Подход zero trust для обеспечения безопасности сети от palo...
Post on 17-Feb-2017
693 views
TRANSCRIPT
Москва, 12 Ноября 2015
Данил Дрожжин Эксперт по продуктам сетевой безопасности
ПОДХОД ZERO TRUST ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕТИ ОТ PALO ALTO NETWORKS
/16 2
• Особенности stateful межсетевых экранов
• Zero-day атаки и как им противостоять
• Демонстрация
СОДЕРЖАНИЕ
/16 3
• 1434 (UDP), 5060, 5061, 444, 135, 5062, 8057, 8058, 5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061, 5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082, 5065, 49152-57500 (TCP/UDP), 5073, 5075, 5076, 5066, 5071, 8404, 5080, 448, 445, 881, 5041*
КАК РАЗРЕШИТЬ MICROSOFT LYNC
* Источник – https://technet.microsoft.com/en-us/library/gg398833.aspx
/16 4
ТЕХНОЛОГИЯ STATEFUL INSPECTION
• Тысячи приложений
• Изменение их поведения
• Удаленный доступ и VDI
• Миллионы известных и неизвестных вирусов и атак
Проблемы:
/16 5
PALO ALTO NGFW
• идентификация, контроль и безопасное разрешение приложений;
• идентификация пользователей без привязки к устройству;
• обнаружение известных и неизвестных угроз в реальном времени;
• расшифровка входящего и исходящего SSL/SSH трафика;
• высокая пропускная способность, низкие задержки при обработке.
/16 6
PALO ALTO NGFW Palo Alto Networks
Next-Generation Threat Cloud
Palo Alto Networks Next-Generation
Endpoint
Palo Alto Networks Next-Generation
Firewall
Облачный сервис защиты от угроз WildFire • Сбор подозрительных файлов и DNS-
запросов с межсетевого экрана и хостов • Поведенческий анализ и корреляция
угроз, создание сигнатур (IPS, AV, DNS) и обновление базы URL
• Распространение обновлений на МЭ
TRAPS (Advanced Endpoint Protection) • Инспекция всех процессов Windows • Предотвращение известных
и неизвестных угроз • Легкий клиент и облачный сервис
Межсетевой экран следующего поколения • App-ID, User-ID, Content-ID • Расшифровка SSL • Инспекция всего трафика по любым
портам на L7 • Безопасное разрешение приложений • Отсылает подозрительные файлы в
облако • Блокирует угрозы на уровне сети
/16 7
СТАТИСТИКА
42%
44%
45%
47%
49%
49%
50%
53%
54%
00% 10% 20% 30% 40% 50% 60%
Молдова
Беларусь
Монголия
Украина
Армения
Вьетнам
Азербайджан
Казахстан
Россия
Риск заражения пользователей вредоносным программным обеспечением
Россия занимает 1-ое место в рейтинге стран по возможности заражению вредоносным программным обеспечением
* - статистика Kaspersky Security Bulletin 2014
/16 8
РАСПРОСТРАНЕНИЕ 0-DAY
Коли
чест
во п
опы
ток
зара
жен
ия
Подписка WildFire
На примере 50 вредоносов
нулевого дня в сетях заказчиков Palo Alto Networks
• Очень высокая скорость в первые 8 часов
• Выравнивание после 24 часов
/16 9
ЭТАПЫ АТАКИ
Приманка
1
Завлечь использовать специальное ПО, открыть файл или перейти на веб-сайт с вредоносным ПО
Эксплоит
2
Зараженный контент использует уязвимости установленного ПО без ведома пользователя
Загрузка ПО для «черного хода»
3
В фоне загружается и устанавли-вается второй вредонос
Установление обратного канала
4
Вредонос устанавливает исходящее подключение для связи с злоумышлен-ником
Разведка и кража данных
5
Удаленный злоумышлен-ник имеет доступ внутри сети и проводит атаку
/16 10
АТАКА ANUNAK
• Пострадало более 50 банков • Ущерб около 1 млрд рублей
/16 11
PALO ALTO TRAPS
Уязвимости и эксплойты Техники эксплуатации
Тысячи в год Всего 2-4 техники в год
Вредоносное ПО Техники работы вредоносного ПО
Миллионы в год Всего 10-100 в год
Блокировка базовых техник, а не конкретных угроз
/16 12
ПРЕДОТВРАЩЕНИЕ ЭКСПЛОЙТА
ПРЕДОТВРАЩЕНИЕ– КАК ЭТО РАБОТАЕТ
Пользователь открывает документ
Traps прозрачно инжектирует
ловушки в процессы
Процесс защищен, так как при попытке
использования эксплойта
срабатывает ловушка
CPU <0.1%
Атака остановлена до исполнения
вредоносного кода
Safe! Остановка процесса
Сбор данных
Оповещения пользователя и администратора
Traps выполняет действия только
в момент срабатывания
ловушки
Отчет в ESM
/16 13
БОРЬБА С ZERO-DAY ЭКСПЛОЙТАМИ
Блокирование хотя бы одной техники останавливает атаку целиком
DLL Security
IE Zero Day CVE-2013-3893 Heap Spray DEP
Circumvention UASLR ROP/Utilizing OS Function
ROP Mitigation/ DLL Security
Adobe Flash CVE-2015-5119
Return Oriented Programming
SysExit &
ROP
Utilizing OS Function
DLL Security
Adobe Flash CVE-2015- 3010/0311
ROP ROP Mitigation JIT Spray JIT
Mitigation Utilizing
OS Function DLL
Security
Memory Limit Heap
Spray Check
/16 14
С ЧЕГО НАЧАТЬ ЗАЩИТУ
L2/L3 Мониторинг In-Line
/16 15
ЗАЩИТА ДОЛЖНА БЫТЬ УМНОЙ
Данил Дрожжин Эксперт по продуктам сетевой безопасности
111033, Москва, ул. Волочаевская, д.5, к.1 Т: (495) 974 2274 ext. 2707 | Ф: (495) 974 2277 E-mail: [email protected] croc.ru
СПАСИБО ЗА ВНИМАНИЕ!