Сеть как средство защиты и реагирования на угрозы

Cisco Confidential 1 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Сеть как средство защиты и реагирования на угрозы Оксана Санникова Инженер по информационной безопасности, Cisco [email protected]

Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Мобильность, облака, Интернет вещей

Проблема №1

Целевые атаки – это большая проблема

Проблема №2

Современная сеть сложна Проблема №3

* P

onem

on In

stitu

te S

tudy

3

Защита периметра – это только начало пути

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от общего числа взломов

Взломы осуществляются за минуты

Обнаружение и устранение занимает недели и месяцы

4

The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.

Вы знаете, что вы уже скомпрометированы?

Вредоносный трафик обнаружен в 100% сетей*

Cisco 2014 Annual Security Report *Компании подключены к доменам, которые распространяют вредоносные файлы или сервисы

Корпоративные сети уже скомпрометированы

5

Проблемы с традиционной моделью «эшелонированной» безопасности на периметре

Слабая прозрачность

Многовекторные и продвинутые угрозы

остаются незамеченными

Точечные продукты

Высокая сложность, меньшая

эффективность Ручные и статические

механизмы Медленный отклик, ручное управление,

низкая результативность Наличие обходных каналов

Мобильные устройства, Wi-Fi, флешки, ActiveSync,

CD/DVD и т.п. ç Как ваш NGFW защитит от этого?

“Мишенью для атаки может стать все, что угодно!”

Никому нельзя верить. Cisco можно J Приложениям, сертификатам, облакам, устройствам, пользователям…

“Сеть – это не только ПК и пользователи”

“Безопасность сети становится критичной задачей!”

8

ЖИЗНЕННЫЙ ЦИКЛ АТАКИ

100%-й безопасности нет – станьте как пионер, готовыми ко всему, включая заражение

ДО Понять Защитить Усилить

ПОСЛЕ Локализовать Вылечить Устранить

Обнаружить Блокировать Отразить

ВО ВРЕМЯ

Видимость и защита в течение всего жизненного цикла

Сеть как защитная стена

Сеть как инструмент реагирования

Сеть как сенсор AC

I AC

I

9

Искусство сетевой безопасности Важный совет

Усильте безопасность, используя встроенную в сеть защиту

Сеть как сенсор, защитная стена и средство реагирования

10 Сеть как сенсор

Пользователи Вредоносы Устройства Трафик Приложения

11

Вы не можете защитить то, чего не видите На периметре вы видите только верхушку айсберга

0101010010

11

0101010010

11

0101010010

11

0101010010

11

12

Что сеть может сделать для вас? Сеть как сенсор

Обнаружить аномальный трафик и вредоносы Например, коммуникации с вредоносными сайтами или эпидемию ВПО внутри сети

Обнаружить использование приложений и нарушение пользователями политик Например, доступ к финансовому серверу, работу по Skype или утечки данных

Обнаружить посторонние устройства в сети Например, работу несанкционированных 3G/4G-модема или точки доступа

13

Обнаружить необнаруживаемое… Проактивно!

Пользователи Вредоносы Приложения Трафик Устройство

Сеть как сенсор Видимость сети, контроль, контекст и аналитика

ACI Vision: Policy Based, Automated Security at Scale

Обнаружение чужих AP (Wireless Security Module) Обнаружение несоответствующих политике устройств (Device Sensor, ISE)

Обнаружение изменения репутации внешних и внутренних устройств (NetFlow, Lancope)

Обнаружение аномалий в трафике (NetFlow, Lancope, NBAR2) Обнаружение сетевых DDoS-атак (Control Plane Policing, CleanAir)

Обнаружение источника и пути распространения APT (NetFlow, ISE, Lancope) Обнаружение управления и работы вредоносного ПО (NetFlow, Lancope)

Обнаружение аномального поведения приложений (NBAR2) Обнаружение нарушения пользовательского доступа (Identity Services Engine, TrustSec) Обнаружение вредоносного ПО в почте и Web (ISR, Cisco Cloud Web Security) Обнаружение вторжений, ботнетов, целевых атак, SQL Injection, вредоносного ПО

