Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 1 безопасность в эру угроз нового поколения
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 2 Содержание 1.Угрозы нового поколения 2.Кто наш враг 3.Анатомия продвинутых атак 4.Почему не работают традиционные решения 5.Очередной Send-box? 6.NGTP 7.NGTP – как это работает
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 3 Битва при Ипре
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 4 Традиционные угрозы ВирусЧервьТроян Шпионское ПО Боты
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 5 Ландшафт киберугроз Угрозы нового поколения Zero-day атаки APT (ATA) Полиморфные угрозы Смешанные угрозы Advanced Persistent Threats Zero-day Targeted Attacks Dynamic Trojans Stealth Bots Worms Viruses Spyware/ Bots Ущерб от Атак
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 6 Понимание врага Времена, когда хакеры взламывали сети для забавы давно прошли. Сейчас киберпреступность это многомиллиардная индустрия! 1.Киберпреступники 2.Наемники спонсируемые государством 3.Хактивисты
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 7 Старый подход для борьбы с новыми угрозами Сигнатуры – черный список – репутация– эвристика Только известные угрозы Ложные срабатывания Определение по шаблонам
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 8 Ключ успеха современных атак Firewalls/ NGFW Блокировка соединений по IP\портам, L7. Не видит эксплоитов, не эффективен против APT IPS Обнаружение атак по сигнатурам. Поверхностный анализ приложений, высокий уровень ложных срабатываний, нет понимания о происхождении атак Secure Web Gateways Анализ скриптовых угроз, AV, IP/URL фильтрация. Не способность отражать ATA Anti-Spam Gateways Концентрация на борьбе с вирусами, сигнатурный анализ. Отсутствует защита от направленного фишинга (spear- phishing) Desktop AVDesktop AV Анализ угроз на основе сигнатур. Не способность отражать ATA Несмотря на наличие всех этих решений, 95% организаций находятся под угрозой атаки
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 9 Compromised Web server, or Web 2.0 site Callback Server IPS File Share 2 File Share 1 2. Установка вредоносной программы 1. Отправка exploit со взломанного сервера 3. Установка контроля и связи 5. Эксфильтрация данных 4. Распространение по сети Определение эксплоита – является критически важным Все последующие шаги могут быть скрыты Анатомия проникновения угрозы/APT
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 10 Next Generation Threat Protection Новый класс решений безопасности, который специально предназначен для определения и защиты от атак нового поколения. Только в FireEye
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 11 Каким должно быть NGTP ? Никаких сигнатур; Не только определение, но и защита; Защита всех векторов распространения атак; Высокая точность; Глобальность.
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 12 FireEye Защита от угроз нового поколения FireEye FX Series FireEye EX Series FireEye AX Series FireEye NX Series FireEye CM Dynamic Threat Intelligence (DTI) Централизованное управление Всеми устройствами и DTI Защищает от угроз распространяющихся через Web Callback и блокирование Расследование происхождения угроз Защищает от угроз распространяющихся через Защищает от угроз, найденных в файловой системе Анализ осуществляется на «борту» устройства!
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 13 Блокировка входящего и исходящего трафика Продвинутый анализ содержимого(PDF, JavaScript, URLs) Модели до 4 Gbps FEATURES FireEye NX Series (Web защита) Установка «в разрез сети», режим реального времени, без сигнатурная защита минимум ложных срабатываний; Анализ всех web объектов (web страниц, flash, PDF, офисных документов и *.exe); Блокирование callback, прерывание несанкционированного использования данных; Динамическое создание сигнатур на угрозы нулевого дня и передача их в DTI; Интеграция с устройствами FireEye EX, FX и AX серий для динамического блокирования callback коммуникаций, выполненных вредоносным ПО.
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 14 FireEye NX Series (Web защита) Windows 7 – SP1 Virtual Execution Environment Analysis Первона чальный анализ Play Malware Attack Windows XP - Base Windows XP – SP2 Windows XP – SP3 Windows 7 - Base Мгновенная Блокировка Известных уязвимостей Захват пакетов 1234 CALLBACKENGINECALLBACKENGINE CALLBACKENGINECALLBACKENGINE DTI 5 Предотвр ащение несанкц. использо вания данных Port 0 65k Исходящие Профили атак нулевого-дня
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 15 Огромный перечень типов файлов (PDF, Office форматы, ZIP, etc.) Анализ вложений Анализ URL Корреляция вредоносных URL в с помощью FireEye CM FEATURES FireEye EX Series ( защита) Защита от точечных фишинговых и смешанных атак; Анализ всех вложений и URL на предмет угроз; Активная защита в режиме In-line MTA или SPAN/BCC для мониторинга; Brute-force анализ всех вложений в MVX Engine; Интеграция с FireEye NX для: –анализа или блокирования подозрительных URL; –блокирования новых callback каналов.
