Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать неизвестные угрозы?"

Бизнес-консультант по безопасности

Обнаружение необнаруживаемогоАлексей Лукацкий

24 ноября 2016 г.

Нарушитель реализует действия против цели приводящие к

последствиям

Что такое киберугроза?

Cisco Confidential –Internal Use Only

95%

5%

95%

Сложности ИБ

§ Управляемые/неуправляемые десктопы

§ Спам/Вредоносы

§ DDoS§ Удаленно

контролируемые скомпрометированные узлы

§ Постоянные изменения в сети

Базовые решения

§ Антивирус

§ МСЭ

§ IDS/IPS

§ WSA/ESA

§ Сетевая сегментация

§ Сбор и анализ логов

§ Incident Response Team

Вы обнаруживаете 100% угроз?

Инцидент попадает

к CISO

КТОэто

сделал?

КАКэто

произошло?

ЧТО пострадало

?

ОТКУДАначался

инцидент?

КОГДАэто

произошло?

Оставшиеся 5% и составляют кошмар CISO

• Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)

• Высокий уровень доработки продуктов для очередной кампании• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%

приведёт к внедрению следующих уникальных модулей• Известно, что вредоносное ПО будут искать• Известно про запуск в песочницах• Развитая индустрия создания специфического

ПО с неплохими бюджетами и высоким уровнем заинтересованности

• Все лучшие методологии разработки и отладки

Что мы знаем о современном вредоносном ПО?

К чему это приводит?

Bitglass

205

Trustwave

188

Mandiant

229

2287 дней – одно из самых длинных незамеченных вторжений

Ponemon

206

HP

416Symantec

305

Как защититься от киберугроз?Identify(идентификация)

Protect(защита)

Detect(обнаружение)

Respond(реагирование)

Recover(восстановление)

Сети

Устройства

Приложения

Пользователи

Данные

Identify(идентификация)

Protect(защита)

Detect(обнаружение)

Respond(реагирование)

Recover(восстановление)

Сети

Устройства

Приложения


Данные

• В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие

• В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны

• Открытая• Слепая• Спрятанная• Неизвестная

Окно Джохари

4 зоны окна Джохари

В скрытой зоне находятся качества, известные человеку, но неизвестные окружающим

В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку

В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим

?

В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие

Открытая Слепая

Скрытая Неизвестная

Окно Джохари применительно к ИБИзвестно аналитику ИБ Не известно аналитику ИБ

Известно другим

Не известно другим

Другие – это исследователи, хакеры, спецслужбы…

Открытая зона

Плохие файлыПлохие IP, URLСпам/Фишинговые EmailСигнатурыУязвимостиИндикаторы компрометации

Открытая зона

Известно аналитику


• NGFW, IPS, Web/Email Security, WAF, песочницы…

Решения для обнаружения угроз

• API, pxGrid и т.п.Интерфейсы для обмена информацией об угрозах

• Сканеры уязвимостей, SAST/DAST, Vulners, БДУ и др.

Системы анализа защищенности

• OpenIOC, STIX , TAXII, и т.д. Индикаторы компрометации

Как обнаруживать известное?

Откуда мы получаем данные об угрозах?

• Получение информации с ошибками• Отсутствие или исчезновение информации на конкретные

угрозы• Отсутствие учета вертикальной или страновой специфики• Смена политики лицензирования

• Смена собственника• Поглощение компании-разработчика• Сотрудничество со спецслужбами• Санкции…

Риски получения данных об угрозах из одного источника

Вы доверяете своему вендору?16 апреля 2015 годаhttp://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/

Дело СОВСЕМ не в названиях компаний, проблема в методологии

Может увеличить число источников?

Источники поступления информации об угрозах

Информация об угрозах

ВендорСрЗИ

3rd partyСрЗИ

OSINTфиды

Поставщики фидов и сигнатур

3rd party поставщики сигнатур атак

Сигнатуры

Cisco Talos

Бесплатные

Платные

Под заказ

Emerging Threats

ET OpenET Pro

Idappcom Платные

Wurldtech Платные (для ICS)

• Все поставщики сигнатур разрабатывают их под Snort (стандарт де-факто)

• Bro и Surricata могут использовать сигнатуры Snort-style

• Российские «разработчики» IDSобычно используют сигнатуры ET

А где брать сведения об уязвимостях помимо сканеров безопасности?

