Cisco Russia , profile picture
Uploaded byCisco Russia
728 views

Обнаружение аномальной активности в сети

Документ обсуждает методы обнаружения аномальной активности в сети с использованием анализаторов, таких как Cisco Stealthwatch и NetFlow. Он акцентирует внимание на необходимости эволюции в подходах к кибербезопасности и на использовании анализа потоков данных для выявления угроз, таких как ботнеты и атаки DDoS. Основное внимание уделяется комплексному мониторингу сети для быстрого реагирования на подозрительное поведение и защиты от уязвимостей.

Embed presentation

Downloaded 18 times
Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 1 Обнаружение аномальной активности в сети Алексей Лукацкий Бизнес-консультант по безопасности
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2? Devices   Access   Branch  Campus  Data  Center   Distribu-on   Edge   Firewall Remote   Access   Security Inspection Device X Internet USB Mobile Provider
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 3 (Android) Apple Routers and Switches Printer Internet of Things Phones Linux http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext Jonathan Brossard (CEO at Toucan System) Как насчет других операционных систем, которые не поддерживает ваше abc устройство?
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4 Серьезные компании с умными людьми. Все были скомпрометированы
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 А нам еще нужны FW, IPS, песочницы,AV? Разумеется нужны. Даже в современных автомобилях подушки безопасности не заменяют бампер!
… предполагает вероятность того, что вы уже скомпрометированы! Network Behavior Analysis Cyber Threat Defense (CTD) Control Enforce Harden Detect Block Defend Scope Contain Remediate Как и автоиндустрия, мы должны эволюционировать. Дополнительные инструменты для закрытия пробелов в безопасности.
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 Что объединяет всех?! СЕТЬ Видимость всего трафика Маршрутизация всех запросов Источники всех данных Контроль всех данных Управление всеми устройствами Контроль всех пользователей Контроль всех потоков
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8 A   B   C   C B A CA B Не везде есть IPS, но везде есть NetFlow
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9 •  Из всех критичных и важных точек
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10 Обзор StealthWatch FlowCollector* StealthWatch Management Console* Управление StealthWatch FlowReplicator ( Другие анализаторы Cisco ISE StealthWatch FlowSensor* Netflow enabled device Не-Netlow устройство NetFlow NetFlowNetFlow * Виртуальный или физический
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11 Построение базиса и определение аномалий с помощью Netflow 11
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13 Обзор • Активность BotNet Command & Control • Обнаружение утечек данных • Целенаправленные угрозы (APT) • Обнаружение Malware, распространяющегося внутри сети • Обнаружение разведки в сети • Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14 Что анализировать: •  Страны •  Приложение •  Соотношение входящего/исходящего трафика •  время •  Повторяющиеся соединения •  Beaconing – повторяющиеся «мертвые» соединения •  Долгоживущие потоки Активность “phone home” Предупреждения: Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C Suspect Long Flow Beaconing Host Massive TCP RST High Concern Index Trapped Host …
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15 Третичное заражение Вторичное заражение Первоначальное заражение 15 Сканирование
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16 16 Отправка бинарника размером x Третичное заражение Вторичное заражение Первоначальное заражение
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17 17 Скан Третичное заражение Вторичное заражение Первоначальное заражение
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18 18 Отправка…x Третичное заражение Вторичное заражение Первоначальное заражение
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan ICMP echo CEO PC 1.  ECHO -> CI = CI + 1 2.  ECHO -> CI = CI + 2 3.  ECHO -> CI = CI + 4 4.  ECHO -> CI = CI + 8 Упрощенный пример:
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan TCP RST CEO PC 1.  RST -> CI = CI + 1 2.  RST -> CI = CI + 2 3.  RST -> CI = CI + 4 4.  RST -> CI = CI + 8 Упрощенный пример:
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan SSH CEO PC 1.  PC -> CI = CI + 1 2.  PC -> CI = CI + 2 3.  PC -> CI = CI + 4 4.  PC -> CI = CI + 8 PC с незапу- щенным сервисом SSH Упрощенный пример:
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24 Основные подозрительные события
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25 Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения •  Признанный игрок рынка мониторинга сети и безопасности •  Cisco Solutions Plus Product Общие дизайны Cisco+Lancope Совместные инвестиции в развитие Доступность в канале продаж Cisco •  Отличный уровень сотрудничества с Cisco Lancope StealthWatch – ключевой элемент
