SlideShare a Scribd company logo
1 of 102
Download to read offline
Мониторинг угроз с
использованием
StealthWatch:
Детальный обзор
Павел Родионов
CSE Security, Cisco
CCIE #11155, GREM
• Введение
• Использование сетевой
телеметрии
• Организация данных
• Обнаружение Индикаторов
Компрометации
• Расследование вторжения
• Итоги
Программа
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
“ Мир полон очевидных вещей, которых никто
не замечает.”
Шерлок Холмс, Собака Баскервилей
3
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Социальный эксперимент: 200 USB Flash оставили в
публичных местах
4
15.11.20
17
http://www.net-security.org/secworld.php?id=19033
• Введение
• Использование сетевой
телеметрии
Программа
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Об этой сесии: Видимость через изучение данных
Возможность понять:
• Откуда данные пришли
• Как данные обрабатываются
• Как использовать эти данные
6
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что объединяет всех?
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов
Источники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сетевая телеметрия
Коммутатор
распределения/
ядра
Коммутатор
доступаАгент хоста МСЭ
Прокси сервер Идентификация
AD и DNS
Talos
Глобальный
интеллект
Изолированные знания основанные на функции и расположении
Телеметрия: процесс автоматизированной коммуникации при котором измерения и другие данные
собираются на удаленных или недоступных точках и передаются на оборудование получателя для
анализа и мониторинга.
https://en.wikipedia.org/wiki/Telemetry
Сетевые устройства
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Аналитика данных с помощью телеметрии:
Идентификация дополнительных Индикаторов Компрометации (IoC)
• Политики и Сегментация
• Сетевое поведение и Обнаружение Аномалий (NBAD)
Лучше понимать / реагировать на IOC:
• Аудит всех коммуникаций между хостами
Обнаружение
• Идентификация бизнес-критичных приложений и сервисов в сети
9
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Stealthwatch
Коммутатор
распределения/
ядра
Коммутатор
доступа
AD и DNS
Talos
Глобальный
интеллект
Cisco Stealthwatch: Это коллектор и аггрегатор сетевой телеметрии с целью аналитики
безопасности и мониторинга
10
Агент хоста МСЭ
Прокси сервер Идентификация
Изолированные знания основанные на функции и расположении
Сетевые устройства
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
“Информация! Мне нужна информация! Я не могу лепить
кирпичи без глины!
Шерлок холмс, Медные буки
Понять сетевую телеметрию
Сетевой трафик
входит
Сетевой трафик
выходит
Отчет
Решение
11
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Версии NetFlow
Версия 5
Фиксированный
формат
18 Заданных полей
Версия 9
Шаблонная
108 Заданных полей
IPFIX
Стандартизована
Шаблонная
Поля изменяемой
длины
450+ Заданных полей
12
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Транзакционная телеметрия с NetFlow
10.2.2.2
port 1024
10.1.1.1
port 80
eth0/1
eth0/2
Start Time Interface Src IP Src
Port
Dest IP Dest
Port
Proto Pkts
Sent
Bytes
Sent
SGT DGT TCP Flags
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN
Start Time Interface Src IP Src
Port
Dest IP Dest
Port
Proto Pkts
Sent
Bytes
Sent
SGT DGT TCP Flags
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
13
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обработка телеметрии: “Склеивание сессий”
10.2.2.2
port 1024
10.1.1.1
port 80
eth0/1
eth0/2
Start Time Client
IP
Client
Port
Server IP Server
Port
Proto Client
Bytes
Client
Pkts
Server
Bytes
Server
Pkts
Client
SGT
Server
SGT
Interfaces
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 100 1010 eth0/1
eth0/2
Однонаправленные потоки
Двунаправленные:
• Запись двусторонней сессии
• Позволяет легко визуализировать и анализировать
Start Time Interface Src IP Src
Port
Dest IP Dest
Port
Proto Pkts
Sent
Bytes
Sent
SGT DGT
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100
14
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
Обработка телеметрии: “Дедупликация”
Start Time Client IP Client
Port
Server
IP
Server
Port
Proto Client
Bytes
Client
Pkts
Server
Bytes
Server
Pkts
App Client
SGT
Server
SGT
Exporter, Interface,
Direction, Action
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 HTTP 100 1010 Sw1, eth0, in
Sw1, eth1, out
Sw2, eth0, in
Sw2, eth1, out
ASA, eth1, in
ASA, eth0, out, Permitted
ASA eth0, in, Permitted
ASA, eth1, out
Sw3, eth1, in
Sw3, eth0, out
Sw1, eth1, in
Sw1, eth0, out
10.2.2.2
port 1024 10.1.1.1
port 80
Sw1
Sw2
Sw3
ASA
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Stealthwatch Системные компоненты
UDP Director
• UDP Копир пакетов
• Отправляет на разные узлы
• Отказоустойчивость
• 2 физических и виртуальных
модели
Stealthwatch Flow Sensor
• Генерирует IPFIX из SPAN/TAP
• Контекстные поля (прим.
App,URL,SRT,RTT)
• Физические и виртуальные модели
Stealthwatch Flow Collector
• Сбор и анализ
• До 4000 экспортеров
• До одновременно 240,000 fps
• 4 физических и 3 виртуальных
модели
Stealthwatch Management Console
• Управление и отчетность
• До 25 Flow Collectors
• До 6 миллионов fps глобально
• 2 физических и виртуальных модели
• Отказоустойчивость
Endpoint License Concentrator
• Собирает AnyConect NVM потоки
данных и отправляет на Flow
Collector
• Виртуальный аплаенс
Cloud License Concentrator
• Собирает потоки с Cloud License
Agents и отправляет их на FC
Cisco Security Packet Analyzer
• Полный пакетный захват на сети
• 2 физические модели
16
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Stealthwatch: Построение таблицы потоков
NetFlow / IPFIX
weblogs
Описание групп
Данные
интеллекта угроз
Идентификация
Пользователя/
Устройства
Транзакционные Контекстные
Таблица
потоков
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
Двусторонняя запись потока
Кто КтоЧто
Когда
Как
Где
• Связанный и дедуплицированный
• Отображение в виде полной сессии
• Высокомасштабируемый сбор и компрессия
данных
• Месяцы хранения данных
Больше
контекста
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Контекстная телеметрия
“Это мелочи, но нет ничего важнее мелочей.
Шерлок Холмс, Медные буки
IP Адрес: 10.10.10.10
Кто?
Что? Где?
19
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
Концепция: Хост
• Любой IP Адрес наблюдаемый Flow Collector или
SMC из источников телеметрии
• Для каждого хоста, StealthWatch
• Собирает метаданные
• Строит профиль поведения
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
Концепция: Группы хостов
Применяем знание окружения
• Виртуальный контейнер IP адресов
• Задается пользователем
• Схожие атрибуты
• Моделирование любого
процесса/приложения
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE как источник Телеметрии
Таблица Аутентифицированных Сессий
Cisco ISE
• Хранит историческую таблицу сессий
• Корреляция NetFlow с пользователем
• Построение отчетов на пользователя
Stealthwatch
Management
Console
pxGrid
• Аутентификация
Пользователя / Устройства
• Профиль устройства
• Пассивная идентификация
22
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Глобальный интеллект
Stealthwatch
Threat
Intelligence
License
• Известные C&C Сервера
• Tor Входы и Выходы
23
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
“Обогащенная” запись сессии
ISE
Телеметрия
NBAR
Применяем
группировку
Flow Sensor
Гео-IP
Threat
Intelligence
AnyConnect NVM 24
• Введение
• Использование сетевой
телеметрии
• Организация данных
Программа
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
Со стороны: SMC Интерфейс 1: Java (Swing) Клиент
• Оригинальный интерфейс
• Годы разработки и функциональности
• Сделан инженерами для инженеров
• Новые разработки минимальны
Просмотр
отчетов
Дерево
Enterprise
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Со стороны: SMC Интерфейс 2: “Web” Интерфейс
• Представлен в Stealthwatch 6.5
• Новые функции добавляются
сюда
Функции уникальные для WEB интерфейса:
• ISE Remediation
• Собственные события
• SGT поля в Flow Record
• Web данные прокси
• Данные с Endpoint
• Настройка Active Directory
• Частные приложения
• Управление работами
• “First Seen”
27
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
Хостовый отчет о подозрительном хосте
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Карта потоков данных
PCI Zone Map
Общий системный
профиль
Внутрисистемное
взаимодействие
Используйте карты для
концентрации внимания!
29
• Введение
• Использование сетевой
телеметрии
• Организация данных
• Обнаружение Индикаторов
Компрометации
Программа
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Концепция: Индикатор компрометации
