• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Решение Cisco Threat Defense (CTD) и кибербезопасность
 

Решение Cisco Threat Defense (CTD) и кибербезопасность

on

  • 705 views

 

Statistics

Views

Total Views
705
Views on SlideShare
705
Embed Views
0

Actions

Likes
0
Downloads
17
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Решение Cisco Threat Defense (CTD) и кибербезопасность Решение Cisco Threat Defense (CTD) и кибербезопасность Presentation Transcript

    • Решение Cisco Threat Defense (CTD) и кибербезопасность Павел Родионов Системный инженер, Cisco EMEAR, Security 22.10.13 © 2010 Cisco Cisco and/or its affiliates. All reserved. © 2010 and/or its affiliates. All rights rights reserved. 1
    • • Как сегодня работают кибератаки • Как вы их можете их обнаружить • Какие решения Cisco для этого используются • Как они работают и какие технологии используют © 2010 Cisco and/or its affiliates. All rights reserved. 2
    • • • • • Эволюция киберугроз Пример целевой атаки Защитные технологии (Netflow) Обзор решения Cisco Cyber Threat Solution • Варианты использования CTD • Q&A © 2010 Cisco and/or its affiliates. All rights reserved. 3
    • ILOVEYOU Melissa Anna Kournikova Вирусы (1990) Защита: Anti-Virus, Firewalls Черви (2000) Защита: Intrusion Detection & Prevention Ботнеты (конце 2000-х и до сегодняшнего дня) Защита: Репутация, DLP, NGFW Advanced Persistent Threats (APTs) ( сегодня – целевые проработанные атаки) Стретегия: Обзор и контекст © 2010 Cisco and/or its affiliates. All rights reserved. Nimda SQL Slammer Conficker Tedroo Rustock Conficker Aurora Shady Rat Duqu Gauss ZeuS … 4
    • Любой может являться целью … Публикация информации о запуски кибератак против другой страны может только дать оправдание этой стране для создания кибервойск… Пожалуйста, не запускайте никаких бесцельных атак, реальная атака должна фатально повредить сеть противника или похитить ценную информацию… Все атаки должны производиться скрыто, вместо того, чтобы активно об этом провозглашать … http://www.chinahush.com/2010/09/15/honker-union-of-china-to-launch-network-attack-against-japan-is-a-rumor/ До 9% рабочих станций в enterprise инфицировано ботами http://www.darkreading.com/end-user/up-to-9-percent-of-machines-in-an-enterp/220200118 Из банков США похищены миллионы после атаки на 'wire payment switch’. Ограблены три банка путем отвлечения внимания DDOS атакой… мошенники исползовали Dirt Jumper, инструмент стоимостью $200 для запуска атак DDoS http://www.scmagazine.com.au/News/354155,millions-stolen-from-us-banks-after-wire-payment-switch-targeted.aspx Касперский: “Icefog”: Новая волна кибершпионажа http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_exposes_Icefog_a_new_cyber-espionage_campaign_focusing_on_supply_chain_attacks © 2010 Cisco and/or its affiliates. All rights reserved. 5 5
    • Если вы большой, вы основная цель киберугроз 3 октября 2013 У Adobe похищен исходный код и данные пользователей …Adobe сообщила, что она пострадала от длительного взлома корпоративной сети, в результате которого хакеры нелегально получили доступ к исходному коду нескольких широко используемых приложений, а также к паролям и другой чувствительной информации более чем трех миллионов заказчиков… http://arstechnica.com/security/2013/10/adobe-source-code-and-customer-data-stolen-in-sustained-network-hack/ 20 сентября 2013 Атака на Belgacom: Британская разведка взломала бельгийские телекомкомпании …Кибератака на интернет-системы основной бельгийской телекоммуникационной компании, Belgacom является настолько сложной и массированной, что ни одна компания или страна не может ей противостоять… http://www.theguardian.com/uk-news/2013/oct/03/gchq-eu-surveillance-cyber-attack-belgian © 2010 Cisco and/or its affiliates. All rights reserved. 6 6
    • … как это делают ваши враги XX X XOX XXO O © 2010 Cisco and/or its affiliates. All rights reserved. 7 7
    • Initial Infection by 0-Day • USB флеш с вредоносным кодом • Социальная инженерия • Email в вредоносным вложением • Открытый WLAN MITM • Офисный документ с вредононым кодом • Аппаратный кейлоггер • Уязвимость серверного приложения • Drive-by-Download • Любой другой вектор атаки… © 2010 Cisco and/or its affiliates. All rights reserved. 8
