4. Обнаружение необнаруживаемого

Бизнес-консультант по безопасности

Обнаружение необнаруживаемогоАлексей Лукацкий

6 апреля 2017 г.

Нарушитель реализует действия против цели приводящие к

последствиям

Что такое киберугроза?

Cisco Confidential –Internal Use Only

95%

5%

95%

Сложности ИБ

§ Управляемые/неуправляемые десктопы

§ Спам/Вредоносы

§ DDoS§ Удаленно

контролируемые скомпрометированные узлы

§ Постоянные изменения в сети

Базовые решения

§ Антивирус

§ МСЭ

§ IDS/IPS

§ WSA/ESA

§ Сетевая сегментация

§ Сбор и анализ логов

§ Incident Response Team

Вы обнаруживаете 100% угроз?

AMP + FirePOWERAMP > управляемая защита от угроз

В центре внимания Cisco — анализ угроз!

Приобретение компании Cognitive Security• Передовая служба исследований• Улучшенные технологии поведенческого анализа в режиме реального времени

2013 2015...2014

Приобретение компании Sourcefire Security• Ведущие в отрасли СОПВ нового поколения• Мониторинг сетевой активности• Advanced Malware Protection• Разработки отдела по исследованию уязвимостей

(VRT)• Инновации в ПО с открытым исходным кодом

(технология OpenAppID)

Malware Analysis & Threat Intelligence

Приобретение компании ThreatGRID• Коллективный анализ вредоносного кода

• Анализ угроз• «Песочница»

Коллективные исследования Cisco –подразделение Talos по исследованию и анализу угроз• Подразделение Sourcefire по исследованию уязвимостей —

VRT• Подразделене Cisco по исследованию и информированию об угрозах — TRAC

• Подразделение Cisco по безопасности приложений — SecApps

Cognitive + AMPКоллективный анализ вредоносного

кода > Система коллективной информационной безопасности

Приобретение компании OpenDNS• Анализ DNS/IP-трафика• Анализ угроз

Приобретение компании Lancope• Исследования угроз

• Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)

• Высокий уровень доработки продуктов для очередной кампании• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%

приведёт к внедрению следующих уникальных модулей• Известно, что вредоносное ПО будут искать• Известно про запуск в песочницах• Развитая индустрия создания специфического

ПО с неплохими бюджетами и высоким уровнем заинтересованности

• Все лучшие методологии разработки и отладки

Что мы знаем о современном вредоносном ПО?

К чему это приводит?

Bitglass

205

Trustwave

188

Mandiant

229

2287 дней – одно из самых длинных незамеченных вторжений

Ponemon

206

HP

416Symantec

305

Как защититься от киберугроз?Identify(идентификация)

Protect(защита)

Detect(обнаружение)

Respond(реагирование)

Recover(восстановление)

Сети

Устройства

Приложения

Пользователи

Данные

Identify(идентификация)

Protect(защита)

Detect(обнаружение)

Respond(реагирование)

Recover(восстановление)

Сети

Устройства

Приложения


Данные

• В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие

• В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны

• Открытая• Слепая• Спрятанная• Неизвестная

Окно Джохари

4 зоны окна Джохари

В скрытой зоне находятся качества, известные человеку, но неизвестные окружающим

В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку

В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим

?

В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие

Открытая Слепая

Скрытая Неизвестная

Окно Джохари применительно к ИБИзвестно аналитику ИБ Не известно аналитику ИБ

Известно другим

Не известно другим

Другие – это исследователи, хакеры, спецслужбы…

Открытая зона

Плохие файлыПлохие IP, URLСпам/Фишинговые EmailСигнатурыУязвимостиИндикаторы компрометации

Открытая зона

Известно аналитику


• NGFW, IPS, Web/Email Security, WAF, песочницы…

Решения для обнаружения угроз

• API, pxGrid и т.п.Интерфейсы для обмена информацией об угрозах

• Сканеры уязвимостей, SAST/DAST, Vulners, БДУ и др.

Системы анализа защищенности

• OpenIOC, STIX , TAXII, и т.д. Индикаторы компрометации

Как обнаруживать известное?

Откуда мы получаем данные об угрозах?

• Получение информации с ошибками• Отсутствие или исчезновение информации на конкретные

угрозы• Отсутствие учета вертикальной или страновой специфики• Смена политики лицензирования

• Смена собственника• Поглощение компании-разработчика• Сотрудничество со спецслужбами• Санкции…

Риски получения данных об угрозах из одного источника

Источники поступления информации об угрозах

Информация об угрозах

ВендорСрЗИ

3rd partyСрЗИ

OSINTфиды

Поставщики фидов и сигнатур

Преимущественно статическая информация

Динамическая информация

3rd party тоже не панацея. Оцените риски!

Усилить и защитить сети от продвинутых угроз

VPN

Админ

с сервисами FirePOWER NGIPS

Анализ угрозОбнаружение угроз и AVC

Управление угрозами

ASA

Next Gen Firewall (NGFW)Блокирование

файлов по типуSSL расшифровкаЗнание контекстаAMP

Сетевой трафик

FireSIGHTManagement Console

Advanced Threats

Sandboxing

Web

Email

Global IntelligenceTalos

Identity & Access Control

Anomaly Detection

Shadow IT &Data

NGIPS & NGFW

DNS, IP & BGP

Специализированные платформы для филиалов, периметра, ядра, терминалов, ЦОД в традиционном, виртуальном, ACI и облачном

окружении

Традиционный FirewallКонтроль политик NAT и ACLsПродвинутая

кластеризация

Введение в устройства Firepower NGFW

Advanced Threats

Sandboxing

Web

Email



Anomaly Detection

Shadow IT &Data

NGIPS & NGFW

DNS, IP & BGP

NGFW

Блокирование и мониторинг неавтори-зованногодоступа и активности на L2-7

NGIPS

Обнаружение, предотвра-щение и реагирование на угрозы сети в режиме реального времени.

URL фильтрация

Ограничение доступа к определенным узлам и подузлам, как и к категориям веб сайтов.

VPN

Защита удаленных пользовате-лей и подключений узел-узел с детальным контролем.

W W W

Integrated Intelligent Services FrameworkИнтеллектуальная обработка для более эффективного

обнаружения, высокой производительности и упрощенного управления.

AMP

Идентифика-ция и нацеливание на бреши и malware для анализа и реагирования

Third Party

Открытый API позволяет применять диапазон дополнительных инструментов для настраиваемой защиты.

Остановите спам, фишинговые атаки и предотвратите утечку данных

Кто

Механизмы антиспам и

антифишингАнтивирусы

Talos блокирует плохие письма

на входе

Cisco Anti-Spam

IMS

Что

Когда

Где Как

> Уровень обнаружения 99%< Ложных срабатываний <1 на 1 млн

Репутация файлов и ThreatGrid

Advanced Threats

Sandboxing

Web

Email

Global Intelligence

Talos

Anomaly Detection

Shadow IT &Data

NGIPS & NGFW


DNS, IP & BGP

А также защита исходящей почты (DLP, DMARC, DKIM, SPF, объем)

Получите детальный контроль над веб-угрозами

Advanced Threats

Sandboxing

Web

Global Intelligence

Talos

Anomaly Detection

Shadow IT &Data

NGIPS & NGFW


Email

DNS, IP & BGP

Контроль теневых ИТ и облаков

Advanced Threats

Sandboxing

Web


Anomaly Detection

Shadow IT &Data

NGIPS & NGFWIdentity & Access Control

Email

DNS, IP & BGP

Защита вне зависимости от нахождения в периметре или за ним

Глобальная видимость Блокирование malware, C2 callbacks, &фишинга через любой порт/протокол

