3. 3
3
ptsecurity.com
• Инвентаризация, анализ уязвимостей, менеджмент
инцидентов
• (( Xspider ))
• (( МaxPatrol 8 ))
• (( МaxPatrol SIEM ))
• Анализ трафика, анализ ПО
• (( PT NetForensic )) – Анализ сетевого трафика
• (( PT AF )) – Application Firewall
• (( PT AI )) – Application Inspector
• Продвинутые средства противодействия новым угрозам
• ((PT Multiscanner))
• ((PT Honeypot))
• PT Expert Security Center ((PT ESC))
• Пентест и выявление
уязвимостей
• Мониторинг безопасности и
расследование инцидентов
• Экспертиза по угрозам и
методам противодействия
• Широкий спектр исследуемых
технологий (web, ICS/SCADA,
мобильные приложения, ДБО)
2 слайда о Positive Technologies
4. 4
4
ptsecurity.com
• Инвентаризация, анализ уязвимостей, менеджмент
инцидентов
• (( Xspider ))
• (( МaxPatrol 8 ))
• (( МaxPatrol SIEM ))
• Анализ трафика, анализ ПО
• (( PT NetForensic )) – Анализ сетевого трафика
• (( PT AF )) – Application Firewall
• (( PT AI )) – Application Inspector
• Продвинутые средства противодействия новым угрозам
• ((PT Multiscanner))
• ((PT Honeypot))
• PT Expert Security Center ((PT ESC))
• Пентест и выявление
уязвимостей
• Мониторинг безопасности и
расследование инцидентов
• Экспертиза по угрозам и
методам противодействия
• Широкий спектр исследуемых
технологий (web, ICS/SCADA,
мобильные приложения, ДБО)
2 слайда о Positive Technologies
• 400 исследователей и разработчиков
• 5 офисов разработки в России
• 8 офисов-представительств в мире
Создали
SOC для PT
5. 5
5
ptsecurity.com
ESC: Наша позиция
• ESC – весь спектр сервисов PT для рынка
• Типовые сервисы ESC
• ESC – максимум эффективности продуктов PT
• ESC – автоматизированные сервисы с
экспертной поддержкой
• ESC – точечное эффективное решение
• ESC – дополнение к вашему SOC
• ESC – дополнение к MSSP
5
СЗИ
Служба ИБ
Сервисы ИБ
SOC, MSSP
PT ESC
6. 6
6
ptsecurity.com
6
Время замечательных историй
• Маленькая хорошо защищенная компания без критических
активов в ИТ
• Большая компания – много, критично,
распределенно
• Площадки
• ИТ-Инфраструктура
• Сотрудники
• Активы, процессы, данные
• Клиенты
• Подрядчики
• ИБ
• Медленные процессы развития и реагирования (ИБ)
Однажды в одной крупной
российской Компании
7. 7
7
ptsecurity.com
7
«Однажды в крупной российской компании»
• Письмо от руководителя организации заместителям
• Письмо на корректные адреса
• Осмысленный текст письма
• Ссылка на документ
• Один из заместителей что-то заподозрил и перезвонил уточнить
• Вложение не определялось как вредонос
• Обращение в антивирусную компанию
• Спустя 2 недели будут обновлены
антивирусные базы – проблема решена
• Домен с загружаемым вирусом внесен в черный список
Всё ОК?
• Спустя 4 месяца образец будет определён как Trojan.Generic
Точно – ОК!
8. 8
8
ptsecurity.com
8
«Однажды в крупной российской компании»
Как случилось на самом деле
• Письмо от руководителя организации заместителям
• Письмо на корректные адреса
• Осмысленный текст письма
• Приложен документ
• Один из заместителей что-то заподозрил и перезвонил уточнить
• Вложение не определялось как вредонос
• 40% адресатов открыли ссылку,
загрузили и активировали дроппер
• SOC заметил аномалии
• Обновленный антивирус
блокировал аномальную активность (blacklist)
Теперь точно – всё ОК!
