Cisco Cyber Threat Defense

Cisco Cyber Threat DefenseАлексей Лукацкий

Бизнес-консультант по безопасности

СЕТЬMOBILITYMOBILITY

COLLABORATIONCOLLABORATION

НОВАЯ КАРТИНА УГРОЗ

СНИЖЕНИЕ КОНТРОЛЯ

Широкий спектр средств защиты

• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака

Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной фильтрации, средства защиты баз данных и порталов и т.п.

Современные угрозы

Угрозы становятся как никогда изощреннее

Шпионаж РазрушениеМанипуляция

Script Kiddies

Группыхактивистов

Организованнаяпреступность

Спецслужбы

Сама по себе безопасность периметра малоэффективна

Устройства периметра

Контроль и управление

Сетевая разведка и распространение

Кража данных

Целевые угрозы зачастую обходят

периметр

Только вся сеть целиком имеет достаточный уровень наблюдаемости для

выявления сложных угроз

Смотрите шире на периметр безопасности

Advanced Persistent Threats и другие

угрозы построянно проходят ваш

периметр – это их правило прорыва и

необходимое условие

распространеня.Они играют не по

правилам.

‘break the rules’.

X X X X O X X X O O

Stuxnet

Ваша сеть СКОМПРОМЕНТИРОВАНАВы знаете где?

Знать атакующего

•Страна? Конкуренты? Частные лица?Кто?•Что является целью?Что?•Когда атака наиболее активна и с чем это связано?Когда?•Где атакующие? Где они наиболее успешны?Где?•Зачем они атакуют – что конкретно их цель?Зачем?•Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?

Знать себя

•Кто в моей сети?Кто?•Что делают пользователи? Приложения? •Что считать нормальным поведением?Что?•Устройства в сети? Что считать нормальным состоянием?Когда?•Где и откуда пользователи попадают в сеть?•Внутренние? eCommerce? Внешние? Где?•Зачем они используют конкретные приложения? Зачем?•Как всё это попадает в сеть? Как?

Что поможет на эти вопросы?

Что объединяет всех?!

СЕТЬВидимость всего трафика

Маршрутизация всех запросовИсточники всех данных

Контроль всех данных

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков

Интегрированная архитектура ИБ

Локальный и глобальный анализ

угроз

Общие политика &

Управление

Сеть, реализующая

политику

Одноцелевые и многоцелевые устройства работают хорошо… но в вакууме

Многофункциона-льное устройство

Анализ угроз

Политика & Управление

Hardware

Сеть

Одноцелевое устройство

Network Security

ContentSecurity

Ана-лиз

угроз

Policy &

Ана-лиз

угроз

Policy &

Сеть

Cisco SecureX обеспечивает:• Понимание контекста

• Всесторонний обзор

• Масштабируемый контроль

• Динамическая адаптация к новым угрозам

• Защита данных и приложений

СЕТЬ

Безопасность, встроенная в инфраструктуруВсесторонний обзор и масштабируемый контроль

Глобальный и локальный анализ угроз

Общие политика и управление

Инф

ормация

Реализация

Behavioral Analysis

EncryptionIdentity Awareness

Device Visibility Policy Enforcement

Access Control

Threat Defense

Sees All Traffic

Routes All RequestsSources All Data

Controls All Flows

Handles All Devices

Touches All UsersShapes All Streams

Сеть, реализующая политику

NetFlow – забытый инструмент сетевой безопасности

Существующие защитные стратегии

Обнаружение угроз на базе сигнатур / репутации

Обнаружение угроз на базе аномалий

Сетевой периметр

МСЭIPS/IDS Обманные системы

Внутренняя сеть

Контентная фильтрация Web/Email

трафика

Cisco Cyber Threat Defense

Обнаружение вторжений: сценарии

Система обнаружения сетевых вторжений• на основе сигнатур• пассивный сбор• первичный источник оповещения

Журнал Syslog сервера• инструмент глубокого анализа• возможность фильтрации• ограниченное воздействие на систему

Анализ сетевых потоков • слабое воздействие на устройства• основной инструмент исследования• небольшой требуемый объем памяти

Портфолио Cisco IPSP

ЦОДКампусФилиалыSOHO Периметр

ASA5585-S60P60

ASA5585-S40P40

ASA5585-S20P20

ASA5585-S10P10

IPS 4510, 4520

IPS-4270

4345 (Saleen)Mar 2012

4360 (Saleen)Mar 2012

IDSM-2

ASA-SSM-40

ASA-SSM-20

ASA-SSM-10 ASA-SSC-5

IPS-4240

IPS-4255

IPS-4260

ISR-NME

ISR-AIM

Не везде есть IPS, но везде есть NetFlow

NetFlow – это редко используемый источник данных ИБ

Откуда мы можем получать NetFlow?

