пятница, 28 июля 2017 г.

Интеграция Palo Alto Networks с другими решениями

На этой странице буду поддерживать ссылки описывающие интеграцию платформы Palo Alto Networks с другими решениями:

Кликать тут:
 ▪ Airwatch
 ▪ ForeScout
 ▪ Proofpoint
 ▪ Tanium
 ▪ Tripwire
 ▪ Trusteer
 ▪ Cisco ACI

Распишу Tanium прямо тут, поскольку с российских IP адресов они не разрешают к себе заходить. NGFW отправляет файлы в песочницу Wildfire, в результате анализа все IoC получаемые из отчета Winldfire отправляются в Tanium, который уже ищет эти IoC на рабочих станциях используя STIX. Замечу, что NGFW также получает все IoC в устройство из Wildfire после анализа. Картинка ниже:



среда, 12 июля 2017 г.

10 из 10 обязательных функций межсетевого экрана нового поколения

Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
  1. Идентификация и контроль приложений по любому порту
  2. Идентификация и контроль попыток обхода защиты
  3. Расшифрование исходящего SSL и управляющего SSH трафика
  4. Контроль функций приложений и их подприложений
  5. Управление неизвестным трафиком
  6. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
  7. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
  8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
  9. Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений
  10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе


Реальный пример. Стремительное распространение виртуализации и облачных технологий приводит к появлению новых задач в области безопасности, и с помощью старых межсетевых экранов, для которых характерна несогласованная работа внутренних компонентов, разрозненность механизмов управления ими и отсутствия интеграции с виртуализированной средой, решить эти задачи сложно или вообще невозможно.

Появились мощные ИТ системы, где на одном WEB сервере по одному 80 порту и по одному IP адресу находятся сотни различных приложений. Как их различает ваш межсетевой экран? Например, проверьте фильтры безопасности вашего межсетевого экрана на примере задачи защиты двух веб-приложений по этому адресу basic.ngfw-test.com.

Чтобы защитить входящий и исходящий трафик ЦОД, трафик внутри виртуальных сред вашей организации ваш межсетевой экран нового поколения должен предлагать абсолютно одинаковый функционал как в аппаратных, так и виртуальных форм-факторах.

Требования. Постоянное создание и настройка различных стандартных и нестандартных приложений в среде виртуального ЦОД еще больше усложняет задачи идентификации и контроля приложений. Сегодня это невозможно сделать на основе правил выполняемых на основе двух критериев: порт и IP-адрес.
Кроме тех девяти функций, которые уже описаны ранее, следующая обязательная функция межсетевого экрана нового поколения: важно, чтобы ваш межсетевой экран нового поколения поддерживал всестороннюю интеграцию со средой виртуализации. Это позволит создавать политики безопасности, основанные на приложениях, даже для динамической среды современного центра обработки данных, где не прекращается процесс создания и изменения виртуальных машин и приложений в них.
Создание межсетевого экрана для систем виртуализаци - единственный способ, который гарантирует поддержку развития современных центров обработки данных, обеспечивает гибкость администрирования и защиту от рисков и позволяет соблюдать стандарты и нормативы, такие как стандарты PCI DSS или ЦБ РФ.
Межсетевые экраны должны обеспечивать безопасную работу приложений — и всецело поддерживать ваш бизнес на всех уровнях абстракции.

воскресенье, 9 июля 2017 г.

Запись с PHD: Демонстрация блокировки криптолокеров на примере locky и wanacrypt0r

Практическая демонстрация блокировки криптолокеров. Видеозапись с конференции Positive Hack Days 2017.



