Решение Cisco Threat Defense (CTD) и кибербезопасность

© 2010 Cisco and/or its affiliates. All rights reserved. 1 © 2010 Cisco and/or its affiliates. All rights reserved. 1

Решение Cisco Threat Defense (CTD) и кибербезопасность Павел Родионов

Системный инженер, Cisco EMEAR, Security

22.10.13

© 2010 Cisco and/or its affiliates. All rights reserved. 2

• Как сегодня работают кибератаки

• Как вы их можете их обнаружить

• Какие решения Cisco для этого

используются

• Как они работают и какие технологии

используют


• Эволюция киберугроз

• Пример целевой атаки

• Защитные технологии (Netflow)

• Обзор решения Cisco Cyber Threat

Solution

• Варианты использования CTD

• Q & A


Защита: Anti-Virus, Firewalls

Вирусы (1990)

Защита: Intrusion Detection & Prevention

Черви (2000)

Защита: Репутация, DLP, NGFW

Ботнеты (конце 2000-х и до сегодняшнего дня)

Стретегия: Обзор и контекст

Advanced Persistent Threats (APTs) ( сегодня – целевые проработанные атаки)

ILOVEYOU Melissa Anna Kournikova

Nimda SQL Slammer Conficker

Tedroo Rustock Conficker

Aurora Shady Rat Duqu Gauss ZeuS …


Любой может являться целью

5

http://www.chinahush.com/2010/09/15/honker-union-of-china-to-launch-network-attack-against-japan-is-a-rumor/

… Публикация информации о запуски кибератак против другой страны может только дать оправдание этой стране для создания кибервойск… Пожалуйста, не запускайте никаких бесцельных атак, реальная атака должна фатально повредить сеть противника или похитить ценную информацию… Все атаки должны производиться скрыто, вместо того, чтобы активно об этом провозглашать …

http://www.darkreading.com/end-user/up-to-9-percent-of-machines-in-an-enterp/220200118

До 9% рабочих станций в enterprise инфицировано ботами

http://www.scmagazine.com.au/News/354155,millions-stolen-from-us-banks-after-wire-payment-switch-targeted.aspx

Из банков США похищены миллионы после атаки на 'wire payment switch’.

Ограблены три банка путем отвлечения внимания DDOS атакой… мошенники

исползовали Dirt Jumper, инструмент стоимостью $200 для запуска атак DDoS

http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_exposes_Icefog_a_new_cyber-espionage_campaign_focusing_on_supply_chain_attacks

Касперский: “Icefog”: Новая волна кибершпионажа


Если вы большой, вы основная цель киберугроз

6

http://arstechnica.com/security/2013/10/adobe-source-code-and-customer-data-stolen-in-sustained-network-hack/

3 октября 2013

У Adobe похищен исходный код и данные пользователей

…Adobe сообщила, что она пострадала от длительного взлома корпоративной

сети, в результате которого хакеры нелегально получили доступ к исходному

коду нескольких широко используемых приложений, а также к паролям и

другой чувствительной информации более чем трех миллионов заказчиков…

http://www.theguardian.com/uk-news/2013/oct/03/gchq-eu-surveillance-cyber-attack-belgian

20 сентября 2013

Атака на Belgacom: Британская разведка взломала бельгийские телеком-

компании

…Кибератака на интернет-системы основной бельгийской

телекоммуникационной компании, Belgacom является настолько сложной и

массированной, что ни одна компания или страна не может ей

противостоять…


X X X X O X X X O

O

… как это делают ваши враги

7


• USB флеш с вредоносным кодом

• Социальная инженерия • Email в вредоносным

вложением • Открытый WLAN MITM • Офисный документ с

вредононым кодом • Аппаратный кейлоггер • Уязвимость серверного

приложения • Drive-by-Download • Любой другой вектор атаки…

Initial Infection by 0-Day


Цель достигнута, защитная

инфраструктура обойдена

• Утечки данных

• Повреждения

• Манипуляция (исходный код)

Управляющий

канал

C&C Server


• Страна? Конкуренты? Частные лица? Кто?