9. 9
9
ptsecurity.com
9
Возможно нас всё-же пох@#$ли
Обновление баз антивирусов –
имеет значение
Ретроспективный анализ артефактов
• Возможность последующего
выявления зараженных узлов
• Возможность поиска путей
попадания в ИС
• «Доверенный» VirusTotal
10. 10
10
ptsecurity.com
10
Тем временем по ту сторону баррикад
1. (А)такующий: создать ВПО
1. Защищённый дроппер + полезная нагрузка
2. Противодействие антивирусу
2. А: проверить ВПО на обнаруживаемость антивирусами
1. А: модифицировать ВПО
2. А: создать несколько модификаций
3. А: внедрить ВПО (несколько версий)
4. А: незаметное присутствие в системе
5. Защита: обнаружить аномалию
1. Проверить на Virustotal
2. Сообщить AV-вендору
6. А: мониторинг обновлений AV - узнать о «раскрытии»
7. А: обновить ВПО (на шаг 4)
11. 11
11
ptsecurity.com
11
«Однажды в крупной российской компании»
Что-то всё-таки не так…
• Пользователи выявили угрозу
• Продолжается аномальная активность
• Всё ли мы видим?
• Вредоносы не обнаруживаются
• Правильно ищем?
• Производители ИБ – отреагировали
• SOC – отработал
• Осадочек остался…
12. 12
12
ptsecurity.com
12
«Однажды в крупной российской компании»
Что было предпринято PT ESC
Идентификация
атакующего
Поиск похожих тактик
Кто на самом деле атакующий?
Уточнение границ
инцидента
• Сбор видов артефактов (фишинг-письма, дроппер, средства закрепления,
цели)
• Создание и проверка индикаторов компрометации
• Подозрение на более ранние успешные атаки (адресная книга)
Анализ потенциала ВПО Анализ артефакта – реверс-инжиниринг Trojan.Generic?
• Функционал
• Протокол сетевого взаимодействия
• Анализ методов эксплуатации уязвимостей
Мониторинг действий
атакующего
Поиск аномалий в трафике – способы «выхода» из ИС
Попытка доступа к серверу атакующего
Сохранение следов Противодействие идее «быстро устранить все известные проблемы»
13. 13
13
ptsecurity.comptsecurity.com
Просто анализируй это:
Moker RAT 6.10.2015
• Сокрытие в системе
• Создание нового пользователя и повышение привилегий
• Изменение настроек безопасности и файлов настроек
• Использование архитектурной уязвимости платформы Windows – «инновационность»
• Множественные пути доставки
• Local Access Trojan –легальный доступ по VPN, затем LAT- незаметно для сетевых СЗИ
• Предоставление удаленного доступа по RDP - RAT
• Сокрытие источника атаки CnC в Черногории, домен в Африке
• 2-шаговая инсталляция (Dropper+Payload)
• Противодействие СЗИ: обход антивируса и sandbox’a
• Противодействие обнаружению: обнаружение выполнения в
виртуальной среде
• Инжектирование в легитимные процессы
• Набор методов усложняющих анализ
• (Self-encryption, Evading debug techniques (crashes debugging process) [1] http://breakin
[2] http://blog.ens
14. 14
14
ptsecurity.com
14
ptsecurity.com
Просто рекомендации по противодействию
Примите меры к самостоятельному
тушению пожара
«…
… cуществующие меры противодействия в ОС Windows не
могут быть использованы для противодействия Moker.
… возможности противодействия:
• Блокируйте в реальном времени весь вредоносный сетевой
трафик
• Противодействуйте в реальном времени попыткам изменить
легитимные файлы
• Наблюдайте за активностью для последующего анализа
»
http://blog.ensilo.c
16. 16
16
ptsecurity.com
16
Безопасность – в деталях
• Увидим ключевые события за всплеском
• Активности пользователей
• Аномальной активности?
• Сообщений СЗИ??
• Вредоносной активности, атак???
• Инцидентов?????
• Сопоставить события в «окне»
• День
• Месяц??
• Год???
• Отфильтровать, соотнести и интерпретировать события при
всплеске активности?
((PT ESC)) Практика мониторинга и
расследования инцидентов
17. 17
17
ptsecurity.com
17
ptsecurity.com
ИТОГО: ESC – отличное сочетание с SOCом!
