История одного взлома. Как решения Cisco могли бы предотвратить его?
2 likes•3,347 views
Документ описывает современные кибератаки, включая конкретные примеры взломов, таких как инциденты с Equifax и British Airways, и анализирует шаги злоумышленников от выявления уязвимостей до кражи данных. Также приводятся рекомендации по улучшению безопасности и управлению уязвимостями, включая внедрение технологий для обнаружения аномалий в зашифрованном трафике. Особое внимание уделяется технологиям Cisco для защиты от подобных угроз и повышению уровня безопасности корпоративных сетей.
![Индикаторы компрометации в инциденте с
BA
• Соединение с редко используемыми
доменами
• Соединение с известными вредоносными
или подозрительными доменами
• Соединение с доменами, использующими
схожее написание с жертвой
• baways[.]com – инцидент с BA
• neweggstats[.]com - инцидент с Newegg](https://image.slidesharecdn.com/storyaboutonebreach-181121023116/85/Cisco-18-320.jpg)
История одного взлома. Как решения Cisco могли бы предотвратить его?
- 1. 20 ноября 2018 Бизнес-консультант по безопасности История одного взлома (на самом деле двух) Алексей Лукацкий
- 2. Угрозы ОкружениеПериметр Email-вектор Web-вектор 3 Жертв кликает на резюме Инсталляция бота, установка соединения с сервером C2 4 5 Сканирование LAN & альтернативный бэкдор и поиск привилегированных пользователей Система скомпрометирована и данные утекли. Бэкдор сохранен 8 Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS 7 Посылка фальшивого резюме ([email protected]) 2 Адми н Изучение жертвы (SNS) 1 Привилегированные пользователи найдены. 6 Админ ЦОДПК Елена Иванова Елена Иванова • HR-координатор • Нужны инженеры • Под давлением времени Анатомия современной атаки
- 3. К чему это все приводит? Bitglass 205 Trustwave 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305 Среднее время обнаружения с Cisco – 3,5 часа Cisco 200
- 5. Что случилось с Equifax • Equifax – американское бюро кредитных историй • 7 сентября 2017 стало известно о взломе Equifax и утечке персональных данных 145 миллионов человек из США, Канады и других стран • 14 сентября Equifax подтвердил взлом • В августе 2018 года GAO выпустил детальный отчет о взломе
- 7. Шаг 1. Обнаружение уязвимости • 10 марта 2017 года злоумышленники нашли известную уязвимость на портале Equifax, позволившую получить доступ к Web-порталу и выполнять на нем команды • Информация об уязвимости была разослана US CERT двумя днями ранее • После идентификации уязвимости злоумышленники запустили эксплойт и получили доступ к системе, проверив возможность запуска команд • Никаких данных украдено еще не было
- 8. Шаг 2. Эксплуатация уязвимости • 13 мая 2017 года злоумышленники эксплуатировали эту уязвимость и проникли во внутренние системы, выполнив ряд маскирующих процедур • Например, использовалось существующее зашифрованное соединение для генерации запросов/получения ответов
- 9. Шаг 3. Скрытие активности и обнаружение логинов/паролей администратора • Шифрованный канал позволял долго оставаться незамеченным • Злоумышленники проникли на внутренние сервера баз данных и в течение 76 дней осуществляли кражу и выкачку данных (9000 запросов) • Также злоумышленники смогли узнать незашифрованные логины и пароли к 51 другим БД Equifax
- 10. Шаг 4. Обнаружение инцидента • 29 июля Equifax обнаружил инцидент в рамках обычной процедуру проверки ОС и конфигураций ИТ-систем • Equifax использовала решение FireEye по обнаружению вредоносного трафика, которое не смогло анализировать зашифрованный трафик из-за просроченного сертификата, позволяющего реализовать MitM
- 11. Шаг 5. Расследование инцидента • После обновления сертификата администратор Equifax смог обнаружить признаки взлома в зашифрованном трафике • Equifax заблокировал ряд IP-адресов, с которыми взаимодействовала вредоносная программа • 30 июля CISO информировал CEO об атаке • Расследование длилось с 2 августа по 2 октября
