Cisco Advance Malware Protection

Cisco Advance Malware Protection Ivo Němeček, CCIE #4108 Manager, Systems Engineering Cisco Connect, 17.6. 2014

Současný malware je rozprostřený v čase i prostoru

Jde o koordinované kriminální podnikání Detekce v jediném okamžiku a času selhává © 2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

2

Komplexní zabezpečení vyžaduje Ochranu před průnikem

Zjištění průniku a jeho zastavení

Souhrnné informace

82,000 nových hrozeb denně

180,000+ vzorků souborů denně

Trojské koně tvořily 8 z 10 infekcí v roce 2013

© 2014 Cisco and/or its affiliates. All rights reserved. Source: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html

Cisco Public

3

Rozsáhlý sběr informací z infrastruktury Sourcefire VRT®

1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00 101000 0II0 00 0III000 III0I00II II II0000I II0 100I II0I III00II 0II00II I0I000 0II0 00

Cisco® SIO

I00I III0I III00II 0II00II I0I000 0110 00 10I000 0II0 00 0III000 II1010011 101 1100001 110 Cisco Collective 110000III000III0 I00I II0I III0011 0110011 101000 0110 00

(Vulnerability Research Team)

Security Intelligence

WWW

180,000+ vzorků souborů denně

Email Endpoints Web Networks

IPS

Devices

Automatické aktualizace každých 3-5 minut

FireAMP™ komunita, 3+ millónů Advanced Microsoft and Industry Disclosures

1.6 million

35% celosvětového

globálních senzorů

email provozu

100 TB

13 miliard

dat přijatých denně

web požadavků

150 million+

24x7x365

Sourcefire AEGIS™ program

nasazenýcg stanic

provoz

Soukromé a privátní zdroje informací o hrozbách

600+

40+

inženýrů, techniků a výzkumníků

jazyků

Dynamická analýza

© 2014 Cisco and/or its affiliates. All rights reserved.

Snort a ClamAV Open Source komunita Honeypoty

Cisco Public

4

Advanced Malware Protection s retrospektivní bezpečností (Retrospective Security™)

AMP Zevrubný přístup Spojitá analýza Integrovaná odezva Analýza velkých dat Řízení a náprava


Cisco Public

5

Blokový diagram


Cisco Public

6

Výhody Cisco AMP

3

Pokrývá všechny fáze

2

V celé šíři sítě

PŘED

Obsah

1


POTÉ

Síť

Okamžité zjišťování

Okamžitě i zpětně v čase

BEHEM

Koncové body Retrospektivní bezpečnost

Cisco Collective Security Intelligence

Cisco Public

7

Cisco AMP poskytuje okamžitou i zpětnou detekci Okamžitá detekce

Retrospektivní bezpečnost

Reputace souborů a behaviorální detekce

Souvislá ochrana

To je jedinečná vlastnost. © 2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

8

Cisco AMP chrání reputačním filtrováním a behaviorální detekcí Point-in-Time Protection

Reputační filtrování

Continuous Protection Behaviorální detekce


File Reputation & Behavioral Detection

Retrospective Security

Unique to Cisco AMP

Signatury 1:1


Fuzzy otisky

Strojové učení

Stopy napadení

Dynamická analýza

Pokročilá analytika

Korelace toků dat ze zařízení

Cisco Public

9

Reputační fitrování - signatury Reputation Filtering 1

Neznámý otisk souboru je analyzována a poslána do cloudu

2

Signatura souboru není známa jako zákeřná, soubor je vpuštěn

3 4

Signatury 1:1


Fuzzy Finger-printing

Behavioral Detection

Collective Security Intelligence Cloud

Neznámá signatura je analyzována a odeslána do cloudu Signatura souboru je rozpoznána jako zákeřná a soubor je blokován

Machine Learning

Indications of Compromise

Dynamic Analysis

Advanced Analytics

Device Flow Correlation

Cisco Public

10

Reputační fitrování - fuzzy otisky

Signatury 1:1


Fuzzy Finger-printing

1

Otisk souboru je analyzován a rozpoznán jako zákeřny

2

Zákeřnému souboru je odepřen vstup

3

Polymorfická forma téhož souboru zkouší vstoupit do systému

4

Otisky souborů jsou porovnány. Jsou rozpoznány jako podobné

5

Polymorfický otisk je odmítnut na základě podobnosti se známym malwarem

Machine Learning



Dynamic Analysis

Advanced Analytics


Cisco Public

11

Reputační fitrování – strojové učení

1

Neznámá metadata souboru jsou odeslána do cloudu k analýze

2

Metadata jsou rozpoznána jako možný malware

3 4

5 6

-to-One nature

Fuzzy otisky


Strojové učení

Soubor je porovnán se známým malwarem a je potvrzeno, že jde o malware Další neznámá metadata souboru jsou odeslána do cloudu k analýze Metadata jsou podobná známému čistému soboru. Soubor je asi čistý. Soubor je potvrzen jako čistý po porovnání s podobným čistým souborem