Почему так важна Threat Intelligenceсегодня?!

• Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им

• Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.

Что у нас с атрибуцией нарушителя?

США атакованы «Россией»! Кто в действительности стоит за атакой?

• Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки

• Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены

комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке

• Изучение «почерка» программистов

Методы атрибуции обычно применяются в совокупности

• Стилометрия (изучение стилистики языка в комментариях и иных артефактах)

• Обманные системы (honeypot)• Анализ активности на форумах и в соцсетях• Анализ постфактум (продажа украденной информации…)• Оперативная разработка

Методы атрибуции обычно применяются в совокупности

• Хакеры действовали из часового пояса, в котором находится Москва

• Хакеры действовали в то время, когда в Москве рабочие часы

• Хакеры действовали с IP-адресов, зарегистрированных в России

• Хакеры использовали сервисы, у которых был русскоязычный интерфейс

Одиночные «доказательства» русского следа

Геополитические

Правовые

Технические

Почему точная атрибуция невозможна?

© 2015 Cisco and/or its affiliates. All rights reserved. 27

Экономические

Психологические

TTP

Инструменты

Сетевые / хостовыеартефакты

Доменные имена

IP-адреса

Хеши Тривиально

Элементарно

Просто

Раздражающе

Сложно

Тяжело

Вернемся к данным об угрозах (IoC)

Адреса IPv4 Домены / FQDN Хэши (MD5, SHA1)

URLТранзакционные

(MTA, User-Agent)

Имя файла / путь

Mutex Значение реестра

Имена пользователей

Адреса e-mail

Распространенные IoC

Разведка Оснащение Доставка Заражение Инсталляция Получение управления

Выполнение действий

Файл – имяФайлURI – URLHTTP - GETHTTP – User AgentURI – имя доменаАдрес – e-mailАдрес – IPv4

Файл – путьФайлURI – URL

ПоведениеФайл – имяФайл – путьФайлURI – URLHTTP – POSTЗаголовок e-mail– ТемаЗаголовок e-mail– X-MailerURI – имя доменаХеш – MD5Хеш – SHA1Адрес – e-mailАдрес – IPv4

ПоведениеКлюч реестра WinФайл – имяФайлURI – URLURI – имя доменаХеш – MD5Хеш – SHA1Адрес – CIDRАдрес – IPv4

Код – Бинарный код Процессы WinКлюч реестра WinФайл – имяФайл – путьФайлURI – URLHTTP – GETHTTP – User AgentURI – имя доменаХеш – MD5Хеш – SHA1Адрес – e-mailАдрес – IPv4

ПоведениеПроцессы WinКлюч реестра WinФайлURI – URLHTTP – GETHTTP – POSTHTTP – User AgentURI – имя доменаХеш – MD5Адрес – e-mailАдрес – IPv4

ПоведениеПроцессы WinСервисы WinФайл – ПутьФайл – ИмяФайлURI – URLURI – имя доменаХеш – MD5Хеш – SHA1Адрес – IPv4

IoC в привязке к Kill Chain

• Фиды (feeds) – способ представления данных об угрозах• Поддержка различных языков программирования

и форматов данных• JSON• XML• CyBOX• STiX• CSV• И другие

Фиды Threat Intelligence

Этапы зрелости использования фидов

Эпизодическое применение фидов

Регулярное использование отдельных ресурсов с фидами

Использование платформы TI

Использование API для автоматизации

Обмен фидами

Источники фидов

http://atlas.arbor.net/

Инициатива Arbor ATLAS (Active Threat Level Analysis System)• Глобальная сеть анализа угроз (обманные системы)• Информация берется от обманных систем (honeypot),

IDS, сканеров, данных C&C, данных о фишинге и т.д.• Публичная информация о Топ10 угрозах• Для доступа к некоторым данным требуется регистрация

http://www.spamhaus.org

Проект для борьбы со спамом• Поддерживает различные базы данных (DNSBL) с

даннымипо угрозам (IP-адреса) – спамеры, фишеры, прокси,перехваченные узлы, домены из спама

• Реестр ROKSO с самыми известными спамерами в мире• Проверка и исключение своих узлов из «черных

списков»


https://www.spamhaustech.com

SpamTEQ – коммерческий сервис Spamhaus• Фиды по репутациям IP- и DNS-адресов• Ценовая политика зависит от типа организации и

