Vidljivost događaja na mreži kao osnova sistema zaštite
Dejan Spasić, B.Sc.E.E.IT Security Department Executive ManagerCCIE #15476 Service Provider [email protected]
ICT Security – Kladovo, maj 2015
333MDS Informatički inženjering ICT Securiity Kladovo 2015
Ko su napadači?
• Hacktivists– Onemogućavanje servisa – DDoS
– Promena izgleda Web stranica
• Hackers/Cyber Criminals: – Sofisticirani Phishing napadi
– APT (Advanced Persisstent Threat)
– Promena izgleda Web stranica
• Aktivnosti na nacionalnom nivou?
444MDS Informatički inženjering ICT Securiity Kladovo 2015
Tehnike napada
• Web bazirani napadi
• Maliciozni softver – distribucija preko Mail i Web servisa
• DDoS – distribuirani DoS napadi
• Interne pretnje
• Krađa
555MDS Informatički inženjering ICT Securiity Kladovo 2015
Trendovi
• Prosečno vreme otkrivanja napada 205 dana
• 69% incidenata otkriveno od strane eksternih partnera
• Javno objavljeni slučajevi velikih incidenata (Target – podaci o 40 miliona kreditnih kartica, Cryptolocker, Sony – Playstation network, krađa podataka)
Izvor: M-Trends® 2015: A VIEW FROM THE FRONT LINES
777MDS Informatički inženjering ICT Securiity Kladovo 2015
Integracija SourceFire tehnologije
• CONTEXT IS EVERYTHING – kompletna analitika događaja i mrežnog saobraćaja
Cisco LIVE: Martin Roesch – Cisco and Sourcefire: A Threat-Centric Security Approach (BRKSEC-2761)
“Context gives me the ability to discriminate my security events, to select easily from the thousands of events I get to the ten events that actually matter.”
Sourcefire NGIPS customer
“Context enables me to set access controls that make sense. I can select which users can access which public resources based on their job function.”
Sourcefire NGFW customer
888MDS Informatički inženjering ICT Securiity Kladovo 2015
Cisco FirePower - Koncept
OS & version identifikovano
Serverske aplikacije i verzije
Klijentski softver
Koji host
Verzije klijenta
Aplikacija
999MDS Informatički inženjering ICT Securiity Kladovo 2015
Arhitektura sistema• Managemant centar
– Centralno upravljanje– Definicija polisa– Analiza događaja, korelacija– Mapa mreže (korisnici, uređaji,
hostovi, aplikacije)– Paneli - Dashboard vs Context Explorer
Hardware– Cisco ASA sa FirePower servisima– Cisco FirePower (SourceFire uređaji)
Servisi– IPS – dinamička primena polisa– Web Security– AMP (Advanced Malware Protection) – Cisco TALOS Security Intelligence and
Research Group
Obrada događaja
FirePower Managemant Centar
Generisanje događaja– IPS– Malware– File– Access Control– Inteligence– Discovery– Flow
FirePower uređaji
101010MDS Informatički inženjering ICT Securiity Kladovo 2015
Indication of Compromise
Reconnaissance Weaponization Delivery Exploatation C2Lateral Movement
• Ciklus napada
Izvor: Intrusion Along the Kill Chain, SANS Digital Forensic
• Korelacija događaja, indikacija kompromitovanja hosta
Exfiltration
111111MDS Informatički inženjering ICT Securiity Kladovo 2015
Advanced Malware ProtectionZaštita u realnom vremenu (Point-in-Time Protection) Kontinualna analiza (Retrospective Security)
Podrška za razne sisteme
131313MDS Informatički inženjering ICT Securiity Kladovo 2015
Rekapitulacija
• Kontekst - Vidljivost saobraćaja i događaja
• IPS dinamičko podešavanje, AMP, IoC
• Nova security arhitektura bazirana na fazama Cyber napada – Before, During, After
• NSS Labs – FirePower na vrhu po efikasnosti i TCO