Контроль и мониторинг периметра сети
TRANSCRIPT
Контроль и мониторинг периметра сети
Лукацкий Алексей[email protected]
10.10.16 © 2015 Cisco and/or its affiliates. All rights reserved.
Что такое платформа FirePOWER?
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке)FireSIGHTАналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг иконтроль приложений
Межсетевой экранМаршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
Устройство ASA ISR Virtual
Портфолио
Meraki MX Firepower NGIPSAppliance
Firepower NGFWAppliances
ASA with FirePOWER Services
Firepower Threat Defense on ISR
vNGFW
Видеть больше и глубже других
“Вы не можете защитить то, что не видите”
Malware
Client applications
Operating systems
Mobile devices
VoIP phones
Routers and switches
Printers
Command and control
servers
Network servers
Users
File transfers
Web applications
Applicationprotocols
Threats
Typical IPS
Typical NGFW
Cisco Firepower™ NGFW
Все в одном
Пример: Блокирование передачи файлов Skype
Работа с приложениями
Инвентаризация и профилирование узлов
• Профиль хоста включает всю необходимую для анализа информацию
• IP-, NetBIOS-, MAC-адреса
• Операционная система• Используемые
приложения• Зарегистрированные
пользователи• И т.д.
• Идентификация и профилирование мобильных устройств
Инвентаризация и профилирование узлов
«Черные списки»: свои или централизованные
• Разрешенные типы и версии ОС
• Разрешенные клиентские приложения
• Разрешенные Web-приложения
• Разрешенные протоколы транспортного и сетевого уровней
• Разрешенные адреса / диапазоны адресов
• И т.д.
Создание «белых списков»
Использование информации об уязвимостях
Почему традиционный NGFW не помогает?
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
А это подтверждение статистики
16 апреля 2015 годаhttp://www.zdnet.com/article/palo-alto-networks-mcafee-websense-gateway-systems-allow-malicious-traffic-to-slip-through-the-net/
Дело СОВСЕМ не в названиях компаний, проблема в методологии
Современный ландшафт угроз требует большего, чем просто контроль приложений
54%компрометаций
остаются незамеченнымимесяцами
60%данных
похищается за несколько часов
Они стремительно атакуют и остаются неуловимыми
Целое сообщество злоумышленниковостается нераскрытым, будучи у всех на виду
100%организаций подключаются к доменам, содержащим
вредоносные файлы или службы
• Сложные программные продукты, созданные квалифицированными программистами и архитекторами (НЕ ОДИН .EXE файл, НЕ ОДИН вектор атаки)
• Высокий уровень доработки продуктов для очередной кампании
• Дропперы и даунлоудеры и иже с ними: внедрение одного модуля на 99% приведёт к внедрению следующих уникальных модулей
• Известно, что вредоносное ПО будут искать
• Известно про запуск в песочницах
• Развитая индустрия создания специфического ПО с неплохими бюджетами и высоким уровнем заинтересованности
• Все лучшие методологии разработки и отладки
Что мы знаем о современном вредоносном ПО?
Вредоносный код в разрешенном трафике
AMPThreat Intelligence
Cloud
Windows OS Android Mobile Virtual MAC OSCentOS, Red Hat
Linux
AMP on Web & Email Security AppliancesAMP on Cisco® ASA Firewall
with Firepower Services
AMP Private Cloud Virtual Appliance
AMP on Firepower NGIPS Appliance (AMP for Networks)
AMP on Cloud Web Security & Hosted Email
CWS
Threat GridMalware Analysis + Threat
Intelligence Engine
AMP on ISR with Firepower Services
AMP Everywhere
AMP for Endpoints
AMP for Endpoints
Удаленные ПК
AMP for Endpoints can be launched from AnyConnect
Cisco AMP расширяет защиту NGFW и NGIPS
Ретроспективная безопасностьТочечное обнаружение
Непрерывная и постоянна защитаРепутация файла и анализ его поведения
Cisco AMP защищает с помощью репутационнойфильтрации и поведенческого анализа файлов
Фильтрация по репутации Поведенческое обнаружение
Динамический анализ
Машинное обучение
Нечеткие идентифицирующие
метки
Расширенная аналитика
Идентичнаясигнатура
Признаки компрометации
Сопоставление потоков устройств
Cisco AMP обеспечивает ретроспективную защиту
ТраекторияПоведенческиепризнаки
вторжения
Поискнарушений
Ретроспектива Создание цепочек атак
Какие файлы можно анализировать?