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26 TrustSec Enabled Enterprise Network Identity Services Engine NetFlow: Switches, Routers, и ASA 5500 Контекст: NBAR/AVC Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети Flow Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 Данные о контексте угрозы Cisco Identity, Device, Posture, Application Cyber Threat Defense = Cisco + Lancope
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27 Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow StealthWatch FlowSensor StealthWatch FlowSensor VE Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Другие коллекторы https https NBAR NSEL
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28 Cat 3K-X w/ Service Module Line-Rate NetFlow Cat 4K Sup7E, Sup7L-E Line-Rate NetFlow ISR, ASR Scale NetFlow NBAR2 Adds NetFlow Доступ Доступ/ распределение Периметр Cat 6K Sup2T Cat 2K-X the only L2 w/Netflow ASA
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29 •  Обнаружение брешей в настройках МСЭ •  Обнаружение незащищенных коммуникаций •  Обнаружение P2P-трафика •  Обнаружение неавторизованной установки локального Web- сервера или точки доступа •  Обнаружение попыток несанкционированного доступа •  Обнаружение ботнетов (командных серверов) •  Обнаружение атак «отказ в обслуживании» •  Обнаружение инсайдеров •  Расследование инцидентов •  Troubleshooting Решаемые задачи
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31 Обнаружение разных типов атак, включая DDoS Детальная статистика о всех атаках, обнаруженных в сети
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33 Exfiltration: Хост передает ненормальное количество данных (EXI points) Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points) Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points) Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети Target Index: Показывает хосты, которые являются жертвами атаки (TI points)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35 Suspect Data Hoarding Target Data Hoarding •  Обнаружение систем, которые загружают ненормальные объемы данных из внутренних узлов •  Обнаружение систем, из которых загружаются ненормальные объемы данных
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36 Ненормальные объемы данных запрашиваются хостом Политика
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37 Передача ненормальных объемов данных во внешний мир Политика
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38 Когда? Сколько? УчастникУчастник Каким образом?
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39 Выберите узел для исследования Поиск исходящего трафика
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40 Netflow телеметрия Cisco Switches, Routers и ASA 5500 Внутренняя сеть & периметр Общий вид Анализ и контекст в Lancope StealthWatch Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее: •  ISE отправляет identity данные в CTD •  NBAR из маршрутизаторов тоже попадает в CTD •  NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства NetFlow Данные контекста Cisco Identity, Device, Posture, NAT, Application Context
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41 •  Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD) Получение контекста от Cisco ISE Политика Время старта Тревога Источник Группа хостов источника Имя пользователя Тип устройства Цель Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество хостов
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42 •  Поле Flow Action может добавить дополнительный контекст •  NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях Получение контекста от Cisco ASA / ISR / ASR
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43 •  Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX) •  До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер) •  Понимание контекста Масштабируемая архитектура
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44 Комплексная защита от угроз в течение всего жизненного цикла атаки Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановление Жизненный цикл атаки ДО ВО ВРЕМЯ ПОСЛЕ §  Идентификация разведывательной деятельности §  Блокирование известных угроз §  Обнаружение скрытых C&C §  Отслеживание распространение вредоносного ПО внутри сети §  Предотвращение утечек данных §  Непрерывный мониторинг активов и активности
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45 Основные компоненты CTD §  Продукты Lancope StealthWatch (SMC, FlowCollector, FlowSensor, FlowReplicator) §  Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3 §  ISE pxGrid API §  Sourcefire NGIPS (FirePOWER, FireSIGHT) §  Sourcefire AMP (network, endpoints, ESA, WSA) §  Cloud Web Security Premium (с CTA, AMP) Протестированные платформы Cisco §  ISR G2 §  ASR 1000 §  Catalyst 3560-X/3750-X, 3850, 3650 §  Catalyst 2960-X (NetFlow Lite) §  Catalyst 4500 Sup 7, Sup 8 §  Catalyst 6500 Sup 2T §  ASA 5500-X with FirePOWER Services §  NetFlow Generation Appliance (NGA)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46 •  Само мобильное устройство не может сказать, что оно «чужое» Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного •  Особую сложность представляет контроль 3G/4G доступа, но и он может быть решен
Спасибо!