- 12. Одноходовка? Как же! Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
- 13. Причины инцидента • Невыстроенный процесс управления уязвимостями Список лиц, которым направлялось уведомление US CERT, был устаревшим Сканер уязвимостей не смог обнаружить уязвимостей на Web-портале • Скрытие активности в шифрованном канале • Отсутствие сегментации в сети • Логины и пароли в открытом виде • Ненастроенное средство инспекции сетевого трафика с просроченным сертификатом
- 14. Индикаторы компрометации в инциденте с Equifax • Превышение объема исходящего трафика • Соединение с редко используемыми доменами • Необычный доступ с Web-сервера к оконечным устройствам внутри сети • Необычные взаимодействия родительского и дочернего процессов на узле • Редкий процесс на узле
- 15. Взлом British Airways • Между 21 августа и 5 сентября 2018 года хакерская группа Magecart (или маскирующаяся под нее), взломав сервер авиакомпании British Airways, похитила данные 380 тысяч клиентов, включая их ПДн и финансовую информацию • Позже BA сообщила, что могли пострадать еще 185 тысяч клиентов
- 16. Начало сценария схоже с Equifax • Отличие в том, что в случае с BA был взломан сайт авиакомпании и подменен JavaScript, собирающий данные клиентов, с последующей пересылкой данных на вредоносный ресурс baways.com • Также есть предположение, что взломан мог быть не сайт BA, а CDN, используемый провайдерами связи для кеширования популярных ресурсов или сервер третьей стороны
- 17. Одноходовка? Как же! Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
- 18. Индикаторы компрометации в инциденте с BA • Соединение с редко используемыми доменами • Соединение с известными вредоносными или подозрительными доменами • Соединение с доменами, использующими схожее написание с жертвой • baways[.]com – инцидент с BA • neweggstats[.]com - инцидент с Newegg
- 19. Рекомендации 1. Выстроить процесс устранения уязвимостей и установки патчей 2. Тесно контактировать с ИТ-командой, отвечающей за процесс управления патчами и иметь актуальный список лиц, которые занимаются устранением дыр 3. Мониторить внутренний трафик с помощью решений класса NTA (NBAD), которые позволяют обнаруживать аномалии и угрозы, проникшие из-за периметра или инициированные изнутри 4. Поддерживать актуальную конфигурацию как сетевого оборудования, так и средств защиты 5. Отслеживать изменения на Web-серверах и серверах БД
- 20. Рекомендации 6. Сегментировать сеть для предотвращения несанкционированного доступа 7. Отслеживать коммуникации с внешними узлами для обнаружения доступа к редко используемым или схожим по имени ресурсам 8. Понимать риски использования злоумышленниками шифрования для скрытия своей активности и использования решений, которые борются с этим (EDR на оконечных устройствах, устройства для SSL Offload, инспекция DNS-трафика для обнаружения взаимодействия с инфраструктурой злоумышленников, использование технологий машинного обучения для обнаружения вредоносной активности внутри зашифрованного трафика без его расшифрования)
- 21. Что может порекомендовать Cisco? ISE Stealthwatch AMP4E Umbrella Cisco
- 22. Сетевые ресурсыПолитика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативамP Что Когда Где Как Как предотвратить? Cisco ISE Дверь в сеть Контекст Интеграция с Cisco ISE, ASA, FTD, Meraki, Tetration, AnyConnect, WSA, Umbrella, Threat Grid, AMP…
- 23. Программно-определяемая сегментация Пример: ISE ASA FW Сегмент внутренних устройств Защита внутренних устройств от неизвестных угроз Блокирование любого неожиданного трафика с не внутренних устройствКаждый ПК проверяется на соответствие политикам безопасности ИТ-сегмент Блокирование SMB/TCP для остановки инфекции WannaCry!
