Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Seu SlideShare está sendo baixado.
×
Confira estes a seguir
Recomendadas
Mais Conteúdo rRelacionado
Diapositivos para si (20)
Semelhante a Обнаружение аномальной активности в сети (20)
Mais de Cisco Russia (20)
Mais recentes (20)
Обнаружение аномальной активности в сети
- 1. Cisco Confidential© 2010 Cisco and/or its affiliates. All rights reserved. 1 Обнаружение аномальной активности в сети Алексей Лукацкий Бизнес-консультант по безопасности
- 2. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2? Devices Access Branch Campus Data Center Distribu-on Edge Firewall Remote Access Security Inspection Device X Internet USB Mobile Provider
- 3. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 3 (Android) Apple Routers and Switches Printer Internet of Things Phones Linux http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext Jonathan Brossard (CEO at Toucan System) Как насчет других операционных систем, которые не поддерживает ваше abc устройство?
- 4. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4 Серьезные компании с умными людьми. Все были скомпрометированы
- 5. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 А нам еще нужны FW, IPS, песочницы,AV? Разумеется нужны. Даже в современных автомобилях подушки безопасности не заменяют бампер!
- 6. … предполагает вероятность того, что вы уже скомпрометированы! Network Behavior Analysis Cyber Threat Defense (CTD) Control Enforce Harden Detect Block Defend Scope Contain Remediate Как и автоиндустрия, мы должны эволюционировать. Дополнительные инструменты для закрытия пробелов в безопасности.
- 7. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 Что объединяет всех?! СЕТЬ Видимость всего трафика Маршрутизация всех запросов Источники всех данных Контроль всех данных Управление всеми устройствами Контроль всех пользователей Контроль всех потоков
- 8. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8 A B C C B A CA B Не везде есть IPS, но везде есть NetFlow
- 9. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9 • Из всех критичных и важных точек
- 10. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10 Обзор StealthWatch FlowCollector* StealthWatch Management Console* Управление StealthWatch FlowReplicator ( Другие анализаторы Cisco ISE StealthWatch FlowSensor* Netflow enabled device Не-Netlow устройство NetFlow NetFlowNetFlow * Виртуальный или физический
- 11. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11 Построение базиса и определение аномалий с помощью Netflow 11
- 12. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
- 13. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13 Обзор • Активность BotNet Command & Control • Обнаружение утечек данных • Целенаправленные угрозы (APT) • Обнаружение Malware, распространяющегося внутри сети • Обнаружение разведки в сети • Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)
- 14. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14 Что анализировать: • Страны • Приложение • Соотношение входящего/исходящего трафика • время • Повторяющиеся соединения • Beaconing – повторяющиеся «мертвые» соединения • Долгоживущие потоки Активность “phone home” Предупреждения: Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C Suspect Long Flow Beaconing Host Massive TCP RST High Concern Index Trapped Host …
- 15. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15 Третичное заражение Вторичное заражение Первоначальное заражение 15 Сканирование
- 16. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16 16 Отправка бинарника размером x Третичное заражение Вторичное заражение Первоначальное заражение
- 17. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17 17 Скан Третичное заражение Вторичное заражение Первоначальное заражение
- 18. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18 18 Отправка…x Третичное заражение Вторичное заражение Первоначальное заражение
- 19. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan ICMP echo CEO PC 1. ECHO -> CI = CI + 1 2. ECHO -> CI = CI + 2 3. ECHO -> CI = CI + 4 4. ECHO -> CI = CI + 8 Упрощенный пример:
- 20. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan TCP RST CEO PC 1. RST -> CI = CI + 1 2. RST -> CI = CI + 2 3. RST -> CI = CI + 4 4. RST -> CI = CI + 8 Упрощенный пример:
- 21. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21 Высокий Concern Index показывает значительное количество подозрительных событий, которые отклоняются об базиса Host Groups Host CI CI% Alarms Alerts Desktops 10.10.101.118 338,137,280 8656% High Concern index Ping, Ping_Scan, TCP_Scan SSH CEO PC 1. PC -> CI = CI + 1 2. PC -> CI = CI + 2 3. PC -> CI = CI + 4 4. PC -> CI = CI + 8 PC с незапу- щенным сервисом SSH Упрощенный пример:
- 22. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
- 23. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
- 24. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24 Основные подозрительные события
- 25. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25 Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения • Признанный игрок рынка мониторинга сети и безопасности • Cisco Solutions Plus Product Общие дизайны Cisco+Lancope Совместные инвестиции в развитие Доступность в канале продаж Cisco • Отличный уровень сотрудничества с Cisco Lancope StealthWatch – ключевой элемент
