Cisco Advance Malware Protection

Cisco Advance Malware Protection Ivo Němeček, CCIE #4108 Manager, Systems Engineering Cisco Connect, 17.6. 2014

Současný malware je rozprostřený v čase i prostoru Jde o koordinované kriminální podnikání Detekce v jediném okamžiku a času selhává 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

Komplexní zabezpečení vyžaduje Ochranu před průnikem Zjištění průniku a jeho zastavení Souhrnné informace 82,000 nových hrozeb denně 180,000+ vzorků souborů denně Trojské koně tvořily 8 z 10 infekcí v roce 2013 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 3 Source: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html

Rozsáhlý sběr informací z infrastruktury Cisco SIO I00I III0I III00II 0II00II I0I000 0110 00 10I000 0II0 00 0III000 II1010011 101 1100001 110 110000III000III0 I00I II0I III0011 0110011 101000 0110 00 Cisco Collective Security Intelligence Sourcefire VRT 1100001110001III0 I00I II0I III00II 0II00II 101000 0110 00 101000 0II0 00 0III000 III0I00II II II0000I II0 100I II0I III00II 0II00II I0I000 0II0 00 (Vulnerability Research Team) 1.6 million globálních senzorů 100 TB dat přijatých denně 150 million+ nasazenýcg stanic 600+ inženýrů, techniků a výzkumníků WWW Email Endpoints Web Networks IPS Devices 35% celosvětového email provozu 13 miliard web požadavků 24x7x365 provoz 40+ jazyků Automatické aktualizace každých 3-5 minut 180,000+ vzorků souborů denně FireAMP komunita, 3+ millónů Advanced Microsoft and Industry Disclosures Snort a ClamAV Open Source komunita Honeypoty Sourcefire AEGIS program Soukromé a privátní zdroje informací o hrozbách Dynamická analýza 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 4

Advanced Malware Protection s retrospektivní bezpečností (Retrospective Security ) AMP Zevrubný přístup Spojitá analýza Integrovaná odezva Analýza velkých dat Řízení a náprava 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 5

Výhody Cisco AMP 3 Pokrývá všechny fáze PŘED BEHEM POTÉ 2 V celé šíři sítě 1 Okamžitě i zpětně v čase Obsah Síť Koncové body Okamžité zjišťování Retrospektivní bezpečnost Cisco Collective Security Intelligence 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 7

Cisco AMP poskytuje okamžitou i zpětnou detekci Okamžitá detekce Retrospektivní bezpečnost Reputace souborů a behaviorální detekce Souvislá ochrana To je jedinečná vlastnost. 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 8

Cisco AMP chrání reputačním filtrováním a behaviorální detekcí Reputační filtrování Point-in-Time Protection Behaviorální detekce Cisco Collective Security Intelligence Continuous Protection File Reputation & Behavioral Detection Unique to Cisco AMP Retrospective Security Signatury 1:1 Fuzzy otisky Strojové učení Stopy napadení Dynamická analýza Pokročilá analytika Korelace toků dat ze zařízení 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

Reputační fitrování - signatury Reputation Filtering Behavioral Detection 1 2 3 4 Neznámý otisk souboru je analyzována a poslána do cloudu Signatura souboru není známa jako zákeřná, soubor je vpuštěn Neznámá signatura je analyzována a odeslána do cloudu Signatura souboru je rozpoznána jako zákeřná a soubor je blokován Collective Security Intelligence Cloud Signatury 1:1 Fuzzy Finger-printing Machine Learning Indications of Compromise Dynamic Analysis Advanced Analytics Device Flow Correlation 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

Reputační fitrování - fuzzy otisky 1 2 3 4 5 Otisk souboru je analyzován a rozpoznán jako zákeřny Zákeřnému souboru je odepřen vstup Polymorfická forma téhož souboru zkouší vstoupit do systému Otisky souborů jsou porovnány. Jsou rozpoznány jako podobné Polymorfický otisk je odmítnut na základě podobnosti se známym malwarem Collective Security Intelligence Cloud Signatury 1:1 Fuzzy Finger-printing Machine Learning Indications of Compromise Dynamic Analysis Advanced Analytics Device Flow Correlation 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

