Embed Size (px)
Citation preview
Андрей Москвитин
Эксперт по решениям информационной безопасности
Мониторинг аномалий и эпидемий с
помощью NetFlow и реагирование на
инциденты с Cisco Сyber Threat Defense
25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Неуязвимых компаний не бывает
Серьезные компании с умными людьми.
Все были скомпрометированы
54%компрометаций
остаются незамеченными
месяцами
60%данных
похищается за
несколько
часов
Ваша сеть УЖЕ заражена
Осталось понять где именно
100%организаций подключаются
к доменам, содержащим
вредоносные файлы
или службы
Devices Access
Bran
chC
amp
us
Data C
en
ter
Distribution Edge
Firewall
Remote Access
Security
Inspection
Device X
InternetUSB
Mobile
Provider
Атаки проходят не только через периметр
Про многие устройства Вы даже не знаете
5
AndroidApple
Routers and Switches
Printer
Internet of ThingsPhones
Linux
http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext
Jonathan Brossard (CEO at Toucan System)
Место CTD в модели безопасности Cisco
Network Behavior Analysis
Cyber Threat Defense (CTD)
ControlEnforceHarden
DetectBlock
Defend
ScopeContain
Remediate
Время – деньги и нервы
CRISIS REGION
Сто
им
ость
инц
ид
ента
Время
Кража критичных данных
*
Обнаружение
*
Устранение уязвимости
*
КРИЗИС
Начало атаки
*
ВЫИГРАННОЕ
ВРЕМЯ
*Пресечение
*Оповещение
*Обнаружение
*Устранение
уязвимости
Что объединяет всех?
25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 8
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросовИсточники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
Сеть как сенсор
NetFlow можно взять из всех важных точек
A
B
C
CB
A
CA
B
Не везде есть IPS, но везде есть NetFlow
Возможности CTD
Обнаружение сканирований и
DDoS
Обнаружение компьютеров-
зомби и червей
и ещё десятки шаблонов атак
Локализация эпидемий
Предотвращение утечек данных
Расследование инцидентов
Проверка какработает защита
НА САМОМ ДЕЛЕ
Обнаружениесерверов P2P, VPN, прокси и
пр.
Возможности CTD (ч.2)
Профилирование хостов и
приложений
Анализ структуры трафика
Какие хосты и пользователи
генерят больше всего трафика
Анализ top conversations
Troubleshootingмаршрутизации и
QoS
Визуализация -карты сервисов, инцидентов и т.д.
Мониторинг приложений и
сервисов
Не забывайте про возможности инфраструктуры
Dynamic VLAN Assignment , Private VLAN Enforcement
Packet Capture, VACL
DSCP Marking, ACL, Rate Limit, Policy Based Routing,
Packet Capture
ACL, Private VLAN Enforcement
Packet Capture
Malware Isolation, Packet Drop, File Extraction
Router
Switch
Firewall
IPS
ISE
Dynamic Segmentation, CoA, Security Tagging,
Dynamic Access Control List
Система обнаружения
сетевых вторжений
• На основе сигнатур
• Пассивный сбор
• Первичный источник
оповещения
SIEM/Syslog
• Инструмент глубокого анализа
• Возможность фильтрации
• Не может блокировать
самостоятельно
Анализ сетевых потоков
• Не может блокировать
самостоятельно
• Основной инструмент
расследования
• Быстрое внедрение
• Сравнительно низкая стоимость
DEMO TIME!
25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17
Архитектура Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor
VE
Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
До 25 коллекторов на SMCДо 3 миллионов потоков/сек
https
https
NBAR NSEL
+ jFlow, sFlow, PAN AppID и др.