типа запрашиваемых данных• Годовой абонемент

https://www.virustotal.com

Проект для борьбы со спамом• Проверка файлов и URL на вредоносность• Бесплатный сервис• Система поиска


https://www.threatgrid.com

Фиды по сетевым коммуникациям• IRC, DNS, IP• Россия и Китай• Сетевые аномалии• RAT и банковские троянцы• И др.

https://www.alienvault.com/open-threat-exchange

Открытое community по обмену информацией об угрозах• IP- и DNS-адреса• Имена узлов• E-mail• URL и URI• Хеши и пути файлов• CVE-записи и правила CIDR

Форматы:• JSON• CyBOX• STiX• CSV• Snort• Raw


https://www.cisco.com/security

IntelliShield Security Information Service• Уязвимости• Бюллетени Microsoft• Сигнатуры атак Cisco• Web- и обычные угрозы• Уязвимые продукты (вендор-независимый)

http://www.malwaredomains.com

Проект DNS-BH (Black Holing)• Обновляемый «черный» список доменов, участвующих в

распространении вредоносного кода• Список доступен в формате AdBlock и ISA

Какие еще источники фидов есть?IOC

• Abuse.ch• Blocklist.de• CleanMX• EmergingThreats• ForensicArtifacts• MalwareIOC• Nothink• Shadowserver

DNS

• ISC DNSDB• BFK edv-

consulting

Вредоносное ПО

• VirusShare.com

А еще?• CrowdStrike

• FarSight Security

• Flashpoint Partners

• IOCmap

• iSightPartners

• Microsoft CTIP

• Mirror-ma.com

• ReversingLabs

• SenderBase.org

• Threat Recon

• Team Cymru

• Webroot

• ZeusTracker

• И другие

А в России?

На что обратить внимание при выборе фидов?• Тип источника

• Уровни представления информации

• Широта охвата

• Число записей

• Языковая поддержка/покрытие

• Доверие к источнику (популярность и отзывы)

• Оперативность/частота предоставления фидов

• Платность

• Формализованность представления информации

• Возможность автоматизации

• Соответствие вашей инфраструктуре

• Частота ложных срабатываний

• Возможность отката назад или пересмотра статуса угрозы (например, для вылеченного сайта)

От фидов к платформе

• Чем масштабнее система TI, тем «серьезнее» должна быть платформа для анализа

• Например, BAE Systems Detica CyberReveal, IBM i2, Lookingglass ScoutVision, Mitre CRITs, Palantir, Paterva/Maltego CaseFile, SharePoint, ThreatConnect

• В простых случаях можно обойтись решениями open source

Платформы Threat Intelligence

https://www.threatconnect.com

6 уровней:• Индивидуальный• Базовый• Команда• Предприятие• MSSP• ISAC/ISAO

Возможности:• Премиум и open source фиды• Наличие API• Неструктурированые данные• Приватная маркировка• Облако или on-premise• Тактический / стратегический

https://crits.github.io

Платформа open source от MITRE• Использует другие open source решения, объединяя их вместе• Анализ и обмен данных об угрозах• Изолированная или разделяемая архитектура

Что такое CRiTs?• Python/Django front end UI

• Apache или Django runserver

• MongoDB backend• Fault Tolerant• High Performance• NO SQL• Mongo FS для файлов

• Document based• Files and metadata

Применение CRiTs в Cisco

Обнаруживать

Применение CRiTS в Cisco

45

Предотвращать

DNS RPZ

host IDSBGP NetFlow

Syslog

В процессе

pDNS

Делиться

Govt

Сейчас

Планы

CSIRTESA

HIPS LUPA

WSA

Партнеры

CRITS

MD5

IPV4Regkey

AV SBG

TIP

Клиенты



Возможности:• Премиум и open source фиды• Наличие API• Неструктурированые данные• Приватная маркировка• Облако или on-premise• Индикаторы компрометации• Интеграция с различными SIEM

https://www.iocbucket.com

Возможности:• Редактор IOC (индикаторов компрометации)• Поддержка YARA и OpenIOC• Обмен IOC• Бесплатная• Готовится сервис фидов (коммерческих и