    • Цель достигнута, защитная инфраструктура обойдена C&C Server Управляющий канал © 2010 Cisco and/or its affiliates. All rights reserved. • Утечки данных • Повреждения • Манипуляция (исходный код) 9
    • Кто? • Страна? Конкуренты? Частные лица? Что? • Что является целью? Когда? Где? Зачем? Как? © 2010 Cisco and/or its affiliates. All rights reserved. • Когда атака наиболее активна и с чем это связано? • Где атакующие? Где они наиболее успешны? • Зачем они атакуют – что конкретно их цель? • Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? 10
    • Кто? • Кто в моей сети? Что? • Что делают пользователи? Приложения? • Что считать нормальным поведением? Когда? • Устройства в сети? Что считать нормальным состоянием? Где? • Где и откуда пользователи попадают в сеть? • Внутренние? eCommerce? Внешние? Зачем? Как? © 2010 Cisco and/or its affiliates. All rights reserved. • Зачем они используют конкретные приложения? • Как всё это попадает в сеть? 11
    • “Что поможет ответить на эти вопросы? © 2010 Cisco and/or its affiliates. All rights reserved. 12
    • Источники всех данных Маршрутизация всех запросов Управление всеми устройствами СЕТЬ Контроль всех потоков Контроль всех данных Видимость всего трафика © 2010 Cisco and/or its affiliates. All rights reserved. Контроль всех пользователей 13
    • © 2010 Cisco and/or its affiliates. All rights reserved. 14
    • • Из всех критичных и важных точек © 2010 Cisco and/or its affiliates. All rights reserved. 15
    • Телеметрия Netflow идет в двух видах Sampled • Небольшое подмножество трафика, меньше 5%, собирается и используется для генерирования телеметрии. Это дает краткую характеристику сетевой активности, как читать книгу, перелистывая по 20 страниц за раз. Unsampled • Для генерирования тереметрии используется весь трафик, он обеспечивает полный обзор всей активности в сети. Используя аналогию с книгами – мы читаем ее от начала и до конца не пропуская ни одного слова. Сложная, скрытая природа новых киберугроз требует полного обзора всей сети через Netflow © 2010 Cisco and/or its affiliates. All rights reserved. Только определенные коммутаторы Cisco Catalyst могут предоставить Unsampled NetFlow на скорости канала без влияния на производительность 16
    • Выследите атакующего Netflow Record Router# show flow monitor CYBER-MONITOR cache … IPV4 SOURCE ADDRESS: 192.168.100.100 IPV4 DESTINATION ADDRESS: 192.168.20.6 TRNS SOURCE PORT: 47321 TRNS DESTINATION PORT: 443 INTERFACE INPUT: Gi0/0/0 IP TOS: 0x00 IP PROTOCOL: 6 ipv4 next hop address: 192.168.20.6 tcp flags: 0x1A interface output: Gi0/1.20 counter bytes: 1482 counter packets: 23 timestamp first: 12:33:53.358 timestamp last: 12:33:53.370 ip dscp: 0x00 ip ttl min: 127 ip ttl max: 127 application name: nbar secure-http … © 2010 Cisco and/or its affiliates. All rights reserved. 17
    • Не все выглядит так, как кажется… © 2010 Cisco and/or its affiliates. All rights reserved. 18 18
    • …Могут быть разные варианты использования © 2010 Cisco and/or its affiliates. All rights reserved. 19 19
    • “Введение в Cisco Cyber Threat Defense © 2010 Cisco and/or its affiliates. All rights reserved. 20
    • Решаемые задачи для безопасности Знать нарушителя 1. 2. 3. Защита от известных и неизвестных атак , включая сложные, фокусные атаки, DoS/DDoS на ресурсы компании Раннее автоматическое выявление вирусов Раннее обнаружение инсайдеров 4. Обнаружение нецелевого использования сетевых ресурсов 5. Расследование инцидентов безопасности © 2010 Cisco and/or its affiliates. All rights reserved. 21
    • 1. Быстрое и эффективное выявление проблем в сети 2. Мониторинг активности пользователей и приложений в реальном времени 3. Просмотр детальной исторической статистики 4. Планирование развития сети 5. Демонстрация выполнения SLA © 2010 Cisco and/or its affiliates. All rights reserved. 22