Глобальная сетьУправляет 80B+ DNS запросов ежедневно с 100% uptime

208.67.222.222

Интернет-активность на

уровнях DNS и IP

ЛАБОРАТОРИИ БЕЗОПАСНОСТИ

Домены, IP, URL

Детектирование угроз на месте

Пользовательские и другие потоки информации

Платформы информации об угрозах

IOCs

Игтеграция под ключ и пользовательски API

Облачная консоль управления

Фильтрация на основе местоположения и безопасности

Настраиваемые страницы блокировки

Интеграция с AD

Off-network, Roaming Devices

Облачная консоль постороения отчетов реального времени

Policies

Logs

Logs

On-Network Devices

Category Identity

WEB КОНТЕНТ AD USERNAME

CLOUD SERVICE INTERNAL NETWORK

ODNS THREAT INTEL ROAMING COMPUTER

CUSTOM IOC FEED AD COMPUTER

OpenDNS Umbrella

Прогностические технологииКонтроль 2% всей мировой Интернет-активности и возможность долговременного хранения логов

Advanced Threats

Sandboxing

Web


Anomaly Detection

Shadow IT &Data

NGIPS & NGFWIdentity & Access Control

Email

DNS, IP & BGP

Сокращение времени на обнаружение и снижение влияния

Рабочие станцииСеть

Ключ Запись BlockAlertAllowWeb и Email

Усиленная защита Постоянный мониторинг активности файлов, обнаружение скрытых угроз, ограничение и реагирование

Блокирование известных и развивающихся угроз

Continuous Analysis & Retrospective SecurityIntelligence моментальная защита

.exe

Статический и динамический

анализ

Контроль атак

Ретроспектива

Траектория устройства

Эластичный поиск

РаспространенностьТраектрория файла

Уязвимости

Endpoint IOCs

One-to-One Signatures

Fuzzy Fingerprinting

Machine Learning

Advanced Analytics

Глобальная информация об угрозах

Репутация

IoC

Политики на основе групп и пользователей

Анализ в песочнице

Развертывание

Консоль управления AMP CloudАдмин

безопасности

Управление

Перед Во время После

Advanced Threats

Sandboxing

Web

Global Intelligence

Talos

Anomaly Detection

Shadow IT &Data

NGIPS & NGFW


Email

DNS, IP & BGP

Вы доверяете своему вендору?16 апреля 2015 годаhttp://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/

Дело СОВСЕМ не в названиях компаний, проблема в методологии

Почему так важна Threat Intelligenceсегодня?!

• Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им

• Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.

Решения Cisco Threat Intelligence

• Cisco AMP Threat Grid

• Cisco OpenDNS Investigate

• Cisco IntelliShield Information Service

• Cisco PSIRT openVuln API

• Cisco Threat Awareness Service

• Проекты Cisco AEGIS / ASPIS

• Cisco Active Threat Analytics (ATA)

Talos в основе всей ИБ-стратегии Cisco

Threat Grid

ЦОД

OpenDNSUmbrella

CWS/CES CloudLock

AnyConnect

ISE

Интернет

On-Premises

Телеработник

TrustSec

AMP

CloudCenterFirepower

Management Center

CiscoDefense

Orchestrator

Multi-cloud API

NGIPS

Stealthwatch

ЛегендаOn-Premesis

Для облака

Из облака

Защита

Видимость

Контроль доступа

NGFWv

ASAv

CSRv

NGFW

DDoS

AMP

Cisco Router -или-

NGFW

NGFWvASAv AMP

Stealthwatch Cloud

Число угроз постоянно растет

= 10000

1,5 миллиона образцов (семплов) вредоносного кода ежедневно

Число угроз постоянно растетСпам составляет86% от всего e-mail-трафика

Оцените масштаб проблемы

=В мире проживает

7,3 миллиарда человек

Около 3-х угроз на каждого

жителя Земли приходится ежедневно

5 департаментов

DNS-запросов в день

80МЛРД

Файлов / семплов в день

18.5 МЛРД / 1,5 МЛН

Web-запросов в день

16 МЛРД

сообщений email в день

600 МЛРД

С чем сравнить?

= 1 миллиард(на начало декабря 2016 года)

1,5 миллиона образцов вредоносного кода ежедневно(10 миллионов в неделю)

Cisco2 миллиона образцов вредоносного кода в неделю

ЛК

П РОД УК ТЫ

СЕ Р ВИСЫ ОБНА РУЖЕНИЯ

Email

ESA | ClamAVSpamCopSenderBase

Email Reputation

Malware ProtectionURL, Domain, IP ReputationPhishing ProtectionSpoof & Spam Detection

Open Source

Snort RulesClamAV SigsClamAV

Vulnerability ProtectionMalware ProtectionPolicy & Control

ПК

AMPClamAV

Cloud & End Point IOCsMalware ProtectionIP Reputation

Облака

CWSCESOpenDNS

URL, Domain, IP ReputationMalware ProtectionAVC

Web

WSACWS

URL, Domain, IP ReputationMalware ProtectionAVC

Сеть

FirePower/ASAISRMeraki

Policy & Control

Malware ProtectionURL, Domain, IP ReputationVulnerability Protection

Услуги

ATAIR

Cloud & End Point IOCsMalware ProtectionURL, Domain, IP ReputationVulnerability ProtectionCustom Protection

Разведка

ThreatGrid

Cloud & End Point IOCsMalware ProtectionURL, Domain, IP ReputationNetwork Protection

«Продукты» Cisco Talos

Решения Open Source, разработанные Cisco Talos

Публично доступные инструменты• Обнаружение и

предотвращение угроз: Snort, ClamAV, Razorback, Daemonlogger & MBRFilter

• Исследования угроз: LockyDump, FIRST

• Обнаружение и нейтрализация уязвимостей: Moflow, FreeSentry

TTP

Инструменты

Сетевые / хостовыеартефакты

Доменные имена

IP-адреса

Хеши

Иерархия данных об угрозах (IoC)

Стандартное предложение

Cisco

Cisco AEGISCisco ATA

Адреса IPv4 Домены / FQDN Хэши (MD5, SHA1)

URLТранзакционные

(MTA, User-Agent)

Имя файла / путь

Mutex Значение реестра

Имена пользователей

Адреса e-mail

Распространенные IoC

Решения безопасности Cisco Решения безопасности не-Cisco

Интегрированный анализ malware и информация об угрозах

Подозрительный файл

Отчет анализа

Граница

Endpoints

ASA w/ FIREPOWER

Services

ESA

CTA

WSA

AMP для Endpoints

AMP для сетей

Динамический анализ

Статический анализ

Информация об угрозах

AMP Threat Grid

Основные потоки контента

Интеграция партнеров

Платформы мониторинга безопасности

S E C U R I T Y

DPI

Риски, законодательство

, соответствие

SIEM

SOC / CSIRT

Подозрительный файл

Advanced Threats

Sandboxing

Web

Global Intelligence

Talos

Anomaly Detection

Shadow IT &Data

NGIPS & NGFW


Email

DNS, IP & BGP

• Платформа для глубокого анализа вредоносного кода

• Доступ через портал, выделенное устройство или с помощью API

• Может применяться при построении собственных систем Threat Intelligence, SOC или при создании служб реагирования на инциденты

• Может интегрироваться с различными инструментами для проведения расследований – EnCase, Maltego и т.п.