бесплатных)• Готовится поддержка TAXII


https://www.threatstream.com

Возможности:• Премиум и open source фиды• Наличие API• Неструктурированные данные• Приватная маркировка• Интеграция с различными поставщиками фидов• Гибкость• Работа на мобильных платформах (Apple Watch)• Интеграция с различными SIEM

http://csirtgadgets.org/collective-intelligence-framework/

Возможности:• Open source платформа• Собирает данные из различных источников,

поддерживающих стандарт CIF• Позволяет идентифицировать инциденты• Может формировать правила для IDS• Есть фиды и API

Популярный Maltego• Maltego – open source решение для

анализа данных, полученных из разных источников, и связей между ними

• Canari Framework –инфраструктура, позволяющая более эффективно использовать Maltego

• Malformity – Maltego-проект, базирующийся на Canari, для проведения исследования вредоносного кода и др.

Facebook тоже вышел на рынок Threat Intelligence

11 февраля 2015 года!

http://threatexchange.fb.com/

Платформы и источники для TIКоммерческая или бесплатная?

Коммерческая

• Масштаб• Удобство• Оперативность• Гарантия• Поддержка• Функциональность

Бесплатная

• Цена• Энтузиазм

• Большое количество угроз и непредсказуемость времени их получения требует автоматизации процесса Threat Intelligence и его интеграции с существующими решениями класса SIEM или SOC

• Автоматизация может быть достигнута за счет API / SDK, который сможет• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая

платформы TI

• Поддержка различных языков программирования• Go и Ruby• Java и .NET• Perl и PHP• Powershell и Python• RESTful• WSDL и SOAP

Threat Intelligence API

API для автоматизации процесса

VirusTotal

https://www.virustotal.com/en/documentation/public-api/• Загрузка и сканирование файлов• Загрузка и сканирование URL• Получение отчетов

ThreatGRID

Широкие возможности по загрузке и получении ответа• Артефакты (хэш, путь)• URL• Ключ реестра• Домен / имя узла• IP• IOC• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)

API для автоматизации процесса

OpenDNS

Анализ DNS/IP-адресов на предмет их вредоносности

• Угроза должна быть описана

• Угрозы должны быть объединены в признаки компрометации

• Информация обугроза должна быть передана

Взаимосвязь стандартов Threat Intelligence

• Описание различных проблем с ИБ• CAPEC (http://capec.mitre.org/) - классификация и систематизация шаблонов атак• CCE (http://cce.mitre.org/) - описание конфигураций• CEE (http://cee.mitre.org/) - описание, хранение и обмен сигналами тревоги между разнородными

средствами защиты (аналог SDEE/RDEP)• CPE (http://cpe.mitre.org/) - описание элементов инфраструктуры• CVE (http://cve.mitre.org/) - классификация и систематизация уязвимостей• CVSS (http://www.first.org/cvss/cvss-guide) - приоритезация уязвимостей• CWE (http://cwe.mitre.org/) - стандартизованный набор слабых мест в ПО• MAEC (http://maec.mitre.org/) - систематизация атрибутов вредоносного кода. «Сменил на посту» CME• MARF (http://datatracker.ietf.org/wg/marf/documents/) • OVAL (http://oval.mitre.org/) - язык описания уязвимостей• CRF (http://makingsecuritymeasurable.mitre.org/crf/) - описание результатов тестирования и оценки

защищенности

Стандарты Threat Intelligence

• Признаки компрометации (Indicators of Compromise) и информация о нарушителях и хакерских кампаниях

• OpenIOC (http://openioc.org) - преимущественно хостовые признаки• CybOX (http://cybox.mitre.org) • OpenIOC è CybOX (https://github.com/CybOXProject/openioc-to-cybox) • STIX (http://stix.mitre.org) - описание угроз, инцидентов и нарушителей• IODEF (RFC 5070) (http://www.ietf.org/rfc/rfc5070.txt) – активно применяется• RFC 5901 (http://www.ietf.org/rfc/rfc5901.txt) – расширение IODEF для фишинга• IODEF-SCI – расширение IODEF для добавления дополнительных данных• VERIS (http://www.veriscommunity.net/) – высокоуровневый стандарт Verizon• x-arf (http://www.x-arf.org/) - уведомление о сетевых нарушениях