Reputační fitrování strojové učení 1 Neznámá metadata souboru jsou odeslána do cloudu k analýze 2 Metadata jsou rozpoznána jako možný malware Collective Security Intelligence Cloud to-one ature Fuzzy otisky Strojové učení 3 4 5 6 Soubor je porovnán se známým malwarem a je potvrzeno, že jde o malware Další neznámá metadata souboru jsou odeslána do cloudu k analýze Metadata jsou podobná známému čistému soboru. Soubor je asi čistý. Soubor je potvrzen jako čistý po porovnání s podobným čistým souborem Indications of Compromise Dynamic Analysis Advanced Analytics Rozhodovací strom strojového učení Possible malware Device Flow Correlation Possible clean file Confirmed malware Confirmed clean file Confirmed malware Confirmed clean file 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

Behaviorální detekce sledování stop napadení 1 2 3 4 5 Neznámý soubor je analyzován, jsou nalezeny příznaky samoreplikace Tyto příznaky samoreplikace jsou předány do cloudu Neznámý soubor samostatně přenáší data směrem ven Toto chování je také odesláno do cloudu Tyto aktivity jsou oznámeny uživateli jako indikace malwaru zzy -printing Strojové učení Příznaky napadení Dynamic Analysis Advanced Analytics Device Flow Correlation Collective Security Intelligence Cloud 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

Behaviorální detekce dynamická analýza v sandboxu 1 2 3 Neznámé soubory jsou přeneseny do cloudu, kde je DAE spustí v sandboxu Dva soubory jsou rozpoznány jako malware, jeden jako čistý Signatury malwaru jsou aktualizovány v cloudu a vyslány k uživatelům jové ení Indikátory napadení Dynamická analýza Advanced Analytics Device Flow Correlation Collective Security Intelligence Cloud Collective User Base 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

Behaviorální detekce pokročilá analytika 1 Získá informaci o sw neidentifikovaném reputačním filtrováním Získá kontext o neznámém sw z Collective Security 2 Collective Collective User Base Intelligence Cloud User Base 3 Analyzuje soubor ve světle informací a poskytnutém kontextu 4 Identifikuje pokročilý malware a předá novou signaturu uživatelům kace adení Dynamická analýza Pokročilá analytika Device Flow Correlation 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 15

Behaviorální detekce korelace toků dat 1 Device Flow Correlation monitoruje zdroje a cíle I/O přenosů v síti IP: 64.233.160.0 2 3 4 5 Dva neznámé soubory komunikují s konkrétní IP adresou Jeden přenáší data ven, druhý přijímá povely z dané IP Collective Security Intelligence Cloud rozpozná vnější IP jako nebezpečnou, potvrdí to Neznámé soubory jsou na základě tohoto spojení identifikovány jako malware Collective Security Intelligence Cloud mická lýza Pokročilá analýza Korelace toků dat 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

Cisco AMP poskytuje okamžitou i zpětnou detekci Okamžitá detekce Retrospektivní bezpečnost Reputace souborů a behaviorální detekce Souvislá ochrana To je jedinečná vlastnost 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 17

Principy retrospektivní ochrany Šíře záběru, různé uzly WWW Email Stanice Web Síť IPS Mobilníí zařízení Telemetrický proud dat Otisky souborů a metadata Spojitý přenos dat Souborové a síťové I/O operace Informace o procesech 1000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 110 0100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 Spojitá analýza 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

Proč je spojitá ochrana nezbytná Historie událostí Kdo Co Collective Security Intelligence Kde Kdy Jak Kontext Prosazení Spojitá analýza 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

Metody obrany se zpětným vyhodnocováním Retrospekce Splétání řetězce událostí Behavioralní příznaky napadení Trajektorie Breach Hunting 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

