Визуализация взломов в собственной сети PAN

Визуализация взломов
в собственной сети
Денис Батранков
консультант по ИБ, CISSP, CNSE
Palo Alto Networks
russia@paloaltonetworks.com

344 KBfile-sharing
URL category
PowerPoint
file type
“Confidential and
Proprietary”
content
rivanov
user
marketing
group
canada
destination country
172.16.1.10
source IP
64.81.2.23
destination IP
TCP/443
destination port
SSL
protocol
HTTP
protocol
slideshare
application
slideshare-uploading
application function

344 KBunknown
URL category
EXE
file type
shipment.exe
file name
ipetrov
user
finance
group
china
destination country
172.16.1.10
source IP
64.81.2.23
destination IP
TCP/443
destination port
SSL
protocol
HTTP
protocol
web-browsing
application

Много заказчиков удивляются отчетом по приложениям

Лучше один раз увидеть
SLR позволяет показать приложения,
вирусы, атаки, бот-сети
Security Lifecycle Report (SLR)

Сколько вирусов не знает ваш антивирус?
Wildfire = 5 минут на определение
Проверка файлов в песочнице

Сколько компьютеров в бот-сети?

URL
фильтр
DNS
Sinkholing
Динамиче
ские DNS
Detect and
Block
 Threat Intelligence = блокировка центров
управления и скачивания malware
URL категория - malware,
DNS Sinkholing,
Anti-Spyware
Сразу
блокируем
ненужные для
работы URL
Сразу видим
DNS запросы
к вредоносным
ресурсам.
Сразу
блокируем
сайты на
динамических
DNS
Сигнатуры
популярных
систем
удаленного
управления

Кто из сотрудников пользуется SaaS?

User-ID позволяет сопоставить IP и аккаунт

Ваши средства мониторинга видят сеть вот так?
Много
трафика
по порту
80
Много
трафика
по порту
53
Много
трафика
по порту
21
Много
трафика
по порту
25

Вы знаете что по сети передают данные
200-400 приложений?

Прокси-сервер изучает только web
трафик. А остальные 200 приложений
кто будет защищать?
HTTP – Port 80
HTTPS – Port 443
???
???
???
???
???
???
• Фокус на HTTP and HTTPS оставляет
злоумышленнику доступным большой арсенал атак
по другим приложениям

Зачем тестирование?
 Показать реальную функциональность -
без маркетинга
 Показать стабильность
 Показать производительность
 Показать интерфейс

Лабораторная работа с инструктором Palo Alto Networks.
16 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Мода на квесты? У нас есть Ultimate Test Drive

Какие задачи решает NGFW для ИТ
 Switching, Routing, VLAN, Trunks, Policy Based Routing,
VPN
 Визуализация ВСЕХ приложений по стандартным и
нестандартным портам стека TCP/IP
 Просмотр и контроль действий пользователей
 Mobile Device Management и HIP

Какие задачи решает NGFW для ИБ
Новые правила на основе
 приложений
 имен/групп AD
 URL категорий
 типов файлов
Единая точка контроля
VPN
Антивирус
IPS
URL категории
Песочница
Threat Intelligence
DNS Sinkholing
Туннелирование/обход firewall

Пример атак хакеров на Positive Hack Days 2017

Интеграция NGFW в сетевую инфраструктуру
 Порт Tap = SPAN порт – для аудита или составления отчетов
 Порт Virtual Wire = фильтрующий мост, самое легкое внедрение в сеть
 Порт L2 = свитч, поддержка VLAN и VLAN трансляции
 Порт L3 = маршрутизатор, поддержка RIP, OSPF, BGP, Multicast
Tap Layer 3
OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN LACP VPN QoS
Virtual Wire Layer 2

Какие есть способы обхода
сетевой защиты?

Техники уклонения от IPS/IDS и Firewall
1. Распространение
вредоносного ПО или
нелегитимного трафика
через открытые порты
 нестандартное использование
стандартных портов
 создание новых
специализированных протоколов
для атаки
2. Использование
стандартных протоколов
на нестандартных портах –
уклонение от сигнатурного
сканирования
signatures
Port
10000
HTTP
Port
80

Туннелирование поверх DNS
Примеры
 tcp-over-dns
 dns2tcp
 Iodine
 Heyoka
 OzymanDNS
 NSTX
Использование рекурсивных запросов для передачи инкапсулированных
сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту

Две стороны одного протокола SSL
SSL для защиты данных или чтобы скрыть вредоносную активность?
TDL-4
Poison IVY
Rustock
APT1Ramnit
Citadel
Aurora
BlackPOS

Схема работы расшифрования SSL/SSH
 После расшифрования трафик будет проверен и он может быть также
отослан на внешний зеркальный порт (например во внешний DLP)
Decrypt mirror output
! Cleartext data is copied to decrypt mirror interface .
! TCP Handshake and TCP checksums are artificially recreated.
12 | ©2014, Palo Alto Networks. Confidential and Proprietary.