• Из всех критичных и важных точек

Выборочный трафик• Часть трафика, обычно менее

5%, • Дает быстрый взгляд в сеть

Похоже на чтение каждой 20-й страницы книги. Технической книги-справочника

ПОЛНЫЙ трафик• Весь трафик подлежит сбору• Предоставляет исчерпывающий

обзор всей сетевой активности • Эквивалент внимательного

постраничного чтения + пометки на полях + закладки

Выборка полезна для мониторинга сети, но не для безопасности

Полный и выборочный NetFlow

Netflow для обнаружения аномалий

Поведенческий анализ

Cisco Cyber Threat Defense

Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения

• Признанный игрок рынка мониторинга сети и безопасности

• Cisco Solutions Plus ProductОбщие дизайны Cisco+Lancope

Совместные инвестиции в развитие

Доступность в канале продаж Cisco

• Отличный уровень сотрудничества с Cisco

Lancope StealthWatch

TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers,и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Context

Телеметрия NetFlowCisco Switches, Routers и ASA 5500

Данные о контексте угрозыCisco Identity, Device, Posture, Application

Cyber Threat Defense = Cisco + Lancope

Компоненты решения Cyber Threat Defense

Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

StealthWatch FlowSensor

VE Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Другие коллекторы

NBAR NSEL

• Обнаружение брешей в настройках МСЭ

• Обнаружение незащищенных коммуникаций

• Обнаружение P2P-трафика

• Обнаружение неавторизованной установки локального Web-сервера или точки доступа

• Обнаружение попыток несанкционированного доступа

• Обнаружение ботнетов (командных серверов)

• Обнаружение атак «отказ в обслуживании»

• Обнаружение инсайдеров

• Расследование инцидентов

• Troubleshooting

Решаемые задачи

Cisco CTD: обнаружение атак без сигнатур

Что делает 10.10.101.89?

Политика Время начала

Тревога Источник Source Host Groups

Цель Детали

Desktops & Trusted Wireless

Янв 3, 2013 Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Множество хостов

Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб

Cisco CTD: обнаружение атак без сигнатурВысокий Concern Index показывает

значительное количество подозрительных событий

Группа узлов

Узел CI CI% Тревога Предупреждения

Desktops 10.10.101.118 338,137,280 8,656%

High Concern index

Ping, Ping_Scan, TCP_Scan

Слежение за активностью как одного узла, так и группы узлов

Не зная броду, не суйся в воду

Принятие решения безполного обзора и понимания контекста

Чистый или грязный

Интернет-кафе

? Репутация ?

Проводной или нет?

Злоумышленник

Управляемый или нет

РАЗЫСКИВАЕТСЯНормальное поведение

Добавляя контекст и понимание

CI2 I4A

ЛОКАЛЬНОБизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНОСитуационныйанализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо-действия

APP Приложения

URL Сайты

Реализация безопасности с локальными глобальным контекстом

Откуда мы можем взять контекст?

Users/Devices Cisco Identity Services Engine(ISE)

Network Based Application Recognition

(NBAR)

NetFlow Secure Event

Logging (NSEL)

Связь потоков спользователями и

конечнымиустройствами

Связь потоков сприложениями,идущими через маршрутизаторы

Связь потоков сразрешенными и

заблокированнымисоединениями на МСЭ

ISEISE

Узлы и ролевые функции ISE

Ролевая функция — одна или несколько из следующих:•Администрирование•Мониторинг•Сервис политик

Оценка состояния в потоке трафика

Сервис политикМониторингАдминистри

рование

Одиночный узел ISE (устройство или виртуальная машина)

Одиночный узел оценки состояния на пути трафика (только устройство)

Архитектура ISE

Оконечное устройство Ресурс Реализация

Внешние данныеПросмотр /

настройка политик

Атрибуты запросов

Запрос доступа

Доступ к ресурсу

Ведение журналов

Контекст запроса /

ответа

Мониторинг

Просмотр журналов/

отчетов

Ведение журналов

Админист- рирование

Сервис политик

• Cisco ISE – унифицированная система управления и контроля защищенным доступом к внутренним ресурсам

Получение контекста от Cisco ISE

Политика Время старта

Тревога Источник Группа хостов источника

Имя пользователя

Тип устройства

Цель

Desktops & Trusted Wireless

Янв 3, 2013

Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Джон Смит Apple-iPad Множество хостов

• Поле Flow Action может добавить дополнительный контекст

• NSEL-отчетность на основе состояний для поведенческого анализаСбор информации о отклоненных или разрешенных соединениях

Получение контекста от Cisco ASA / ISR / ASR

Cisco ISE

Management

StealthWatch Management

Console

StealthWatch FlowCollector

Архитектура решения Cyber Threat Defense

Сбор и анализЗ NetFlow записей

Корреляция и отображение потоков, идентификационные данные

Cisco TrustSec: Access Control, Profiling and Posture

NetFlow Capable

Devices

Catalyst® 3750-X

Catalyst® 3560-X

Catalyst® 5500

Catalyst® 4500

Access Point

Access

Branch

Distribution

Catalyst® 3750-X Stack

Catalyst® 6500

Site-to-Site VPN

ISR-G2

Remote Access

NetFlow

Identity

Масштабируемая NetFlow инфраструктура

AAA services, profiling and posture assessment

• Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)

• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)

• Понимание контекста

Масштабируемая архитектура

Полная видимость всего, что происходит во внутренней сети

InternetAtlanta

San Jose

New York

ASR-1000

UCS сNexus 1000v

ASACat6k

3925 ISR

3560-X

3850Stack(s)

Cat4kDatacenter

Access

Визуализация по разным срезам

Консоль управления CTD

Крупным планом

Обнаружение разных типов атак, включая DDoS

Детальная статистика о всех атаках, обнаруженных в сети

Предполагаемая утечка данных

Слишком высокий показатель совместного использования

файлов

Достигнуто максимальное количество обслуженных

потоков

Предустановленные политики

Когда?

