1 / 27

безопасность в эру угроз нового поколения

безопасность в эру угроз нового поколения. Б итва при Ипре. Традиционные угрозы. Вирус. Троян. Червь. Боты. Шпионское ПО. Ландшафт киберугроз. Угрозы нового поколения . Advanced Persistent Threats Zero-day Targeted Attacks Dynamic Trojans Stealth Bots. Zero-day атаки

dyllis
Download Presentation

безопасность в эру угроз нового поколения

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. безопасность в эру угроз нового поколения

  2. Битва при Ипре

  3. Традиционные угрозы Вирус Троян Червь Боты Шпионское ПО

  4. Ландшафт киберугроз Угрозы нового поколения Advanced Persistent Threats Zero-day Targeted Attacks Dynamic Trojans Stealth Bots • Zero-day атаки • APT (ATA) • Полиморфные угрозы • Смешанные угрозы Ущерб от Атак Spyware/Bots Worms Viruses 2004 2006 2008 2010 2012

  5. Понимание врага Времена, когда хакеры взламывали сети для забавы давно прошли. Сейчас киберпреступность это многомиллиардная индустрия! • Киберпреступники • Наемники спонсируемые государством • Хактивисты

  6. Старый подход для борьбы с новыми угрозами Определение по шаблонам • Сигнатуры – черный список – репутация– эвристика • Только известные угрозы • Ложные срабатывания

  7. Ключ успеха современных атак Desktop AV Firewalls/NGFW Secure WebGateways Anti-SpamGateways IPS Блокировка соединений по IP\портам, L7. Не видит эксплоитов, не эффективен против APT Обнаружение атак по сигнатурам.Поверхностный анализ приложений, высокий уровень ложных срабатываний, нет понимания о происхождении атак Анализ скриптовых угроз, AV, IP/URL фильтрация. Не способность отражать ATA Концентрация на борьбе с вирусами, сигнатурный анализ. Отсутствует защита от направленного фишинга (spear-phishing) Анализ угроз на основе сигнатур. Не способность отражать ATA Несмотря на наличие всех этих решений, 95% организаций находятся под угрозой атаки

  8. Анатомия проникновения угрозы/APT Определение эксплоита – является критически важным Все последующие шаги могут быть скрыты 1. Отправка exploit со взломанного сервера 2. Установка вредоносной программы File Share 2 Compromised Web server, orWeb 2.0 site 4. Распространение по сети IPS 3. Установка контроля и связи Callback Server 5. Эксфильтрация данных File Share 1

  9. Next Generation Threat Protection Новый класс решений безопасности, который специально предназначен для определения и защиты от атак нового поколения. Только вFireEye

  10. Каким должно быть NGTP ? • Никаких сигнатур; • Не только определение, но и защита; • Защита всех векторов распространения атак; • Высокая точность; • Глобальность.

  11. FireEyeЗащита от угроз нового поколения FireEye CM Централизованное управление Всеми устройствами и DTI FireEye FX Series Защищает от угроз, найденных в файловой системе FireEye NX Series Защищает от угроз распространяющихся через Web Callback и блокирование FireEye EX Series FireEye AX Series Защищает от угроз распространяющихся через Email Расследование происхождения угроз Dynamic Threat Intelligence (DTI) Анализ осуществляется на «борту» устройства!

  12. FireEye NX Series (Web защита) • Установка «в разрез сети», режим реального времени, без сигнатурная защита минимум ложных срабатываний; • Анализ всех web объектов (web страниц, flash, PDF, офисных документов и *.exe); • Блокирование callback, прерывание несанкционированного использования данных; • Динамическое создание сигнатур наугрозы нулевого дня и передача их в DTI; • Интеграция с устройствами FireEye EX, FX и AX серийдля динамического блокирования callback коммуникаций, выполненных вредоносным ПО. FEATURES http:// • Блокировка входящего и исходящего трафика • Продвинутый анализ содержимого(PDF, JavaScript, URLs) • Модели до 4 Gbps

  13. FireEye NX Series (Web защита) Профили атак нулевого-дня DTI 1 2 3 4 5 Захват пакетов Мгновенная Блокировка Известных уязвимостей Предотвращение несанкц. использования данных Первоначальный анализ Virtual Execution Environment Analysis Windows 7 – SP1 Windows 7 - Base Windows XP – SP3 Windows XP – SP2 Windows XP - Base Исходящие Play Malware Attack Web Угрозы Port 0 CA L L BACK ENG I NE 65k