• Обмен информацией• TAXII (http://taxii.mitre.org) - обмен информацией, описанной с помощью STIX• VEDEF (http://www.terena.org/activities/tf-csirt/vedef.html) - европейский стандарт TERENA • SecDEF – европейский стандарт ENISA• CAIF (http://www.caif.info) - европейский стандарт• DAF (http://www.cert-verbund.de/projects/daf.html) - европейский стандарт• IODEF• RID (RFC 6545/6546) – взаимодействие между системами ИБ-аналитики• MANTIS (https://github.com/siemens/django-mantis.git) – инициатива по объединению OpenIOC, CybOX,

IODEF, STIX и TAXII в единое целое• RFC 5941 – обмен информацией о мошенничестве (фроде)• MMDEF (http://standards.ieee.org/develop/indconn/icsg/mmdef.html) - обмен метаданными вредоносного

кода


• Разное• TLP – протокол «раскраски» сообщений об угрозах, позволяющий автоматически определить круг

распространения информации• CIF (http://collectiveintel.net/) – разработан REN-ISAC для собирать данные из разных источников и

нейтрализовать угрозы путем генерации правил для Snort, iptables и др.


3rd party тоже не панацея. Оцените риски!

У меня есть фиды (IoC) и что дальше?

Фиды

«Yara»

SIEM

СрЗИ

Руки J

Средства для поиска угроз на базе IoC

• Yara• PowerShell• AutoRuns – Utility• Loki• Wireshark – tshark

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62

Слепая зона

Нехватка логовРазрыв в процессахНехватка интеграции/масштабированияНехватка корреляцииЛожные срабатывания

Слепая зона

Неизвестно аналитику


Нехватка данных для анализа

• Syslog, CDR…Логи

• Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги

• E-mail, файлы, Web-страницы, видео/аудио…Контент

• Netflow, IPFIX…Потоки

• Имена пользователей, сертификаты…Идентификационные данные

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводнаясеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAvASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Удаленныеустройства

Дост

уп

Облачный шлюз

безопасности

Облачный шлюз

безопасности

Матрица ASA, (сеть

SDN)

АСУ ТП

CTD

IDS RA

МСЭБеспроводная

сеть

Коммутатор

Маршрутизатор

СегментацияМониторинг

Откуда брать данные?

Объединяя типы данных и места их сбораМесто съема данных Источник данных

Сиг

налы

тр

евог

и

Конт

ент

Пот

оки

Логи

Иде

нтиф

икац

ия

Интернет-периметр

Сервер DHCP ✔

Сервер DNS ✔

DLP ✔ ✔ ✔

WAF ✔ ✔

NAC ✔ ✔

Маршрутизатор ✔ ✔

…

Объединяя типы данных и индикаторыКатегория индикатора Индикатор

Сиг

налы

тр

евог

и

Конт

ент

Пот

оки

Логи

Иде

нтиф

икац

ия

Системнаяактивность

Неудачные попытки входа ✔ ✔

Доступ к нетипичным ресурсам ✔ ✔

Утечка данных ✔ ✔ ✔ ✔ ✔

Изменение привилегий ✔ ✔ ✔ ✔

Нетипичные команды ✔ ✔ ✔

Нетипичные поисковые запросы ✔ ✔ ✔ ✔

…

• Elastic Search• Log Stash• Kibana• Splunk• Security Onion• Flowplotter

• Wireshark - tshark• Network Miner• Snort• Suricata• BRO• Flowbat

Средства сбора и анализа сетевой телеметрии

Для слепой зоны нужны корреляция

Корреляция


Приложения Сеть

Физический мир

Threat Intelligent Platforms

• Агрегация телеметрии из множества источников

Аналитика ИБ

• OpenSOC(Metron), Splunk, SIEM, ELK

Облачные решения

• CTA, OpenDNS

• Sec-aaS

Что помогает обнаруживать угрозы в слепой зоне?

Скрытая зона

КонтекстКорреляция событийИсторический контекстБазовый профиль (эталон)Анализ данных

Скрытая зона

Известно аналитику


• У вас могут быть свои подозрительные файлы

• Вы можете не хотеть «делиться» вашими анализами с другими

• Вас может не устраивать оперативность фидов

• Ваш источник фидов может плохо охватывать Россию

• У вас собственная служба расследования инцидентов и аналитики вредоносного кода

• Вы пишете вредоносный код J

А разве фидов недостаточно?

