információbiztonság: advanced persistent threat (apt)

APT

Kis-Szabó András

rendszermérnök

APT

2

- Jellemzők

- Hosszú idő alatt zajlik

- Célzott – így egyedi – is lehet

- Ciklikus- Malware / Dropper

- Exploit / Deploy

- Callhome / Report / CnC

- Collect / Act / Send

- Detektálhatósága nehéz- Malware scan – Email, Web, eszköz, stb.

- Letöltés – legtöbbször web, esetleg eszköz

- Telepítés – eszközben

- Call home / kontroll – távoli kapcsolatok elrejtve

- Működés – tetszőleges

- Akár hónapok is az egyes műveletek között!

Advanced Persistent Threat

Security Automation:

3

Identifying Compromises

Malware File Downloaded

Indications of Compromise: 1


4



Malware Executed

Indications of Compromise: 1 2


5



Malware Executed

Indications of Compromise: 1 2 3


6



Malware Executed

Hacker Uses

Exploit Kit

Indications of Compromise: 1 2 3 4

APT

7

- Hagyományos rendszerek kibővítése

- További biztonsági szint

- Nagyon sok információval dolgozik

- Események láncolatát elemzi

- Specialitása: SandBox technilógia

Advanced Persistent Threat

Tűzfal

8

- Kontrollált kapcsolatok

- Naplózás

- Azonosítás megléte / azonosíthatóság megteremtése

- Bővített funkcionalitás

- IPS funkciók – minták felismerése, naplózása

- URL funkciók – URL-ek követhetősége

- AV funkciók – általános elemzés

- Veszély

- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése

- Igény

- APT felismerés és elemzés- Bár elég szegényesek az információk, de nem lehetetlen

UTM++

IPS

9


- Naplózás



- FW funkciók – kontrollok lehetősége



- Veszély


- Igény


NGIPS

Content Security

10


- Naplózás






- Veszély


- Igény


Web és Email

Antivírus

11


- Naplózás






- Veszély


- Önkontroll lehetőségei

- Igény


Végpontok

Naplóelemzés – SIEM

12

- Naplózás

- Végtelen adatok

- Tűzfal, IPS, Email, Web, AV, DHCP, AD, ….


- Asset kezelés – események összekapcsolhatósága

- Actor kezelés – események felhasználó-alapú összekapcsolása

- Veszély

- Igazi BigData elemzés

- Nagyon sok adat, hosszú időtáv, magukban nem jellemző események, eltérő címek és felhasználónevek

- Hiányos adatok

- Igény


Naplókezelésen túl

APT Megoldás

13

- Lefedettség

- APT elemzési feladatok

- NGFW / NGIPS funkcionalitás

- Felhasználók kezelésével, Assetek követésével

- Külön megoldás, vagy meglevő ASA bővítés

- URL szűrés támogatása

- Content Security – Web és Email megoldásokban is

- Végponti kliensek, elemzések – AV mellett

- NAC integráció – ISE

- Külső karantén lehetősége

- Felhő és helyi SandBox

- Adatok összevetése, SIEM funkciók

- Dedikált, célzott és közös menedzsment felület

- Vizuális jelentések, terjedési térképek

CISCO++

Specific

(ONE-TO-ONE)

(•)

Detekciós motorok a PowerAMP-ben

Generic

(ETHOS)

{•••}

Decision Tree

(SPERO)Integrative

(Adv. Analytics)

∫ 1

users, engines

Detection

torque

Primary

Hash

Feature

Print

ONE-TO-ONE

Catches “well known” malware

through use of primary SHA

match. Equivalent to a

signature-based system.

ETHOS

Catches families of malware

through use of “fuzzy hashes”

embedded in the Feature Print.

Counters malware evasion by

“bit-twiddling”.

SPERO

Uses AI methods for real-time

discovery of malware based on

environment and behavior.

Uses periodic review of Big

Data store to implement

retrospection

ADVANCED ANALYTICS

Integrates heuristics from the

malware environment, the Big

Data store, ETHOS and SPERO

to clarify the outcome of a

marginal conviction

Malware

Threat

Environment

Integrated Threat Defense

16

Architecture Concept

Endpoint +

AnyConnect

Mobile device

& AnyConnect

CWSData Center Environment

Server Hypervisor Hypervisor

APIC / ISE FireSIGHT

CSI

Control

Layer

Visibility

Layer

Cognitive

User Environment

Endpoint Endpoint Endpoint

WSA

ESA

NGIPS

Raw/Uninspected Traffic

Telemetry/Eventing/Mgmt

Inspected Traffic

StreamingTelemetry

Threat

Environment

Integrated Threat Defense

17

Architecture Concept

Endpoint +

AMP &

AnyConnect

Mobile device

+ AMP &

AnyConnect

CWS

+

AMP Data Center Environment

Server +

AMPHypervisor

+ AMP

Hypervisor

+ AMP

APIC / ISE FireSIGHT

CSI

Control

Layer

Visibility

Layer

Cognitive

User Environment

Endpoint

+ AMP

Endpoint

+ AMP

Endpoint

+ AMP

WSA + AMP

ESA + AMP

NGIPS + AMP

Raw/Uninspected Traffic

Telemetry/Eventing/Mgmt

Inspected Traffic

StreamingTelemetry

Kérdések és válaszok

18

Köszönöm a figyelmet!

Kis-Szabó András

[email protected]

OOOO A4

19

Hálózatunkat érhető támadások sokat fejlődtek az elmúlt években. Sokkal

kifinomultabbak, hosszabb ideig tartó és célzott támadások ellen kell

védekeznünk. Hálózatunk számos védelmi komponenst tartalmaz, melyek

mindegyike kibővíthető vagy kiegészíthető mélyebb elemzési ismeretekkel. Az

összetett és nagy adathalmaz feldolgozása érdekében javasolt lehet egy közös

felügyeleti és jelentéskezelő rendszerrel támogatott megoldás kialakítása a

védekezés eredményességének fokozása érdekében. A megoldásunk új

elemekkel bővíthető, illetve meglevő hálózati, tartalomszűrő rendszerekbe is

integrálható. A végponti kiterjesztés alacsony terhelést jelent, s megfér a meglevő

vírusirtó rendszer mellett. NAC rendszerrel integrálható, így dinamikusan

korlátozhatóak a kitörések. A közös menedzsment előnye a grafikus terjedési

térképek megjelenítése.

információbiztonság: advanced persistent threat (apt)

Technology