Обнаружение аномальной активности в сети

Cisco Confidential © 2010 Cisco and/or its affiliates. All rights reserved. 1

Обнаружение аномальной активности в сети Оксана Санникова

Инженер по информационной безопасности

CCIE Sec #35825

[email protected]

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

•  Киберугрозы и защитные стратегии

•  Варианты решений

•  Решение Cisco Cyber Thread Defense

•  Демо

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 ?

Devices Access

Branch Cam

pus Data Center

Distribu-on Edge

Firewall

Remote Access

Security Inspection Device X

Internet USB

Mobile Provider

© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 4

CRISIS REGION

Стоимость

инцидента

Время

Кража критичных данных

*

Обнаружение

*

Устранение уязвимости

*

КРИЗИС

Начало атаки

*

ВЫИГРАННОЕ ВРЕМЯ * Пресечение

* Оповещение

* Обнаружение

* Устранение уязвимости


•  Страна? Конкуренты? Частные лица? Кто? •  Что является целью? Что? •  Когда атака наиболее активна и с чем это связано? Когда?

•  Где атакующие? Где они наиболее успешны? Где?

•  Зачем они атакуют – что конкретно их цель? Зачем?

•  Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?


•  Кто в моей сети? Кто? •  Что делают пользователи? Приложения? •  Что считать нормальным поведением? Что? •  Устройства в сети? Что считать нормальным состоянием? Когда?

•  Где и откуда пользователи попадают в сеть? •  Внутренние? eCommerce? Внешние? Где? •  Зачем они используют конкретные приложения? Зачем?

•  Как всё это попадает в сеть? Как?


Обнаружение угроз на базе сигнатур / репутации

Обнаружение угроз на базе аномалий

Сетевой периметр

МСЭ IPS/IDS Обманные системы

Внутренняя сеть

Контентная фильтрация Web/Email

трафика

Cisco Cyber Threat Defense


Network Behavior Analysis Cyber Threat Defense (CTD)

Control Enforce Harden

Detect Block

Defend

Scope Contain

Remediate


Система обнаружения сетевых вторжений •  на основе сигнатур •  пассивный сбор •  первичный источник оповещения

SIEM/Журнал Syslog сервера •  инструмент глубокого анализа •  возможность фильтрации •  ограниченное воздействие на систему

Анализ сетевых потоков •  слабое воздействие на устройства •  основной инструмент исследования •  небольшой требуемый объем памяти


A

B

C

C B

A

C A

B

Сеть как сенсор


Выборочный трафик •  Часть трафика, обычно менее

5%, •  Дает быстрый взгляд в сеть

Похоже на чтение каждой 20-й страницы книги. Технической книги-справочника J

ПОЛНЫЙ трафик •  Весь трафик подлежит сбору •  Предоставляет исчерпывающий обзор всей сетевой активности

•  Эквивалент внимательного постраничного чтения + пометки на полях + закладки

Выборка полезна для мониторинга сети, но не для безопасности


•  Из всех критичных и важных точек


Построение базиса и определение аномалий с помощью Netflow

14


Обзор

• Активность BotNet Command & Control

• Обнаружение утечек данных

• Целенаправленные угрозы (APT)

• Обнаружение Malware, распространяющегося внутри сети

• Обнаружение разведки в сети

• Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)


Что анализировать: •  Страны •  Приложение •  Соотношение входящего/исходящего трафика

•  время •  Повторяющиеся соединения

•  Beaconing – повторяющиеся «мертвые» соединения

•  Долгоживущие потоки

Активность “phone home”

Предупреждения:

Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C

Suspect Long Flow Beaconing Host

Massive TCP RST High Concern Index

Trapped Host …


Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

StealthWatch FlowSensor

StealthWatch FlowSensor

VE Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Другие коллекторы

https

https

NBAR NSEL


Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения

•  Признанный игрок рынка мониторинга сети и безопасности

•  Cisco Solutions Plus Product Общие дизайны Cisco+Lancope

Совместные инвестиции в развитие Доступность в канале продаж Cisco

•  Отличный уровень сотрудничества с Cisco

Lancope StealthWatch – ключевой элемент


TrustSec Enabled

Enterprise Network

Identity Services Engine

NetFlow: Switches, Routers, и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети

Flow

Телеметрия NetFlow Cisco Switches, Routers и ASA 5500

Данные о контексте угрозы Cisco Identity, Device, Posture, Application

Cyber Threat Defense = Cisco + Lancope


Cat 3K-X w/ Service Module

Line-Rate NetFlow

Cat 4K Sup7E, Sup7L-E

Line-Rate NetFlow

ISR, ASR Scale

NetFlow NBAR2

Adds NetFlow

Доступ

Доступ

/ распределение

Периметр

Cat 6K Sup2T

Cat 2K-X the only L2 w/Netflow

ASA


How do I want to cache information

Which interface do I want to monitor?

What data do I want to meter?