Dynamic Analysis


Rozhodovací strom strojového učení

Possible malware

Advanced Analytics

Device Flow Possible clean file Correlation

Confirmed malware Confirmed clean file Confirmed malware Confirmed clean file

Cisco Public

12

Behaviorální detekce – sledování stop napadení

uzzy r-printing

Strojové učení


Příznaky napadení

1

Neznámý soubor je analyzován, jsou nalezeny příznaky samoreplikace

2

Tyto příznaky samoreplikace jsou předány do cloudu

3

Neznámý soubor samostatně přenáší data směrem ven

4

Toto chování je také odesláno do cloudu

5

Tyto aktivity jsou oznámeny uživateli jako indikace malwaru

Dynamic Analysis

Advanced Analytics



Cisco Public

13

Behaviorální detekce – dynamická analýza v sandboxu

ojové čení

Indikátory napadení


Dynamická analýza

1

Neznámé soubory jsou přeneseny do cloudu, kde je DAE spustí v sandboxu

2

Dva soubory jsou rozpoznány jako malware, jeden jako čistý

3

Signatury malwaru jsou aktualizovány v cloudu a vyslány k uživatelům

Advanced Analytics



Collective User Base

Cisco Public

14

Behaviorální detekce – pokročilá analytika

ikace padení

Dynamická analýza


Pokročilá analytika

1

Získá informaci o sw neidentifikovaném reputačním filtrováním

2

Získá kontext o neznámém sw z “Collective User Base”

3

Analyzuje soubor ve světle informací a poskytnutém kontextu

4

Identifikuje pokročilý malware a předá novou signaturu uživatelům


Collective User Base


Cisco Public

15

Behaviorální detekce – korelace toků dat

1

Device Flow Correlation monitoruje zdroje a cíle I/O přenosů v síti

2

Dva neznámé soubory komunikují s konkrétní IP adresou

3

Jeden přenáší data ven, druhý přijímá povely z dané IP

4 5

amická alýza

Pokročilá analýza


IP: 64.233.160.0 Collective Security Intelligence Cloud

Collective Security Intelligence Cloud rozpozná vnější IP jako nebezpečnou, potvrdí to Neznámé soubory jsou na základě tohoto spojení identifikovány jako malware

Korelace toků dat

Cisco Public

16

Cisco AMP poskytuje okamžitou i zpětnou detekci Okamžitá detekce

Retrospektivní bezpečnost

Reputace souborů a behaviorální detekce

Souvislá ochrana

To je jedinečná vlastnost © 2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

17

Principy retrospektivní ochrany Šíře záběru, různé uzly WWW

Email

Stanice

Síť

Web

IPS

Mobilníí zařízení

Telemetrický proud dat

Otisky souborů a metadata Souborové a síťové I/O Informace o procesech


Spojitý přenos dat

1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 operace 0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00

Spojitá analýza

Cisco Public

18

Proč je spojitá ochrana nezbytná

Historie událostí Kdo

Co

Kde

Kdy

Collective Security Intelligence

Jak

Kontext © 2014 Cisco and/or its affiliates. All rights reserved.

Prosazení

Spojitá analýza Cisco Public

19

Metody obrany se zpětným vyhodnocováním

Retrospekce


Splétání řetězce událostí

Behavioralní příznaky napadení

Trajektorie

Breach Hunting

Cisco Public

20

Retrospekce

Retrospekce


Attack ChainProvede seBehavioral analýza při prvním zjištění souboru Weaving Indications 1 Určí se dispozice of Compromise

2

Provádí se soustavná Trajectory

analýza souboru v čase, aby se zjistilo, zda se dispozice mění

Breach Hunting 3

Sleduje se cesta, akce a komunikace svázané s daným souborem či kódem

Cisco Public

21

Attack Chain Weaving

Využívá zpětného hodnocení třemi způsoby

Retrospekce


Spřádání řetězce událostí

1

Souborové

2

Procesní

3

Komunikační

Attack Chain Weaving analyzuje data získaná souborovou, procesní a komunikační retrospekcí a tím přináší další inteligenci v rozpoznávání hrozeb

