Использование технологий компании Cisco

Использование технологий компании Cisco

для своевременного обнаружения

киберугроз

Михаил Кадер

[email protected]

[email protected]

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

mailto:[email protected]





Современные угрозы


Угрозы становятся как никогда изощреннее

Шпионаж Разрушение Манипуляция

Script

Kiddies

Группы

хактивистов

Организованная

преступность

Спец

службы 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Сама по себе безопасность периметра

малоэффективна

Устройства

периметра

Контроль и

управление Сетевая разведка и

распространение

Кража данных

Целевые угрозы

зачастую обходят

периметр

Только вся сеть целиком имеет

достаточный уровень

наблюдаемости для

выявления сложных угроз


Ваша сеть СКОМПРОМЕТИРОВАНА! Вы знаете где?


Знать атакующего

• Страна? Конкуренты? Частные лица? Кто?

• Что является целью? Что?

• Когда атака наиболее активна и с чем это связано? Когда?

• Где атакующие? Где они наиболее успешны? Где?

• Зачем они атакуют – что конкретно их цель? Зачем?

• Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?


Знать себя

• Кто в моей сети? Кто? • Что делают пользователи? Приложения?

• Что считать нормальным поведением? Что?

• Устройства в сети? Что считать нормальным состоянием? Когда? • Где и откуда пользователи попадают в сеть?

• Внутренние? eCommerce? Внешние? Где?

• Зачем они используют конкретные приложения? Зачем?

• Как всё это попадает в сеть? Как?


Что поможет на эти вопросы?


Широкий спектр средств защиты

Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака

Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной

фильтрации, средства защиты баз данных и порталов и т.п.


Что объединяет всех?!

СЕТЬ Видимость всего трафика

Маршрутизация всех запросов Источники всех данных

Контроль всех данных

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков


NetFlow – забытый инструмент сетевой

безопасности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Существующие защитные стратегии

Обнаружение угроз на базе

сигнатур / репутации

Обнаружение угроз на базе

аномалий

Сетевой

периметр

МСЭ

IPS/IDS Ловушки

Внутренняя

сеть

Контентная фильтрация

Web/Email трафика Cisco Cyber

Threat Defense


Обнаружение вторжений: сценарии

Система обнаружения сетевых

вторжений

• на основе сигнатур

• пассивный сбор

• первичный источник оповещения

Журнал Syslog сервера

• инструмент глубокого анализа

• возможность фильтрации

• ограниченное воздействие на систему

Анализ сетевых потоков

• слабое воздействие на устройства

• основной инструмент исследования

• небольшой требуемый объем памяти


A

B

C

C B

A

C A

B

Не везде есть IPS, но везде есть NetFlow


NetFlow – это редко используемый источник

данных ИБ


Вспомним: NetFlow для задач безопасности

• Обнаружение Бот-сетей и их каналов управления. Бот-сети могут быть внедрены в сети предприятий для выполнения таких вредоносных активностей, как рассылка СПАМ-а, проведения атак типа «отказ в обслуживании», или других действий.

• Предотвращение утечек данных. Вредоносный код может быть скрыт в корпоративной сети и использоваться для передачи конфиденциальной информации злоумышленнику. Это может осуществляться как однократно, так и периодически.

• Обнаружение сложных и постоянных угроз. Вредоносное ПО может долгое время «спать» внутри корпоративной сети, ожидая команды. Это могут быть угрозы дня «0», для которых еще нет антивирусных сигнатур или которые сложно обнаружить по другим причинам.

• Обнаружения вредоносного ПО, распространяющегося внутри организации. Распространение вредоносного программного обеспечения может охватывать узлы внутри сети для выполнения сетевой разведки, хищения данных, использования каналов утечек.

• Выявление сетевой разведки. В процессе некоторых атак вначале идет сканирование сети жертвы для определения возможного вектора атаки и дальнейшей разработки направленного, специализированного вторжения.


Откуда мы можем получать NetFlow?