IDS/IPS тревоги
Анализ логов (SIEM)
Анализ данных
Внешние
уведомления
Поведенческий
анализ
Мониторинг
активности
Свидетельство, наблюдаемое в сети или операционной системе
указывающее на высокую вероятность компроиметации
• http://en.wikipedia.org/wiki/Indicator_of_compromise
Анализ аномалий
Хэши файлов
IP Адреса
31
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
IoC из аналитики данных
Поведенческий анализ:
• Использует понимание не нормального поведения
• Политика и сегментация
Обнаружение аномалий:
• Идентификация отклонений от “нормы”
32
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обнаружение угроз с StealthWatch
Модель безопасности StealthWatch
33
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
События
безопасности
(“Алгоритмы”)
Security
Event
Security
Event
Security
Event
Security
Event
Security
Event
34
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Категории
(“Индексы”)
События
безопасности
(“Алгоритмы”)
Security
Event
Security
Event
Security
Event
Security
Event
Security
Event
CI
TI
Recon
C&C
35
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Security
Event
Security
Event
Security
Event
Security
Event
События
безопасности
(“Алгоритмы”)
CI
TI
Recon
C&C
Категории
(“Индексы”)
Alarm
Alarm
Alarm
Alarm
Alarm
Тревоги
(“Уведомления”)
Security
Event
36
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Security
Event
Security
Event
Security
Event
Security
Event
Security
Event
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
37
События
безопасности
(“Алгоритмы”)
Категории
(“Индексы”)
Тревоги
(“Уведомления”)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Fake
Application
Security
Event
Security
Event
Security
Event
Security
Event
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
38
События
безопасности
(“Алгоритмы”)
Категории
(“Индексы”)
Тревоги
(“Уведомления”)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Fake
Application
Security
Event
Security
Event
Security
Event
Security
Event
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
39
События
безопасности
(“Алгоритмы”)
Категории
(“Индексы”)
Тревоги
(“Уведомления”)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SQLF
Security
Event
Security
Event
Security
Event
Security
Event
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
40
События
безопасности
(“Алгоритмы”)
Категории
(“Индексы”)
Тревоги
(“Уведомления”)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Категории тревог
Каждая категория набирает очки
41
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Stealthwatch: Тревоги
• Показывает серьезные отклонения в поведении и
нарушение политики
• Известные и неизвестные атаки генерируют тревоги
• Активность выбивающаяся из нормы, разрешенного
поведения или установленных политик
42
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Анализ поведения: Известное плохое поведение
43
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сегментация и мониторинг
PCI Zone Map
Запрещенные
взаимодействия
Межсистемное
взаимодействие
44
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 45
Нарушение политик: Политики хоста
Клиентская
группа Группа серверов
Условия
клиентского
трафика
Условия
Серверного
трафика
Удачное или
неудачное
соединение
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Нарушение политик: Политики хоста
46
Связи в нарушении политики
• Мониторинг активных тревог в соответствии с
политикой
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Нарушение политик: Собственные события
Экран тревог показывает все тревоги
Показаны детали по “Employee to
Productions Servers” тревоги
47
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обнаружение аномалий: Отклонение от нормы
Вино?!
48
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
Пример категории тревог: Concern Index
Concern Index: Отслеживает хосты, нарушающие целостность сети
87 различных алгоритмов
составляют CI начиная с v6.9.1
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
High Concern Index
Отклонение от базового уровня на
2,432%!
50
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример события: Suspect Quiet Long Flow
Соединение между внутренней и внешней сетью (с трафиком в обе стороны), которое
превышает длительность “Секунды для квалификации потока как длинного” и
передает подозрительно маленький объем информации
Политика по-умолчанию
51
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример события: Suspect Data Loss
Указывает что внутренний хост выгрузил необычно большое количество данных
наружу.
52
Политика по-умолчанию
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Подозрение на сбор данных:
• Необычно большой поток
данных от внутренних хостов
на один хост
Таргетированный сбор данных:
• Необычно большой объем данных
исходящий намногие хосты
Пример алгоритма: Data Hoarding
53
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Suspect Data Hoarding
Сбор данных
• Необычно большой поток данных от внутренних хостов на
один хост
• Политики и поведение
54
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 55
Менеджер политик хостов
Назначение политики
группам
Политики по-умолчанию для внутренних и
внешних хостов
Создать ролевые политики
для отдельных групп
Проверка применяемых
политик
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 56
Создание и изменение ролевой политики
Назначить категории
тревог и событий на роль
Назначить Хостовые
группы на Ролевую
политику
Включить/Выключить события
безопасности – Подумайте над
направлением!
Задать ролевую политику
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
Установка граничных значений событий
Включить и
выдавать тревоги
Аномалии и политики
Указать границы
Приемлемое
отклонение от нормы
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 58
Реагирование на обнаружение аномалий
Ранжирование по
приоритету Этот хост
НАИБОЛЕЕ
странно себя ведет
Работаем сверху
вниз
Используется
классификация!
• Введение
• Использование сетевой
телеметрии
• Организация данных
• Обнаружение Индикаторов
Компрометации
• Расследование вторжения
Программа
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Расследование вторжения
1. Понимать предыдущие шаги
2. Мониторинг и контроль происходящего вторжения
60
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
“Наука о дедукции.”
Глава 1: Знак четырёх
61
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Наука о дедукции
Сбор улик
Элементы данных
Что они смогли
получить?
Когда они получили туда доступ?
Куда они смогли пробраться?
Они все еще здесь?
Кто они?
IOC
62
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Расследование IOC: Пример
Zeus C&C Server:
128.107.78.8
Обнаружен новый сервер
Malware!
63
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 1: Мы этот хост видели?
Ищем по IP адресу
Известен и недавно его
видели
64
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 65
Шаг 2: Расследование вторжения
Недавние связи с хостами
внутри сети
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 66
Шаг 2: Классификация
Назначение в хост-
группу
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 3: Поиск инфицированных хостов
Построение запроса
потока, включающего
C&C Сервер
Начнем с определенного
временного диапазона
Направление
изначально в
привилегированные
группы
67
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 4: Анализ возвращенных результатов
Зараженный хостC&C Сервер
Загрузка
Вредоноса
Звонок “домой”
68
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 69
Шаг 5: Расследование зараженных хостов
Открыть и
исследовать отчет
хоста
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 70
Шаг 5: Расследование инфицированных хостов
Presentation ID
Определение
пользователя и
устройства
Касательно ущерба:
Требует мгновенной реакции и
глубокого расследования,
реагирования на инцидент
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 71
Шаг 6: Rapid Threat Containment
Отсылает запрос на ISE для Change of
Authorization и назначения новой
авторизации на хост
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 7: Продолжение расследовани и мониторинг
Поиск Malware по
его хэшу
Другой C&C
сервер
72
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Шаг 7: Продолжение расследования и
мониторинга
Создать правило для
уведомления о
будущих связях
73
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Решение Cisco StealthWatch в анализе атаки Pyetya/Nyetya
Анализ зашифрованного трафика
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Проблема: зловредный код активно использует
TLS-шифрование
• Шифрование с помощью TLS активно используется (само по себе