CTD 2.0 – возможные точки роста
Основные компоненты CTD
Продукты Lancope StealthWatch (SMC,
FlowCollector, FlowSensor, FlowReplicator)
Интеграция с Cisco Identity Services Engine
(ISE) v1.2, v1.3
ISE pxGrid API
Sourcefire NGIPS (FirePOWER, FireSIGHT)
Sourcefire AMP (network, endpoints, ESA,
WSA)
Cloud Web Security Premium (с CTA, AMP)
Протестированные
платформы Cisco
ISR G2
ASR 1000
Catalyst 3560-X/3750-X, 3850, 3650
Catalyst 2960-X (NetFlow Lite)
Catalyst 4500 Sup 7, Sup 8
Catalyst 6500 Sup 2T
ASA 5500-X with FirePOWER Services
NetFlow Generation Appliance (NGA)
Вот-вот выйдет CVD для CTD 2.0
Новые категории предупреждений
Exfiltration: Хост передает ненормальное
количество данных (EXI points)
Command and Control: Показывает на существование в
вашей сети бот-сервера или хосты успешно связываются
с C&C серверами (C&C points)
Policy Violation: Хосты нарушают
предопределенные политики в сети (PVI points)
Concern Index: Показывает хосты, которые,
возможно, нарушают целостность сети
Target Index: Показывает хосты, которые являются
жертвами атаки (TI points)
Новый веб-интерфейс
Active Alarms
Alarms
Top
Applications
Flow collection
trend
Информация о хосте
Оповещения
Пользователи
Активность и
приложения
Хост
Группы хостов
Потоки
Информация о пользователе
Оповещения
Устройства
и сессии
Детали из AD
Пользователь
Необычно большое количество входящих
Необычно большое количество входящих
Подозрительно долгие соединения
Долгие IP-соединения между внутренними и внешними зонами в одном или обоих
направлениях смалым количесвом переданных данных
Собственные политики (Custom events)
Условия по
времени
Условия по
группам/
приложениям
Условия по
партнёрам
Условия
соединения
Когда использовать Custom Events
High Level Use cases:
• Проверка политик и работы средств защиты
• Поиск заведомо плохого трафика
Примеры:
• Признаки компрометации актуальные для данной среды
• Поиск нелегальных серверов
• Подозрительные логины, например Remote VPN из Китая
• Сложные условия, например длинные сессии с большим
объёмом трафика
Анализ потоков по запросу
Запрос
Условия поиска
Партнёры
Детали
сессии
Время
Результаты запроса по потокам
Быстрый просмотр потоков
Кто КтоЧто
Когда
Как
Где
Ещё больше деталей
Место CTD в модели безопасности Cisco
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
ДОВО
ВРЕМЯПОСЛЕ
Идентификация разведывательной деятельности
Блокирование известных угроз
Обнаружение скрытых C&C
Отслеживание распространение вредоносного ПО внутри сети
Предотвращение утечек данных
Непрерывный мониторинг активов и активности
Подумайте о пилотном внедрении
Что нужно
ВМ с временными лицензиями
Настроить NetFlow и SPAN
Один-два дня на установку
Результаты в КАЖДОМ внедрении
Обнаружение компьютеров-зомби
и червей
Профилирование трафика и
приложений
Инвентаризация хостов
Нелегальные серверы
VPN, прокси, Р2Р-трафик
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом
#CiscoConnectRu
Спасибо
25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Код доклада
5259Пожалуйста, заполните анкеты
Это очень важно для нас
25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Консоль управления CTD
Крупным планом
Обнаружение разных
типов атак, включая
DDoS
Детальная статистика о
всех атаках,
обнаруженных в сети
Визуализация по разным срезам
Визуализация по разным срезам
Cisco CTD: обнаружение атак без сигнатур
Высокий Concern Index показывает
значительное количество подозрительных
событий
Группа
узлов
Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656
%
High Concern
index
Ping, Ping_Scan,
TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
Cisco CTD: обнаружение атак без сигнатур
Что делает
10.10.101.89?
Политика Время
начала
Тревога Источник Source Host
Groups
Цель Детали
Desktops
& Trusted
Wireless
Янв 3, 2013 Вероятная
утечка
данных
10.10.101.89 Атланта,
Десктопы
Множество
хостов
Наблюдается 5.33 Гб.
