1

Безопасность внутренней сети

Алексей ЛукацкийБизнес-консультант по безопасности, Cisco

2

Источник: 2012 Verizon Data Breach Investigations Report

От компрометации до утечки

От атаки до компрометации

От утечки до обнаружения

От обнаружения до локализации и

устранения

Секунды Минуты Часы Дни Недели Месяцы Годы

10%

8%

0%

0%

75%

38%

0%

1%

12%

14%

2%

9%

2%

25%

13%

32%

0%

8%

29%

38%

1%

8%

54%

17%

1%

0%

2%

4%

Временная шкала событий в % от

общего числа взломов

Взломы

осуществляются за

минуты

Обнаружение и

устранение

занимает недели и

месяцы

Периметр защищен, но инцидентов полно. Почему?

3

Проблемы с традиционной моделью «эшелонированной» безопасности на периметре

Слабая прозрачность

Многовекторные и

продвинутые угрозы

остаются

незамеченными

Точечные продукты

Высокая сложность,

меньшая

эффективность

Ручные и статические

механизмы

Медленный отклик,

ручное управление,

низкая

результативностьНаличие обходных

каналов

Мобильные устройства, Wi-

Fi, флешки, ActiveSync,

CD/DVD и т.п.

Скрытые каналы

Специально

создаваемые скрытые

каналы (covert channel)

для обхода СрЗИ

4

Архитектура современного предприятия

Малый и средний бизнес, филиалы

Кампус Центр обработки данных

Интернет

ASA

ISR

IPS

ASA

Почта

Веб ISE

Active

Directory

Беспроводная

сеть

Коммутатор

Маршрутизатор

Контент Политика

Интегрированные сервисы ISR-G2

CSM

ASA

ASAv ASAvASAv ASAv

Гипервизор

Виртуальный ЦОД

Физический ЦОД

Аналитический

центр Talos

Удаленные

устройства

Досту

п

Облачный

шлюз

безопасности

Облачный

шлюз

безопасности

Матрица

ASA, (сеть

SDN)

АСУ ТП

CTD

IDS RA

МСЭБеспроводная

сеть

Коммутатор

Маршрутизатор

СегментацияМониторинг

5

Пора задуматься о смене стратегии

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5

6

Высокая мотивация

киберкриминала

Изменение

бизнес-моделей

Динамичность

ландшафта угроз

Думать как хакер

© 2015 Cisco and/or its affiliates. All rights reserved. 6

7

Точечные и

статичные

решения

© 2015 Cisco and/or its affiliates. All rights reserved. 7

Фрагментация

Сложность

Требуют лишнего

управления

8

Локализовать

Вылечить

Устранить причины

Непрерыв-

ное

решение

© 2015 Cisco and/or its affiliates. All rights reserved. 8

Узнать

Применить политику

Усилить защиту

Идентифицировать

Блокировать

Отразить

9

От красивых слов к технологиям

ДОКонтроль

Применение

Усиление

ВО ВРЕМЯ ПОСЛЕОбнаружение

Блокирование

Защита

Видимость

Сдерживание

Устранение

Ландшафт угроз

Видимость и контекст

Firewall

App Control

VPN

Patch Mgmt

Vuln Mgmt

IAM/NAC

IPS

Anti-Virus

Email/Web

IDS

FPC

Forensics

AMD

Log Mgmt

SIEM

10

Какие проблемы мы должны решить во внутренней сети?

Единая политика доступа, привязанная к пользователям, а не устройствам

Разграничение доступа на

уровне сетевой инфраструктуры

Мониторинг подозрительной активности на уровне сети

Защита от угроз во внутренней

сети

Мониторинг беспроводного

эфира

Сквозная защита на уровне ЦОД,

периметра, удаленного

доступа и BYOD

11

access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467

Software-Defined Segmentation based on business policy

Что такое единая политика на уровне сети?