это не плохо!)
• Решения, основанные на анализе строк, становятся менее
эффективными
• Проблемы внедрения расшифровки (MITM) для анализа:
• Приватность; юридические проблемы; внедрение; стоимость; отсутствие
у клиентов желания сотрудничать
ИнтернетУстройство
76
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Наш подход: использовать все доступные данные
ИнтернетУстройства
Netflow данные: SrcIP, DstIP, SrcPort, DstPort, Proto, #Bytes, #Packets
Intraflow данные: размеры пакетов & временные параметры, распределение байтов, …
TLS метаданные: расширения, наборы шифров, SNI, поля сертификатов, …
DNS данные: имена, типы запросов, временные параметры запросов
HTTP данные: заголовки и сопутствующие поля, в том числе других http-запросов с этого же хоста
77
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Защитите и управляйте сетью в реальном времени
Расширенная аналитика
Первая сеть с возможностью находить угрозы в зашифрованном трафика без расшифровки
Зашифрованный
трафик
Незашифрованный
трафик
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Encrypted Traffic Analytics (ETA)
Видимость и обнаружение malware без расшифровки
Криптографическое соответствиеMalware в зашифрованном трафике
Являются ли данные в TLS сессии
вредоносными?
• Конфиденциальность
• Целостность канала без инспекции
• Адаптация. к стандартам шифрования
Сколько из моего бизнеса использует
сильное шифрование?
• Аудит нарушений TLS политик
• Пассивное обнаружение уязвимостей
библиотек
• Постоянный мониторинг прозрачности
сети
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Encrypted Traffic Analytics (ETA)
Исследования Cisco
Известный
трафик malware
Known
benign traffic
Извлечь наблюдаемые
особенности из данных
Применить машинное
обучение для создания
детекторов
Известные malware
сессии детектируются
с точнотью 99%^
“Identifying encrypted malware traffic with contextual flow data”
AISec ’16 | Blake Anderson, David McGrew (Cisco Fellow)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Malware traffic
Benign traffic
Наблюдаемый
адрес
Превалирующий
адрес
cisco.com
c15c0.com
afb32d75.com
Необычный отпечаток
Необычный сертификат
Типичный отпечаток
Типичный сертификат
Self-Signed Certificate
Data Exfiltration
C2 Message
Google search
Bestafera
Возможности данных ETA
Исследования Cisco
TCP/IP DNS TLS SPLT
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Получить как можно больше
из незашифрованных пакетов
Идентифицировать содержимое с
помощью размера и
последовательности пакетовpackets
Первоначальный пакет
Sequence of packet
lengths and times
Как мы инспектируем трафик?
Self-Signed certificate
Data exfiltration
C2 message
Кто есть кто в dark internet
Threat
intelligence map
Поведенческая информация о серверах в
Internet
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Найти вредоносную активность в зашифрованном
трафике
Cisco Stealthwatch
Cognitive
Analytics
Malware
detection
and
cryptographi
c compliance
Новый Catalyst 9K*
NetFlow
Enhanced
NetFlow
Telemetry for
encrypted malware detection
and cryptographic compliance
* Other devices will be supported soon
Расширенная аналитика и
машинное обучение
Глобальная корреляция
знаний
Расширенный Netflow от
новых коммутаторов и
маршрутизаторов Ciso
Постоянное соответствие
Улучшенная сеть
Быстрое
расследование
Высокая точность Усиленная защита
Metadata
Немного науки
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Традиционный анализ сетевых потоков
Экспорт Сбор Анализ ХранениеЗахват
Захват
Захват
srcIP, dstIP, srcPort, dstPort, prot, startTime, stopTime, numBytes, numPackets
85
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Сбор расширенной телеметрии
Экспорт Сбор Анализ ХранениеЗахват
Захват
Захват
srcIP, dstIP, srcPort, dstPort, prot, startTime, stopTime, numBytes, numPackets
Дополнительная
информация о
данных
86
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обзор решения
ОС
Контекст устройства
Операционная система (ОС), Приложение, PMTU, RTT, ВПО, …
ETTA data
flow record
Метки
flow record
«Отпечатки»
Правила
Классификатор
Описания
Устройства
безопасности
ETTA data
Приложение
Обнаружение
ВПО
Семейство
ВПО
Крипто
аудит
87
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Набор данных, использованный в исследовании
Обучение
Хранение
«Чистые»
данные
Потоки данных с известными
образцами вредоносного ПО
Классификатор
Правила
8888
• Метаданные
• Размеры пакетов
• TLS
• DNS
• HTTP
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Потоки данных с
известными образцами ВПО «Чистые» данные
• Записи сетевого обмена из
системы динамического анализа
Cisco ThreatGRID (в формате
pcap):
• 5-ти минутные сессии анализа;
• Образцы с Threat Score = 100/100;
• Миллионы pcap-файлов:
• ~5,000-15,000 новых каждый день;
• Сотни миллионов потоков
• Демилитаризованная зона
сети крупной компании:
• ~10-15 миллионов потоков в
день;
• ~500 пользователей
• IP-адреса
анонимизированы.
89
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
src dst
• SPLT – Sequence of Packet Lengths and Arrival
Times, или распределение пакетов и их
последовательностей с учётом временных
интервалов
• BD - Byte Distribution или побайтное
распределение
• BE - Byte Entropy или побайтная энтропия
Типы данных, использованные из расширенной
телеметрии
90
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SPLT - распределение пакетов и их
последовательностей с учётом временных интервалов
src dst
ПакетыклиентаПакетысервера
Время
91
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
BD - побайтное распределение
48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b
H T T P / 1 . 1 2 0 0 O K
92
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
BD - побайтное распределение
48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b
H T T P / 1 . 1 2 0 0 O K
1
93
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
BD - побайтное распределение
48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b
H T T P / 1 . 1 2 0 0 O K
1
1
94
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
BD - побайтное распределение
48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b
H T T P / 1 . 1 2 0 0 O K
1
2
95
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
BD - побайтное распределение
48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b
H T T P / 1 . 1 2 0 0 O K
1
1 2
96
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Управляемое данными обучение
* Если больше ничего не помогает
Сбор данных
Разработка
функций
Процессинг
данных
Тренировка и
тестирование
классификатора
1. Собрать больше данных!
2. Больше функций!
3. Модифицировать отбор функций
4. Увеличить сложность модели*
~99% всех усилий
Окружение Знание
Машинное
обучение
97
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Вредоносный код
• Записи сетевого обмена (pcap) с августа 2015 по май 2016 из Cisco ThreatGRID;
• Трафик TLS (443), больше 100 байт на вход и выход;
• 225,740 потоков; сетевая телеметрия обогащалась информацией о TLS-extensions, шифр-
наборах, и размерах публичных ключей;
• «Хороший трафик»
• Трафик взят из DMZ крупной компании
• Трафик TLS (443), больше 100 байт на вход и выход;
• 225,000 потоков; сетевая телеметрия обогащалась информацией о TLS-extensions, шифр-
наборах, и размерах публичных ключей;
• 10-кратная перекрёстная проверка данных
Тестовый набор данных
98
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
• DNS
• Alexa Lists
• Lengths of DN and FQDN
• Suffix
• TTL
• % Numerical Characters
• % Non-alphanumeric Chars
• HTTP
• Outbound/inbound header fields
• Content-Type
• User-Agent
• Accept-Language
• Server
• code
Добавлена контекстная информация
99
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Интересные факты:
• Зловреды наиболее часто
используют:
• DNS Suffix: org
• DNS TTL: 3600
• TLS_RSA_WITH_RC4_128_SHA
• HTTP Field: location
• DNS Alexa: Not Found
• HTTP Server: nginx
• HTTP Code: 404
• Легитимный трафик наиболее часто
использует:
• TLS Ext: extended_master_secret
• Content type: application/octet-stream
• TLS_DHE_RSA_WITH_DES_CBC_SHA
• HTTP Server: Microsoft-IIS/8.5
• DNS Alexa: top-1,000,000
• HTTP User-Agent: Microsoft-CryptoAPI/6.1
100
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Обнаружение зашифрованного ВПО
Acc. 0.00% FDR
SPLT+BD+TLS+HTTP+DNS 99.993% 99.978%
TLS 94.836% 50.406%
DNS 99.496% 94.654%
HTTP 99.945% 98.996%
TLS+DNS 99.883% 96.551%
TLS+HTTP 99.955% 99.660%
HTTP+DNS 99.985% 99.956%
SPLT+BD+TLS 99.933% 70.351%
SPLT+BD+TLS+DNS 99.968% 98.043%
SPLT+BD+TLS+HTTP 99.983% 99.956%
TLS DNS
HTTP
SPLT+BD
101
Спасибо за внимание!