Из всех критичных и важных точек 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Выборочный трафик

• Часть трафика, обычно менее 5%,

• Дает быстрый взгляд в сеть

Похоже на чтение каждой 20-й

страницы книги. Технической

книги-справочника

ПОЛНЫЙ трафик

• Весь трафик подлежит сбору

• Предоставляет исчерпывающий обзор

всей сетевой активности

• Эквивалент внимательного

постраничного чтения + пометки на

полях + закладки

Выборка полезна для мониторинга сети, но не для безопасности

Полный и выборочный NetFlow


Netflow для обнаружения аномалий


Поведенческий анализ


NetFlow Security Event Logging

NetFlow Security Event Logging

Визуализация политик безопасности

Эффективный механизм учета :

Syslog (классический метод)

— Текстовый, одно событие на пакет

—~30% нагрузки на процессор

NetFlow

—Компактный, множество событий на пакет

—~7-10% нагрузки на процессор


Детали использования NSEL

Cisco NSEL отличается от стандартного NetFlow

Потоки в NSEL двунаправленные

Поток NSEL равен соединению на ASA

Событие NSEL создается на каждое соединение ASA

Основан на событиях

Изначально записи создавались по трем событиям статуса соединения

В ASA v8.4.5 информация о потоке посылается по таймеру активности

Заблокированные соединения тоже создают записи NSEL

Записи NSEL создаются по следующим событиям

Flow creation – каждый раз при создании соединения

Flow teardown – каждый раз при завершении успешно созданного соединения

Flow denial – при блокировании соединения, например фильтром (ACL)


Cisco Cyber Threat Defense


Решение по мониторингу на основе NetFlow, которое предоставляет

действенное понимание в отношении производительности и безопасности,

а также сокращает время расследования подозрительного поведения

Lancope StealthWatch

Признанный игрок рынка мониторинга сети и

безопасности

Cisco Solutions Plus Product — Общие дизайны Cisco+Lancope

— Совместные инвестиции в развитие

— Доступность в канале продаж Cisco

Отличный уровень сотрудничества с Cisco


http://www.lancope.com/

TrustSec

Enabled

Enterprise

Network

Identity Services Engine

NetFlow: Switches, Routers, и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа

и обеспечивает ключевое понимание внутренней активности в сети

Телеметрия NetFlow Cisco Switches, Routers и ASA 5500

Данные о контексте угрозы Cisco Identity, Device, Posture, Application

Cyber Threat Defense = Cisco + Lancope



Компоненты решения Cyber Threat Defense

Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

StealthWatch FlowSensor

StealthWatch FlowSensor

VE Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Другие коллекторы

https

https

NBAR NSEL


Масштабируемая архитектура

• Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)

• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)

• Понимание контекста


Edge

Site-to-Site VPN

ASA

ISR-G2

Remote

Access

Cisco ISE

Management

StealthWatch Management

Console

StealthWatch FlowCollector

Архитектура решения Cyber Threat Defense

Сбор и анализ

З NetFlow записей

Корреляция и отображение потоков, идентификационные данные

Cisco TrustSec: Access Control, Profiling and Posture

NetFlow Capable

Devices

Catalyst® 3750-X

Catalyst® 3560-X

Catalyst® 5500

Catalyst® 4500

Access Point

Access Point

Access

Bra

nc

h

Cam

pu

s

Distribution

Catalyst® 3750-X Stack

WLC

Catalyst® 6500

Catalyst® 6500

NetFlow

Identity

Масштабируемая NetFlow инфраструктура

AAA services, profiling and posture assessment 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Cyber Threat Defense 1.1.1

CTD 1.1.1 был выпущен в ноябре

Lancope StealthWatch 6.4.1

Интеграция с ISE 1.2

Раcширенная поддержка ASA

Расширенная поддержка NetFlow для Catalyst 3850


StealthWatch 6.4

Обнаружение прикладных атак «отказ в обслуживании»