Behavioral Indications of Compromise

Souborová retrospekce

Procesní retrospekce Komunikační retrospekce Trajectory Breach zaznamenává trajektorii mezi zařízeními sleduje aktivitu procesů asoftwaru I/O aktivity zařízení v systému sleduje, jak aplikace komunikují Hunting

Cisco Public

22

Behaviorální příznaky napadení

Behaviorální příznaky napadení používají retrospekci k monitorivání podezřelých a nevysvětlených aktivit

ospection

Splétání řetězce událostí


1

Neznámý soubor Trajectory je vpuštěn do sítě

2

Neznámý soubor Breach se kopíruje na více strojů Hunting

3

Kopíruje obsah z pevného disku

4

Posílá duplikovaný obsah na neznámou IP adresu

AMP rozpozná vzorky a aktivity daného souboru a identifikuje akci sledováním celého prostředí, spíše než jednotlivých signatur či otisků © 2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

23

Trajektorie v síti

1 2

Neznámý soubor je stažen na zařízení Otisk je nahrán a odeslán do cloudu na analýzu Neznámý soubor cestuje napříč sítí na různá zařízení

3

ack Chain Weaving



Trajektorie zaznamenává automaticky čas, metodu, místo vstupu, napadené systémy a šíření souboru

4

Analýza v sandboxu určí, zda je soubor zákeřný a upozorní všechna zařízení

5

lepší přehled o rozsahu napadení

Trajektorie


Mobile

Network

Mobile

Virtual Machine

Breach Hunting Trajektorie souboru poskytuje Computer

Mobile

Computer

Mobile

Virtual Machine

Cisco Public

24

Trajektorie na zařízení

1 2 3 4

avioral ations of romise

Trajektorie


Neznámý soubor je stažen na danou stanici Soubor se přesouvá mezi zařízeními, provádí různé operace Mezi tím trajektorie pro zařízení zaznamenává příčinu, návaznosti a akce souboru Tato data zdůrazní přesnou příčinu a rozsah napadení na zařízení

Drive #1

Drive #2

Drive #3

Breach Hunting Computer

Cisco Public

25

Breach Hunting

avioral ations of romise

Trajektorie


Breach Hunting

1

Breach Hunting využívá behaviorální příznaky napadení a sleduje prostředí jako celek

2

Jakmile je behaviorální příznak napadení objeven, sleduje se, zda se objeví i jinde

3

Tato funkce umožní rychlé hledání podezřelého chování v prostředí jako celku, umožňuje nalezení neznámého malwaru

Cisco Public

26

Výhody Cisco AMP

3

Adresuje všechny tři fáze

2

Pokrývá prostředí v celé šíři

PŘED

Obsah

1


POTÉ

Síť

Ochrana v určitém okamžiku

Sleduje historii napadení

BĚHEM

Koncová zařízení Zpětné vyhodnocování


Cisco Public

27

Advanced Malware Protection - AMP na všech místech

NGIPS / NGFW a FirePOWER říjen 2012

Mobile červen 2012

PC leden 2012

Virtuální srpen 2012

Appliance únor 2013

Apr 2014

Nové prvky: Web a Email Security brány

SaaS

Cloud Web Security a hostovaný Email Note: Immunet entered AMP market in 2008.


Cisco Public

28

Ochrana v síti

Síť

Stanice

Obsah

•  Síť využívá indikátory zkompromitování (IoC), analýzu souborů a trajektorii. Lze tak přesně zobrazit, jak se malware v prostředí pohyboval.


Cisco Public

29

Ochrana koncových stanic

Síť

Stanice

Obsah

•  S ochranou na koncových stanicích je možné zobrazit trajektorii na zařízeních, využít elastické prohledávání a “outbreak control”. V tomto příkladě je ukázána karanténa nedávno zjištěného malwaru na zařízení s FireAMP konektorem. © 2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

30

Ochrana webu a emailu (content)

Síť

Stanice

Obsah

•  AMP pro “content” chrání proti hrozbám mířícím na web a mail tím, že vydá retrospektivní alarm, když je zjištěn malware


Cisco Public

31

Advanced Malware Protection: obsah (content) Collective Security Intelligence Cloud (Sourcefire)

Cisco SIO

URL Reputation

File Reputation

File Sandboxing

Neznámé soubory jsou odeslány do sandboxu

Email Security zařízení

Senderbase Filtrování podle reputace odesílatele Odesílatelé se špatnou pověstí blokováni © 2014 Cisco and/or its affiliates. All rights reserved.