• Файлы, передаваемые по сети (HTTP, SMTP, POP3, IMAP, SMB, FTP), можно захватывать и сохранять для дальнейшего анализа
Обнаружение вредоносного кода и вирусов
Сила в комбинации методов обнаружения
• На оконечных узлах не хватает ресурсов для анализа все усложняющегося вредоносного кода
• Не существует универсального метода обнаружения вредоносного кода – у каждого метода есть своя область применения, свою достоинства и недостатки
• Каждый метод может быть обойден вредоносным кодом; особенно специально подготовленным
7 методов обнаружения в Cisco AMP повышаютэффективность защиты!!!
AMP детектирует 100% угроз в тестах NSS Labs
Встроенная система корреляции событий
• Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных
• Приложения• Уязвимости• Протоколы• Пользователи• Операционные системы• Производитель ОС• Адреса• Место в иерархии компании• Статус узла и т.п.
Встроенная система корреляции событий
• Различные типы события для системы корреляции
• Атаки / вторжение• Активность пользователя• Установлено соединение• Изменение профиля трафика• Вредоносный код• Изменение инвентаризационных
данных (например, появление нового узла в сети или ОС на узле)
• Изменение профиля узла • Появление новой уязвимости
Встроенная система корреляции событий
• В зависимости от типа события могут быть установлены дополнительные параметры системы корреляции
• Возможность создания динамических политик безопасности
Мониторинг всей сети
Новые возможности в Firepower Threat Defense 6.0
Инновация борьбы с угрозами
Управление Enterpriseуровня
DNS инспекция и Sink-holingСетевой интеллект URL-типа
SSL инспекцияThreatGRID Analysis & IntelligenceOpenAppID Application Detectors
Captive Portal and Active AuthFile Property Analysis and Local Malware
ChecksISE Identity/Device/SGT in Policy
Домены с ролевым доступомИерархические политики и
наследование
• Много режимов развертывания• Passive Inbound (Известные ключи) • Inbound Inline (с/без ключей)• Outbound Inline (без ключей)
• Гибкая поддержка SSL для HTTPS и приложений StartTLSПример: SMTPS, POP3S, FTPS, IMAPS, TelnetS
• Расшифровка на базе URL категорий и других атрибутов
• Централизованное применение политик сертификатов SSL Пример Блокирование; Самоподписанный шифрованный трафик, SSL версия, типы крипто-алгоритмов, неразрешенные мобильные устройства
Интегрированная SSL Decryption –Теперь и на ASA с Firepower
• Расширение IP черных списков
• TALOS динамические обновление, сторонние фиды и списки
• Множество категорий: Malware, Phishing, CnC,…
• Множество действий: Allow, Monitor, Block, Interactive Block,…
• Политики настраиваются либо в Access Rules либо в black-list
• IoC теги для CnC и Malware URLs
• Новые Dashboard widget для URL SI
• Черные/Белые списки URL по одному клику
Основанный на URL метод фильтрации злоумышленников
URL-SI Категории
• Security Intelligence поддерживает домены
• Проблемы с адресов fast-flux доменах
• Предлагаемые Cisco и настраиваемые пользователем DNS списки: CnC, Spam, Malware, Phishing
• Множество действий: Block, Domain Not Found, Sinkhole, Monitor
• Индикаторы компрометации дополнены поддержкой DNS Security Intelligence
• Новый Dashboard виджет для DNS SI
DNS Инспекция
DNS List Action
OpenAppID Интеграция
Сила Open Source приходит к безопасности уровня приложений
• Создавайте, обменивайтесь и применяйте собственные правила обнаружения приложений
• Отдайте контроль в руки клиентов и большого комьюнити ИБ
• Групповая разработка в рамках комьюнити ускоряет создание сигнатур обнаружения и контроля
Что такое OpenAppID ?• Open-Source язык: специализированный на
обнаружение приложений• > 2500 детекторов привнесено Cisco
• > 20,000 загрузок пакетов детекторов с прошлого Сентября
• Поддерживается со стороны Snortкомьюнити
• Простой Язык
• Уменьшенная зависимость от вендора и его релизов
• Пишется с использованием скриптового языка Lua
Open source язык сфокусированный для обнаружения приложений: позволяющий пользователям создавать, обмениваться и внедрять собственное обнаружение
приложений.
• Идентификация популярных и известных примеров вредоносного ПО на appliance• Уменьшение необходимости отсылки сэмплов для динамического анализа в облако
• Локальный анализ контейнерных файлов для обнаружения malware как вложенного контента.