Slowloris

Учет пользователей Поиск по имени пользователя

Анализ по пользователям используя таблицу потоков

Пользователи в NetFlow

Аналитические таблицы по пользователям

«Снимок» пользователя

Масштабируемость и производительность FlowSensor

Flow Collection Engine

Интеграция с Cisco ISE

Производительность отчета по приложениям

Информация о DHCP

Стартовые помощники

Экспорт отчетов в формате (.csv)

Поддержка Cisco ASA 8.4(5) и 9.1(2) NSEL

Детальная статистика по потокам для

репликации


StealthWatch 6.4.1 и ISE 1.2

Интеграция Syslog:

• До 210000 активных сессий в таблице идентификации и устройств

• Рекомендация - 2000 аутентификаций в секунду

Release Noted sev2’s:

• CSCuj86159 - ISE посылает не все сообщение syslog под большой нагрузкой

• CSCuj89866 - 3850 задержки с передачей учетной информации

Рекомендация – включить на всех коммутаторах:

aaa accounting update periodic 5


http://qddts/protected-cgi-bin/ddtsdisp.cgi?id=CSCuj86159

http://qddts/protected-cgi-bin/ddtsdisp.cgi?id=CSCuj89866

Решаемые задачи

• Обнаружение брешей в настройках МСЭ

• Обнаружение незащищенных коммуникаций

• Обнаружение P2P-трафика

• Обнаружение неавторизованной установки локального Web-сервера или точки

доступа

• Обнаружение попыток несанкционированного доступа

• Обнаружение ботнетов (командных серверов)

• Обнаружение атак «отказ в обслуживании»

• Обнаружение инсайдеров

• Расследование инцидентов

• Обнаружение неисправностей


Cisco CTD: обнаружение атак без сигнатур

Что делает

10.10.101.89?

Политика Время начала Тревога Источник Source Host

Groups

Цель Детали

Desktops &

Trusted

Wireless

Янв 3, 2013 Вероятная утечка

данных

10.10.101.89 Атланта,

Десктопы

Множество хостов Наблюдается 5.33 Гб. Политика

позволяет максимум до 500 Мб


Cisco CTD: обнаружение атак без сигнатур

Высокий Concern Index показывает

значительное количество подозрительных

событий

Группа узлов Узел CI CI% Тревога Предупреждения

Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan

Слежение за активностью как одного узла, так и группы узлов


Обнаружение бот-сетей

Что смотрим:

• Счетчики

• Приложения

• Соотношение

приема/передачи

• Время суток

• Повторяющиеся

соединения

• Повторяющиеся

«мертвые» соединения

• Долгоживущие потоки

• Известные центры

управления Бот-сетями

Периодические обращения к

центру управления

Методы обнаружения:

Host Lock Violation

Suspect Long Flow

Beaconing Host

Bot Command & Control Server

Bot Infected Host – Attempted C&C

Bot Infected Host – Successful C&C


Сигналы CTD о Бот-сетях

Сигнал тревоги Описание

Host Lock Violation Указывает, что узел нарушил ограничения доступа.

Suspect Long Flow Продолжительность двунаправленного соединения между внешним и внутренним

узлами превысила параметр “Seconds required to qualify a flow as long duration”.

Beaconing Host Продолжительность однонаправленного трафика между внутренним и внешним

узлами превысила параметр “Seconds required to qualify a flow as long duration”.

Bot C&C Server Узел во внутренней сети выступает командным пунктом Бот-сети. Это событие

появляется тогда, когда адрес такого узла совпадает с известным адресом

командного пункта.

Bot Infected Host –

Attempted C&C

Узел во внутренней сети пытается установить соединение с известным

командным пунктом, соответственно является частью бот-сети. Соединение

однонаправленное.

Bot Infected Host –

Successful C&C

Узел во внутренней сети установил соединение с известным командным пунктом,

соответственно является частью бот-сети. Соединение двунаправленное.


