Ptsecurity comPt network Attack Discovery
 Скачать 3.29 Mb.
|
|
ptsecurity.com PT Network Attack Discovery Анализирует трафик. Выявляет атаки. Незаменим в расследованиях. О компании Positive Technologies V V V V V V 17 лет опыта исследований и разработок 200+ обнаруженных уязвимостей нулевого дня в год 900 сотрудников: инженеров по ИБ, разработчиков, аналитиков и других специалистов 200+ аудитов безопасности корпоративных систем делаем ежегодно 250 экспертов в нашем исследовательском центре безопасности 50% всех уязвимостей в промышленности и телекомах обнаружили наши эксперты Защищаем крупные информационные системы от киберугроз: ▪ создаем продукты и решения ▪ проводим аудиты безопасности ▪ расследуем инциденты ▪ исследуем угрозы Нам доверяют Наши проекты Ежегодный международный форум по практической безопасности, который собирает более 6000 участников. В рамках форума мы организуем 30- часовую кибербитву за контроль над эмуляцией городской инфраструктуры между командами атакующих и защитников. Формат соревнования максимально приближен к реальности. Во время кибербитвы SOC на базе наших продуктов мониторит инфраструктуру и выявляет атаки. Задача Обеспечить защиту сервисов, необходимых для перемещения болельщиков, регистрации компаний-перевозчиков и набора волонтеров. Что сделано Создали контур безопасности и проводили непрерывный мониторинг защищенности всей инфраструктуры. Результат Обеспечено непрерывное функционирование всех информационных систем Задача Усилить защищенность веб-портала ЦИК РФ во время проведения выборов. Что сделано Проверили защищенность веб-портала, внедрили PT Application Firewall для выявления и блокировки атак, провели мониторинг безопасности в день выборов. Результат Выявлены критичные уязвимости, обеспечена безопасность веб-портала и блокировка атак в режиме реального времени. ptsecurity.com phdays.com Аналитика и расследования Выпускаем более 20 исследований в год Ежеквартальные отчеты об актуальных киберугрозах и трендах, прогнозы, расследования активности хакерских группировок, отраслевые исследования ptsecurity.com/ru-ru/research/analytics ptsecurity.com Почему важно мониторить внутренний трафик Защиты периметра недостаточно V V V В 92% проектов по тестированию на проникновению, проведенных в 2018 году, наши специалисты смогли преодолеть сетевой периметр и получить доступ к ресурсам ЛВС* В 50% компаний злоумышленник может преодолеть сетевой периметр за один шаг* 206 дней среднее время незаметного присутствия злоумышленников в инфраструктуре** В любую корпоративную сеть, даже хорошо защищенную на периметре, можно проникнуть. Когда злоумышленник попадает во внутреннюю сеть, его действия остаются незамеченными для периметровых средств защиты. Нужно контролировать и внешний, и внутренний трафик * Уязвимости корпоративных информационных систем, 2019, Positive Technologies ** 2019 Cost of a Data Breach Report, Ponemon institute Действия атакующих внутри сети Перехват учетных данных одного из сетевых узлов Продвижение в инфраструктуре: эксплуатация уязвимостей, применение хакерского инструментария, сокрытие своей активности от средств защиты Закрепление в инфраструктуре: постоянный доступ к целевому хосту В 2018 году наши пентестеры во всех исследуемых системах получили полный контроль над внутренней инфраструктурой. Охота за учетными данными администратора домена Постоянный доступ к интересуемой информации Полная компрометация инфраструктуры: получение доступа к контроллеру домена с максимальными привилегиями Последствия Когда атакующие взламывают контроллер домена, локализовать угрозу крайне трудоемко. Пример: авиакомпания Гонконга с момента обнаружения утечки данных пассажиров еще 3 месяца подвергалась атакам iz.ru/923418/vadim-arapov/techet-i-vmeniaetsia-v-set-popali-eshche-76-mln-zapisei-o-klientakh securitylab.ru/news/496748.php