Embed Size (px)
Citation preview
#ArubaAgoraTech19
Cubriendo las necesidades del CISO con Aruba Security
Aruba SecurityRafael del Cerro FloresCyberSecurity Systems Engineer SOE
4#ArubaAgoraTech19
Del Ágora Tech 2018…
5#ArubaAgoraTech19
A las necesidades del CISO en 2019Chief Information Security Officer
https://www.incibe.es/protege-tu-empresa/blog/ceo-ciso-cio-roles-ciberseguridad
6#ArubaAgoraTech19
Aruba Security
ClearPass 6.8.0 Discovery, Profiling, Identity, Authorization, Context Share, Enforce, Attack Response
IntroSpectBehaviour Based Attack Detection, Risk Visibility, IoT Aware
Aruba Mobile First Infrastructurewith Aruba Secure Core
Secure Boot | Encryption | DPI | VPN | IPS | Firewall
ClearPass6.8.0
7#ArubaAgoraTech19
Aruba Security - IPDR
Descubrir/Perfilar los dispositivos y
usuarios conectados a la red
Aplicar políticas de Seguridad en el acceso
personalizadas (autorización), respecto a usuarios, dispositivos o
tipo de conexión
Responder de manera automatizada
interactuando, si es necesario, con
sistemas de terceros
Identificar Proteger ResponderDetectar
Descubrir y comprender
amenazas y ataques ocultos ya residentes
en la red interna
8#ArubaAgoraTech19
Identificar
9#ArubaAgoraTech19
ClearPass: ProfilingDiferentes técnicas combinadas para perfilado
MAC-OUI
DHCP Fingerprinting
WMI (Windows)
SSH (Linux)
CDP
LLDP
HTTP User Agent
Lecturas ARP
Nmap Port Scans
Escaneos de redActive Sync Plugin
Netflow
SNMP Netflow Discovery
Posture Agent
Posture Agentless
Identificación
Clasificación
802.1X
EAP-TLS
MAC-Auth
Captive Portal
SAML
OpenAuth
IoT (MPSK)
10#ArubaAgoraTech19
Device Attributes
IP/MAC Address
Application Access
Communication Protocols
Communication Frequency
Deep Packet Inspection (DPI)
MACHINE LEARNING
CROWDSOURCING
ClearPass Device InsightClasificación de dispositivos desconocidos ClearPass
6.8.0
11#ArubaAgoraTech19
Atributos estáticosSistema Operativo, Vendor del Hardware
Técnicas activas y pasivas como por ejemplo MAC OUI, NMPA, etc.
Atributos dinámicosEntender atributos de comportamiento
Deep Packet Inspection (DPI) y Machine Learning para detector patrones de comunicacicaciones,
aplicaciones, etc.
Atributos comparativosEncontrar características en común
Monitorización continua del tráfico del dispositivo con inteligencia colaborativa para refinar y actualizar device fingerprints
ClearPass Device InsightAutomatización del descubrimiento de dispositivos ClearPass
6.8.0
12#ArubaAgoraTech19
No Fingerprint
Fingerprint
Dispositivosdescubiertos
Clasificación de dispositivos conocidosmediante fingerprints
Clasificación basada enatributos estáticos,
flujos y comportamiento
Checks for Fingerprint
Device Identified and
Labeled
ML-based Classification
ClearPass Device InsightUtilizar Machine Learning para dispositivos desconocidos ClearPass
6.8.0
13#ArubaAgoraTech19
Multi-Vendor Switching
Multi-Vendor WLANs
3rd Party Security and Networking Vendors
360 SECURE FABRIC ECOSYSTEM
ClearPass Policy ManagerSEGMENTATION / ENFORCEMENT
Internet of Things (IoT) BYOD and
Corporate Owned
ClearPass Device InsightENHANCED DISCOVERY / PROFILING
Bi-Directional Data Exchange
Integración para obtener acceso seguro
14#ArubaAgoraTech19
Demo 1: Identificación
15#ArubaAgoraTech19
ClearPass Device Insight
16#ArubaAgoraTech19
ClearPass Device Insight
17#ArubaAgoraTech19
ClearPass Device Insight
18#ArubaAgoraTech19
Proteger
19#ArubaAgoraTech19
SSID1WPA2-PSK: 1234512345
SSID2WPA2-PSK: 1234512345
SSID3WPA2-PSK: 1234512345
SSID4WPA2-PSK: 1234512345
SSID5WPA2-PSK: 1234512345
SSID6WPA2-PSK: 1234512345
Aruba Multi Pre-Shared Key (MPSK)Limitaciones WPA-PSK y múltiples SSID ClearPass
6.8.0
20#ArubaAgoraTech19
Aruba Multi Pre-Shared Key (MPSK)Limitaciones WPA-PSK y múltiples SSID ClearPass
6.8.0
WPA2-PSK: 987654321
WPA2-PSK: 1111122222
WPA2-PSK: 4444433333
WPA2-PSK: 6666677777
WPA2-PSK: 8888877777
WPA2-PSK: 1234512345Gracias a MPSK se obtienen las siguientes mejoras:
- Soporte de múltiples PSK sobre el mismo SSID
- Mejora del uso RF reduciendo el número de SSID
- Reducción del tiempo y esfuerzo del departamento de IT
- Mejoras de Seguridad con múltiples PSK
21#ArubaAgoraTech19
Aruba Multi Pre-Shared Key (MPSK)Multi-PSK Authentication Workflow ClearPass
6.8.0
22#ArubaAgoraTech19
Aruba Multi Pre-Shared Key (MPSK)
Aruba IoT
8VFL2nRa
7T8dJHDp
Ttc7r49J
med-tech
– Clave diferente por dispositivo, role o dueño de cada uno
– Se reducen brechas de seguridad.
