Upload
cisco-russia
View
557
Download
4
Embed Size (px)
DESCRIPTION
Citation preview
Использование технологий компании Cisco
для своевременного обнаружения
киберугроз
Михаил Кадер
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Современные угрозы
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Угрозы становятся как никогда изощреннее
Шпионаж Разрушение Манипуляция
Script
Kiddies
Группы
хактивистов
Организованная
преступность
Спец
службы 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Сама по себе безопасность периметра
малоэффективна
Устройства
периметра
Контроль и
управление Сетевая разведка и
распространение
Кража данных
Целевые угрозы
зачастую обходят
периметр
Только вся сеть целиком имеет
достаточный уровень
наблюдаемости для
выявления сложных угроз
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Ваша сеть СКОМПРОМЕТИРОВАНА! Вы знаете где?
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Знать атакующего
• Страна? Конкуренты? Частные лица? Кто?
• Что является целью? Что?
• Когда атака наиболее активна и с чем это связано? Когда?
• Где атакующие? Где они наиболее успешны? Где?
• Зачем они атакуют – что конкретно их цель? Зачем?
• Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Знать себя
• Кто в моей сети? Кто? • Что делают пользователи? Приложения?
• Что считать нормальным поведением? Что?
• Устройства в сети? Что считать нормальным состоянием? Когда? • Где и откуда пользователи попадают в сеть?
• Внутренние? eCommerce? Внешние? Где?
• Зачем они используют конкретные приложения? Зачем?
• Как всё это попадает в сеть? Как?
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Что поможет на эти вопросы?
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Широкий спектр средств защиты
Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака
Межсетевые экраны, системы предотвращения вторжений, антивирусы, системы контентной
фильтрации, средства защиты баз данных и порталов и т.п.
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Что объединяет всех?!
СЕТЬ Видимость всего трафика
Маршрутизация всех запросов Источники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
NetFlow – забытый инструмент сетевой
безопасности 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Существующие защитные стратегии
Обнаружение угроз на базе
сигнатур / репутации
Обнаружение угроз на базе
аномалий
Сетевой
периметр
МСЭ
IPS/IDS Ловушки
Внутренняя
сеть
Контентная фильтрация
Web/Email трафика Cisco Cyber
Threat Defense
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение вторжений: сценарии
Система обнаружения сетевых
вторжений
• на основе сигнатур
• пассивный сбор
• первичный источник оповещения
Журнал Syslog сервера
• инструмент глубокого анализа
• возможность фильтрации
• ограниченное воздействие на систему
Анализ сетевых потоков
• слабое воздействие на устройства
• основной инструмент исследования
• небольшой требуемый объем памяти
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
A
B
C
C B
A
C A
B
Не везде есть IPS, но везде есть NetFlow
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
NetFlow – это редко используемый источник
данных ИБ
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Вспомним: NetFlow для задач безопасности
• Обнаружение Бот-сетей и их каналов управления. Бот-сети могут быть внедрены в сети предприятий для выполнения таких вредоносных активностей, как рассылка СПАМ-а, проведения атак типа «отказ в обслуживании», или других действий.
• Предотвращение утечек данных. Вредоносный код может быть скрыт в корпоративной сети и использоваться для передачи конфиденциальной информации злоумышленнику. Это может осуществляться как однократно, так и периодически.
• Обнаружение сложных и постоянных угроз. Вредоносное ПО может долгое время «спать» внутри корпоративной сети, ожидая команды. Это могут быть угрозы дня «0», для которых еще нет антивирусных сигнатур или которые сложно обнаружить по другим причинам.
• Обнаружения вредоносного ПО, распространяющегося внутри организации. Распространение вредоносного программного обеспечения может охватывать узлы внутри сети для выполнения сетевой разведки, хищения данных, использования каналов утечек.
• Выявление сетевой разведки. В процессе некоторых атак вначале идет сканирование сети жертвы для определения возможного вектора атаки и дальнейшей разработки направленного, специализированного вторжения.
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Откуда мы можем получать NetFlow?
