Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты с Cisco Сyber Threat Defense
•
3 likes•867 views
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты с Cisco Сyber Threat Defense
Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (20)
Similar to Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты с Cisco Сyber Threat Defense
Similar to Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты с Cisco Сyber Threat Defense (20)
More from Cisco Russia
More from Cisco Russia (20)
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты с Cisco Сyber Threat Defense
- 1. Андрей Москвитин Эксперт по решениям информационной безопасности security-request@cisco.com Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты с Cisco Сyber Threat Defense 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
- 2. Неуязвимых компаний не бывает Серьезные компании с умными людьми. Все были скомпрометированы
- 3. 54% компрометаций остаются незамеченными месяцами 60% данных похищается за несколько часов Ваша сеть УЖЕ заражена Осталось понять где именно 100% организаций подключаются к доменам, содержащим вредоносные файлы или службы
- 4. Devices Access Branch Campus Data Center Distribution Edge Firewal l Remote Access Security Inspection Device X Internet USB Mobile Provider Атаки проходят не только через периметр
- 5. Про многие устройства Вы даже не знаете 5 Android Apple Routers and Switches Printer Internet of Things Phones Linuxhttp://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext Jonathan Brossard(CEOatToucan System)
- 6. Место CTD в модели безопасности Cisco Network Behavior Analysis Cyber Threat Defense (CTD) Control Enforce Harden Detect Block Defend Scope ContainRemediate
- 7. Время –деньги и нервы CRISIS REGION Стоимость инцидента Время Кража критичных данных* Обнаружение* Устранение уязвимости* КРИЗИС Начало атаки* ВЫИГРАННОЕ ВРЕМЯ* Пресечение* Оповещение* Обнаружение* Устранение уязвимости
- 8. Что объединяет всех? 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 8 СЕТЬ Видимостьвсеготрафика Маршрутизация всехзапросов Источникивсехданных Контрольвсехданных Управлениевсеми устройствами Контроль всехпользователей Контроль всехпотоков
- 9. Сеть как сенсор NetFlow можно взять из всех важных точек
- 10. A B C C B A C A B Не везде есть IPS, но везде есть NetFlow
- 13. Возможности CTD Обнаружение сканирований и DDoS Обнаружение компьютеров- зомби и червей и ещё десятки шаблонов атак Локализация эпидемий Предотвращение утечек данных Расследование инцидентов Проверка какработает защитаНА САМОМ ДЕЛЕ ОбнаружениесерверовP2P, VPN, прокси и пр.
- 14. Возможности CTD (ч.2) Профилирование хостов и приложений Анализ структуры трафика Какие хосты и пользователи генерят больше всего трафика Анализ top conversations Troubleshootingмаршрутизации и QoS Визуализация - карты сервисов, инцидентов и т.д. Мониторинг приложений и сервисов
- 15. Не забывайте про возможности инфраструктуры Dynamic VLAN Assignment , Private VLAN Enforcement Packet Capture, VACL DSCP Marking, ACL, Rate Limit, Policy Based Routing, Packet Capture ACL, Private VLAN Enforcement Packet Capture Malware Isolation, Packet Drop, File Extraction Router Switch Firewall IPS ISE Dynamic Segmentation, CoA, Security Tagging, Dynamic Access Control List
- 16. Система обнаружения сетевых вторжений •На основе сигнатур •Пассивный сбор •Первичный источник оповещения SIEM/Syslog •Инструмент глубокого анализа •Возможность фильтрации •Не может блокировать самостоятельно Анализ сетевых потоков •Не может блокировать самостоятельно •Основной инструмент расследования •Быстрое внедрение •Сравнительно низкая стоимость
- 17. DEMO TIME! 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17
- 18. Архитектура Cyber Threat Defense Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow StealthWatch FlowSensor StealthWatch FlowSensor VE Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Другие коллекторы До 25 коллекторов на SMC До 3 миллионов потоков/сек https https NBAR NSEL +jFlow, sFlow, PAN AppIDи др.