More Related Content

PDF
Обнаружение аномальной активности в сети
byCisco Russia
 
PDF
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
byCisco Russia
 
PDF
Обнаружение аномальной активности в сети
byCisco Russia
 
PDF
Анализ угроз с помощью Cisco Threat Defense
byCisco Russia
 
PDF
Cisco Threat Defense (Cisco Stealthwatch)
byCisco Russia
 
PDF
Краткий обзор Cisco Cyber Threat Defense
byCisco Russia
 
PDF
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
byCisco Russia
 
PDF
Защита корпоративных и персональных мобильных устройств в сети
byCisco Russia
 
Обнаружение аномальной активности в сети
byCisco Russia
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
byCisco Russia
 
Обнаружение аномальной активности в сети
byCisco Russia
 
Анализ угроз с помощью Cisco Threat Defense
byCisco Russia
 
Cisco Threat Defense (Cisco Stealthwatch)
byCisco Russia
 
Краткий обзор Cisco Cyber Threat Defense
byCisco Russia
 
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
byCisco Russia
 
Защита корпоративных и персональных мобильных устройств в сети
byCisco Russia
 

What's hot

PDF
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
PDF
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
PDF
Архитектура защищенного периметра
byCisco Russia
 
PDF
AnyConnect, NVM и AMP
byCisco Russia
 
PDF
Как компания Cisco защищает сама себя
byCisco Russia
 
PDF
Как ловить кибермафию с помощью DNS
byAleksey Lukatskiy
 
PDF
Обзор портфолио технических сервисов Cisco - часть 2
byCisco Russia
 
PDF
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
PDF
Зарисовки о том, как устроена кибербезопасность в Cisco
byAleksey Lukatskiy
 
PDF
Обзор портфолио технических сервисов Cisco - часть 1
byCisco Russia
 
PDF
Безопасность сети. От точечных решений к целостной стратегии
byCisco Russia
 
PDF
Решение Cisco Threat Defense (CTD) и кибербезопасность
byCisco Russia
 
PPTX
Cisco Cyber Threat Defense
byCisco Russia
 
PDF
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
byCisco Russia
 
PDF
Crypto regulations in Russia
byAleksey Lukatskiy
 
PDF
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
byCisco Russia
 
PDF
Cisco Umbrella
byCisco Russia
 
PDF
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
byCisco Russia
 
PDF
Next Generation Campus Architecture
byCisco Russia
 
PDF
Cisco FirePower
byCisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
byCisco Russia
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
byCisco Russia
 
Архитектура защищенного периметра
byCisco Russia
 
AnyConnect, NVM и AMP
byCisco Russia
 
Как компания Cisco защищает сама себя
byCisco Russia
 
Как ловить кибермафию с помощью DNS
byAleksey Lukatskiy
 
Обзор портфолио технических сервисов Cisco - часть 2
byCisco Russia
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
byCisco Russia
 
Зарисовки о том, как устроена кибербезопасность в Cisco
byAleksey Lukatskiy
 
Обзор портфолио технических сервисов Cisco - часть 1
byCisco Russia
 
Безопасность сети. От точечных решений к целостной стратегии
byCisco Russia
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
byCisco Russia
 
Cisco Cyber Threat Defense
byCisco Russia
 
Как ИБ может повлиять на рост доходов, снижение издержек и рост лояльности кл...
byCisco Russia
 
Crypto regulations in Russia
byAleksey Lukatskiy
 
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
byCisco Russia
 
Cisco Umbrella
byCisco Russia
 
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
byCisco Russia
 
Next Generation Campus Architecture
byCisco Russia
 
Cisco FirePower
byCisco Russia
 

Similar to Обнаружение аномальной активности в сети

PDF
Cisco Secure X
byS.E. CTS CERT-GOV-MD
 
PDF
Использование технологий компании Cisco
byCisco Russia
 
PDF
Сеть как средство защиты и реагирования на угрозы
byCisco Russia
 
PDF
Как превратить свою сеть в систему информационной безопасности
byCisco Russia
 
PPTX
алексей лукацкий 1
byPositive Hack Days
 
PDF
Cisco Web Security - обзор технологии и функционала
byCisco Russia
 
PDF
Cognitive Threat Analytics
byCisco Russia
 
PDF
Cisco ASA . Next-Generation Firewalls
byCisco Russia
 
PPTX
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
byExpolink
 
PDF
Архитектура Cisco SecureX в области информационной безопасности
byCisco Russia
 