Обнаружение Бота Zeus:

Нарушение правила доступа

User Host Group

Zeus C&C Servers Host Group


Обнаружение Бота Zeus по известному узлу

Alarm Details


Детали соединения с командным пунктом Zeus

Внутренний

узел

Сервер

Zeus

Много маленьких соединений

HTTP

Группа узлов

Бот-сетей


Профиль трафика с командным пунктом Бота:

День 1


Инфицированные узлы – соединения изнутри

наружу

Israel! WTF?


Профиль трафика 77.125.224.146 – первый день



Traffic Profile with 77.125.224.146 – 20 Days


Обнаружение сетевой разведки


• Много потоков

• Однонаправленные или

неподтвержденные соединения

• Потоки на группу подсетей или

узлов

• Потоки на несуществующие

адреса IP

• Профили трафика

• Аномалии

Продолжительный и медленный

процесс для определения ресурсов и

уязвимостей


Индекс проблемности

Много трафика

Узлы-приманки


Сигналы CTD о сканировании

Сигнал тревоги Описание

High Concern Index Указывает что индекс проблемности или:

• Превысил пороговое значение (сумма для всех проблемных событий)

• Быстро растет

High Traffic Для узла – указывает, что средний поток данных за 5 минут превысил

пороговое значение.

Trapped Hosts Показывает, что узел превысил количество дней в месяце когда он может

быть просканирован.


Обнаружение эпидемии вредоносного ПО

Обнаружение ответов узлов и

реализованных уязвимостей


• Много потоков

• Соединения внутри

подсети/группы узлов

• Профиль трафика

• Аномалии


Индекс проблемности, Индекс цели,

Задействованные узлы, Сигнал

распространения червей, Контроль

распространения червей


Сигналы CTD о распространении червей

Сигнал тревого Описание

High Concern Index Указывает что индекс проблемности или:

• Превысил пороговое значение (сумма для всех проблемных событий)

• Быстро растет

High Target Index Приоритезированный список узлов, которые выглядят жертвами

вредоносной активности.

Touched Host Указывает, что определенный узел (с высоким индексом проблемности или

приманка) устанавливает соединение с узлом-жертвой и обменивается

данными. Это часто бывает при новой эпидемии червей, когда они

сканируют сеть для поиска уязвимых узлов и затем инфицируют них.

Worm Propagation Указывает, что узел, зараженный червем, обратился к данному узлу. Этот

узел, затем, после сканирования, обращается к больше чем определенному

числу подсетей класса C.

Worm Tracker Это визуализация распространения червя по сети.


Обнаружение утечек данных


• Исторический срез передачи

данных

• Приложения

• Время суток

• Счетчики

• Объем данных – единичный и

общий

• Временные границы

• Ассиметричный потоки данных

• Поток данных между

функциональными группами

Экспорт данных ресурса

Метод обнаружения:

Возможная утечка данных

Возможно длинный поток

Однонаправленный трафик

Промежуточный ресурс для

привлечения злоумышленников


Сигналы CTD об утечке данных

Alarm Description

Suspect Data Loss Указывает, что общий объем потоков данных TCP или UDP, которые

внутренний узел выгрузил на внешние узлы превысил пороговое значение.

Система создает базовые профили трафика для каждого внутреннего узла

для нормального исходящего трафика.

Suspect Long Flow Продолжительность двунаправленного соединения между внешним и

внутренним узлами превысила параметр “Seconds required to qualify a flow as

long duration”.

Beaconing Host Продолжительность однонаправленного трафика между внутренним и

внешним узлами превысила параметр “Seconds required to qualify a flow as

long duration”.


Обнаружение атак типа «отказ в обслуживании»

Определить цели

• Цели атаки

• Аномальный объем

трафика

• Снижение

производительности

Определить

атакующих


Сигналы CTD об атаках типа «отказ в

обслуживании» - 1/2 Alarm Description

High Target Index Приоритезированный список узлов, которые выглядят жертвами вредоносной

активности.