- 19. CTD 2.0 –возможные точки роста Основные компоненты CTD Продукты Lancope StealthWatch (SMC, FlowCollector, FlowSensor, FlowReplicator) Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3 ISE pxGrid API Sourcefire NGIPS (FirePOWER, FireSIGHT) Sourcefire AMP (network, endpoints, ESA, WSA) Cloud Web Security Premium (с CTA, AMP) Протестированные платформы Cisco ISR G2 ASR 1000 Catalyst 3560-X/3750-X, 3850, 3650 Catalyst 2960-X (NetFlow Lite) Catalyst 4500 Sup 7, Sup 8 Catalyst 6500 Sup 2T ASA 5500-X with FirePOWER Services NetFlow Generation Appliance (NGA)
- 20. Вот-вот выйдет CVD для CTD 2.0
- 21. Новые категории предупреждений Exfiltration: Хост передает ненормальное количество данных(EXI points) Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points) Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points) Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети Target Index: Показывает хосты, которые являются жертвами атаки (TI points)
- 22. Новый веб-интерфейс Active Alarms Alarms Top Applications Flow collection trend
- 23. Информация о хосте Оповещения Пользователи Активность и приложения Хост Группы хостов Потоки
- 24. Информация о пользователе Оповещения Устройства и сессии Детали из AD Пользователь
- 25. Необычно большое количество входящих
- 26. Необычно большое количество входящих
- 27. Подозрительно долгие соединения Долгие IP-соединения между внутренними и внешними зонами в одном или обоих направлениях смалымколичесвомпереданных данных
- 28. Собственные политики (Custom events) Условия по времени Условия по группам/ приложениям Условия по партнёрам Условия соединения
- 29. Когда использоватьCustom Events High Level Use cases: •Проверка политик и работы средств защиты •Поиск заведомо плохого трафика Примеры: •Признаки компрометации актуальные для данной среды •Поиск нелегальных серверов •Подозрительные логины, например Remote VPN из Китая •Сложные условия, например длинные сессии с большим объёмом трафика
- 30. Анализ потоков по запросу Запрос Условия поиска Партнёры Детали сессии Время
- 31. Результаты запроса по потокам
- 32. Быстрый просмотр потоков Кто Кто Что Когда Как Где Ещё больше деталей
- 36. Место CTD в модели безопасности Cisco Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация ИзолированиеВосстановление Жизненный цикл атаки ДО ВО ВРЕМЯ ПОСЛЕ Идентификация разведывательной деятельности Блокирование известных угроз Обнаружение скрытых C&C Отслеживание распространение вредоносного ПО внутри сети Предотвращение утечек данных Непрерывный мониторинг активов и активности
- 37. Подумайте о пилотном внедрении Что нужно ВМ с временными лицензиями Настроить NetFlow и SPAN Один-два дня на установку Результаты в КАЖДОМ внедрении Обнаружение компьютеров-зомби и червей Профилирование трафика и приложений Инвентаризация хостов Нелегальные серверы VPN, прокси, Р2Р-трафик
- 38. CiscoRu Cisco CiscoRussia Ждем ваших сообщений с хештегом#CiscoConnectRu Спасибо security-request@cisco.com 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
- 39. Код доклада 5259 Пожалуйста, заполните анкеты Это очень важно для нас 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
- 41. Крупным планом Обнаружение разных типов атак,включая DDoS Детальная статистика о всех атаках, обнаруженных в сети
- 42. Визуализация по разным срезам
- 43. Визуализация по разным срезам
- 44. Cisco CTD: обнаружение атак без сигнатур Высокий Concern Index показывает значительное количество подозрительных событий Группа узлов Узел CI CI% Тревога Предупреждения Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan Слежение за активностью как одного узла, так и группы узлов
- 45. Cisco CTD: обнаружение атак без сигнатур Что делает 10.10.101.89? Политика Время начала Тревога Источник Source Host Groups Цель Детали Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Множество хостов Наблюдается 5.33Гб. Политика позволяет максимум до 500Мб
- 46. Предполагаемая утечка данных Слишком высокий показатель совместного использования файлов Достигнуто максимальное количество обслуженных потоков Предустановленные политики
