Документ описывает системы предотвращения вторжений нового поколения (NGIPS) от Cisco, акцентируя их недостатки, такие как высокая нагрузка на ресурсы и неэффективность в расследовании инцидентов безопасности. Основное внимание уделяется важности интеграции этих систем с другими средствами защиты, а также автоматизации процессов реагирования и анализа угроз. В заключение рассматриваются преимущества использования NGIPS в контексте улучшенной видимости сети и снижения времени на реагирование на инциденты.

1. Системы
предотвращения
вторжений нового
поколения
Алексей Лукацкий
Бизнес-консультант, Cisco
© 2017 Cisco and/or its affiliates. All rights reserved.

2. IPS обычно блокирует то, что разрешено МСЭ
Периметр
DMZ
Ядро
Экстранет
Критические
сетевые
сегменты
2

3. • Уязвимости: слабости системы, которые позволяют хакерам
эксплуатировать их
• Пример: Microsoft Tuesday – каждый второй вторник каждого месяца
Microsoft анонсирует уязвимости и выпускат патчи для них
• Cisco - участник MAPP (Microsoft Active Protections Program)
• Эксплойт: специфическая атака на уязвимость
• На каждую уязвимость существует множество потенциальных
эксплойтов
• Традиционные сигнатуры IPS часто ищут совпадения с эксплойтами, а
не условия эксплуатации уязвимостей
Уязвимости vs. Эксплойты
3

4. • Заваливают нерелевантными событиями
• Не дают информации для продолжения расследования
• Требуют месяцев на тюнинг
• “Черный ящик” – сложно определить, работает ли он
• Результат:
• IPS минимально эффективны или не используются
• Много времени и ресурсов тратится на то, чтобы заставить IPS работать
• Организации все равно ломают
Проблемы с традиционными IPS
4

5. Более 4 из 10 предупреждений систем безопасности
так и остаются нерасследованными. Почему?
44 %предупреждений
НЕ были изучены
2016
(n = 5000)
Нерасследованные предупреждения представляют собой огромный риск для бизнеса
7 %
не сталкивались
с предупреждениями
систем безопасности
54 %
обоснованных преду-
преждений НЕ устранены
56 %
предупреждений
были изучены
28 %
исследован-
ных преду-
преждений
оказались
обоснован-
ными
46 %
обоснованных предупреждений
устранены
93 %
сталкивались
с предупреждениями
систем безопасности

6. Обнаружение вторжений с учетом контекста и
специфики приложения (NGIPS)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6
Коммуникации
Приложение/устройство
010111010010
10 010001101
010010 10 10
Пакеты данных
Приоритезация
реакции
Смешанные угрозы
• Разведка
сети
• Фишинг
• «Невинные»
нагрузки
• Редкие
обращения
3
1
2
Accept
Block
Автомати-
зация
ISE
Анализ сетевого трафика
Корреляция
данных
Обнаружение скрытных угроз Отклик на основе приоритетов

7. • Полная видимость и прозрачность сети
• Учет контекста (пользователи, устройства…)
• Полная автоматизация
• Оценка ущерба
• Независимость от производителя в части получения сигнатур атак
• Работа с индикаторами компрометации
• Обнаружение аномалий
Критерии выбора IPS следующего поколения
7

8. • Интеграция с средствами предотвращения вторжений на оконечных
устройствах
• Интеграция с иными средствами защиты в сети
• Ретроспективная безопасность
• Встроенная корреляция событий
• Отсутствие снижение производительности при включении нескольких
защитных модулей
Критерии выбора IPS следующего поколения
8

9. Обнаружение не только эксплойтов, но и
использования уязвимостей

10. Невозможно контролировать то, чего вы
не видите
Категории Примеры
Cisco/Sourcefire
NGIPS
Типичные
IPS
Типичные
NGFW
Угрозы Attacks, Anomalies ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Web приложения Facebook Chat, Ebay ✔ ✗ ✔
Прикладные протоколы HTTP, SMTP, SSH ✔ ✗ ✔
Передачи файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносный код Conficker, Flame, WannaCry ✔ ✗ ✗
Конмандные сервера (CnC) C&C Security Intelligence ✔ ✗ ✗
Клиентские приложение Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые сервисы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Роутеры & Коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-устройства Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗

