Обнаружение аномальной активности в сети.

1. Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 1
Обнаружение аномальной
активности в сети
Алексей Лукацкий
Бизнес-консультант по безопасности

2. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2?
Devices
Access
Branch
Campus
Data
Center
Distribu-on
Edge
Firewall
Remote
Access
Security
Inspection
Device X
Internet
USB
Mobile
Provider

3. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
3
(Android)
Apple
Routers and Switches
Printer
Internet of Things
Phones
Linux
http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext
Jonathan Brossard (CEO at Toucan System)
Как насчет других операционных систем, которые не поддерживает
ваше abc устройство?

4. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Серьезные компании с умными людьми.
Все были скомпрометированы

5. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
А нам еще нужны FW, IPS, песочницы,AV?
Разумеется нужны.
Даже в современных автомобилях подушки безопасности не заменяют бампер!

6. … предполагает вероятность того, что вы уже скомпрометированы!
Network Behavior Analysis
Cyber Threat Defense (CTD)
Control
Enforce
Harden
Detect
Block
Defend
Scope
Contain
Remediate
Как и автоиндустрия, мы должны эволюционировать. Дополнительные
инструменты для закрытия пробелов в безопасности.

7. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Что объединяет всех?!
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов
Источники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков

8. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
A
B
C
C
B
A
CA
B
Не везде есть IPS, но везде есть NetFlow

9. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
• Из всех критичных и важных точек

10. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Обзор
StealthWatch
FlowCollector*
StealthWatch
Management
Console*
Управление
StealthWatch
FlowReplicator
(
Другие
анализаторы
Cisco
ISE
StealthWatch FlowSensor*
Netflow
enabled
device
Не-Netlow
устройство
NetFlow NetFlowNetFlow
* Виртуальный или физический

11. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Построение базиса и определение аномалий с помощью Netflow
11

12. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12

13. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Обзор
• Активность BotNet Command & Control
• Обнаружение утечек данных
• Целенаправленные угрозы (APT)
• Обнаружение Malware, распространяющегося внутри сети
• Обнаружение разведки в сети
• Обнаружение и уменьшение мощности атак DDoS
(партнерство с Radware для коррекции)

14. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Что
анализировать:
• Страны
• Приложение
• Соотношение
входящего/исходящего
трафика
• время
• Повторяющиеся
соединения
• Beaconing –
повторяющиеся
«мертвые» соединения
• Долгоживущие потоки
Активность “phone home”
Предупреждения:
Bot Command & Control Server
Bot Infected Host – Attempted C&C
Bot Infected Host – Successful C&C
Suspect Long Flow
Beaconing Host
Massive TCP RST
High Concern Index
Trapped Host
…

15. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Третичное заражение
Вторичное заражение
Первоначальное заражение
15
Сканирование

16. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
16
Отправка бинарника размером x
Третичное заражение
Вторичное заражение
Первоначальное заражение

17. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
17
Скан
Третичное заражение
Вторичное заражение
Первоначальное заражение

18. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
18
Отправка…x
Третичное заражение
Вторичное заражение
Первоначальное заражение

19. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Высокий Concern Index показывает
значительное количество
подозрительных событий, которые
отклоняются об базиса
Host
Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern
index
Ping, Ping_Scan, TCP_Scan
ICMP echo
CEO PC
1. ECHO -> CI = CI + 1
2. ECHO -> CI = CI + 2
3. ECHO -> CI = CI + 4
4. ECHO -> CI = CI + 8
Упрощенный пример:

20. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Высокий Concern Index показывает
значительное количество
подозрительных событий, которые
отклоняются об базиса
Host
Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern
index
Ping, Ping_Scan, TCP_Scan
TCP RST
CEO PC
1. RST -> CI = CI + 1
2. RST -> CI = CI + 2
3. RST -> CI = CI + 4
4. RST -> CI = CI + 8
Упрощенный пример:

21. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Высокий Concern Index показывает
значительное количество
подозрительных событий, которые
отклоняются об базиса
Host
Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern
index
Ping, Ping_Scan, TCP_Scan
SSH
CEO PC
1. PC -> CI = CI + 1
2. PC -> CI = CI + 2
3. PC -> CI = CI + 4
4. PC -> CI = CI + 8
PC с незапу-
щенным сервисом
SSH
Упрощенный пример:

22. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22

23. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23

24. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
Основные подозрительные события

25. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Решение по мониторингу на основе NetFlow, которое предоставляет
действенное понимание в отношении производительности и
безопасности, а также сокращает время расследования
подозрительного поведения
• Признанный игрок рынка мониторинга сети и безопасности
• Cisco Solutions Plus Product
Общие дизайны Cisco+Lancope
Совместные инвестиции в развитие
Доступность в канале продаж Cisco
• Отличный уровень сотрудничества с Cisco
Lancope StealthWatch – ключевой элемент

26. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
TrustSec
Enabled
Enterprise
Network
Identity
Services
Engine
NetFlow: Switches, Routers,
и ASA 5500
Контекст:
NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
Flow
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы
Cisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope

27. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
Cisco Network
StealthWatch
FlowCollector
StealthWatch
Management
Console
NetFlow
StealthWatch
FlowSensor
StealthWatch
FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch
FlowReplicator
Другие
коллекторы
https
https
NBAR NSEL

28. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
Cat 3K-X
w/ Service Module
Line-Rate
NetFlow
Cat 4K
Sup7E, Sup7L-E
Line-Rate
NetFlow
ISR, ASR
Scale
NetFlow
NBAR2
Adds
NetFlow
Доступ
Доступ/
распределение
Периметр
Cat 6K
Sup2T
Cat 2K-X
the only L2 w/Netflow
ASA

29. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
• Обнаружение брешей в настройках МСЭ
• Обнаружение незащищенных коммуникаций
• Обнаружение P2P-трафика
• Обнаружение неавторизованной установки локального Web-
сервера или точки доступа
• Обнаружение попыток несанкционированного доступа
• Обнаружение ботнетов (командных серверов)
• Обнаружение атак «отказ в обслуживании»
• Обнаружение инсайдеров
• Расследование инцидентов
• Troubleshooting
Решаемые задачи

30. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30

31. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Обнаружение разных
типов атак, включая
DDoS
Детальная статистика о
всех атаках,
обнаруженных в сети

32. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32

33. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
Exfiltration: Хост передает ненормальное
количество данных (EXI points)
Command and Control: Показывает на существование в
вашей сети бот-сервера или хосты успешно связываются
с C&C серверами (C&C points)
Policy Violation: Хосты нарушают
предопределенные политики в сети (PVI points)
Concern Index: Показывает хосты, которые,
возможно, нарушают целостность сети
Target Index: Показывает хосты, которые являются
жертвами атаки (TI points)

34. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34

35. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Suspect Data
Hoarding
Target Data Hoarding
• Обнаружение систем, которые загружают
ненормальные объемы данных из внутренних
узлов
• Обнаружение систем, из которых загружаются
ненормальные объемы данных

36. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
Ненормальные объемы
данных запрашиваются
хостом
Политика

37. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Передача ненормальных объемов
данных во внешний мир
Политика

38. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
Когда?
Сколько?
УчастникУчастник
Каким
образом?

39. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Выберите узел
для
исследования
Поиск
исходящего
трафика

40. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
Netflow телеметрия
Cisco Switches, Routers и
ASA 5500
Внутренняя сеть &
периметр
Общий вид
Анализ и контекст в
Lancope StealthWatch
Знание «Кто, что, как»
подозрительного трафика
позволяет сделать следующее:
• ISE отправляет identity данные в
CTD
• NBAR из маршрутизаторов тоже
попадает в CTD
• NAT stitching feature для ASA и ASR
1k объединяет внешнее и
внутреннее адресное пространства
NetFlow
Данные контекста
Cisco Identity, Device, Posture,
NAT, Application
Context

41. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
• Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense
(CTD)
Получение контекста от Cisco ISE
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя
пользователя
Тип
устройства
Цель
Desktops &
Trusted
Wireless
Янв 3,
2013
Вероятная
утечка
данных
10.10.101.89 Атланта,
Десктопы
Джон Смит Apple-iPad Множество
хостов

42. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
• Поле Flow Action может добавить дополнительный контекст
• NSEL-отчетность на основе состояний для поведенческого анализа
Сбор информации о отклоненных или разрешенных соединениях
Получение контекста от Cisco ASA / ISR / ASR

43. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
• Получение данные
от сетевого
оборудования с
NetFlow, а также от
сенсоров без
поддержке NetFlow
(например, VMware
ESX)
• До 120.000 потоков
в секунду на
коллектор (до 3
миллионов на
кластер)
• Понимание
контекста
Масштабируемая архитектура

44. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Комплексная защита от угроз в течение
всего жизненного цикла атаки
Исследование
Внедрение
политик
Укрепление
Обнаружение
Блокирование
Защита
Локализация
Изолирование
Восстановление
Жизненный цикл атаки
ДО ВО
ВРЕМЯ
ПОСЛЕ
§ Идентификация
разведывательной деятельности
§ Блокирование известных угроз
§ Обнаружение скрытых C&C
§ Отслеживание распространение
вредоносного ПО внутри сети
§ Предотвращение утечек данных
§ Непрерывный
мониторинг активов и
активности

45. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
Основные компоненты CTD
§ Продукты Lancope StealthWatch
(SMC, FlowCollector, FlowSensor,
FlowReplicator)
§ Интеграция с Cisco Identity Services
Engine (ISE) v1.2, v1.3
§ ISE pxGrid API
§ Sourcefire NGIPS (FirePOWER,
FireSIGHT)
§ Sourcefire AMP (network, endpoints,
ESA, WSA)
§ Cloud Web Security Premium (с CTA,
AMP)
Протестированные
платформы Cisco
§ ISR G2
§ ASR 1000
§ Catalyst 3560-X/3750-X, 3850,
3650
§ Catalyst 2960-X (NetFlow Lite)
§ Catalyst 4500 Sup 7, Sup 8
§ Catalyst 6500 Sup 2T
§ ASA 5500-X with FirePOWER
Services
§ NetFlow Generation Appliance
(NGA)

46. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
• Само мобильное устройство не может сказать, что оно «чужое»
Нужен внешний независимый контроль с помощью систем контроля
доступа, в т.ч. и беспроводного
• Особую сложность представляет контроль 3G/4G доступа, но и он
может быть решен

47. Спасибо!