Cisco Umbrella. Эффективное средство защиты пользователей от киберугроз - Андрей Куракса
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Cisco Umbrella.
Эффективное средство защиты пользователей
от киберугроз
Андрей Куракса
INFORMATION TECHNOLOGY AND INFORMATION SECURITY
DNS и его место в
01 экосистеме защиты
Краткий обзор
02 Cisco Umbrella
Повестка Популярные сценарии
03 использования Umbrella
Варианты внедрения и
04 лицензирования
DNS – Основа Интернета DNS — “Телефонная книга” Интернета Используется для получения IP-адреса по имени хоста, получения информации о маршрутизации почты и др. Например, имя www.wikipedia.org транслируется в IP-адреса 91.198.174.192 и 2620:0:862:ed1a::1 Практически каждое устройство, сеть, операционная система или приложение так или иначе используют DNS
Почему DNS? Угрозы, использующие DNS: Сбор данных о корпоративной сети Кража учетных данных Установка вредоносного ПО Связь с командным центром Кража данных Уклонение от обнаружения
Office vs Remote
Malware
worker
C2 Callbacks
Phishing
Corporate
firewall
Что такое Umbrella
Umbrella - облачное решение, фильтрующее DNS-
запросы, поступающие из нашей сети или
Безопасные Заблокиро-
запросы ванные запросы генерируемые мобильными пользователями, где
бы они ни находились – дома, в кафе,
командировке.
Предотвращает подключения к веб-сайтам и
инфраструктурам, содержим вредоносное ПО или
нежелательный контент, а также защищает от
фишинга.
Статистические
модели
>2млн. событий в сек
11млрд+ исторических событий
Виновность по совпадению
▪ Модель по совпадению
▪ Модель геолокации IP Шаблоны виновности
▪ Модель категорий безопасности ▪ Модель последовательностей
▪ Модель категорий отправителей пиков
▪ Модель ранжирования Natural
Виновность по ассоциации Language Processing
▪ Предиктивное моделирование IP ▪ Предсказание DGA в реальном
пространства времени
▪ Корреляция Passive DNS и WHOIS ▪ Punycode
Крупнейшая
неправительственная
организация Threat Intelligence
>300 опытнейших инженеров и исследователей
Работа в режиме 24x7x365
Каждый день обрабатывается:
100TB данных
1.5 млн. уникальных образцов malware
13 млрд. веб-запросов
4.3 млрд. зловредных сайтов блокируется
600 млрд. электронных писем
Как работает Umbrella DNS?
Root
DNS Client server
203.0.113.59:443
Umbrella
192.0.2.123:443
TLD Name
DNS Server
Company A Authoritative
Name Server
Что еще умеет Umbrella
Облачный firewall
Контроль использования
Веб шлюз SaaS (CASB)
Безопасность Интерактивная
DNS уровня Threat intelligence
Cisco
Umbrella
SD-WAN ON/OFF NETWORK DEVICESРаспространенные сценарии
использования
Блокировка Предотвращение Контроль Обеспечение
зловредов фишинга облачных мониоринга
приложенийRansomware
Программа-вымогатель (англ. ransom – выкуп, software – программное обеспечение) – тип
зловредного ПО, предназначеного для вымогательства. Блокирует доступ к системе, а затем
требует от жертвы выкуп для его восстановления.
B
Зловредное Шифрует Требует выкуп
программное обеспечение важные данные за разблокирование90% вымогателей используют DNS
Ключ шифрования Выкуп
Название* DNS IP NO C2 TOR Выкуп
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNSПути заражения
Ключи
шифрования
Перенаправление
Web Server C2
Домены с
эксплойтами C2 Файл
Инфраструктура Зловредный
Ссылка злоумышленника код
Почтовое вложение
EmailЗаражение через Web
Скомпрометированный
сайт
Взломанный сайт
Malvertising Сервер с эксплойтами
Жертва
Сайт с рекламой Подставной сайтMalvertising
Показы рекламы
Сети Точки
рекламодателей обмена
Платформы
Посетитель аукционов
Рекламные
агенства
Сервера транслирующие рекламуMalvertising – Способы защиты
Инструмент Риск Степень влияния
Открытый доступ ••••• -
Ad Blocker •••• •
Ad Blocker + Защита DNS ••• •••
Ad Blocker, Защита DNS, Firewall •• •••
Блокирование всех рекламных
ресурсов • •••••
1https://blog.talosintelligence.com/2019/07/malvertising-deepdive.htmlОбманывать людей прибыльнее, чем взламывать программы…
ФИШИНГ
Фишинг — это вид кибермошенничества,
целью которого является компрометация
учётных записей и перехват контроля над
ними, кража данных кредитных карт или
любой другой конфиденциальной
информации.
