Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты с Cisco Сyber Threat Defense Андрей Москвитин Эксперт по решениям информационной безопасности [email protected] 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. Неуязвимых компаний не бывает Серьезные компании с умными людьми. Все были скомпрометированы 60% данных похищается за несколько часов 54% компрометаций остаются незамеченными месяцами Ваша сеть УЖЕ заражена Осталось понять где именно 100% организаций подключаются к доменам, содержащим вредоносные файлы или службы Атаки проходят не только через периметр Devices Access Distribution Edge Branch Mobile Provider Campus USB Internet Security Inspection Device X Firewal l Data Center Remote Access Про многие устройства Вы даже не знаете Android Routers and Switches Apple Printer Phones Linux Internet of Things Jonathan Brossard (CEO at Toucan System) 5 http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext Место CTD в модели безопасности Cisco Control Enforce Harden Detect Block Defend Network Behavior Analysis Cyber Threat Defense (CTD) Scope Contain Remediate Время – деньги и нервы Стоимость инцидента Устранение уязвимости Обнаружение * CRISIS REGION КРИЗИС Кража критичных данных ВЫИГРАННОЕ ВРЕМЯ * * * * Пресечение Обнаружение Начало атаки * * Оповещение * Время Устранение уязвимости Что объединяет всех? Источники всех данных Маршрутизация всех запросов Управление всеми устройствами СЕТЬ Контроль всех потоков Контроль всех данных Видимость всего трафика 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. Контроль всех пользователей 8 Сеть как сенсор NetFlow можно взять из всех важных точек Не везде есть IPS, но везде есть NetFlow C B A B A C A B C Возможности CTD Обнаружение сканирований и DDoS Предотвращение утечек данных Обнаружение компьютеровзомби и червей и ещё десятки шаблонов атак Локализация эпидемий Расследование инцидентов Проверка как работает защита НА САМОМ ДЕЛЕ Обнаружение серверов P2P, VPN, прокси и пр. Возможности CTD (ч.2) Профилирование хостов и приложений Анализ структуры трафика Troubleshooting маршрутизации и QoS Какие хосты и пользователи генерят больше всего трафика Визуализация карты сервисов, инцидентов и т.д. Анализ top conversations Мониторинг приложений и сервисов Не забывайте про возможности инфраструктуры Router DSCP Marking, ACL, Rate Limit, Policy Based Routing, Packet Capture Dynamic VLAN Assignment , Private VLAN Enforcement Packet Capture, VACL Switch ACL, Private VLAN Enforcement Packet Capture Firewall Malware Isolation, Packet Drop, File Extraction IPS Dynamic Segmentation, CoA, Security Tagging, Dynamic Access Control List ISE Система обнаружения сетевых вторжений • На основе сигнатур • Пассивный сбор • Первичный источник оповещения Анализ сетевых потоков • Не может блокировать самостоятельно • Основной инструмент расследования • Быстрое внедрение • Сравнительно низкая стоимость SIEM/Syslog • Инструмент глубокого анализа • Возможность фильтрации • Не может блокировать самостоятельно DEMO TIME! 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 17 Архитектура Cyber Threat Defense StealthWatch Management Console Другие коллекторы https https Cisco ISE StealthWatch FlowCollector StealthWatch FlowReplicator NetFlow + jFlow, sFlow, PAN AppID и др. NetFlow NBAR До 25 коллекторов на SMC До 3 миллионов потоков/сек NSEL StealthWatch FlowSensor Cisco Network StealthWatch FlowSensor VE Users/Devices CTD 2.0 – возможные точки роста Основные компоненты CTD Продукты Lancope StealthWatch (SMC, FlowCollector, FlowSensor, FlowReplicator) Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3 ISE pxGrid API Sourcefire NGIPS (FirePOWER, FireSIGHT) Sourcefire AMP (network, endpoints, ESA, WSA) Cloud Web Security Premium (с CTA, AMP) Протестированные платформы Cisco ISR G2 ASR 1000 Catalyst 3560-X/3750-X, 3850, 3650 Catalyst 2960-X (NetFlow Lite) Catalyst 4500 Sup 7, Sup 8 Catalyst 6500 Sup 2T ASA 5500-X with FirePOWER Services NetFlow Generation Appliance (NGA) Вот-вот выйдет CVD для CTD 2.0 Новые категории предупреждений Exfiltration: Хост передает ненормальное количество данных (EXI points) Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points) Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points) Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети Target Index: Показывает хосты, которые являются жертвами атаки (TI points) Новый веб-интерфейс Active Alarms Alarms Top Applications Flow collection trend Хост Информация о хосте Группы хостов Потоки Активность и приложения Оповещения Пользователи Информация о пользователе Пользователь Детали из AD Оповещения Устройства и сессии Необычно большое количество входящих Необычно большое количество входящих Подозрительно долгие соединения Долгие IP-соединения между внутренними и внешними зонами в одном или обоих направлениях смалым количесвом переданных данных Собственные политики (Custom events) Условия по партнёрам Условия по группам/ приложениям Условия по времени Условия соединения Когда использовать Custom Events High Level Use cases: • Проверка политик и работы средств защиты • Поиск заведомо плохого трафика Примеры: • Признаки компрометации актуальные для данной среды • Поиск нелегальных серверов • Подозрительные логины, например Remote VPN из Китая • Сложные условия, например длинные сессии с большим объёмом трафика Анализ потоков по запросу Время Партнёры Условия поиска Детали сессии Запрос Результаты запроса по потокам Быстрый просмотр потоков Кто Что Где Когда Ещё больше деталей Как Кто Место CTD в модели безопасности Cisco Жизненный цикл атаки ВО ВРЕМЯ ДО Исследование Внедрение политик Укрепление ПОСЛЕ Локализация Изолирование Восстановление Обнаружение Блокирование Защита Идентификация разведывательной деятельности Блокирование известных угроз Обнаружение скрытых C&C Отслеживание распространение вредоносного ПО внутри сети Предотвращение утечек данных Непрерывный мониторинг активов и активности Подумайте о пилотном внедрении Результаты в КАЖДОМ внедрении Обнаружение компьютеров-зомби и червей Профилирование трафика и приложений Инвентаризация хостов Нелегальные серверы VPN, прокси, Р2Р-трафик Что нужно ВМ с временными лицензиями Настроить NetFlow и SPAN Один-два дня на установку Ждем ваших сообщений с хештегом #CiscoConnectRu Спасибо [email protected] CiscoRu 25.11.2014 Cisco © 2014 Cisco and/or its affiliates. All rights reserved. CiscoRussia Код доклада 5259 Пожалуйста, заполните анкеты Это очень важно для нас 25.