Алексей Лукацкий (cisco) - Безопасность внутренней сети
TRANSCRIPT
1
Безопасность внутренней сети
Алексей ЛукацкийБизнес-консультант по безопасности, Cisco
2
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от
общего числа взломов
Взломы
осуществляются за
минуты
Обнаружение и
устранение
занимает недели и
месяцы
Периметр защищен, но инцидентов полно. Почему?
3
Проблемы с традиционной моделью «эшелонированной» безопасности на периметре
Слабая прозрачность
Многовекторные и
продвинутые угрозы
остаются
незамеченными
Точечные продукты
Высокая сложность,
меньшая
эффективность
Ручные и статические
механизмы
Медленный отклик,
ручное управление,
низкая
результативностьНаличие обходных
каналов
Мобильные устройства, Wi-
Fi, флешки, ActiveSync,
CD/DVD и т.п.
Скрытые каналы
Специально
создаваемые скрытые
каналы (covert channel)
для обхода СрЗИ
4
Архитектура современного предприятия
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический
центр Talos
Удаленные
устройства
Досту
п
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭБеспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
5
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
6
Высокая мотивация
киберкриминала
Изменение
бизнес-моделей
Динамичность
ландшафта угроз
Думать как хакер
© 2015 Cisco and/or its affiliates. All rights reserved. 6
7
Точечные и
статичные
решения
© 2015 Cisco and/or its affiliates. All rights reserved. 7
Фрагментация
Сложность
Требуют лишнего
управления
8
Локализовать
Вылечить
Устранить причины
Непрерыв-
ное
решение
© 2015 Cisco and/or its affiliates. All rights reserved. 8
Узнать
Применить политику
Усилить защиту
Идентифицировать
Блокировать
Отразить
9
От красивых слов к технологиям
ДОКонтроль
Применение
Усиление
ВО ВРЕМЯ ПОСЛЕОбнаружение
Блокирование
Защита
Видимость
Сдерживание
Устранение
Ландшафт угроз
Видимость и контекст
Firewall
App Control
VPN
Patch Mgmt
Vuln Mgmt
IAM/NAC
IPS
Anti-Virus
Email/Web
IDS
FPC
Forensics
AMD
Log Mgmt
SIEM
10
Какие проблемы мы должны решить во внутренней сети?
Единая политика доступа, привязанная к пользователям, а не устройствам
Разграничение доступа на
уровне сетевой инфраструктуры
Мониторинг подозрительной активности на уровне сети
Защита от угроз во внутренней
сети
Мониторинг беспроводного
эфира
Сквозная защита на уровне ЦОД,
периметра, удаленного
доступа и BYOD
11
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Software-Defined Segmentation based on business policy
Что такое единая политика на уровне сети?
Традиционная политика
Политика TrustSec
Источник
Назн
аче
ни
е
Политика поддерживается везде
Коммутатор Роутер VPN &
МСЭКоммутатор
ЦОД
Контроллер
Wi-Fi
Упрощение правил МСЭ, ACL и VLAN
Предотвращение скрытых угроз
Снижение затрат на перестройку архитектуры сети
12
Сервисы аутентификации
Сервисы авторизации
Управление жизненным циклом гостевого доступа
Сервисы профилирования
Сервисы оценки состояния
Доступ для групп безопасности
Identity Services
Engine
Упрощенное
управление
политиками
Мне нужно разрешать подключение к сети только
определенных пользователей и устройств
Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми сервисами
Мне нужно разрешить гостям доступ в сеть и управлять их настройками
Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD)
Мне нужно, чтобы в моей сети были чистые устройства
Мне необходим масштабируемый способ реализации политики доступа в сети
Реализация единой политики сетевого доступа
13
Аутентификация пользователей и устройств
Отличительные особенности
идентификации
Режим монитора
Гибкая последовательность аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных настольных
систем
Применение политик на порту коммутатора
Коммутатор Cisco Catalyst®
Web-аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по MAC-
адресам
Web-аутентификация
Сетевое устройство
802.1X
IP-телефоныАвторизо-ванные
пользователиГости
MAB и профилирование
Планшеты
14
Политика для
личного iPad
[ограниченный доступ]
Точка доступаПолитика для
принтера
[поместить в VLAN X]
Автоматическое распознавание и идентификация миллионов устройств
Принтер Личный iPadISE
CDP
LLDP
DHCPMAC-адрес
CDP
LLDP
DHCPMAC-адрес
ПРОФИЛИРОВАНИЕ УСТРОЙСТВДля проводных и беспроводных сетей
