Обнаружение аномальной активности в сети
Post on 14-Jul-2015
193 Views
Preview:
TRANSCRIPT
Cisco Confidential © 2010 Cisco and/or its affiliates. All rights reserved. 1
Обнаружение аномальной активности в сети Алексей Лукацкий
Бизнес-консультант по безопасности
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2 ?
Devices Access
Branch Cam
pus Data Center
Distribu-on Edge
Firewall
Remote Access
Security Inspection Device X
Internet USB
Mobile Provider
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
3
(Android) Apple
Routers and Switches
Printer
Internet of Things Phones
Linux
http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext Jonathan Brossard (CEO at Toucan System)
Как насчет других операционных систем, которые не поддерживает ваше abc устройство?
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Серьезные компании с умными людьми. Все были скомпрометированы
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
А нам еще нужны FW, IPS, песочницы, AV?
Разумеется нужны. Даже в современных автомобилях подушки безопасности не заменяют бампер!
… предполагает вероятность того, что вы уже скомпрометированы!
Network Behavior Analysis Cyber Threat Defense (CTD)
Control Enforce Harden
Detect Block
Defend Scope
Contain Remediate
Как и автоиндустрия, мы должны эволюционировать. Дополнительные инструменты для закрытия пробелов в безопасности.
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Что объединяет всех?!
СЕТЬ Видимость всего трафика
Маршрутизация всех запросов Источники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
A
B
C
C B
A
C A
B
Не везде есть IPS, но везде есть NetFlow
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
• Из всех критичных и важных точек
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Обзор
StealthWatch FlowCollector*
StealthWatch Management
Console*
Управление
StealthWatch FlowReplicator
(
Другие анализаторы
Cisco ISE
StealthWatch FlowSensor*
Netflow enabled device
Не-Netlow устройство
NetFlow NetFlow N
etFl
ow
* Виртуальный или физический
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Построение базиса и определение аномалий с помощью Netflow
11
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Обзор
• Активность BotNet Command & Control
• Обнаружение утечек данных
• Целенаправленные угрозы (APT)
• Обнаружение Malware, распространяющегося внутри сети
• Обнаружение разведки в сети
• Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Что анализировать: • Страны • Приложение • Соотношение входящего/исходящего трафика
• время • Повторяющиеся соединения
• Beaconing – повторяющиеся «мертвые» соединения
• Долгоживущие потоки
Активность “phone home”
Предупреждения:
Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C
Suspect Long Flow Beaconing Host
Massive TCP RST High Concern Index
Trapped Host …
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Третичное заражение
Вторичное заражение
Первоначальное заражение
15
Сканирование
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16 16
Отправка бинарника размером x
Третичное заражение
Вторичное заражение
Первоначальное заражение
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17 17
Скан
Третичное заражение
Вторичное заражение
Первоначальное заражение
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18 18
Отправка…x
Третичное заражение
Вторичное заражение
Первоначальное заражение
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Высокий Concern Index показывает значительное количество
подозрительных событий, которые отклоняются об базиса
Host Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern index
Ping, Ping_Scan, TCP_Scan
ICMP echo
CEO PC
1. ECHO -> CI = CI + 1 2. ECHO -> CI = CI + 2 3. ECHO -> CI = CI + 4 4. ECHO -> CI = CI + 8
Упрощенный пример:
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Высокий Concern Index показывает значительное количество
подозрительных событий, которые отклоняются об базиса
Host Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern index
Ping, Ping_Scan, TCP_Scan
TCP RST
CEO PC
1. RST -> CI = CI + 1 2. RST -> CI = CI + 2 3. RST -> CI = CI + 4 4. RST -> CI = CI + 8
Упрощенный пример:
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Высокий Concern Index показывает значительное количество
подозрительных событий, которые отклоняются об базиса
Host Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern index
Ping, Ping_Scan, TCP_Scan
SSH
CEO PC
1. PC -> CI = CI + 1 2. PC -> CI = CI + 2 3. PC -> CI = CI + 4 4. PC -> CI = CI + 8
PC с незапу- щенным сервисом SSH
Упрощенный пример:
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Основные подозрительные события
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения
• Признанный игрок рынка мониторинга сети и безопасности
• Cisco Solutions Plus Product Общие дизайны Cisco+Lancope
