Практические аспекты выявления целевых атак злоумышленников на базе поведенческого анализа вредоносного кода Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Текущая ситуация Рост количества целевых атак на информационные системы компаний и организаций («операция Аврора», операция «Красный октябрь» и др.) Характерные признаки целевых атак – использование социальной инженерии, применение эксплойтов «нулевого дня» Существующие средства защиты информации не могут обеспечить полноценную защиту от целевых атак
Компроментация Web-сервера 1 3 Установление контроля над вредоносным кодом 2 Скачивание и запуск вредоносного кода Скомпроментированный Web сервер 1 Сервер управления IPS 3 2 Дальнейшее распространение атаки в сети компании 4 Получение доступа к интересующей информации 5 DMZ Файловые сервера 5 4 Пример жизненного цикла атаки
Использование гиперссылок и вложений для проведение атак
Традиционные уровни защиты Межсетевые экраны IDS/IPS Шлюзы Web- безопасности Средства защиты от спама Антивирус
Технология поведенческого анализа Векторы атаки Web File Интеграция с внешними системами Gateway Endpoint MSSP SIEM Reporting SIEM Reporting Forensics Network Monitoring Network Monitoring Виртуальные машины MVX FireEye API FireEye API Dynamic Threat Intelligence (DTI) Cloud Dynamic Threat Intelligence (DTI) Cloud Платформа FireEye Операционная система FireEye OS Операционная система FireEye OS Virtual Object Execution Multi-Flow Virtual Execution Эвристический анализ Proprietary Virtual Analysis Dynamic Threat Intelligence (DTI) Enterprise Dynamic Threat Intelligence (DTI) Enterprise Алерты Запросы Данные для расследования
Функциональная архитектура FireEye Web File Malware Analysis Central Management System FEATURES: Возможность анализа всех векторов атаки Анализ происходит локально на уровне используемых applienceов Возможность выявления атаки на различных стадиях Dynamic Threat Protection Multi-Vector Virtual Execution
Принцип работы Web MPS Windows 7 – SP1 Динамический анализ (запуск виртуальных машин) Статический анализ Play Malware Attack Windows XP - Base Windows XP – SP2 Windows XP – SP3 Windows 7 - Base Блокирование известных угроз Перехват пакетов данных 1234 CALLBACKENGINECALLBACKENGINE CALLBACKENGINECALLBACKENGINE DTI Профили угроз «нулевого дня» 5 Блокирование функций управления вредоносным кодом Входящий трафик
Принцип работы MPS Анализ поведения вредоносного кода в виртуальной среде Play Malware Attack Windows XP - base Windows XP – SP2 Windows XP – SP3 Windows 7 - Base Windows 7 – SP1 Разделение объектов Перехват почтового трафика 123 URLs передаются для анализа в Web MPS Отчеты, оповещения, карантин 4 Профили угроз «нулевого дня» DTI
Принцип работы File MPS Расслед ование VM-Video Analysis File Extraction Анализ файлов Анализ объектов Динамический анализ YARA AV-Suite File Analysis Статический анализ PCAP traces
File Shares Individual Files Статический анализ Сравнение с известными профилями Мониторинг активности вредоносного кода Детальный отчет Детальный анализ Play Malware Attack Отправка информации о выявленном вредоносном кода в DTI Malware Repository Windows XP - base Windows XP – SP2 Windows XP – SP3 Windows 7 - Base Windows 7 – SP1 Классиф икация вредонос ного кода по папкам Управление Web UICLI URLs 12 DTI Платформа для анализа вредоносного кода
Anti-Spam Почтовые серверы Файловые серверы ЛВС IPS Web MPS MPS File MPS CMS Dynamic Threat Intelligence MAS Firewall Схема установки компонент Fire Eye
Преимущества решений поведенческого анализа Позволяют существенно повысить уровень защиты от целевых атак злоумышленников Обеспечивают более высокий уровень защиты угроз «нулевого дня» Позволяют выявить вредоносный код, который уже присутствует в системе Дополняют существующие средства защиты, установленные в компании
Наши контакты , г. Москва, ул. Нагатинская, д. 1 Телефон: +7 (495) Факс: +7 (495)