(IPS Module, Wireless IPS (wIPS), Sourcefire NGIPS) Обнаружение распространения вредоносного ПО внутри (NetFlow, Lancope)

Обнаружение утечек данных (NetFlow, Lancope) Система раннего предупреждения (Cisco Security Intelligence Operations)

14

Распознавание широкого спектра устройств

15

Опыт Cisco: идентификация и блокирование посторонних беспроводных устройств

•  Само мобильное устройство не может сказать, что оно «чужое» •  Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного

•  Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают контролировать беспроводной эфир •  Все это часть функционала платформы Cisco Mobility Services Engine

16

Распознавание приложений и их функций на примере Skype

17

Учет контекста: кто, что, где, когда и как

•  Профиль хоста включает всю необходимую для анализа информацию •  IP-, NetBIOS-, MAC-адреса •  Операционная система •  Используемые приложения •  Зарегистрированные пользователи

•  Сетевой протокол •  Транспортный протокол •  Прикладной протокол •  И т.д.

•  Идентификация и профилирование мобильных устройств

18

NetFlow – сердце подхода «Сеть как сенсор» Путь к самообучаемым сетям

Сетевые потоки как шаблоны вторжений

Мощный источник информации для каждого сетевого соединения

Каждое сетевое соединения в течение длительного интервала времени

IP-адрес источника и назначения, IP-порты, время, дата передачи и другое

Сохранено для будущего анализа

Важный инструмент для идентификации взломов

Идентификация аномальной активности

Реконструкция последовательности событий

Соответствие требованиям и сбор доказательств

NetFlow для полных деталей, NetFlow-Lite для 1/n семплов

19

Кто Кто Что

Когда

Как

Откуда Больше контекста

Высокомасштабиуремый сбор Высокое сжатие => долговременное

хранилище

NetFlow с точки зрения контекста

20

NetFlow – сердце подхода «Сеть как сенсор» Пример: NetFlow Alerts с Lancope StealthWatch

Отказ в обслуживании SYN Half Open; ICMP/UDP/Port Flood

Распространение червей Инфицированный узел сканирует сеть и соединяется с узлами

по сети; другие узлы начинают повторять эти действия

Фрагментированные атаки Узел отправляет необычный фрагментированный трафик

Обнаружение ботнетов Когда внутренний узел общается с внешним сервером C&C

в течение длительного периода времени

Изменение репутации узла Потенциально скомпрометированные внутренние узлы или

получение ненормального скана или иные аномалии

Сканирование сети Сканирование TCP, UDP, портов по множеству узлов

Утечки данных Большой объем исходящего трафика VS. дневной квоты

21

NetFlow – сердце подхода «Сеть как сенсор» NetFlow в действии: атака в процессе реализации

Стадия атаки Обнаружение Использование уязвимостей Злоумышленник сканирует IP-адреса и порты для поиска уязвимостей (ОС, пользователи, приложения)

1§  NetFlow может обнаружить сканирование диапазонов IP §  NetFlow может обнаружить сканирование портов на каждом IP-адресе

Установка вредоносного ПО на первый узел Хакер устанавливает ПО для получения доступа 2 §  NetFlow может обнаружить входящий управляющий

трафик с неожиданного месторасположения

Соединение с “Command and Control” Вредоносное ПО создает соединение с C&C серверами для получения инструкций

3 §  NetFlow может обнаружить исходящий трафик к известным адресам серверов C&C

Распространение вредоносного ПО на другие узлы Атака других систем в сети через использование уязвимостей

4§  NetFlow может обнаружить сканирование диапазонов IP §  NetFlow может обнаружить сканирование портов на каждом IP-адресе внутреннего узла

Утечка данных Отправка данных на внешние сервера 5

§  NetFlow может обнаружить расширенные потоки (HTTP, FTP, GETMAIL, MAPIGET и другие) и передачу данных на внешние узлы

22

Обнаружение вредоносного кода на базе NetFlow

•  Что делать, когда вы не можете поставить сенсор IPS на каждый сегмент сети?