• Отчет о содержимом файла с анализом уровня риска
• Расширение типов файлов для динамического анализа:• PDF• Office Documents• Другие: EXE/DLL, MSOLE2…
Анализ параметров файлов и локальные проверки вредоносного ПО
• Принудительная аутентификация на уровне Appliance
• Множество методов аутентификации(Passive, Active, Passive с активным Fallback)
• Различные поддерживаемые типы аутентификации (пример. Basic, NTLM, Advanced, Form)
• Поддержка гостевого доступа
• Поддержка различных доменов
Captive портал / Активная аутентификация
Метод Источник LDAP/AD Доверенный?
Active Принудительная аутентификация на устройстве
LDAP и AD yes
Passive Identity and IP mapping from AD Agent AD yes
User Discovery Имя пользователя получено из трафика пассивно.
LDAP и AD, пассивно по трафику
no
• Получение учетных данных через pxGrid / ISE
• Получение типа устройства/сети Security Group Tags из pxGrid / ISE
• Возможность применять действия на основе вышеописанных данных• Такие как блокировка доступа HR пользователей с использованием iPAD
• Уменьшение размера и сложностиACL
Интеграция с Cisco ISE
UK/London
Иерархия управления
Краснодар Москва
Поддержка до 50 доменов и 3 уровнейДоступно всем платформам с 6.0
Сочи
UK/Oxford
1
23
Иерархия политик доступа
Управление сервисами FirePOWER с ASDM
ASDM + Key Firepower Configuration
ASA Firepower
Kenton
Раздельные политики и объекты
Saleen
Spyker
ASA 5506/8/16-X
ASA 5515/12/25/45/55-X
ASA 5585-X
ASDM Расширяет поддержку на большее число платформ
Увеличение числа устройств с вредоносным ПО
Анализ вредоносного ПО и атак
Подтверждение атаки и заражения
• С чего начать?
• Насколько тяжела ситуация?
• Какие системы были затронуты?
• Что сделала угроза?
• Как можно восстановить?
• Как можно предотвратить ее повторение?
Исправление Поиск сетевого трафика
Поиск журналов устройств
Сканирование устройств
Задание правил (из профиля)
Создание системы
испытаний
Статический анализ
Анализ устройств
Сетевой анализ
Анализ увеличения
числа устройств
Уведомление Карантин Сортировка
Профиль вредоносного
ПО
Стоп
Не удалось обнаружить заражение
Заражение обнаружено
Поиск повторного заражения
Обновление профиля
Подтверждение
Заражение отсутствует
Вопрос не в том, произойдет ли заражение, а как скоро мы его обнаружим, устраним и поймем причины?
Cisco AMP Threat Grid
Целенаправленные угрозы обходят антивирусы
Cisco AMP Threat Grid
• Платформа для глубокого анализа вредоносного кодаДоступ через портал, выделенное устройство или с помощью API
• Может применяться при построении собственных систем Threat Intelligence или SOC
• Уже используется многими компаниями при проведении расследований – EnCase, Maltego и т.п.
Повсеместный AMP Threat Grid
Подозрительный файл
Отчет
Периметр
ПК
Firewall & UTM
EmailSecurity
Analytics
Web Security
EndpointSecurity
NetworkSecurity
3rd PartyIntegration
S E C U R I T Y
Securitymonitoring platforms
Deep Packet Inspection
Gov, Risk, Compliance
SIEM
Динамический анализ
Статический анализ
Threat Intelligence
AMP Threat Grid
Решения Cisco по ИБ Другие решения по ИБ
Подозрительный файл
Premium content feeds
Security Teams
А можно анализировать вручную?
• Нередко бывает необходимость анализировать файлы, попавшие в службу безопасности на флешках или иных носителях, а также проводить более глубокий анализ обнаруженных с помощью Cisco AMP вредоносных программ
• Не у всех бывает реализована автоматическая защита с помощью Cisco AMP
• Организация может захотеть создать собственную службу Threat Intelligenceили Security Operations Center
А можно анализировать вручную?
Развертывание вне облака – на территории заказчика
§ Локальный анализ вредоносного ПО с полной поддержкой облака Cisco® AMP Threat Grid§ В целях соблюдения нормативных требований все данные остаются на территории заказчика§ Непрерывный однонаправленный поток данных из облака Cisco AMP Threat Grid для
актуализации контекста§ Ощущения пользователя не меняются при переходе от облака к устройству (UI, API, ….)