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 16 FireEye EX Series ( защита) 8300 поддерживает 96 Virtual Execution Environments (VXE) Virtual Execution Environment (VXE) Analysis Play Malware Attack Windows XP - base Windows XP – SP2 Windows XP – SP3 Windows 7 - Base Windows 7 – SP1 Распределение Объектов Анализа Перехват писем 123 URL передаются в cписки приоритетных URL на FireEye NX через консоль управления Отчеты, Оповещения и Карантин 4 Профили атак нулевого-дня DTI Обнаружение эксплоитов Тест на извлечение Всевозможные вариации ОС\приложений Происхождение URL Последовательность URL C&C protocol descriptors Отчет об изменении ОС
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 17 FireEye FX Series (Защита контента) Огромный перечень типов файлов (PDF, Office форматы, ZIP, etc.) Поддержка CIFS Карантин файлов Интеграция с FireEye CM FEATURES Защита файловых серверов от скрытых угроз; Борется с угрозами, которые попали в сеть через почту, web или были занесены вручную; Распознавание распространения угроз через файловую сеть; Постоянный инкрементальный анализ файловой сети; Интеграция с FireEye NX для блокирования только что обнаруженных callback каналов.
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 18 Malware Analysis System (Система Анализа Угроз) Файловое хранилище Индивидуальные файлы Первоначальный анализ Сравнение с имеющейся базой угроз 7300 имеет 32 Virtual Execution Environments (VXE) Отслеживание Командно-Контрольных действий(в режиме реального времени) Детальны отчет и видео факт Детальный анализ Play Malware Attack Распространение информации об угрозах среди клиентов FireEye Репозиторий Угроз Windows XP - base Windows XP – SP2 Windows XP – SP3 Windows 7 - Base Windows 7 – SP1 Распреде ление угроз в разные папки Управление Web UICLI URLs 12 DTI
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 19 Защита против смешанных атак Защита против комбинированных атак через URL-ссылки, содержащиеся в -письмах Анализ высокоприоритетных URL-ссылок в FireEye NX Series MVX механизме; Интеграция FireEye NX Series и EX Series через FireEye CM для: –корреляции вредоносных URL с электронными письмами направленного фишинга; –внесения в черный список IP адресов C&C серверов. FireEye CM FireEye NXFireEye EX
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 20 Опасайтесь песочниц! Часто основаны на коммерческих гипервизорах (Vmware, Xen, Hyper-V) Не способны предотвратить современные атаки Анализируют не все векторы проникновения атак Не могут обеспечить много-поточность Не имеют механизмов предотвращения атаки Не способны создавать правила и сигнатуры автоматически Анализ угроз в облаке Не видят полного цикла атаки Не могут обеспечить корреляцию информации
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 21 Network Monitoring Endpoint Платформа FireEye : Партнеры
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 22 Установка FireEye NX (Web защита) NG Firewall Switch HR SPAN / TAP wMPS 1 wMPS N Router NG Firewall HR INLINE IPS (Optional) wMPS Router NG Firewall Switch HR PROXY wMPS IPS Switch A1 A2 B1 B2 Router
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 23 Установка FireEye EX ( защита) Router NG Firewall HR MTA Switch DMZ Anti Spam Gateway / MTA eMPS Router NG Firewall HR BCC Switch DMZ Anti Spam Gateway / MTA eMPS Router NG Firewall HR SPAN Switch DMZ Anti Spam Gateway / MTA eMPS
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 24 Установка FireEye FX (Контент защита) Router NG Firewall HR MOUNT MODE Switch DC Private FileApp fMPS Mount Mode fMPS
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 25 Анализ событий
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 26 Инфицирован или нет… если есть callback – система инфицирована!
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 27 Dashboard – Статус защиты от вредоносного ПО
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 28 Обзор инфицированного хоста
Copyright © 2013, FireEye, Inc. All rights reserved. | CONFIDENTIAL 29 Вопросы? Спасибо за внимание!