит угроза?

Может ли внутренняя угрозаисходить из внешнего источника?

Чем отличается внутренняяугроза от внешней?

Что такое внутренняя угроза?

© 2015 Cisco and/or its affiliates. All rights reserved. 3

Атака через внутреннюю точку доступа – это внутренняя угроза?

Подмена точки доступа и перехват паролей

Видео-демонстрация

Что вы будете делать, если найдете флешку у дверей офиса?

Любопытство возьмет верх или нет?

Многие подбирают

Аппаратные закладки на базе Raspberry Pi

Лобби и переговорки…Вы их контролируете?

Вы думаете это шутка?

Видео-демонстрация

Согласно оценкам Гартнер к 2018:

25% корпоративного трафикабудет миновать периметр ИБ

Облачные приложения становятся неотъемлемой частью бизнеса

Как осуществляется их защита?

Удаленный доступ

Оперативность и скорость

Улучшенное взаимодействие

Увеличение продуктивности

Экономичность

Утечка конфиденциальных данных

Риски несоответствия правовым нормам

Риск инсайдерских действий

Вредоносное ПО и вирусы

Понимание рисков, связанных с облачными приложениями, для вашего бизнеса

Это проблема, так как ваш ИТ-отдел:•Не видит, какие используются приложения•Не может идентифицировать опасные приложения•Не может настроить необходимые средства управления приложениями

сотрудников признают, что используют неутвержденные приложения1

72%ИТ-отделов используют 6 и более неутвержденных приложений2

26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов

35%

«Теневые» ИТИспользование несанкционированных приложений

Источник: 1CIO Insight; 2,3Gartner

Понимание рисков использования данных в облачных приложениях

Это проблема, так как ваш ИТ-отдел:•Не может остановить утечку данных и устранить риски несоблюдения нормативных требований•Не в состоянии заблокировать входящий опасный контент •Не в силах остановить рискованные действия пользователей

организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1

90% приложений могут стать опасными при неправильном использовании2

72% файлов на каждого пользователя открыто используется в организациях3

185

«Теневые» данныеИспользование санкционированных приложения для неправомерных целей

Источник: 1Ponemon, 2013 Cost of Data Breach Study;2CIO Insight; 3Elastica

Надо учитывать весь жизненный цикл угрозы

Защита в момент времени Непрерывная защита

Сеть ПК Мобильное устройствоВиртуальная машина Облако

Жизненный цикл внутренней угрозы

ИсследованиеВнедрение

политикУкрепление

ОбнаружениеБлокирование

Защита

ЛокализацияИзолирование

Восстановление

ДО АТАКИ

ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

Матрица экспресс-выбора технологий

Identify (идентификация)

Protect(защита)

Detect(обнаружение)

Respond(реагирование)

Recover(восстановление)

Сети

Устройства

Приложения

Пользователи

Данные

Сетевые и системные ресурсы

Политика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция угроз

Гостевой доступ

Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативам

Что

Когда

Где

Как

Дверь всеть

Контекст

Давайте попробуем пойти чуть дальше

Шаг 1. Какие угрозы вам важны?

Разные угрозы требуют разных технологий!

Шаг 2. Какова ваша модель нарушителя?

Разные нарушители требуют разных технологий!

Нетипичные внутренние угрозы

Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5

Метод заражения Статический Статический В процессе исполнения

В процессе исполнения

В процессе исполнения Статический

Цель IOS IOS IOS IOS, linecards

IOS, ROMMON IOS

Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS

Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN

Удаленное обнаружение

Через криптоанализ

Через криптоанализ

Используя протокол C2

Используя протокол C2

Не напрямую Да

Шаг 3. На что обращать внимание?!

Шаг 4. Источники данных для анализа

Контроль физического местоположения с помощью ИТ – это тоже важно

• Неудачные попытки входа в системы• Доступ к нетипичным ресурсам• Профиль сетевого трафика• Утечки данных (по объему, типу сервиса и контенту)• Нетипичные методы доступа• Изменение привилегий• Нетипичные команды• Нетипичные поисковые запросы

Шаг 5. Выбрать индикаторы

• Модификация логов• Нетипичное время доступа• Нетипичное местонахождение• Вредоносный код• Модификация или уничтожение объектов ИТ-инфраструктуры• Поведение конкурентов и СМИ• Необычные командировки и персональные поездки

Примеры индикаторов

• Негативные сообщения в социальных сетях• Наркотическая или алкогольная зависимость• Потеря близких• Проигрыш в казино• Ухудшение оценок (review)• Изменение финансовых привычек (покупка дорогих вещей)• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)

Примеры индикаторов

Объединяя типы угрозы и индикаторыКатегория Индикатор 1 2 3 4 5 6 7 8 9

Системная активность

Неудачные попытки входа

1 1 1 1 1 1Доступ к нетипичным ресурсам

1 1 1 1 1 1

Утечка данных 1 2 2 1 2Изменение привилегий 1 2 1 1 2 2…

Шаг 6. 5 типов данных для анализа

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводная сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAvASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Удаленныеустройства

Дос

туп

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть

SDN)

АСУ ТП

CTD

IDS RA

МСЭБеспроводная

сеть

Коммутатор

Маршрутизатор

СегментацияМониторинг

Откуда брать данные?

Объединяя типы данных и места их сбора

Объединяя типы данных и индикаторы

Инцидент попадает к

CISO

КТОэто

сделал?

КАК это

произошло?

ЧТО пострадало

?

ОТКУДА начался

инцидент?

КОГДАэто

произошло?

Шаг 7. Выбрать нужные технологии

Пора задуматься о смене стратегии

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32

Как Cisco ловит угрозы в своей сети?

Нейтрализовать и реагировать

Метрики иотчеты

Управление конфигурацией

Инспекция

Регистрация

Идентификация

Телеметрия

IDS | IPS | NAM | NetFlow | Web Gateway| HIDS

Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN

Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1xAddress, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB

ExecsAuditorsInfosecIT Orgs

HR-LegalLine of Biz

AdminsEnd UsersPartnersBusiness Functions

Информирование Реагирование

РасследованиеОбнаружение

DBs

Внешние фиды об угрозах

Сканы Конфиги Логи Потоки События

4TB в день

Сист. управления

Incident Mgt System

Compliance Tracker

Incident Response TeamPlaybook

Спасибо!