Retrospekce Retrospekce Attack Chain Weaving 1 Behavioral Indications of Compromise Provede se analýza při prvním zjištění souboru Určí se dispozice 2 Trajectory Provádí se soustavná analýza souboru v čase, aby se zjistilo, zda se dispozice mění Breach Hunting 3 Sleduje se cesta, akce a komunikace svázané s daným souborem či kódem 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 21

Attack Chain Weaving Využívá zpětného hodnocení třemi způsoby 1 2 3 Souborové Procesní Komunikační Retrospekce Spřádání řetězce událostí Attack Chain Weaving analyzuje data získaná souborovou, procesní a Behavioral Indications of Compromise komunikační retrospekcí a tím přináší další inteligenci v rozpoznávání hrozeb Souborová Trajectory Procesní Komunikační retrospekce Breach retrospekce sleduje, jak aplikace Hunting komunikují zaznamenává sleduje aktivitu trajektorii procesů a softwaru I/O aktivity mezi zařízeními v systému 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

Behaviorální příznaky napadení Behaviorální příznaky napadení používají retrospekci k monitorivání podezřelých a nevysvětlených aktivit spection Splétání řetězce událostí Behaviorální příznaky napadení 1 Trajectory Neznámý soubor je vpuštěn do sítě 2 Neznámý soubor se kopíruje na více Breach Hunting strojů 3 Kopíruje obsah z pevného disku 4 Posílá duplikovaný obsah na neznámou IP adresu AMP rozpozná vzorky a aktivity daného souboru a identifikuje akci sledováním celého prostředí, spíše než jednotlivých signatur či otisků 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 23

Trajektorie v síti 1 Neznámý soubor je stažen na zařízení 2 Otisk je nahrán a odeslán do cloudu na analýzu Collective Security Intelligence Cloud Neznámý soubor cestuje napříč sítí na různá zařízení Mobile Network ck Chain eaving Behaviorální příznaky napadení 3 4 Trajektorie 5 Trajektorie zaznamenává automaticky čas, metodu, místo vstupu, napadené systémy a šíření souboru Analýza v sandboxu určí, zda je soubor zákeřný a upozorní všechna zařízení Breach Hunting Trajektorie souboru poskytuje lepší přehled o rozsahu napadení Mobile Computer Mobile Computer Mobile Virtual Machine Virtual Machine 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

Trajektorie na zařízení 1 2 3 4 Neznámý soubor je stažen na danou stanici Soubor se přesouvá mezi zařízeními, provádí různé operace Mezi tím trajektorie pro zařízení zaznamenává příčinu, návaznosti a akce souboru Tato data zdůrazní přesnou příčinu a rozsah napadení na zařízení Drive #1 Drive #2 Drive #3 vioral tions f omise Trajektorie Breach Hunting Computer 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 25

Breach Hunting vioral tions f omise Trajektorie Breach Hunting 1 Breach Hunting využívá behaviorální příznaky napadení a sleduje prostředí jako celek 2 Jakmile je behaviorální příznak napadení objeven, sleduje se, zda se objeví i jinde 3 Tato funkce umožní rychlé hledání podezřelého chování v prostředí jako celku, umožňuje nalezení neznámého malwaru 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 26

Výhody Cisco AMP 3 Adresuje všechny tři fáze PŘED BĚHEM POTÉ 2 1 Pokrývá prostředí v celé šíři Sleduje historii napadení Obsah Síť Koncová zařízení Ochrana v určitém okamžiku Zpětné vyhodnocování Cisco Collective Security Intelligence 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 27

Advanced Malware Protection - AMP na všech místech NGIPS / NGFW a FirePOWER říjen 2012 Mobile červen 2012 PC leden 2012 Virtuální srpen 2012 Appliance únor 2013 Apr 2014 Nové prvky: Web a Email Security brány SaaS Cloud Web Security a hostovaný Email Note: Immunet entered AMP market in 2008. 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 28

Ochrana v síti Síť Stanice Obsah Síť využívá indikátory zkompromitování (IoC), analýzu souborů a trajektorii. Lze tak přesně zobrazit, jak se malware v prostředí pohyboval. 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 29