More Related Content

What's hot

Cisco Enterprise NFV
Cisco Enterprise NFVCisco Enterprise NFV
Cisco Enterprise NFVCisco Russia
 
Инновации Cisco для маршрутизации в корпоративных сетях
Инновации Cisco для маршрутизации в корпоративных сетяхИнновации Cisco для маршрутизации в корпоративных сетях
Инновации Cisco для маршрутизации в корпоративных сетяхCisco Russia
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДАрхитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДCisco Russia
 
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...Cisco Russia
 
Архитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данныхАрхитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данныхCisco Russia
 
Платформы безопасности очередного поколения
Платформы безопасности очередного поколенияПлатформы безопасности очередного поколения
Платформы безопасности очередного поколенияCisco Russia
 
Методики и инструменты для самостоятельного решения проблем в сети
Методики и инструменты для самостоятельного решения проблем в сетиМетодики и инструменты для самостоятельного решения проблем в сети
Методики и инструменты для самостоятельного решения проблем в сетиCisco Russia
 
Подходы к мониторингу информационных систем
Подходы к мониторингу информационных системПодходы к мониторингу информационных систем
Подходы к мониторингу информационных системCisco Russia
 
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Развитие семейства коммутаторов для ЦОД Cisco NexusРазвитие семейства коммутаторов для ЦОД Cisco Nexus
Развитие семейства коммутаторов для ЦОД Cisco NexusCisco Russia
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?S-Terra CSP
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Cisco Russia
 
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотностиРазвитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотностиCisco Russia
 
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseКраткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseCisco Russia
 
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связиПринципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связиCisco Russia
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACICisco Russia
 
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)Cisco Russia
 
Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1Cisco Russia
 

What's hot (20)