Данные об угрозах в RSA Security Analytics

Данные об угрозах в EnCase Endpoint Security

Возможность анализа собственных угроз


Загрузка собственных угроз • С помощью API в облако• С помощью API на локальное

устройство on-premise• Вручную через портал

https://malwr.com

Сервис анализа вредоносного кода• Базируется на VirusTotal и Cuckoo Sandbox• Бесплатный

• Активы/Сеть• Сетевая топология• Профиль актива

• Адрес/местоположение• Аппаратная платформа• Операционная система• Открытые порты/Сервисы/Протоколы• Клиентское и серверное ПО и его версия• Статус защищенности

• Уязвимости

• Пользователь• Местоположение• Профиль доступа• Поведение

Что мы знаем и не знают другие?

• Файл/Данные/Процесс• Движение• Исполнение• Метаданные• Источник• «Родитель»• Репутация

• Безопасность• Точечные события• Телеметрия• Ретроспектива

èМСЭ / NGFW / NAC

èIDS / IPS

èNBADèAV / BDS

SIEM / LM

XX

XX

Откуда эти данные взять?

XèФильтрация контента

èА еще ОС, СУБД…

На что обращать внимание?!

Активность

• Системная (изменение поведения ИТ-систем или шаблонов доступа)

• Объектовая (шаблоны местонахождения и времени)

• Бизнес

Контекст

• Социальный (социальные коммуникации)

• Здоровье / психология (изменения в психологии и здоровье)

• HR (непростые жизненные события)

Телеметрия

• Финансовая (непредвиденныеили неожиданные траты)

• Безопасность (нарушения политик ИБ)

• Криминальная

Источники данных для анализа

Внутренние

• Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.)

• Критичные ресурсы• СКУД (местоположение,

GSM, CCTV, бейджи и т.п.)• Данные о персонале (HR,

проверки СЭБ и т.п.)

Внешние

• Данные от правоохранительных органов

• Банковские выписки• Выписки ДМС,

медосмотры

• Неудачные попытки входа в системы• Доступ к нетипичным ресурсам• Профиль сетевого трафика• Утечки данных (по объему, типу сервиса и контенту)• Нетипичные методы доступа• Изменение привилегий• Нетипичные команды• Нетипичные поисковые запросы

Выбрать индикаторы

• Модификация логов• Нетипичное время доступа• Нетипичное местонахождение• Вредоносный код• Модификация или уничтожение объектов ИТ-инфраструктуры• Поведение конкурентов и СМИ• Необычные командировки и персональные поездки

Примеры индикаторов

• Негативные сообщения в социальных сетях• Наркотическая или алкогольная зависимость• Потеря близких• Проигрыш в казино• Ухудшение оценок (review)• Изменение финансовых привычек (покупка дорогих вещей)• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)

Примеры индикаторов

Обычно мы оперируем только низкоуровневыми данными

Данные Информация Знания

Время Внутр.адрес Внеш.адрес

2:03 10.0.0.1 64.25.1.2

8:03 10.0.0.2 33.79.3.14

8:30 10.0.0.2 121.9.12.5

8:32 10.0.0.1 64.25.1.2

Время Внутр.адрес Пользователь Внеш.адрес

2:03 10.0.0.1 Гость 64.25.1.2

8:03 10.0.0.2 Иван Петров 33.79.3.14

8:30 10.0.0.2 Иван Петров 121.9.12.5

8:32 10.0.0.1 Гоьст 64.25.1.2

Время Внутр.адрес Пользователь Внеш.адрес Репутация

2:03 10.0.0.1 Гость 64.25.1.2 Unknown

8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted

8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted

8:32 10.0.0.1 Гость 64.25.1.2 Bad

?

Время Внутр.адрес Пользователь Внеш.адрес Время Приложение

2:03 10.0.0.1 Гость 64.25.1.2 Unknown Web

8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted Web

8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted Email

8:32 10.0.0.1 Гость 64.25.1.2 Bad Unknown

?

От данных к анализу информации


Время,Внутренний адрес,Внешний адрес,Пользователь,Репутация,Приложение

От анализа информации к знаниям

Пользователь ‘Гость’ вероятно был

инфицирован в 2:03,посещая 64.25.1.2, затем контактируя с

сервером C&C в 8:32


Время,Внутренний адрес,Внешний адрес,Пользователь,Репутация,Приложение

Сетевые ресурсыПолитика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция угроз

Гостевой доступ

Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативамP

Что

Когда

Где

Как

Дверь всеть

КонтекстОбмен

данными

Контекст очень помогает в слепой зоне

Доступ

Доверие

Меньше доверияМеньше доступа

Больше доверияМеньше доступа

Меньше доверияБольше доступа

Больше доверияБольше доступа

Устройства «Интернета вещей»

(BMS, принтеры, СКУД и т.п.)