Cisco AMP Threat Grid

Детальный анализ вредоносного ПО в AMP Threat Grid

• Доступ к порталу• Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода• Приватная маркировка загружаемых семплов (опционально)• Устройство Threat Grid (опционально) позволяет загружать семплы на него, без

загрузки в облако

• Интеграция с решениями Cisco• AMP for Endpoints• AMP for Networks (FP / ASA)• AMP for WSA / CWS• AMP for ESA / CES

• API для автоматизации передачи семплов в Threat Grid включен во все лицензии с подпиской

Типовые сценарии использования AMP Threat Grid

Интеграция и автоматизация механизмов обеспечения безопасности

§ Cisco® AMP Threat Grid REST API позволяет автоматизировать отправку образцов, получение новой информации и получение результатов − Автоматизация отправки из различных модулей− Простой возврат результатов

Your Existing Security

Обеспечение максимальной отдачи от вложений в безопасность

Получениеданных об

угрозах

Потоки аналитики об угрозах

МСЭ Сенсорыв сети SIEM Управление

журналами

Партнеры поотрасли

Средства защиты хостов

Шлюз/проксиIPS/IDS

Threat Grid

Развертывание вне облака – на территории заказчика

§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid§ В целях соблюдения нормативных требований все данные остаются на территории заказчика§ Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для

актуализации контекста§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)

§ TG5000:§ Анализ до 1500 образцов в день§ Cisco UCS C220 M3 Chasis (1U)§ 6 x 1TB SAS HDD (аппаратный RAID)

§ TG5500: § Анализ до 5000 образцов в день§ Cisco UCS C220 M3 Chasis (1U)§ 6 x 1TB SAS HDD (аппаратный RAID)

Полное соответствие нормативным требованиям и высокий уровень защиты

Интеграция AMP Threat Grid с другими ИБ-решениями

• Фиды (feeds) – способ представления данных об угрозах• Поддержка различных языков программирования

и форматов данных• JSON• XML• CyBOX• STiX• CSV• И другие

Фиды Threat Intelligence

Фиды AMP Threat Grid

• autorun registry• banking DNS• dll-hijacking-dns• document (PDF, Office) Network

Communications• downloaded-pe-dns• dynamic-dns• irc-dns• modified-hosts-dns

• parked-dns• public-ip-check-dns• ransomware-dns• rat-dns• scheduled-tasks• sinkholed-ip-dns• stolen-cert-dns

• Поддержка различных форматов данных• JSON• CSV• Snort• STIX

Форматы AMT Threat Grid

Мы можем стать поставщиком сигнатур атак для отечественных IDS и ГосСОПКИ

Сигнатуры

Cisco Talos

Бесплатные

Платные

Под заказ

Emerging Threats

ET OpenET Pro

Idappcom Платные

Wurldtech Платные (для ICS)

• Все поставщики сигнатур разрабатывают их под Snort (стандарт де-факто)

• Bro и Surricata могут использовать сигнатуры Snort-style

• Российские «разработчики» IDSобычно используют сигнатуры ET

OpenDNS

Umbrella (защита)Реализация защиты на DNS & IP уровнях

Investigate (разведка)Понимание Интернет-инфраструктуры, используемой атакующими для атак и определение текущих и будущих вредоносных узлов

Что такое OpenDNS?

NOTE1: Visual Investigations of Botnet Command and Control Behavior (link)• malware reached out to 150,000 C2 servers over 100,000 TCP/UDP ports• malware often used 866 (TCP) & 1018 (UDP) “well known” ports,

whereas legitimate traffic used 166 (TCP) & 19 (UDP) ports

NOTE2: Forthcoming 2016 Cisco Annual Security Report• 9% had IP connections only and/or legitimate DNS requests• 91% had IP connections, which were preceded by malicious DNS lookups• very few had no IP connections

ZbotZeroAccess

njRAT

Regin

Gh0st

StormPushdo/Cutwail DarkComet

Bifrose

LethicKelihos

Gameover Zeus

CitadelTinbaHesperbot

Bouncer (APT1)Glooxmail

(APT1)

Longrun (APT1)Seasalt(APT1)

Starsypound (APT1)

Biscuit (APT1)PoisonIvyTinba

НЕ-WEB C2 ПРИМЕРЫ

DNS

WEBНЕ-WEB

IP IP

миллионы уникальных

семплов ВПО из ЛВС за последние 2

года

Lancope Research(сейчас Cisco)1

15%C2 не использует

Web-порты 80 & 443

миллионы уникальных семплов

ВПО загружены в песочницу за

последние 6 месяцев

Cisco AMP Threat Grid Research2

91%C2 может быть

блокировано на DNS уровне

Зачем нужна защита на DNS-уровне?

Визуализация DGA для трояна Tinba

OpenDNS Investigate

Обнаружение существующих и будущихвредоносных доменов и IP

Обзор всего InternetОбогащение данных безопасности дополнительным контекстом

Прохождение через инфраструктуру атакующегоВидимость, откуда атакующих инициирует атаки и как соединяются домены, IP, ASN и URL

Предиктивная информацияМы применяем статистическую модель к историческим данным и данным реального времени для того, чтобы предсказать вероятно вредоносные домены, которые могут быть использованы в будущих атаках.

Веб-консоль или API

Простой, скоррелированный

источник информации

Зарпросдополнительного

контекста

Advanced Threats

Sandboxing

Web

Global Intelligence

Talos

Anomaly Detection

Shadow IT &Data

NGIPS & NGFW


Email

DNS, IP & BGP

Начало

Имена доменов

IP адреса

Автономные системы

Email адреса

ОбнаружениеВсе ассоциированные домены, IP, и ASN

Исторические данные DNS

Данные записей WHOIS Значения репутацииАссоциированные аномалии (fast flux, DGA’s, и т.д.)

Шаблоны запросов DNS и IP геолокация

Быстрая идентификация доменов, использующих ваш бренд

Автоматизация поиска интересующих доменов

Автоматизация поиска интересующих доменов

216.35.221.76:43173.236.173.144157.166.226.25

То, что вы видите сегодня

malware.exeperviyclass.su

perviylich.ruStatecollegenow.com

AS 3561AS 5662

bobnpr.comwww.cnn.com igloofire.com

216.35.221.76:43173.236.173.144157.166.226.25

Что если бы вы видели

это?

Investigate: Наиболее эффективный метод видеть угрозы

Консоль

API

SIEM, TIP

Ключевые пункты

Знания о доменах, IP и malware в Интернет

Живой граф DNS запросов и другой контекстной информации

Корреляция по статистической модели

Обнаружить и предугадать вредоносные домены и IP

Дополнить данные безопасности глобальным интеллектом

домены, IPs, ASNs, хэши файлов

Сеть посредников ZBot Fast Flux

WHOIS данные

§ Кто зарегистрировал домен§ Использованная контактная

информация§ Когда/где зарегистрирована§ Дата истечения регистрации§ Исторические данные§ Корреляция с другими

вредоносными доменами

Видеть взаимосвязь между инфраструктурой злоумышленников

Анализ вредо-носных файловС помощью Cisco AMP Threat Grid

Наш глобальный контекст

Мы знаем все его взаимосвязи

Ваши локальные знания

Вам известен один IOC

INVESTIGATE

WHOIS база записей

ASN атрибуция

IP геолокация

IP индексы репутации

Доменные индексы репутации

Домены связанных запросов

Обнаружение аномалий (DGA, FFN)

DNS запросы по шаблону и геораспределение

База пассивной инф. DNS

Вендорыконкуренты

Not available

Not available

Not available

Единый источник информации

ЧувствуетеLocky?

