arbor, держи марку! Серия №11
TRANSCRIPT
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
1
ARBOR NETWORKS SPECTRUM™
10.02.2016
Алексей ХолмовСистемный инженер[email protected]
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
2
Знаете ли Вы?
APT компании: выявляя Advanced Threat
• APT Компания – это совокупность тактики, технологий и процедур, которые использует атакующий для достижения поставленных целей
• Компании включают в себя элементы бот сетей, зловредное ПО и инструментарии его написания, методы социальной инженерии .
• Традиционные средства информационной безопасности не в состоянии гарантировать надежную защиту.
• Как результат, непрерывно повышается риск критических инцидентов ИБ в сетях, опирающихся на устаревшие подходы.
APT атаки в 2015 использовали 7 или
более toolkits, меньше половины уязвимостей
были критическими.… APT атак в 2015 не использовали
malware.
Среднее время обитания
элементов APT-атаки в сети компании.
… компанийболее 3 дней расследовали критический
инцидент
200+дней
60%
40%
7+Toolkits
20% …APT атак в качестве вектора
использовалиDDoS 2014-2015
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
3
Система Arbor Networks ATLAS
Honeypots &SPAM Traps
ATLAS
SecurityCommunity
2.2M +samples
DDoSFamily
100,000+Вредоносных программ в день
“Песочница из виртуальных машин” запускает вредоносный код(ищет командный центр сети ботнет, отслеживает отклонения и закономерности сетевого поведения кода)
“Fingerprint”
Отчёт и PCAP файлы сохраняются в базе
Постоянная аналитика 24 часа в сутки для создания базы данных сигнатур
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
4
INTERNETVISIBILITY
• Internet Health• DDoS Attacks• Threat Tracking
ОБНАРУЖЕНИЕMALWARE
• Real-time Behavior• Family Focus
BOTNETMONITORING
• Sinkhole• Infiltration/Activity
Monitoring
GLOBAL DDoS VISIBILITY
BGP & IP-TRANSIT V&
ASN TRACKING
ASERT SENSORS FOR
DARKNET MONITORING
АНАЛИЗMALWARE
ПРОНИКНОВЕНИЕ В BOTNET
BOTNET / CAMPAIGN REVERSING
ОБОГАЩЕНИЕ СОДЕРЖАНИЯ КОНТЕКСТОМ СОБЫТИЙ, КОРРЕЛЯЦИЯ
ASERT SECURITY RESEARCH
(Человеческий интеллект, Специализированная Исследовательская Группа)
ATLAS® INTELLIGENCE INDICATORS(Категории подтвержденных Угроз, ежечасные обновления)
“МОДЕЛИРУЯ ИНТЕРНЕТ”
Как взаимодействуют ASERT и ATLAS®
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
5
Продукты ATLASAIF Digital Attack Map
Threat Briefs/Blog Custom Research
• Security intelligence feeddesigned for products.
• Based on RegExes (APS, TMS)and attack indicators.
• Uses ATLAS research to determine ‘reputation’ of IPs and DNS.
• Current map of availability attacks occurring across the globe.
• Uses ATLAS research to show severity and types of attacks, as well as countries involved.
• In-depth research on notable attacks.
• Actionable information not tied to product feed.
• In-depth research based on customer request.
• Specific attack details, analysis and confirmation.
Subscription
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
6
AIF: Динамические индикаторы атак
• Индекс доверия характеризует участников глобальной сети Интернет в привязке к IP адресам, доменным именам и используется для формирования политик безопасности
• Вероятность блокировки различных объектов в Интернет может изменяться со временем
• Уровень доверия зависит от зловредной активности хостов
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
7
Активность атак во времениAdvanced Attack Kill Chain
Port Scanning DDoS
Phishing
Bad URL
Malware
POS
TOR Evasion
P2P
Zero Day
Evasion
Evasion
Evasion
Bot
Жертва
РАЗВЕДКАЭТАП 1
ВТОРЖЕНИЕЭТАПЫ 2-3
ЗАХВАТЭТАПЫ 4-5
ПОХИЩЕНИЕЭТАПЫ 6-7
Port Scanning
Zero Day
Phishing
RAT
TOR
Анатомия APT-компании
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
8
КОНФИДЕНЦИАЛЬНЫЕ ДАННЫЕ
Desktop of CFO
Скомпрометированный хост устанавливает соединение с C&C сервером
UnsupervisedConsultantRemote Subsidiary
Lateral Movement
ДоставкаDoes not use malware payload
BypassesSandbox
Попасть внутрь Exfiltration Миссия
выполнена
Commandand Control
СЕТЬ ОРГАНИЗАЦИИ
ЭТАП 3
ЭТАП 2
ЭТАП 1
ЭТАП 4
ЭТАП 5
ЭТАП 6 ЭТАП 7
Анатомия APT-компании
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
9
Усилия сосредоточены
здесь
Атаку необходимо блокировать
здесьПриоритет% от всегоДоверие к инструменту
ВЫСОКИЙНИЗКИЙ СРЕДНИЙ
Низкое60%