Cisco Enterprise NFV
Cisco Enterprise NFVCisco Enterprise NFV
Cisco Enterprise NFV
 
Инновации Cisco для маршрутизации в корпоративных сетях
Инновации Cisco для маршрутизации в корпоративных сетяхИнновации Cisco для маршрутизации в корпоративных сетях
Инновации Cisco для маршрутизации в корпоративных сетях
 
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОДАрхитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
 
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
 
Архитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данныхАрхитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данных
 
Платформы безопасности очередного поколения
Платформы безопасности очередного поколенияПлатформы безопасности очередного поколения
Платформы безопасности очередного поколения
 
Методики и инструменты для самостоятельного решения проблем в сети
Методики и инструменты для самостоятельного решения проблем в сетиМетодики и инструменты для самостоятельного решения проблем в сети
Методики и инструменты для самостоятельного решения проблем в сети
 
Подходы к мониторингу информационных систем
Подходы к мониторингу информационных системПодходы к мониторингу информационных систем
Подходы к мониторингу информационных систем
 
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Развитие семейства коммутаторов для ЦОД Cisco NexusРазвитие семейства коммутаторов для ЦОД Cisco Nexus
Развитие семейства коммутаторов для ЦОД Cisco Nexus
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
 
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотностиРазвитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat DefenseКраткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
 
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связиПринципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
 
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACIРазвитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
 
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)
 
Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1
 

Similar to Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованного трафика

Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCAleksey Lukatskiy
 
Программируемость и автоматизация решений Ciscо - практическое применение
Программируемость и автоматизация решений Ciscо - практическое применениеПрограммируемость и автоматизация решений Ciscо - практическое применение
Программируемость и автоматизация решений Ciscо - практическое применениеCisco Russia
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksCisco Russia
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...Cisco Russia
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьРешение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьCisco Russia
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Cisco Russia
 
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...Cisco Russia
 
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration AnalyticsCистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
Программируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco NexusПрограммируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco NexusCisco Russia
 
Cisco Cloud Security
Cisco Cloud SecurityCisco Cloud Security
Cisco Cloud Securityifedorus
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Cisco Russia
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1Positive Hack Days
 
Cisco DNA Campus Fabric
Cisco DNA Campus FabricCisco DNA Campus Fabric
Cisco DNA Campus FabricCisco Russia
 
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...Cisco Russia
 
Next Generation Campus Architecture
Next Generation Campus ArchitectureNext Generation Campus Architecture
Next Generation Campus ArchitectureCisco Russia
 

Similar to Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованного трафика (20)

Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
Программируемость и автоматизация решений Ciscо - практическое применение
Программируемость и автоматизация решений Ciscо - практическое применениеПрограммируемость и автоматизация решений Ciscо - практическое применение
Программируемость и автоматизация решений Ciscо - практическое применение
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьРешение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасность
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
 
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration AnalyticsCистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Программируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco NexusПрограммируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco Nexus
 
Cisco Cloud Security
Cisco Cloud SecurityCisco Cloud Security
Cisco Cloud Security
 
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
 
Cisco DNA Campus Fabric
Cisco DNA Campus FabricCisco DNA Campus Fabric
Cisco DNA Campus Fabric
 
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
 
Next Generation Campus Architecture
Next Generation Campus ArchitectureNext Generation Campus Architecture
Next Generation Campus Architecture
 

More from Cisco Russia

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18Cisco Russia
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Russia
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Cisco Russia
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годCisco Russia
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Cisco Russia
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Cisco Russia
 
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...Cisco Russia
 
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегииБезопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегииCisco Russia
 
Интуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнесаИнтуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнесаCisco Russia
 
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
 
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
 
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегииБезопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
 
Интуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнесаИнтуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнеса
 