Из всех критичных и важных точек 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Выборочный трафик
• Часть трафика, обычно менее 5%,
• Дает быстрый взгляд в сеть
Похоже на чтение каждой 20-й
страницы книги. Технической
книги-справочника
ПОЛНЫЙ трафик
• Весь трафик подлежит сбору
• Предоставляет исчерпывающий обзор
всей сетевой активности
• Эквивалент внимательного
постраничного чтения + пометки на
полях + закладки
Выборка полезна для мониторинга сети, но не для безопасности
Полный и выборочный NetFlow
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Netflow для обнаружения аномалий
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Поведенческий анализ
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
NetFlow Security Event Logging
NetFlow Security Event Logging
Визуализация политик безопасности
Эффективный механизм учета :
Syslog (классический метод)
— Текстовый, одно событие на пакет
—~30% нагрузки на процессор
NetFlow
—Компактный, множество событий на пакет
—~7-10% нагрузки на процессор
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Детали использования NSEL
Cisco NSEL отличается от стандартного NetFlow
Потоки в NSEL двунаправленные
Поток NSEL равен соединению на ASA
Событие NSEL создается на каждое соединение ASA
Основан на событиях
Изначально записи создавались по трем событиям статуса соединения
В ASA v8.4.5 информация о потоке посылается по таймеру активности
Заблокированные соединения тоже создают записи NSEL
Записи NSEL создаются по следующим событиям
Flow creation – каждый раз при создании соединения
Flow teardown – каждый раз при завершении успешно созданного соединения
Flow denial – при блокировании соединения, например фильтром (ACL)
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco Cyber Threat Defense
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Решение по мониторингу на основе NetFlow, которое предоставляет
действенное понимание в отношении производительности и безопасности,
а также сокращает время расследования подозрительного поведения
Lancope StealthWatch
Признанный игрок рынка мониторинга сети и
безопасности
Cisco Solutions Plus Product — Общие дизайны Cisco+Lancope
— Совместные инвестиции в развитие
— Доступность в канале продаж Cisco
Отличный уровень сотрудничества с Cisco
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
TrustSec
Enabled
Enterprise
Network
Identity Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Масштабируемая архитектура
• Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)
• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)
• Понимание контекста
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Edge
Site-to-Site VPN
ASA
ISR-G2
Remote
Access
Cisco ISE
Management
StealthWatch Management
Console
StealthWatch FlowCollector
Архитектура решения Cyber Threat Defense
Сбор и анализ
З NetFlow записей
Корреляция и отображение потоков, идентификационные данные
Cisco TrustSec: Access Control, Profiling and Posture
NetFlow Capable
Devices
Catalyst® 3750-X
Catalyst® 3560-X
Catalyst® 5500
Catalyst® 4500
Access Point
Access Point
Access
Bra
nc
h
Cam
pu
s
Distribution
Catalyst® 3750-X Stack
WLC
Catalyst® 6500
Catalyst® 6500
NetFlow
Identity
Масштабируемая NetFlow инфраструктура
AAA services, profiling and posture assessment 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Cyber Threat Defense 1.1.1
CTD 1.1.1 был выпущен в ноябре
Lancope StealthWatch 6.4.1
Интеграция с ISE 1.2
Раcширенная поддержка ASA
Расширенная поддержка NetFlow для Catalyst 3850
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
StealthWatch 6.4
Обнаружение прикладных атак «отказ в обслуживании»
Slowloris
Учет пользователей Поиск по имени пользователя
Анализ по пользователям используя таблицу потоков
Пользователи в NetFlow
Аналитические таблицы по пользователям
«Снимок» пользователя
Масштабируемость и производительность FlowSensor
Flow Collection Engine
Интеграция с Cisco ISE
Производительность отчета по приложениям
Информация о DHCP
Стартовые помощники
Экспорт отчетов в формате (.csv)
Поддержка Cisco ASA 8.4(5) и 9.1(2) NSEL
Детальная статистика по потокам для
репликации
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
StealthWatch 6.4.1 и ISE 1.2
Интеграция Syslog:
• До 210000 активных сессий в таблице идентификации и устройств
• Рекомендация - 2000 аутентификаций в секунду
Release Noted sev2’s:
• CSCuj86159 - ISE посылает не все сообщение syslog под большой нагрузкой
• CSCuj89866 - 3850 задержки с передачей учетной информации
Рекомендация – включить на всех коммутаторах:
aaa accounting update periodic 5
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Решаемые задачи
• Обнаружение брешей в настройках МСЭ
• Обнаружение незащищенных коммуникаций
• Обнаружение P2P-трафика
• Обнаружение неавторизованной установки локального Web-сервера или точки
доступа
• Обнаружение попыток несанкционированного доступа
• Обнаружение ботнетов (командных серверов)
• Обнаружение атак «отказ в обслуживании»
• Обнаружение инсайдеров
• Расследование инцидентов
• Обнаружение неисправностей
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco CTD: обнаружение атак без сигнатур
Что делает
10.10.101.89?