В процессе демонстрации я использовал криптолокер locky и wanacrypt0r. Защита их блокировала. Чтобы показать, что защита многоэшелонированая, я выключал поочередно функции многоэшелонированной защиты и показывал, что тогда срабатывает следующая техника защиты. В итоге у меня заняло больше часа времени отключение всех имеющихся техник защиты у межсетевого экрана нового поколения и у хостовой защиты нового поколения.
То есть техник защиты у компании Palo Alto Networks достаточно.  Для защиты вам нужно, чтобы хотя бы одна сработала и блокировала криптолокер в вашей компании. А мы вам предлагаем целую пачку техник защиты.

Введение - что будет показано

4:15 показываю слайд какие технологии Threat Intelligence работают в Palo Alto Networks
4:45 рассказываю про функционал и принципы работы хостовой защиты TRAPS
6:10 показываю слайд с описанием техник kill chain, которые мы будем блокировать
8:20 показ настроек TRAPS
9:10 показ настроек NGFW
9:55 показ успешной атаки через почту, используя вредоносный JavaScript
13:20 показ успешной атаки через почту, используя эксплойт PDF

Включаем защиту

14:40 показ как включить защиту TRAPS
15:00 показ как включить защиту на NGFW

Защита работает

17:00 пробуем запустить вредоносный JavaScript уже с включенной защитой TRAPS и NGFW - срабатывает защита TRAPS от запуска скриптов
18:00 пробуем запусть эксплойт в PDF - срабатывает защита ROP
18:50 отключаем защиту от ROP в TRAPS
20:00 пробуем запустить эксплойт в PDF - он сам по себе не срабатывает. Иногда эксплойты не срабатывают просто сами по себе - они ведь тоже программа, которая не идеальна.
20:30 пробуем запустить эксплойт в PDF - срабатывает DLL Security
32:20 я еще раз запускаю PDF и блокируется скачивание из Интернет - срабатывает блокировка категории malware и NTVDM ругается, что нечего ему запускать
33:40 я помещаю портал с которого скачивается locky.exe в белый список URL профиля
34:50 повторяю запуск PDF и опять NTVDM не сработал потому что locky.exe был заблокирован профилем File Blocking, который проверяет типы файлов и запрещает всем сотрудникам скачивать exe файлы браузером.
36:20 мы решили разрешить скачивание EXE только для группы программистов компании. Здесь я решил показать функционал USER-ID, чтобы в правиле использовать группу пользователей, а не IP адрес. Я добавляю правила и группу пользователей. Использую API команды для этого.
40:00 показываю, что теперь блокировка произошла снова: сработала обычная сигнатура антивируса, потому что вредоносный код locky достаточно старый и известный
40:50 показываю как исключить данную сигнатуру антивируса в профиле защиты
41:25 запускаю PDF снова и срабатывает Child Process в TRAPS
42:10 добавляю исключение чтобы Child Process можно было
43:10 песочница Wildfire уже проверила этот файл и присвоила ему статус "вредоносный" и поэтому файл locky.exe заблокирован снова: сработала защита песочницей Wildfire на хосте с TRAPS. Я, кстати, неправильно объясняю причину блокировки во время презентации -  не туда посмотрел.
44:10 показывают весь зал. Народ еще держится )
45:00 настраиваем Wildfire правило в TRAPS 4.0
48:20 выключаем вообще компонент Wildfire, чтобы дать возможность locky.exe запуститься 49:30 обнаруживаем, что NGFW заблокировал канал управления locky модулем anti-spyware 50:10 добавляем исключение на сигнатуру Locky C2C chanel, эмалируем что мы не знаем как работает обратный канал подключения locky.
51:20 обнаруживаем, что сработала еще одна сигнатура anti-spyware NGFW сработала и сразу выключаем и ее
51:55 locky смог запуститься и начать работать после всех выключений всех движков защиты

Другие варианты атаки

54:10 рассказываю про туннели tcp-over-dns
56:00 запускаем атаку через xls - срабатывает защита от макросов
56:35 пробуем запустить эксплойт в flash ролике и обнаруживаем что срабатывает детект эксплойта в NGFW
57:00 отключаем spyware сигнатуру
57:13 пробуем запустить эксплойт в flash через HTTPS, но срабатывает URL фильтрация