• Соответствовать многообразию и сложности угроз
• Атакующий наблюдает и изменяет инструменты и тактику
• Защита должна наблюдать и за собой и за атакующим(и)
• Иметь возможность интерпретировать наблюдения
• Действовать правильно – методика и операции
• Классификация нарушителя – теперь не просто термин из НПА
• Понимать последствия своих действий
• Разгрести «шум» - эффективные инструменты
• Операционная эффективность и масштабируемость
• Успешное противодействие «стандартным» «простым» угрозам
• Expert-in-the-Loop
• Внутри: мониторинг, реагирование, ретроспектива
• И снаружи: разведка, аналитика угроз
18. 18
18
ptsecurity.comptsecurity.com
Алексей Качалин
akachalin@ptsecurity.com
• Периодический анализ защищённости Веб-сервиса
• Постоянная защита веб-сервиса
• Расследование инцидента в веб-сервисах
• Контроль защищённости сетевого периметра
• Периодическое внешнее тестирование на проникновение
• Внутреннее тестирование на проникновение (удаленное)
• Расследование инцидентов
• Ретроспективный анализ
19. 19
19
ptsecurity.com
19
ptsecurity.com
Сервис защиты веб-сервиса при помощи PT AF/AI
Design
Development
Deployment
Maintenance
Upgrade
PT AI
PT AF
PT AF & PT AI
PT AF & PT AI
Генерация экспресс-патчей
для PT AF по результатам
анализа PT AI
PT Application Inspector – анализатор
исходных кодов
PT Application Firewall – решение для
защиты корпоративных приложений
20. 20
20
ptsecurity.com
Продвинутые сервисы обнаружения угроз PT
MultiScanner + Honeypot
Песочница (Sandbox/Detonation Chamber)
Защищенная изолированная среда исполнения ПО
Контролируемое окружение
Защита от детектирования
Ловушка (Honeypot)
Эмуляция уязвимых сервисов
Отправка на анализ файлов в
песочницу
Индикаторы
компрометации
Статический и динамический
анализ
Файлов, веб-сайтов на наличие зловредного поведения
Собственная среда исполнения
Поведенческий анализ ПО
Статический анализ на множественных движках АВ
Black/white/репутационные списки
Пассивный и активный сбор артефактов
Пассивный анализ передаваемых в трафике файлов, веб-ссылок с
возможностью уведомления
Активный контроль передачи опасных объектов в трафике «на лету»
Анализ почтового, веб трафика, поддержка протокола ICAP
21. 21
21
ptsecurity.com
Исследовательский центр Positive
Одна из самых больших научно-исследовательских
лабораторий по безопасности в Европе
100+ обнаружений 0-day уязвимостей в год
150+ обнаружений 0-day уязвимостей в SCADA
30+ обнаружений 0-day уязвимостей в Telco
Наши знания используют ключевые промышленные центры
22. 22
22
ptsecurity.com
22
PT ESC
• Команда PT ESC. Команда экспертного центра обеспечивает оперативное реагирование на обращения и собираемую
информацию, работает с инцидентами и координирует взаимодействие с командой PT, партнерами, производителями и
сообществом.
• Команда экспертов PT. Исследовательский центр Positive Technologies насчитывает более 150 человек и является одним из
крупнейших в Европе. Специалисты центра заслужили репутацию экспертов мирового уровня по защите важнейших
современных отраслей — веб-порталов и онлайн-банков, АСУ ТП и ERP, сетей мобильной связи и облачных технологий.
• Взаимодействие с партнерами и производителями средств ИБ –возможности компании PT в рамках технологического
партнерства получения комментариев и содействия со стороны ключевых производителей, интеграторов,
эксплуатирующих организаций информации позволяет оперативно исключать ложные срабатывания систем обеспечения,
сузить область анализа инцидента, а также существенно масштабировать объем оказываемых услуг PT ESC.
• Взаимодействие с ИБ-сообществом. Компания PT активно участвует и развивает ИБ сообщество, являясь организатором
конференции PHDays.
• Специализированные методики инструменты и сервисы. Команда PT ESC непрерывно развивает компетенции по
ключевым областям специализации в ходе выполнения работ. Существенная доля этих знаний становится доступна
потребителям в виде обновлений сигнатур, правил и эвристик для продуктов PT.
• База знаний уязвимостей и угроз, используемая в PT ESC, — одна из крупнейших в мире. Эксперты Positive Technologies
обнаружили и помогли устранять множество уязвимостей в продуктах таких компаний, как Cisco, Google, Microsoft, Oracle,
SAP, Siemens, Huawei, Schneider Electric, Honeywell. База постоянно пополняется за счёт новых исследований и
аналитических сервисов.
• Сервис PT ESC – сделано для Вас! Обеспечение ИБ – это непрерывный процесс. В рамках наших услуг мы непрерывно
отслеживаем состояние зафиксированных обращений и открытых инцидентов. Мы предлагаем гибкие возможности
подключения систем сбора информации, различные варианты обращений для получения сервиса и возможность
интеграции с вашими системами отслеживания задач.
Editor's Notes
PT Expert Security Center: кто лечит доктора?
Обеспечение информационной безопасности — непрерывный процесс, требующий своевременного внедрения эффективных средств защиты и проведения новых исследований в области ИБ параллельно с развитием компании.
