Москва, 12 Ноября 2015

Данил Дрожжин Эксперт по продуктам сетевой безопасности

ПОДХОД ZERO TRUST ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СЕТИ ОТ PALO ALTO NETWORKS

/16 2

• Особенности stateful межсетевых экранов

• Zero-day атаки и как им противостоять

• Демонстрация

СОДЕРЖАНИЕ

/16 3

• 1434 (UDP), 5060, 5061, 444, 135, 5062, 8057, 8058, 5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061, 5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082, 5065, 49152-57500 (TCP/UDP), 5073, 5075, 5076, 5066, 5071, 8404, 5080, 448, 445, 881, 5041*

КАК РАЗРЕШИТЬ MICROSOFT LYNC

* Источник – https://technet.microsoft.com/en-us/library/gg398833.aspx

/16 4

ТЕХНОЛОГИЯ STATEFUL INSPECTION

• Тысячи приложений

• Изменение их поведения

• Удаленный доступ и VDI

• Миллионы известных и неизвестных вирусов и атак

Проблемы:

/16 5

PALO ALTO NGFW

• идентификация, контроль и безопасное разрешение приложений;

• идентификация пользователей без привязки к устройству;

• обнаружение известных и неизвестных угроз в реальном времени;

• расшифровка входящего и исходящего SSL/SSH трафика;

• высокая пропускная способность, низкие задержки при обработке.

/16 6

PALO ALTO NGFW Palo Alto Networks

Next-Generation Threat Cloud

Palo Alto Networks Next-Generation

Endpoint

Palo Alto Networks Next-Generation

Firewall

Облачный сервис защиты от угроз WildFire • Сбор подозрительных файлов и DNS-

запросов с межсетевого экрана и хостов • Поведенческий анализ и корреляция

угроз, создание сигнатур (IPS, AV, DNS) и обновление базы URL

• Распространение обновлений на МЭ

TRAPS (Advanced Endpoint Protection) • Инспекция всех процессов Windows • Предотвращение известных

и неизвестных угроз • Легкий клиент и облачный сервис

Межсетевой экран следующего поколения • App-ID, User-ID, Content-ID • Расшифровка SSL • Инспекция всего трафика по любым

портам на L7 • Безопасное разрешение приложений • Отсылает подозрительные файлы в

облако • Блокирует угрозы на уровне сети

/16 7

СТАТИСТИКА

42%

44%

45%

47%

49%

49%

50%

53%

54%

00% 10% 20% 30% 40% 50% 60%

Молдова

Беларусь

Монголия

Украина

Армения

Вьетнам

Азербайджан

Казахстан

Россия

Риск заражения пользователей вредоносным программным обеспечением

Россия занимает 1-ое место в рейтинге стран по возможности заражению вредоносным программным обеспечением

* - статистика Kaspersky Security Bulletin 2014

/16 8

РАСПРОСТРАНЕНИЕ 0-DAY

Коли

чест

во п

опы

ток

зара

жен

ия

Подписка WildFire

На примере 50 вредоносов

нулевого дня в сетях заказчиков Palo Alto Networks

• Очень высокая скорость в первые 8 часов

• Выравнивание после 24 часов

/16 9

ЭТАПЫ АТАКИ

Приманка

1

Завлечь использовать специальное ПО, открыть файл или перейти на веб-сайт с вредоносным ПО

Эксплоит

2

Зараженный контент использует уязвимости установленного ПО без ведома пользователя

Загрузка ПО для «черного хода»

3

В фоне загружается и устанавли-вается второй вредонос

Установление обратного канала

4

Вредонос устанавливает исходящее подключение для связи с злоумышлен-ником

Разведка и кража данных

5

Удаленный злоумышлен-ник имеет доступ внутри сети и проводит атаку

/16 10

АТАКА ANUNAK

• Пострадало более 50 банков • Ущерб около 1 млрд рублей

/16 11

PALO ALTO TRAPS

Уязвимости и эксплойты Техники эксплуатации

Тысячи в год Всего 2-4 техники в год

Вредоносное ПО Техники работы вредоносного ПО

Миллионы в год Всего 10-100 в год

Блокировка базовых техник, а не конкретных угроз

/16 12

ПРЕДОТВРАЩЕНИЕ ЭКСПЛОЙТА

ПРЕДОТВРАЩЕНИЕ– КАК ЭТО РАБОТАЕТ

Пользователь открывает документ

Traps прозрачно инжектирует

ловушки в процессы

Процесс защищен, так как при попытке

использования эксплойта

срабатывает ловушка

CPU <0.1%

Атака остановлена до исполнения

вредоносного кода

Safe! Остановка процесса

Сбор данных

Оповещения пользователя и администратора

Traps выполняет действия только

в момент срабатывания

ловушки

Отчет в ESM

/16 13

БОРЬБА С ZERO-DAY ЭКСПЛОЙТАМИ

Блокирование хотя бы одной техники останавливает атаку целиком

DLL Security

IE Zero Day CVE-2013-3893 Heap Spray DEP

Circumvention UASLR ROP/Utilizing OS Function

ROP Mitigation/ DLL Security

Adobe Flash CVE-2015-5119

Return Oriented Programming

SysExit &

ROP

Utilizing OS Function

DLL Security

Adobe Flash CVE-2015- 3010/0311

ROP ROP Mitigation JIT Spray JIT

Mitigation Utilizing

OS Function DLL

Security

Memory Limit Heap

Spray Check

/16 14

С ЧЕГО НАЧАТЬ ЗАЩИТУ

L2/L3 Мониторинг In-Line

/16 15

ЗАЩИТА ДОЛЖНА БЫТЬ УМНОЙ

Данил Дрожжин Эксперт по продуктам сетевой безопасности

111033, Москва, ул. Волочаевская, д.5, к.1 Т: (495) 974 2274 ext. 2707 | Ф: (495) 974 2277 E-mail: ddrozhzhin@croc.ru croc.ru

СПАСИБО ЗА ВНИМАНИЕ!