Ochrana koncových stanic Síť Stanice Obsah S ochranou na koncových stanicích je možné zobrazit trajektorii na zařízeních, využít elastické prohledávání a outbreak control. V tomto příkladě je ukázána karanténa nedávno zjištěného malwaru na zařízení s FireAMP konektorem. 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

Ochrana webu a emailu (content) Síť Stanice Obsah AMP pro content chrání proti hrozbám mířícím na web a mail tím, že vydá retrospektivní alarm, když je zjištěn malware 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 31

Advanced Malware Protection: obsah (content) ESA Cisco SIO Collective Security Intelligence Cloud (Sourcefire) URL Reputation File Sandboxing File Reputation Email Security zařízení Neznámé soubory jsou odeslány do sandboxu Senderbase Filtrování podle reputace odesílatele Anti-Spam / Anti-Virus Známá reputace souborů Očistěná pošta doručena Odesílatelé se špatnou pověstí blokováni Spam a infikovaný mail zahozen Pošta s přílohami se známou špatnou reputací zahozena 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 32

AMP pokrývá prostředí v celé šíři Cisco Advanced Malware Protection AMP Protection Obsah Síť Koncová zařízení Prostředí Email a Web Sítě Zařízení Metoda Licence na ESA nebo WSA Samostatné řešení -neboaktivace AMP na FirePOWER zařízení Instalovaný modul na koncových stanicích Vhodné pro Noví nebo současní zákazníci s Cisco Email nebo Web Security Zákazníci s IPS/NGFW Windows, Mac, Android, VMs 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 33

Cisco AMP poskytuje tři výhody 3 Adresuje všechny tři fáze PŘED BĚHEM POTÉ 2 1 Pokrývá prostředí v celé šíři Sleduje historii napadení Obsah Síť Koncová zařízení Ochrana v určitém okamžiku Zpětné vyhodnocování Cisco Collective Security Intelligence 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 34

Pokrytí všech tří fází Síť Stanice Před Pravidla, řízení Porozumění kontextu Automatizace řízení Pokrývá spojité útoky pro: Desktop Mobilní zařízení Virtuální stroje Během Zjištění, blokování AMP v síti AMP na stanicích Poté Odezva, příčina, náprava Retrospektivní výstrahy Trajektorie Trajektorie Souborová analýza Příznaky napadení Outbreak Control Forenze 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 35

Cisco Collective Security Intelligence Cloud rozpoznal, že soubor je nebezpečný a ihned vyvolá retrospektivní událost pro všechna 4 zařízení 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 43

Ve stejný čas zařízení s FireAMP konektorem reaguje zpětně na událost a okamžitě zastaví a umístí do karantény nově odhalený malware 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 44

Představili jsme si AMP ve třech variantách AMP pro bezpečnost obsahu Zjišťuje a blokuje malware attempting pronikající přes mail a web brány Nabízí rozsáhlé výkazy, sledování URL a zpráv, nabízí prioritní nápravu Rozšíření současných zařízení nebo cloud služby AMP pro sítě Zjišťuje přístupová místa, šíření, protokoly komunikace, zasažené staníce a uživatele Vytváří si kompletní přehled nepřátelských aktivit pomocí kontextových dat Sleduje a chrání BYOD zařízení v síti AMP pro koncová zařízení Odhalí infekci, sleduje cestu útoku, analyzuje jeho chování Omezí rychle škody a sníží riziko opakované infekce Vypátrá příznaky napadení na síťové i systémové úrovni 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 51

Odkazy Sourcefire řešení http://www.sourcefire.com/ Sourcefire Advanced Malware Protection http://www.sourcefire.com/solutions/advanced-malware-protection Cisco Live přednáška BRKSEC-2664, viz portál (po registraci) https://www.ciscolive.com/online/connect/publicdashboard.ww Techwise video (po registraci) http://www.cisco.com/web/learning/le21/onlineevts/offers/twtv/en/twtv146/ondemand.html 2014 Cisco and/or its affiliates. All rights reserved. Cisco Public 52