Среднее30%
Высокое10%
ЭТАПЫ КООРДИНИРОВАННОЙ АТАКИ
ЭТАП 1 ЭТАП 3 ЭТАП 5 ЭТАП 7
ЭТАП 2 ЭТАП 4 ЭТАП 6
Каждый день тысячи событий
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
10
Упущение в существующем подходе
PREVENT/DETECT
INVESTIGATE/PROVE FORENSICS
СТОИМОСТЬ
ВРЕМЯ
$$$$$
$ $$$$
SANDBOX FIREWALL
ENDPOINT IDS/IPS
SIEM INTELLIGENCE
END-POINT FORENSICS
PACKET FORENSICS
ReconNetwork
Installation/DeliverySandbox
Command/ControlNetwork
Mission Complete
Forensics
ExploitationNetwork
Lateral MovementNetwork
ExfiltrationNetwork
ЭТАП 1 ЭТАП 3 ЭТАП 5 ЭТАП 7
ЭТАП 2 ЭТАП 4 ЭТАП 6
ORCHESTRATED CAMPAIGN STAGES
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
11
PREVENT/DETECT
INVESTIGATE/PROVE FORENSICS
СТОИМОСТЬ
НАГРУЗКА НА СОТРУДНИКОВ
СНИЖЕНИЕ РИСКОВ
Со Spectrum
Limited$$$$ $
Improved$$$
Limited
SANDBOX FIREWALL
ENDPOINT IDS/IPS
SIEM INTELLIGENCE
END-POINT FORENSICS
PACKET FORENSICS
Как заполнить пробелы?
ReconNetwork
Installation/DeliverySandbox
Command/ControlNetwork
Mission Complete
Forensics
ExploitationNetwork
Lateral MovementNetwork
ExfiltrationNetwork
STAGE 1 STAGE 3 STAGE 5 STAGE 7
STAGE 2 STAGE 4 STAGE 6
ATTACK CAMPAIGN STAGES
ThreatIntel
Traffic Analysis
IntuitiveWorkflows
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
12
Arbor Networks Spectrum™Видеть Advanced Threat компании в любом масштабе в реальном времени• Знания Arbor о событиях в реальном времени,
получаемые от операторов связи, конвертируются в ценные критерии поиска и обнаружения наиболее опасных угроз, представляющих наибольший риск в данный момент времени
Искать и разоблачать любые инциденты• Непрерывный анализ сетевой безопасности с
детальной визуализацией событий по всему периоду наблюдения.
Обнаруживать угрозы быстрее• Изначально разработан для решения задач анализа
сетевого трафика в режиме реального времени с целью обеспечения сотрудников компаний эффективными средствами поиска и идентификации современных угроз.
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
13
Корпоративные решения Arbor®
Внутренняя сеть
Корпоративныеданные
Пакеты& Flow
Сервера
Пакеты& Flow
EnterprisePerimeter
GlobalInternet
GlobalNetwork
УГРОЗЫ
Расследования
Доказательства
Действия
ArborCloud
APS
Spectrum
Spectrum
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
14
Платформа Arbor Spectrum : принципы работы
ДОКАЗАТЕЛЬСТВО
РАССЛЕДОВАНИЕ
ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ ПОДТВЕРЖДЕНИЕ УГРОЗ И РЕТРОСПЕКТИВНЫЙ АНАЛИЗ
АНАЛИТИКА + ПОИСК
ИНДИКАТОРЫ УГРОЗ
ВИЗУАЛИЦАЗИЯ И РАБОТА С ДАННЫМИ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ
ПРИЗНАКИ ИНЦИДЕНТОВ ДОСЬЕ ХОСТОВ И ПОДСЕТЕЙТАКТИКИ, ТЕХНИКИ И ПРОЦЕДУРЫ
ГЛОБАЛЬНЫЙ МОНИТОРИНГ УГРОЗ
ПОТОКИ ДАННЫХ ВНУТРИ СЕТИ
THIRD PARTY INTELLIGENCE
STIX/TAXII330+ Операторов
TROJAN СБОР FLOW ПЕРЕХВАТ ПАКЕТОВ
СИГАНТУРЫ ЗАКАЗЧИКАDARKNETBOTNET
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
15
• Единое полное представление Индикаторов угроз в масштабах всей сети на шкале времени
– Интуитивно понятные процедуры работы с данными
– Расследования в 10 раз быстрее, чем с традиционными средствами SIEM
• Масштабируемый анализ трафика в реальном времени в целях нахождения угроз
– Интерактивное изменение шкалы и привязка к критериям
– Доступ к исходным данным (flow и PCAP)
– Поиск сетевой активности (дни, недели, месяцы)
• Обнаружение Инцидентов безопасности по всей сети
– Индикаторы AIF– Сигнатуры Snort и STIX– Изучение поведения элементов
сети• Простота установки и
эксплуатации– Установка и тренинг в один день
“Мы смогли обнаружить и провести расследование
истории атаки за семь минут. С нашим SIEM это заняло бы
несколько дней”
Позвольте Вашим Специалистам Видеть, Находить, Понимать Инциденты и Угрозы
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
16
“Лучшая черта Arbor Spectrum состоит в том, что Вам даже не требуется обладать специальными знаниями в области сетевого анализа для того, чтобы начать применять этот продукт. С помощью понятного интерфейса становится просто извлекать информацию, важную для успешного проведения расследования.”– Security Operations
Lead F500 Multinational
Case Study: Обнаружение и сбор доказательств о сложной атаке за Минуты
Вызов:
Arbor:
• Небольшой SOC отвечает за мониторинг и реагирование на инциденты в большой распределенной сети с несколькими ЦОД-ами.