•  У вас же есть NetFlow на каждом коммутаторе и маршрутизаторе

•  Отдайте его для обнаружения аномальной активности •  Сканирование •  Целенаправленные угрозы •  Эпидемии вредоносного ПО •  DDoS •  Утечки данных •  Ботнеты

23

StealthWatch 6.6 как часть CTD: что нового

•  Alarm Workflow

•  Новые алгоритмы безопасности

•  Улучшения Threat Feed

•  Поддержка NBAR2

•  Интеграция с ISE расширяется поддержкой карантина

•  Улучшения управления заданиями

•  Поддержка Cisco UCS

•  ANC – Assisted Network Classification for Network Scanners

•  FlowCollector 5000

•  FlowReplicator High Availability

•  Virtual FlowCollector 1K, 2K, 4K

24

StealthWatch 6.7 как часть CTD: что нового

Функции безопасности •  Работа с прокси •  Интеграция с TrustSec •  External Lookup •  StealthWatch Security Update •  Новые алгоритмы безопасности

Ease of Use to Improve MTTK •  Улучшенный Work Flow

•  Улучшенный Flow Queries

•  Улучшения управления запросами и заданиями

Устройства и платформы •  Обновление централизованного управления

•  Dell 13G Hardware Platform

•  Поддержка KVM Hypervisor для FC VE

25

Репутационный анализ AMP Поведенческий анализ AMP

Динамический анализ

Машинное обучение

Нечеткие идентифицирующие

метки

Расширенная аналитика

Идентичная сигнатура

Признаки компрометации

Сопоставление потоков устройств

У нас есть эмуляция атак и песочница, но не только

26

MAC

Выделенные устройства

NGIPS / NGFW на FirePOWER

ПК

Cloud Web Security & Hosted Email

SaaS Web & Email Security

Appliances

Мобильные устройства Cisco ASA с FirePOWER Services

Платформа обнаружения вредоносного кода AMP На маршрутизаторе, МСЭ, IPS, WSA/ESA, ПК, в облаке

27

Опыт Cisco: комбинируйте методы обнаружения

Intel

Signature

Flows

Intel

Signature Behavior

Flows

Intel

Signature

В прошлом 2012 2013

Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования

28


Знайте, что значит нормально Сеть как сенсор Трафик, Потоки, Приложения, Устройства, Пользователи

29 Сеть как защитная стена

30

Что сеть может сделать для вас? Сеть как защитная стена

Сегментировать сеть для локализации атак TrustSec - Secure Group Tagging, VRF, ISE и многое другое

Шифровать трафик для защиты данных в процессе передачи MACsec for Wired, DTLS for Wireless, IPSec/SSL for WAN и многое другое

Защитить филиалы при прямом доступе в Интернет IWAN, Cloud Web Security and More

31


Разделяй и защищай Сегментируйте сеть для локализации атак TrustSec, ISE, VLAN/VRF/EVN, ACL

32

Сеть как защитная стена ACI Vision: Policy Based, Automated Security at Scale

Сегментируйте сеть и контролируйте доступ для локализации атак

Сегментация сети для локализации атак

Контроль доступа для выполнения политик

Контроль доступа пользователей на базе устройства, местоположения, типа сети, времени

и других параметров (ISE) Физические и виртуальные разрешения и запреты

(Access Control Lists) Единая политика для проводного/беспроводного/удаленного доступа (ISE, Unified Access Switches)

Ролевой контроль доступа на базе топологии, способа доступа (TrustSec/SGT, ISE)

Сегментация сети (VLAN, TrustSec/SGT, VRF/EVN)

33

Cisco TrustSec Сегментация на базе ролей и политик

Гибкая и масштабируемая политика

Switch Router DC FW DC Switch

Простота управления доступом

Ускорение защитных операций

Единая политика везде

Кто может общаться и с кем Кто может получить доступ к активам Как система может общаться с другими системами

Политика

34

Поддержка на решениях Cisco

Классификация Распространение SGT Реализация политик Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/-X Catalyst 3750-E/-X

Catalyst 4500E (Sup6E/7E) Catalyst 4500E (Sup8) Catalyst 6500E (Sup720/2T)

Catalyst 3850/3650 WLC 5760

Wireless LAN Controller 2500/5500/WiSM2

Nexus 7000

Nexus 5500 Nexus 1000v (Port Profile)

