Embed Size (px)
Citation preview
Agenda
• CSA 6.0 – refresh
• Vybrané vlastnosti CSA 6.0
– Application Trust levels
– Notify User Rule Actions
– User Justifications
– Digital Signature Identification
– Automatic Signature Generation
– Data Loss Prevention (DLP)
– Printer Access Control Rule
• Otázky a odpovede
CSA 6.0 - refresh
• HIDS/HIPS
• zabezpečuje ochranu pracovných staníc a serverov
• založený na kontrole správania koncového systému (behavior-based)
• ochrana pred day-zero útokmi
• centrálna správa – Management Center for CSA (CSA MC)– centrálne definovanie politík pre CSA
– centrálne úložisko log záznamov od CSA
– reporting a alerting
Vybrané nové vlastnosti CSA 6.0
• Application Trust levels
• Notify User Rule Actions
• User Justifications
• Digital Signature Identification
• Automatic Signature Generation
• Data Loss Prevention (DLP)
• Printer Access Control Rule
Application Trust levels
Application Trust levels - popis
• globálne zoznamy aplikácii podľa úrovne dôveryhodnosti
• WhiteList, GreyList, BlackList
• preddefinované pravidlá reflektujú tieto explicitne definované úrovne dôveryhodnosti aplikácií– aplikácie v zozname WhiteList = minimálne reštrikcie
– aplikácie v zozname GreyList = zvýšené reštrikcie
– aplikácie v zozname BlackList = maximálne reštrikcie
• nutné zabezpečiť zvýšenú ochranu aplikácií v zozname WhiteList
Application Trust levels – príklad WhiteList
Application Trust levels – použitie v pravidle
Application Trust levels – EventLog wizard
Application Trust levels vs. CSA 5.2
• CSA 5.2 nemá implementované ATL
• možnosť riešenia
– vytvoriť vlastné triedy aplikácií (Application classes)
pre rôzne úrovne dôveryhodnosti
– modifikovať nevyhnutné preddefinované pravidlá, aby
zohľadňovali novovytvorené triedy aplikácií
– CSA 5.2 nemá integrovaný wizard pre priame
zaradzovanie aplikácií priamo z hlásení v Eventlog do
vlastných aplikačných tried
Notify User Rule Action
Notify User Rule Actions
• upozornenie používateľa na výskyt vybraných udalostí v systéme
• notifikácia môže byť aktivovaná na základe – uplatnenia reštrikčného pravidla pre danú udalosť
(Allow, Deny, Terminate)
– ak sa neaktivovalo žiadne reštrikčné pravidlo (Allowed by default)
– ľubovoľná kombinácia predchádzajúcich možností
• vyžiadanie vyjadrenia používateľa k danej udalosti (Justification)
• v CSA 5.2 nerealizovateľné (ani workarround)
Notify User Rule Actions
Notify User Rule Actions
Notification
Notification +
Justification
User Justification
User Justification
• vyžiadanie vyjadrenia používateľa
– pri pravidlách s akciou QUERY
– pri pravidlách s akciou NOTIFY
• vyjadrenie je súčasťou záznamu o udalosti v
EventLog na CSA MC
• poskytnutie vyjadrenia nie je pre používateľa
povinné (zo systémového hľadiska)
• v CSA 5.2 nerealizovateľné (ani workarround)
User Justification
User Justification
Digital Signature Identification
Digital Signature Identification
• CSA automaticky identifikuje digitálny podpis
aplikácie (súčasť mandatory policy)
• ak je digitálny podpis dôveryhodný aplikácia je
označená ako „trusted“
• „trusted“ aplikácie podliehajú menším
reštrikciám ako „untrusted“ aplikácie
• modifikovateľný zoznam dôveryhodných
digitálnych podpisov – Good Digital Signers file
set
Digital Signature Identification
Digital Signature Identification
Digital Signature Identification
Automatic Signature Generation
Automatic Signature Generation
• poskytuje nové funkcie CSA pre Windows platformy:– automaticky generované signatúry– ochrana pred DoS útokmi– Process stack recovery
• ochrana MSRPC a LPC• imunizácia enterprise• princíp fungovania
– pravidlo typu System API Control zachytí pokus o útok typu buffer overflow
– CSA na pracovnej stanici vygeneruje lokálnu signatúru a pošle ju na CSA MC
– korelačný engine na CSA MC podľa preddefinovaných nastavení vygeneruje globálnu signatúru
– všetci ostatní CSA si v rámci pollingu globálnu signatúru stiahnu– na základe tejto signatúry sú CSA agenti schopní zablokovať tento
pokus o buffer overflow
Automatic Signature Generation – simulovaný scenár
CSA MC
CSA 6.0
CSA 6.0
CSA 6.0
CSA 6.0
Attacker
Msf
signature based deny
Automatic Signature Generation – príprava attacker
Automatic Signature Generation – exploit executing
Automatic Signature Generation – CSA MC
Automatic Signature Generation – CSA MC
Automatic Signature Generation – CSA MC
Automatic Signature Generation – hlásenia z CSA
Automatic Signature Generation – CSA klient
Automatic Signature Generation – DoS prevention
Data Loss Prevention (DLP)
Data Loss Prevention (DLP)
• skenovanie súborov na prítomnosť citlivých dát– on demand
• plánovaný scan
– on access• pri otváraní
• pri zápise
• citlivé data sú identifikované podľa reťazcov (patterns)
• klasifikácia súborov - priradenie TAG súborom podľa výsledku scan
• použitie TAG v pravidlách– klasifikačných
• klasifikácia aplikácii pri prístupe k tagovaným súborom
– reštrikčných• kontrola prístupu aplikácií k tagovaným súborom
Data Loss Prevention (DLP) – klasifikácia súborov
TAG
TXT
Data Loss Prevention (DLP) – reštrikčné pravidlo
Printer Access Control
Printer Access Control
• riadenie prístupu aplikácií k tlačiarňam
• doplnenie funkcionality pre DLP
– kontrola ďalšej cesty kadiaľ môžu dáta opustiť
pracovnú stanicu
– v CSA 5.2
• File Access Control
• Network Access Control
• Clipboard Access Control
– v CSA 6.0
• pribudol typ pravidla Printer Access Control
Kontrola ciest dát smerom z pracovnej stanice
Clipboard
Network
File
server
Printer
?
CSA 5.2 CSA 6.0
Otázky a odpovede