– Registro por el usuario final, contractor o gestor de TI.
– No sustituye otras opciones más seguras (802.1x, EAP-TLS)
ClearPass6.8.0
23#ArubaAgoraTech19
RadSecComunicación RADIUS segura ClearPass
6.8.0
- Intercambio de los mensajes RADIUS medinate sesiones TLS encriptadas- Autenticación mútua (certificado de servidor y certificado de cliente)- ¿Por qué?
- RADIUS/UDP es antiguo e inseguro- En las sesiones Wireless 802.1X contiene clave PMK (usado para derivar 802.11i encryption keys)- Mensajes incluyen información sensible: MAC, AP-name, AP-location, etc.
24#ArubaAgoraTech19
Detectar
25#ArubaAgoraTech19
OnGuardPosture
– Múltiples opciones para verificar el posture de los equipos
Access Network
Agent
• Agente “pesado” “ligero” o
soluble
• Integración nativa con ePO
(McAfee) o SAPM (Symantec)
• Windows (2003, XP, Vista, 7, 8, 10, S2008, S2012, S2016)
• Linux (Centros, Fedora, RedHat, Suse, Ubuntu)
• MacOS
Sistemas Operativos
• Análisis por tipo de software
• Definición de parches mínimos
• Auto-remediación
• Envío a portal informativo
Funcionalidades
26#ArubaAgoraTech19
OnGuardAgentless ClearPass
6.8.0
– Control del Posture sin desplegué previo de Agente
– Pensado para entornos basados en Windows y equipos en el Dominio
– Despliegue de script en los equipos para controlar el estado del Posture, capacidades similares a solución tradicional con Agente
27#ArubaAgoraTech19
OnGuardIntegración con Antivirus ClearPass
6.8.0
– Control del Posture apoyado en ePO McAfee o SAPM de Symantec.
– Lectura de los atributos que pueden proporcionar estas herramientas.
– Control de acceso basado en dichas atributos.
28#ArubaAgoraTech19
Responder
29#ArubaAgoraTech19
UserDeviceLocation
AAA / Network policies
Status/PoliciesDevice
UserDevice
Security Event
Security events
Logs
SYSTEMS / DB
MDM / EMM
SECURITY INTELLIGENCE
Respuesta adaptativa
PERIMETER PROTECTION
Network policies
NETWORK INFRASTRUCTURE
User and EntityBehaviour Analitycs(UEBA)
30#ArubaAgoraTech19
IntroSpectIdentificación de amenazas mediante análisis por comportamiento
Análisis del comportamiento
Auth AD Logins
Cloud IaaS
Exfiltración EmailActividad SaaS
Accesos remotosLogs VPN
Accesos a recursosinternos
Accesos físicosLogs de badges
31#ArubaAgoraTech19
IntroSpectAplicación de ML y análisis de todo tipo de datos
SEMI- SUPERVISED &&
UNSUPERVISED
MACHINE LEARNING
Behavioral Analytics
HISTORICAL+
PEER GROUP
BASELINES
34#ArubaAgoraTech19
NETWORK TRAFFICPACKETSFLOWS
IDENTITY
INFASTRUCTURE
SaaS
laaS
ALERTS
SIEMCASB
THREAT INTELLIGENCE
IntroSpect, solución UEBAUEBA (User and Entity Behavior Analytics)
ENTITY360
ANALYTICS FORENSICS
DATA FUSION BIG DATA
IntroSpect Pack Processor
NTAUBA
35#ArubaAgoraTech19
Demo 4: Respuesta
36#ArubaAgoraTech19
Integración InfobloxSincronización Endpoints
37#ArubaAgoraTech19
Integración InfobloxRecepción de eventos: Infoblox > ClearPass
38#ArubaAgoraTech19
Integración Check PointInformación de contexto: ClearPass > Check Point
39#ArubaAgoraTech19
Integración Check PointRecepción de eventos: Check Point > ClearPass
