Upload
-
View
62
Download
14
Embed Size (px)
Citation preview
Бизнес-консультант по безопасности
Обнаружение необнаруживаемогоАлексей Лукацкий
6 апреля 2017 г.
Нарушитель реализует действия против цели приводящие к
последствиям
Что такое киберугроза?
Cisco Confidential –Internal Use Only
95%
5%
95%
Сложности ИБ
§ Управляемые/неуправляемые десктопы
§ Спам/Вредоносы
§ DDoS§ Удаленно
контролируемые скомпрометированные узлы
§ Постоянные изменения в сети
Базовые решения
§ Антивирус
§ МСЭ
§ IDS/IPS
§ WSA/ESA
§ Сетевая сегментация
§ Сбор и анализ логов
§ Incident Response Team
Вы обнаруживаете 100% угроз?
AMP + FirePOWERAMP > управляемая защита от угроз
В центре внимания Cisco — анализ угроз!
Приобретение компании Cognitive Security• Передовая служба исследований• Улучшенные технологии поведенческого анализа в режиме реального времени
2013 2015...2014
Приобретение компании Sourcefire Security• Ведущие в отрасли СОПВ нового поколения• Мониторинг сетевой активности• Advanced Malware Protection• Разработки отдела по исследованию уязвимостей
(VRT)• Инновации в ПО с открытым исходным кодом
(технология OpenAppID)
Malware Analysis & Threat Intelligence
Приобретение компании ThreatGRID• Коллективный анализ вредоносного кода
• Анализ угроз• «Песочница»
Коллективные исследования Cisco –подразделение Talos по исследованию и анализу угроз• Подразделение Sourcefire по исследованию уязвимостей —
VRT• Подразделене Cisco по исследованию и информированию об угрозах — TRAC
• Подразделение Cisco по безопасности приложений — SecApps
Cognitive + AMPКоллективный анализ вредоносного
кода > Система коллективной информационной безопасности
Приобретение компании OpenDNS• Анализ DNS/IP-трафика• Анализ угроз
Приобретение компании Lancope• Исследования угроз
• Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99%
приведёт к внедрению следующих уникальных модулей• Известно, что вредоносное ПО будут искать• Известно про запуск в песочницах• Развитая индустрия создания специфического
ПО с неплохими бюджетами и высоким уровнем заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном вредоносном ПО?
К чему это приводит?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из самых длинных незамеченных вторжений
Ponemon
206
HP
416Symantec
305
Как защититься от киберугроз?Identify(идентификация)
Protect(защита)
Detect(обнаружение)
Respond(реагирование)
Recover(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные
Identify(идентификация)
Protect(защита)
Detect(обнаружение)
Respond(реагирование)
Recover(восстановление)
Сети
Устройства
Приложения
Пользователи
Данные
• В 1955-м году два американских психолога Джозеф Лифт и Харингтон Инхам разработали технику, которая позволяет людям лучше понять взаимосвязь между своими личными качествами и тем, как их воспринимают окружающие
• В соответствии с методикой, названной «Окном Джохари», у каждого человека имеются четыре зоны
• Открытая• Слепая• Спрятанная• Неизвестная
Окно Джохари
4 зоны окна Джохари
В скрытой зоне находятся качества, известные человеку, но неизвестные окружающим
В слепой зоне находятся качества человека, которые известны окружающим, но неизвестные самому человеку
В неизвестной зоне находятся качества, неизвестные ни самому человеку, ни окружающим
?
В открытой зоне находятся качества, известные самому человеку и которые признают за ним окружающие
Открытая Слепая
Скрытая Неизвестная
Окно Джохари применительно к ИБИзвестно аналитику ИБ Не известно аналитику ИБ
Известно другим
Не известно другим
Другие – это исследователи, хакеры, спецслужбы…
Открытая зона
Плохие файлыПлохие IP, URLСпам/Фишинговые EmailСигнатурыУязвимостиИндикаторы компрометации
Открытая зона
Известно аналитику
Известно другим
• NGFW, IPS, Web/Email Security, WAF, песочницы…
Решения для обнаружения угроз
• API, pxGrid и т.п.Интерфейсы для обмена информацией об угрозах
• Сканеры уязвимостей, SAST/DAST, Vulners, БДУ и др.
Системы анализа защищенности
• OpenIOC, STIX , TAXII, и т.д. Индикаторы компрометации
Как обнаруживать известное?
Откуда мы получаем данные об угрозах?
• Получение информации с ошибками• Отсутствие или исчезновение информации на конкретные
угрозы• Отсутствие учета вертикальной или страновой специфики• Смена политики лицензирования
• Смена собственника• Поглощение компании-разработчика• Сотрудничество со спецслужбами• Санкции…
Риски получения данных об угрозах из одного источника
Источники поступления информации об угрозах
Информация об угрозах
ВендорСрЗИ
3rd partyСрЗИ
OSINTфиды
Поставщики фидов и сигнатур
Преимущественно статическая информация
Динамическая информация
3rd party тоже не панацея. Оцените риски!
Усилить и защитить сети от продвинутых угроз
VPN
Админ
с сервисами FirePOWER NGIPS
Анализ угрозОбнаружение угроз и AVC
Управление угрозами
ASA
Next Gen Firewall (NGFW)Блокирование
файлов по типуSSL расшифровкаЗнание контекстаAMP
Сетевой трафик
FireSIGHTManagement Console
Advanced Threats
Sandboxing
Web
Global IntelligenceTalos
Identity & Access Control
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
DNS, IP & BGP
Специализированные платформы для филиалов, периметра, ядра, терминалов, ЦОД в традиционном, виртуальном, ACI и облачном
окружении
Традиционный FirewallКонтроль политик NAT и ACLsПродвинутая
кластеризация
Введение в устройства Firepower NGFW
Advanced Threats
Sandboxing
Web
Global IntelligenceTalos
Identity & Access Control
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
DNS, IP & BGP
NGFW
Блокирование и мониторинг неавтори-зованногодоступа и активности на L2-7
NGIPS
Обнаружение, предотвра-щение и реагирование на угрозы сети в режиме реального времени.
URL фильтрация
Ограничение доступа к определенным узлам и подузлам, как и к категориям веб сайтов.
VPN
Защита удаленных пользовате-лей и подключений узел-узел с детальным контролем.
W W W
Integrated Intelligent Services FrameworkИнтеллектуальная обработка для более эффективного
обнаружения, высокой производительности и упрощенного управления.
AMP
Идентифика-ция и нацеливание на бреши и malware для анализа и реагирования
Third Party
Открытый API позволяет применять диапазон дополнительных инструментов для настраиваемой защиты.