Традиционная политика

Политика TrustSec

Источник

Назн

аче

ни

е

Политика поддерживается везде

Коммутатор Роутер VPN &

МСЭКоммутатор

ЦОД

Контроллер

Wi-Fi

Упрощение правил МСЭ, ACL и VLAN

Предотвращение скрытых угроз

Снижение затрат на перестройку архитектуры сети

12

Сервисы аутентификации

Сервисы авторизации

Управление жизненным циклом гостевого доступа

Сервисы профилирования

Сервисы оценки состояния

Доступ для групп безопасности

Identity Services

Engine

Упрощенное

управление

политиками

Мне нужно разрешать подключение к сети только

определенных пользователей и устройств

Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми сервисами

Мне нужно разрешить гостям доступ в сеть и управлять их настройками

Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD)

Мне нужно, чтобы в моей сети были чистые устройства

Мне необходим масштабируемый способ реализации политики доступа в сети

Реализация единой политики сетевого доступа

13

Аутентификация пользователей и устройств

Отличительные особенности

идентификации

Режим монитора

Гибкая последовательность аутентификации

Поддержка IP-телефонии

Поддержка сред виртуальных настольных

систем

Применение политик на порту коммутатора

Коммутатор Cisco Catalyst®

Web-аутентификация

Функции аутентификации

IEEE 802.1x Обход аутентификации по MAC-

адресам

Web-аутентификация

Сетевое устройство

802.1X

IP-телефоныАвторизо-ванные

пользователиГости

MAB и профилирование

Планшеты

14

Политика для

личного iPad

[ограниченный доступ]

Точка доступаПолитика для

принтера

[поместить в VLAN X]

Автоматическое распознавание и идентификация миллионов устройств

Принтер Личный iPadISE

CDP

LLDP

DHCPMAC-адрес

CDP

LLDP

DHCPMAC-адрес

ПРОФИЛИРОВАНИЕ УСТРОЙСТВДля проводных и беспроводных сетей

ПОЛИТИКА

Точка

доступа

СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO

СБОР ДАННЫХКоммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE

КЛАССИФИКАЦИЯISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства

АВТОРИЗАЦИЯISE реализует доступ на основе политик для данного пользователя и устройства

Эффективная классификация

устройств с использованием

инфраструктуры

Решение

15

Оценка соответствия узлов требованиям политик ИТ и безопасности и корпоративным стандартам

Временный ограниченный доступ к

сети до устранения проблем

Пример политики для сотрудника

• Исправления и обновления Microsoft установлены

• Антивирус McAfee установлен, обновлен и работает

• Корпоративный ресурс проходит проверку

• Приложение предприятия выполняется

Проблема:

• Наличие сведений о работоспособности устройства

• Различие уровней контроля над устройствами

• Затраты на устранение проблем

Ценность:

• Временный (на web-основе) или постоянный агент

• Автоматическое устранение проблем

• Реализация дифференцированных политик на основе ролей

Пользователь проводной,

беспроводной,

виртуальной сети

Не соответствует

требованиям

16

Гостевые политики

Управление гостевым доступом

Гости

Web-аутентификация

Беспроводный или проводной доступ

Доступ только к Интернету

Выделение ресурсов:

гостевые учетные записи на

спонсорском портале

Уведомление:

сведения о гостевой учетной записи в

бумажном виде, по электронной почте

или SMS

Управление:

права спонсоров,

гостевые учетные записи и политики,

гостевой портал

Отчет:

по всем аспектам гостевых учетных

записей

Интернет

17

Как контролируется доступ в сети Cisco?!