    • Full Netflow Sampled Netflow Устройства Netflow Catalyst 4500 Supervisor 7E/L Catalyst 6500 Supervisor 2T ASA-5500-X(NSEL) Nexus 1k* Nexus 7k M Series* Nexus 7k F2 Series* Nexus 6k* Nexus 2k on 7k* NGA-3240 ASR 1000(NBAR) ISR-G2(incl. NBAR) LanCope StealthWatch Catalyst 3850* WLC (incl. NBAR)** Catalyst 2960X LanBase* Информация о соеднинениях © 2010 Cisco and/or its affiliates. All rights reserved. Flow Sensor Monitoring Flow Collector Collection/Analysis StealthWatch Management Console Presentation Cisco Indentity Service Engine Catalyst 3500-X 10G-Servicemodul Cisco ISE Use r Device Информация идентификации 23
    • «Выравнивание» и обнаружение аномалий с помощью Netflow © 2010 Cisco and/or its affiliates. All rights reserved. 24 24
    • • Обнаружение сложных и постоянных угроз. Вредоносный код, который проходит периметр может долго оставаться внутри сети и внезапно нанести удар. Это могут быть атаки нулевого дня, для обнаружения которых не существует сигнатур, или которые сложно обнаружить по каким-то другим причинам. • Идентификация активности управляющих BotNet серверов. Ботнеты внедряются в корпоративные сети и выполняют команды своих хозяев для отправки SPAM, DDoS или другой вредоносной деятельности. • Обнаружение попыток рекогнисцировки сети. Первый шаг большинства атакующих – обнаружение ресурсов сети. • Обнаружение malware внутри сети. Распространение malware может осуществляться для сбора данных о сети, хищении данных или создания брешей в безопасности. • Обнаружение утечек данных. Код может быть скрыт или зашумлен для того, чтобы иметь возможность экспортировать чувствительную информацию. Эти утечки может происходить быстро, или со временем. © 2010 Cisco and/or its affiliates. All rights reserved. 25
    • Обзор Управление Другой анализатор трафика NetFlow NetFlow NetFlow StealthWatch FlowCollector* Netflow enabled device StealthWatc h Management Console* SSL StealthWatch FlowReplicator (опционально) Не Netflow устройство StealthWatch FlowSensor* или Cisco Netflow Generation Appliance (NGA) (опционально) © 2010 Cisco and/or its affiliates. All rights reserved. Cisco ISE * Виртуальный или физический 26
    • 3 миллиона потоков в секунду X каждый Интерфейс настраиваемый вид для разных команд – ИТ, ИБ, виртуализация Управление и отчеты StealthWatch Management Console Flow Collectors X2 StealthWatch FC для NetFlow полное резервирование между основной и резервной X 25 До 25 коллекторов X 2000 Flow Exporters Маршрутизаторы, коммутаторы Physical © 2010 Cisco and/or its affiliates. All rights reserved. FlowSensor FlowSensor VE До 2000 устройств и до 120 тыс потоков в сек. Virtual 27
    • Дубликаты Router A: 10.2.2.2:1024 -> 10.1.1.1:80 Router B: 10.2.2.2:1024 -> 10.1.1.1:80 Router C: 10.1.1.1:80 -> 10.2.2.2:1024 10.2.2.2 port 1024 Router B Router C Router A • • • • • Без de-duplication: • Неправильные отчеты об объемах трафика • Могут произойти ложные срабатывания Эффективное хранение данных о потоках Необходимо, для аккуратных отчетов уровня хоста Не удаляет данные Включает NAT © 2010 Cisco and/or its affiliates. All rights reserved. 10.1.1.1 port 80 28 28
    • eth0/2 eth0/1 Сиплексные записи 10.2.2.2 port 1024 10.1.1.1 port 80 Start Time Interfac e Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Server Pkts Bytes Interfaces 10:20:12.221 10.2.2.2 10.1.1.1 80 TCP 1025 5 28712 eth0/1 eth0/2 1024 17 Дуплексные записи: • Запись сесии в потоке • Простая визуализация и анализ © 2010 Cisco and/or its affiliates. All rights reserved. 29 29
    • Параметр «Concern Index» показывает количество подозрительных событий, которые отклюняются от установленного шаблона Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan Мониторинг и выравнивание деятельности для хоста или группы хостов © 2010 Cisco and/or its affiliates. All rights reserved. 30
    • Привязка потоков и поведения к пользователям и устройствам Policy Start Active Time Alarm Source Source Host Groups Source User Name Device Type Switch Port Desktops & Trusted Wireless Jan 3, 2013 Suspect Data Loss 10.10.101. 89 Atlanta, Desktops John Chambers AppleiPad Cat 7/42 © 2010 Cisco and/or its affiliates. All rights reserved. 31 31