Остановите спам, фишинговые атаки и предотвратите утечку данных
Кто
Механизмы антиспам и
антифишингАнтивирусы
Talos блокирует плохие письма
на входе
Cisco Anti-Spam
IMS
Что
Когда
Где Как
> Уровень обнаружения 99%< Ложных срабатываний <1 на 1 млн
Репутация файлов и ThreatGrid
Advanced Threats
Sandboxing
Web
Global Intelligence
Talos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
Identity & Access Control
DNS, IP & BGP
А также защита исходящей почты (DLP, DMARC, DKIM, SPF, объем)
Получите детальный контроль над веб-угрозами
Advanced Threats
Sandboxing
Web
Global Intelligence
Talos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
Identity & Access Control
DNS, IP & BGP
Контроль теневых ИТ и облаков
Advanced Threats
Sandboxing
Web
Global IntelligenceTalos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFWIdentity & Access Control
DNS, IP & BGP
Защита вне зависимости от нахождения в периметре или за ним
Глобальная видимость Блокирование malware, C2 callbacks, &фишинга через любой порт/протокол
Глобальная сетьУправляет 80B+ DNS запросов ежедневно с 100% uptime
208.67.222.222
Интернет-активность на
уровнях DNS и IP
ЛАБОРАТОРИИ БЕЗОПАСНОСТИ
Домены, IP, URL
Детектирование угроз на месте
Пользовательские и другие потоки информации
Платформы информации об угрозах
IOCs
Игтеграция под ключ и пользовательски API
Облачная консоль управления
Фильтрация на основе местоположения и безопасности
Настраиваемые страницы блокировки
Интеграция с AD
Off-network, Roaming Devices
Облачная консоль постороения отчетов реального времени
Policies
Logs
Logs
On-Network Devices
Category Identity
WEB КОНТЕНТ AD USERNAME
CLOUD SERVICE INTERNAL NETWORK
ODNS THREAT INTEL ROAMING COMPUTER
CUSTOM IOC FEED AD COMPUTER
OpenDNS Umbrella
Прогностические технологииКонтроль 2% всей мировой Интернет-активности и возможность долговременного хранения логов
Advanced Threats
Sandboxing
Web
Global IntelligenceTalos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFWIdentity & Access Control
DNS, IP & BGP
Сокращение времени на обнаружение и снижение влияния
Рабочие станцииСеть
Ключ Запись BlockAlertAllowWeb и Email
Усиленная защита Постоянный мониторинг активности файлов, обнаружение скрытых угроз, ограничение и реагирование
Блокирование известных и развивающихся угроз
Continuous Analysis & Retrospective SecurityIntelligence моментальная защита
.exe
Статический и динамический
анализ
Контроль атак
Ретроспектива
Траектория устройства
Эластичный поиск
РаспространенностьТраектрория файла
Уязвимости
Endpoint IOCs
One-to-One Signatures
Fuzzy Fingerprinting
Machine Learning
Advanced Analytics
Глобальная информация об угрозах
Репутация
IoC
Политики на основе групп и пользователей
Анализ в песочнице
Развертывание
Консоль управления AMP CloudАдмин
безопасности
Управление
Перед Во время После
Advanced Threats
Sandboxing
Web
Global Intelligence
Talos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
Identity & Access Control
DNS, IP & BGP
Вы доверяете своему вендору?16 апреля 2015 годаhttp://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/
Дело СОВСЕМ не в названиях компаний, проблема в методологии
Почему так важна Threat Intelligenceсегодня?!
• Threat Intelligence – знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им
• Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.
Решения Cisco Threat Intelligence
• Cisco AMP Threat Grid
• Cisco OpenDNS Investigate
• Cisco IntelliShield Information Service
• Cisco PSIRT openVuln API
• Cisco Threat Awareness Service
• Проекты Cisco AEGIS / ASPIS
• Cisco Active Threat Analytics (ATA)
Talos в основе всей ИБ-стратегии Cisco
Threat Grid
ЦОД
OpenDNSUmbrella
CWS/CES CloudLock
AnyConnect
ISE
Интернет
On-Premises
Телеработник
TrustSec
AMP
CloudCenterFirepower
Management Center
CiscoDefense
Orchestrator
Multi-cloud API
NGIPS
Stealthwatch
ЛегендаOn-Premesis
Для облака
Из облака
Защита
Видимость
Контроль доступа
NGFWv
ASAv
CSRv
NGFW
DDoS
AMP
Cisco Router -или-
NGFW
NGFWvASAv AMP
Stealthwatch Cloud
Число угроз постоянно растет
= 10000
1,5 миллиона образцов (семплов) вредоносного кода ежедневно
Число угроз постоянно растетСпам составляет86% от всего e-mail-трафика
Оцените масштаб проблемы
=В мире проживает
7,3 миллиарда человек
Около 3-х угроз на каждого
жителя Земли приходится ежедневно
5 департаментов
DNS-запросов в день
80МЛРД
Файлов / семплов в день
18.5 МЛРД / 1,5 МЛН
Web-запросов в день
16 МЛРД
сообщений email в день
600 МЛРД
С чем сравнить?
= 1 миллиард(на начало декабря 2016 года)
1,5 миллиона образцов вредоносного кода ежедневно(10 миллионов в неделю)
Cisco2 миллиона образцов вредоносного кода в неделю
ЛК
П РОД УК ТЫ
СЕ Р ВИСЫ ОБНА РУЖЕНИЯ
ESA | ClamAVSpamCopSenderBase
Email Reputation
Malware ProtectionURL, Domain, IP ReputationPhishing ProtectionSpoof & Spam Detection
Open Source
Snort RulesClamAV SigsClamAV
Vulnerability ProtectionMalware ProtectionPolicy & Control
ПК
AMPClamAV
Cloud & End Point IOCsMalware ProtectionIP Reputation
Облака
CWSCESOpenDNS
URL, Domain, IP ReputationMalware ProtectionAVC
Web
WSACWS
URL, Domain, IP ReputationMalware ProtectionAVC
Сеть
FirePower/ASAISRMeraki
Policy & Control
Malware ProtectionURL, Domain, IP ReputationVulnerability Protection
Услуги
ATAIR
Cloud & End Point IOCsMalware ProtectionURL, Domain, IP ReputationVulnerability ProtectionCustom Protection
Разведка
ThreatGrid
Cloud & End Point IOCsMalware ProtectionURL, Domain, IP ReputationNetwork Protection
«Продукты» Cisco Talos
Решения Open Source, разработанные Cisco Talos
Публично доступные инструменты• Обнаружение и
предотвращение угроз: Snort, ClamAV, Razorback, Daemonlogger & MBRFilter
• Исследования угроз: LockyDump, FIRST
• Обнаружение и нейтрализация уязвимостей: Moflow, FreeSentry
TTP
Инструменты
Сетевые / хостовыеартефакты
Доменные имена
IP-адреса
Хеши
Иерархия данных об угрозах (IoC)
Стандартное предложение
Cisco
Cisco AEGISCisco ATA
Адреса IPv4 Домены / FQDN Хэши (MD5, SHA1)
URLТранзакционные
(MTA, User-Agent)
Имя файла / путь
Mutex Значение реестра
Имена пользователей
Адреса e-mail
Распространенные IoC
Решения безопасности Cisco Решения безопасности не-Cisco
Интегрированный анализ malware и информация об угрозах
Подозрительный файл
Отчет анализа
Граница
Endpoints
ASA w/ FIREPOWER
Services
ESA
CTA
WSA
AMP для Endpoints
AMP для сетей
Динамический анализ
Статический анализ
Информация об угрозах
AMP Threat Grid
Основные потоки контента
Интеграция партнеров
Платформы мониторинга безопасности
S E C U R I T Y
DPI
Риски, законодательство
, соответствие
SIEM
SOC / CSIRT
Подозрительный файл
Advanced Threats
Sandboxing
Web
Global Intelligence
Talos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
Identity & Access Control
DNS, IP & BGP
• Платформа для глубокого анализа вредоносного кода
• Доступ через портал, выделенное устройство или с помощью API
• Может применяться при построении собственных систем Threat Intelligence, SOC или при создании служб реагирования на инциденты
• Может интегрироваться с различными инструментами для проведения расследований – EnCase, Maltego и т.п.