Тип устройства

МестоположениеПользователь

Оценка Время Метод доступаПрочие атрибуты

18

Мониторинг активности внутри сети с помощью МСЭ/IPS

► Самый популярный межсетевой экран

ASA корпоративного класса с функцией

контроля состояния соединений

► Система гранулярного мониторинга и

контроля приложений (Cisco® AVC)

► Ведущая в отрасли система

предотвращения вторжений

следующего поколения (NGIPS) с

технологией FirePOWER

► Фильтрация URL-адресов на основе

репутации и классификации

► Система Advanced Malware Protection с

функциями ретроспективной защитыCisco ASA

VPN и политики

аутентификации

Фильтрация URL-

адресов

(по подписке)FireSIGHT

Аналитика и

автоматизация

Advanced Malware

Protection

(по подписке)

Мониторинг и

контроль

приложений

Межсетевой экран

Маршрутизация и

коммутация

Кластеризация и

высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI

Встроенное

профилирование

сети

Предотвращение

вторжений (по

подписке)

FW + NGFW + NGIPS + AMP + URL + SSL VPN + IPSec VPN

19

3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

P2P запрещенное приложение обнаружено

Событие нарушения зафиксировано, пользователь

идентифицирован

Обнаружено нарушение политик

безопасности. Хост использует

Skype. Пользователь

идентифицирован, IT и HR

уведомлены.

IT & HRпровели с

пользователем работу

Идентификация приложений «на лету»

20

Гибкие политики работы с приложениями позволяют ограничить площадь для злоупотреблений

21

Создание «белых списков» / «списков соответствия»

• Разрешенные типы и версии ОС

• Разрешенные клиентские приложения

• Разрешенные Web-приложения

• Разрешенные протоколы транспортного и сетевого уровней

• Разрешенные адреса / диапазоны адресов

• И т.д.

22

3D SENSOR

3D SENSOR

3D SENSOR

DEFENSE CENTER

3D SENSOR

Поведение зафиксировано,

уведомления отправлены

ITвосстановили

активы

Хосты скомпрометированы

Новый хост включился в LAN. ASA

with FirePOWER обнаружил хост и

ненормальное поведение сервера в

ЦОД и уведомил IT.

Новый актив обнаружен

Поведение обнаружено

Обнаружение посторонних / аномалий / несоответствий

23

Встроенная система корреляции событий (без SIEM)

• Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных

• Приложения

• Уязвимости

• Протоколы

• Пользователи

• Операционные системы

• Производитель ОС

• Адреса

• Место в иерархии компании

• Статус узла и т.п.

24

TrustSec

Enabled

Enterprise

NetworkIdentity

Services Engine

NetFlow: Switches, Routers,и ASA 5500

Контекст: NBAR/AVC

Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое

понимание внутренней активности в сети

Телеметрия NetFlowCisco Switches, Routers и ASA 5500

Данные о контексте угрозыCisco Identity, устройства, статус, приложения

А если мы не можем везде поставить сенсоры?

25

Cyber Threat Defense

FlowCollector*

Management Console*

Управление

FlowReplicator

Другие анализаторы

CiscoISE

FlowSensor*

Netflow enableddevice

Не-Netlowустройство

NetFlow NetFlow

NetF

low

* Виртуальный или физический

26

Решаемые с помощью CTD задачи

• Обнаружение брешей в настройках МСЭ

• Обнаружение незащищенных коммуникаций

• Обнаружение P2P-трафика

• Обнаружение неавторизованной установки локального Web-сервера или точки доступа

• Обнаружение попыток несанкционированного доступа

• Обнаружение ботнетов (командных серверов)

• Обнаружение атак «отказ в обслуживании»

• Обнаружение инсайдеров

• Обнаружение скачивания / выкачивания больших объемов данных

• Расследование инцидентов

• Troubleshooting

27

Скачивание больших объемов данных

Ненормальные объемы данных

запрашиваются хостом

Политика

28

Выкачивание больших объемов данных

Передача ненормальных объемов данных во

внешний мир

Политика

29

Анализ NetFlow, но с привязкой к пользователям

• За счет интеграции Cyber Threat Defense (CTD) с Identity Service Engine возможно получение контекста (имени пользователя, типа устройства и т.п.)