Сколько?

УчастникУчастник

Каким образом?

Расследование инцидентов

Выберите узел для

исследования

Поиск исходящего

трафика

Запрос интересующей информации

Результаты запроса

Сервер, DNS и страна

Тип трафика и объем

В заключение

Firewall

Web Sec

Email Sec

Целенаправленные угрозы пректируются с учетом

необходимости обхода шлюзов безопасности

Распространение угроз внутри

периметра

Периметр безопасности останавливает основную часть угроз, тем не менеесложные кибер-угрозы обходят средства безопасности

Следы кибер-угроз можно обнаружить только в сети в целом

Распространение на устройства

Целенаправленные угрозы, входящие

изнутри сети

Традиционных средств защиты периметра недостаточно

TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers,и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Context

Телеметрия NetFlowCisco Switches, Routers и ASA 5500

Данные о контексте угрозыCisco Identity, Device, Posture, Application

Cyber Threat Defense обеспечивает внутренние контроль и защиту

Объединим все вместе

Устройства Внутренняя сеть

Видимость, контекст и контроль

Используем данные NetFlow для

расширения видимости на уровне доступа

Унификация в единой панели возможностей

по обнаружению, расследованию и

реагированию

Совмещение данных NetFlow с Identity, событиями ИБ и

приложениями для создания контекста

КТО

ЧТОГДЕ/ОТКУДА

КОГДА

КАКHardware-enabledNetFlow Switch

Cisco ISE

Cisco ISR G2 + NBAR

Cisco ASA + NSEL

Контекст

Где узнать больше?

Спасибо!

security-request@cisco.com

Cisco Cyber Threat Defense

Technology

Cyber Threat Metrics

NetFlow Monitoring for Cyber Threat Defense

Cisco Cyber Threat Defense 1.1 Design and Implementation ......Cisco Cyber Threat Defense Solution 1.1 Introduction Note Currently, only the WS-X6908-10G-2T/2TXL, WS-X6816-10T-2T/2TXL,

Cyber Threat Intelligence

Cyber Payment Fraud Threat Landscape - six-group.com · May 17th, 2017 Swiss Banking Operations Forum Zürich, Switzerland Cyber Payment Fraud Threat Landscape Cyber Defense Measures

Active Cyber Defense Cycle - SANS · PDF fileThe Active Cyber Defense Cycle is a model to consume threat intelligence. ... Incident Handling GCIH FOR500 Windows Forensics (Formerly

IntSights for Symantec Integration Benefits · External Threat Protection for Proactive Cyber Defense IntSights and Symantec have teamed up to integrate actionable threat intelligence

Measuring and visualizing cyber threat intelligence quality · Keywords Cyber threat intelligence · Threat intelligence sharing · Data quality · Threat intelligence formats ·

LookingGlass Cyber | Cybersecurity & Threat Intelligence€¦ · CYBER SOLUTIONS LookingGlass Cyber Solutions delivers unified threat protection against sophisticated cyber attacks

Cisco Cyber Threat Defense Solution 1.1 設計および …図 1 Cyber Threat Defense Solution 1.1 アーキテクチャネットワークトラフィックへの可視性は、シスコ

CYBER ATTACK DEFENSE - PRWebww1.prweb.com/.../verdasys-cyber-threat-whitepaper.pdf · 4 | Cyber Attack Defense Digital Guardian® is a data-centric technology platform for Enterprise

Using NetFlow for Cyber Threat Defense

Cyber Payment Fraud Threat Landscape - SIX · Cyber Payment Fraud Threat Landscape Cyber Defense Measures for Banking Operations ... Bank of Bangladesh ... Organized Crime

THE CYBER PROJECT Toward a Collaborative Cyber Defense and ... · 2 Toward a Collaborative Cyber Defense and Enhanced Threat Intelligence Structure The Current State The team of researchers

Cyber Threat

Cisco Cyber Threat Defense v2 Cyber Threat Defense v2.0 Design Guide CONTENTS ... The Cisco Cyber Threat Defense (CTD) solution provides an integrated and validated architecture for

Cyber threat trends

National Cyber Security Centre Unclassified Cyber Threat ... · National Cyber Security Centre Unclassified Cyber Threat ... It also produces threat prevention and ... can however

Introducing Cyber Threat Monitoring - StarHub€¦ · Introducing Cyber Threat Monitoring A unique, telco-centric cyber defence solution for enterprise Cyber Threat Monitoring (CTM)

Cisco Cyber Threat Defense v2 · Data center considerations are included in the Cyber Threat Defense solution for the Secure Data Center CVD