Cisco AMP Threat Grid
Детальный анализ вредоносного ПО в AMP Threat Grid
• Доступ к порталу• Зависит от числа аналитиков и ежедневно загружаемых семплов вредоносного кода• Приватная маркировка загружаемых семплов (опционально)• Устройство Threat Grid (опционально) позволяет загружать семплы на него, без
загрузки в облако
• Интеграция с решениями Cisco• AMP for Endpoints• AMP for Networks (FP / ASA)• AMP for WSA / CWS• AMP for ESA / CES
• API для автоматизации передачи семплов в Threat Grid включен во все лицензии с подпиской
Типовые сценарии использования AMP Threat Grid
Интеграция и автоматизация механизмов обеспечения безопасности
§ Cisco® AMP Threat Grid REST API позволяет автоматизировать отправку образцов, получение новой информации и получение результатов − Автоматизация отправки из различных модулей− Простой возврат результатов
Your Existing Security
Обеспечение максимальной отдачи от вложений в безопасность
Получениеданных об
угрозах
Потоки аналитики об угрозах
МСЭ Сенсорыв сети SIEM Управление
журналами
Партнеры поотрасли
Средства защиты хостов
Шлюз/проксиIPS/IDS
Threat Grid
Развертывание вне облака – на территории заказчика
§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid§ В целях соблюдения нормативных требований все данные остаются на территории заказчика§ Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для
актуализации контекста§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§ TG5000:§ Анализ до 1500 образцов в день§ Cisco UCS C220 M3 Chasis (1U)§ 6 x 1TB SAS HDD (аппаратный RAID)
§ TG5500: § Анализ до 5000 образцов в день§ Cisco UCS C220 M3 Chasis (1U)§ 6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты
Интеграция AMP Threat Grid с другими ИБ-решениями
• Фиды (feeds) – способ представления данных об угрозах• Поддержка различных языков программирования
и форматов данных• JSON• XML• CyBOX• STiX• CSV• И другие
Фиды Threat Intelligence
Фиды AMP Threat Grid
• autorun registry• banking DNS• dll-hijacking-dns• document (PDF, Office) Network
Communications• downloaded-pe-dns• dynamic-dns• irc-dns• modified-hosts-dns
• parked-dns• public-ip-check-dns• ransomware-dns• rat-dns• scheduled-tasks• sinkholed-ip-dns• stolen-cert-dns
• Поддержка различных форматов данных• JSON• CSV• Snort• STIX
Форматы AMT Threat Grid
Мы можем стать поставщиком сигнатур атак для отечественных IDS и ГосСОПКИ
Сигнатуры
Cisco Talos
Бесплатные
Платные
Под заказ
Emerging Threats
ET OpenET Pro
Idappcom Платные
Wurldtech Платные (для ICS)
• Все поставщики сигнатур разрабатывают их под Snort (стандарт де-факто)
• Bro и Surricata могут использовать сигнатуры Snort-style
• Российские «разработчики» IDSобычно используют сигнатуры ET
OpenDNS
Umbrella (защита)Реализация защиты на DNS & IP уровнях
Investigate (разведка)Понимание Интернет-инфраструктуры, используемой атакующими для атак и определение текущих и будущих вредоносных узлов
Что такое OpenDNS?
NOTE1: Visual Investigations of Botnet Command and Control Behavior (link)• malware reached out to 150,000 C2 servers over 100,000 TCP/UDP ports• malware often used 866 (TCP) & 1018 (UDP) “well known” ports,
whereas legitimate traffic used 166 (TCP) & 19 (UDP) ports
NOTE2: Forthcoming 2016 Cisco Annual Security Report• 9% had IP connections only and/or legitimate DNS requests• 91% had IP connections, which were preceded by malicious DNS lookups• very few had no IP connections
ZbotZeroAccess
njRAT
Regin
Gh0st
StormPushdo/Cutwail DarkComet
Bifrose
LethicKelihos
Gameover Zeus
CitadelTinbaHesperbot
Bouncer (APT1)Glooxmail
(APT1)
Longrun (APT1)Seasalt(APT1)
Starsypound (APT1)
Biscuit (APT1)PoisonIvyTinba
НЕ-WEB C2 ПРИМЕРЫ
DNS
WEBНЕ-WEB
IP IP
миллионы уникальных
семплов ВПО из ЛВС за последние 2
года
Lancope Research(сейчас Cisco)1
15%C2 не использует
Web-порты 80 & 443
миллионы уникальных семплов
ВПО загружены в песочницу за
последние 6 месяцев
Cisco AMP Threat Grid Research2
91%C2 может быть
блокировано на DNS уровне
Зачем нужна защита на DNS-уровне?
Визуализация DGA для трояна Tinba
OpenDNS Investigate
Обнаружение существующих и будущихвредоносных доменов и IP
Обзор всего InternetОбогащение данных безопасности дополнительным контекстом
Прохождение через инфраструктуру атакующегоВидимость, откуда атакующих инициирует атаки и как соединяются домены, IP, ASN и URL
Предиктивная информацияМы применяем статистическую модель к историческим данным и данным реального времени для того, чтобы предсказать вероятно вредоносные домены, которые могут быть использованы в будущих атаках.
Веб-консоль или API
Простой, скоррелированный
источник информации
Зарпросдополнительного
контекста
Advanced Threats
Sandboxing
Web
Global Intelligence
Talos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
Identity & Access Control
DNS, IP & BGP
Начало
Имена доменов
IP адреса
Автономные системы
Email адреса
ОбнаружениеВсе ассоциированные домены, IP, и ASN
Исторические данные DNS
Данные записей WHOIS Значения репутацииАссоциированные аномалии (fast flux, DGA’s, и т.д.)
Шаблоны запросов DNS и IP геолокация
Быстрая идентификация доменов, использующих ваш бренд
Автоматизация поиска интересующих доменов
Автоматизация поиска интересующих доменов
216.35.221.76:43173.236.173.144157.166.226.25
То, что вы видите сегодня
malware.exeperviyclass.su
perviylich.ruStatecollegenow.com
AS 3561AS 5662
bobnpr.comwww.cnn.com igloofire.com
216.35.221.76:43173.236.173.144157.166.226.25
Что если бы вы видели
это?
Investigate: Наиболее эффективный метод видеть угрозы
Консоль
API
SIEM, TIP
Ключевые пункты
Знания о доменах, IP и malware в Интернет
Живой граф DNS запросов и другой контекстной информации
Корреляция по статистической модели
Обнаружить и предугадать вредоносные домены и IP
Дополнить данные безопасности глобальным интеллектом
домены, IPs, ASNs, хэши файлов
Сеть посредников ZBot Fast Flux
WHOIS данные
§ Кто зарегистрировал домен§ Использованная контактная
информация§ Когда/где зарегистрирована§ Дата истечения регистрации§ Исторические данные§ Корреляция с другими
вредоносными доменами
Видеть взаимосвязь между инфраструктурой злоумышленников
Анализ вредо-носных файловС помощью Cisco AMP Threat Grid
Наш глобальный контекст
Мы знаем все его взаимосвязи
Ваши локальные знания
Вам известен один IOC
INVESTIGATE
WHOIS база записей
ASN атрибуция
IP геолокация
IP индексы репутации
Доменные индексы репутации
Домены связанных запросов
Обнаружение аномалий (DGA, FFN)
DNS запросы по шаблону и геораспределение
База пассивной инф. DNS
Вендорыконкуренты
Not available
Not available
Not available
Единый источник информации
ЧувствуетеLocky?
• Через вложение Email в фишинговой рассылке
• Шифрует и переименовывает файлы с.locky расширением
• Примерно 90,000 жертв в день [1]
• Выкуп порадка 0.5 – 1.0 BTC (1 BTC ~ $601 US)
• Связанны с операторами Dridex
TTE: механизмы доставки файлов (Locky)Злоумышленники быстро и часто меняют векторы атаки, чтобы их сложнее было обнаружить*
Эл. почта Веб
Ransomware: обнаружение инфраструктуры злоумышленника
СЕНТЯБРЬ 12-26 DAYS
Umbrella
АВГУСТ 17
LOCKY
*.7asel7[.]top
?Domain → IP
Ассоциация
?IP → Sample
Ассоциация
?IP → Network
Ассоциация
?IP → Domain
Ассоциация
?WHOIS
Ассоциация
?Network → IP
Ассоциация
91.223.89.201 185.101.218.206
600+ Threat Grid files
SHA256:0c9c328eb66672ef1b84475258b4999d6df008
*.7asel7[.]top LOCKY
Domain → IPАссоциация
AS 197569IP → NetworkАссоциация
1,000+ DGA domains
ccerberhhyed5frqa[.]8211fr[.]top
IP → DomainАссоциация
IP → SampleАссоциация
CERBER
-26 DAYS AUG 21
Umbrella
JUL 18
JUL 21
Umbrella
JUL 14 -7 DAYS
jbrktqnxklmuf[.]info
mhrbuvcvhjakbisd[.]xyz
LOCKY
LOCKY
DGA
Network → DomainАссоциация
DGA
Угроза обнаружена в день регистрации домена
Угроза обнаружена до регистрации домена.