ISR G2 Router, CGR2000

Catalyst 2960-S/-C/-Plus/-X/-XR Catalyst 3560-E/-C/, 3750-E Catalyst 3560-X, 3750-X Catalyst 3850/3650 Catalyst 4500E (Sup6E) Catalyst 4500E (7E, 8), 4500X Catalyst 6500E (Sup720) Catalyst 6500E (2T), 6800 WLC 2500, 5500, WiSM2 WLC 5760 Nexus 1000v Nexus 6000/5600 Nexus 5500/22xx FEX Nexus 7000/22xx FEX ISRG2, CGS2000 ASR1000 ASA5500 Firewall

SXP

SXP

IE2000/3000, CGS2000

ASA5500 (VPN RAS)

SXP SGT

SXP

SXP SGT

SXP

SXP SGT

SXP

SXP

SXP SGT

SXP SGT

SXP SGT

SXP

GETVPN. DMVPN, IPsec

•  Inline SGT on all ISRG2 except 800 series:

Catalyst 3560-X Catalyst 3750-X

Catalyst 4500E (7E) Catalyst 4500E (8E) Catalyst 6500E (2T) Catalyst 6800

Catalyst 3850/3650 WLC 5760

Nexus 7000

Nexus 5600

Nexus 1000v

ISR G2 Router, CGR2000

ASA 5500 Firewall ASAv Firewall

ASR 1000 Router CSR-1000v Router

SXP

SGT

SGFW

SGFW

SGFW

SGACL

SGACL

SGACL

SGACL

SGACL

SGACL

SXP SGT

SXP SGT

Nexus 6000

Nexus 6000 Nexus 5500

Nexus 5600 SXP SGT

SGT

GETVPN. DMVPN, IPsec

SGT

35

Реализация требований законодательства Кампус Филиал Склад

Банки

ЦОД

Без сегментации C сегментацией

Область действия аудита

Упрощение выполнение требований и

ускорение аудита при наличии сегментации

ü  802.1X ü  MAB ü  WebAuth CISCO SWITCHES, ROUTERS, WIRELESS ACCESS POINTS

ISE: управление политиками в масштабах всей сети Унификация политик вне зависимости от типа доступа

Сеть, поддерживающая 802.1X

ИДЕНТИФИКАЦИЯ

КОНТЕКСТ

КТО ЧТО ОТКУДА КОГДА КАК

ü  Гостевой доступ ü  Профилирование ü  Состояние

Security Camera G/W Vicky Sanchez Francois Didier Frank Lee Personal iPad Agentless Asset Chicago Branch

Employee, Marketing Wireline 3 p.m.

Consultant HQ - Strategy Remote Access 6 p.m.

Guest Wireless 9 a.m.

Employee Owned Wireless HQ

37

Опыт Cisco: контроль доступа внутри такой же, что и на периметре!

Тип устройства Местоположение

Пользователь Оценка Время Метод доступа Прочие атрибуты

38

Опыт Cisco: интеграция с MDM для контроля BYOD

38

Jail Broken PIN Locked

Encryption ISE Registered PIN Locked MDM Registered Jail Broken

39


Шифруйте данные на лету Защитите ваши данные с MACSec, IPSec, DTLS, CISF

40

Шифрование и предотвращение перехвата данных Реализуйте сетевую защиту для защиты от любопытных глаз


Шифрование данных Защита от перехвата Защита от слежки:

Catalyst Integrated Security Feature Set (Port Security, DHCP Snooping, IP Source Guard,

Dynamic ARP Inspection), IPv6 First Hop Security Предотвращение атак на Wi-Fi-спектр: CleanAir

Реализация многоуровневого шифрования:

LAN Link (Wired) Encryption: MACsec LAN Link (Wireless) Encryption: DTLS

WAN Link Encryption: IPSec, SSL Mobile Device Encryption: ISE с MDM Шифрование по ГОСТ 28147-89

41

Защитите вашу инфраструктуру WAN Умный WAN для филиалов

Масштабируемый WAN и Интернет-доступ

Защищенные соединения

Интеграция с Cloud Web Security, фильтрация Web в реальном времени с контролем

приложений

Масштабируемая безопасность через Dynamic Multipoint VPN (DMVPN)

Масштабируемая криптография, в т.ч. и на ГОСТ Интегрированный МСЭ/IPS Надежная аутентификация

Улучшенная производительность приложений Едино для любого транспорта

Автоматические туннели Site-to-Site IPsec

Zero-touch Hub Configuration Инкапсулация трафика


42


Используйте встроенную безопасность

Вы уже инвестировали в вашу сетевую инфраструктуру Активируйте TrustSec, NetFlow, шифрование и др.