• Через вложение Email в фишинговой рассылке

• Шифрует и переименовывает файлы с.locky расширением

• Примерно 90,000 жертв в день [1]

• Выкуп порадка 0.5 – 1.0 BTC (1 BTC ~ $601 US)

• Связанны с операторами Dridex

TTE: механизмы доставки файлов (Locky)Злоумышленники быстро и часто меняют векторы атаки, чтобы их сложнее было обнаружить*

Эл. почта Веб

Ransomware: обнаружение инфраструктуры злоумышленника

СЕНТЯБРЬ 12-26 DAYS

Umbrella

АВГУСТ 17

LOCKY

*.7asel7[.]top

?Domain → IP

Ассоциация

?IP → Sample


?IP → Network


?IP → Domain


?WHOIS


?Network → IP


91.223.89.201 185.101.218.206

600+ Threat Grid files

SHA256:0c9c328eb66672ef1b84475258b4999d6df008

*.7asel7[.]top LOCKY

Domain → IPАссоциация

AS 197569IP → NetworkАссоциация

1,000+ DGA domains

ccerberhhyed5frqa[.]8211fr[.]top

IP → DomainАссоциация

IP → SampleАссоциация

CERBER

-26 DAYS AUG 21

Umbrella

JUL 18

JUL 21

Umbrella

JUL 14 -7 DAYS

jbrktqnxklmuf[.]info

mhrbuvcvhjakbisd[.]xyz

LOCKY

LOCKY

DGA

Network → DomainАссоциация

DGA

Угроза обнаружена в день регистрации домена

Угроза обнаружена до регистрации домена.

ДОМЕН ЗАРЕГИСТРИРОВАН

JUL 22-4 DAYS

Визуализация инфраструктуры нападающего

91.223.89.201

AS197569

Блокировка ransomware: Locky пример доменаtaddboxers.com (Дата обнаружения: Октябрь 8, 2016)

Блокировка ransomware: Locky пример доменаtaddboxers.com (Дата обнаружения: Октябрь 8, 2016)

OpenDNS Investigate

Информация об инфраструктуре атакующих

AMP Threat Grid

Информация о файлах атакующих

173.236.173.144IP источника & получателя

likelybad.comHTTP/DNS трафик

Хостятся в 22 странах

baddomain.com

162.17.5.245 suspicious.com

создает .exe файл в папкке

admin

.doc файл модифирует

WINWORD.exe

модифицирует реестр

другая файловая

активность и артефакты

ДинамикаМощь AMP Threat Grid иInvestigate

• Большое количество угроз и непредсказуемость времени их получения требует автоматизации процесса Threat Intelligence и его интеграции с существующими решениями класса SIEM или SOC

• Автоматизация может быть достигнута за счет API / SDK, который сможет• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая

платформы TI

• Поддержка различных языков программирования• Go и Ruby• Java и .NET• Perl и PHP• Powershell и Python• RESTful• WSDL и SOAP

Threat Intelligence API

API для автоматизации процесса

ThreatGRID

Широкие возможности по загрузке и получении ответа• Артефакты (хэш, путь)• URL• Ключ реестра• Домен / имя узла• IP• IOC• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)

OpenDNS

Анализ DNS/IP-адресов на предмет их вредоносности

Запрос информации об IP, домене, ASN, e-mail или хэше файла

Возврат рейтинга SecureRank2, RIP или Threat Grid

Статус вредоносного домена

Вредоносные взаимосвязи

Семплы ВПО, ассоциированные с доменом или IP-адресом

Домены, использующие общий IP

OpenDNS INVESTIGATE API

ДОМЕНЫ, IP & ASN

TIP SIEM и др.

API




У меня есть фиды (IoC) и что дальше?

Фиды

«Yara»

SIEM

СрЗИ

Руки J

Средства для поиска угроз на базе IoC

• Yara• PowerShell• AutoRuns – Utility• Loki• Wireshark – tshark• И другие

Интеграция AMP Threat Grid с решениями Cisco

Обеспечивает взгляд на угрозы, исходящие из своей компании, и направленной на нее

Постоянно отслеживает новые угрозы

Предлагает меры нейтрализации

Доступная всегда, каждый день

Проста в настройке и использовании

Это важно для сохранения сети в безопасности

Заказчики хотят Threat Intelligence которая:

Cisco Threat Awareness ServiceCisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки.

• Использование одной из лучших в мире баз данных угроз• Оперативное обнаружение вредоносной

активности

• Идентификация скомпрометированных сетей и подозрительного поведения

• Помогает компаниям быстро идентифицироватьскомпрометированные системы

• Обеспечение рекомендаций• Помогает ИТ/ИБ идентифицировать угрозы

• Анализирует сетевой, исходящий из организации• Позволяет улучшить общую защищенность

Cisco Threat Awareness Service: просто внедрить

Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует:

• Капитальных вложений

• Изменений конфигурации

• Сетевых инструментов

• Новых внедрений ПО

• Сенсоров в сети заказчика

• Дополнительных людских ресурсов

Снижение времени внедрения, сложности,и цены с ростом эффективности threat intelligence

Cisco Threat Awareness Service

Опции Cisco Threat Awareness ServiceБазовое предложение Премиум-предложение

Цена • Включен в Cisco Smart Net Total Care™

• Дополнительный, платный сервис

Доступ к порталу • 24x7 через SNTC Portal • 24x7 через SNTC PortalЕжедневные обновления • Да • ДаЧисло доменных имен • Ограничен 3 • НеограниченоЧисло диапазонов 256 IP адресов • Ограничен 3 • НеограниченоExposed services • Open services • Open services

• Vulnerable servicesВредоносная активность • IP-адреса • IP-адреса

• Домены и URLsDNS observations • Неожидаемые DNS имена • Неожидаемые DNS имена

• Observed DNS resolversSuspicious DNS requests • Не включены • DNS запросы из вашей сети к

хорошо известным вредоносным сайтам

Firepower Management Center

Сбор данных об угрозах Генерация обогащенных отчетов об инцидентах

Корреляция с данными от сенсоров

Уточнение состояния безопасности

IngestДанные

Сенсоры Cisco Security• Firepower NGFW • FirePOWER NGIPS• AMP

Threat IntelligenceDirector

Новый продукт Cisco Threat Intelligence Director

CSV

Отраслевые организации

…позволяет использовать данные не только от Cisco Talos

Источники данных об

угрозах

Платформы Threat

Intelligence

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88

Слепая зона

Нехватка логовРазрыв в процессахНехватка интеграции/масштабированияНехватка корреляцииЛожные срабатывания

Слепая зона

Неизвестно аналитику


Нехватка данных для анализа

• Syslog, CDR…Логи

• Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги

• E-mail, файлы, Web-страницы, видео/аудио…Контент

• Netflow, IPFIX…Потоки

• Имена пользователей, сертификаты…Идентификационные данные

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

T T

This

T

T

T

T

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active Directory

Беспроводнаясеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAvASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОДУдаленныеустройства

Дос

туп

Облачный шлюз


Thi

Облачный шлюз


Матрица ASA, (сеть

SDN)

АСУ ТП

CTD

IDS RA

МСЭБеспроводная

сеть

Коммутатор

Маршрутизатор

СегментацияМониторинг

Откуда брать данные?

Объединяя типы данных и места их сбораМесто съема данных Источник данных

Сиг

налы

тр

евог

и

Конт

ент

Пот

оки

Логи

Иде

нтиф

икац

ия

Интернет-периметр

Сервер DHCP ✔

Сервер DNS ✔

DLP ✔ ✔ ✔

WAF ✔ ✔

NAC ✔ ✔

Маршрутизатор ✔ ✔

…

Объединяя типы данных и индикаторыКатегория индикатора Индикатор

Сиг

налы

тр

евог

и

Конт

ент

Пот

оки

Логи

Иде

нтиф

икац

ия

Системнаяактивность

Неудачные попытки входа ✔ ✔

Доступ к нетипичным ресурсам ✔ ✔

Утечка данных ✔ ✔ ✔ ✔ ✔

Изменение привилегий ✔ ✔ ✔ ✔

Нетипичные команды ✔ ✔ ✔

Нетипичные поисковые запросы ✔ ✔ ✔ ✔

…

Почему не только периметр…16 апреля 2015 годаhttp://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/

Дело СОВСЕМ не в названиях компаний, проблема в методологии

Хакер не обязательно идет через периметр

И даже если у вас нет Wi-Fi, вас могут через него атаковать

Подмена Wi-Fi-точки доступа и перехват паролей

Видео-демонстрация

Помните кино «Хакеры»?