ДОМЕН ЗАРЕГИСТРИРОВАН
JUL 22-4 DAYS
Визуализация инфраструктуры нападающего
91.223.89.201
AS197569
Блокировка ransomware: Locky пример доменаtaddboxers.com (Дата обнаружения: Октябрь 8, 2016)
Блокировка ransomware: Locky пример доменаtaddboxers.com (Дата обнаружения: Октябрь 8, 2016)
OpenDNS Investigate
Информация об инфраструктуре атакующих
AMP Threat Grid
Информация о файлах атакующих
173.236.173.144IP источника & получателя
likelybad.comHTTP/DNS трафик
Хостятся в 22 странах
baddomain.com
162.17.5.245 suspicious.com
создает .exe файл в папкке
admin
.doc файл модифирует
WINWORD.exe
модифицирует реестр
другая файловая
активность и артефакты
ДинамикаМощь AMP Threat Grid иInvestigate
• Большое количество угроз и непредсказуемость времени их получения требует автоматизации процесса Threat Intelligence и его интеграции с существующими решениями класса SIEM или SOC
• Автоматизация может быть достигнута за счет API / SDK, который сможет• Получать и загружать данные (фиды и отчеты) от/из внешних источников Threat Intelligence, включая
платформы TI
• Поддержка различных языков программирования• Go и Ruby• Java и .NET• Perl и PHP• Powershell и Python• RESTful• WSDL и SOAP
Threat Intelligence API
API для автоматизации процесса
ThreatGRID
Широкие возможности по загрузке и получении ответа• Артефакты (хэш, путь)• URL• Ключ реестра• Домен / имя узла• IP• IOC• Сетевые коммуникации (TCP, IRC, HTTP, DNS и т.п.)
OpenDNS
Анализ DNS/IP-адресов на предмет их вредоносности
Запрос информации об IP, домене, ASN, e-mail или хэше файла
Возврат рейтинга SecureRank2, RIP или Threat Grid
Статус вредоносного домена
Вредоносные взаимосвязи
Семплы ВПО, ассоциированные с доменом или IP-адресом
Домены, использующие общий IP
OpenDNS INVESTIGATE API
ДОМЕНЫ, IP & ASN
TIP SIEM и др.
API
OpenDNS INVESTIGATE API
OpenDNS INVESTIGATE API
OpenDNS INVESTIGATE API
У меня есть фиды (IoC) и что дальше?
Фиды
«Yara»
SIEM
СрЗИ
Руки J
Средства для поиска угроз на базе IoC
• Yara• PowerShell• AutoRuns – Utility• Loki• Wireshark – tshark• И другие
Интеграция AMP Threat Grid с решениями Cisco
Обеспечивает взгляд на угрозы, исходящие из своей компании, и направленной на нее
Постоянно отслеживает новые угрозы
Предлагает меры нейтрализации
Доступная всегда, каждый день
Проста в настройке и использовании
Это важно для сохранения сети в безопасности
Заказчики хотят Threat Intelligence которая:
Cisco Threat Awareness ServiceCisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки.
• Использование одной из лучших в мире баз данных угроз• Оперативное обнаружение вредоносной
активности
• Идентификация скомпрометированных сетей и подозрительного поведения
• Помогает компаниям быстро идентифицироватьскомпрометированные системы
• Обеспечение рекомендаций• Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации• Позволяет улучшить общую защищенность
Cisco Threat Awareness Service: просто внедрить
Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует:
• Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности,и цены с ростом эффективности threat intelligence
Cisco Threat Awareness Service
Опции Cisco Threat Awareness ServiceБазовое предложение Премиум-предложение
Цена • Включен в Cisco Smart Net Total Care™
• Дополнительный, платный сервис
Доступ к порталу • 24x7 через SNTC Portal • 24x7 через SNTC PortalЕжедневные обновления • Да • ДаЧисло доменных имен • Ограничен 3 • НеограниченоЧисло диапазонов 256 IP адресов • Ограничен 3 • НеограниченоExposed services • Open services • Open services
• Vulnerable servicesВредоносная активность • IP-адреса • IP-адреса
• Домены и URLsDNS observations • Неожидаемые DNS имена • Неожидаемые DNS имена
• Observed DNS resolversSuspicious DNS requests • Не включены • DNS запросы из вашей сети к
хорошо известным вредоносным сайтам
Firepower Management Center
Сбор данных об угрозах Генерация обогащенных отчетов об инцидентах
Корреляция с данными от сенсоров
Уточнение состояния безопасности
IngestДанные
Сенсоры Cisco Security• Firepower NGFW • FirePOWER NGIPS• AMP
Threat IntelligenceDirector
Новый продукт Cisco Threat Intelligence Director
CSV
Отраслевые организации
…позволяет использовать данные не только от Cisco Talos
Источники данных об
угрозах
Платформы Threat
Intelligence
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88
Слепая зона
Нехватка логовРазрыв в процессахНехватка интеграции/масштабированияНехватка корреляцииЛожные срабатывания
Слепая зона
Неизвестно аналитику
Известно другим
Нехватка данных для анализа
• Syslog, CDR…Логи
• Сигнатуры, аномалии, превышение тайм-аутов…Сигналы тревоги
• E-mail, файлы, Web-страницы, видео/аудио…Контент
• Netflow, IPFIX…Потоки
• Имена пользователей, сертификаты…Идентификационные данные
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
T T
This
T
T
T
T
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводнаясеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОДУдаленныеустройства
Дос
туп
Облачный шлюз
безопасности
Thi
Облачный шлюз
безопасности
Матрица ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭБеспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
Откуда брать данные?
Объединяя типы данных и места их сбораМесто съема данных Источник данных
Сиг
налы
тр
евог
и
Конт
ент
Пот
оки
Логи
Иде
нтиф
икац
ия
Интернет-периметр
Сервер DHCP ✔
Сервер DNS ✔
DLP ✔ ✔ ✔
WAF ✔ ✔
NAC ✔ ✔
Маршрутизатор ✔ ✔
…
Объединяя типы данных и индикаторыКатегория индикатора Индикатор
Сиг
налы
тр
евог
и
Конт
ент
Пот
оки
Логи
Иде
нтиф
икац
ия
Системнаяактивность
Неудачные попытки входа ✔ ✔
Доступ к нетипичным ресурсам ✔ ✔
Утечка данных ✔ ✔ ✔ ✔ ✔
Изменение привилегий ✔ ✔ ✔ ✔
Нетипичные команды ✔ ✔ ✔
Нетипичные поисковые запросы ✔ ✔ ✔ ✔
…
Почему не только периметр…16 апреля 2015 годаhttp://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/
Дело СОВСЕМ не в названиях компаний, проблема в методологии
Хакер не обязательно идет через периметр
И даже если у вас нет Wi-Fi, вас могут через него атаковать
Подмена Wi-Fi-точки доступа и перехват паролей
Видео-демонстрация
Помните кино «Хакеры»?
Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…Вы их контролируете?
А еще существует взлом через переговорную комнату
Видео-демонстрация
Как попасть в помещение?
Видео-демонстрация
Как попасть в помещение?
Что вы будете делать, если найдете флешку у дверей офиса?
Любопытство возьмет верх или нет?