Другое

Управляемые Ciscoустройства

Устройства других компаний

• Ограниченные возможности по управлению

• Политика ограниченного доступа• Регистрация устройств

• Пользовательские устройства

• Устройства, зарегистрированные вCisco Device Management Suite

• Управляемые, но не входящие вCisco Device Management Suiteустройства

• Бизнес или техническиеограничения

Опыт использования контекста в Cisco

Кто? Известные пользователи(Сотрудники, продавцы, HR)Неизвестные пользователи (Гости)

Что?Идентификатор устройстваКлассификация устройств (профиль)Состояние устройства (posture)

Как?Проводное подключениеБеспроводное подключениеVPN-подключение

Где / куда / откуда?ГеографическоеместоположениеДепартамент / отделSSID / Порт коммутатора

Когда?ДатаВремя

Другие?Пользовательские атрибутыСтатус устройства / пользователяИспользуемые приложения

Опыт использования контекста в Cisco

Что помогает обнаруживать угрозы в скрытой зоне?

Визуализация

• Траектория файлов

• Вектора атак• Имитация пути

злоумышленника

Аналитика ИБ

• Пользовательские запросы в OpenSOC (Metron), Splunk, SIEM, ELK

Контекст

• Identity Firewall• NAC• ISE

Визуализация угрозы

• Threatcrowd.org позволяет организовать поиск взаимосвязей между IOCs:

• IP-адреса• Доменные имена• Хеши файлов• Имена файлов

• Аналогичную задачу можно реализовать с помощью OpenDNS, Maltego, а также OpenGraphitti

Визуализация скрытых связей

Визуализация скрытых связей

OpenGraphitti

Неизвестная зона


Есть известные известные — вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные — вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные — это вещи, о которых мы не знаем, что не знаем их

Бывший министр обороны СШАДональд Рамсфельд

Выпадающие события / «Черный лебедь»Аномальное поведение0-DaysЕще нет сигнатур/решающих правил


Не известно аналитику


Обнаружение угроз в неизвестной зоне

Неизвестное неизвестное

Анализ поведения

Машинное обучение

Статистический анализ

Обнаружение аномалий и классификация событий

Обнаружение аномалий

• Скажи мне если произойдет что-то необычное

Классификация

• Скажи мне когда ты увидишь нечто, похожее на это

Анализ NetFlow – путь к самообучаемым сетям

Сетевые потоки как шаблоны вторжений

Мощный источник информациидля каждого сетевого соединения

Каждое сетевое соединенияв течение длительного интервала времени

IP-адрес источника и назначения, IP-порты, время, дата передачи и другое

Сохранено для будущего анализа

Важный инструментдля идентификации взломов

Идентификация аномальной активности

Реконструкция последовательности событий

Соответствие требованиям и сбор доказательств

NetFlow для полных деталей, NetFlow-Lite для 1/n семплов

THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out

THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out

FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In

FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out

FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In

MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In

TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out

TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In

TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out


WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In

WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In


THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out

THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out


FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out

FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In



TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In


Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out

Вспомним распечатку мобильного оператора

Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out



WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH InWED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In


THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH OutTHR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out


FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH OutFRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In



TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH InTUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out

Вспомним распечатку мобильного оператора

Кто КудаЧто

Когда

Как

ОткудаБольше контекста

Высокомасштабиуремый сборВысокое сжатие => долговременное

хранилище

NetFlow с точки зрения контекста

NetFlow может обнаруживать не столько известные угрозы, сколько аномалии

Стадия атаки ОбнаружениеИспользование уязвимостейЗлоумышленник сканирует IP-адреса и порты для поиска уязвимостей (ОС, пользователи, приложения)

1§ NetFlow может обнаружить сканирование диапазонов IP§ NetFlow может обнаружить сканирование портов на

каждом IP-адресе

Установка вредоносного ПО на первый узелХакер устанавливает ПО для получения доступа2 § NetFlow может обнаружить входящий управляющий