Аппаратные закладки на базе Raspberry Pi

Лобби и переговорки…Вы их контролируете?

А еще существует взлом через переговорную комнату


Как попасть в помещение?


Как попасть в помещение?

Что вы будете делать, если найдете флешку у дверей офиса?

Любопытство возьмет верх или нет?

Многие подбирают J

Еще немного кино

• Elastic Search• Log Stash• Kibana• Splunk• Security Onion• Flowplotter

• Wireshark - tshark• Network Miner• Snort• Suricata• BRO• Flowbat

Средства сбора и анализа сетевой телеметрии

Сеть как масштабируемый источник знаний

Interwebs

Internal Network

Ключевые NetFlow поля

• Packet count• Byte count

• Source IP address• Destination IP address

• Start sysUpTime• End sysUpTime

• Packet count• Byte count

• Input ifIndex• Output ifIndex

• Type of Service• TCP flags• Protocol

• Next hop address• Source AS number• Dest. AS number• Source prefix mask• Dest. prefix mask

Использование

Время

Где

QoS

От/Куда

Использование

Роутинг и пиринг

NetFlow Data

NetFlow Collector

Анализ NetFlow – путь к самообучаемым сетям

Сетевые потоки как шаблоны вторжений

Мощный источник информациидля каждого сетевого соединения

Каждое сетевое соединенияв течение длительного интервала времени

IP-адрес источника и назначения, IP-порты, время, дата передачи и другое

Сохранено для будущего анализа

Важный инструментдля идентификации взломов

Идентификация аномальной активности

Реконструкция последовательности событий

Соответствие требованиям и сбор доказательств

NetFlow для полных деталей, NetFlow-Lite для 1/n семплов

THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out

THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out

FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In

FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out

FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In

MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In

TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out

TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In

TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out


WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In

WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In









TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In


Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out

Вспомним распечатку мобильного оператора

Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out



WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH InWED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In









TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH InTUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out

Вспомним распечатку мобильного оператора

Кто КудаЧто

Когда

Как

ОткудаБольше контекста

Высокомасштабиуремый сборВысокое сжатие => долговременное

хранилище

NetFlow с точки зрения контекста

© 2015 Lancope, Inc. All rights reserved. Lancope Confidential Information.

StealthwatchManagement

Console

UDP DirectorFlowCollector

NetFlow,syslog, SNMP NetFlow-инфраструктура

FlowSensorCloud License

Контекст о пользователях и

устройствах

Cisco ISE

Фиды по угрозам

Унифицированный вид:Безопасность и Сетевой

Мониторинг

ProxyWatch

NAT/ProxyПользова-тели

Угрозы LAYER 7TrustSec Группы /сегменты

ОблакаИнтерфейсы

Клиент Сервер Трансляция Сервис Пользовател Приложение Трафик Группа MAC SGT

1.1.1.1 2.2.2.2 3.3.3.3 80/tcp Doug http 20M location 00:2b:1f 10

Основная идея

Сессии | 100% сетевая подотчетность

События ИБСобытия Поведенческая аналитика

Видимость и контекст

Планирование МСЭ Сегментация Сетевые

операцииВизуализация

сетиМониторинг

пользователей TrustSecУгроза инсайдеров

Сценарии применения

Унифицированный взгляд на внутреннюю ИБ

Невзирая на масштаб сети

Группирование хостов

Категории тревогConcern Index: Отслеживает хосты нарушающие целостность сети

Target Index: Показывает хосты, которые являются жертвами атак.

Recon: Указывает на присутствие неавторизованного и потенциально опасного сканирования

Command and Control: Показывает наличие инфицированных ботами серверов и хостов связывающихся с C&C серверами

Exploitation: Отслеживает прямые попытки компрометации между хостами, такие как распространение червей и перебор паролей.

DDoS Source: Показывает что хост был идентифицирован источником DDoS атаки.

Категории тревогDDoS Target: Показывает что хост был идентифицирован жертвой DDoS атаки.

Data Hoarding: Показывает что хосты источника или назначения в сети загрузили необычно большой объем данных с одного или нескольких хостов

Exfiltration: Отслеживает внутренние и внешние хосты к которым передается необычно большое количество данных

Policy Violation: Субъект показывает поведение которое нарушает нормальную сетевую политику.

Anomaly: Отслеживает события показывающие что хост ведется себя не нормально или генерирует активность несовпадающую с другими категориями активностей.

Отслеживание информационных потоков и нарушений сегментации

Хостовые группы

Взаимодействие

Запрещенное взаимодействие

Нарушение политик: Host Locking

Клиентская группа Серверная группа

Условия клиентского трафика

Условия серверного трафика

Удачно или неудачно

Быстрое блокирование угрозы с помощью Cisco StealthWatch и Cisco ISE

Quarantine/Unquarantine через pxGrid

Identity Services Engine

StealthWatch Management

Console

Комбинируя nvzFlow с NetFlow

Sw1 ASA

Доверенная сеть VPN

• Вспомогательный NetFlow из сети требуется• VPN и Trusted network

• Полная видимость и все алгоритмы работают• Уникальные nvzFlow атрибуты применяются к

двусторонней записи потока что помогает проводить работу по расследованию инцидентов

Превратите вашу сеть в сенсор обнаружения угроз

Разделение информации

Реагирование

PRIME

BIG DATA

SDN

Будущее

SDN

Информация

Данные

Advanced Threats

Sandboxing

Web

Global Intelligence

Talos

Anomaly Detection

Shadow IT &Data

NGIPS & NGFW


Email

DNS, IP & BGP

ISEASAWSARouter/SwitchAMPAnyConnect

Телеметрия

SIOISE

CTAThreat Grid

SLIC

Контекст

Cisco CSIRT о своей практике использования Stealthwatch

https://youtu.be/FEmAmsajBtI

Cognitive Threat Analytics

Анализ web-логов от прокси

ИнтеграцияИнтеграция с Cisco ISE, Cisco AMP for Endpoint, Cisco AMP for Networks и SIEMдля блокирования и анализаугроз

Широкий спектр угрозУтечки данных, коммуникации с C2-серверами, DGA, эксплойт-киты, туннелирование через HTTP/HTTPS

Мониторинг угрозМы применяем статистическую модель к историческим данным и данным реального времени для того, чтобы обнаружить зараженные и скомпрометированные узлы и пользователей в сети

Advanced Threats

Sandboxing

Web

Global Intelligence

Talos

Anomaly Detection

Shadow IT &Data

NGIPS & NGFW


Email

DNS, IP & BGP

Для слепой зоны нужны корреляция

Корреляция


Приложения Сеть

Физический мир

Threat Intelligent Platforms

• Агрегация телеметрии из множества источников

Аналитика ИБ

• OpenSOC(Metron), Splunk, SIEM, ELK

Облачные решения

• CTA, OpenDNS

• Sec-aaS

Что помогает обнаруживать угрозы в слепой зоне?