Многие подбирают J
Еще немного кино
• Elastic Search• Log Stash• Kibana• Splunk• Security Onion• Flowplotter
• Wireshark - tshark• Network Miner• Snort• Suricata• BRO• Flowbat
Средства сбора и анализа сетевой телеметрии
Сеть как масштабируемый источник знаний
Interwebs
Internal Network
Ключевые NetFlow поля
• Packet count• Byte count
• Source IP address• Destination IP address
• Start sysUpTime• End sysUpTime
• Packet count• Byte count
• Input ifIndex• Output ifIndex
• Type of Service• TCP flags• Protocol
• Next hop address• Source AS number• Dest. AS number• Source prefix mask• Dest. prefix mask
Использование
Время
Где
QoS
От/Куда
Использование
Роутинг и пиринг
NetFlow Data
NetFlow Collector
Анализ NetFlow – путь к самообучаемым сетям
Сетевые потоки как шаблоны вторжений
Мощный источник информациидля каждого сетевого соединения
Каждое сетевое соединенияв течение длительного интервала времени
IP-адрес источника и назначения, IP-порты, время, дата передачи и другое
Сохранено для будущего анализа
Важный инструментдля идентификации взломов
Идентификация аномальной активности
Реконструкция последовательности событий
Соответствие требованиям и сбор доказательств
NetFlow для полных деталей, NetFlow-Lite для 1/n семплов
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH In
WED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH In
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
Вспомним распечатку мобильного оператора
Day Date Time To/From Type Msg/KB/Min Rate Code Rate PD Feature In/Out
TUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
TUE 07/10/14 8:10PM 293538 TXT 5Msg TM1 AT SMH Out
WED 07/11/14 7:33AM 349737 TXT 20Msg TM1 AT SMH InWED 07/11/14 12:12PM 345787 CALL 190 Min TM1 AT SMH In
WED 07/11/14 2:15PM 985687 CALL 43 Min TM1 AT SMH In
THR 07/12/14 5:23AM 345784 TXT 5Msg TM1 AT SMH Out
THR 07/12/14 6:17AM 293538 CALL 58 Min TM1 AT SMH Out
FRI 07/13/14 10:57AM 349737 TXT 5Msg TM1 AT SMH In
FRI 07/13/14 1:57PM 935693 TXT 13Msg TM1 AT SMH Out
FRI 07/13/14 8:37PM 985687 TXT 9Msg TM1 AT SMH In
MON 07/16/14 11:41PM 293538 CALL 14 Min TM1 AT SMH In
TUE 07/17/14 4:20PM 472091 TXT 7Msg TM1 AT SMH Out
TUE 07/17/14 9:27AM 293538 CALL 8 Min TM1 AT SMH InTUE 07/17/14 9:43AM 571492 CALL 13 Min TM1 AT SMH Out
Вспомним распечатку мобильного оператора
Кто КудаЧто
Когда
Как
ОткудаБольше контекста
Высокомасштабиуремый сборВысокое сжатие => долговременное
хранилище
NetFlow с точки зрения контекста
© 2015 Lancope, Inc. All rights reserved. Lancope Confidential Information.
StealthwatchManagement
Console
UDP DirectorFlowCollector
NetFlow,syslog, SNMP NetFlow-инфраструктура
FlowSensorCloud License
Контекст о пользователях и
устройствах
Cisco ISE
Фиды по угрозам
Унифицированный вид:Безопасность и Сетевой
Мониторинг
ProxyWatch
NAT/ProxyПользова-тели
Угрозы LAYER 7TrustSec Группы /сегменты
ОблакаИнтерфейсы
Клиент Сервер Трансляция Сервис Пользовател Приложение Трафик Группа MAC SGT
1.1.1.1 2.2.2.2 3.3.3.3 80/tcp Doug http 20M location 00:2b:1f 10
Основная идея
Сессии | 100% сетевая подотчетность
События ИБСобытия Поведенческая аналитика
Видимость и контекст
Планирование МСЭ Сегментация Сетевые
операцииВизуализация
сетиМониторинг
пользователей TrustSecУгроза инсайдеров
Сценарии применения
Унифицированный взгляд на внутреннюю ИБ
Невзирая на масштаб сети
Группирование хостов
Категории тревогConcern Index: Отслеживает хосты нарушающие целостность сети
Target Index: Показывает хосты, которые являются жертвами атак.
Recon: Указывает на присутствие неавторизованного и потенциально опасного сканирования
Command and Control: Показывает наличие инфицированных ботами серверов и хостов связывающихся с C&C серверами
Exploitation: Отслеживает прямые попытки компрометации между хостами, такие как распространение червей и перебор паролей.
DDoS Source: Показывает что хост был идентифицирован источником DDoS атаки.
Категории тревогDDoS Target: Показывает что хост был идентифицирован жертвой DDoS атаки.
Data Hoarding: Показывает что хосты источника или назначения в сети загрузили необычно большой объем данных с одного или нескольких хостов
Exfiltration: Отслеживает внутренние и внешние хосты к которым передается необычно большое количество данных
Policy Violation: Субъект показывает поведение которое нарушает нормальную сетевую политику.
Anomaly: Отслеживает события показывающие что хост ведется себя не нормально или генерирует активность несовпадающую с другими категориями активностей.
Отслеживание информационных потоков и нарушений сегментации
Хостовые группы
Взаимодействие
Запрещенное взаимодействие
Нарушение политик: Host Locking
Клиентская группа Серверная группа
Условия клиентского трафика
Условия серверного трафика
Удачно или неудачно
Быстрое блокирование угрозы с помощью Cisco StealthWatch и Cisco ISE
Quarantine/Unquarantine через pxGrid
Identity Services Engine
StealthWatch Management
Console
Комбинируя nvzFlow с NetFlow
Sw1 ASA
Доверенная сеть VPN
• Вспомогательный NetFlow из сети требуется• VPN и Trusted network
• Полная видимость и все алгоритмы работают• Уникальные nvzFlow атрибуты применяются к
двусторонней записи потока что помогает проводить работу по расследованию инцидентов
Превратите вашу сеть в сенсор обнаружения угроз
Разделение информации
Реагирование
PRIME
BIG DATA
SDN
Будущее
SDN
Информация
Данные
Advanced Threats
Sandboxing
Web
Global Intelligence
Talos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
Identity & Access Control
DNS, IP & BGP
ISEASAWSARouter/SwitchAMPAnyConnect
Телеметрия
SIOISE
CTAThreat Grid
SLIC
Контекст
Cisco CSIRT о своей практике использования Stealthwatch
https://youtu.be/FEmAmsajBtI
Cognitive Threat Analytics
Анализ web-логов от прокси
ИнтеграцияИнтеграция с Cisco ISE, Cisco AMP for Endpoint, Cisco AMP for Networks и SIEMдля блокирования и анализаугроз
Широкий спектр угрозУтечки данных, коммуникации с C2-серверами, DGA, эксплойт-киты, туннелирование через HTTP/HTTPS
Мониторинг угрозМы применяем статистическую модель к историческим данным и данным реального времени для того, чтобы обнаружить зараженные и скомпрометированные узлы и пользователей в сети
Advanced Threats
Sandboxing
Web
Global Intelligence
Talos
Anomaly Detection
Shadow IT &Data
NGIPS & NGFW
Identity & Access Control
DNS, IP & BGP
Для слепой зоны нужны корреляция
Корреляция
Пользователи
Приложения Сеть
Физический мир
Threat Intelligent Platforms
• Агрегация телеметрии из множества источников
Аналитика ИБ
• OpenSOC(Metron), Splunk, SIEM, ELK
Облачные решения
• CTA, OpenDNS
• Sec-aaS
Что помогает обнаруживать угрозы в слепой зоне?
Скрытая зона
КонтекстКорреляция событийИсторический контекстБазовый профиль (эталон)Анализ данных
Скрытая зона
Известно аналитику
Не известно другим
• У вас могут быть свои подозрительные файлы
• Вы можете не хотеть «делиться» вашими анализами с другими
• Вас может не устраивать оперативность фидов
• Ваш источник фидов может плохо охватывать Россию
• У вас собственная служба расследования инцидентов и аналитики вредоносного кода
• Вы пишете вредоносный код J
А разве фидов недостаточно?
Данные об угрозах в RSA Security Analytics
Данные об угрозах в EnCase Endpoint Security
Возможность анализа собственных угроз
https://www.threatgrid.com
Загрузка собственных угроз • С помощью API в облако• С помощью API на локальное
устройство on-premise• Вручную через портал
OpenDNS
Запрос по собственным запросам• С помощью API в облако• Вручную через портал
• Активы/Сеть• Сетевая топология• Профиль актива
• Адрес/местоположение• Аппаратная платформа• Операционная система• Открытые порты/Сервисы/Протоколы• Клиентское и серверное ПО и его версия• Статус защищенности
• Уязвимости
• Пользователь• Местоположение• Профиль доступа• Поведение
Что мы знаем и не знают другие?