Политика Время

старта

Тревога Источник Группа хостов

источника

Имя пользователя Тип устройства Цель

Desktops &

Trusted

Wireless

Янв 3, 2013 Вероятная

утечка данных

10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество

хостов

30

Идентификация и блокирование посторонних беспроводных устройств в Cisco

• Само мобильное устройство не может сказать, что оно «чужое»

• Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного

• Wireless Controller / Wireless Adaptive IPS / Wireless Location Services помогают контролировать беспроводной эфир

• Все это часть функционала платформы Mobility Services Engine

31

Хорошо, мы видим, что происходит…

Сетевыесервера

ОС

Рутера и свитчи

Мобильныеустройства

Принтеры

VoIP телефоны

Виртуальныемашины

Клиентскиеприложения

Файлы

Пользователи

Web приложения

Прикладныепротоколы

Сервисы

ВредоносноеПО

Серверауправленияботнетами

Уязвимости

NetFlow

Сетевоеповедение

Процессы

32

?

но как контролировать угрозы во внутренней сети?

33

Обнаружить, понять и остановить угрозу

?

Аналитика иисследования

угроз

Угрозаопределена

История событий

Как

Что

Кто

Где

Когда

Контекст

Записано

Блокирование

34

И провести расследование инцидентов

Как

Что

Кто

Где

Когда

Аналитика иисследования

угроз

История событий

Непрерывный анализКонтекст Блокирование

35

MAC

Выделенные

устройства

IPS

ПК

Cloud Web Security

& Hosted Email

SaaSWeb & Email Security

Appliances

Мобильные устройства МСЭ

Комплексная защита от вредоносного кода

36

Cisco Collective Security Intelligence

Point-in-Time Protection Continuous Protection

File Reputation & Behavioral Detection

Unique to Cisco AMP

Retrospective Security

Защита с помощью репутационной фильтрации и поведенческого анализа

Репутационная фильтрация Поведенческий анализ

Динамический

анализ

Машинное

обучениеНечеткие

отпечатки

Продвинутая

аналитикаТочная

сигнатура

Индикаторы

компрометации

Корреляция

потоков

37

Управление инцидентами

Кто

Что

Где

Когда

Как

Сфокусируйтесь

сначала на этих

пользователях

Эти приложения

пострадали

Взлом затронул эти

области сети

Такова картина

атака с течением

времени

Это источник

угрозы и путь ее

распространения

38

Анализ траектории вредоносного кода

• Какие системы были инфицированы?

• Кто был инфицирован?

• Когда это произошло?

• Какой процесс был отправной точкой?

• Почему это произошло?

• Что еще произошло?

• С кем взаимодействовал пострадавший?

39

Признаки (индикаторы) компрометации. Вариант 1

События СОВ

Бэкдоры

Подключения к серверам

управления и контроля ботнетов

Наборы эксплойтовПолучение

администраторских полномочий

Атаки на веб-приложения

События анализа ИБ

Подключения к известным IP

серверов управления и

контроля ботнетов

События, связанные с вредоносным кодом

Обнаружение вредоносного кода

Выполнение вредоносного кода

Компрометация Office/PDF/Java

Обнаружение дроппера

40

Признаки (индикаторы) компрометации. Вариант 2

4

0

Зачастую нет возможности установить сенсоры IDS/IPS в сети

При этом в сети всегда есть сетевое оборудование

Коммутаторы и маршрутизаторы

Превратите сеть в сенсор системы обнаружения аномалий и расследования инцидентов

41

В качестве заключения

• Обнаружение внутренних угроз должно начинаться с разграничения доступа на уровне сети, а не только на уровне узлов

• Для снижение числа внутренних угроз необходимо ограничивать и контролировать работу приложений

• Принцип «белых списков» может быть и должен быть реализован не только с помощью агентов на узлах, но и на уровне сети

• Сетевое оборудование уже имеет всю необходимую информацию для обнаружения внутренних угроз

• Эффективное обнаружение внутренних угроз подразумевает интеграцию разбросанных по сети систем в единый комплекс, позволяющий обнаруживать то, что по отдельности не отслеживается

42