Политика Время начала Тревога Источник Source Host
Groups
Цель Детали
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная утечка
данных
10.10.101.89 Атланта,
Десктопы
Множество хостов Наблюдается 5.33 Гб. Политика
позволяет максимум до 500 Мб
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Cisco CTD: обнаружение атак без сигнатур
Высокий Concern Index показывает
значительное количество подозрительных
событий
Группа узлов Узел CI CI% Тревога Предупреждения
Desktops 10.10.101.118 338,137,280 8,656% High Concern index Ping, Ping_Scan, TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение бот-сетей
Что смотрим:
• Счетчики
• Приложения
• Соотношение
приема/передачи
• Время суток
• Повторяющиеся
соединения
• Повторяющиеся
«мертвые» соединения
• Долгоживущие потоки
• Известные центры
управления Бот-сетями
Периодические обращения к
центру управления
Методы обнаружения:
Host Lock Violation
Suspect Long Flow
Beaconing Host
Bot Command & Control Server
Bot Infected Host – Attempted C&C
Bot Infected Host – Successful C&C
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Сигналы CTD о Бот-сетях
Сигнал тревоги Описание
Host Lock Violation Указывает, что узел нарушил ограничения доступа.
Suspect Long Flow Продолжительность двунаправленного соединения между внешним и внутренним
узлами превысила параметр “Seconds required to qualify a flow as long duration”.
Beaconing Host Продолжительность однонаправленного трафика между внутренним и внешним
узлами превысила параметр “Seconds required to qualify a flow as long duration”.
Bot C&C Server Узел во внутренней сети выступает командным пунктом Бот-сети. Это событие
появляется тогда, когда адрес такого узла совпадает с известным адресом
командного пункта.
Bot Infected Host –
Attempted C&C
Узел во внутренней сети пытается установить соединение с известным
командным пунктом, соответственно является частью бот-сети. Соединение
однонаправленное.
Bot Infected Host –
Successful C&C
Узел во внутренней сети установил соединение с известным командным пунктом,
соответственно является частью бот-сети. Соединение двунаправленное.
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение Бота Zeus:
Нарушение правила доступа
User Host Group
Zeus C&C Servers Host Group
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение Бота Zeus по известному узлу
Alarm Details
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Детали соединения с командным пунктом Zeus
Внутренний
узел
Сервер
Zeus
Много маленьких соединений
HTTP
Группа узлов
Бот-сетей
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Профиль трафика с командным пунктом Бота:
День 1
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Инфицированные узлы – соединения изнутри
наружу
Israel! WTF?
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Профиль трафика 77.125.224.146 – первый день
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Traffic Profile with 77.125.224.146 – 20 Days
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение сетевой разведки
Что смотрим:
• Много потоков
• Однонаправленные или
неподтвержденные соединения
• Потоки на группу подсетей или
узлов
• Потоки на несуществующие
адреса IP
• Профили трафика
• Аномалии
Продолжительный и медленный
процесс для определения ресурсов и
уязвимостей
Методы обнаружения:
Индекс проблемности
Много трафика
Узлы-приманки
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Сигналы CTD о сканировании
Сигнал тревоги Описание
High Concern Index Указывает что индекс проблемности или:
• Превысил пороговое значение (сумма для всех проблемных событий)
• Быстро растет
High Traffic Для узла – указывает, что средний поток данных за 5 минут превысил
пороговое значение.
Trapped Hosts Показывает, что узел превысил количество дней в месяце когда он может
быть просканирован.
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение эпидемии вредоносного ПО
Обнаружение ответов узлов и
реализованных уязвимостей
Что смотрим:
• Много потоков
• Соединения внутри
подсети/группы узлов
• Профиль трафика
• Аномалии
Методы обнаружения:
Индекс проблемности, Индекс цели,
Задействованные узлы, Сигнал
распространения червей, Контроль
распространения червей
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Сигналы CTD о распространении червей
Сигнал тревого Описание
High Concern Index Указывает что индекс проблемности или:
• Превысил пороговое значение (сумма для всех проблемных событий)
• Быстро растет
High Target Index Приоритезированный список узлов, которые выглядят жертвами
вредоносной активности.