• Что является целью? Что?

• Когда атака наиболее активна и с чем это связано? Когда?

• Где атакующие? Где они наиболее успешны? Где?

• Зачем они атакуют – что конкретно их цель? Зачем?

• Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?


• Кто в моей сети? Кто? • Что делают пользователи? Приложения?

• Что считать нормальным поведением? Что?

• Устройства в сети? Что считать нормальным состоянием? Когда?

• Где и откуда пользователи попадают в сеть?

• Внутренние? eCommerce? Внешние? Где?

• Зачем они используют конкретные приложения? Зачем?

• Как всё это попадает в сеть? Как?


“Что поможет ответить на эти вопросы?


СЕТЬ

Видимость всего трафика

Маршрутизация всех запросов Источники всех данных

Контроль всех данных

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков



• Из всех критичных и важных точек


Телеметрия Netflow идет в двух видах

Sampled

• Небольшое подмножество трафика, меньше 5%, собирается и используется для генерирования телеметрии. Это дает краткую характеристику сетевой активности, как читать книгу, перелистывая по 20 страниц за раз.

Unsampled

• Для генерирования тереметрии используется весь трафик, он обеспечивает полный обзор всей активности в сети. Используя аналогию с книгами – мы читаем ее от начала и до конца не пропуская ни одного слова.

Сложная, скрытая природа новых киберугроз требует полного обзора всей сети

через Netflow

Только определенные коммутаторы Cisco Catalyst

могут предоставить Unsampled NetFlow на скорости канала без влияния на производительность


Выследите атакующего

Router# show flow monitor CYBER-MONITOR cache

…

IPV4 SOURCE ADDRESS: 192.168.100.100

IPV4 DESTINATION ADDRESS: 192.168.20.6

TRNS SOURCE PORT: 47321

TRNS DESTINATION PORT: 443

INTERFACE INPUT: Gi0/0/0

IP TOS: 0x00

IP PROTOCOL: 6

ipv4 next hop address: 192.168.20.6

tcp flags: 0x1A

interface output: Gi0/1.20

counter bytes: 1482

counter packets: 23

timestamp first: 12:33:53.358

timestamp last: 12:33:53.370

ip dscp: 0x00

ip ttl min: 127

ip ttl max: 127

application name: nbar secure-http

…

Netflow Record


Не все выглядит так, как кажется…

18

© 2010 Cisco and/or its affiliates. All rights reserved. 19 19

…Могут быть разные варианты использования


“Введение в Cisco Cyber Threat Defense


Решаемые задачи для безопасности

1. Защита от известных и неизвестных атак , включая сложные, фокусные атаки, DoS/DDoS на ресурсы компании

2. Раннее автоматическое выявление вирусов

3. Раннее обнаружение инсайдеров

4. Обнаружение нецелевого использования сетевых ресурсов

5. Расследование инцидентов безопасности

Знать нарушителя


1. Быстрое и эффективное выявление проблем в сети

2. Мониторинг активности пользователей и приложений в реальном времени

3. Просмотр детальной исторической статистики

4. Планирование развития сети

5. Демонстрация выполнения SLA


Cisco ISE

Flow Sensor

Flow Collector

StealthWatch Management

Console

Catalyst 3500-X

10G-Servicemodul

Catalyst 3850*

Catalyst 4500 Supervisor 7E/L

Catalyst 6500 Supervisor 2T

ASA-5500-X(NSEL)

Nexus 1k*

Nexus 7k M Series*

Nexus 7k F2 Series*

Nexus 6k*

Nexus 2k on 7k*

NGA-3240

ASR 1000(NBAR)

ISR-G2(incl. NBAR)

WLC (incl. NBAR)**

Catalyst 2960X LanBase*

Устр

ой

ств

а N

etf

low

LanC

ope S

tealthW

atc

h

Cis

co

Indentity

Serv

ice E

ngin

e

Информация о соеднинениях

Monitoring

Информация идентификации

Device User

Full Netflow

Sampled Netflow

Collection/Analysis

Presentation


«Выравнивание» и обнаружение аномалий с помощью Netflow

24


• Идентификация активности управляющих BotNet серверов. Ботнеты внедряются в корпоративные сети и выполняют команды своих хозяев для отправки SPAM, DDoS или другой вредоносной деятельности.

