Платформа Palo Alto Networks для защиты корпоративной сети от современных кибер- угроз. Евгений Кутумин Консультант по информационной безопасности Palo Alto Networks Russia & CIS
Платформа Palo Alto Networks для защиты корпоративной сети от современных кибер-угроз.
Евгений КутуминКонсультант по информационной безопасности
Palo Alto Networks Russia & CIS
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall Инспекция трафика Контроль приложений и
пользователей Защита от угроз 0-ого дня Блокировка угроз и вирусов на
уровне сети
Next-Generation Threat Cloud Анализ подозрительных файлов
в облаке Распространение сигнатур
безопасности на МЭ
Next-Generation Endpoint Инспекция процессов и файлов Защиты от известных и неизвестных угроз Защиты стационарных, виртуальных и
мобильных пользователей Интеграция с облачной защитой от угроз
Next-Generation Security Platform
3 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Межсетевой экран нового поколения Palo Alto Networks
Инновационные технологии Palo Alto Networks
•App-ID™•Идентификация•приложений
User-ID™•Идентификация•пользователей
•Content-ID™
•Контроль данных
•+ SSL decryption
Основные преимущества МЭ Palo Alto Networks
• Код NGFW был написан с нуля в 2005г. и сразу включал в себя контроль приложений, пользователей и функции защиты, как следствие высокое качество;
• Единая платформа: нет необходимости покупать различные модули или блейды. Платформа «all inclusive»;
• Высокая производительность при больших нагрузках и при включении всех функций защиты за счёт использования специализированных перепрошиваемых процессоров FPGA ( анг. «ПЛИС»)
Основные преимущества МЭ Palo Alto Networks
6 | ©2014, Palo Alto Networks. Confidential and Proprietary.
• Функционал App-ID – главная «сила» МЭ Palo Alto Networks:• Высокое качество сигнатур приложений;• Удобное разрешение приложений по стандартным портам одним
нажатием;• Блокировка «плохих» приложений: Tor, Ultraserf, DNS/ICMP/SSH и др.;• QoS (shaping) по приложениям и пользователям.
Cyber Security AllianceУчастники:•Palo Alto Networks;•Symantec;•McAfee;•Др.
http://cyberthreatalliance.org/news.html
Цель:•Обмен информацией по новым вирусам
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall Инспекция трафика Контроль приложений и
пользователей Защита от угроз 0-ого дня Блокировка угроз и вирусов на
уровне сети
Next-Generation Threat Cloud Анализ подозрительных файлов
в облаке Распространение сигнатур
безопасности на МЭ
Next-Generation Endpoint Инспекция процессов и файлов Защиты от известных и неизвестных угроз Защиты стационарных, виртуальных и
мобильных пользователей Интеграция с облачной защитой от угроз
Next-Generation Security Platform
9 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Wildfire – сервис защиты от вредоносного ПО «нулевого дня»
(APT)
Кампания ANUNAK
Элементы атаки
Spear phising
рассылка с вредоносными вложениями от
лица ЦБ РФ
Использование существующих ботнетов для
распространения нового кода
Инфицирование через drive-by-
download: Andromeda и Pony трояны
через Neutrino Exploit Kit
Доступ к банкоматам из
специализированных сегментов, которые
должны быть изолированными, и инфицирование ОС
Снятие денег из банкоматов и
через Интернет-
кошельки, напр. Yandex Money
Подтверждено, что было
захвачено 52 банкомата. Кража
более 1 млрд. рублей.
Украдено более 300 млн. $ с 2014 г. из банков в России и Европе
http://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.html http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf
Anunak – письмо с вредоносным вложением
Координированное предотвращение угроз
Блокировка плохих приложений и трафика по нестандартным портам
Блокировка категории MalwareВыдача заглушки для категории unknown
Блокировка использования уязвимостей
Запрет передачи файлов по типуЗащита от неизвестных вирусов
Защита от известных вирусов
Защиты от ботнетов и шпионского ПО
Блокировка неизвестного трафикаБлокировка категории Malware
Блокировка новых C&C каналов
Координи-рованное интеллек-туальное блокирование активных атак по сигнатурам, источникам, поведению
Приманка ЭксплоитЗагрузка ПО для «черного хода»
Установление обратного канала
Разведка и кража данных
Архитектура Wildfire
Internet
Исполняемые файлы (*.exe,*.dll, *.bat, *.sys, и т.д.)