- 24. Монитор Контроль доступа на всем протяжении Этаж 1 SW Этаж 2 SW ЦОД DC FW Гости БД биллинга ISE БД сервер Станция админа OS Type: Windows XP Embedded User: Mary AD Group: Nurse Device Group: Nurse Workstation Security Group = Clinical Device OS Type: Windows 8.1 User: [email protected] AD Group: None Device Group: BYOD Laptop Security Group = GuestАвторизационный доступ через группы безопасности SGT ASA with FirePower Policy Сеть клиники Использование TrustSec-свитчей Мобильное устройство
- 25. Монитор В том числе и для офисных устройств Этаж 1 SW Этаж 2 SW ЦОД DC FW Гости БД биллинга ISE БД сервер Станция админа Коммутатор автоматически получает все политики с ISE только для подключенных устройств TrustSec Policy (SGACL) конфигурируется и передается через ISE Трафик фильтруется через ту же VLAN SGACL Policy Сеть клиники Мобильные устройства
- 26. Как мониторить? Cisco Stealthwatch! Транзакции Контекст Аналитика и выводы Сеть Идентификация Разведка Классификация Аналитические движки Модель данных Cisco Stealthwatch: это коллектор и агрегатор сетевой телеметрии для целей моделирования данных, анализа и мониторинга безопасности
- 27. Поведенческая модель обнаружения аномалий Alarm table Host snapshot Email Syslog / SIEM Mitigation Реагирование Подозрение Утечка данных C&C Разведка Перемещение данных Эксплуатация Цель DDoS’а Категория события События безопасностиСбор и анализ сетевых потоков Сетевые потоки Addr_Scan .. Bad_Flag_ACK** Beaconing Host Bot Infected Host - Successful Brute Force Login Fake Application Flow_Denied .. ICMP Flood .. Max Flows Initiated Max Flows Served .. Suspect Data Hoarding Suspect Data Loss Suspect Long Flow .. UDP Received
- 29. Внутренний нарушитель крадет данные из ЦОДа Дай мне все ассоциированные соединения?
- 30. Внутренний нарушитель использует SSH
- 31. … а потом сливает все через HTTPS
- 32. Encrypted Traffic Analytics (ETA) Соответствие требованиям с точки зрения регуляторики Вредоносное ПО в зашифрованных соединениях Является ли то, что передаётся внутри TLS вредоносным? • Конфиденциальность сохраняется • Обеспечивается целостность информации • Адаптируется к новым стандартам шифрования Какие приложения используют сильное шифрование и как? • Аудит нарушения политик использования TLS • Пассивное обнаружение криптонаборов с известными уязвимостями • Мониторинг использования шифрования в сети
- 33. Encrypted Traffic Analytics (ETA) Известный вредоносный трафик Известный «хороший» трафик Выделение характерных признаков в сетевом трафике Применение технологий машинного обучения для получения классификаторов Сессии известного вредоносного ПО определяются в сетевом трафике с 99% аккуратностью и низким FDR “Deciphering Malware's use of TLS (without Decryption)” Blake Anderson, Subharthi Paul, David McGrew https://arxiv.org/abs/1607.01639
- 34. Эффективность обнаружения ВПО в шифрованном трафике Acc. FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD
- 35. Cognitive Analytics Обнаружение зашифрованного вредоноса Expanded CTA dashboard view Cognitive Analytics
- 36. Контроль сегментации и мониторинг нарушений Запрещенные взаимодействия Межсистемное взаимодействие
- 37. Нарушение политик Клиентская группа Группа серверов Условия клиентского трафика Условия Серверного трафика Удачное или неудачное соединение
- 38. Нарушение политик Связи в нарушении политики • Мониторинг активных тревог в соответствии с политикой Утечка данных
- 39. Предотвращаем Обнаруживаем Снижаем риск •Антивирус •Обнаружение бестелесного ВПО •Облачная аналитика (1:1, 1:многим) •Клиентские индикаторы компрометации •Статический анализ •Песочница •Защита от вредоносной активности •Машинное обучение •Корреляция потоков данных с устройства •Облачные индикаторы компрометации •Уязвимое ПО •Редко встречаемые файлы •Анализ логов прокси Как защитить ПК и сервера? AMP4E!