Использовать NGFW удобно для приложений 7 уровня –
не нужно помнить стандартные порты приложений
Разрешить MS Lync? Запросто!
1434(UDP), 5060, 5061, 444, 135, 5062, 8057, 8058,
5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061,
5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082,
5065, 49152-57500(TCP/UDP), 5073, 5075, 5076, 5066,
5071, 8404, 5080, 448, 445, 881, 5041
А как разрешить bittorent?

TRAPS – защита от эксплойтов и песочница Wildfire
предотвращает атаки на хостах
Документ открывает
пользователь, ничего
не ожидая
Traps незаметно
интегрируется в процесс
Техника эксплуатации
блокируется до начала
вредоносной активности
Когда происходит попытка взлома,
то эксплойт вызывает ловушку и останавливается
до того как вредоносная активность начинается
Traps
Traps оповещает о событии и
собирает данные для
анализа
UserAdmin
is Notified
PDF
PDF
PDF
Process is
Terminated
Forensic Data
is Collected
R
R
R

Блокировка WanaCrypt0r хостовой защитой

Советуют другимОценка заказчиками
сервисной поддержки
Customer satisfaction data is collected through post-support call surveys.
Net Promoter Score (likelihood to recommend) = (% Promoters [10 or 9]) – (% Detractors [1-6]). Satisfaction = 1 (low) to 5 (high). An NPS of 50 is
considered best-in-class.
На 7.3 пункта
с прошлого
года!
-100 to +100
75.3
из 10
8.95
29 | © 2016, Palo Alto Networks. Confidential and Proprietary.
Заказчики впечатлены

Платформа Palo Alto Networks
приносит удовольствие
Обеспечиваем заданную производительность при всех включенных сервисах
безопасности

Видеозапись демонстрации защиты от
криптолокеров
https://youtu.be/Z2jmzzZniMo
Email офиса в России: Russia@paloaltonetworks.com

Решаемые задачи: защита Интернет-периметра
• Контроль Интернет-доступа на уровне категорий
приложений и пользователей
• Расшифрование входящего/исходящего SSL/SSH
трафика, интеграция с DLP
• Анализ и контроль контента
• URL-фильтрация
• Защита от уязвимостей (IPS), Антивирус, защита от
botnet
• Защиты от угроз «нулевого дня» и APT
(целенаправленных атак)
• Удаленный доступ для мобильных пользователей c
аутентификацией и проверкой соответствия
корпоративной политике

Решаемые задачи: защита ЦОД и КСПД
• Контроль пользователей и приложений в ЦОД
• Защита от взлома, проникновений угроз и вирусов в ЦОД
• Антивирус, защита от уязвимостей (IPS), защита от botnet
• Защита от угроз «нулевого дня» и целенаправленных
атак
• Интеграция с виртуальными серверами (VMware, Hyper-V
и др.)
• Защита корпоративных, самописных приложений (пр.
проект РЖД)
• Защиты виртуализированных рабочих мест (VDI)
• Интеграция с DLP, SIEM

Решаемые задачи: защита рабочих станций
 Предотвращение известных и неизвестных
угроз за счёт применения уникальных методик
анализа
 Дополнение новыми функциями безопасности
существующего антивируса
 Защита физических (АРМ), виртуальных сред
(VDI) и мобильных ПК
 Полноценная интеграция с компонентами
платформы NGFW и Wildfire (песочницы)

Ресурсы для изучения технологий Palo Alto Networks
 https://applipedia.paloaltonetworks.com/ - список приложений
 http://researchcenter.paloaltonetworks.com/app-usage-risk-report-
visualization-2014/ - пузырьковая диаграмма
 https://threatvault.paloaltonetworks.com/ - база данных вирусов и атак
 https://paloaltonetworks.com/resources/datasheets/product-summary-
specsheet.html - спецификация всех продуктов
 www.projectnee.com/HOL/catalogs/catalog/134 - бесплатная лабораторная
среда Vmware NSX + NGFW
 live.paloaltonetworks.com – портал с ответами на вопросы и материалами
 live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-
Tool/ta-p/56582 – скачать Migration Tool