PDF
Нюансы функционирования и эксплуатации Cisco SOC
byAleksey Lukatskiy
 
PDF
Сеть как сенсор и как регулятор
byCisco Russia
 
PDF
Сеть как сенсор и средство контроля
byCisco Russia
 
PDF
Найти и обезвредить
byCisco Russia
 
PDF
Обзор продуктов в области информационной безопасности
byCisco Russia
 
PDF
Cisco AMP: платформа для борьбы с вредоносным кодом
byCisco Russia
 
PDF
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
byAleksey Lukatskiy
 
PDF
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
byCisco Russia
 
PPTX
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
byCisco Russia
 
PPTX
Анонс новых решений по безопасности Cisco с выставки Interop 2014
byCisco Russia
 
Cisco Secure X
byS.E. CTS CERT-GOV-MD
 
Использование технологий компании Cisco
byCisco Russia
 
Сеть как средство защиты и реагирования на угрозы
byCisco Russia
 
Как превратить свою сеть в систему информационной безопасности
byCisco Russia
 
алексей лукацкий 1
byPositive Hack Days
 
Cisco Web Security - обзор технологии и функционала
byCisco Russia
 
Cognitive Threat Analytics
byCisco Russia
 
Cisco ASA . Next-Generation Firewalls
byCisco Russia
 
Алексей Лукацкий (Cisco) - Безопасность внутренней сети
byExpolink
 
Архитектура Cisco SecureX в области информационной безопасности
byCisco Russia
 
Нюансы функционирования и эксплуатации Cisco SOC
byAleksey Lukatskiy
 
Сеть как сенсор и как регулятор
byCisco Russia
 
Сеть как сенсор и средство контроля
byCisco Russia
 
Найти и обезвредить
byCisco Russia
 
Обзор продуктов в области информационной безопасности
byCisco Russia
 
Cisco AMP: платформа для борьбы с вредоносным кодом
byCisco Russia
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
byAleksey Lukatskiy
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
byCisco Russia
 
Cisco Advanced Malware Protection для борьбы с вредоносным кодом
byCisco Russia
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
byCisco Russia
 

More from Cisco Russia

PDF
Service portfolio 18
byCisco Russia
 
PDF
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
PDF
Об оценке соответствия средств защиты информации
byCisco Russia
 
PDF
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
PDF
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
PDF
Cisco Catalyst 9000 series
byCisco Russia
 
PDF
Cisco Catalyst 9500
byCisco Russia
 
PDF
Cisco Catalyst 9400
byCisco Russia
 
PDF
Cisco Endpoint Security for MSSPs
byCisco Russia
 
PDF
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
PDF
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
PDF
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
PDF
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
PDF
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
PDF
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 
PDF
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
byCisco Russia
 
PDF
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
byCisco Russia
 
PDF
Интуитивная сеть как платформа для надежного бизнеса
byCisco Russia
 
PDF
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
byCisco Russia
 
PDF
Географическое резервирование BNG
byCisco Russia
 
Service portfolio 18
byCisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
byCisco Russia
 
Об оценке соответствия средств защиты информации
byCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
byCisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
byCisco Russia
 
Cisco Catalyst 9000 series
byCisco Russia
 
Cisco Catalyst 9500
byCisco Russia
 
Cisco Catalyst 9400
byCisco Russia
 
Cisco Endpoint Security for MSSPs
byCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
byCisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
byCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
byCisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
byCisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
byCisco Russia
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
byCisco Russia
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
byCisco Russia
 