43 Сеть как инструмент реагирования

44

Что сеть может сделать для вас? Сеть как инструмент реагирования

Уменьшить время восстановления и ускорить реагирование Например, анализ траектории вредоносного кода, интеграция с AD на уровне сети

Автоматизировать настройку и динамически ее менять исходя из ситуации в сети Например, ACL, QoS, динамические политики, корреляция событий

Интегрироваться с другими решениями для защиты инвестиций и роста качества защиты Например, RESTful API, eStreamer API и т.п.

45


Автоматизируйте для ускорения Уменьшение времени реагирования Автоматизация настроек политик

46

Автоматизация защиты и реагирования Cisco APIC Enterprise Module в действии

Интеграция с FirePOWER Network-Wide Rapid Threat Detection and Mitigation

Идентификация пробелов Обнаружение дупликатов

Идентификация конфликтов

Обнаружение нестыковок

Оценка соответствия Пометка политик

Follow-Me ACL

Автоматизация ACLs для мобильности

Автоматизация ACL

Автоматизации нейтрализации ВПО

Performance Routing (PfR) Config. IWAN

Оценка соответствия политик WAN IWAN

QoS

Автоматизация защиты филиалов

47

Встроенная система корреляции событий FireSIGHT позволяет собирать данные по всей сети

События СОВ

Бэкдоры Подключения к серверам

управления и контроля ботнетов

Наборы эксплойтов Получение

администраторских полномочий

Атаки на веб-приложения

События анализа ИБ

Подключения к известным IP серверов

управления и контроля ботнетов

События, связанные с вредоносным кодом

Обнаружение вредоносного кода

Выполнение вредоносного кода

Компрометация Office/PDF/Java

Обнаружение дроппера

48

Возможность отслеживать движение вредоносного ПО и злоумышленника по сети

•  Какие системы были инфицированы?

•  Кто был инфицирован?

•  Когда это произошло?

•  Какой процесс был отправной точкой?

•  Почему это произошло? •  Что еще произошло?

49

ISE как “context directory service”

Создание экосистемы по безопасности Cisco

Архитектура открытой платформы Разработка экосистемы SSP

Встроенная безопасность в ИТ

Мобильность (MDM), Угрозы (SIEM), облако

Комплексное партнерское решение

Lancope, «Сеть как сенсор» Использование значения Сети

Текущая экосистема партнеров Cisco

50

Шифруйте линки и включите CISF Защитите ваши данные

5 принципов для построения настоящей защиты сети Включите NetFlow Поймите, что у вас значит нормально

Обнаруживайте необнаруживаемое… Заранее

Внедрите TrustSec/сегментация Локализация атак

Ролевое управление, независящее от топологии и типа доступа

Внедрите APIC-EM Ускорьте конфигурирование и устранение проблем

Внедрите Intelligent WAN Защитите филиалы и допофисы

Видимость Фокус на угрозы Платформы

51

Сеть как сенсор Обнаружение аномального трафика

Обнаружение нарушений пользователями политик Обнаружение чужих устройств, точек доступа & других

Сеть как защитная стена Сегментация сети для локализации атак

Шифрование данных для защиты от человека посередине Защита филиалов для Direct Internet Access

Сеть как инструмент реагирования Автоматизированное, близкое к реальному времени отражение атак

Роль сетевой безопасности

52


Объедините усилия Защита от вредоносного кода Безопасность, ориентированная на угрозы Сеть как сенсор, защитная стена и средство реагирования

Спасибо

Сеть как средство защиты и реагирования на угрозы

Technology

netflow netflow

netflow ip netflow ip

lancope netflow

ise netflow

netflow cc

netflow ddos

netflow command

netflow http