securitylab.ru/news/494413.php scmp.com/news/hong-kong/law-and-crime/article/2172796/cathay-pacific-cyberattack-far-worse-previously-thought rg.ru/2019/06/22/hakery-pohitili-v-nasa-informaciiu-o-missii-na-mars.html securitylab.ru/news/473048.php Как выявить атакующего внутри сети? У всех основных средств мониторинга безопасности (SIEM, EDR) есть слепые зоны. Их можно победить с помощью анализа трафика. Применение хакерских инструментов Например, для обнаружения PowerView (инструмента для разведки в AD) нужно включить логирование события 1644 — оно будет показывать LDAP-активность PowerView. Таких событий может генерироваться очень много. Хорошая альтернатива: выявление по трафику, так как в трафике все запросы отлично видны (LDAP — это открытый протокол). SIEM не видит некоторые типы атак В случае DCShadow создается поддельный домен контроллер, который не отправляет события в SIEM. В трафике отчетливо видно добавление нового объекта в схему конфигурации типа домен контроллер. Эксплуатация некоторых уязвимостей Например, критическую уязвимость в службе удаленного рабочего стола Windows CVE-2019-0708, которая эксплуатируется в легитимных процессах, выявить по событиям можно только косвенно. Точнее ее можно определить по трафику. Выявление активности вредоносного ПО SIEM видит такую активность по событиям из AV и FW. FW выявляют ВПО по IP-адресам: в случае изменения адреса или создания нового, FW их пропустит. Если вредонос «упаковать», то AV его, скорее всего, пропустит. Скрыть сетевую активность вредоноса — более трудозатратно, поэтому то, что пропустят AV или FW, можно обнаружить по трафику. Какие решения подходят? NTA (Network Traffic Analysis) — системы анализа трафика: ▪ Анализируют трафик как на периметре, так и в инфраструктуре ▪ Выявляют атаки с помощью комбинации способов детекта ▪ Предоставляют информацию, необходимую для расследования инцидентов Многие клиенты Gartner рассказали, что NTA инструменты выявили подозрительную активность в трафике, которую пропустили периметровые решения Market Guide for Network Traffic Analysis, Gartner, 2019 NTA входит в топ технологий для выявления угроз, работой которых довольны в SOC Common and Best Practices for Security Operations Centers: Results of the 2019 SOC Survey, SANS Institute 2019 NTA — обязательный компонент SOC SOC — это не только про SIEM. Основа SOC по Gartner: SIEM Network Traffic Analysis (NTA) для сбора логов и анализа событий для анализа сетевого трафика Endpoint Detection and Response (EDR) для анализа активности на конечных узлах + Без этого компонента SOC упускает события на уровне сети , а значит у злоумышленников больше возможностей остаться незамеченными + ptsecurity.com Решение от Positive Technologies PT Network Attack Discovery PT NAD — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети. Система знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях. NTA — решения класса Network Traffic Analysis Ключевые задачи: PT NAD определяет более 50 протоколов, разбирает до уровня L7 включительно 30 наиболее распространенных из них. Это позволяет получить подробную картину активности в инфраструктуре и выявить проблемы в ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак. Дает понимание, что происходит в сети Обнаруживает скрытые угрозы Система автоматически обнаруживает попытки злоумышленников проникнуть в сеть и их присутствие в инфраструктуре по большому количеству признаков: от применения хакерского инструментария до передачи данных на сервера атакующих. PT NAD дает SOC полную видимость сети, упрощает проверку успешности атаки, помогает восстановить ее хронологию и собрать доказательную базу. Для этого он хранит метаданные и сырой трафик, позволяет оперативно находить сессии и фильтровать подозрительные, экспортировать и импортировать трафик. Повышает эффективность работы