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
byCisco Russia
 
Интуитивная сеть как платформа для надежного бизнеса
byCisco Russia
 
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
byCisco Russia
 
Географическое резервирование BNG
byCisco Russia
 

Обнаружение аномальной активности в сети

  • 1.
    Cisco Confidential© 2010Cisco and/or its affiliates. All rights reserved. 1 Обнаружение аномальной активности в сети Алексей Лукацкий Бизнес-консультант по безопасности
  • 2.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 2? Devices   Access   Branch  Campus  Data  Center   Distribu-on   Edge   Firewall Remote   Access   Security Inspection Device X Internet USB Mobile Provider
  • 3.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 3 3 (Android) Apple Routers and Switches Printer Internet of Things Phones Linux http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext Jonathan Brossard (CEO at Toucan System) Как насчет других операционных систем, которые не поддерживает ваше abc устройство?
  • 4.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 4 Серьезные компании с умными людьми. Все были скомпрометированы
  • 5.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 5 А нам еще нужны FW, IPS, песочницы,AV? Разумеется нужны. Даже в современных автомобилях подушки безопасности не заменяют бампер!
  • 6.
    … предполагает вероятностьтого, что вы уже скомпрометированы! Network Behavior Analysis Cyber Threat Defense (CTD) Control Enforce Harden Detect Block Defend Scope Contain Remediate Как и автоиндустрия, мы должны эволюционировать. Дополнительные инструменты для закрытия пробелов в безопасности.
  • 7.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 7 Что объединяет всех?! СЕТЬ Видимость всего трафика Маршрутизация всех запросов Источники всех данных Контроль всех данных Управление всеми устройствами Контроль всех пользователей Контроль всех потоков
  • 8.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 8 A   B   C   C B A CA B Не везде есть IPS, но везде есть NetFlow
  • 9.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 9 •  Из всех критичных и важных точек
  • 10.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 10 Обзор StealthWatch FlowCollector* StealthWatch Management Console* Управление StealthWatch FlowReplicator ( Другие анализаторы Cisco ISE StealthWatch FlowSensor* Netflow enabled device Не-Netlow устройство NetFlow NetFlowNetFlow * Виртуальный или физический
  • 11.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 11 Построение базиса и определение аномалий с помощью Netflow 11
  • 12.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 12
  • 13.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 13 Обзор • Активность BotNet Command & Control • Обнаружение утечек данных • Целенаправленные угрозы (APT) • Обнаружение Malware, распространяющегося внутри сети • Обнаружение разведки в сети • Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)
  • 14.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 14 Что анализировать: •  Страны •  Приложение •  Соотношение входящего/исходящего трафика •  время •  Повторяющиеся соединения •  Beaconing – повторяющиеся «мертвые» соединения •  Долгоживущие потоки Активность “phone home” Предупреждения: Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C Suspect Long Flow Beaconing Host Massive TCP RST High Concern Index Trapped Host …
  • 15.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 15 Третичное заражение Вторичное заражение Первоначальное заражение 15 Сканирование
  • 16.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 16 16 Отправка бинарника размером x Третичное заражение Вторичное заражение Первоначальное заражение
  • 17.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 17 17 Скан Третичное заражение Вторичное заражение Первоначальное заражение
  • 18.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 18 18 Отправка…x Третичное заражение Вторичное заражение Первоначальное заражение
  • 19.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 19 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan ICMP echo CEO PC 1.  ECHO -> CI = CI + 1 2.  ECHO -> CI = CI + 2 3.  ECHO -> CI = CI + 4 4.  ECHO -> CI = CI + 8 Упрощенный пример:
  • 20.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 20 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan TCP RST CEO PC 1.  RST -> CI = CI + 1 2.  RST -> CI = CI + 2 3.  RST -> CI = CI + 4 4.  RST -> CI = CI + 8 Упрощенный пример:
  • 21.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 21 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan SSH CEO PC 1.  PC -> CI = CI + 1 2.  PC -> CI = CI + 2 3.  PC -> CI = CI + 4 4.  PC -> CI = CI + 8 PC с незапу- щенным сервисом SSH Упрощенный пример:
  • 22.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 22
  • 23.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 23
  • 24.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 24 Основные подозрительные события
  • 25.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 25 Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения •  Признанный игрок рынка мониторинга сети и безопасности •  Cisco Solutions Plus Product Общие дизайны Cisco+Lancope Совместные инвестиции в развитие Доступность в канале продаж Cisco •  Отличный уровень сотрудничества с Cisco Lancope StealthWatch – ключевой элемент