11. Контроль зашифрованного трафика
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11
Поддержка различных вариантов
расшифровки
Анализ сертификата при установлении соединения SSL TLS и расшифровка TLS
Журналирование
Ядро
расшифровки SSL
Обеспечение
политики
Зашифрованный
трафик
AVC
http://www.%$&^*#$@#$.com
http://www.%$&^*#$@#$.com
Анализ расшифрованных пакетов
Контроль и журналирование
всех SSL-сеансов
NGIPS
gambling
elicit
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
http://www.%$*#$@#$.com
û
ü
û
ü
ü
ü
û
ü
û
û

12. Автоматизация
Понимание инфраструктуры
«Левые» узлы, аномалии,
нарушения политики идр.
Оценка ущерба
Снижение числа событий, с
которыми предстоит иметь дело
Автоматизация тюнинга
«Подкрутка» политик IPS, базируясь на
изменениях в сети
Идентификация пользователя
Ассоциация пользователей с событиями
безопасности для снижения времени
расследования
Индикаторы
компрометации
Идентификация
узлов, которые были
взломаны
12

13. Автоматизация: снижение времени
реагирования
13
Привязка пользователей к событиям безопасности (атакам)

14. • Профиль хоста включает
всю необходимую для
анализа информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система
• Используемые приложения
• Зарегистрированные пользователи
• И т.д.
• Идентификация и
профилирование
мобильных устройств
Инвентаризация и профилирование узлов

15. Автоматизация: учет контекста
Идентифицированная
операционная система
и ее версия
Серверные приложения и их
версия
Клиентские приложения
Кто на хосте
Версия клиентского
приложения
Приложение
Какие еще системы /
IP-адреса использует
пользователь? Когда?

16. • Разрешенные типы и версии ОС
• Разрешенные клиентские
приложения
• Разрешенные Web-приложения
• Разрешенные протоколы
транспортного и сетевого уровней
• Разрешенные адреса / диапазоны
адресов
• И т.д.
Обнаружение аномалий

17. • Распознавание узлов,
приложений и пользователей в
реальном времени, пассивно и
непрерывно
• Использование карты
уязвимостей на контролируемой
сети
• Корреляция всех событий для
оценки ущерба для цели
• Фокус на событиях, которые
действительно имеют значение
Оценка ущерба
17

18. Встроенная корреляция событий
Ретроспективная защита
Сокращение времени между обнаружением и нейтрализацией
PDFПочта
Админ.
запрос
PDF
Почта
Админ.
запрос
Корреляция между векторами атаки
Раннее предупреждение о современных типах угроз
Узел A
Узел B
Узел C
3 ИК
Адаптация политик к рискам
WWWWWW
WWW
Динамические механизмы безопасности
http://
http://WWWВЕБ
Корреляция между контекстом и угрозами
Приоритет 1
Приоритет 2
Приоритет 3
Оценка вредоносного воздействия
5 ИК

19. 3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Событие
сохранено
LINUX
SERVER
WINDOWS
SERVER Linux не
уязвим
Windows
server уязвим
Атака
блокирована
Атака
скоррелирована с
целью
Новая Windows-атака направлена на
Windows и Linux сервера. Атаки
скоррелированы с профилем цели.
Событие об атаке сгенерировано.
Не только простая корреляция событий ИБ

20. • Правила корреляции могут
включать любые условия и их
комбинации на базе
идентифицированных в сети
данных
• Приложения
• Уязвимости
• Протоколы
• Пользователи
• Операционные системы
• Производитель ОС
• Адреса
• Место в иерархии компании
• Статус узла и т.п.
Встроенная система корреляции событий

21. • Различные типы события для
системы корреляции
• Атаки / вторжение
• Активность пользователя
• Установлено соединение
• Изменение профиля трафика
• Вредоносный код
• Изменение инвентаризационных данных (например,
появление нового узла в сети или ОС на узле)
• Изменение профиля узла
• Появление новой уязвимости
Встроенная система корреляции событий

22. • В зависимости от типа события
могут быть установлены
дополнительные параметры
системы корреляции
• Возможность создания
динамических политик
безопасности
Встроенная система корреляции событий

23. Автоматизация нейтрализации
Примеры модулей нейтрализации
• Cisco ISE (pxGrid Mitigation)
• Установка атрибута хоста
• Скан Nmap
• Скрипты
• F5 iRules
• Netscaler
• …
События Intrusion
События Discovery
Действия пользователей
События хостов
События Connection
Профили трафика
Событие Malware
Правила
корреляции
Условия
Политики корреляции
Правила
корреляции
События
корреляции
Действия
(API, Email, SNMP)

24. Идентификация компрометации узлов
24

25. Идентификация компрометации узлов
25
Загружается вредоносное ПО
Индикатор компрометации:
1