- 47. Получение контекста от Cisco ISE Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense(CTD) Политика Время старта Тревога Источник Группа хостов источника Имя пользователя Тип устройства Цель Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество хостов
- 48. Карта эпидемии Третичное заражение Вторичное заражение «Нулевой пациент»
- 49. Получение контекста от Cisco ASA / ISR / ASR Поле Flow Action может добавить дополнительный контекст NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях
- 50. Когда? Сколько? Участник Участник Каким образом? Расследование инцидентов
- 51. Выберите узел для исследования Поиск исходящего трафика Запрос интересующей информации
- 52. Результаты запроса Сервер, DNS и страна Тип трафика и объем
- 53. Типы NetFlow Sampled •Маленькое подмножество трафика, менее 5%, собирается и используется для генерирования телеметрии. Дает покадровый обзор активности в сети, похоже на чтение книги, просматривая каждую 100-ю страницу. Unsampled •Телеметрия генерируется всем трафиком, при этом получается общая картина активности в сети. Индивидуальная, скрытая картина новых угроз требует полной информации о трафике в сети. Только коммутаторы Cisco Catalyst могут дать информацию UnsampledNetFlowна полной скорости без влияния на производительность
- 54. CTD 2.0 Story Line / Use case Visibility into all host-to- host communication Protection from known exploits Detection of suspicious activity Identification of command & control Identification of internal threats Blocking of known malicious files Identification of malicious files Detection of data theft activity Policy enforcement Campus Data Center Branch Policy Audit •Broad Visibility •Signals Intelligence •Deep Contextual Visibility •File trajectory •Heightened relevance of known threats
- 55. NetFlow Generator Source IP Address Destination IP Address Source Port Destination Port Layer 3 Protocol TOS byte (DSCP) Input Interface NetFlow Key Fields Flow Information Packets Bytes/packet Address, ports... 11000 1528 ... NetFlow Cache StealthWatch FlowCollector 1 2 3 Source Destination Introduction to NetFlow
- 56. How do I want to cache information Which interface do I want to monitor? What data do I want to meter? Router(config)# flow record my-record Router(config-flow-record)# match ipv4destination address Router(config-flow-record)# match ipv4source address Router(config-flow-record)# collect counter bytes Where do I want my data sent? Router(config)# flow exporter my-exporter Router(config-flow-exporter)# destination 1.1.1.1 Router(config)# flow monitormy-monitor Router(config-flow-monitor)# exporter my-exporter Router(config-flow-monitor)# record my-record Router(config)# interface s3/0 Router(config-if)# ip flow monitor my-monitorinput 1. Configure the Exporter 2. Configure the Flow Record 3. Configure the Flow Monitor 4. Apply to an Interface Configuring Flexible NetFlow Best Practice: include all v5 fields Well, this seems simple.
- 57. NetFlow Collection: Flow Stitching 10.2.2.2port 1024 10.1.1.1port 80 eth0/1 eth0/2 Start Time Interface SrcIP SrcPort DestIP DestPort Proto PktsSent Bytes Sent 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 Start Time Client IP Client Port Server IP Server Port Proto ClientBytes Client Pkts Server Bytes Server Pkts Interfaces 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1 eth0/2 Uni-directional flow records Bi-directional: •Conversation flow record •Allows easy visualization and analysis
- 58. NetFlow Collection: De-duplication Router A Router B Router C Router A: 10.2.2.2:1024 -> 10.1.1.1:80 Router B: 10.2.2.2:1024 -> 10.1.1.1:80 Router C: 10.1.1.1:80 -> 10.2.2.2:1024 •Without de-duplication •Traffic volume can be misreported •False positives would occur •Allows for the efficient storage of flow data •Necessary for accurate host-level reporting •Does not discard data 10.2.2.2port 1024 10.1.1.1port 80 Duplicates
- 59. Conversational Flow Record Who Who What When How Where More context •Highly scalable (enterprise class) collection •High compression => long term storage •Months of data retention Really cool!