Невнимательность жертвы = Успех фишингаАлфавитный мираж
Распространённой практикой мошенников является имитация
адресов известных сайтов с целью получения учетных данных
пользователей.
o -> 0 o -> 0 o -> 0
a -> ci a -> ci a -> ci
d -> cl d -> cl
d -> cl
g -> cj
g -> cj g -> cj w -> vv
w -> vv w -> vv m -> rn
I(i) -> l(L)
m -> rn m -> rn office -> offlce
I(i) -> l(L) I(i) -> l(L)
office -> offlce office -> offlcePunycode Punycode —метод преобразования Unicode- символов в последовательности, которые состоят только из алфавитно-цифровых символов. Делает возможным использование доменных имен включающих в себя символы локальных алфавитов яндекс.рф xn--d1acpjx3f.xn--p1ai Яндекс 阿里巴巴.com xn--tsta8290bfzd.com Alibaba
XBOCT или ХВОСТ? Punycode
homoglyph attack
По какой ссылке Вы бы кликнули?
1 www.flyuia.com www.flyuia.com
2 www.fⅼyuia.com www.xn--fyuia-um5b.com
3 www.flyυia.com www.xn--flyia-ude.com
4 www.flyuіa.com www.xn--flyua-q2e.com
5 www.flyuiа.com www.xn--flyui-8ve.com
Для приложений все эти ссылки одинаково валидны!“опечатки”…
Примеры… https://www.аррӏе.com/
Как отключить Punycode в
Firefox
1. В адресной строке набрать about:config и нажать Enter.
Кликнуть I accept the risk button
2. В строке поиска набрать IDN_show_punycode и нажать Enter
3. Двойной клик на параметре network.IDN_show_punycode изменит
его на true (включено) или false (отключено по-умолчанию)Компроментация и защита 1 Фишинговое письмо 2 Жертва кликает по 3 Загрузка вредоносного notice@paypal.com ссылке кода, т.н. dropper 6 Компроментация 5 Загрузка и установка 4 Dropper связывается хоста «полезной нагрузки» с командным центром
Блокирование угроз
Ключи
шифрования
Перенаправление
Web Server C2
Домены с
эксплойтами C2 Файл
Инфраструктура Зловредный
Ссылка злоумышленника код
Почтовое вложение
EmailСкрытые приложения
пользователей используют
80% непроверенные службой IT
приложения
облачных служб использует
1,220 среднестатистическая крупная
компания
атак на корпоративные ресурсы
33% будет исходить от скрытых
приложенийУвидеть активность SaaS приложений
Понять риск и заблокировать неразрешенные приложения
Быстрое внедрение
Подключение целой сети
с помощью одной настройки
Интеграция с Cisco SD-WAN, Cisco ISR
1K and 4K series, Cisco Meraki MR, and Cisco
WLAN controllers
Мобильные сотрудники
Интеграция с клиентом AnyConnect VPN
или другими VPN используя Umbrella client
ВСЕ МОБИЛЬНЫЕ ФИЛИАЛЫ или клиент Umbrella для Chromebook
УСТРОЙСТВА УСТРОЙСТВА
Интеграция с Active Directory
Поддержка любых устройствЗащита мобильных пользователей
Если уже используется AnyConnect…
▪ Установить последнюю версию AnyConnect
▪ Включить модуль Umbrella Roaming module
Если не используется AnyConnect…
▪ Установить отдельный роуминг клиент
▪ Отдельный «легкий» агент
AnyConnect module Umbrella roaming clientПопробовать – просто!
1 Запросить тест-драйв
2 Прописать DNS Umbrella
Start blocking in minutes
3 Готово!
OPENСВЯЖИТЕСЬ С НАМИ
Киев Львов
ул. Кирилловская, 121А ул. У. Кравченко, 10,
БЦ «Концепт» оф. 14
+38 (044) 334 42 35 +38 (067) 672 83 66
Полтава Харков
КИЕВ ул. Котляревского, 1/27
пл. Защитников
ЛЬВОВ ПОЛТАВА Украины, 7/8
+38 (067) 156 08 66
+38 (067) 156 08 23
ХАРЬКОВ
Website www.itis.net.ua
E-mail info@itis.net.ua
ITIS в социальных сетях:
info@itis.net.ua +38 (044) 334 42 35Вы также можете почитать