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
 

Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованного трафика

  • 1. Мониторинг угроз с использованием StealthWatch: Детальный обзор Павел Родионов CSE Security, Cisco CCIE #11155, GREM
  • 2. • Введение • Использование сетевой телеметрии • Организация данных • Обнаружение Индикаторов Компрометации • Расследование вторжения • Итоги Программа
  • 3. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public “ Мир полон очевидных вещей, которых никто не замечает.” Шерлок Холмс, Собака Баскервилей 3
  • 4. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Социальный эксперимент: 200 USB Flash оставили в публичных местах 4 15.11.20 17 http://www.net-security.org/secworld.php?id=19033
  • 5. • Введение • Использование сетевой телеметрии Программа
  • 6. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Об этой сесии: Видимость через изучение данных Возможность понять: • Откуда данные пришли • Как данные обрабатываются • Как использовать эти данные 6
  • 7. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Что объединяет всех? СЕТЬ Видимость всего трафика Маршрутизация всех запросов Источники всех данных Контроль всех данных Управление всеми устройствами Контроль всех пользователей Контроль всех потоков
  • 8. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Сетевая телеметрия Коммутатор распределения/ ядра Коммутатор доступаАгент хоста МСЭ Прокси сервер Идентификация AD и DNS Talos Глобальный интеллект Изолированные знания основанные на функции и расположении Телеметрия: процесс автоматизированной коммуникации при котором измерения и другие данные собираются на удаленных или недоступных точках и передаются на оборудование получателя для анализа и мониторинга. https://en.wikipedia.org/wiki/Telemetry Сетевые устройства
  • 9. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Аналитика данных с помощью телеметрии: Идентификация дополнительных Индикаторов Компрометации (IoC) • Политики и Сегментация • Сетевое поведение и Обнаружение Аномалий (NBAD) Лучше понимать / реагировать на IOC: • Аудит всех коммуникаций между хостами Обнаружение • Идентификация бизнес-критичных приложений и сервисов в сети 9
  • 10. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco Stealthwatch Коммутатор распределения/ ядра Коммутатор доступа AD и DNS Talos Глобальный интеллект Cisco Stealthwatch: Это коллектор и аггрегатор сетевой телеметрии с целью аналитики безопасности и мониторинга 10 Агент хоста МСЭ Прокси сервер Идентификация Изолированные знания основанные на функции и расположении Сетевые устройства
  • 11. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public “Информация! Мне нужна информация! Я не могу лепить кирпичи без глины! Шерлок холмс, Медные буки Понять сетевую телеметрию Сетевой трафик входит Сетевой трафик выходит Отчет Решение 11
  • 12. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Версии NetFlow Версия 5 Фиксированный формат 18 Заданных полей Версия 9 Шаблонная 108 Заданных полей IPFIX Стандартизована Шаблонная Поля изменяемой длины 450+ Заданных полей 12
  • 13. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Транзакционная телеметрия с NetFlow 10.2.2.2 port 1024 10.1.1.1 port 80 eth0/1 eth0/2 Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH 13
  • 14. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Обработка телеметрии: “Склеивание сессий” 10.2.2.2 port 1024 10.1.1.1 port 80 eth0/1 eth0/2 Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Bytes Server Pkts Client SGT Server SGT Interfaces 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 100 1010 eth0/1 eth0/2 Однонаправленные потоки Двунаправленные: • Запись двусторонней сессии • Позволяет легко визуализировать и анализировать Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 14
  • 15. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 15 Обработка телеметрии: “Дедупликация” Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Bytes Server Pkts App Client SGT Server SGT Exporter, Interface, Direction, Action 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 HTTP 100 1010 Sw1, eth0, in Sw1, eth1, out Sw2, eth0, in Sw2, eth1, out ASA, eth1, in ASA, eth0, out, Permitted ASA eth0, in, Permitted ASA, eth1, out Sw3, eth1, in Sw3, eth0, out Sw1, eth1, in Sw1, eth0, out 10.2.2.2 port 1024 10.1.1.1 port 80 Sw1 Sw2 Sw3 ASA
  • 16. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Stealthwatch Системные компоненты UDP Director • UDP Копир пакетов • Отправляет на разные узлы • Отказоустойчивость • 2 физических и виртуальных модели Stealthwatch Flow Sensor • Генерирует IPFIX из SPAN/TAP • Контекстные поля (прим. App,URL,SRT,RTT) • Физические и виртуальные модели Stealthwatch Flow Collector • Сбор и анализ • До 4000 экспортеров • До одновременно 240,000 fps • 4 физических и 3 виртуальных модели Stealthwatch Management Console • Управление и отчетность • До 25 Flow Collectors • До 6 миллионов fps глобально • 2 физических и виртуальных модели • Отказоустойчивость Endpoint License Concentrator • Собирает AnyConect NVM потоки данных и отправляет на Flow Collector • Виртуальный аплаенс Cloud License Concentrator • Собирает потоки с Cloud License Agents и отправляет их на FC Cisco Security Packet Analyzer • Полный пакетный захват на сети • 2 физические модели 16
  • 17. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 17 Stealthwatch: Построение таблицы потоков NetFlow / IPFIX weblogs Описание групп Данные интеллекта угроз Идентификация Пользователя/ Устройства Транзакционные Контекстные Таблица потоков
  • 18. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 18 Двусторонняя запись потока Кто КтоЧто Когда Как Где • Связанный и дедуплицированный • Отображение в виде полной сессии • Высокомасштабируемый сбор и компрессия данных • Месяцы хранения данных Больше контекста
  • 19. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Контекстная телеметрия “Это мелочи, но нет ничего важнее мелочей. Шерлок Холмс, Медные буки IP Адрес: 10.10.10.10 Кто? Что? Где? 19
  • 20. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 20 Концепция: Хост • Любой IP Адрес наблюдаемый Flow Collector или SMC из источников телеметрии • Для каждого хоста, StealthWatch • Собирает метаданные • Строит профиль поведения
  • 21. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 21 Концепция: Группы хостов Применяем знание окружения • Виртуальный контейнер IP адресов • Задается пользователем • Схожие атрибуты • Моделирование любого процесса/приложения
  • 22. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public ISE как источник Телеметрии Таблица Аутентифицированных Сессий Cisco ISE • Хранит историческую таблицу сессий • Корреляция NetFlow с пользователем • Построение отчетов на пользователя Stealthwatch Management Console pxGrid • Аутентификация Пользователя / Устройства • Профиль устройства • Пассивная идентификация 22
  • 23. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Глобальный интеллект Stealthwatch Threat Intelligence License • Известные C&C Сервера • Tor Входы и Выходы 23
  • 24. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public “Обогащенная” запись сессии ISE Телеметрия NBAR Применяем группировку Flow Sensor Гео-IP Threat Intelligence AnyConnect NVM 24
  • 25. • Введение • Использование сетевой телеметрии • Организация данных Программа
  • 26. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 26 Со стороны: SMC Интерфейс 1: Java (Swing) Клиент • Оригинальный интерфейс • Годы разработки и функциональности • Сделан инженерами для инженеров • Новые разработки минимальны Просмотр отчетов Дерево Enterprise
  • 27. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Со стороны: SMC Интерфейс 2: “Web” Интерфейс • Представлен в Stealthwatch 6.5 • Новые функции добавляются сюда Функции уникальные для WEB интерфейса: • ISE Remediation • Собственные события • SGT поля в Flow Record • Web данные прокси • Данные с Endpoint • Настройка Active Directory • Частные приложения • Управление работами • “First Seen” 27
  • 28. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 28 Хостовый отчет о подозрительном хосте
  • 29. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Карта потоков данных PCI Zone Map Общий системный профиль Внутрисистемное взаимодействие Используйте карты для концентрации внимания! 29
  • 30. • Введение • Использование сетевой телеметрии • Организация данных • Обнаружение Индикаторов Компрометации Программа