26. Идентификация компрометации узлов
26
Загружается вредоносное ПО
ВПО запускается
Индикатор компрометации:
1 2

27. Идентификация компрометации узлов
27
Загружается вредоносное ПО
ВПО запускается
Индикатор компрометации:
1 2 3

28. Идентификация компрометации узлов
28
Загружается вредоносное ПО
ВПО запускается
Хакер использует
эксплойт-кит
Индикатор компрометации:
1 2 3 4

29. Идентификация компрометации узлов
29
Использование эксплойт-кита
+
Соединение с узлов, о котором известно, что
он является командным сервером
+
Трафик, похожий на CnC

30. Признаки (индикаторы) компрометации
События
СОВ
Бэкдоры
Подключения к
серверам
управления и
контроля ботнетов
Наборы
эксплойтов
Получение
администраторски
х полномочий
Атаки на веб-
приложения
События
анализа ИБ
Подключения к
известным IP
серверов
управления и
контроля ботнетов
События, связанные с
вредоносным кодом
Обнаружение
вредоносного кода
Выполнение
вредоносного кода
Компрометация
Office/PDF/Java
Обнаружение
дроппера

31. Firepower Management
Center
Сбор данных об угрозах
Генерация обогащенных
отчетов об инцидентах
Корреляция с данными от
сенсоров
Уточнение состояния
безопасности
Ingest
Данные
Сенсоры Cisco Security
• Firepower NGFW
• FirePOWER NGIPS
• AMP
Threat Intelligence
Director
Новое решение – Cisco TID
CSV

32. Отраслевые
организации
Еще больше данных об угрозах и IOC
Источники
данных об
угрозах
Платформы
Threat
Intelligence

33. Визуальная схема источников событий
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33
Аналитика
ИБ
Аналитика
ИБ
Ядро IPS
(Snort®)
Нормализация
трафика
DNS
Sinkhole
Расш.
SSL
Обнар.
файлов
Обнаруж.
прилож.
Контроль
сети
AMPURL Identity
События
Intrusion
События
File
События
Malware
Действия
пользоват.
Профили
хостов
Приложения
Детали
приложений
Атрибуты
хостов
Серверы
Траектория
файлов
File
AMP 4
Endpoints
События
Discovery
События
Connection
Индикаторы
компрометации
Доп. данные
• Данные Geo IP
• Данные CVE / Vuln
• Данные IP-
репутации
• Данные о URL

34. Обнаружение вредоносного ПО
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34
c
Репутация файла
Cisco AMP Threat Grid (Advanced Malware Protection и песочница)
• Известные сигнатуры
• Нечеткие отпечатки
• Индикаторы компрометации
û
Блокирование известного
вредоносного ПО
Анализ файлов
в безопасной среде
Обнаружение
новых угроз
Реакция на тревоги
Траектории в сети
и на устройстве Журнал AMP
for Network
ü
Песочница Threat Grid
• Расширенная
аналитика
• Динамический анализ
• Аналитика угроз
?
Журнал AMP
for Endpoint
Диспозиция
Обеспечение во всей
инфраструктуре
RiskySafeUncertain
Анализ в песочнице

35. AMP защищает с помощью репутационной фильтрации
и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический
анализ
Машинное
обучение
Нечеткие
идентифицирующие
метки
Расширенная
аналитика
Идентичная
сигнатура
Признаки
компрометации
Сопоставление
потоков устройств

36. AMP обеспечивает ретроспективную защиту
ТраекторияПоведенческие
признаки
вторжения
Поиск
нарушений
Ретроспектива Создание
цепочек атак

37. Неизвестный файл
обнаружен на IP: 10.4.10.183,
загружен через Firefox

38. В 10:57, неизвестный файл
переслан от IP 10.4.10.183 к
IP: 10.5.11.8

39. Через 7 часов файл переслан
третьему хосту (10.3.4.51)
используя SMB

40. Файл скопирован еще раз на
4-е устройство (10.5.60.66)
через тот же SMB сервис
через пол часа

41. Cisco Collective Security
Intelligence Cloud распознало
файл как вредоносный и
ретроспективное
уведомление сработало на
все 4 устройства.

42. В то же время устройство с
установленным FireAMP
endpoint connector
отреагировало на
ретроспективное событие и
мгновенно отправило в
карантин новое malware

43. Через 8 часов после первой
атаки Malware пытается
снова попасть в систему
через оригинальную точку
входа, но оно распознано и
заблокировано.