Скрытая зона

КонтекстКорреляция событийИсторический контекстБазовый профиль (эталон)Анализ данных

Скрытая зона

Известно аналитику


• У вас могут быть свои подозрительные файлы

• Вы можете не хотеть «делиться» вашими анализами с другими

• Вас может не устраивать оперативность фидов

• Ваш источник фидов может плохо охватывать Россию

• У вас собственная служба расследования инцидентов и аналитики вредоносного кода

• Вы пишете вредоносный код J

А разве фидов недостаточно?

Данные об угрозах в RSA Security Analytics

Данные об угрозах в EnCase Endpoint Security

Возможность анализа собственных угроз

https://www.threatgrid.com

Загрузка собственных угроз • С помощью API в облако• С помощью API на локальное

устройство on-premise• Вручную через портал

OpenDNS

Запрос по собственным запросам• С помощью API в облако• Вручную через портал

• Активы/Сеть• Сетевая топология• Профиль актива

• Адрес/местоположение• Аппаратная платформа• Операционная система• Открытые порты/Сервисы/Протоколы• Клиентское и серверное ПО и его версия• Статус защищенности

• Уязвимости

• Пользователь• Местоположение• Профиль доступа• Поведение

Что мы знаем и не знают другие?

• Файл/Данные/Процесс• Движение• Исполнение• Метаданные• Источник• «Родитель»• Репутация

• Безопасность• Точечные события• Телеметрия• Ретроспектива

èМСЭ / NGFW / NAC

èIDS / IPS

èNBADèAV / BDS

SIEM / LM

XX

XX

Откуда эти данные взять?

XèФильтрация контента

èА еще ОС, СУБД…

На что обращать внимание?!

Активность

• Системная (изменение поведения ИТ-систем или шаблонов доступа)

• Объектовая (шаблоны местонахождения и времени)

• Бизнес

Контекст

• Социальный (социальные коммуникации)

• Здоровье / психология (изменения в психологии и здоровье)

• HR (непростые жизненные события)


• Финансовая (непредвиденныеили неожиданные траты)

• Безопасность (нарушения политик ИБ)

• Криминальная

Источники данных для анализа

Внутренние

• Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.)

• Критичные ресурсы• СКУД (местоположение,

GSM, CCTV, бейджи и т.п.)• Данные о персонале (HR,

проверки СЭБ и т.п.)

Внешние

• Данные от правоохранительных органов

• Банковские выписки• Выписки ДМС,

медосмотры

• Неудачные попытки входа в системы• Доступ к нетипичным ресурсам• Профиль сетевого трафика• Утечки данных (по объему, типу сервиса и контенту)• Нетипичные методы доступа• Изменение привилегий• Нетипичные команды• Нетипичные поисковые запросы

Выбрать индикаторы

• Модификация логов• Нетипичное время доступа• Нетипичное местонахождение• Вредоносный код• Модификация или уничтожение объектов ИТ-инфраструктуры• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)

Выбрать индикаторы

Обычно мы оперируем только низкоуровневыми данными

Данные Информация Знания

Время Внутр.адрес Внеш.адрес

2:03 10.0.0.1 64.25.1.2

8:03 10.0.0.2 33.79.3.14

8:30 10.0.0.2 121.9.12.5

8:32 10.0.0.1 64.25.1.2

Время Внутр.адрес Пользователь Внеш.адрес

2:03 10.0.0.1 Гость 64.25.1.2

8:03 10.0.0.2 Иван Петров 33.79.3.14

8:30 10.0.0.2 Иван Петров 121.9.12.5

8:32 10.0.0.1 Гоьст 64.25.1.2

Время Внутр.адрес Пользователь Внеш.адрес Репутация

2:03 10.0.0.1 Гость 64.25.1.2 Unknown

8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted

8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted

8:32 10.0.0.1 Гость 64.25.1.2 Bad

?

Время Внутр.адрес Пользователь Внеш.адрес Время Приложение

2:03 10.0.0.1 Гость 64.25.1.2 Unknown Web

8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted Web

8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted Email

8:32 10.0.0.1 Гость 64.25.1.2 Bad Unknown

?

От данных к анализу информации


Время,Внутренний адрес,Внешний адрес,Пользователь,Репутация,Приложение

От анализа информации к знаниям

Пользователь ‘Гость’ вероятно был

инфицирован в 2:03,посещая 64.25.1.2, затем контактируя с

сервером C&C в 8:32


Время,Внутренний адрес,Внешний адрес,Пользователь,Репутация,Приложение

Сетевые ресурсыПолитика доступа

Традиционная TrustSec

Доступ BYOD

Быстрая изоляция угроз

Гостевой доступ

Ролевой доступ

Идентификация, профилирование и оценка состояния

Кто

Соответствие нормативамP

Что

Когда

Где

Как

Дверь всеть

КонтекстОбмен

данными

Контекст очень помогает в слепой зоне

Распознавание широкого спектра устройств

Оценка соответствия устройствОценка состояния

Убедиться в соответствии политике устройства перед предоставлением доступа

Аутентификация

AuthenticateUserAuthenticateEndpointPosture=Unknown/Non-compliant

Карантин

dVLANdACLsSGT

Оценка состояния

OSHotfixAV/ASPersonalFWMore….

Исправить

WSUSLaunchAppScriptsEtc…

Posture=Compliant

Авторизовать

PermitAccess•dACL•dVLAN•SGT•Etc…

Возможности• Различные агенты используются

для оценки состояния (Anyconnect+ Web Agent)

• Обязательный, опциональные и режим аудита дают гибкость в развертывании

• Возможность построения детальных правил с использование разных критериев.

• Поддержка периодической проверки и автоматического исправления

AnyConnect

Оценка соответствия мобильных устройствИнтеграция решений MDM

Проверка соответствия мобильных устройств

• Позволяет делать мультивендорную интеграцию в ISE инфраструктуре

• Макро и микро-уровень оценки(Pin Lock, Jailbroken status)

• MDM атрибуты доступны как опциив политике (Производитель, Модель, IMEI, Серийный номер, ОС Версия, Номер телефона)

• Контроль устройства в ISE из портала Мои устройства (Device Stolen àWipe Corporate data)

Возможности

Интернет

4

1 2

3

Регистрация в ISE

Разрешить интернет доступ

Регистрация в MDM

Разрешить доступ в корп. сеть

Данные об угрозах и уязвимостях для принятия решений

Инциденты/угрозы Уязвимые устройства

VAF VAF

Учет данных об угрозахи сведений об уязвимостяхпри управлении доступом

Защита с использованиеминфраструктуры

• Обнаружение уязвимых IOT-устройств• Автоматизация изоляции уязвимых

устройств по CVSS• Оперативное реагирование на конкретную

уязвимость

Cisco ISEПоказатели уязвимостей Метрика угроз

Типовая для отрасли практика оценки уязвимости с помощью CVSS

Контроль доступа уязвимых узлов

Улучшенный контроль с помощью авторизации на основе местоположения

Авторизация на основе местоположенияАдминистратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.

Преимущества

Что нового в ISE 2.0?Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.