Touched Host Указывает, что определенный узел (с высоким индексом проблемности или
приманка) устанавливает соединение с узлом-жертвой и обменивается
данными. Это часто бывает при новой эпидемии червей, когда они
сканируют сеть для поиска уязвимых узлов и затем инфицируют них.
Worm Propagation Указывает, что узел, зараженный червем, обратился к данному узлу. Этот
узел, затем, после сканирования, обращается к больше чем определенному
числу подсетей класса C.
Worm Tracker Это визуализация распространения червя по сети.
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение утечек данных
Что смотрим:
• Исторический срез передачи
данных
• Приложения
• Время суток
• Счетчики
• Объем данных – единичный и
общий
• Временные границы
• Ассиметричный потоки данных
• Поток данных между
функциональными группами
Экспорт данных ресурса
Метод обнаружения:
Возможная утечка данных
Возможно длинный поток
Однонаправленный трафик
Промежуточный ресурс для
привлечения злоумышленников
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Сигналы CTD об утечке данных
Alarm Description
Suspect Data Loss Указывает, что общий объем потоков данных TCP или UDP, которые
внутренний узел выгрузил на внешние узлы превысил пороговое значение.
Система создает базовые профили трафика для каждого внутреннего узла
для нормального исходящего трафика.
Suspect Long Flow Продолжительность двунаправленного соединения между внешним и
внутренним узлами превысила параметр “Seconds required to qualify a flow as
long duration”.
Beaconing Host Продолжительность однонаправленного трафика между внутренним и
внешним узлами превысила параметр “Seconds required to qualify a flow as
long duration”.
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Обнаружение атак типа «отказ в обслуживании»
Определить цели
• Цели атаки
• Аномальный объем
трафика
• Снижение
производительности
Определить
атакующих
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Сигналы CTD об атаках типа «отказ в
обслуживании» - 1/2 Alarm Description
High Target Index Приоритезированный список узлов, которые выглядят жертвами вредоносной
активности.
Server Response Time Используя FlowSensor и FlowSensor VE technology, CTD может сообщить, когда
сервер начинает «захлебываться».
Packets Per Second CTD может показать рост нагрузки на сеть, забивающую сетевые ресурсы.
Interface Congestion Метрики производительности интерфейсов постоянно контролируются,
обеспечивая отображение атаки на аппаратном уровне.
Max Flows Served Для каждого сервера создается профиль нормального количества соединений.
Если он превышен – передается сигнал тревоги на консоль управления CTD.
Max SYNS Received Когда серверы начинают получать избыточное количество пакетов TCP SYN, идет
уведомление на консоль CTD.
Relationship High Total
Traffic
Когда специальные запросы HTTP создаются, чтобы «перебить» данные, идущие
от сервера баз данных к Web-серверу, сообщение об этом может сообщить о
проблеме, которую не видят другие системы обнаружения атак типа «отказ в
обслуживании». 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Сигналы CTD об атаках типа «отказ в
обслуживании» - 2/2
Alarm Description
New Host Active Легитимные пользователи обычно регулярно
посещают серверы. Атакующие узлы обычно
потом к жертве не возвращаются. CTD может
различать эти две категории.
Max Flows Initiated Анализируя количество потоков в минуту для
легитимного пользователя, CTD может сообщать
об узлах, которые превышают эту норму.
Slow Connection Flood Определение наличия атак типа «отказ в
обслуживании» на прикладном уровне при
использовании специального ПО, такого как
Slowloris
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
CTD:
Понимание контекста угрозы 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Не зная броду, не суйся в воду
Device
Location
Access Method
Hygiene
Reputation
Direction
Telemetry
Trustworthiness
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Добавляя контекст и понимание
C I2 I4 A
ЛОКАЛЬНО Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действия
APP Приложения
URL Сайты
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Откуда мы можем взять контекст?