  • 31. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Концепция: Индикатор компрометации IDS/IPS тревоги Анализ логов (SIEM) Анализ данных Внешние уведомления Поведенческий анализ Мониторинг активности Свидетельство, наблюдаемое в сети или операционной системе указывающее на высокую вероятность компроиметации • http://en.wikipedia.org/wiki/Indicator_of_compromise Анализ аномалий Хэши файлов IP Адреса 31
  • 32. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public IoC из аналитики данных Поведенческий анализ: • Использует понимание не нормального поведения • Политика и сегментация Обнаружение аномалий: • Идентификация отклонений от “нормы” 32
  • 33. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Обнаружение угроз с StealthWatch Модель безопасности StealthWatch 33
  • 34. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public События безопасности (“Алгоритмы”) Security Event Security Event Security Event Security Event Security Event 34
  • 35. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Категории (“Индексы”) События безопасности (“Алгоритмы”) Security Event Security Event Security Event Security Event Security Event CI TI Recon C&C 35
  • 36. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Security Event Security Event Security Event Security Event События безопасности (“Алгоритмы”) CI TI Recon C&C Категории (“Индексы”) Alarm Alarm Alarm Alarm Alarm Тревоги (“Уведомления”) Security Event 36
  • 37. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Security Event Security Event Security Event Security Event Security Event Alarm Alarm Alarm Alarm Alarm CI TI Recon C&C 37 События безопасности (“Алгоритмы”) Категории (“Индексы”) Тревоги (“Уведомления”)
  • 38. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Fake Application Security Event Security Event Security Event Security Event Alarm Alarm Alarm Alarm Alarm CI TI Recon C&C 38 События безопасности (“Алгоритмы”) Категории (“Индексы”) Тревоги (“Уведомления”)
  • 39. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Fake Application Security Event Security Event Security Event Security Event Alarm Alarm Alarm Alarm Alarm CI TI Recon C&C 39 События безопасности (“Алгоритмы”) Категории (“Индексы”) Тревоги (“Уведомления”)
  • 40. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public SQLF Security Event Security Event Security Event Security Event Alarm Alarm Alarm Alarm Alarm CI TI Recon C&C 40 События безопасности (“Алгоритмы”) Категории (“Индексы”) Тревоги (“Уведомления”)
  • 41. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Категории тревог Каждая категория набирает очки 41
  • 42. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Stealthwatch: Тревоги • Показывает серьезные отклонения в поведении и нарушение политики • Известные и неизвестные атаки генерируют тревоги • Активность выбивающаяся из нормы, разрешенного поведения или установленных политик 42
  • 43. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Анализ поведения: Известное плохое поведение 43
  • 44. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Сегментация и мониторинг PCI Zone Map Запрещенные взаимодействия Межсистемное взаимодействие 44
  • 45. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 45 Нарушение политик: Политики хоста Клиентская группа Группа серверов Условия клиентского трафика Условия Серверного трафика Удачное или неудачное соединение
  • 46. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Нарушение политик: Политики хоста 46 Связи в нарушении политики • Мониторинг активных тревог в соответствии с политикой
  • 47. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Нарушение политик: Собственные события Экран тревог показывает все тревоги Показаны детали по “Employee to Productions Servers” тревоги 47
  • 48. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Обнаружение аномалий: Отклонение от нормы Вино?! 48
  • 49. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 49 Пример категории тревог: Concern Index Concern Index: Отслеживает хосты, нарушающие целостность сети 87 различных алгоритмов составляют CI начиная с v6.9.1
  • 50. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public High Concern Index Отклонение от базового уровня на 2,432%! 50
  • 51. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример события: Suspect Quiet Long Flow Соединение между внутренней и внешней сетью (с трафиком в обе стороны), которое превышает длительность “Секунды для квалификации потока как длинного” и передает подозрительно маленький объем информации Политика по-умолчанию 51
  • 52. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Пример события: Suspect Data Loss Указывает что внутренний хост выгрузил необычно большое количество данных наружу. 52 Политика по-умолчанию
  • 53. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Подозрение на сбор данных: • Необычно большой поток данных от внутренних хостов на один хост Таргетированный сбор данных: • Необычно большой объем данных исходящий намногие хосты Пример алгоритма: Data Hoarding 53
  • 54. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Suspect Data Hoarding Сбор данных • Необычно большой поток данных от внутренних хостов на один хост • Политики и поведение 54
  • 55. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 55 Менеджер политик хостов Назначение политики группам Политики по-умолчанию для внутренних и внешних хостов Создать ролевые политики для отдельных групп Проверка применяемых политик
  • 56. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 56 Создание и изменение ролевой политики Назначить категории тревог и событий на роль Назначить Хостовые группы на Ролевую политику Включить/Выключить события безопасности – Подумайте над направлением! Задать ролевую политику
  • 57. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 57 Установка граничных значений событий Включить и выдавать тревоги Аномалии и политики Указать границы Приемлемое отклонение от нормы
  • 58. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 58 Реагирование на обнаружение аномалий Ранжирование по приоритету Этот хост НАИБОЛЕЕ странно себя ведет Работаем сверху вниз Используется классификация!
  • 59. • Введение • Использование сетевой телеметрии • Организация данных • Обнаружение Индикаторов Компрометации • Расследование вторжения Программа
  • 60. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Расследование вторжения 1. Понимать предыдущие шаги 2. Мониторинг и контроль происходящего вторжения 60
  • 61. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public “Наука о дедукции.” Глава 1: Знак четырёх 61
  • 62. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Наука о дедукции Сбор улик Элементы данных Что они смогли получить? Когда они получили туда доступ? Куда они смогли пробраться? Они все еще здесь? Кто они? IOC 62
  • 63. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Расследование IOC: Пример Zeus C&C Server: 128.107.78.8 Обнаружен новый сервер Malware! 63
  • 64. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 1: Мы этот хост видели? Ищем по IP адресу Известен и недавно его видели 64
  • 65. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 65 Шаг 2: Расследование вторжения Недавние связи с хостами внутри сети
  • 66. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 66 Шаг 2: Классификация Назначение в хост- группу
  • 67. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 3: Поиск инфицированных хостов Построение запроса потока, включающего C&C Сервер Начнем с определенного временного диапазона Направление изначально в привилегированные группы 67
  • 68. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 4: Анализ возвращенных результатов Зараженный хостC&C Сервер Загрузка Вредоноса Звонок “домой” 68
  • 69. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 69 Шаг 5: Расследование зараженных хостов Открыть и исследовать отчет хоста
  • 70. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 70 Шаг 5: Расследование инфицированных хостов Presentation ID Определение пользователя и устройства Касательно ущерба: Требует мгновенной реакции и глубокого расследования, реагирования на инцидент
  • 71. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 71 Шаг 6: Rapid Threat Containment Отсылает запрос на ISE для Change of Authorization и назначения новой авторизации на хост