трафик с неожиданного месторасположения

Соединение с “Command and Control”Вредоносное ПО создает соединение с C&C серверами для получения инструкций

3 § NetFlow может обнаружить исходящий трафик к известным адресам серверов C&C

Распространение вредоносного ПО на другие узлыАтака других систем в сети через использование уязвимостей

4 § NetFlow может обнаружить сканирование диапазонов IP§ NetFlow может обнаружить сканирование портов на

каждом IP-адресе внутреннего узла

Утечка данныхОтправка данных на внешние сервера5

§ NetFlow может обнаружить расширенные потоки (HTTP, FTP, GETMAIL, MAPIGET и другие) и передачу данных на внешние узлы

Не только NetFlow

• Поймите, что для вас норма и отслеживайте отклонения от нее с учетом дельты

Визуализация аномалии в виде превышения числа HTTP ошибок

Попробуйте определить аномалию в DNS-трафике

Машинное обучение (искусственный интеллект)

Известныеварианты

угроз

Автоматическаяклассификация

Неизвестныеугрозы

Полностьюавтоматическое

обучение

Автоматическаяинтерпретация

результатов

Глобальная корреляция по

всем источникам

IoC по одному или нескольким

источникам

Один источник (DNS, e-mail, web,

файл и т.п.)

1-е поколение

2-е поколение

3-е поколение • Машинное обучение –не панацея

• Интернет движется к тотальному шифрованию

• Злоумышленникиостаются незамеченными –стеганография

• За искусственныминтеллектом в ИБ – будущее

Cisco Confidential –Internal Use Only

95%Security Challenges

§ Managed/Unmanaged Desktops

§ Spam/Malware§ DDoS§ Compromised Hosts

Remotely Controlled§ Rapidly Changing

Environment

Продвинутые угрозы§ Targeted Spear Phishing

Trojans § Watering Hole Attacks§ Social Networking Attacks§ Nation State Attacks

5%

Foundational Solutions

§ Anti-virus§ Firewalls§ IDS/IPS§ IronPort WSA/ESA§ Network Segmentation§ Log Capture/Analysis§ Incident Response Team

§ Expanded Data Collection§ Netflow, IP-Attribution, DNS…

§ Big Data Analysis & Playbooks§ Rapid Containment

§ DNS/RPZ, Quarantine, On-line Host Forensics

§ Threat/Situational Awareness

Новые решения

Не забывайте про оставшиеся 5%

Как Cisco ловит эти 5% в своей сети?

Нейтрализовать и реагировать

Метрики иотчеты

Управление конфигурацией

Инспекция

Регистрация

Идентификация

Телеметрия

IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPNVuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1xAddress, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB

ExecsAuditorsInfosecIT Orgs

HR-LegalLine of Biz

AdminsEnd UsersPartnersBusiness Functions

Информирование Реагирование

РасследованиеОбнаружение

DBs

Внешние фиды об угрозах

Сканы Конфиги Логи Потоки События

4TB в день

Сист. управления

Incident Mgt System

Compliance Tracker

Incident Response TeamPlaybook

Опыт Cisco: комбинируйте методы обнаружения

Intel

Signature

Flows

Intel

Signature Behavior

Flows

Intel

Signature

В прошлом 2012 2013+

Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования

Открытая• NGFW / NGIPS• Защита от вредоносного

ПО• Спам-фильтры• Безопасность Web

Слепая• Платформы Threat Intelligence• Аналитика Big data• Корреляция• Облачные решения

Скрытая• Визуализация• Пользовательские

запросы• Контекст

Неизвестная• Машинное обучение• Статистический анализ• Анализ сетевого поведения

Подводим итогиИзвестно аналитику Не известно аналитику



Что у вас есть?

Чего вам не хватает?

Что вам понадобится?

Идентифицируйте используемые вами технологии ИБ, используемые данные и способы их получения, не забывая про моделирование угроз

Определите ваши краткосрочные, среднесрочные и долгосрочные планы и возможные угрозы для них, а затем определите данные, которые вам нужны для их обнаружения

Выберите необходимые источники данных, обучите персонал и, по необходимости, внедрите новые решения по кибербезопасности и анализу информации для ИБ

Что сделать после семинара?

Спасибо[email protected]

Software

Cisco. Лукацкий Алексей. "Обнаружение необнаруживаемого. Как идентифицировать неизвестные угрозы?"