2. Неуязвимых компаний не бывает
Серьезные компании с умными людьми. Все были скомпрометированы
3. 54%
компрометаций
остаются незамеченными
месяцами
60%
данных похищается за несколько часов
Ваша сеть УЖЕ заражена
Осталось понять где именно
100% организаций подключаются
к доменам, содержащим
вредоносные файлы
или службы
4. Devices Access
Branch Campus Data Center
Distribution Edge
Firewal
l
Remote
Access
Security
Inspection
Device X
Internet
USB
Mobile
Provider
Атаки проходят не только через периметр
5. Про многие устройства Вы даже не знаете
5
Android
Apple
Routers and Switches
Printer
Internet of Things
Phones
Linuxhttp://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext
Jonathan Brossard(CEOatToucan System)
6. Место CTD в модели безопасности Cisco
Network Behavior Analysis
Cyber Threat Defense (CTD)
Control
Enforce
Harden
Detect
Block
Defend
Scope
ContainRemediate
7. Время –деньги и нервы
CRISIS REGION
Стоимость инцидента
Время
Кража критичных данных*
Обнаружение*
Устранение уязвимости*
КРИЗИС
Начало атаки*
ВЫИГРАННОЕ ВРЕМЯ*
Пресечение*
Оповещение*
Обнаружение*
Устранение уязвимости
10. A
B
C
C
B
A
C
A
B
Не везде есть IPS, но везде есть NetFlow
11.
12.
13. Возможности CTD
Обнаружение сканирований и DDoS
Обнаружение компьютеров- зомби и червей
и ещё десятки шаблонов атак
Локализация эпидемий
Предотвращение утечек данных
Расследование инцидентов
Проверка какработает защитаНА САМОМ ДЕЛЕ
ОбнаружениесерверовP2P, VPN, прокси и пр.
14. Возможности CTD (ч.2)
Профилирование хостов и приложений
Анализ структуры трафика
Какие хосты и пользователи генерят больше всего трафика
Анализ top conversations
Troubleshootingмаршрутизации и QoS
Визуализация - карты сервисов, инцидентов и т.д.
Мониторинг приложений и сервисов
15. Не забывайте про возможности инфраструктуры
Dynamic VLAN Assignment , Private VLAN Enforcement
Packet Capture, VACL
DSCP Marking, ACL, Rate Limit, Policy Based Routing,
Packet Capture
ACL, Private VLAN Enforcement
Packet Capture
Malware Isolation, Packet Drop, File Extraction
Router
Switch
Firewall
IPS
ISE
Dynamic Segmentation, CoA, Security Tagging,
Dynamic Access Control List
16. Система обнаружения сетевых вторжений
•На основе сигнатур
•Пассивный сбор
•Первичный источник оповещения
SIEM/Syslog
•Инструмент глубокого анализа
•Возможность фильтрации
•Не может блокировать самостоятельно
Анализ сетевых потоков
•Не может блокировать самостоятельно
•Основной инструмент расследования
•Быстрое внедрение
•Сравнительно низкая стоимость
18. Архитектура Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor VE
Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
До 25 коллекторов на SMC
До 3 миллионов потоков/сек
https
https
NBAR
NSEL
+jFlow, sFlow, PAN AppIDи др.
19. CTD 2.0 –возможные точки роста
Основные компоненты CTD
Продукты Lancope StealthWatch (SMC, FlowCollector, FlowSensor, FlowReplicator)
Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3
ISE pxGrid API
Sourcefire NGIPS (FirePOWER, FireSIGHT)
Sourcefire AMP (network, endpoints, ESA, WSA)
Cloud Web Security Premium (с CTA, AMP)
Протестированные платформы Cisco
ISR G2
ASR 1000
Catalyst 3560-X/3750-X, 3850, 3650
Catalyst 2960-X (NetFlow Lite)
Catalyst 4500 Sup 7, Sup 8
Catalyst 6500 Sup 2T
ASA 5500-X with FirePOWER Services
NetFlow Generation Appliance (NGA)
21. Новые категории предупреждений
Exfiltration: Хост передает ненормальное количество данных(EXI points)
Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points)
Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points)
Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети
Target Index: Показывает хосты, которые являются жертвами атаки (TI points)
27. Подозрительно долгие соединения
Долгие IP-соединения между внутренними и внешними зонами в одном или обоих направлениях смалымколичесвомпереданных данных
28. Собственные политики (Custom events)
Условия по времени
Условия по группам/
приложениям
Условия по партнёрам
Условия соединения
29. Когда использоватьCustom Events
High Level Use cases:
•Проверка политик и работы средств защиты
•Поиск заведомо плохого трафика
Примеры:
•Признаки компрометации актуальные для данной среды
•Поиск нелегальных серверов
•Подозрительные логины, например Remote VPN из Китая
•Сложные условия, например длинные сессии с большим объёмом трафика
30. Анализ потоков по запросу
Запрос
Условия поиска
Партнёры
Детали сессии
Время
36. Место CTD в модели безопасности Cisco
Исследование
Внедрение политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
ИзолированиеВосстановление
Жизненный цикл атаки
ДО
ВО ВРЕМЯ
ПОСЛЕ
Идентификация разведывательной деятельности
Блокирование известных угроз
Обнаружение скрытых C&C
Отслеживание распространение вредоносного ПО внутри сети
Предотвращение утечек данных
Непрерывный мониторинг активов и активности
37. Подумайте о пилотном внедрении
Что нужно
ВМ с временными лицензиями
Настроить NetFlow и SPAN
Один-два дня на установку
Результаты в КАЖДОМ внедрении
Обнаружение компьютеров-зомби и червей
Профилирование трафика и приложений
Инвентаризация хостов
Нелегальные серверы
VPN, прокси, Р2Р-трафик
44. Cisco CTD: обнаружение атак без сигнатур
Высокий Concern Index показывает значительное количество подозрительных событий
Группа узлов
Узел
CI
CI%
Тревога
Предупреждения
Desktops
10.10.101.118
338,137,280
8,656%
High Concern index
Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
45. Cisco CTD: обнаружение атак без сигнатур
Что делает 10.10.101.89?