ПОЛИТИКА
Точка
доступа
СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO
СБОР ДАННЫХКоммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства
АВТОРИЗАЦИЯISE реализует доступ на основе политик для данного пользователя и устройства
Эффективная классификация
устройств с использованием
инфраструктуры
Решение
15
Оценка соответствия узлов требованиям политик ИТ и безопасности и корпоративным стандартам
Временный ограниченный доступ к
сети до устранения проблем
Пример политики для сотрудника
• Исправления и обновления Microsoft установлены
• Антивирус McAfee установлен, обновлен и работает
• Корпоративный ресурс проходит проверку
• Приложение предприятия выполняется
Проблема:
• Наличие сведений о работоспособности устройства
• Различие уровней контроля над устройствами
• Затраты на устранение проблем
Ценность:
• Временный (на web-основе) или постоянный агент
• Автоматическое устранение проблем
• Реализация дифференцированных политик на основе ролей
Пользователь проводной,
беспроводной,
виртуальной сети
Не соответствует
требованиям
16
Гостевые политики
Управление гостевым доступом
Гости
Web-аутентификация
Беспроводный или проводной доступ
Доступ только к Интернету
Выделение ресурсов:
гостевые учетные записи на
спонсорском портале
Уведомление:
сведения о гостевой учетной записи в
бумажном виде, по электронной почте
или SMS
Управление:
права спонсоров,
гостевые учетные записи и политики,
гостевой портал
Отчет:
по всем аспектам гостевых учетных
записей
Интернет
17
Как контролируется доступ в сети Cisco?!
Тип устройства
МестоположениеПользователь
Оценка Время Метод доступаПрочие атрибуты
18
Мониторинг активности внутри сети с помощью МСЭ/IPS
► Самый популярный межсетевой экран
ASA корпоративного класса с функцией
контроля состояния соединений
► Система гранулярного мониторинга и
контроля приложений (Cisco® AVC)
► Ведущая в отрасли система
предотвращения вторжений
следующего поколения (NGIPS) с
технологией FirePOWER
► Фильтрация URL-адресов на основе
репутации и классификации
► Система Advanced Malware Protection с
функциями ретроспективной защитыCisco ASA
VPN и политики
аутентификации
Фильтрация URL-
адресов
(по подписке)FireSIGHT
Аналитика и
автоматизация
Advanced Malware
Protection
(по подписке)
Мониторинг и
контроль
приложений
Межсетевой экран
Маршрутизация и
коммутация
Кластеризация и
высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное
профилирование
сети
Предотвращение
вторжений (по
подписке)
FW + NGFW + NGIPS + AMP + URL + SSL VPN + IPSec VPN
19
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное приложение обнаружено
Событие нарушения зафиксировано, пользователь
идентифицирован
Обнаружено нарушение политик
безопасности. Хост использует
Skype. Пользователь
идентифицирован, IT и HR
уведомлены.
IT & HRпровели с
пользователем работу
Идентификация приложений «на лету»
20
Гибкие политики работы с приложениями позволяют ограничить площадь для злоупотреблений
21
Создание «белых списков» / «списков соответствия»
• Разрешенные типы и версии ОС
• Разрешенные клиентские приложения
• Разрешенные Web-приложения
• Разрешенные протоколы транспортного и сетевого уровней
• Разрешенные адреса / диапазоны адресов
• И т.д.
22
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение зафиксировано,
уведомления отправлены
ITвосстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA
with FirePOWER обнаружил хост и
ненормальное поведение сервера в
ЦОД и уведомил IT.
Новый актив обнаружен
Поведение обнаружено
Обнаружение посторонних / аномалий / несоответствий
23
Встроенная система корреляции событий (без SIEM)
• Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных
• Приложения
• Уязвимости
• Протоколы
• Пользователи
• Операционные системы
• Производитель ОС
• Адреса
• Место в иерархии компании
• Статус узла и т.п.
24
TrustSec
Enabled
Enterprise
NetworkIdentity
Services Engine
NetFlow: Switches, Routers,и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое
понимание внутренней активности в сети
Телеметрия NetFlowCisco Switches, Routers и ASA 5500
Данные о контексте угрозыCisco Identity, устройства, статус, приложения
А если мы не можем везде поставить сенсоры?
