Обнаружение аномальной активности в сети

Cisco Confidential © 2010 Cisco and/or its affiliates. All rights reserved. 1

Обнаружение аномальной активности в сети Алексей Лукацкий

Бизнес-консультант по безопасности

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2 ?

Devices Access

Branch Cam

pus Data Center

Distribu-on Edge

Firewall

Remote Access

Security Inspection Device X

Internet USB

Mobile Provider

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3

3

(Android) Apple

Routers and Switches

Printer

Internet of Things Phones

Linux

http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext Jonathan Brossard (CEO at Toucan System)

Как насчет других операционных систем, которые не поддерживает ваше abc устройство?


Серьезные компании с умными людьми. Все были скомпрометированы


А нам еще нужны FW, IPS, песочницы, AV?

Разумеется нужны. Даже в современных автомобилях подушки безопасности не заменяют бампер!

… предполагает вероятность того, что вы уже скомпрометированы!

Network Behavior Analysis Cyber Threat Defense (CTD)

Control Enforce Harden

Detect Block

Defend Scope

Contain Remediate

Как и автоиндустрия, мы должны эволюционировать. Дополнительные инструменты для закрытия пробелов в безопасности.


Что объединяет всех?!

СЕТЬ Видимость всего трафика

Маршрутизация всех запросов Источники всех данных

Контроль всех данных

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков


A

B

C

C B

A

C A

B

Не везде есть IPS, но везде есть NetFlow


•  Из всех критичных и важных точек


Обзор

StealthWatch FlowCollector*

StealthWatch Management

Console*

Управление

StealthWatch FlowReplicator

(

Другие анализаторы

Cisco ISE

StealthWatch FlowSensor*

Netflow enabled device

Не-Netlow устройство

NetFlow NetFlow N

etFl

ow

* Виртуальный или физический


Построение базиса и определение аномалий с помощью Netflow

11



Обзор

• Активность BotNet Command & Control

• Обнаружение утечек данных

• Целенаправленные угрозы (APT)

• Обнаружение Malware, распространяющегося внутри сети

• Обнаружение разведки в сети

• Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)


Что анализировать: •  Страны •  Приложение •  Соотношение входящего/исходящего трафика

•  время •  Повторяющиеся соединения

•  Beaconing – повторяющиеся «мертвые» соединения

•  Долгоживущие потоки

Активность “phone home”

Предупреждения:

Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C

Suspect Long Flow Beaconing Host

Massive TCP RST High Concern Index

Trapped Host …


Третичное заражение

Вторичное заражение

Первоначальное заражение

15

Сканирование

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16 16

Отправка бинарника размером x





Скан





Отправка…x





Высокий Concern Index показывает значительное количество

подозрительных событий, которые отклоняются об базиса

Host Groups

Host CI CI% Alarms Alerts

Desktops 10.10.101.118 338,137,280 8656% High Concern index

Ping, Ping_Scan, TCP_Scan

ICMP echo

CEO PC

1.  ECHO -> CI = CI + 1 2.  ECHO -> CI = CI + 2 3.  ECHO -> CI = CI + 4 4.  ECHO -> CI = CI + 8

Упрощенный пример:




Host Groups




TCP RST

CEO PC

1.  RST -> CI = CI + 1 2.  RST -> CI = CI + 2 3.  RST -> CI = CI + 4 4.  RST -> CI = CI + 8





Host Groups




SSH

CEO PC

1.  PC -> CI = CI + 1 2.  PC -> CI = CI + 2 3.  PC -> CI = CI + 4 4.  PC -> CI = CI + 8

PC с незапу- щенным сервисом SSH





Основные подозрительные события


Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения

•  Признанный игрок рынка мониторинга сети и безопасности

•  Cisco Solutions Plus Product Общие дизайны Cisco+Lancope

Совместные инвестиции в развитие Доступность в канале продаж Cisco

•  Отличный уровень сотрудничества с Cisco

Lancope StealthWatch – ключевой элемент


TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers, и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Flow