Политика
Время начала
Тревога
Источник
Source Host Groups
Цель
Детали
Desktops & Trusted Wireless
Янв 3, 2013
Вероятная утечка данных
10.10.101.89
Атланта, Десктопы
Множество хостов
Наблюдается 5.33Гб. Политика позволяет максимум до 500Мб
46. Предполагаемая утечка данных
Слишком высокий показатель совместного использования файлов
Достигнуто максимальное количество обслуженных потоков
Предустановленные политики
47. Получение контекста от Cisco ISE
Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense(CTD)
Политика
Время старта
Тревога
Источник
Группа хостов источника
Имя пользователя
Тип устройства
Цель
Desktops & Trusted Wireless
Янв 3, 2013
Вероятная утечка данных
10.10.101.89
Атланта, Десктопы
Джон Смит
Apple-iPad
Множество хостов
49. Получение контекста от Cisco ASA / ISR / ASR
Поле Flow Action может добавить дополнительный контекст
NSEL-отчетность на основе состояний для поведенческого анализа
Сбор информации о отклоненных или разрешенных соединениях
53. Типы NetFlow
Sampled
•Маленькое подмножество трафика, менее 5%, собирается и используется для генерирования телеметрии. Дает покадровый обзор активности в сети, похоже на чтение книги, просматривая каждую 100-ю страницу.
Unsampled
•Телеметрия генерируется всем трафиком, при этом получается общая картина активности в сети.
Индивидуальная, скрытая картина новых угроз требует полной информации о трафике в сети.
Только коммутаторы Cisco Catalyst могут дать информацию UnsampledNetFlowна полной скорости без влияния на производительность
54. CTD 2.0 Story Line / Use case
Visibility into all host-to- host communication
Protection from known exploits
Detection of suspicious activity
Identification of command & control
Identification of internal threats
Blocking of known malicious files
Identification of malicious files
Detection of data theft activity
Policy enforcement
Campus
Data Center
Branch
Policy Audit
•Broad Visibility
•Signals Intelligence
•Deep Contextual Visibility
•File trajectory
•Heightened relevance of known threats
55. NetFlow Generator
Source IP Address
Destination IP Address
Source Port
Destination Port
Layer 3 Protocol
TOS byte (DSCP)
Input Interface
NetFlow
Key Fields
Flow Information
Packets
Bytes/packet
Address, ports...
11000
1528
...
NetFlow Cache
StealthWatch FlowCollector
1
2
3
Source
Destination
Introduction to NetFlow
56. How do I want to cache information
Which interface do I want to monitor?
What data do I want to meter?
Router(config)# flow record my-record
Router(config-flow-record)# match ipv4destination address
Router(config-flow-record)# match ipv4source address
Router(config-flow-record)# collect counter bytes
Where do I want my data sent?
Router(config)# flow exporter my-exporter
Router(config-flow-exporter)# destination 1.1.1.1
Router(config)# flow monitormy-monitor
Router(config-flow-monitor)# exporter my-exporter
Router(config-flow-monitor)# record my-record
Router(config)# interface s3/0
Router(config-if)# ip flow monitor my-monitorinput
1. Configure the Exporter
2. Configure the Flow Record
3. Configure the Flow Monitor
4. Apply to an Interface
Configuring Flexible NetFlow
Best Practice: include all v5 fields
Well, this seems simple.
57. NetFlow Collection: Flow Stitching
10.2.2.2port 1024
10.1.1.1port 80
eth0/1
eth0/2
Start Time
Interface
SrcIP
SrcPort
DestIP
DestPort
Proto
PktsSent
Bytes Sent
10:20:12.221
eth0/1
10.2.2.2
1024
10.1.1.1
80
TCP
5
1025
10:20:12.871
eth0/2
10.1.1.1
80
10.2.2.2
1024
TCP
17
28712
Start Time
Client IP
Client Port
Server IP
Server Port
Proto
ClientBytes
Client Pkts
Server Bytes
Server Pkts
Interfaces
10:20:12.221
10.2.2.2
1024
10.1.1.1
80
TCP
1025
5
28712
17
eth0/1
eth0/2
Uni-directional flow records
Bi-directional:
•Conversation flow record
•Allows easy visualization and analysis
58. NetFlow Collection: De-duplication
Router A
Router B
Router C
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
•Without de-duplication
•Traffic volume can be misreported
•False positives would occur
•Allows for the efficient storage of flow data
•Necessary for accurate host-level reporting
•Does not discard data
10.2.2.2port 1024
10.1.1.1port 80
Duplicates
59. Conversational Flow Record
Who
Who
What
When
How
Where
More context
•Highly scalable (enterprise class) collection
•High compression => long term storage
•Months of data retention
Really cool!