Документ представляет собой презентацию по обнаружению аномальной активности в сети с акцентом на киберугрозы и стратегии защиты. Обсуждаются различные решения Cisco для обнаружения угроз, включая использование анализа сетевого поведения и системы обнаружения вторжений. Кроме того, документ описывает подходы к мониторингу трафика и важность контекста для эффективной защиты сети.

1. Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 1
Обнаружение аномальной
активности в сети
Оксана Санникова
Инженер по информационной безопасности
CCIE Sec #35825
osanniko@cisco.com

2. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
• Киберугрозы и защитные стратегии
• Варианты решений
• Решение Cisco Cyber Thread Defense
• Демо

3. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3?
Devices
Access
Branch
Campus
Data
Center
Distribu-on
Edge
Firewall
Remote
Access
Security
Inspection
Device X
Internet
USB
Mobile
Provider

4. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 4
CRISIS REGION
Стоимостьинцидента
Время
Кража критичных данных
*
Обнаружение
*
Устранение уязвимости
*
КРИЗИС
Начало атаки
*
ВЫИГРАННОЕ
ВРЕМЯ
*Пресечение
*Оповещение
*Обнаружение
*
Устранение
уязвимости

5. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 5
• Страна? Конкуренты? Частные лица?Кто?
• Что является целью?Что?
• Когда атака наиболее активна и с чем
это связано?Когда?
• Где атакующие? Где они наиболее
успешны?Где?
• Зачем они атакуют – что конкретно их
цель?Зачем?
• Как они атакуют – Zero-day? Известные
уязвимости? Инсайдер?Как?

6. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 6
• Кто в моей сети?Кто?
• Что делают пользователи? Приложения?
• Что считать нормальным поведением?Что?
• Устройства в сети? Что считать
нормальным состоянием?Когда?
• Где и откуда пользователи попадают в сеть?
• Внутренние? eCommerce? Внешние?Где?
• Зачем они используют конкретные
приложения?Зачем?
• Как всё это попадает в сеть?Как?

7. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 7
Обнаружение угроз на
базе сигнатур / репутации
Обнаружение угроз на базе
аномалий
Сетевой
периметр
МСЭ
IPS/IDS
Обманные системы
Внутренняя
сеть
Контентная
фильтрация Web/Email
трафика
Cisco Cyber
Threat Defense

8. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 8
Network Behavior Analysis
Cyber Threat Defense (CTD)
Control
Enforce
Harden
Detect
Block
Defend
Scope
Contain
Remediate

9. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 9
Система обнаружения
сетевых вторжений
• на основе сигнатур
• пассивный сбор
• первичный источник
оповещения
SIEM/Журнал Syslog сервера
• инструмент глубокого анализа
• возможность фильтрации
• ограниченное воздействие на
систему
Анализ сетевых потоков
• слабое воздействие на
устройства
• основной инструмент
исследования
• небольшой требуемый объем
памяти

10. © Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 10

11. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
A
B
C
C
B
A
CA
B
Сеть как сенсор

12. © Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 12
Выборочный трафик
• Часть трафика, обычно менее
5%,
• Дает быстрый взгляд в сеть
Похоже на чтение каждой 20-й
страницы книги. Технической
книги-справочника J
ПОЛНЫЙ трафик
• Весь трафик подлежит сбору
• Предоставляет исчерпывающий
обзор всей сетевой активности
• Эквивалент внимательного
постраничного чтения + пометки
на полях + закладки
Выборка полезна для мониторинга сети, но не для безопасности

13. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
• Из всех критичных и важных точек

14. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Построение базиса и определение аномалий с помощью Netflow
14

15. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Обзор
• Активность BotNet Command & Control
• Обнаружение утечек данных
• Целенаправленные угрозы (APT)
• Обнаружение Malware, распространяющегося внутри сети
• Обнаружение разведки в сети
• Обнаружение и уменьшение мощности атак DDoS
(партнерство с Radware для коррекции)

16. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Что
анализировать:
• Страны
• Приложение
• Соотношение
входящего/исходящего
трафика
• время
• Повторяющиеся
соединения
• Beaconing –
повторяющиеся
«мертвые» соединения
• Долгоживущие потоки
Активность “phone home”
Предупреждения:
Bot Command & Control Server
Bot Infected Host – Attempted C&C
Bot Infected Host – Successful C&C
Suspect Long Flow
Beaconing Host
Massive TCP RST
High Concern Index
Trapped Host
…

17. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Cisco Network
StealthWatch
FlowCollector
StealthWatch
Management
Console
NetFlow
StealthWatch
FlowSensor
StealthWatch
FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch
FlowReplicator
Другие
коллекторы
https
https
NBAR NSEL

18. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Решение по мониторингу на основе NetFlow, которое предоставляет
действенное понимание в отношении производительности и
безопасности, а также сокращает время расследования
подозрительного поведения
• Признанный игрок рынка мониторинга сети и безопасности
• Cisco Solutions Plus Product
Общие дизайны Cisco+Lancope
Совместные инвестиции в развитие
Доступность в канале продаж Cisco
• Отличный уровень сотрудничества с Cisco
Lancope StealthWatch – ключевой элемент

19. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
TrustSec
Enabled
Enterprise
Network
Identity
Services
Engine
NetFlow: Switches, Routers,
и ASA 5500
Контекст:
NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
Flow
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы
Cisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope

20. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Cat 3K-X
w/ Service Module
Line-Rate
NetFlow
Cat 4K
Sup7E, Sup7L-E
Line-Rate
NetFlow
ISR, ASR
Scale
NetFlow
NBAR2
Adds
NetFlow
Доступ
Доступ/
распределение
Периметр
Cat 6K
Sup2T
Cat 2K-X
the only L2 w/Netflow
ASA

21. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
How do I want to cache information
Which interface do I want to monitor?
What data do I want to meter?
Router(config)# flow record my-record
Router(config-flow-record)# match ipv4 destination address
Router(config-flow-record)# match ipv4 source address
Router(config-flow-record)# collect counter bytes
Where do I want my data sent?
Router(config)# flow exporter my-exporter
Router(config-flow-exporter)# destination 1.1.1.1
Router(config)# flow monitor my-monitor
Router(config-flow-monitor)# exporter my-exporter
Router(config-flow-monitor)# record my-record
Router(config)# interface s3/0
Router(config-if)# ip flow monitor my-monitor input
1 Настроить Exporter
2. Настроить Flow Record
3. Настроить Flow Monitor
4. Применить к интерфейсу
Важно: включить все
поля версии v5

22. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
10.2.2.2
port 1024
10.1.1.1
port 80
eth0/1
eth0/2
Start
Time
Interfac
e
Src IP Src
Port
Dest IP Dest
Port
Proto Pkts
Sent
Bytes
Sent
10:20:12.
221
eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.
871
eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Start
Time
Client
IP
Clien
t Port
Serve
r IP
Server
Port
Proto Client
Bytes
Client
Pkts
Serv
er
Byte
s
Server
Pkts
Interfac
es
10:20:12.2
21
10.2.2.
2
1024 10.1.1.
1
80 TCP 1025 5 2871
2
17 eth0/1
eth0/2
Однонаправленные
записи потоков
Двунаправленные:
• Запись потока о диалоге 2х устройств
• Простая визуализация и анализ

23. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Router A
Router B
Router C
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
• Без дедубликации
• Неточный учет объемов трафика
• Большое количество ложных срабатываний
• Эффективное хранение информации о потоках
• Точное построение отчетов о хостах
10.2.2.2
port 1024
10.1.1.1
port 80
Дубликаты

24. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Высокий Concern Index показывает
значительное количество
подозрительных событий, которые
отклоняются об базиса
Host
Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern
index
Ping, Ping_Scan, TCP_Scan
ICMP echo
CEO PC
1. ECHO -> CI = CI + 1
2. ECHO -> CI = CI + 2
3. ECHO -> CI = CI + 4
4. ECHO -> CI = CI + 8
Упрощенный пример:

25. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Exfiltration: Хост передает ненормальное
количество данных (EXI points)
Command and Control: Показывает на существование в
вашей сети бот-сервера или хосты успешно связываются
с C&C серверами (C&C points)
Policy Violation: Хосты нарушают
предопределенные политики в сети (PVI points)
Concern Index: Показывает хосты, которые,
возможно, нарушают целостность сети
Target Index: Показывает хосты, которые являются
жертвами атаки (TI points)

26. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
• Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense
(CTD)
Получение контекста от Cisco ISE
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя
пользователя
Тип
устройства
Цель
Desktops &
Trusted
Wireless
Янв 3,
2013
Вероятная
утечка
данных
10.10.101.89 Атланта,
Десктопы
Джон Смит Apple-iPad Множество
хостов

27. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
• Поле Flow Action может добавить дополнительный контекст
• NSEL-отчетность на основе состояний для поведенческого анализа
Сбор информации о отклоненных или разрешенных соединениях
Получение контекста от Cisco ASA / ISR / ASR

28. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
• Получение данных
от сетевого
оборудования с
NetFlow, а также от
сенсоров без
поддержки NetFlow
(например, VMware
ESX)
• До 120.000 потоков
в секунду на
коллектор (до 3
миллионов на
кластер)
• Понимание
контекста
Масштабируемая архитектура

29. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29

30. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Основные компоненты CTD
§ Продукты Lancope StealthWatch
(SMC, FlowCollector, FlowSensor,
FlowReplicator)
§ Интеграция с Cisco Identity Services
Engine (ISE) v1.2, v1.3
§ ISE pxGrid API
§ Sourcefire NGIPS (FirePOWER,
FireSIGHT)
§ Sourcefire AMP (network, endpoints,
ESA, WSA)
§ Cloud Web Security Premium (с CTA,
AMP)
Протестированные
платформы Cisco
§ ISR G2
§ ASR 1000
§ Catalyst 3560-X/3750-X, 3850,
3650
§ Catalyst 2960-X (NetFlow Lite)
§ Catalyst 4500 Sup 7, Sup 8
§ Catalyst 6500 Sup 2T
§ ASA 5500-X with FirePOWER
Services
§ NetFlow Generation Appliance
(NGA)

31. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
• Что нужно
ВМ с временными лицензиями
Настроить NetFlow и SPAN
Один-два дня на установку
• Результаты в КАЖДОМ
внедрении
Обнаружение компьютеров-зомби и
червей
Профилирование трафика и
приложений
Инвентаризация хостов
Нелегальные серверы
VPN, прокси, Р2Р-трафик

32. 32© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Внимание, конкурс!
По завершении данного семинара примите участие в
конкурсе в наших социальных сообществах.
Вам потребуется ответить на вопрос по теме вебинара,
и возможно, именно вы станете счастливым
обладателем сувенира от компании Cisco.
Вопросы будут опубликованы сразу после нашей
трансляции.
Удачи!
vk.com/cisco
facebook.com/CiscoRu
facebook.com/CiscoUA
*призы разыгрываются в каждом сообществе
**результаты публикуются раз в неделю.

33. Спасибо!