Users/Devices Cisco Identity Services Engine (ISE)
Network Based Application Recognition
(NBAR)
NetFlow Secure Event
Logging (NSEL)
Связь потоков с
пользователями и
конечными
устройствами
Связь потоков с
приложениями,
идущими через
маршрутизаторы
Связь потоков с
разрешенными и
заблокированными
соединениями на МСЭ
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
ISE ISE
Узлы и ролевые функции ISE
Ролевая функция — одна или несколько из следующих:
•Администрирование
•Мониторинг
•Сервис политик
Оценка состояния в потоке трафика
Сервис политик
Мониторинг Администрирование
Одиночный узел ISE (устройство или виртуальная машина)
Одиночный узел оценки состояния на пути трафика (только устройство)
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Архитектура ISE
Оконечное
устройство Ресурс Реализация
Внешние
данные Просмотр /
настройка
политик
Атрибуты
запросов
Запрос
доступа Доступ к
ресурсу
Ведение
журналов
Контекст
запроса /
ответа
Мониторинг
Просмотр
журналов/
отчетов
Ведение
журналов
Ведение
журналов
Админист-
рирование
Сервис
политик
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Получение контекста от Cisco ISE
Cisco ISE – унифицированная система управления и контроля защищенным
доступом к внутренним ресурсам
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя пользователя Тип устройства Цель
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная
утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество
хостов
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Получение контекста от Cisco ASA / ISR / ASR
Поле Flow Action может добавить дополнительный контекст
NSEL-отчетность на основе состояний для поведенческого анализа
Сбор информации о отклоненных или разрешенных соединениях
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Заблокированные потоки
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Учет потоков при расчете индекса проблемности
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Учет трансляции адресов (NAT)
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Проверка Botnet Traffic Filter Bot infected host alarm
Flow before BTF enabled
Flow after BTF enabled
ASA Log
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Географическое блокирование по IP
Требование: Блокировать все входящие
соединения из некоторых стран, например США
Настройка:
1. Настроить ASA как устройство
предотвращения в FlowCollector
2. Создать правило Host Lock Violation
Alarm для США на внутренние узлы
3. Создать политику USA Geo
4. Установить политику предотвращения
Host Locking Violation для US Geo
Команда Shun выполняется Flow Collector при
возникновении события Host Lock Violation
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
CTD:
Отчеты 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Полная видимость всего, что происходит во
внутренней сети
Internet Atlanta
San Jose
New York
ASR-1000
Cat6k
UCS с Nexus 1000v
ASA Cat6k
3925 ISR
3560-X
3850 Stack(s)
Cat4k Datacenter
WAN
DMZ
Access
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Визуализация по разным срезам
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Консоль управления CTD
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Крупным планом
Обнаружение разных
типов атак, включая
DDoS
Детальная статистика о
всех атаках,
обнаруженных в сети
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Предполагаемая утечка
данных
Слишком высокий показатель
совместного использования
файлов
Достигнуто максимальное
количество обслуженных
потоков
Предустановленные политики
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Когда?
Сколько?
Участник Участник
Каким
образом?
Расследование инцидентов
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Выберите узел
для
исследования
Поиск
исходящего
трафика
Запрос интересующей информации
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Результаты запроса
Сервер, DNS и страна
Тип трафика и объем
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
В заключение
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Firewall
IPS
Web Sec
N-AV
Email Sec
Целенаправленные угрозы пректируются с учетом необходимости обхода шлюзов
безопасности
Распространение угроз внутри периметра
Периметр безопасности останавливает основную часть угроз, тем не менее
сложные кибер-угрозы обходят средства безопасности
Следы кибер-угроз можно обнаружить только в сети в целом
Распространение на устройства
Целенаправленные угрозы, входящие
изнутри сети
Традиционных средств защиты периметра
недостаточно
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
TrustSec
Enabled
Enterprise
Network
Identity Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
Cyber Threat Defense обеспечивает внутренние
контроль и защиту
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Объединим все вместе
Устройс
тва Внутренняя сеть
Видимость, контекст и контроль
Используем данные NetFlow
для расширения видимости на
уровне доступа
Унификация в единой панели
возможностей по обнаружению,
расследованию и реагированию
Совмещение данных NetFlow с
Identity, событиями ИБ и
приложениями для создания
контекста
КТО
ЧТО ГДЕ/ОТКУДА
КОГДА
КАК
Hardware-
enabled
NetFlow
Switch
Cisco ISE
Cisco ISR G2 + NBAR
Cisco ASA + NSEL
Контекст
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
CTD завтра
Telemetry Sources
Lancope StealthWatch:
Visibility, Analysis, &
Investigation
(NetFlow)
Сегодня
Telemetry
Sources
www …
Telemetry
Sources
…
Cloud Threat Analytics
CoSe
Content Analysis
✔
✓✗ !
pxGrid
#
Network Enforced
Policy
TrustSec, SDN
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Где узнать больше?
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.