ESA

Očistěná pošta doručena Anti-Spam / Anti-Virus

Spam a infikovaný mail zahozen

Známá reputace souborů

Pošta s přílohami se známou špatnou reputací zahozena Cisco Public

32

AMP pokrývá prostředí v celé šíři Cisco Advanced Malware Protection

AMP Protection

Obsah

Síť

Koncová zařízení

Prostředí

Email a Web

Sítě

Zařízení

Licence na ESA nebo WSA

Samostatné řešení -neboaktivace AMP na FirePOWER zařízení

Instalovaný modul na koncových stanicích

Noví nebo současní zákazníci s Cisco Email nebo Web Security

Zákazníci s IPS/NGFW

Windows, Mac, Android, VMs

Metoda

Vhodné pro


Cisco Public

33

Cisco AMP poskytuje tři výhody

3

Adresuje všechny tři fáze

2

Pokrývá prostředí v celé šíři

PŘED

Obsah

1


POTÉ

Síť

Ochrana v určitém okamžiku

Sleduje historii napadení

BĚHEM

Koncová zařízení Zpětné vyhodnocování


Cisco Public

34

Pokrytí všech tří fází

Síť

Před

Během

Poté

Pravidla, řízení

Zjištění, blokování

Odezva, příčina, náprava

Porozumění kontextu Automatizace řízení

AMP v síti

Stanice Pokrývá spojité útoky pro: •  Desktop •  Mobilní zařízení •  Virtuální stroje


AMP na stanicích

Retrospektivní výstrahy Trajektorie

Trajektorie Souborová analýza Příznaky napadení Outbreak Control Forenze

Cisco Public

35


Cisco Public

36

AMP v akci: putování souboru (Network File Trajectory)


Cisco Public

37


Cisco Public

38

Neznámý soubor se objevil na IP: 10.4.10.183, byl stažen Firefoxem


Cisco Public

39

V 10:57, přesun neznámého souboru z IP 10.4.10.183 na IP: 10.5.11.8


Cisco Public

40

O sedm hodin později je soubor přenesen na třetí zařízení (10.3.4.51) pomocí SMB aplikace


Cisco Public

41

Soubor je znova zkopírovám na čtvrté zařízení (10.5.60.66) stejnou SMB aplikací o půl hodiny později


Cisco Public

42

Cisco Collective Security Intelligence Cloud rozpoznal, že soubor je nebezpečný a ihned vyvolá retrospektivní událost pro všechna 4 zařízení


Cisco Public

43

Ve stejný čas zařízení s FireAMP konektorem reaguje zpětně na událost a okamžitě zastaví a umístí do karantény nově odhalený malware


Cisco Public

44

8 hodin po prvním útoku Malware zkouší znovu proniknout do systému původním místem, ale je rozpoznán a zablokován.


Cisco Public

45

Korelace


Cisco Public

46

Analýza, náprava


Cisco Public

47


Cisco Public

48


Cisco Public

49

AMP konfigurace na FirePOWER


Cisco Public

50

Představili jsme si AMP ve třech variantách AMP pro bezpečnost obsahu

•  Zjišťuje a blokuje malware attempting pronikající přes mail a web brány •  Nabízí rozsáhlé výkazy, sledování URL a zpráv, nabízí prioritní nápravu •  Rozšíření současných zařízení nebo cloud služby •  Zjišťuje přístupová místa, šíření, protokoly komunikace, zasažené staníce a uživatele

AMP pro sítě

•  Vytváří si kompletní přehled nepřátelských aktivit pomocí kontextových dat •  Sleduje a chrání BYOD zařízení v síti

AMP pro koncová zařízení

•  Odhalí infekci, sleduje cestu útoku, analyzuje jeho chování •  Omezí rychle škody a sníží riziko opakované infekce •  Vypátrá příznaky napadení na síťové i systémové úrovni


Cisco Public

51

Odkazy •  Sourcefire řešení

http://www.sourcefire.com/ •  Sourcefire Advanced Malware Protection

http://www.sourcefire.com/solutions/advanced-malware-protection •  Cisco Live přednáška BRKSEC-2664, viz portál (po registraci)

https://www.ciscolive.com/online/connect/publicDashboard.ww •  Techwise video (po registraci)

http://www.cisco.com/web/learning/le21/onlineevts/offers/twtv/en/twtv146/ondemand.html


Cisco Public

52

Cisco Advance Malware Protection

Recommend Documents