  • 72. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 7: Продолжение расследовани и мониторинг Поиск Malware по его хэшу Другой C&C сервер 72
  • 73. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Шаг 7: Продолжение расследования и мониторинга Создать правило для уведомления о будущих связях 73
  • 74. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Решение Cisco StealthWatch в анализе атаки Pyetya/Nyetya
  • 76. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Проблема: зловредный код активно использует TLS-шифрование • Шифрование с помощью TLS активно используется (само по себе это не плохо!) • Решения, основанные на анализе строк, становятся менее эффективными • Проблемы внедрения расшифровки (MITM) для анализа: • Приватность; юридические проблемы; внедрение; стоимость; отсутствие у клиентов желания сотрудничать ИнтернетУстройство 76
  • 77. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Наш подход: использовать все доступные данные ИнтернетУстройства Netflow данные: SrcIP, DstIP, SrcPort, DstPort, Proto, #Bytes, #Packets Intraflow данные: размеры пакетов & временные параметры, распределение байтов, … TLS метаданные: расширения, наборы шифров, SNI, поля сертификатов, … DNS данные: имена, типы запросов, временные параметры запросов HTTP данные: заголовки и сопутствующие поля, в том числе других http-запросов с этого же хоста 77
  • 78. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Защитите и управляйте сетью в реальном времени Расширенная аналитика Первая сеть с возможностью находить угрозы в зашифрованном трафика без расшифровки Зашифрованный трафик Незашифрованный трафик
  • 79. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Encrypted Traffic Analytics (ETA) Видимость и обнаружение malware без расшифровки Криптографическое соответствиеMalware в зашифрованном трафике Являются ли данные в TLS сессии вредоносными? • Конфиденциальность • Целостность канала без инспекции • Адаптация. к стандартам шифрования Сколько из моего бизнеса использует сильное шифрование? • Аудит нарушений TLS политик • Пассивное обнаружение уязвимостей библиотек • Постоянный мониторинг прозрачности сети
  • 80. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Encrypted Traffic Analytics (ETA) Исследования Cisco Известный трафик malware Known benign traffic Извлечь наблюдаемые особенности из данных Применить машинное обучение для создания детекторов Известные malware сессии детектируются с точнотью 99%^ “Identifying encrypted malware traffic with contextual flow data” AISec ’16 | Blake Anderson, David McGrew (Cisco Fellow)
  • 81. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Malware traffic Benign traffic Наблюдаемый адрес Превалирующий адрес cisco.com c15c0.com afb32d75.com Необычный отпечаток Необычный сертификат Типичный отпечаток Типичный сертификат Self-Signed Certificate Data Exfiltration C2 Message Google search Bestafera Возможности данных ETA Исследования Cisco TCP/IP DNS TLS SPLT
  • 82. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Получить как можно больше из незашифрованных пакетов Идентифицировать содержимое с помощью размера и последовательности пакетовpackets Первоначальный пакет Sequence of packet lengths and times Как мы инспектируем трафик? Self-Signed certificate Data exfiltration C2 message Кто есть кто в dark internet Threat intelligence map Поведенческая информация о серверах в Internet
  • 83. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Найти вредоносную активность в зашифрованном трафике Cisco Stealthwatch Cognitive Analytics Malware detection and cryptographi c compliance Новый Catalyst 9K* NetFlow Enhanced NetFlow Telemetry for encrypted malware detection and cryptographic compliance * Other devices will be supported soon Расширенная аналитика и машинное обучение Глобальная корреляция знаний Расширенный Netflow от новых коммутаторов и маршрутизаторов Ciso Постоянное соответствие Улучшенная сеть Быстрое расследование Высокая точность Усиленная защита Metadata
  • 85. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Традиционный анализ сетевых потоков Экспорт Сбор Анализ ХранениеЗахват Захват Захват srcIP, dstIP, srcPort, dstPort, prot, startTime, stopTime, numBytes, numPackets 85
  • 86. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Сбор расширенной телеметрии Экспорт Сбор Анализ ХранениеЗахват Захват Захват srcIP, dstIP, srcPort, dstPort, prot, startTime, stopTime, numBytes, numPackets Дополнительная информация о данных 86
  • 87. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Обзор решения ОС Контекст устройства Операционная система (ОС), Приложение, PMTU, RTT, ВПО, … ETTA data flow record Метки flow record «Отпечатки» Правила Классификатор Описания Устройства безопасности ETTA data Приложение Обнаружение ВПО Семейство ВПО Крипто аудит 87
  • 88. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Набор данных, использованный в исследовании Обучение Хранение «Чистые» данные Потоки данных с известными образцами вредоносного ПО Классификатор Правила 8888 • Метаданные • Размеры пакетов • TLS • DNS • HTTP
  • 89. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Потоки данных с известными образцами ВПО «Чистые» данные • Записи сетевого обмена из системы динамического анализа Cisco ThreatGRID (в формате pcap): • 5-ти минутные сессии анализа; • Образцы с Threat Score = 100/100; • Миллионы pcap-файлов: • ~5,000-15,000 новых каждый день; • Сотни миллионов потоков • Демилитаризованная зона сети крупной компании: • ~10-15 миллионов потоков в день; • ~500 пользователей • IP-адреса анонимизированы. 89
  • 90. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public src dst • SPLT – Sequence of Packet Lengths and Arrival Times, или распределение пакетов и их последовательностей с учётом временных интервалов • BD - Byte Distribution или побайтное распределение • BE - Byte Entropy или побайтная энтропия Типы данных, использованные из расширенной телеметрии 90
  • 91. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public SPLT - распределение пакетов и их последовательностей с учётом временных интервалов src dst ПакетыклиентаПакетысервера Время 91
  • 92. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 92
  • 93. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 1 93
  • 94. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 1 1 94
  • 95. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 1 2 95
  • 96. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 1 1 2 96
  • 97. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Управляемое данными обучение * Если больше ничего не помогает Сбор данных Разработка функций Процессинг данных Тренировка и тестирование классификатора 1. Собрать больше данных! 2. Больше функций! 3. Модифицировать отбор функций 4. Увеличить сложность модели* ~99% всех усилий Окружение Знание Машинное обучение 97
  • 98. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public • Вредоносный код • Записи сетевого обмена (pcap) с августа 2015 по май 2016 из Cisco ThreatGRID; • Трафик TLS (443), больше 100 байт на вход и выход; • 225,740 потоков; сетевая телеметрия обогащалась информацией о TLS-extensions, шифр- наборах, и размерах публичных ключей; • «Хороший трафик» • Трафик взят из DMZ крупной компании • Трафик TLS (443), больше 100 байт на вход и выход; • 225,000 потоков; сетевая телеметрия обогащалась информацией о TLS-extensions, шифр- наборах, и размерах публичных ключей; • 10-кратная перекрёстная проверка данных Тестовый набор данных 98
  • 99. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public • DNS • Alexa Lists • Lengths of DN and FQDN • Suffix • TTL • % Numerical Characters • % Non-alphanumeric Chars • HTTP • Outbound/inbound header fields • Content-Type • User-Agent • Accept-Language • Server • code Добавлена контекстная информация 99
  • 100. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Интересные факты: • Зловреды наиболее часто используют: • DNS Suffix: org • DNS TTL: 3600 • TLS_RSA_WITH_RC4_128_SHA • HTTP Field: location • DNS Alexa: Not Found • HTTP Server: nginx • HTTP Code: 404 • Легитимный трафик наиболее часто использует: • TLS Ext: extended_master_secret • Content type: application/octet-stream • TLS_DHE_RSA_WITH_DES_CBC_SHA • HTTP Server: Microsoft-IIS/8.5 • DNS Alexa: top-1,000,000 • HTTP User-Agent: Microsoft-CryptoAPI/6.1 100
  • 101. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Обнаружение зашифрованного ВПО Acc. 0.00% FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD 101