Пузырьковая диаграмма приложений на Flash
Ссылка на диаграмму
http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/

База данных вирусов и атак
https://threatvault.paloaltonetworks.com/

UTD - Unified Test Drive – Threat Prevention лучше
Feature Highlights
UTD-NGFW UTD-TP
UTD-VDC UTD-MP
UTD-AEP
(New)
AWS-TD as UTD
(New)
Application Control Yes Yes Yes Yes No Yes
Modern Malware (WildFire) with VM-Series Yes Yes Yes No No No
Decryption Yes Yes No No No No
URL Filtering Yes Yes No No No No
Control Apps on Non-Standard Port Yes Yes No No No No
Evasive Apps (Block Web Proxy Sites) Yes No No No No No
GlobalProtect Yes No No No No No
In-depth Security Profile (w Threat Traffic) No Yes No No No Yes
DNS Sinkhole No Yes No No No No
Safe Search Enforcement No Yes No No No No
Advanced Endpoint Protection - Traps Introduction No Yes No No Yes No
Advanced Endpoint Protection -Malware and Exploit No No No No Yes No
Review Exploit Chain and Exploit Techniques No No No No Yes No
In-depth ESM Configuration No No No No Yes No
Traps and WildFire Integration No No No No Yes No
Dynamic Object Group No No Yes No No No
Panorama No No Yes No No No
vCenter and NSX Manager No No Yes No No No
NSX traffic steering, security group and policies No No Yes No No No
NSX VXLAN and DFW No No Yes No No No
VM-to-VM traffic control / protection No No Yes No No Yes
Use of VM-1000-HV and VM-100 No No Yes No No No
Use of Migration Tool No No No Yes No No
Import 3rd party config file to Migration Tool No No No Yes No No
Migrate port-based policies to application-based policies No No No Yes No No
PAN-OS verison 7.0 7.0 6.0 7.0 N.A. 7.0
Current Lab version 3.1 3.2 2.0 1.0 1.0 1.0
Я показываю обычно UTD-TP потому что там NGFW + TRAPS

Портал Autofocus
https://autofocus.paloaltonetworks.com

NSX Demos + Palo Alto Networks NGFW
http://www.projectnee.com/HOL/catalogs/catalog/134

SPLUNK + Palo Alto Networks
http://splunkdemo.paloaltonetworks.com/

LIVE - ответы на все вопросы https://live.paloaltonetworks.com

Скачать Migration Tool 3.3.
https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/MigrationTool-3-3-Info-and-Guide/ta-p/72559

Полезные команды CLI
https://live.paloaltonetworks.com/docs/DOC-4254

Фирменный магазин
shop.paloaltonetworks.com

Существующие подписки на NGFW
46 | ©2015, Palo Alto Networks. Confidential and Proprietary.
Threat Prevention - обновления сигнатур антивируса, IPS, анти-spyware
URL Filtering – обновления базы данных категорий URL
Существует две версии баз собственная и сторонняя от BrightCloud.
WildFire – отправка файлов в облако WildFire и получение сигнатур из
облака
Decryption Port Mirror (бесплатно) – отправка расшифрованного трафика
на зеркальный порт
Virtual Systems – дополнительные виртуальные системы на устройстве.
Модели PA-500, PA-200, VM серия не поддерживают виртуальные
системы
Global Protect – поддержка мобильных устройств и large scale VPN
Autofocus – доступ к базе AutoFocus для разбора инцидентов
https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/getting-
started/activate-licenses-and-subscriptions.html

Компания PALO ALTO NETWORKS
• 2005 год - Санта-Клара (США)
• Основатель - Нир Зук
• Специализация - межсетевые экраны нового
поколения, защита рабочих станций и облаков
• 3800+ сотрудников Palo Alto Networks
• 37000 + ЗАКАЗЧИКОВ ПО МИРУ: банки, финансовые
услуги, нефтегазовые компании, производство,
телеком, здравоохранение, ритейл, логистические
компании и другие

Gartner
Волшебный квадрант
Межсетевые экраны
нового поколения
Лидерство 5 лет
подряд!

Контакт офиса в Москве:
RUSSIA@paloaltonetworks.com

Визуализация взломов в собственной сети PAN

More Related Content

Визуализация взломов в собственной сети PAN