Улучшенная реализация политикис помощью автоматического определения местоположения и повторной авторизацииУпрощенное управлениеблагодаря настройке авторизации с помощью инструментов управления ISE

Детализированный контрольсетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей

Возможности• Конфигурация иерархии местоположений по всем объектам местоположения

• Применение атрибутов местоположения MSE в политике авторизации

• Периодическая проверка MSE на предмет изменения местоположения

• Повторное предоставление доступа на основе нового местоположения

С интеграцией платформы Cisco Mobility Services Engine (MSE)

Холл Палата Лаборатория Скорая помощь

ВрачНет доступа к данным пациента

Доступ к данным пациента

Нет доступа к данным пациента

Доступ к данным пациента

Данные пациента

Местоположения для доступа к данным пациента

Палата

Скорая помощь

Лаборатория

Холл

Включите средство унифицированного реагирования с обменом контекста Cisco Platform Exchange Grid (pxGrid)

Когда

Где

Кто

Как

Что

Cisco и партнерыЭкосистемы

ISE

Cisco сеть

pxGridcontroller

ISE собирает контекст из сети1

Контекст обменивается по технологии pxGRID2

Партнеры используют контекст для повышения видимости и борьбы с угрозами

3

Партнеры могут запросить ISE о блокировке угрозы

4

ISE использует данные партнера для обновления контекста и политики доступа

5

Контекст

32

1

45

Netflow

NGIPS

StealthWatch

AMP

AMP Threat Grid

FireSIGHT MC

CWS

WSA

ESA

FirePOWER Services

ISE это краеугольный камень ваших Cisco решений

ISE

Как ЧтоКтоГдеКогда

Во время ПослеДо

Быстрое сдерживание распространения угроз Быстрое сдерживание распространения угроз с помощью FMC и ISEЧто нового в ISE 2.0?

Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.


• Интеграция с решением Cisco AMP для защиты от вредоносных программ

• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE

• Разрешение или отказ в доступе к порталу подрядчиков


FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный

Доступ запрещается каждой политикой безопасности

Автоматические уведомленияМаксимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой

Раннее обнаружение угрозFireSight сканирует активность ипубликует события в pxGrid

Корпоративный пользователь загружает файл

Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE

FMC сканирует действия пользователя и файл

В соответствии с новым тегом, ISE распространяет политику по сети

Легко интегрируется с партнерскими решениями

Как ЧтоКтоГдеКогда

ISE pxGridcontroller

Cisco Meraki

SIEM EMM/MDM Firewall VulnerabilityAssessment

Threat Defense IoT IAM/SSO PCAP Web

Security CASB Performance Management

Экосистема быстрого сдерживания распространения угроз

Максимальное использование растущей экосистемы —новые партнеры pxGridМежсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы

Что нового в ISE 2.0?Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.

Снижение затратСокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco

Улучшенный мониторинг сетиОбеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях

ПреимуществаУпрощенное управлениеЕдиное место для управления политиками благодаря интеграции ISE с решениями сторонних производителей

Новые партнеры ... войдут в экосистему быстрого сдерживания распространения угроз

Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.

Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.

Межсетевой экран и контроль доступа

Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).

Обеспечение такого же высокого уровня безопасности, но для большого количества устройств


Что нового в ISE 2.0?

Систематическая защитаРазвертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей

Упрощение администрированияМаксимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)

Увеличение ценностиПолучение дополнительной ценности на базе существующей инфраструктуры

Поставщики совместимых устройств*

Aruba Wireless HP Wireless

Motorola Wireless Brocade Wired

HP Wired Ruckus Wireless

• Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)

• Перенаправление CoA and URL-адресов для работы с ISE

• Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x


Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)

Интеграция с устройствами сторонних производителей (не Cisco)

ISE 1.0 802.1x

Новое в ISE 2.0

Профилирование

Оценка состояния

Гостевой доступ

BYOD

*Дополнительные сведения см. в Таблице совместимости Cisco

Доступ

Доверие

Меньше доверияМеньше доступа

Больше доверияМеньше доступа

Меньше доверияБольше доступа

Больше доверияБольше доступа

Устройства «Интернета вещей»

(BMS, принтеры, СКУД и т.п.)

Другое

Управляемые Ciscoустройства

Устройства других компаний

• Ограниченные возможности по управлению

• Политика ограниченного доступа• Регистрация устройств

• Пользовательские устройства

• Устройства, зарегистрированные вCisco Device Management Suite

• Управляемые, но не входящие вCisco Device Management Suiteустройства

• Бизнес или техническиеограничения

Опыт использования контекста в Cisco

Кто? Известные пользователи(Сотрудники, продавцы, HR)Неизвестные пользователи (Гости)

Что?Идентификатор устройстваКлассификация устройств (профиль)Состояние устройства (posture)

Как?Проводное подключениеБеспроводное подключениеVPN-подключение

Где / куда / откуда?ГеографическоеместоположениеДепартамент / отделSSID / Порт коммутатора

Когда?ДатаВремя

Другие?Пользовательские атрибутыСтатус устройства / пользователяИспользуемые приложения

Опыт использования контекста в Cisco

Опыт Cisco: контроль доступа с Cisco ISE

Тип устройства МестоположениеПользователь Оценка Время Метод доступа Прочие

атрибуты

Что помогает обнаруживать угрозы в скрытой зоне?

Визуализация

• Траектория файлов

• Вектора атак• Имитация пути

злоумышленника

Аналитика ИБ

• Пользовательские запросы в OpenSOC (Metron), Splunk, SIEM, ELK

Контекст

• Identity Firewall• NAC• ISE

Визуализация угрозы

• Threatcrowd.org позволяет организовать поиск взаимосвязей между IOCs:

• IP-адреса• Доменные имена• Хеши файлов• Имена файлов

• Аналогичную задачу можно реализовать с помощью OpenDNS, Maltego, а также OpenGraphitti

Визуализация скрытых связей

Визуализация скрытых связей

OpenGraphitti

Неизвестная зона


Есть известные известные — вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные — вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные — это вещи, о которых мы не знаем, что не знаем их

Бывший министр обороны СШАДональд Рамсфельд

Выпадающие события / «Черный лебедь»Аномальное поведение0-DaysЕще нет сигнатур/решающих правил


Не известно аналитику


Обнаружение угроз в неизвестной зоне

Неизвестное неизвестное

Анализ поведения

Машинное обучение

Статистический анализ

Обнаружение аномалий и классификация событий

Обнаружение аномалий

• Скажи мне если произойдет что-то необычное

Классификация

• Скажи мне когда ты увидишь нечто, похожее на это

Обнаружение аномалий по поведению

Collect & Analyze Flows

1 2

• # Concurrent flows• Packets per second• Bits per second• New flows created• Number of SYNs sent• Time of day• Number of SYNs received• Rate of connection resets

• Duration of the flow• Over 80+ other attributes

Установление базового уровня поведения

Alarm on Anomalies & Changes in Behavior

Граничное значение

Граничное значение

Граничное значениеГраничное значение

Критичные сервера

Exchange Сервер

Web Сервера Маркетинг

Аномалия обнаружена в поведении хоста

3

Сбор и анализ потоков

От телеметрии к угрозам


Аномалии

Вредоносная активность

• Без сбора и анализа телеметрии мы никогда не получим информации об аномалиях

• Знание аномалий еще не дает нам знания об угрозах и вредоносной активности

172

Network as a Sensor

Сеть

CAT

ISR

ASR

Nexus

ИБ/Контекст

FirewallVPNProxyIdentityMerakiUCSISE

Stealthwatch + ISE

Stealthwatch ISE

StealthwatchLearning Network

173

Сеть

Network as a Sensor

ИБ/КонтекстStealthwatch + ISE

FirewallVPNProxyIdentityMerakiUCSISE

CAT

ISR

ASR

Nexus Stealthwatch ISE

StealthwatchLearning Network

174

Обнаружение аномалий в удаленных офисах

Безопасность для Cisco 4000 Series Integrated Services Router

StealthwatchLearning Network License

Cisco Umbrella Branch

(OpenDNS)

Zone-Based Firewall (ZBFW)

VPNCloud

Web Security (CWS)

FirePOWER

175

Что надо сделать, чтобы запустить процесс обучения аномалиям в филиале?