• Обнаружение утечек данных. Код может быть скрыт или зашумлен для того, чтобы иметь возможность экспортировать чувствительную информацию. Эти утечки может происходить быстро, или со временем.

• Обнаружение сложных и постоянных угроз. Вредоносный код, который проходит периметр может долго оставаться внутри сети и внезапно нанести удар. Это могут быть атаки нулевого дня, для обнаружения которых не существует сигнатур, или которые сложно обнаружить по каким-то другим причинам.

• Обнаружение malware внутри сети. Распространение malware может осуществляться для сбора данных о сети, хищении данных или создания брешей в безопасности.

• Обнаружение попыток рекогнисцировки сети. Первый шаг большинства атакующих – обнаружение ресурсов сети.


Обзор

StealthWatch FlowCollector*

StealthWatch

Management Console*

Управление

StealthWatch FlowReplicator (опционально)

Другой анализатор

трафика

Cisco ISE

StealthWatch FlowSensor* или

Cisco Netflow Generation Appliance (NGA) (опционально)

Netflow enabled device

Не Netflow устройство

SS

L

NetFlow NetFlow N

etF

low

* Виртуальный или физический


Flow Exporters

Flow Collectors

Управление и отчеты

X 25 До 25 коллекторов

StealthWatch FC для NetFlow

StealthWatch Management Console

X 2 полное резервирование между основной и резервной

X 2000 До 2000 устройств и до 120 тыс потоков в сек.

Интерфейс X каждый настраиваемый вид для разных команд – ИТ, ИБ, виртуализация

Physical Virtual

Маршрутизаторы, коммутаторы FlowSensor VE FlowSensor

3 миллиона потоков в

секунду


Router A

Router B

Router C

10.2.2.2 port 1024

10.1.1.1 port 80

Router A: 10.2.2.2:1024 -> 10.1.1.1:80

Router B: 10.2.2.2:1024 -> 10.1.1.1:80

Router C: 10.1.1.1:80 ->

10.2.2.2:1024

Дубликаты

• Без de-duplication: • Неправильные отчеты об объемах

трафика • Могут произойти ложные срабатывания

• Эффективное хранение данных о потоках • Необходимо, для аккуратных отчетов уровня

хоста • Не удаляет данные • Включает NAT


10.2.2.2 port 1024

10.1.1.1 port 80

eth

0/1

eth

0/2

Start Time Interfac

e

Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes

Sent

10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025

10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712

Start Time Client IP Client

Port

Server

IP

Server

Port

Proto Client

Bytes

Client

Pkts

Server

Bytes

Server Pkts Interfaces

10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1

eth0/2

Сиплексные

записи

Дуплексные записи:

• Запись сесии в потоке

• Простая визуализация и анализ


Параметр «Concern Index» показывает количество подозрительных событий,

которые отклюняются от установленного шаблона

Host

Groups

Host CI CI% Alarms Alerts

Desktops 10.10.101.118 338,137,280 8656% High Concern

index

Ping, Ping_Scan, TCP_Scan

Мониторинг и выравнивание деятельности для хоста

или группы хостов


Привязка потоков и поведения к пользователям и устройствам

31

Policy Start

Active

Time

Alarm Source Source

Host

Groups

Source

User Name

Device

Type

Switch

Port

Desktops

& Trusted

Wireless

Jan 3,

2013

Suspect Data

Loss

10.10.101.