• Файл/Данные/Процесс• Движение• Исполнение• Метаданные• Источник• «Родитель»• Репутация
• Безопасность• Точечные события• Телеметрия• Ретроспектива
èМСЭ / NGFW / NAC
èIDS / IPS
èNBADèAV / BDS
SIEM / LM
XX
XX
Откуда эти данные взять?
XèФильтрация контента
èА еще ОС, СУБД…
На что обращать внимание?!
Активность
• Системная (изменение поведения ИТ-систем или шаблонов доступа)
• Объектовая (шаблоны местонахождения и времени)
• Бизнес
Контекст
• Социальный (социальные коммуникации)
• Здоровье / психология (изменения в психологии и здоровье)
• HR (непростые жизненные события)
Телеметрия
• Финансовая (непредвиденныеили неожиданные траты)
• Безопасность (нарушения политик ИБ)
• Криминальная
Источники данных для анализа
Внутренние
• Телеметрия (Netflow, DNS, PCAP, syslog, телефония, GSM и т.п.)
• Критичные ресурсы• СКУД (местоположение,
GSM, CCTV, бейджи и т.п.)• Данные о персонале (HR,
проверки СЭБ и т.п.)
Внешние
• Данные от правоохранительных органов
• Банковские выписки• Выписки ДМС,
медосмотры
• Неудачные попытки входа в системы• Доступ к нетипичным ресурсам• Профиль сетевого трафика• Утечки данных (по объему, типу сервиса и контенту)• Нетипичные методы доступа• Изменение привилегий• Нетипичные команды• Нетипичные поисковые запросы
Выбрать индикаторы
• Модификация логов• Нетипичное время доступа• Нетипичное местонахождение• Вредоносный код• Модификация или уничтожение объектов ИТ-инфраструктуры• Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.)
Выбрать индикаторы
Обычно мы оперируем только низкоуровневыми данными
Данные Информация Знания
Время Внутр.адрес Внеш.адрес
2:03 10.0.0.1 64.25.1.2
8:03 10.0.0.2 33.79.3.14
8:30 10.0.0.2 121.9.12.5
8:32 10.0.0.1 64.25.1.2
Время Внутр.адрес Пользователь Внеш.адрес
2:03 10.0.0.1 Гость 64.25.1.2
8:03 10.0.0.2 Иван Петров 33.79.3.14
8:30 10.0.0.2 Иван Петров 121.9.12.5
8:32 10.0.0.1 Гоьст 64.25.1.2
Время Внутр.адрес Пользователь Внеш.адрес Репутация
2:03 10.0.0.1 Гость 64.25.1.2 Unknown
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted
8:32 10.0.0.1 Гость 64.25.1.2 Bad
?
Время Внутр.адрес Пользователь Внеш.адрес Время Приложение
2:03 10.0.0.1 Гость 64.25.1.2 Unknown Web
8:03 10.0.0.2 Иван Петров 33.79.3.14 Trusted Web
8:30 10.0.0.2 Иван Петров 121.9.12.5 Trusted Email
8:32 10.0.0.1 Гость 64.25.1.2 Bad Unknown
?
От данных к анализу информации
Данные Информация Знания
Время,Внутренний адрес,Внешний адрес,Пользователь,Репутация,Приложение
От анализа информации к знаниям
Пользователь ‘Гость’ вероятно был
инфицирован в 2:03,посещая 64.25.1.2, затем контактируя с
сервером C&C в 8:32
Данные Информация Знания
Время,Внутренний адрес,Внешний адрес,Пользователь,Репутация,Приложение
Сетевые ресурсыПолитика доступа
Традиционная TrustSec
Доступ BYOD
Быстрая изоляция угроз
Гостевой доступ
Ролевой доступ
Идентификация, профилирование и оценка состояния
Кто
Соответствие нормативамP
Что
Когда
Где
Как
Дверь всеть
КонтекстОбмен
данными
Контекст очень помогает в слепой зоне
Распознавание широкого спектра устройств
Оценка соответствия устройствОценка состояния
Убедиться в соответствии политике устройства перед предоставлением доступа
Аутентификация
AuthenticateUserAuthenticateEndpointPosture=Unknown/Non-compliant
Карантин
dVLANdACLsSGT
Оценка состояния
OSHotfixAV/ASPersonalFWMore….
Исправить
WSUSLaunchAppScriptsEtc…
Posture=Compliant
Авторизовать
PermitAccess•dACL•dVLAN•SGT•Etc…
Возможности• Различные агенты используются
для оценки состояния (Anyconnect+ Web Agent)
• Обязательный, опциональные и режим аудита дают гибкость в развертывании
• Возможность построения детальных правил с использование разных критериев.
• Поддержка периодической проверки и автоматического исправления
AnyConnect
Оценка соответствия мобильных устройствИнтеграция решений MDM
Проверка соответствия мобильных устройств
• Позволяет делать мультивендорную интеграцию в ISE инфраструктуре
• Макро и микро-уровень оценки(Pin Lock, Jailbroken status)
• MDM атрибуты доступны как опциив политике (Производитель, Модель, IMEI, Серийный номер, ОС Версия, Номер телефона)
• Контроль устройства в ISE из портала Мои устройства (Device Stolen àWipe Corporate data)
Возможности
Интернет
4
1 2
3
Регистрация в ISE
Разрешить интернет доступ
Регистрация в MDM
Разрешить доступ в корп. сеть
Данные об угрозах и уязвимостях для принятия решений
Инциденты/угрозы Уязвимые устройства
VAF VAF
Учет данных об угрозахи сведений об уязвимостяхпри управлении доступом
Защита с использованиеминфраструктуры
• Обнаружение уязвимых IOT-устройств• Автоматизация изоляции уязвимых
устройств по CVSS• Оперативное реагирование на конкретную
уязвимость
Cisco ISEПоказатели уязвимостей Метрика угроз
Типовая для отрасли практика оценки уязвимости с помощью CVSS
Контроль доступа уязвимых узлов
Улучшенный контроль с помощью авторизации на основе местоположения
Авторизация на основе местоположенияАдминистратор определяет иерархию местоположения и предоставляет пользователям конкретные права доступа на основе их местоположения.
Преимущества
Что нового в ISE 2.0?Интеграция платформы Cisco Mobility Services Engine (MSE) позволяет администраторам максимально использовать ISE для авторизации сетевого доступа на основе местоположения пользователя.
Улучшенная реализация политикис помощью автоматического определения местоположения и повторной авторизацииУпрощенное управлениеблагодаря настройке авторизации с помощью инструментов управления ISE
Детализированный контрольсетевого доступа с помощью авторизации на основе местоположения для отдельных пользователей
Возможности• Конфигурация иерархии местоположений по всем объектам местоположения
• Применение атрибутов местоположения MSE в политике авторизации
• Периодическая проверка MSE на предмет изменения местоположения
• Повторное предоставление доступа на основе нового местоположения
С интеграцией платформы Cisco Mobility Services Engine (MSE)
Холл Палата Лаборатория Скорая помощь
ВрачНет доступа к данным пациента
Доступ к данным пациента
Нет доступа к данным пациента
Доступ к данным пациента
Данные пациента
Местоположения для доступа к данным пациента
Палата
Скорая помощь
Лаборатория
Холл
Включите средство унифицированного реагирования с обменом контекста Cisco Platform Exchange Grid (pxGrid)
Когда
Где
Кто
Как
Что
Cisco и партнерыЭкосистемы
ISE
Cisco сеть
pxGridcontroller
ISE собирает контекст из сети1
Контекст обменивается по технологии pxGRID2
Партнеры используют контекст для повышения видимости и борьбы с угрозами
3
Партнеры могут запросить ISE о блокировке угрозы
4
ISE использует данные партнера для обновления контекста и политики доступа
5
Контекст
32
1
45
Netflow
NGIPS
StealthWatch
AMP
AMP Threat Grid
FireSIGHT MC
CWS
WSA
ESA
FirePOWER Services
ISE это краеугольный камень ваших Cisco решений
ISE
Как ЧтоКтоГдеКогда
Во время ПослеДо
Быстрое сдерживание распространения угроз Быстрое сдерживание распространения угроз с помощью FMC и ISEЧто нового в ISE 2.0?