Телеметрия NetFlow Cisco Switches, Routers и ASA 5500

Данные о контексте угрозы Cisco Identity, Device, Posture, Application

Cyber Threat Defense = Cisco + Lancope


Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

StealthWatch FlowSensor

StealthWatch FlowSensor

VE Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Другие коллекторы

https

https

NBAR NSEL


Cat 3K-X w/ Service Module

Line-Rate NetFlow

Cat 4K Sup7E, Sup7L-E

Line-Rate NetFlow

ISR, ASR Scale

NetFlow NBAR2

Adds NetFlow

Доступ

Доступ

/ распределение

Периметр

Cat 6K Sup2T

Cat 2K-X the only L2 w/Netflow

ASA


•  Обнаружение брешей в настройках МСЭ

•  Обнаружение незащищенных коммуникаций

•  Обнаружение P2P-трафика

•  Обнаружение неавторизованной установки локального Web-сервера или точки доступа

•  Обнаружение попыток несанкционированного доступа

•  Обнаружение ботнетов (командных серверов)

•  Обнаружение атак «отказ в обслуживании»

•  Обнаружение инсайдеров

•  Расследование инцидентов

•  Troubleshooting

Решаемые задачи



Обнаружение разных типов атак, включая DDoS

Детальная статистика о всех атаках, обнаруженных в сети



Exfiltration: Хост передает ненормальное количество данных (EXI points)

Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points)

Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points)

Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети

Target Index: Показывает хосты, которые являются жертвами атаки (TI points)



Suspect Data Hoarding

Target Data Hoarding

•  Обнаружение систем, которые загружают ненормальные объемы данных из внутренних узлов

•  Обнаружение систем, из которых загружаются ненормальные объемы данных


Ненормальные объемы данных запрашиваются хостом

Политика


Передача ненормальных объемов данных во внешний мир

Политика


Когда?

Сколько?

Участник Участник

Каким образом?


Выберите узел для

исследования

Поиск исходящего трафика


Netflow телеметрия Cisco Switches, Routers и

ASA 5500

Внутренняя сеть & периметр

Общий вид Анализ и контекст в

Lancope StealthWatch

Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее: •  ISE отправляет identity данные в

CTD •  NBAR из маршрутизаторов тоже попадает в CTD

•  NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства

NetFlow

Данные контекста Cisco Identity, Device, Posture,

NAT, Application

Context


•  Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD)

Получение контекста от Cisco ISE

Политика Время старта

Тревога Источник Группа хостов источника

Имя пользователя

Тип устройства

Цель

Desktops & Trusted Wireless

Янв 3, 2013

Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Джон Смит Apple-iPad Множество хостов


•  Поле Flow Action может добавить дополнительный контекст

•  NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях

Получение контекста от Cisco ASA / ISR / ASR


•  Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)

•  До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)

•  Понимание контекста

Масштабируемая архитектура


Комплексная защита от угроз в течение всего жизненного цикла атаки

Исследование Внедрение политик

Укрепление

Обнаружение Блокирование

Защита

Локализация Изолирование Восстановление

Жизненный цикл атаки

ДО ВО ВРЕМЯ

ПОСЛЕ

§  Идентификация разведывательной деятельности

§  Блокирование известных угроз §  Обнаружение скрытых C&C §  Отслеживание распространение вредоносного ПО внутри сети

§  Предотвращение утечек данных

§  Непрерывный мониторинг активов и активности


Основные компоненты CTD §  Продукты Lancope StealthWatch

(SMC, FlowCollector, FlowSensor, FlowReplicator)

§  Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3

§  ISE pxGrid API

§  Sourcefire NGIPS (FirePOWER, FireSIGHT)

§  Sourcefire AMP (network, endpoints, ESA, WSA)

§  Cloud Web Security Premium (с CTA, AMP)

Протестированные платформы Cisco §  ISR G2

§  ASR 1000

§  Catalyst 3560-X/3750-X, 3850, 3650

§  Catalyst 2960-X (NetFlow Lite)

§  Catalyst 4500 Sup 7, Sup 8

§  Catalyst 6500 Sup 2T

§  ASA 5500-X with FirePOWER Services

§  NetFlow Generation Appliance (NGA)


•  Само мобильное устройство не может сказать, что оно «чужое» Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного

•  Особую сложность представляет контроль 3G/4G доступа, но и он может быть решен

Спасибо!

Technology

Обнаружение аномальной активности в сети