Политика позволяет
максимум до 500 Мб
Предполагаемая утечка
данных
Слишком высокий показатель
совместного использования
файлов
Достигнуто максимальное
количество обслуженных
потоков
Предустановленные политики
Получение контекста от Cisco ISE
Cisco ISE установлен в 1/3 всех проектов по Cisco Threat
Defense (CTD)
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя
пользователя
Тип
устройства
Цель
Desktops &
Trusted
Wireless
Янв 3,
2013
Вероятная
утечка
данных
10.10.101.89 Атланта,
Десктопы
Джон Смит Apple-iPad Множество
хостов
Карта эпидемии
Третичное заражение
Вторичное заражение
«Нулевой пациент»
Получение контекста от Cisco ASA / ISR / ASR
Поле Flow Action может добавить дополнительный контекст
NSEL-отчетность на основе состояний для поведенческого анализа
Сбор информации о отклоненных или разрешенных соединениях
Когда?
Сколько?
УчастникУчастник
Каким
образом?
Расследование инцидентов
Выберите узел
для
исследования
Поиск
исходящего
трафика
Запрос интересующей информации
Результаты запроса
Сервер, DNS и страна
Тип трафика и объем
Типы NetFlow
Sampled
• Маленькое подмножество трафика, менее 5%, собирается и
используется для генерирования телеметрии. Дает
покадровый обзор активности в сети, похоже на чтение книги,
просматривая каждую 100-ю страницу.
Unsampled
• Телеметрия генерируется всем трафиком, при этом
получается общая картина активности в сети.
Индивидуальная, скрытая картина новых угроз требует
полной информации о трафике в сети.
Только коммутаторы Cisco Catalyst могут дать информацию Unsampled
NetFlow на полной скорости без влияния на производительность
CTD 2.0 Story Line / Use case
Visibility into all host-to-
host communication
Protection from known
exploits
Detection of
suspicious activity
Identification of
command & control
Identification of
internal threats
Blocking of known
malicious files
Identification of malicious files
Detection of data
theft activity
Policy enforcement
Campus Data Center
Branch
Policy Audit
• Broad Visibility
• Signals Intelligence
• Deep Contextual Visibility
• File trajectory
• Heightened relevance of known threats
NetFlow Generator
Source IP Address
Destination IP Address
Source Port
Destination Port
Layer 3 Protocol
TOS byte (DSCP)
Input Interface
NetFlow
Key Fields
Flow Information Packets Bytes/packet
Address, ports... 11000 1528
...
NetFlow Cache
StealthWatch FlowCollector
1
2
3
Source Destination
Introduction to NetFlow
How do I want to cache information
Which interface do I want to monitor?
What data do I want to meter?
Router(config)# flow record my-record
Router(config-flow-record)# match ipv4 destination address
Router(config-flow-record)# match ipv4 source address
Router(config-flow-record)# collect counter bytes
Where do I want my data sent?Router(config)# flow exporter my-exporter
Router(config-flow-exporter)# destination 1.1.1.1
Router(config)# flow monitor my-monitor
Router(config-flow-monitor)# exporter my-exporter
Router(config-flow-monitor)# record my-record
Router(config)# interface s3/0
Router(config-if)# ip flow monitor my-monitor input
1. Configure the Exporter
2. Configure the Flow Record
3. Configure the Flow Monitor
4. Apply to an Interface
Configuring Flexible NetFlow
Best Practice: include all
v5 fields
Well, this seems simple.
NetFlow Collection: Flow Stitching
10.2.2.2port 1024
10.1.1.1port 80
eth
0/1
eth
0/2
Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes
Sent
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Start Time Client IP Client
Port
Server
IP
Server
Port
Proto Client
Bytes
Client
Pkts
Server
Bytes
Server Pkts Interfaces
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1
eth0/2
Uni-directional
flow records
Bi-directional:
• Conversation flow record
• Allows easy visualization and analysis
NetFlow Collection: De-duplication
Router A
Router B
Router C
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
• Without de-duplication
• Traffic volume can be misreported
• False positives would occur
• Allows for the efficient storage of flow data
• Necessary for accurate host-level reporting
• Does not discard data10.2.2.2
port 1024
10.1.1.1port 80
Duplicates
Conversational Flow Record
Who WhoWhat
When
How
WhereMore context
• Highly scalable (enterprise class) collection
• High compression => long term storage
• Months of data retention
Really cool!