Центр FMC Cisco совместно с ISE идентифицирует и обращается к подозрительному действию на основании предустановленных политик безопасности.
Преимущества
• Интеграция с решением Cisco AMP для защиты от вредоносных программ
• Запуск карантинных действий по каждой политике с помощью FireSight Cisco и интеграции ISE
• Разрешение или отказ в доступе к порталу подрядчиков
Возможности
FMC обнаруживает подозрительный файл и уведомляет ISE с помощью pxGrid, изменяя тег группы безопасности (SGT) на подозрительный
Доступ запрещается каждой политикой безопасности
Автоматические уведомленияМаксимальное использование ANC ISE для уведомления сети о подозрительной активности в соответствии с политикой
Раннее обнаружение угрозFireSight сканирует активность ипубликует события в pxGrid
Корпоративный пользователь загружает файл
Максимальное использование растущей экосистемы партнеров и обеспечение быстрого сдерживания распространения угроз благодаря интеграции с ISE
FMC сканирует действия пользователя и файл
В соответствии с новым тегом, ISE распространяет политику по сети
Легко интегрируется с партнерскими решениями
Как ЧтоКтоГдеКогда
ISE pxGridcontroller
Cisco Meraki
SIEM EMM/MDM Firewall VulnerabilityAssessment
Threat Defense IoT IAM/SSO PCAP Web
Security CASB Performance Management
Экосистема быстрого сдерживания распространения угроз
Максимальное использование растущей экосистемы —новые партнеры pxGridМежсетевой экран, контроль доступа и быстрое сдерживание распространения угроз для экосистемы
Что нового в ISE 2.0?Структура pxGrid позволяет Cisco интегрироваться с партнерами экосистемы для предоставления пользователям решения, которое соответствует существующей инфраструктуре.
Снижение затратСокращение ресурсов, требуемых для событий безопасности и сети, благодаря упрощению доступа к сети Cisco
Улучшенный мониторинг сетиОбеспечение мониторинга действий пользователей и устройств в целях аналитики и создание отчетов о событиях
ПреимуществаУпрощенное управлениеЕдиное место для управления политиками благодаря интеграции ISE с решениями сторонних производителей
Новые партнеры ... войдут в экосистему быстрого сдерживания распространения угроз
Использование Cisco pxGrid, интеграция между ISE Cisco и партнерами контроля доступа позволяет реализовать политики и создавать отчеты на основе идентификации и устройств, а также реагирование сети по нейтрализации серьезных случаев нарушения доступа.
Используя интеграцию через адаптивную систему сетевого управления pxGrid, партнеры экосистемы безопасности ISE из многих технологических областей могут выполнять сетевые действия по нейтрализации и расследованию в ответ на события безопасности.
Межсетевой экран и контроль доступа
Теперь заказчики могут разворачивать такие сервисы ISE, как профилирование, оценка состояния, гостевой доступ и BYOD на устройствах сетевого доступа, произведенных сторонними производителями (не Cisco).
Обеспечение такого же высокого уровня безопасности, но для большого количества устройств
Преимущества
Что нового в ISE 2.0?
Систематическая защитаРазвертывание платформы ISE на всех сетевых устройствах, включая сторонних производителей
Упрощение администрированияМаксимальное использование заранее настроенных шаблонов профилей для автоматического конфигурирования доступа устройств сторонних производителей (не Cisco)
Увеличение ценностиПолучение дополнительной ценности на базе существующей инфраструктуры
Поставщики совместимых устройств*
Aruba Wireless HP Wireless
Motorola Wireless Brocade Wired
HP Wired Ruckus Wireless
• Шаблон конфигурации MAB для определенных устройств сторонних производителей (не Cisco)
• Перенаправление CoA and URL-адресов для работы с ISE
• Устройства сетевого доступа сторонних производителей (не Cisco) могут работать с обычными стандартами 802.1x
Возможности
Сервисы ISE теперь доступны для устройств сетевого доступа сторонних производителей (не Cisco)
Интеграция с устройствами сторонних производителей (не Cisco)
ISE 1.0 802.1x
Новое в ISE 2.0
Профилирование
Оценка состояния
Гостевой доступ
BYOD
*Дополнительные сведения см. в Таблице совместимости Cisco
Доступ
Доверие
Меньше доверияМеньше доступа
Больше доверияМеньше доступа
Меньше доверияБольше доступа
Больше доверияБольше доступа
Устройства «Интернета вещей»
(BMS, принтеры, СКУД и т.п.)
Другое
Управляемые Ciscoустройства
Устройства других компаний
• Ограниченные возможности по управлению
• Политика ограниченного доступа• Регистрация устройств
• Пользовательские устройства
• Устройства, зарегистрированные вCisco Device Management Suite
• Управляемые, но не входящие вCisco Device Management Suiteустройства
• Бизнес или техническиеограничения
Опыт использования контекста в Cisco
Кто? Известные пользователи(Сотрудники, продавцы, HR)Неизвестные пользователи (Гости)
Что?Идентификатор устройстваКлассификация устройств (профиль)Состояние устройства (posture)
Как?Проводное подключениеБеспроводное подключениеVPN-подключение
Где / куда / откуда?ГеографическоеместоположениеДепартамент / отделSSID / Порт коммутатора
Когда?ДатаВремя
Другие?Пользовательские атрибутыСтатус устройства / пользователяИспользуемые приложения
Опыт использования контекста в Cisco
Опыт Cisco: контроль доступа с Cisco ISE
Тип устройства МестоположениеПользователь Оценка Время Метод доступа Прочие
атрибуты
Что помогает обнаруживать угрозы в скрытой зоне?
Визуализация
• Траектория файлов
• Вектора атак• Имитация пути
злоумышленника
Аналитика ИБ
• Пользовательские запросы в OpenSOC (Metron), Splunk, SIEM, ELK
Контекст
• Identity Firewall• NAC• ISE
Визуализация угрозы
• Threatcrowd.org позволяет организовать поиск взаимосвязей между IOCs:
• IP-адреса• Доменные имена• Хеши файлов• Имена файлов
• Аналогичную задачу можно реализовать с помощью OpenDNS, Maltego, а также OpenGraphitti
Визуализация скрытых связей
Визуализация скрытых связей
OpenGraphitti
Неизвестная зона
Неизвестная зона
Есть известные известные — вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные — вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные — это вещи, о которых мы не знаем, что не знаем их
Бывший министр обороны СШАДональд Рамсфельд
Выпадающие события / «Черный лебедь»Аномальное поведение0-DaysЕще нет сигнатур/решающих правил
Неизвестная зона
Не известно аналитику
Не известно другим
Обнаружение угроз в неизвестной зоне
Неизвестное неизвестное
Анализ поведения
Машинное обучение
Статистический анализ
Обнаружение аномалий и классификация событий
Обнаружение аномалий
• Скажи мне если произойдет что-то необычное
Классификация
• Скажи мне когда ты увидишь нечто, похожее на это
Обнаружение аномалий по поведению
Collect & Analyze Flows
1 2
• # Concurrent flows• Packets per second• Bits per second• New flows created• Number of SYNs sent• Time of day• Number of SYNs received• Rate of connection resets
• Duration of the flow• Over 80+ other attributes
Установление базового уровня поведения
Alarm on Anomalies & Changes in Behavior
Граничное значение
Граничное значение
Граничное значениеГраничное значение
Критичные сервера
Exchange Сервер
Web Сервера Маркетинг
Аномалия обнаружена в поведении хоста
3
Сбор и анализ потоков
От телеметрии к угрозам
Телеметрия
Аномалии
Вредоносная активность
• Без сбора и анализа телеметрии мы никогда не получим информации об аномалиях
• Знание аномалий еще не дает нам знания об угрозах и вредоносной активности
172
Network as a Sensor
Сеть
CAT
ISR
ASR
Nexus
ИБ/Контекст
FirewallVPNProxyIdentityMerakiUCSISE
Stealthwatch + ISE
Stealthwatch ISE
StealthwatchLearning Network
173
Сеть
Network as a Sensor
ИБ/КонтекстStealthwatch + ISE
FirewallVPNProxyIdentityMerakiUCSISE
CAT
ISR
ASR
Nexus Stealthwatch ISE
StealthwatchLearning Network
174
Обнаружение аномалий в удаленных офисах
Безопасность для Cisco 4000 Series Integrated Services Router
StealthwatchLearning Network License
Cisco Umbrella Branch
(OpenDNS)
Zone-Based Firewall (ZBFW)
VPNCloud
Web Security (CWS)
FirePOWER
175
Что надо сделать, чтобы запустить процесс обучения аномалиям в филиале?