    • Предупрежнение о связи с известным Botnet Controller Имя пользователя IP адрес Политика, вызвавшая alarm Policy Start Active Time Alarms Source Source Host Groups Source User Name Target Target Host Group Inside Hosts Jan 27, 2012 Host Lock Violation 10.35.88.171 Remote VPN Bob ZeusCCServer.com Zeus BotNet Controllers © 2010 Cisco and/or its affiliates. All rights reserved. 32 32
    • Policy Start Active Time Alarm Source Inside Hosts 8-Feb2012 Suspect Data Loss 10.34.74.123 © 2010 Cisco and/or its affiliates. All rights reserved. Sour Source Targe ce Userna t Host me Grou p Wired Data Bob Multiple Hosts Details Observed 4.08G bytes. Policy Maximum allows up to 81.92M bytes. 33 33
    • 5. Увеличивается “concern index”. Генерируются предупреждения о подозрительной активности Управление StealthWatch FlowCollector 3. Сбор и анализ данных Netflow StealthWatch Management Console Cisco ISE 4. Добавляем к анализу конекстную информацию 2. Инфраструктура генерирует записи с использованием NetFlow Device s Internal Network 1. Инфицированные хост выполняет случайные ping и TCP SYN по всей сети © 2010 Cisco and/or its affiliates. All rights reserved. NetFlow Capable 34 34
    • 5. Увеличивается «Concern index». Генерируется Worm propagation Alarm Управление 3. Сбор и анализ данных Netflow StealthWatch FlowCollector StealthWatch Management Console Cisco ISE 4. Добавляем контекст Первоначальная инфекция Devices Вторичная инфекция 2. Инфраструктура генерирует записи об активности с помощью Netflow Internal Network 1. Инфекция распространяется через внутреннюю сеть, чтобы атакующий достиг своей цели. © 2010 Cisco and/or its affiliates. All rights reserved. NetFlow Capable 35 35
    • 5. Увеличивается «Concern index». Генерируется Worm propagation Alarm Управление 3. Сбор и анализ данных Netflow StealthWatch FlowCollector StealthWatch Management Console Cisco ISE 4. Добавляем контекст Первоначальная инфекция Devices Вторичная инфекция 2. Инфраструктура генерирует записи об активности с помощью Netflow Internal Network Третичная инфекция 1. Инфекция распространяется через внутреннюю сеть, чтобы атакующий достиг своей цели. © 2010 Cisco and/or its affiliates. All rights reserved. NetFlow Capable 36 36
    • Первоначальная инфекция Вторичная инфекция Третичная инфекция © 2010 Cisco and/or its affiliates. All rights reserved. 37 37
    • San Jose RTP Amsterdam Tokyo Bangalore Sydney 15.6 млрд потоков/день 90 дней срок хранения © 2010 Cisco and/or its affiliates. All rights reserved. 38 38
    • Экспорт потоков Cisco ASR 1000 или ISR G2 Cisco ASA Cisco NGA Cisco Catalyst 3560-X, 3750-X, 4500 (Sup7-E,7LE), 6500 (Sup2T) Cisco ISR Cisco ASR 1000 Cisco ASA 5500 Cisco NGA Агрегация, анализ, контекст Model Max Exporters Max Hosts Storage FlowCollector VE 30.000* 1000 500.000 1TB FlowCollector 1000 30.000 500 250.000 1TB FlowCollector 2000 60.000 1000 500.000 2TB FlowCollector 4000 Cisco ISE (опционально) Max Flows 120.000 2000 1.000.000 4TB Обзор и управление Model Max FlowCollectors Storage StealthWatch Management Console VE 5* 1TB StealthWatch Management Console 1000 5 1TB StealthWatch Management Console 2000 25 2TB © 2010 Cisco and/or its affiliates. All rights reserved. + лицензии на потоки 1.000, 25.000, 50.000, 100.000 39
    • • Решение Cisco Cyber Thread Defense (CTD) состоит из инфраструктуры Cisco из Lancope Stealthwatch • Все компоненты могут быть заказаны у Cisco • ASA и ASR приносят знание NAT к решению • Добавление ISE добавляет информацию об идентификации • CTD поддерживает обнаружение атак в реальном времени и проведение расследований • CTD – это одно окно для анализа поведения сети, как для IT, так и для ИБ • Lancope – лучший в сфере Network Behaviour Analysis • CTD умеет обнаруживать атаки 0-го дня и APT с помощью поведенческого анализа © 2010 Cisco and/or its affiliates. All rights reserved. 40
    • © 2010 Cisco and/or its affiliates. All rights reserved. 41
    • © 2010 Cisco and/or its affiliates. All rights reserved. 42
    • © 2010 Cisco and/or its affiliates. All rights reserved. 43
    • Thank you.