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. Консоль управления CTD Крупным планом Детальная статистика о всех атаках, обнаруженных в сети Обнаружение разных типов атак, включая DDoS Визуализация по разным срезам Визуализация по разным срезам Cisco CTD: обнаружение атак без сигнатур Высокий Concern Index показывает значительное количество подозрительных событий Группа узлов Desktops Узел CI 10.10.101.118 338,137,280 CI% Тревога Предупреждения 8,656 % High Concern index Ping, Ping_Scan, TCP_Scan Слежение за активностью как одного узла, так и группы узлов Cisco CTD: обнаружение атак без сигнатур Что делает 10.10.101.89? Политика Время начала Тревога Источник Source Host Groups Цель Детали Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Множество хостов Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб Предустановленные политики Предполагаемая утечка данных Слишком высокий показатель совместного использования файлов Достигнуто максимальное количество обслуженных потоков Получение контекста от Cisco ISE Политика Время старта Тревога Источник Группа хостов источника Имя пользователя Тип устройства Цель Desktops & Trusted Wireless Янв 3, 2013 Вероятная утечка данных 10.10.101.89 Атланта, Десктопы Джон Смит Apple-iPad Множество хостов Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD) Карта эпидемии Третичное заражение Вторичное заражение «Нулевой пациент» Получение контекста от Cisco ASA / ISR / ASR Поле Flow Action может добавить дополнительный контекст NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях Расследование инцидентов Когда? Участник Участник Каким образом? Сколько? Запрос интересующей информации Выберите узел для исследования Поиск исходящего трафика Результаты запроса Сервер, DNS и страна Тип трафика и объем Типы NetFlow Sampled • Маленькое подмножество трафика, менее 5%, собирается и используется для генерирования телеметрии. Дает покадровый обзор активности в сети, похоже на чтение книги, просматривая каждую 100-ю страницу. Unsampled • Телеметрия генерируется всем трафиком, при этом получается общая картина активности в сети. Индивидуальная, скрытая картина новых угроз требует полной информации о трафике в сети. Только коммутаторы Cisco Catalyst могут дать информацию Unsampled NetFlow на полной скорости без влияния на производительность CTD 2.0 Story Line / Use case Campus Data Center Identification of command & control Visibility into all host-tohost communication Protection from known exploits Detection of data theft activity Policy Audit Detection of suspicious activity Branch Identification of internal threats Identification of malicious files • • • Policy enforcement Deep Contextual Visibility File trajectory Heightened relevance of known threats • • Broad Visibility Signals Intelligence Blocking of known malicious files Introduction to NetFlow Source Destination NetFlow Generator 1 Source IP Address 2 Destination IP Address Source Port NetFlow Key Fields Destination Port Flow Information Address, ports... Layer 3 Protocol ... TOS byte (DSCP) Input Interface NetFlow Cache 3 StealthWatch FlowCollector Packets 11000 Bytes/packet 1528 Configuring Flexible NetFlow Well, this seems simple. 1. Configure the Exporter Router(config)# flow exporter my-exporter Where do I want my data sent? Router(config-flow-exporter)# destination 1.1.1.1 Best Practice: include all v5 fields 2. Configure the Flow Record Router(config)# flow record my-record Router(config-flow-record)# match ipv4 destination address What data do I want to meter? Router(config-flow-record)# match ipv4 source address Router(config-flow-record)# collect counter bytes 3. Configure the Flow Monitor Router(config)# flow monitor my-monitor How do I want to cache information Router(config-flow-monitor)# exporter my-exporter Router(config-flow-monitor)# record my-record 4. Apply to an Interface Router(config)# interface s3/0 Which interface do I want to monitor? Router(config-if)# ip flow monitor my-monitor input Uni-directional flow records eth0/2 eth0/1 NetFlow Collection: Flow Stitching 10.2.2.2 port 1024 Start Time Interface 10.1.1.1 port 80 Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Server Pkts Bytes Interfaces 10:20:12.221 10.2.2.2 10.1.1.1 80 TCP 1025 5 28712 eth0/1 eth0/2 1024 Bi-directional: • Conversation flow record • Allows easy visualization and analysis 17 NetFlow Collection: De-duplication Duplicates Router A: 10.2.2.2:1024 -> 10.1.1.1:80 Router B: 10.2.2.2:1024 -> 10.1.1.1:80 Router C: 10.1.1.1:80 -> 10.2.2.2:1024 10.1.1.1 port 80 Router B Router C Router A • Without de-duplication • Traffic volume can be misreported • False positives would occur • Allows for the efficient storage of flow data • Necessary for accurate host-level reporting • Does not discard data 10.2.2.2 port 1024 Conversational Flow Record Who What Really cool! How Who More context Where When • • Highly scalable (enterprise class) collection High compression => long term storage • Months of data retention