Server Response Time Используя FlowSensor и FlowSensor VE technology, CTD может сообщить, когда

сервер начинает «захлебываться».

Packets Per Second CTD может показать рост нагрузки на сеть, забивающую сетевые ресурсы.

Interface Congestion Метрики производительности интерфейсов постоянно контролируются,

обеспечивая отображение атаки на аппаратном уровне.

Max Flows Served Для каждого сервера создается профиль нормального количества соединений.

Если он превышен – передается сигнал тревоги на консоль управления CTD.

Max SYNS Received Когда серверы начинают получать избыточное количество пакетов TCP SYN, идет

уведомление на консоль CTD.

Relationship High Total

Traffic

Когда специальные запросы HTTP создаются, чтобы «перебить» данные, идущие

от сервера баз данных к Web-серверу, сообщение об этом может сообщить о

проблеме, которую не видят другие системы обнаружения атак типа «отказ в

обслуживании». 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Сигналы CTD об атаках типа «отказ в

обслуживании» - 2/2

Alarm Description

New Host Active Легитимные пользователи обычно регулярно

посещают серверы. Атакующие узлы обычно

потом к жертве не возвращаются. CTD может

различать эти две категории.

Max Flows Initiated Анализируя количество потоков в минуту для

легитимного пользователя, CTD может сообщать

об узлах, которые превышают эту норму.

Slow Connection Flood Определение наличия атак типа «отказ в

обслуживании» на прикладном уровне при

использовании специального ПО, такого как

Slowloris


CTD:

Понимание контекста угрозы 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Не зная броду, не суйся в воду

Device

Location

Access Method

Hygiene

Reputation

Direction

Telemetry

Trustworthiness


Добавляя контекст и понимание

C I2 I4 A

ЛОКАЛЬНО Бизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНО

Ситуационный

анализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо-

действия

APP Приложения

URL Сайты


Откуда мы можем взять контекст?

Users/Devices Cisco Identity Services Engine (ISE)

Network Based Application Recognition

(NBAR)

NetFlow Secure Event

Logging (NSEL)

Связь потоков с

пользователями и

конечными

устройствами


приложениями,

идущими через

маршрутизаторы


разрешенными и

заблокированными

соединениями на МСЭ


ISE ISE

Узлы и ролевые функции ISE

Ролевая функция — одна или несколько из следующих:

•Администрирование

•Мониторинг

•Сервис политик

Оценка состояния в потоке трафика

Сервис политик

Мониторинг Администрирование

Одиночный узел ISE (устройство или виртуальная машина)

Одиночный узел оценки состояния на пути трафика (только устройство)


Архитектура ISE

Оконечное

устройство Ресурс Реализация

Внешние

данные Просмотр /

настройка

политик

Атрибуты

запросов

Запрос

доступа Доступ к

ресурсу

Ведение

журналов

Контекст

запроса /

ответа

Мониторинг

Просмотр

журналов/

отчетов

Ведение

журналов

Ведение

журналов

Админист-

рирование

Сервис

политик


Получение контекста от Cisco ISE

Cisco ISE – унифицированная система управления и контроля защищенным

доступом к внутренним ресурсам

Политика Время

старта

Тревога Источник Группа хостов

источника

Имя пользователя Тип устройства Цель

Desktops &

Trusted

Wireless

Янв 3, 2013 Вероятная

утечка данных

10.10.101.89 Атланта, Десктопы

Джон Смит Apple-iPad Множество

хостов


Получение контекста от Cisco ASA / ISR / ASR

Поле Flow Action может добавить дополнительный контекст

NSEL-отчетность на основе состояний для поведенческого анализа

Сбор информации о отклоненных или разрешенных соединениях


Заблокированные потоки


Учет потоков при расчете индекса проблемности


Учет трансляции адресов (NAT)


Проверка Botnet Traffic Filter Bot infected host alarm

Flow before BTF enabled

Flow after BTF enabled

ASA Log


Географическое блокирование по IP

Требование: Блокировать все входящие

соединения из некоторых стран, например США

Настройка:

1. Настроить ASA как устройство

предотвращения в FlowCollector

2. Создать правило Host Lock Violation

Alarm для США на внутренние узлы

3. Создать политику USA Geo

4. Установить политику предотвращения

Host Locking Violation для US Geo

Команда Shun выполняется Flow Collector при

возникновении события Host Lock Violation


CTD:

Отчеты 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Полная видимость всего, что происходит во

внутренней сети

Internet Atlanta

San Jose

New York

ASR-1000

Cat6k

UCS с Nexus 1000v

ASA Cat6k

3925 ISR

3560-X

3850 Stack(s)

Cat4k Datacenter

WAN

DMZ

Access


Визуализация по разным срезам


Консоль управления CTD


Крупным планом

Обнаружение разных

типов атак, включая

DDoS

Детальная статистика о

всех атаках,

обнаруженных в сети


Предполагаемая утечка

данных

Слишком высокий показатель

совместного использования

файлов

Достигнуто максимальное

количество обслуженных

потоков

Предустановленные политики


Когда?

Сколько?

Участник Участник

Каким

образом?

Расследование инцидентов


Выберите узел

для

исследования

Поиск

исходящего

трафика

Запрос интересующей информации


Результаты запроса

Сервер, DNS и страна

Тип трафика и объем


В заключение


Firewall

IPS

Web Sec

N-AV

Email Sec

Целенаправленные угрозы пректируются с учетом необходимости обхода шлюзов

безопасности

Распространение угроз внутри периметра

Периметр безопасности останавливает основную часть угроз, тем не менее

сложные кибер-угрозы обходят средства безопасности

Следы кибер-угроз можно обнаружить только в сети в целом

Распространение на устройства

Целенаправленные угрозы, входящие

изнутри сети

Традиционных средств защиты периметра

недостаточно


TrustSec

Enabled

Enterprise

Network

Identity Services Engine

NetFlow: Switches, Routers, и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа

и обеспечивает ключевое понимание внутренней активности в сети

Телеметрия NetFlow Cisco Switches, Routers и ASA 5500

Данные о контексте угрозы Cisco Identity, Device, Posture, Application

Cyber Threat Defense обеспечивает внутренние

контроль и защиту



Объединим все вместе

Устройс

тва Внутренняя сеть

Видимость, контекст и контроль

Используем данные NetFlow

для расширения видимости на

уровне доступа

Унификация в единой панели

возможностей по обнаружению,

расследованию и реагированию

Совмещение данных NetFlow с

Identity, событиями ИБ и

приложениями для создания

контекста

КТО

ЧТО ГДЕ/ОТКУДА

КОГДА

КАК

Hardware-

enabled

NetFlow

Switch

Cisco ISE

Cisco ISR G2 + NBAR

Cisco ASA + NSEL

Контекст


CTD завтра

Telemetry Sources

Lancope StealthWatch:

Visibility, Analysis, &

Investigation

(NetFlow)

Сегодня

Telemetry

Sources

www …

Telemetry

Sources

…

Cloud Threat Analytics

CoSe

Content Analysis

✔

✓✗ !

pxGrid

#

Network Enforced

Policy

TrustSec, SDN


http://images.google.com/url?sa=i&rct=j&q=Sourcefire+logo+png&source=images&cd=&cad=rja&docid=yRGUfHokYH5GNM&tbnid=7-PgSNuijx5aFM:&ved=0CAUQjRw&url=http://siliconangle.com/blog/2013/07/24/cisco-acquires-sourcefire-in-2-7b-cybersecurity-deal/sourcefire-logo/&ei=k9n_Ua7IA6PjiALO94DAAQ&psig=AFQjCNHDqJTdFH7HD4bqK3XggsajYjw7pQ&ust=1375808269940446

Где узнать больше?


Пожалуйста, заполните анкеты.

Ваше мнение очень важно для нас.

Спасибо


Technology

Использование технологий компании Cisco