44. Конечное
устройство
Не забываем про интеграцию с системой защиты
конечных устройств
ПесочницаThreat Intel
Облако
Другие решения по ИБ

45. AMP for Endpoints дает вам ответы на наиболее
важные вопросы ИБ
Что произошло?
Откуда началось заражение?
Куда успело попасть вредоносное ПО?
Что происходит?
Как нам остановить это?

46. Смотрите, откуда оно в вашей системе
Что произошло?
Отслеживайте источник и путь движения:
• Как ВПО попало в систему?
• Где точка входа?
• Каков вектор атаки?
Куда успело попасть вредоносное ПО?
Что происходит?
Как нам остановить это?
Откуда началось заражение?

47. Выйдите за рамки только одного ПК
Что произошло?
Откуда началось заражение?
Куда успело попасть вредоносное ПО?
Что происходит?
Как нам остановить это?
Отслеживайте зоны атаки:
• Где атака сейчас
• Что видят другие ПК в сети

48. Определите, что вредоносное ПО делает
Что произошло?
Откуда началось заражение?
Куда успело попасть вредоносное ПО?
Что происходит?
Как нам остановить это?
Поймите детали, как работает ВПО:
• Что он пытается сделать, на понятном
языке

49. Остановите его в несколько кликов
Откуда началось заражение?
Куда успело попасть вредоносное ПО?
Что происходит?
Зная детали выше, хирургически вмешайтесь и
нейтрализуйте:
• Просто как клик, добавить в черный
список, и вычистит ВПО из системы
Что произошло?
Как нам остановить это?

50. Самообучение
50

51. Автоматизация создания и тюнинга
политик
51

52. Платформы Cisco NGFW
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52
Все платформы NGFW управляются Firepower Management Center
250 Мбит/с -> 1,75 Гбит/с
(сервисы NGFW + IPS)
Firepower Threat Defense
для ASA 5500-X
2 Гбит/с -> 8 Гбит/с
(сервисы NGFW + IPS)
Firepower серии 2100
41xx = 10 Гбит/с -> 24 Гбит/с
93xx = 24 Гбит/с -> 53 Гбит/с
Firepower серии 4100
и Firepower 9300

53. Архитектура с двойным многоядерным CPU обеспечивает:
Защита от угроз без компромиссов с
производительностью
Уровень 7 & Advanced Threat Engine
I/O
Многоядерный CPU x86
Внутренний свитч
Ускорение на уровнях 2-3 & SSL
Многоядерный CPU NPU
Сохранение производительность, когда
включаются дополнительные сервисы инспекции
угроз
Гибкость и будущее развитие vs. построенных
на ASIC платформах, мешающих добавлению
новых функций ИБ
Умная обработка трафика проверяет потоки, не
требуя ИБ-инспекции, тем самым повышая
производительность
Сохранение производительности

54. Сравнение производительность на больших пакетах*
Пример: Firepower 2100 - масштабируемая
производительность
Сервисы
FW+AVC
Снижение
производи-
тельность
(vs. FW+AVC)
FW+AVC+IPS
Cisco Firepower
2100 Series
1.9 - 8.5 Гбит/с
~ 0%
1.9 – 8.5 Гбит/с
Конкурент “A”
2.0 – 4.0 Гбит/с
< 50% >
1.0 – 2.0 Гбит/с
Конкурент “B”
2.0 – 3.0 Гбит/с
< 50% >
1.0 – 1.5 Гбит/с
Конкурент “C”
2.5 – 7.0 Гбит/с
< ~ 50% >
1.7 – 3.5 Гбит/с
Конкурентные решения не могут обеспечить
такие же показатели
Сохранение
производительности
*Источник: 1024 байта или выше для TCP из материалов каждого производителя

55. Цена автоматизации
55
$144 000
$72 000
$59 400
$24 300
$18 000
$3 000
Оценка ущерба Автоматизация
тюнинга
Ассоциация атак с
пользователями
Типичная IPS Cisco NGIPS
Источник: SANS "Calculating TCO on Intrusion Prevention Technology” whitepaper,
December 2013
Одно из трех
крупнейших
мировых кредитных
бюро:
• 20,000 узлов
• 7,500 сотрудников
Часовая ставка
сотрудника: $75/час
Cisco NGIPS
сохраняет
заказчику $230,100
в год.

56. Gartner предсказывает смерть
традиционным IPS и переход к NGIPS
56

57. Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
request@cisco.com или своему менеджеру
Cisco для организации встречи для более
вдумчивого обсуждения ваших задач
и способов их решения
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после Cisco Connect?

58. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

59. Спасибо