Защита от wanacrypt0r

58:21 отключаем защиту чтобы попробовать wanacrypt0r
1:01:45 запускаем wanacryptor и он все шифрует как и должен - защиты ведь нет
1:04:07 запускаем программу для замены хеша, чтобы смоделировать что это еще неизвестный вредоносный код
1:08:15 показываю как скачать TRAPS с портала support.paloaltonetworks.com, качаю и ставлю его на свою виртуальную машину с Windows Server
1:10:00 запускаем wanacrypt0r - он блокируется TRAPS

Подведение итогов

1:10:35 вердикт Wildfire неизвестен, поэтому неизвестный exe файл был заблокирован
1:12:10 подведение итогов: мы продемонстрировали многоэшелонированную защиту
1:12:45 перечисляем все компоненты защиты которые есть у PAN
1:13:30 обсуждаем как защищать облачные компоненты, Aperture, Autofocus
1:15:00 Cloudshare UTD - варианты лабораторных работ
1:17:00 ссылка на другую запись этой же презентации
1:17:25 отвечаю на вопрос про функционал DLP в Aperture
1:18:20 отвечаю на вопрос по политикам на основе IoC из Autofocus, и External Block List и корреляция TI из разных источников
1:22:00 раздача футболок

Другая версия этой же презентации


Настройка защиты от запуска JavaScript:

Включение правила FIREWALL-BYPASS для игнорирования атак:

Модули защиты, которые работают в NGFW: определение что за приложение передает контент, проверка URL в HTTP, HTTPS, SMTP, движок IPS, anti-spyware, антивирус, проверка формата файлов и блокировка exe, песочница Wildfire, база плохих DNS, URL, IP:

Какие конкретно методы будет блокировать защита:
ё

Список техник Threat Intelligence внутри Palo Alto Networks NGFW

Виртуальные демо-стенды с готовыми конфигурациями на основе CloudShare для тестирования любого продукта: NGFW, TRAPS, Panorama, Migration Tool


четверг, 6 июля 2017 г.

9 из 10 обязательных функций межсетевого экрана нового поколения

Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
  1. Идентификация и контроль приложений по любому порту
  2. Идентификация и контроль попыток обхода защиты
  3. Расшифрование исходящего SSL и управляющего SSH трафика
  4. Контроль функций приложений и их подприложений
  5. Управление неизвестным трафиком
  6. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
  7. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
  8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
  9. Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасноcти приложений
  10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

9. При полной активации функций управления приложениями ваш межсетевой экран нового поколения должен обеспечивать такую же пропускную способность и производительность, как прежде. 

Реальный пример. Многие организации стремятся добиться оптимального баланса между производительностью и безопасностью. Не секрет, что активация дополнительных функций безопасности на вашем межсетевом экране означает, что пропускная способность устройства будет существенно снижена. Если ваш межсетевой экран нового поколения разработан правильно, вам не потребуется переживать за это. 

Требования. При рассмотрении этого требования также становится очевидным значение архитектуры, только в несколько ином ключе. Поспешный выбор межсетевого экрана работающего только на транспортном уровне c портами TCP и UDP или множества других средств обеспечения информационной безопасности от разных производителей обычно выливается в чрезмерное количество защит на каждом из сетевых уровней, механизмов сканирования и политик, что приводит к снижению производительности. Межсетевой экран должен быть сделан под эти задачи еще при разработке архитектуры ПО. Более того, если считать, что вам требуется выполнять ресурсоемкие вычислительные задачи (такие как расшифрование SSL, идентификация приложений, предотвращение угроз на всех портах) в среде высокоинтенсивного трафика, не допускающей малейшие задержки в работе критически важной инфраструктуры, ваш межсетевой экран нового поколения должен быть оснащен специальными выделенными аппаратными компонентами для выполнения таких задач.