Обнаружение аномальной активности в сети
TRANSCRIPT
Cisco Confidential © 2010 Cisco and/or its affiliates. All rights reserved. 1
Обнаружение аномальной активности в сети Оксана Санникова
Инженер по информационной безопасности
CCIE Sec #35825
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
• Киберугрозы и защитные стратегии
• Варианты решений
• Решение Cisco Cyber Thread Defense
• Демо
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 ?
Devices Access
Branch Cam
pus Data Center
Distribu-on Edge
Firewall
Remote Access
Security Inspection Device X
Internet USB
Mobile Provider
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 4
CRISIS REGION
Стоимость
инцидента
Время
Кража критичных данных
*
Обнаружение
*
Устранение уязвимости
*
КРИЗИС
Начало атаки
*
ВЫИГРАННОЕ ВРЕМЯ * Пресечение
* Оповещение
* Обнаружение
* Устранение уязвимости
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 5
• Страна? Конкуренты? Частные лица? Кто? • Что является целью? Что? • Когда атака наиболее активна и с чем это связано? Когда?
• Где атакующие? Где они наиболее успешны? Где?
• Зачем они атакуют – что конкретно их цель? Зачем?
• Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 6
• Кто в моей сети? Кто? • Что делают пользователи? Приложения? • Что считать нормальным поведением? Что? • Устройства в сети? Что считать нормальным состоянием? Когда?
• Где и откуда пользователи попадают в сеть? • Внутренние? eCommerce? Внешние? Где? • Зачем они используют конкретные приложения? Зачем?
• Как всё это попадает в сеть? Как?
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 7
Обнаружение угроз на базе сигнатур / репутации
Обнаружение угроз на базе аномалий
Сетевой периметр
МСЭ IPS/IDS Обманные системы
Внутренняя сеть
Контентная фильтрация Web/Email
трафика
Cisco Cyber Threat Defense
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 8
Network Behavior Analysis Cyber Threat Defense (CTD)
Control Enforce Harden
Detect Block
Defend
Scope Contain
Remediate
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 9
Система обнаружения сетевых вторжений • на основе сигнатур • пассивный сбор • первичный источник оповещения
SIEM/Журнал Syslog сервера • инструмент глубокого анализа • возможность фильтрации • ограниченное воздействие на систему
Анализ сетевых потоков • слабое воздействие на устройства • основной инструмент исследования • небольшой требуемый объем памяти
© Компания Cisco и (или) ее дочерние компании, 2012 г. Все права защищены. Конфиденциальная информация Cisco 10
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
A
B
C
C B
A
C A
B
Сеть как сенсор
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 12
Выборочный трафик • Часть трафика, обычно менее
5%, • Дает быстрый взгляд в сеть
Похоже на чтение каждой 20-й страницы книги. Технической книги-справочника J
ПОЛНЫЙ трафик • Весь трафик подлежит сбору • Предоставляет исчерпывающий обзор всей сетевой активности
• Эквивалент внимательного постраничного чтения + пометки на полях + закладки
Выборка полезна для мониторинга сети, но не для безопасности
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
• Из всех критичных и важных точек
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Построение базиса и определение аномалий с помощью Netflow
14
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Обзор
• Активность BotNet Command & Control
• Обнаружение утечек данных
• Целенаправленные угрозы (APT)
• Обнаружение Malware, распространяющегося внутри сети
• Обнаружение разведки в сети
• Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Что анализировать: • Страны • Приложение • Соотношение входящего/исходящего трафика
• время • Повторяющиеся соединения
• Beaconing – повторяющиеся «мертвые» соединения
• Долгоживущие потоки
Активность “phone home”
Предупреждения:
Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C
Suspect Long Flow Beaconing Host
Massive TCP RST High Concern Index
Trapped Host …
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения
• Признанный игрок рынка мониторинга сети и безопасности
• Cisco Solutions Plus Product Общие дизайны Cisco+Lancope
Совместные инвестиции в развитие Доступность в канале продаж Cisco
• Отличный уровень сотрудничества с Cisco
Lancope StealthWatch – ключевой элемент
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Cat 3K-X w/ Service Module
Line-Rate NetFlow
Cat 4K Sup7E, Sup7L-E
Line-Rate NetFlow
ISR, ASR Scale
NetFlow NBAR2
Adds NetFlow
Доступ
Доступ
/ распределение
Периметр
Cat 6K Sup2T
Cat 2K-X the only L2 w/Netflow
ASA
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
How do I want to cache information
Which interface do I want to monitor?
What data do I want to meter?