§ TG5000:§ Анализ до 1500 образцов в день§ Cisco UCS C220 M3 Chasis (1U)§ 6 x 1TB SAS HDD (аппаратный RAID)
§ TG5500: § Анализ до 5000 образцов в день§ Cisco UCS C220 M3 Chasis (1U)§ 6 x 1TB SAS HDD (аппаратный RAID)
Полное соответствие нормативным требованиям и высокий уровень защиты
Отличия портала от локального устройства AMP Threat Grid
• Масштабируемость• Отсутствуют ограничения на число загружаемых для анализа семплов (в устройстве – до 5000 в
день)
• Скорость обработки семплов• Обработка 1000 семплов занимает около 30 минут. На устройстве такое же количество семплов
обрабатывается за 4 часа
• Стоимость• Устройство стоит дороже доступа к порталу
• Анализ угроз• Сопоставление угроз в облаке осуществляется со всеми семплами, загруженными в него и
помеченными как публичные. На устройстве сопоставление осуществляется только с локальными семплами
• Обновления поведенческих индикаторов• Обновления для устройства выпускаются каждый квартал, а для портала – каждые 2 недели
Преимущества и недостатки локального устройства
Преимущества
• Конфиденциальность данных• Возможность работы в
изолированной сети• Независимость от наличия
Интернет-канала
Недостатки
• Обновления поведенческих индикаторов приходят с задержкой
• Невозможность полного анализа Интернет-активности вредоносного ПО
• Невозможность сопоставления данных с другими публичными семплами
Опыт Cisco: комбинируйте методы обнаружения
Intel
Signature
Flows
Intel
Signature Behavior
Flows
Intel
Signature
В прошлом 2012 2013
Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
Интеграция OpenDNS Investigate и Threat Grid
Высокопроизводительная безопасность
Платформа Firepower 9300
Модульная платформа операторского класса с интерфейсами 10, 40, и 100 Гбит/с.Объединение сервисов безопасности компании Cisco и других компанийЭластичная масштабируемость за счет кластеризацииУскоренная обработка для доверенных приложенийФункции ПО Cisco ASA для операторов связи§ Эффективная защита на сетевом и транспортном уровне§ Трансляция адресов операторского класса (Carrier-grade NAT)§ Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1)§ Анализ SCTP и Diameter в планах
Обзор платформы Cisco Firepower 9300
Модуль управления
§ Внедрение и управление приложениями§ Сетевые интерфейсы и распределение трафика§ Кластеризация для сервисов Cisco® ASA и прочих
1
3
2
Модули безопасности
§ Встроенный классификатор пакетов и потоков, а также ускоритель шифрования§ Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка)§ Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер)
Программная архитектура
FXOS обеспечивает интерфейс для управления устройство и его контроля для приложений безопасности на модулях безопасности
Все имиджи подписаны и проверяются через Secure Boot
Имиджи приложений безопасности в формате Cisco Secure Package (CSP)
— Разные версии одних приложений могут быть сохранены на Supervisor. Они могут быть размещены на модулях безопасности по требованию
— Содержит основные системы (например, ASA, FTD) и другие имиджи (например, ASDM, REST и др.)
Приложения от третьих фирм (KVM)
Основные приложения от Cisco (Native)
DDoS
ASA или FTDFXOS
Firepower Extensible Operating System (FXOS)
Supervisor
Модуль безопасности
Устройства Firepower 4100 SeriesРазработан с использованием Security Services Platform (SSP)§ Инфраструктурная платформа для сервисов безопасности§ Интегрирует сервисы безопасности Cisco и сервисы ИБ третьих фирм§ Архитектура разработана для быстрого добавления новых сервисов по требованиям рынка
—Разработан для:§ Периметра Интернет§ Периметра кампуса§ Периметра ЦОД
Аппаратная платформадля:§ Firepower NGFW§ Cisco AMP§ ASA
Про
изво
дите
льно
сть
и м
асш
таби
руем
ость
ASA 5506WASA 5506-XASA 5506H
ASA 5508-X
ASA 5525-X
ASA 5545-X
ASA 5555-XASA 5585-X Series
ASA 5516-X
FP 9300
FP 4100 Series
SMB & филиалы
Предприятия &корпорации
ЦОДы, высокопроизводительныевычисления, операторы связи
От Cisco ASA к Cisco Firepower
Пишите на [email protected]
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/
CiscoRu Cisco CiscoRussia CiscoRu
Спасибо
© 2015 Cisco and/or its affiliates. All rights reserved.