- 26. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26 TrustSec Enabled Enterprise Network Identity Services Engine NetFlow: Switches, Routers, и ASA 5500 Контекст: NBAR/AVC Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети Flow Телеметрия NetFlow Cisco Switches, Routers и ASA 5500 Данные о контексте угрозы Cisco Identity, Device, Posture, Application Cyber Threat Defense = Cisco + Lancope
- 27. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27 Cisco Network StealthWatch FlowCollector StealthWatch Management Console NetFlow StealthWatch FlowSensor StealthWatch FlowSensor VE Users/Devices Cisco ISE NetFlow StealthWatch FlowReplicator Другие коллекторы https https NBAR NSEL
- 28. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28 Cat 3K-X w/ Service Module Line-Rate NetFlow Cat 4K Sup7E, Sup7L-E Line-Rate NetFlow ISR, ASR Scale NetFlow NBAR2 Adds NetFlow Доступ Доступ/ распределение Периметр Cat 6K Sup2T Cat 2K-X the only L2 w/Netflow ASA
- 29. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29 • Обнаружение брешей в настройках МСЭ • Обнаружение незащищенных коммуникаций • Обнаружение P2P-трафика • Обнаружение неавторизованной установки локального Web- сервера или точки доступа • Обнаружение попыток несанкционированного доступа • Обнаружение ботнетов (командных серверов) • Обнаружение атак «отказ в обслуживании» • Обнаружение инсайдеров • Расследование инцидентов • Troubleshooting Решаемые задачи
- 30. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
- 31. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31 Обнаружение разных типов атак, включая DDoS Детальная статистика о всех атаках, обнаруженных в сети
- 32. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
- 33. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33 Exfiltration: Хост передает ненормальное количество данных (EXI points) Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points) Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points) Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети Target Index: Показывает хосты, которые являются жертвами атаки (TI points)
- 34. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
- 35. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35 Suspect Data Hoarding Target Data Hoarding • Обнаружение систем, которые загружают ненормальные объемы данных из внутренних узлов • Обнаружение систем, из которых загружаются ненормальные объемы данных
- 36. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36 Ненормальные объемы данных запрашиваются хостом Политика
- 37. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37 Передача ненормальных объемов данных во внешний мир Политика
- 38. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38 Когда? Сколько? УчастникУчастник Каким образом?
- 39. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39 Выберите узел для исследования Поиск исходящего трафика
- 40. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40 Netflow телеметрия Cisco Switches, Routers и ASA 5500 Внутренняя сеть & периметр Общий вид Анализ и контекст в Lancope StealthWatch Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее: • ISE отправляет identity данные в CTD • NBAR из маршрутизаторов тоже попадает в CTD • NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства NetFlow Данные контекста Cisco Identity, Device, Posture, NAT, Application Context
- 41. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41 • Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD) Получение контекста от Cisco ISE Политика Время старта Тревога Источник Группа хостов источника Имя пользователя Тип устройства Цель Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество хостов
- 42. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42 • Поле Flow Action может добавить дополнительный контекст • NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях Получение контекста от Cisco ASA / ISR / ASR
- 43. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43 • Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX) • До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер) • Понимание контекста Масштабируемая архитектура
- 44. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44 Комплексная защита от угроз в течение всего жизненного цикла атаки Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановление Жизненный цикл атаки ДО ВО ВРЕМЯ ПОСЛЕ § Идентификация разведывательной деятельности § Блокирование известных угроз § Обнаружение скрытых C&C § Отслеживание распространение вредоносного ПО внутри сети § Предотвращение утечек данных § Непрерывный мониторинг активов и активности
- 45. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45 Основные компоненты CTD § Продукты Lancope StealthWatch (SMC, FlowCollector, FlowSensor, FlowReplicator) § Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3 § ISE pxGrid API § Sourcefire NGIPS (FirePOWER, FireSIGHT) § Sourcefire AMP (network, endpoints, ESA, WSA) § Cloud Web Security Premium (с CTA, AMP) Протестированные платформы Cisco § ISR G2 § ASR 1000 § Catalyst 3560-X/3750-X, 3850, 3650 § Catalyst 2960-X (NetFlow Lite) § Catalyst 4500 Sup 7, Sup 8 § Catalyst 6500 Sup 2T § ASA 5500-X with FirePOWER Services § NetFlow Generation Appliance (NGA)
- 46. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46 • Само мобильное устройство не может сказать, что оно «чужое» Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного • Особую сложность представляет контроль 3G/4G доступа, но и он может быть решен
- 47. Спасибо!