SOC Как работает PT NAD PT NAD захватывает и разбирает трафик на периметре и в инфраструктуре. Это позволяет выявлять активность злоумышленника и на самых ранних этапах проникновения в сеть, и во время попыток закрепиться и развить атаку внутри сети PT NAD выявляет Горизонтальное перемещение злоумышленника Угрозы в зашифрованном трафике Хакерский инструментарий Связь с автоматически сгенерированными доменами Нарушения регламентов ИБ Эксплуатацию уязвимостей в сети Активность вредоносного ПО Сокрытие активности от средств защиты Признаки атак, не обнаруженных ранее PT NAD выявляет Угрозы в зашифрованном трафике Глубокая аналитика позволяет PT NAD с высокой точностью детектировать скрытые под TLS или кастомным протоколом вредоносные программы PT NAD обнаруживает попытки расширения присутствия злоумышленников в инфраструктуре, детектируя их действия: разведку, удаленное выполнение команд, атаки на Active Directory и Kerberos PT NAD выявляет Горизонтальное перемещение злоумышленника Экспертный центр PT ESC расследует сложные атаки, постоянно изучает новые угрозы и следит за деятельностью хакерских группировок. На основе этих знаний эксперты создают правила для PT NAD, которые выявляют применение всех популярных хакерских инструментов. PT NAD выявляет Хакерский инструментарий Собственная база уязвимостей постоянно пополняется информацией о новых уязвимостях, в том числе о тех, которые еще не попали в базу данных CVE. Это позволяет PT NAD оперативно выявлять попытки их эксплуатации. PT NAD выявляет Эксплуатацию уязвимостей в сети PT NAD выявляет вирусное ПО по его сетевой активности. Это важно для локализации угрозы, т.к. вредоносное ПО просто сделать незаметным для антивирусных систем, а скрыть его сетевую активность — более трудозатратно. PT NAD выявляет Активность вредоносного ПО Как только база знаний PT NAD пополняется данными о новых киберугрозах, выполняется ретроспективный анализ трафика для проверки наличия угрозы в сети. Это позволяет максимально быстро обнаружить скрытое присутствие злоумышленника. PT NAD выявляет Признаки атак, не обнаруженных ранее PT NAD детектирует DNS-, HTTP-, SMTP- и ICMP- туннели, которые злоумышленники используют для кражи данных, связи вредоносного ПО с командным сервером и для сокрытия своей активности от средств защиты. PT NAD выявляет Сокрытие активности от средств защиты PT NAD выявляет Связь с автоматически сгенерированными доменами С помощью технологии машинного обучения PT NAD распознает связь с доменными именами, созданными при помощи алгоритмов генерации доменов (DGA). Это помогает выявить вредоносное ПО, которое использует DGA для поддержания связи с управляющим сервером злоумышленника. PT NAD выявляет Нарушения регламентов ИБ PT NAD помогает отслеживать передачу почты и учетных данных в незашифрованном виде, использование VPN-туннелей, TOR, утилит для удаленного доступа, прокси, мессенджеров — все то, что, как правило, запрещено политиками ИБ в крупных компаниях Покрываемые техники ATT&CK Initial Access Execution Persistence Privilege Escalation Defense Evasion Credential Access Discovery Lateral Movement Collection Command and Control Exfiltration Impact Drive-by Compromise CMSTP External Remote Services Valid Accounts CMSTP Brute Force Account Discovery Component Object Model and Distributed COM Data from Network Shared Drive Commonly Used Port Exfiltration Over Alternative Protocol Network Denial of Service Exploit Public- Facing Application Command-Line Interface Scheduled Task Connection Proxy Credential Dumping Domain Trust Discovery Exploitation of Remote Services Man in the Browser Connection Proxy Exfiltration Over Command and Control Channel Resource Hijacking External Remote Services Component Object Model and Distributed COM Valid Accounts DCShadow Exploitation for Credential Access Network Service