89

Atlanta,

Desktops

John

Chambers

Apple-

iPad

Cat 7/42


Предупрежнение о

связи с известным

Botnet Controller

IP адрес Имя пользователя

Политика,

вызвавшая

alarm

Policy Start

Active

Time

Alarms Source Source

Host

Groups

Source

User

Name

Target Target Host

Group

Inside

Hosts

Jan 27,

2012

Host Lock

Violation

10.35.88.171 Remote

VPN

Bob ZeusCCServer.com Zeus BotNet

Controllers

32


Policy Start

Active

Time

Alarm Source Sour

ce

Host

Grou

p

Source

Userna

me

Targe

t

Details

Inside Hosts 8-Feb-

2012

Suspect

Data Loss

10.34.74.123 Wired

Data

Bob Multiple

Hosts

Observed 4.08G bytes.

Policy Maximum allows

up to 81.92M bytes.

33


NetFlow Capable

Internal Network

Device

s


StealthWatch FlowCollector


Console

1. Инфицированные хост выполняет случайные ping и TCP SYN по всей сети

2. Инфраструктура генерирует записи с использованием NetFlow

3. Сбор и анализ данных Netflow

4. Добавляем к анализу конекстную информацию

5. Увеличивается “concern index”. Генерируются предупреждения о подозрительной активности

Cisco ISE

34


NetFlow

Capable

Devices




Console 3. Сбор и анализ данных Netflow

4. Добавляем контекст

5. Увеличивается «Concern index». Генерируется Worm propagation Alarm

Cisco ISE

Перво-начальная инфекция

Вторичная инфекция

1. Инфекция распространяется через внутреннюю сеть, чтобы атакующий достиг своей цели.

2. Инфраструктура генерирует записи об активности с помощью Netflow

Internal Network

35


NetFlow

Capable

Devices




Console 3. Сбор и анализ данных Netflow

4. Добавляем контекст

5. Увеличивается «Concern index». Генерируется Worm propagation Alarm

Cisco ISE

Перво-начальная инфекция


1. Инфекция распространяется через внутреннюю сеть, чтобы атакующий достиг своей цели.

2. Инфраструктура генерирует записи об активности с помощью Netflow

Internal Network

36

Третичная инфекция


Третичная инфекция


Первоначальная инфекция

37


RTP San Jose

Amsterdam

Bangalore

Sydney

Tokyo

15.6 млрд потоков/день

90 дней срок хранения


Агрегация, анализ, контекст

Экспорт потоков

Cisco Catalyst 3560-X, 3750-X, 4500 (Sup7-E,7LE), 6500 (Sup2T)

Cisco ISR

Cisco ASR 1000

Cisco ASA 5500

Cisco NGA

Cisco ISE (опционально)

Обзор и управление

Cisco ASR

1000 или ISR G2

Cisco ASA

Cisco NGA

Model Max Flows Max Exporters Max Hosts Storage

FlowCollector VE 30.000* 1000 500.000 1TB

FlowCollector

1000

30.000 500 250.000 1TB

FlowCollector

2000

60.000 1000 500.000 2TB

FlowCollector

4000

120.000 2000 1.000.000 4TB

Model Max FlowCollectors Storage

StealthWatch Management Console VE 5* 1TB

StealthWatch Management Console 1000 5 1TB

StealthWatch Management Console 2000 25 2TB

+ лицензии на потоки

1.000, 25.000, 50.000,

100.000


• Решение Cisco Cyber Thread Defense (CTD) состоит из

инфраструктуры Cisco из Lancope Stealthwatch

• Все компоненты могут быть заказаны у Cisco

• ASA и ASR приносят знание NAT к решению

• Добавление ISE добавляет информацию об идентификации

• CTD поддерживает обнаружение атак в реальном времени и

проведение расследований

• CTD – это одно окно для анализа поведения сети, как для IT, так и для

ИБ

• Lancope – лучший в сфере Network Behaviour Analysis

• CTD умеет обнаруживать атаки 0-го дня и APT с помощью поведенческого

анализа




Thank you.

Technology

Решение Cisco Threat Defense (CTD) и кибербезопасность