Определить пути трафикаПостроить карту адресов IP для изучения окружения

Изучить движение трафика, объемы, шаблоны, временные характеристики

Идентифицировать приложения в сети по протоколам и портам

Изучение отклонений нормального от аномального

Точное обнаружение аномалий; возможность оператору реагировать на них

3

2

6

4

1

5

176

В чем новизна обучающихся сетей?

Текущие решения по безопасности Stealthwatch Learning Network License

§ Состоят из специализированных устройств безопасности, подключенных к сети, такие как МСЭ и IDS/IPS

§ Сильно зависят от известных сигнатур для обнаружения известных угроз

§ Обладают ограниченной приспособляемостью, приводящей к пропуску угроз

§ Адаптивная

§ Использует машинное обучение для обнаружения продвинутых и скрытных угроз

§ Фокусировка на 0-day атаках

§ Использует ISR 4000 как распределенный аналитический движок (сенсор) и систему безопасности(enforcer)

177

Преимущество обучающихся сетей

Традиционные системы обнаружения аномалий Stealthwatch Learning Network License

§ Фокусировка на обнаружении как можно большего числа событий

§ Создает множество ложных срабатываний и не относящихся к делу угроз

§ Работает в одиночку и число обнаружений не является лучшим показателем эффективности

§ Централизованное решение, зависящее от сетевой телеметрии

§ Быстрое, эффективное, точное обнаружение

§ Сеть учится на собственных ошибках и сводит к минимуму количество ложных срабатываний

§ Обнаруживает и объединяет множество индикаторов в аномалию

§ Распределенное решение, независящее от полосы пропускания и мощности процессора

178

Архитектура обучающихся сетей

• Управляет агентами на множестве маршрутизаторов

• Обеспечивает расширенную визуализацию аномалий

• Интерфейс централизованного управления• Взаимодействие с другими источниками

данных ИБ

• Сбор данных с извлечением знаний из NetFlowили захваченных сетевых пакетов и сессий

• Встроенное моделирование поведения и обнаружение аномалий в реальном времени

• Встроенный автономный контроль, применение политик безопасности локально Филиал 1 Филиал 2

Public/PrivateInternet

Threat Intelligence

Feeds

Cisco Identity

Services Engine ISE

Не только NetFlow

• Поймите, что для вас норма и отслеживайте отклонения от нее с учетом дельты

Визуализация аномалии в виде превышения числа HTTP ошибок

Попробуйте определить аномалию в DNS-трафике

Машинное обучение (искусственный интеллект)

Известныеварианты

угроз

Автоматическаяклассификация

Неизвестныеугрозы

Полностьюавтоматическое

обучение

Автоматическаяинтерпретация

результатов

Глобальная корреляция по

всем источникам

IoC по одному или нескольким

источникам

Один источник (DNS, e-mail, web,

файл и т.п.)

1-е поколение

2-е поколение

3-е поколение • Машинное обучение –не панацея

• Интернет движется к тотальному шифрованию

• Злоумышленникиостаются незамеченными –стеганография

• За искусственныминтеллектом в ИБ – будущее

Не забывайте про оставшиеся 5%

Сложности ИБ• Неуправляемые десктопы и ПК руководства• Спам/Вредоносное ПО• DDoS• Удаленно контролируемые зараженные узлы• Быстро меняющееся окружение

Базовые решения• Anti-virus• Firewalls• IDS/IPS• IronPort WSA/ESA• Сегментация сети• Захват и анализ логов• Incident response team

95%

Расширенные решения• Расширенный сбор данных

• Netflow, IP атрибуция, DNS…

• Анализ Big data и playbooks• Быстрая локализация

• DNS/RPZ, карантин, On-line форензика на узлах

• Осведомленность об угрозах

Продвинутых угроз• Целевой фишинг с троянами• Атаки Watering hole• Атаки через соцсети• Атаки спецслужб

5%

Как Cisco ловит эти 5% в своей сети?

Нейтрализовать и реагировать

Метрики иотчеты

Управление конфигурацией

Инспекция

Регистрация

Идентификация


IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPNVuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1xAddress, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB

ExecsAuditorsInfosecIT Orgs

HR-LegalLine of Biz

AdminsEnd UsersPartnersBusiness Functions

Информирование Реагирование

РасследованиеОбнаружение

DBs

Внешние фиды об угрозах

Сканы Конфиги Логи Потоки События

4TB в день

Сист. управления

Incident Mgt System

Compliance Tracker

Incident Response TeamPlaybook

Инфраструктура под расследованием

Меры защиты и восстановлени

я

Системы коммуникаций и взаимодействия

РасследованиеМониторинг и реагирование

Обогащение/TIТелеметрия и

другие источники

Решения провайдеров по ИБ

Управление сервисами

Security Analytics Suite

AV Intel Providers

Cloud Infra

Service Provider Solutions

Digital Forensics

Tools

Security Case

Management

Enrichment Providers

Threat Intel Providers

Платформы для разведкиThreat

Intelligence

Malware Analysis

Knowledge Base

Log Management

Native Logs

Cyber Security Controls

Wiki

Comm & Collab Apps

Internal Infra

Ticketing

Training Platforms

Physical Security Controls

Cisco SOC

Sensor Telemetry

Other Data Sources

Опыт Cisco: комбинируйте методы обнаружения

Intel

Signature

Flows

Intel

Signature Behavior

Flows

Intel

Signature

В прошлом 2012 2013+

Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования

Открытая• NGFW / NGIPS• Защита от вредоносного

ПО• Спам-фильтры• Безопасность Web

Слепая• Платформы Threat Intelligence• Аналитика Big data• Корреляция• Облачные решения

Скрытая• Визуализация• Пользовательские

запросы• Контекст

Неизвестная• Машинное обучение• Статистический анализ• Анализ сетевого поведения

Подводим итогиИзвестно аналитику Не известно аналитику



000011111110

Интегрированная защита от угроз – это единственный путь заблокировать продвинутые угрозы

000011111110

TalosTalos

Мобильное ВиртуальноеEndpoint

СетьОблакоEmailи Web

Точечное Постоянное

Advanced Threats

Sandboxing

Web

Global Intelligence

Talos

Shadow IT &Data

NGIPS & NGFW


Email

DNS, IP & BGP

Anomaly DetectionAnomaly Detection

Sandboxing

Advanced Threats

DNS, IP & BGP

Shadow IT &Data

Global Intelligence

Talos

NGIPS & NGFW


Email

Web

Среднее время обнаружения с Cisco: 17 часов

Среднее время обнаружения без Cisco: 200 дней

Что у вас есть?

Чего вам не хватает?

Что вам понадобится?

Идентифицируйте используемые вами технологии ИБ, используемые данные и способы их получения, не забывая про моделирование угроз

Определите ваши краткосрочные, среднесрочные и долгосрочные планы и возможные угрозы для них, а затем определите данные, которые вам нужны для их обнаружения

Выберите необходимые источники данных, обучите персонал и, по необходимости, внедрите новые решения по кибербезопасности и анализу информации для ИБ

Что сделать после семинара в целом?

Свяжитесь с нами

Тестируйте

Составьте план

внедрения

Напишите нам на [email protected]или своему менеджеру Cisco/УЦСБ для организации встречи для более глубокого обсуждения ваших потребностей и того, как их можно удовлетворить

Воспользуйтесь широким спектром возможностей по тестированию:• dCloud• Виртуальные версии всего ПО• Демо-оборудование• И не забудьте про Threat Awareness Service

Мы поможем вам составить поэтапный план внедрения решений по кибербезопасности под ваши задачи

Что сделать после семинара с Cisco?

Спасибо[email protected]

Technology

4. Обнаружение необнаруживаемого