Scanning Pass the Hash Custom Command and Control Protocol Service Stop Spearphishing Attachment Exploitation for Client Execution Web Shell Exploitation for Defense Evasion Kerberoastin g Network Share Discovery Pass the Ticket Custom Cryptographic Protocol Spearphishing Link Mshta Windows Management Instrumentation Event Subscription Mshta Password Policy Discovery Remote Desktop Protocol Data Encoding Trusted Relationship PowerShell Obfuscated Files or Information Permission Groups Discovery Remote Services Data Obfuscation Valid Accounts Scheduled Task Redundant Access Remote System Discovery Third-party Software Domain Generation Algorithms Scripting Scripting Security Software Discovery Windows Admin Shares Fallback Channels Service Execution Software Packing System Owner/User Discovery Windows Remote Management Multi-hop Proxy Third-party Software System Service Discovery Multi-Stage Channels User Execution Multiband Communication Windows Management Instrumentation Multilayer Encryption Windows Remote Management Remote Access Tools XSL Script Processing Remote File Copy Standard Application Layer Protocol Standard Cryptographic Protocol Standard Non-Application Layer Protocol Uncommonly Used Port PT NAD покрывает более 50% техник, применяемых атакующими при первоначальном доступе, горизонтальном перемещении и взаимодействии с командным центром. до 20% от 20 до 50% Более 50% Определение тактик и техник из модели ATT&CK В карточке атаки отображаются данные об использованных тактиках и техниках по матрице ATT&CK. Это помогает понять, на какой стадии атаки находятся злоумышленники и быстрее определить компенсирующие меры. Преимущества Видит активность злоумышленников во внутреннем трафике PT NAD анализирует не только внешний, но и внутренний трафик, поэтому он детектирует горизонтальные перемещения злоумышленников, попытки эксплуатации уязвимостей, атаки на конечных пользователей в домене и на внутренние сервисы. Интегрируется с решениями класса SIEM и Sandbox Благодаря интеграции пользователи могут управлять инцидентами в SIEM-системах и выявлять вредоносный контент в передаваемых по сети файлах. Поддержка экспертов PT Expert Security Сenter Специалисты центра безопасности PT Expert Security Center дополняют команду ИБ при недостатке экспертизы или полностью берут на себя задачи по мониторингу событий безопасности сетевого трафика и расследованию атак Выявляет даже модифицированное вредоносное ПО Для создания собственных правил наши эксперты постоянно исследуют актуальные хакерские техники, инструменты и образцы вредоносных программ. При этом одно правило покрывает целое семейство вирусного ПО. Благодаря этому PT NAD уведомляет обо всех действительно опасных угрозах и выявляет даже модифицированные версии вредоносов. Покрытие требований 187-ФЗ PT NAD также позволяет выполнить требования по защите персональных данных (приказ ФСТЭК № 21), информации в ГИС, в АСУ ТП и в информационных системах общего пользования (приказы ФСТЭК № 19, 31 и 489). Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты: Приказ ФСТЭК России от 25.12.2017 № 235: АУД.5. Контроль и анализ сетевого трафика СОВ.1. Обнаружение и предотвращение компьютерных атак СОВ.2. Обновление базы решающих правил Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом КИИ. ptsecurity.com Сценарии использования PT NAD Сценарии использования PT NAD Контроль соблюдения регламентов ИБ Выявление атак на периметре и внутри сети Расследование атак Threat Hunting Контроль соблюдения регламентов ИБ КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING PT NAD помогает обнаружить ошибки в конфигурациях информационных систем и нарушения регламентов ИБ, которые снижают эффективность системы безо- пасности и способствуют развитию атак. С помощью фильтров пользователи PT NAD могут оперативно обнаружить учетные