25
Cyber Threat Defense
FlowCollector*
Management Console*
Управление
FlowReplicator
Другие анализаторы
CiscoISE
FlowSensor*
Netflow enableddevice
Не-Netlowустройство
NetFlow NetFlow
NetF
low
* Виртуальный или физический
26
Решаемые с помощью CTD задачи
• Обнаружение брешей в настройках МСЭ
• Обнаружение незащищенных коммуникаций
• Обнаружение P2P-трафика
• Обнаружение неавторизованной установки локального Web-сервера или точки доступа
• Обнаружение попыток несанкционированного доступа
• Обнаружение ботнетов (командных серверов)
• Обнаружение атак «отказ в обслуживании»
• Обнаружение инсайдеров
• Обнаружение скачивания / выкачивания больших объемов данных
• Расследование инцидентов
• Troubleshooting
27
Скачивание больших объемов данных
Ненормальные объемы данных
запрашиваются хостом
Политика
28
Выкачивание больших объемов данных
Передача ненормальных объемов данных во
внешний мир
Политика
29
Анализ NetFlow, но с привязкой к пользователям
• За счет интеграции Cyber Threat Defense (CTD) с Identity Service Engine возможно получение контекста (имени пользователя, типа устройства и т.п.)
Политика Время
старта
Тревога Источник Группа хостов
источника
Имя пользователя Тип устройства Цель
Desktops &
Trusted
Wireless
Янв 3, 2013 Вероятная
утечка данных
10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество
хостов
30
Идентификация и блокирование посторонних беспроводных устройств в Cisco
• Само мобильное устройство не может сказать, что оно «чужое»
• Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного
• Wireless Controller / Wireless Adaptive IPS / Wireless Location Services помогают контролировать беспроводной эфир
• Все это часть функционала платформы Mobility Services Engine
31
Хорошо, мы видим, что происходит…
Сетевыесервера
ОС
Рутера и свитчи
Мобильныеустройства
Принтеры
VoIP телефоны
Виртуальныемашины
Клиентскиеприложения
Файлы
Пользователи
Web приложения
Прикладныепротоколы
Сервисы
ВредоносноеПО
Серверауправленияботнетами
Уязвимости
NetFlow
Сетевоеповедение
Процессы
32
?
но как контролировать угрозы во внутренней сети?
33
Обнаружить, понять и остановить угрозу
?
Аналитика иисследования
угроз
Угрозаопределена
История событий
Как
Что
Кто
Где
Когда
Контекст
Записано
Блокирование
34
И провести расследование инцидентов
Как
Что
Кто
Где
Когда
Аналитика иисследования
угроз
История событий
Непрерывный анализКонтекст Блокирование
35
MAC
Выделенные
устройства
IPS
ПК
Cloud Web Security
& Hosted Email
SaaSWeb & Email Security
Appliances
Мобильные устройства МСЭ
Комплексная защита от вредоносного кода
36
Cisco Collective Security Intelligence
Point-in-Time Protection Continuous Protection
File Reputation & Behavioral Detection
Unique to Cisco AMP
Retrospective Security
Защита с помощью репутационной фильтрации и поведенческого анализа
Репутационная фильтрация Поведенческий анализ
Динамический
анализ
Машинное
обучениеНечеткие
отпечатки
Продвинутая
аналитикаТочная
сигнатура
Индикаторы
компрометации
Корреляция
потоков
37
Управление инцидентами
Кто
Что
Где
Когда
Как
Сфокусируйтесь
сначала на этих
пользователях
Эти приложения
пострадали
Взлом затронул эти
области сети
Такова картина
атака с течением
времени
Это источник
угрозы и путь ее
распространения
38
Анализ траектории вредоносного кода
• Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло?
• Что еще произошло?
• С кем взаимодействовал пострадавший?
39
Признаки (индикаторы) компрометации. Вариант 1
События СОВ
Бэкдоры
Подключения к серверам
управления и контроля ботнетов
Наборы эксплойтовПолучение
администраторских полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP
серверов управления и
контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
40
Признаки (индикаторы) компрометации. Вариант 2
4
0
Зачастую нет возможности установить сенсоры IDS/IPS в сети
При этом в сети всегда есть сетевое оборудование
Коммутаторы и маршрутизаторы
Превратите сеть в сенсор системы обнаружения аномалий и расследования инцидентов
41
В качестве заключения
• Обнаружение внутренних угроз должно начинаться с разграничения доступа на уровне сети, а не только на уровне узлов
• Для снижение числа внутренних угроз необходимо ограничивать и контролировать работу приложений
• Принцип «белых списков» может быть и должен быть реализован не только с помощью агентов на узлах, но и на уровне сети
• Сетевое оборудование уже имеет всю необходимую информацию для обнаружения внутренних угроз
• Эффективное обнаружение внутренних угроз подразумевает интеграцию разбросанных по сети систем в единый комплекс, позволяющий обнаруживать то, что по отдельности не отслеживается
42