Частное облако Wildfire (WF-500)
Частное облако доступно в виде сервера WF-500
Принцип работы МЭ Palo Alto Networks + WF-500: МЭ Palo Alto Networks отсылают
файлы для сканирование на WF-500 Все файлы сканируются локально
на WF-500 Идентификация новых угроз
аналогично облачному сервису Wildfire
Опциональная возможность отсылки подтвержденного вируса в облако Wildfire для генерации сигнатуры безопасности
WildFire Cloud
All unknown files
Confirmed Malware(optional)
Signatures
Customer Firewalls
Local Customer Network
15 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Семейство платформ межсетевых экранов Palo Alto Networks
Семейство платформ Palo Alto Networks
PA-500250 Мбит/с FW/100 Мбит/с
предотвращение атак /64,000 сессий
8 copper gigabit
PA-505010 Гбит/с FW/5 Гбит/с предотвращение
атак /2,000,000 сессий4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 RJ-45
gigabit
PA-50205 Гбит/с FW/ 2 Гбит/с предотвращение
атак /1,000,000 сессий8 SFP, 12 RJ-45 gigabit
PA-506020 Гбит/с FW/10 Гбит/с предотвращение
атак/4,000,000 сессий4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 RJ-45
gigabit
PA-200100 Мбит/с FW/50 Мбит/с
предотвращение атак/64,000 сессий
4 copper gigabit
4 Gbps FW2 Gbps threat prevention500,000 sessions12 copper gigabit8 SFP interfaces
PA-30502 Gbps FW1 Gbps threat prevention250,000 sessions12 copper gigabit8 SFP interfaces
PA-3020
до 1 Gbps FWдо 600 Mbps threat
preventionдо 250,000 sessions
VM Series(VMware/Citrix SDX)Hyper-V, Azure
PA-7000 - самый производительный в мире NGFW !!
17 | ©2014, Palo Alto Networks. Confidential and Proprietary.
PA-7080 System PA-7050 System PA-7000 NPCFirewall Gbps (App-ID) 200 120 20Threat Gbps (DSRI) 160 100 16Threat Gbps (Full) 100 60 10Firewall PPS (Millions) 120 72 12IPSec VPN Gbps 80 48 8New sessions per second 1,200,000 720,000 120,000Max sessions (Millions) 40 24 4Virtual systems (base/max2) 25/225 25/225 --
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall Инспекция трафика Контроль приложений и
пользователей Защита от угроз 0-ого дня Блокировка угроз и вирусов на
уровне сети
Next-Generation Threat Cloud Анализ подозрительных файлов
в облаке Распространение сигнатур
безопасности на МЭ
Next-Generation Endpoint Инспекция процессов и файлов Защиты от известных и неизвестных угроз Защиты стационарных, виртуальных и
мобильных пользователей Интеграция с облачной защитой от угроз
Next-Generation Security Platform
Сервис защиты от APT на end point – Traps
Virtual Machines
Terminals
Tablets\ Smartphones
Central Management Center
SIEM/ SOC/ Syslog
Palo Alto Networks Next-Generation Threat Cloud (Wildfire)
Desktop\servers
Фундаментально другой подход от Palo Alto NetworksТеперь предотвращение возможно!
Уязвимости ПО
Техники использования
уязвимостей
Вредоносное ПО
Тысячи в год Всего 2-4 в год Миллионы в год
Как работает предотвращение эксплойта
Документ открывается
пользователем
В процесс незаметно
встраиваются ловушки
Процесс защищен, так как эксплойт
обязательно попадет в ловушки
CPU <0.1%
При попытке использования уязвимости эксплойт попадает в ловушку и блокируется еще до исполнения вредоносного кода.Карантин и лечение не требуются!
Атака блокирована до исполнения
какого-либо вредоносного кода
Хостзащищен!
Процесс остановлен
Собраны доказательства
Пользователь и АИБ оповещен
Ловушки запускают немедленную
защитную реакцию
Отчет в систему
управления (ESM)
Preparation Triggering Circumvention
Пример предотвращения эксплойта – Clandestine Fox (распространялся через соц. сети для атаки на энергетические компании)
Предотвращение хотя бы одной техники в цепочке блокирует атаку целиком
Защита от искажения содержимого оперативной памяти хоста
Вмешательство в случае нарушения логики процесса
Экранирование функций ОС
Размещение ловушек в оперативной памяти процесса
Heap Spray/ Buffer overflow
Use after free Utilizing OS function
ROP/BROPCVE-2014-1776(IE 6 – 11)
Интеграция с Wildfire (Threat Cloud)
Unknown
Benign
Malicious
Пользователь открывает файл
Safe
WildFire
Local Cache Server Cache
? Unknown
Benign
Malicious
? Unknown
Benign
Malicious
?
UnknownFile Upload
EXE
Override? or Revoke?
Изменение вердиктав ESM
Исполнение файлы
терминируется
ESM Console
Системные требования (Traps)
Все платформы и приложения на базе Windows• Desktops, Servers, Terminals, VM, VDI
• ICS SCADA and POS• XP, SP3- Windows 8.1, 32-bit & 64-bit,
Windows Servers 2003 – 2012
Потребляемые ресурсы• ~25 MB RAM• 0.1% CPU в момент старта процесса• Доступ в сеть только после предотвращения