- 40. Что произошло? Где точка отсчета? Куда попало ВПО? Что происходит? Как остановить это? Непрерывный мониторинг
- 41. Поиск следов угроз (Threat hunting) Лечение в один клик Корреляция данных об угрозах Обеспечение глубокого расследования
- 42. • Предотвращение, обнаружение и реагирование в едином решении • Увидеть 1% того, что другие упускают • Быстрое внедрение через облако или on-premises • Снижение времени обнаружения <4 часов • Автоматическое лечение: увидеть однажды, блокировать везде • Широкий охват платформ для защиты вашего бизнеса 1% Увидеть то, что вы пропустили AMP for Endpoints
- 43. Как бороться с зашифрованным трафиком? Проблема 55% глобального web-трафика в 2017-м году передавалось в зашифрованном виде, что на 12% больше, чем в 2016-м Источник: Cisco ACR 2018 В 2017-м году число вредоносных программ, использующих шифрование, выросло в три раза Источник: Cisco ACR 2018 К 2019-му году 80% всего web- трафика будет передаваться в зашифрованном виде Источник: Gartner 41% хакеров используют шифрование для обхода средств защиты Источник: Ponemon Report, 2016 Решение Cisco Cisco AMP позволяет обнаруживать вредоносный код, действующий на оконечных и мобильных устройствах (до шифрования канала управления с C&C-серверами Cisco ETA позволяет обнаруживать вредоносный код в зашифрованном трафике, используя машинное обучение и не прибегая к расшифрованию трафика Radware Alteon выполняет функции SSL Offload и позволяет расшифровывать зашифрованный трафик для анализа Cisco NGFW / Cisco WSA умеют расшифровывать SSL-трафик (функция SSL Offload) и применять к нему соответствующие политики безопасности Cisco Umbrella и Cisco Cognitive Threat Analytics позволяют отслеживать соединения (даже зашифрованные) с C&C- серверами вредоносного ПО *Продается через Cisco DLP, IPS и другие средства защиты «не видят» зашифрованный трафик
- 44. 70-90% вредоносного кода уникально – AV не спасает DNS нельзя запретить на МСЭ, а 49% пользователей работают за пределами МСЭ Сканеры уязвимостей ищут дыры, а DNS-ВПО использует стандартные функции VPN частично решает проблему, но 69% филиалов подключается напрямую Почему традиционная защита не помогает? А как вы защищаете мобильные устройства?
- 45. Как мониторить доступ в Интернет? LABS Umbrella (Блокирование) 208.67.222.222 ДОМЕН, IP, ASN, EMAIL, ХЭШ API КАТЕГОРИЯ IDENTITY MALWARE INTERNAL IP C2 CALLBACK HOSTNAME PHISHING AD USER CUSTOM (API) HOSTNAME Investigate (Аналитика) СТАТУС & УРОВЕНЬ СВЯЗИ ВЗАИМОДЕЙСТВИЯ АТРИБУЦИЯ ШАБЛОНЫ & GEOs
- 46. Вредоносный код и шифровальщики Сайты-клоны и тайпсквотинг Сайты фейковых новостей Редиректы, DGA и Fast Flux Что можем обнаруживать и блокировать?
- 47. Внедрение за 5 минут! Malware C2 Callbacks Phishing ЦЕНТР Sandbox NGFW Proxy Netflow AV AV ФИЛИАЛ Router/UTM AV AV РОУМИНГ AV Первая линия Сеть и хосты Сеть и хосты Хосты Всё начинается с DNS Предвосхищает открытие файлов и IP соединение Используется всеми устройствами Не зависит от порта
- 48. Что такое Cisco Umbrella Investigate? • Данные записей WHOIS • Атрибуция ASN • Геолокация IP • Репутация доменов и IP • Анализ вредоносных файлов • Связи между доменами • Обнаружение аномалий (DGA, FFN) • Шаблоны запросов DNS • База пассивного DNS На базе машинного обучения
- 49. Для расследования каких атак может быть использован Cisco Umbrella Investigate? InvestigateВредоносное ПО Фишинг DDoS-атаки Спам Фейковые новости Кража бренда
- 50. В качестве заключения • Для борьбы с современными угрозами недостаточно только одного решения, установленного на периметре • У Cisco есть полный спектр решений для обеспечения сетевой безопасности и предотвращения инцидентов, схожих с Equifax • Мы готовы предоставить все эти решения для тестирования заказчикам Email Security Web Security МСЭ EPP Песочница МСЭ IPS UEBA EDR Анализ трафика Контроль приложений ЛокализацияЗащита серверов Изоляция Мониторинг DNS Mobile Device Management (MDM)
- 51. Спасибо!