  14. FireEye EX Series (Email защита) • Защита от точечных фишинговых и смешанных атак; • Анализ всех вложений и URL на предмет угроз; • Активная защита в режимеIn-line MTAили SPAN/BCC для мониторинга; • Brute-force анализ всех вложений в MVX Engine; • Интеграция с FireEye NX для: • анализа или блокирования подозрительных URL; • блокирования новых callback каналов. FEATURES • Огромный перечень типов файлов(PDF, Office форматы, ZIP, etc.) • Анализ вложений • Анализ URL • Корреляция вредоносных URL в email с помощью FireEye CM

  15. FireEye EX Series (Email защита) DTI Профили атак нулевого-дня 1 2 3 4 Перехват писем Распределение Объектов Анализа Virtual Execution Environment (VXE) Analysis Отчеты, Оповещения и Карантин ✔ Windows 7 – SP1 Windows 7 - Base Windows XP – SP3 Windows XP – SP2 ✔ Windows XP - base Play Malware Attack ✔ 8300 поддерживает 96 Virtual Execution Environments (VXE) • Обнаружение эксплоитов • Тест на извлечение • Всевозможные вариации ОС\приложений • Происхождение URL • Последовательность URL • C&C protocol descriptors • Отчет об изменении ОС URL передаются в cписки приоритетных URL на FireEye NX через консоль управления

  16. FireEye FX Series (Защита контента) • Защита файловых серверов от скрытых угроз; • Борется с угрозами, которые попали в сеть через почту, web или были занесены вручную; • Распознавание распространения угроз через файловую сеть; • Постоянный инкрементальный анализ файловой сети; • Интеграция с FireEye NX для блокирования только что обнаруженных callback каналов. FEATURES • Огромный перечень типов файлов (PDF, Office форматы, ZIP, etc.) • Поддержка CIFS • Карантин файлов • Интеграция сFireEye CM

  17. Malware Analysis System (Система Анализа Угроз) Отслеживание Командно-Контрольных действий(в режиме реального времени) Распространение информации об угрозах среди клиентов FireEye DTI 1 2 Файловое хранилище Первоначальный анализ Детальный анализ Детальны отчет и видео факт Windows 7 – SP1 Windows 7 - Base Windows XP – SP3 011011 Репозиторий Угроз Windows XP – SP2 Windows XP - base 110010 Play Malware Attack Сравнение с имеющейся базой угроз Индивидуальные файлы Распределение угроз в разные папки 7300 имеет 32 Virtual Execution Environments (VXE) URL’s Управление Web UI CLI

  18. Защита против смешанных атак Защита против комбинированных атак через URL-ссылки, содержащиеся в email-письмах • Анализ высокоприоритетных URL-ссылок в FireEye NX Series MVX механизме; • Интеграция FireEye NX Series и EX Series через FireEye CM для: • корреляции вредоносных URL с электронными письмами направленного фишинга; • внесения в черный список IP адресов C&C серверов. FireEye CM FireEye NX FireEye EX

  19. Опасайтесь песочниц! • Часто основаны на коммерческих гипервизорах • (Vmware, Xen, Hyper-V) • Не способны предотвратить современные атаки • Анализируют не все векторы проникновения атак • Не могут обеспечить много-поточность • Не имеют механизмов предотвращения атаки • Не способны создавать правила и сигнатуры • автоматически • Анализ угроз в облаке • Не видят полного цикла атаки • Не могут обеспечить корреляцию информации

  20. Платформа FireEye : Партнеры Network Endpoint Monitoring

  21. Установка FireEye NX (Web защита) SPAN / TAP INLINE IPS (Optional) PROXY Router Router Router NG Firewall NG Firewall NG Firewall IPS wMPS 1 Switch wMPS Switch Switch B1 B2 A2 A1 wMPS wMPS N HR HR HR

  22. Установка FireEye EX (Email защита) MTA SPAN BCC Router Router Router NG Firewall NG Firewall NG Firewall DMZ DMZ DMZ Anti Spam Gateway / MTA Anti Spam Gateway / MTA Anti Spam Gateway / MTA Switch Switch Switch eMPS Email eMPS eMPS Email Email HR HR HR

  23. Анализ событий

  24. Инфицирован или нет…если есть callback – система инфицирована!

  25. Dashboard – Статус защиты от вредоносного ПО

  26. Обзор инфицированного хоста

  27. Вопросы? Спасибо за внимание!

More Related