Большинство организаций, имея объективно высокие требования к безопасности, тем не менее не готовы развивать внутреннюю компетенцию в проблемах ИБ. Решение дилеммы подразумевает частичный или полный аутсорсинг: организация отчасти управляет процессами мониторинга и реагирования на инциденты (с выделением внутреннего центра мониторинга (SOC) или без такового), но большинство задач передается во внешний SOC.
Коммерческие центры мониторинга обладают богатым опытом в применении различных решений для обеспечения защиты и оперативно реагируют на инциденты. Это большой шаг вперед в повышении уровня безопасности, но такой подход ограничен. Следуя типовым сценариям и строгим договоренностям с компанией, поставщики услуг по управлению ИБ ориентированы на типовые проблемы и предлагают типовые решения.
Оценка защищенности и анализ уязвимостей широкого спектра инфраструктур и приложений, включая веб- и мобильные приложения, SCADA, ДБО, ATM и сети телекомов. Тесты на проникновение и анализ исходного кода для поиска уязвимостей и закладок.
Автоматизированные Сервисы такие как контроль внешнего периметра (Advanced Border Control) – непрерывно разрабатываются и поддерживаются специалистами PT и экспертами PT ESC, что позволяет получать Заказчику сервис экспертного уровня, содержащий актуальную информацию об угрозах и состоянии своих систем с высоким уровнем масштабируемости и по приемлемой цене.
Мониторинг и выявление инцидентов. Уникальные методики и опыт экспертов PT ESC в сочетании с передовыми технологиями и инструментами Positive Technologies позволяют оказывать услуги по выявлению инцидентов на ранних стадиях, а использование ретроспективного анализа дает возможность обнаружить инциденты, пропущенные штатными системами защиты, сократить возможности атакующих даже после успешного проникновения в систему.
Расследование инцидентов ИБ: восстановление хронологии атак, выявление затронутых активов и интересов злоумышленников, рекомендации по ликвидации последствий и предотвращению повторения инцидентов в будущем.
Анализ артефактов и аналитика угроз – исследование и формализация знаний о признаках возможных инцидентов, а также консолидация информации из различных отраслей и географических регионов о методах, инструментах и целях злоумышленников.
Консультации и исследования по ИБ. Клиенты PT ESC имеют возможность оперативно обратиться по вопросам к ведущим экспертам по ИБ и получить ответы на свои насущные вопросы, а также оперативно получать информацию об актуальных угрозах и резонансных уязвимостях, на которые стоит обратить внимание.
Анализ эффективности служб и систем ИБ – проведение аудита эффективности отдельных подсистем или службы в целом в режиме учений – лучший способ периодического контроля и проверки готовности к реальным вызовам. Доверяете аутсорсерам? Доказано: периодические проверки улучшат их работу.
http://www.eweek.com/c/a/Security/Sony-Data-Breach-Was-Camouflaged-by-Anonymous-DDoS-Attack-807651
http://www.prosecurityzone.com/News_Detail_Ddos_attacks_being_used_to_camouflage_fraud_attacks_20690.asp
http://www.corero.com/blog/555-whats-hiding-behind-that-ddos-attack.html
http://www.darkreading.com/analytics/security-monitoring/large-attacks-hide-more-subtle-threats-in-ddos-data/d/d-id/1139783
http://www.telegraph.co.uk/finance/newsbysector/epic/cpw/11794521/Carphone-Warehouse-hackers-used-traffic-bombardment-smokescreen.html
According to The Telegraph's article, an unnamed source with knowledge of the attack claims that the company's online retail systems were bombarded with a DDoS attack "as a cover to help them infiltrate the retailer's systems and perpetrate one of Britain’s biggest ever data thefts.“
Эмуляция времени для принудительного запуска вредоноса
Сигнатура для DPI
Анализ ссылок – эмуляция пользователя
Exploit kit
Средства мониторинга и анализа. В рамках оказания услуг PT ESC активно использует собственные продукты Positive Technologies: систему оценки защищенности MaxPatrol, межсетевой экран PT Application Firewall, систему мониторинга событий безопасности MaxPatrol SIEM, модуль выявления вредоносных кодов PT Multiscanner и систему PT Network Forensics. Именно эти продукты стали ключевыми компонентами центров оперативного управления безопасностью, созданных для одного из крупнейших мировых операторов связи ОАО «Вымпелком» (2011), а также для защиты IT-инфраструктур Универсиады в Казани (2013) и зимней Олимпиады в Сочи (2014).