записи в открытом виде, нешифрованные почтовые сообщения, использование утилит для удаленного доступа и инструментов сокрытия активности в сети. По практике PT ESC в 9 из 10 организаций встречаются популярные ошибки конфигурации и нарушения регламентов ИБ. Посмотрите вебинар о том, как выявить семь типовых ошибок с помощью PT NAD. Пример КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING В сети летают учетные данные в открытом доступе. Они могут быть легко перехвачены в случае компрометации сети. С помощью фильтра в PT NAD можно настроить виджет, где будут отображаться все открытые пароли: Можно увидеть конкретные сессии, где передавались открытые данные, адреса узлов отправителей и получателей. Наиболее распространенные уязвимости внутренней сети (доля систем) * Уязвимости корпоративных информационных систем, 2019, Positive Technologies Выявление атак на периметре и в сети КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING Встроенные технологии машинного обучения, глубокая аналитика, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ позволяют детектировать атаки как на самых ранних стадиях, так и когда злоумышленник уже проник в инфраструктуру. Набор индикаторов компрометации и правил еженедельно пополняется экспертами PT Expert Security Center. Пример КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING Цель атакующих — захват контроллера домена головной организации. Шаг №1. Проникновение в головную организацию через менее защищенный периметр одного из филиалов. Шаг №2. Атака на контроллер домена из единой сети организации. Шаг №3. PT NAD обнаружил угрозу за счет разбора протокола SMB и выявления нелегитимных запросов списка пользователей в домене. В интерфейсе PT NAD пользователь видит сработку правила на выявление запросов SMB из нелегитимного сегмента Расследование атак КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING С помощью PT NAD специалист по расследованию: ▪ локализует атаку, ▪ восстанавливает хронологию атаки, ▪ выявляет уязвимые места в инфраструктуре, ▪ вырабатывает компенсирующие меры для предотвращения аналогичных атак, ▪ собирает доказательную базу. Гибкая система хранения данных Пользователь может выбрать нужные параметры для хранения метаданных и сырого трафика и таким образом оптимизировать объем хранилищ Пример КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING 1. PT NAD уведомил о неуспешной попытке авторизации в контроллере домена с учетной записи с недостаточным объемом прав. 2. Проверив сетевую активность узла, пользователь увидел, что ранее с него было несколько попыток подключений на другие хосты во внерабочее время. 3. С помощью IT-службы пользователь заблокировал учетку и начал детальное расследование с командой PT ESC. Пример 1. PT NAD уведомил о неуспешной попытке авторизации в контроллере домена с учетной записи с недостаточным объемом прав. 2. Проверив сетевую активность узла, пользователь увидел, что ранее с него было несколько попыток подключений на другие хосты во внерабочее время. 3. С помощью IT-службы пользователь заблокировал учетку и начал детальное расследование с командой PT ESC. КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING Threat hunting КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING PT NAD помогает выстроить процесс threat hunting в организации и выявлять скрытые угрозы, которые не обнаруживаются стандартными средствами кибербезопасности. Например, гипотезы о присутствии хакерской группировки в сети, проведении конкурентной разведки, наличии внутреннего нарушителя или об утечке данных Пример КОНТРОЛЬ РЕГЛАМЕНТОВ ИБ ВЫЯВЛЕНИЕ АТАК РАССЛЕДОВАНИЕ АТАК THREAT HUNTING В системе нет формальных признаков компрометации. Оператор решил проверить гипотезу, что контроллер домена взломан. 1. С помощью фильтров оператор проанализировал сетевую активность в адрес контроллера домена. 