  • 26.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 26 TrustSec Enabled Enterprise Network Identity Services Engine NetFlow: Switches, Routers, и ASA 5500 Контекст: NBAR/AVC Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети Flow Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 Данные о контексте угрозы Cisco Identity, Device, Posture, Application Cyber Threat Defense = Cisco + Lancope
  • 27.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 27 Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow StealthWatch FlowSensor StealthWatch FlowSensor VE Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Другие коллекторы https https NBAR NSEL
  • 28.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 28 Cat 3K-X w/ Service Module Line-Rate NetFlow Cat 4K Sup7E, Sup7L-E Line-Rate NetFlow ISR, ASR Scale NetFlow NBAR2 Adds NetFlow Доступ Доступ/ распределение Периметр Cat 6K Sup2T Cat 2K-X the only L2 w/Netflow ASA
  • 29.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 29 •  Обнаружение брешей в настройках МСЭ •  Обнаружение незащищенных коммуникаций •  Обнаружение P2P-трафика •  Обнаружение неавторизованной установки локального Web- сервера или точки доступа •  Обнаружение попыток несанкционированного доступа •  Обнаружение ботнетов (командных серверов) •  Обнаружение атак «отказ в обслуживании» •  Обнаружение инсайдеров •  Расследование инцидентов •  Troubleshooting Решаемые задачи
  • 30.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 30
  • 31.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 31 Обнаружение разных типов атак, включая DDoS Детальная статистика о всех атаках, обнаруженных в сети
  • 32.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 32
  • 33.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 33 Exfiltration: Хост передает ненормальное количество данных (EXI points) Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points) Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points) Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети Target Index: Показывает хосты, которые являются жертвами атаки (TI points)
  • 34.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 34
  • 35.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 35 Suspect Data Hoarding Target Data Hoarding •  Обнаружение систем, которые загружают ненормальные объемы данных из внутренних узлов •  Обнаружение систем, из которых загружаются ненормальные объемы данных
  • 36.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 36 Ненормальные объемы данных запрашиваются хостом Политика
  • 37.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 37 Передача ненормальных объемов данных во внешний мир Политика
  • 38.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 38 Когда? Сколько? УчастникУчастник Каким образом?
  • 39.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 39 Выберите узел для исследования Поиск исходящего трафика
  • 40.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 40 Netflow телеметрия Cisco Switches, Routers и ASA 5500 Внутренняя сеть & периметр Общий вид Анализ и контекст в Lancope StealthWatch Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее: •  ISE отправляет identity данные в CTD •  NBAR из маршрутизаторов тоже попадает в CTD •  NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства NetFlow Данные контекста Cisco Identity, Device, Posture, NAT, Application Context
  • 41.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 41 •  Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD) Получение контекста от Cisco ISE Политика Время старта Тревога Источник Группа хостов источника Имя пользователя Тип устройства Цель Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество хостов
  • 42.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 42 •  Поле Flow Action может добавить дополнительный контекст •  NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях Получение контекста от Cisco ASA / ISR / ASR
  • 43.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 43 •  Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX) •  До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер) •  Понимание контекста Масштабируемая архитектура
  • 44.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 44 Комплексная защита от угроз в течение всего жизненного цикла атаки Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановление Жизненный цикл атаки ДО ВО ВРЕМЯ ПОСЛЕ §  Идентификация разведывательной деятельности §  Блокирование известных угроз §  Обнаружение скрытых C&C §  Отслеживание распространение вредоносного ПО внутри сети §  Предотвращение утечек данных §  Непрерывный мониторинг активов и активности
  • 45.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 45 Основные компоненты CTD §  Продукты Lancope StealthWatch (SMC, FlowCollector, FlowSensor, FlowReplicator) §  Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3 §  ISE pxGrid API §  Sourcefire NGIPS (FirePOWER, FireSIGHT) §  Sourcefire AMP (network, endpoints, ESA, WSA) §  Cloud Web Security Premium (с CTA, AMP) Протестированные платформы Cisco §  ISR G2 §  ASR 1000 §  Catalyst 3560-X/3750-X, 3850, 3650 §  Catalyst 2960-X (NetFlow Lite) §  Catalyst 4500 Sup 7, Sup 8 §  Catalyst 6500 Sup 2T §  ASA 5500-X with FirePOWER Services §  NetFlow Generation Appliance (NGA)
  • 46.
    © 2010 Ciscoand/or its affiliates. All rights reserved. Cisco Confidential 46 •  Само мобильное устройство не может сказать, что оно «чужое» Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного •  Особую сложность представляет контроль 3G/4G доступа, но и он может быть решен
  • 47.