• Внедрены SIEM, система расследования инцидентов и 3 Open Source приложения.
• Spectrum был внедрен за 1 день. Был проведен вводный тренинг. В тот же день команда SOC начала использовать решение.
• Практически немедленно был зафиксирован инцидент безопасности.
• Дальнейшее расследование показало влияние инцидента на уровень безопасности сети и хосты, подвергшиеся воздействию.
• Расследование заняло минуты при обычных 3-4 днях для схожего анализа.
• SIEM Заказчика и другие компоненты не зафиксировали инцидента.
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
17
Цифры:число расследований за 8-часовую смену
С Arbor SpectrumСегодня
Эксперт
Опытный аналитик ИБ
Начинающий аналитик ИБ
Сетевой инженер
3000
30+10-205-103-5
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
18
Arbor Networks™ Spectrum
Management ConsoleDMZ
Arbor Networks™ Spectrum
Flow Collector
Arbor Networks™ Spectrum
Packet Collector
Intelligence
TriggeredIF
INTERNET
Компоненты Arbor Spectrum
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
19
Компоненты Arbor Spectrum
• Licenses run on appliances or VMs– VMs to launch in Q2 2016
• Multiple appliances (or future VMs)can share the same license
• License for Flow: Flows per second(1k to 100k)
– SKU Example: AT-PL-F100K• License for Packets: Gbps (100 Mbps to 10
Gbps) => applied as packet collector or Packet Collector Lite (to launch 2H 2016)
– SKU Example: AT-PL-P10G
• Combine platform console + flow monitoring + packet monitoring
– SKU example:• AT-PL-B-CONSOLE-F25K-P10G
• Appliances sold separately
Platform Console (Software License)
Traffic Analysis: Aggregate to the Deployment (Software License)
AIF (Software Subscription License)
Appliances
M&S
Starter-Pack Bundles
• SW license for management console (single license required for all deployments)
– SKU: AT-PL-PLATFORM-CONSOLE• License run on appliances or VMs
– VMs to launch in Q2 2016
• SW license => 10% of all SW licenses– SKU example: AT-S-AIF– Does not apply to HW
• 2U 15TB (existing SA HW) deployed as platform console, packet collectors or flow collectors
• 3U 64TB (existing SA HW) deployed as packet collectors or flow collectors
• Requires common Arbor SFPs
• Arbor Standard 19% for SW• Arbor Standard 6% for HW
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
20
Arbor Networks: 15 лет безупречных технологий
Лидер в области экспертизы сетевого трафика
• 15 лет сотрудничества с наиболее сложными и требовательными операторами и корпоративными заказчиками.
• Решения повсюду на планете (107 стран).• Видим больше трафика, чем любой из
сервис провайдеров в отдельности.Уникальная система глобального мониторинга атак• Почасовые обновления информации более
чем от 330 операторов по DDoS-атакам• Исследовательская команда экспертов
мирового уровня (анализ трафика, обратный инжиниринг зловредного ПО и его инфраструктуры) - ATLAS/ASERT.
Уникальная клиентская база• 3 из Top5 глобальных банков.• Инсталляции в крупнейших финансовых
институтах в 28 странах мира.• 9 из10 хостинговых операторов и online
брендов.• 100% Tier 1 операторов связи.
Live Digital Attack MapPowered by: Arbor Networks
©2016 ARBOR® CONFIDENTIAL & PROPRIETARY
21
Спасибо за внимание !
Илья Яблонко, CISSP, менеджер по развитию решений ИБ, УЦСБ+7 912 607 55 66, [email protected]
Алексей Холмов, Инженер-консультант, Arbor Networks - Россия+7 916 671 78 38, [email protected]