2. С внутреннего адреса был запрос на получение списка пользователей домена и несколько запросов на авторизацию в домен-контроллере. Последний из них оказался удачным. 3. Обнаружено скачивание по протоколу SMB файла ntds.dit*. Гипотеза подтверждена — домен скомпрометирован, нужно провести расследование. Карточка сессии, в которой был скачан файл с данными каталога Active Directory *файл, содержащий все данные каталога Active Directory ptsecurity.com Архитектура PT NAD Логическая архитектура Ядро поддерживает горизонтальное масштабирование Ядро PT NAD Сенсор 2 Сенсор N Сенсор 1 Коммутатор Коммутатор ▪ Машинное обучение ▪ Ретроспективный анализ ▪ Индикаторы компрометации ▪ Глубокая аналитика ▪ Хранилище метаданных ▪ Глубокий разбор протоколов ▪ Анализ правилами Positive Technologies ▪ Хранилище сырого трафика ptsecurity.com Интеграция с продуктами Positive Technologies Возможности интеграции MaxPatrol SIEM Система выявления инцидентов ИБ PT NAD передает в MaxPatrol SIEM уведомления об атаках, а также данные о сетевой конфигурации и соединениях актива. Это дает более полную картину IT- инфраструктуры и позволяет точнее выявлять инциденты. PT NAD может поставляться к MaxPatrol SIEM в виде NAD сенсора. PT MultiScanner Система защиты от вирусных угроз с песочницей Производит статический и динамический анализ файлов, передаваемых в трафике, на предмет угроз. Также проверяет контент в почтовом, сетевом и веб-трафике, оповещает о вредоносном ПО или блокирует их загрузку. В комплексе с сервисами PT ESC, PT NAD и PT MultiScanner формируют систему выявления и предотвращения целевых атак. ptsecurity.com Как начать работу с PT NAD Варианты поставки и модель лицензирования Поставка Hardware Appliance для развертывания на физическом сервере. Производительность — до 10 Гбит/сек Virtual Appliance для развертывания на виртуальной машине. Производительность — до 200 Мбит/сек Годовое Базовая лицензия По пропускной способности трафика (на 1, 2, 5, 10, 20, 50 или 100 Гбит/с) Инфраструктурные лицензии ▪ Ядро системы ▪ Сенсоры для разбора протоколов и анализа трафика (до 1000, 5000 и 10 000 Мб/с) лицензирование Пример архитектуры ▪ Базовая лицензия на 20 Гбит/с ▪ 2 лицензии на ядро системы ▪ 1 лицензия на сенсор до 1 Гбит/с ▪ 1 лицензия на сенсор до 5 Гбит/с ▪ 1 лицензия на сенсор до 10 Гбит/с Ядро PT NAD Сенсор 2 на 5 Гбит/с Сенсор 3 на 10 Гбит/с Сенсор 1 на 1 Гбит/с Коммутатор Коммутатор Ядро PT NAD Как пропилотировать PT NAD Заявка Заполните заявку на странице PT NAD на сайте или свяжитесь с вашим менеджером в Positive Technologies Подписание NDA, заполнение анкеты об инфраструктуре Разворачивание PT NAD: установка, настройка, подключение копии трафика Пилотирование, мониторинг специалистами Positive Technologies Отчет об обнаруженных угрозах ≈ 4 недели ptsecurity.com/ru-ru/products/network-attack-discovery/ Отзыв Дмитрий Сафронов, начальник отдела защиты информации ВГТРК Для эффективной борьбы с постоянными киберугрозами нам нужен был инструмент, позволяющий быстро анализировать проблемы, возникающие в различных точках подключения, отслеживать общую ситуацию в сети или действия конкретной машины. Благодаря внедрению PT Network Attack Discovery мы смогли решить проблему контроля вредоносной активности в сетевом трафике, а также провели подготовку к выполнению требований регулирующих органов. Подробнее на сайте ptsecurity.com Сертификаты reestr.minsvyaz.ru ptsecurity.com Входит в реестр Российского ПО , рег. номер ПО № 4710 от 19 сентября 2018 Сертификат ФСТЭК России №4042 от 30 ноября 2018 позволяет применять PT NAD в качестве системы обнаружения вторжений уровня сети 4 класса защиты в ГИС и в ИСПДн ptsecurity.com Наши контакты Виктор Рыжков Руководитель группы систем защиты от целевых атак vryzhkov@ptsecurity.com По вопросам проведения пилота и внедрения: |