Совместные инвестиции в развитие Доступность в канале продаж Cisco
• Отличный уровень сотрудничества с Cisco
Lancope StealthWatch – ключевой элемент
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
Cat 3K-X w/ Service Module
Line-Rate NetFlow
Cat 4K Sup7E, Sup7L-E
Line-Rate NetFlow
ISR, ASR Scale
NetFlow NBAR2
Adds NetFlow
Доступ
Доступ
/ распределение
Периметр
Cat 6K Sup2T
Cat 2K-X the only L2 w/Netflow
ASA
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
• Обнаружение брешей в настройках МСЭ
• Обнаружение незащищенных коммуникаций
• Обнаружение P2P-трафика
• Обнаружение неавторизованной установки локального Web-сервера или точки доступа
• Обнаружение попыток несанкционированного доступа
• Обнаружение ботнетов (командных серверов)
• Обнаружение атак «отказ в обслуживании»
• Обнаружение инсайдеров
• Расследование инцидентов
• Troubleshooting
Решаемые задачи
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Обнаружение разных типов атак, включая DDoS
Детальная статистика о всех атаках, обнаруженных в сети
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
Exfiltration: Хост передает ненормальное количество данных (EXI points)
Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points)
Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points)
Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети
Target Index: Показывает хосты, которые являются жертвами атаки (TI points)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Suspect Data Hoarding
Target Data Hoarding
• Обнаружение систем, которые загружают ненормальные объемы данных из внутренних узлов
• Обнаружение систем, из которых загружаются ненормальные объемы данных
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
Ненормальные объемы данных запрашиваются хостом
Политика
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Передача ненормальных объемов данных во внешний мир
Политика
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
Когда?
Сколько?
Участник Участник
Каким образом?
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Выберите узел для
исследования
Поиск исходящего трафика
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
Netflow телеметрия Cisco Switches, Routers и
ASA 5500
Внутренняя сеть & периметр
Общий вид Анализ и контекст в
Lancope StealthWatch
Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее: • ISE отправляет identity данные в
CTD • NBAR из маршрутизаторов тоже попадает в CTD
• NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства
NetFlow
Данные контекста Cisco Identity, Device, Posture,
NAT, Application
Context
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
• Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD)
Получение контекста от Cisco ISE
Политика Время старта
Тревога Источник Группа хостов источника
Имя пользователя
Тип устройства
Цель
Desktops & Trusted Wireless
Янв 3, 2013
Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество хостов
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
• Поле Flow Action может добавить дополнительный контекст
• NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях
Получение контекста от Cisco ASA / ISR / ASR
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
• Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)
• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)
• Понимание контекста
Масштабируемая архитектура
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Комплексная защита от угроз в течение всего жизненного цикла атаки
Исследование Внедрение политик
Укрепление
Обнаружение Блокирование
Защита
Локализация Изолирование Восстановление
Жизненный цикл атаки
ДО ВО ВРЕМЯ
ПОСЛЕ
§ Идентификация разведывательной деятельности
§ Блокирование известных угроз § Обнаружение скрытых C&C § Отслеживание распространение вредоносного ПО внутри сети
§ Предотвращение утечек данных
§ Непрерывный мониторинг активов и активности
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
Основные компоненты CTD § Продукты Lancope StealthWatch
(SMC, FlowCollector, FlowSensor, FlowReplicator)
§ Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3
§ ISE pxGrid API
§ Sourcefire NGIPS (FirePOWER, FireSIGHT)
§ Sourcefire AMP (network, endpoints, ESA, WSA)
§ Cloud Web Security Premium (с CTA, AMP)
Протестированные платформы Cisco § ISR G2
§ ASR 1000
§ Catalyst 3560-X/3750-X, 3850, 3650
§ Catalyst 2960-X (NetFlow Lite)
§ Catalyst 4500 Sup 7, Sup 8
§ Catalyst 6500 Sup 2T
§ ASA 5500-X with FirePOWER Services
§ NetFlow Generation Appliance (NGA)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
• Само мобильное устройство не может сказать, что оно «чужое» Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного
• Особую сложность представляет контроль 3G/4G доступа, но и он может быть решен
Спасибо!
top related