Определить пути трафикаПостроить карту адресов IP для изучения окружения
Изучить движение трафика, объемы, шаблоны, временные характеристики
Идентифицировать приложения в сети по протоколам и портам
Изучение отклонений нормального от аномального
Точное обнаружение аномалий; возможность оператору реагировать на них
3
2
6
4
1
5
176
В чем новизна обучающихся сетей?
Текущие решения по безопасности Stealthwatch Learning Network License
§ Состоят из специализированных устройств безопасности, подключенных к сети, такие как МСЭ и IDS/IPS
§ Сильно зависят от известных сигнатур для обнаружения известных угроз
§ Обладают ограниченной приспособляемостью, приводящей к пропуску угроз
§ Адаптивная
§ Использует машинное обучение для обнаружения продвинутых и скрытных угроз
§ Фокусировка на 0-day атаках
§ Использует ISR 4000 как распределенный аналитический движок (сенсор) и систему безопасности(enforcer)
177
Преимущество обучающихся сетей
Традиционные системы обнаружения аномалий Stealthwatch Learning Network License
§ Фокусировка на обнаружении как можно большего числа событий
§ Создает множество ложных срабатываний и не относящихся к делу угроз
§ Работает в одиночку и число обнаружений не является лучшим показателем эффективности
§ Централизованное решение, зависящее от сетевой телеметрии
§ Быстрое, эффективное, точное обнаружение
§ Сеть учится на собственных ошибках и сводит к минимуму количество ложных срабатываний
§ Обнаруживает и объединяет множество индикаторов в аномалию
§ Распределенное решение, независящее от полосы пропускания и мощности процессора
178
Архитектура обучающихся сетей
• Управляет агентами на множестве маршрутизаторов
• Обеспечивает расширенную визуализацию аномалий
• Интерфейс централизованного управления• Взаимодействие с другими источниками
данных ИБ
• Сбор данных с извлечением знаний из NetFlowили захваченных сетевых пакетов и сессий
• Встроенное моделирование поведения и обнаружение аномалий в реальном времени
• Встроенный автономный контроль, применение политик безопасности локально Филиал 1 Филиал 2
Public/PrivateInternet
Threat Intelligence
Feeds
Cisco Identity
Services Engine ISE
Не только NetFlow
• Поймите, что для вас норма и отслеживайте отклонения от нее с учетом дельты
Визуализация аномалии в виде превышения числа HTTP ошибок
Попробуйте определить аномалию в DNS-трафике
Машинное обучение (искусственный интеллект)
Известныеварианты
угроз
Автоматическаяклассификация
Неизвестныеугрозы
Полностьюавтоматическое
обучение
Автоматическаяинтерпретация
результатов
Глобальная корреляция по
всем источникам
IoC по одному или нескольким
источникам
Один источник (DNS, e-mail, web,
файл и т.п.)
1-е поколение
2-е поколение
3-е поколение • Машинное обучение –не панацея
• Интернет движется к тотальному шифрованию
• Злоумышленникиостаются незамеченными –стеганография
• За искусственныминтеллектом в ИБ – будущее
Не забывайте про оставшиеся 5%
Сложности ИБ• Неуправляемые десктопы и ПК руководства• Спам/Вредоносное ПО• DDoS• Удаленно контролируемые зараженные узлы• Быстро меняющееся окружение
Базовые решения• Anti-virus• Firewalls• IDS/IPS• IronPort WSA/ESA• Сегментация сети• Захват и анализ логов• Incident response team
95%
Расширенные решения• Расширенный сбор данных
• Netflow, IP атрибуция, DNS…
• Анализ Big data и playbooks• Быстрая локализация
• DNS/RPZ, карантин, On-line форензика на узлах
• Осведомленность об угрозах
Продвинутых угроз• Целевой фишинг с троянами• Атаки Watering hole• Атаки через соцсети• Атаки спецслужб
5%
Как Cisco ловит эти 5% в своей сети?
Нейтрализовать и реагировать
Метрики иотчеты
Управление конфигурацией
Инспекция
Регистрация
Идентификация
Телеметрия
IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPNVuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1xAddress, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB
ExecsAuditorsInfosecIT Orgs
HR-LegalLine of Biz
AdminsEnd UsersPartnersBusiness Functions
Информирование Реагирование
РасследованиеОбнаружение
DBs
Внешние фиды об угрозах
Сканы Конфиги Логи Потоки События
4TB в день
Сист. управления
Incident Mgt System
Compliance Tracker
Incident Response TeamPlaybook
Инфраструктура под расследованием
Меры защиты и восстановлени
я
Системы коммуникаций и взаимодействия
РасследованиеМониторинг и реагирование
Обогащение/TIТелеметрия и
другие источники
Решения провайдеров по ИБ
Управление сервисами
Security Analytics Suite
AV Intel Providers
Cloud Infra
Service Provider Solutions
Digital Forensics
Tools
Security Case
Management
Enrichment Providers
Threat Intel Providers
Платформы для разведкиThreat
Intelligence
Malware Analysis
Knowledge Base
Log Management
Native Logs
Cyber Security Controls
Wiki
Comm & Collab Apps
Internal Infra
Ticketing
Training Platforms
Physical Security Controls
Cisco SOC
Sensor Telemetry
Other Data Sources
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013+
Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
Открытая• NGFW / NGIPS• Защита от вредоносного
ПО• Спам-фильтры• Безопасность Web
Слепая• Платформы Threat Intelligence• Аналитика Big data• Корреляция• Облачные решения
Скрытая• Визуализация• Пользовательские
запросы• Контекст
Неизвестная• Машинное обучение• Статистический анализ• Анализ сетевого поведения
Подводим итогиИзвестно аналитику Не известно аналитику
Известно другим
Не известно другим
000011111110
Интегрированная защита от угроз – это единственный путь заблокировать продвинутые угрозы
000011111110
TalosTalos
Мобильное ВиртуальноеEndpoint
СетьОблакоEmailи Web
Точечное Постоянное
Advanced Threats
Sandboxing
Web
Global Intelligence
Talos
Shadow IT &Data
NGIPS & NGFW
Identity & Access Control
DNS, IP & BGP
Anomaly DetectionAnomaly Detection
Sandboxing
Advanced Threats
DNS, IP & BGP
Shadow IT &Data
Global Intelligence
Talos
NGIPS & NGFW
Identity & Access Control
Web
Среднее время обнаружения с Cisco: 17 часов
Среднее время обнаружения без Cisco: 200 дней
Что у вас есть?
Чего вам не хватает?
Что вам понадобится?
Идентифицируйте используемые вами технологии ИБ, используемые данные и способы их получения, не забывая про моделирование угроз
Определите ваши краткосрочные, среднесрочные и долгосрочные планы и возможные угрозы для них, а затем определите данные, которые вам нужны для их обнаружения
Выберите необходимые источники данных, обучите персонал и, по необходимости, внедрите новые решения по кибербезопасности и анализу информации для ИБ
Что сделать после семинара в целом?
Свяжитесь с нами
Тестируйте
Составьте план
внедрения
Напишите нам на [email protected]или своему менеджеру Cisco/УЦСБ для организации встречи для более глубокого обсуждения ваших потребностей и того, как их можно удовлетворить
Воспользуйтесь широким спектром возможностей по тестированию:• dCloud• Виртуальные версии всего ПО• Демо-оборудование• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план внедрения решений по кибербезопасности под ваши задачи
Что сделать после семинара с Cisco?
Спасибо[email protected]