Router(config)# flow record my-record Router(config-flow-record)# match ipv4 destination address Router(config-flow-record)# match ipv4 source address Router(config-flow-record)# collect counter bytes

Where do I want my data sent? Router(config)# flow exporter my-exporter

Router(config-flow-exporter)# destination 1.1.1.1

Router(config)# flow monitor my-monitor

Router(config-flow-monitor)# exporter my-exporter

Router(config-flow-monitor)# record my-record

Router(config)# interface s3/0

Router(config-if)# ip flow monitor my-monitor input

1 Настроить Exporter

2. Настроить Flow Record

3. Настроить Flow Monitor

4. Применить к интерфейсу

Важно: включить все поля версии v5


10.2.2.2 port 1024 10.1.1.1

port 80

eth0

/1

eth0

/2

Start Time

Interface

Src IP Src Port

Dest IP Dest Port

Proto Pkts Sent

Bytes Sent

10:20:12.221

eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025

10:20:12.871

eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712

Start Time

Client IP

Client Port

Server IP

Server Port

Proto Client Bytes

Client Pkts

Server Bytes

Server Pkts

Interfaces

10:20:12.221

10.2.2.2

1024 10.1.1.1

80 TCP 1025 5 28712

17 eth0/1 eth0/2

Однонаправленные записи потоков

Двунаправленные: •  Запись потока о диалоге 2х устройств •  Простая визуализация и анализ


Router A

Router B

Router C

Router A: 10.2.2.2:1024 -> 10.1.1.1:80 Router B: 10.2.2.2:1024 -> 10.1.1.1:80 Router C: 10.1.1.1:80 -> 10.2.2.2:1024

•  Без дедубликации •  Неточный учет объемов трафика •  Большое количество ложных срабатываний

•  Эффективное хранение информации о потоках •  Точное построение отчетов о хостах

10.2.2.2 port 1024

10.1.1.1 port 80

Дубликаты


Высокий Concern Index показывает значительное количество

подозрительных событий, которые отклоняются об базиса

Host Groups

Host CI CI% Alarms Alerts

Desktops 10.10.101.118 338,137,280 8656% High Concern index

Ping, Ping_Scan, TCP_Scan

ICMP echo

CEO PC

1.  ECHO -> CI = CI + 1 2.  ECHO -> CI = CI + 2 3.  ECHO -> CI = CI + 4 4.  ECHO -> CI = CI + 8

Упрощенный пример:


Exfiltration: Хост передает ненормальное количество данных (EXI points)

Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points)

Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points)

Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети

Target Index: Показывает хосты, которые являются жертвами атаки (TI points)


•  Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD)

Получение контекста от Cisco ISE

Политика Время старта

Тревога Источник Группа хостов источника

Имя пользователя

Тип устройства

Цель

Desktops & Trusted Wireless

Янв 3, 2013

Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Джон Смит Apple-iPad Множество хостов


•  Поле Flow Action может добавить дополнительный контекст

•  NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях

Получение контекста от Cisco ASA / ISR / ASR


•  Получение данных от сетевого оборудования с NetFlow, а также от сенсоров без поддержки NetFlow (например, VMware ESX)

•  До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)

•  Понимание контекста

Масштабируемая архитектура


Основные компоненты CTD §  Продукты Lancope StealthWatch

(SMC, FlowCollector, FlowSensor, FlowReplicator)

§  Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3

§  ISE pxGrid API

§  Sourcefire NGIPS (FirePOWER, FireSIGHT)

§  Sourcefire AMP (network, endpoints, ESA, WSA)

§  Cloud Web Security Premium (с CTA, AMP)

Протестированные платформы Cisco §  ISR G2

§  ASR 1000

§  Catalyst 3560-X/3750-X, 3850, 3650

§  Catalyst 2960-X (NetFlow Lite)

§  Catalyst 4500 Sup 7, Sup 8

§  Catalyst 6500 Sup 2T

§  ASA 5500-X with FirePOWER Services

§  NetFlow Generation Appliance (NGA)


•  Что нужно

ВМ с временными лицензиями Настроить NetFlow и SPAN

Один-два дня на установку

•  Результаты в КАЖДОМ внедрении

Обнаружение компьютеров-зомби и червей Профилирование трафика и приложений Инвентаризация хостов

Нелегальные серверы VPN, прокси, Р2Р-трафик

32 © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Внимание, конкурс! По завершении данного семинара примите участие в конкурсе в наших социальных сообществах. Вам потребуется ответить на вопрос по теме вебинара, и возможно, именно вы станете счастливым обладателем сувенира от компании Cisco. Вопросы будут опубликованы сразу после нашей трансляции. Удачи! vk.com/cisco facebook.com/CiscoRu facebook.com/CiscoUA *призы разыгрываются в каждом сообществе **результаты публикуются раз в неделю.

Спасибо!

Обнаружение аномальной активности в сети

Technology

cisco andor

cisco confidential

cisco lancope

b cisco

cisco identity

cisco solutions

siem syslog cisco

cisco cyber thread defense