Router(config)# flow record my-record Router(config-flow-record)# match ipv4 destination address Router(config-flow-record)# match ipv4 source address Router(config-flow-record)# collect counter bytes
Where do I want my data sent? Router(config)# flow exporter my-exporter
Router(config-flow-exporter)# destination 1.1.1.1
Router(config)# flow monitor my-monitor
Router(config-flow-monitor)# exporter my-exporter
Router(config-flow-monitor)# record my-record
Router(config)# interface s3/0
Router(config-if)# ip flow monitor my-monitor input
1 Настроить Exporter
2. Настроить Flow Record
3. Настроить Flow Monitor
4. Применить к интерфейсу
Важно: включить все поля версии v5
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
10.2.2.2 port 1024 10.1.1.1
port 80
eth0
/1
eth0
/2
Start Time
Interface
Src IP Src Port
Dest IP Dest Port
Proto Pkts Sent
Bytes Sent
10:20:12.221
eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871
eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Start Time
Client IP
Client Port
Server IP
Server Port
Proto Client Bytes
Client Pkts
Server Bytes
Server Pkts
Interfaces
10:20:12.221
10.2.2.2
1024 10.1.1.1
80 TCP 1025 5 28712
17 eth0/1 eth0/2
Однонаправленные записи потоков
Двунаправленные: • Запись потока о диалоге 2х устройств • Простая визуализация и анализ
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Router A
Router B
Router C
Router A: 10.2.2.2:1024 -> 10.1.1.1:80 Router B: 10.2.2.2:1024 -> 10.1.1.1:80 Router C: 10.1.1.1:80 -> 10.2.2.2:1024
• Без дедубликации • Неточный учет объемов трафика • Большое количество ложных срабатываний
• Эффективное хранение информации о потоках • Точное построение отчетов о хостах
10.2.2.2 port 1024
10.1.1.1 port 80
Дубликаты
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Высокий Concern Index показывает значительное количество
подозрительных событий, которые отклоняются об базиса
Host Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern index
Ping, Ping_Scan, TCP_Scan
ICMP echo
CEO PC
1. ECHO -> CI = CI + 1 2. ECHO -> CI = CI + 2 3. ECHO -> CI = CI + 4 4. ECHO -> CI = CI + 8
Упрощенный пример:
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Exfiltration: Хост передает ненормальное количество данных (EXI points)
Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points)
Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points)
Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети
Target Index: Показывает хосты, которые являются жертвами атаки (TI points)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
• Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD)
Получение контекста от Cisco ISE
Политика Время старта
Тревога Источник Группа хостов источника
Имя пользователя
Тип устройства
Цель
Desktops & Trusted Wireless
Янв 3, 2013
Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество хостов
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
• Поле Flow Action может добавить дополнительный контекст
• NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях
Получение контекста от Cisco ASA / ISR / ASR
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
• Получение данных от сетевого оборудования с NetFlow, а также от сенсоров без поддержки NetFlow (например, VMware ESX)
• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)
• Понимание контекста
Масштабируемая архитектура
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Основные компоненты CTD § Продукты Lancope StealthWatch
(SMC, FlowCollector, FlowSensor, FlowReplicator)
§ Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3
§ ISE pxGrid API
§ Sourcefire NGIPS (FirePOWER, FireSIGHT)
§ Sourcefire AMP (network, endpoints, ESA, WSA)
§ Cloud Web Security Premium (с CTA, AMP)
Протестированные платформы Cisco § ISR G2
§ ASR 1000
§ Catalyst 3560-X/3750-X, 3850, 3650
§ Catalyst 2960-X (NetFlow Lite)
§ Catalyst 4500 Sup 7, Sup 8
§ Catalyst 6500 Sup 2T
§ ASA 5500-X with FirePOWER Services
§ NetFlow Generation Appliance (NGA)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
• Что нужно
ВМ с временными лицензиями Настроить NetFlow и SPAN
Один-два дня на установку
• Результаты в КАЖДОМ внедрении
Обнаружение компьютеров-зомби и червей Профилирование трафика и приложений Инвентаризация хостов
Нелегальные серверы VPN, прокси, Р2Р-трафик
32 © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Внимание, конкурс! По завершении данного семинара примите участие в конкурсе в наших социальных сообществах. Вам потребуется ответить на вопрос по теме вебинара, и возможно, именно вы станете счастливым обладателем сувенира от компании Cisco. Вопросы будут опубликованы сразу после нашей трансляции. Удачи! vk.com/cisco facebook.com/CiscoRu facebook.com/CiscoUA *призы разыгрываются в каждом сообществе **результаты публикуются раз в неделю.
Спасибо!