Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на

Мониторинг аномалий и эпидемий с
помощью NetFlow и реагирование на
инциденты с Cisco Сyber Threat Defense
Андрей Москвитин
Эксперт по решениям информационной безопасности
[email protected]
25.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Неуязвимых компаний не бывает
Серьезные компании с умными людьми.
Все были скомпрометированы
60%
данных
похищается за
несколько
часов
54%
компрометаций
остаются незамеченными
месяцами
Ваша сеть УЖЕ заражена
Осталось понять где именно
100%
организаций подключаются
к доменам, содержащим
вредоносные файлы
или службы
Атаки проходят не только через периметр
Devices
Access
Distribution
Edge
Branch
Mobile
Provider
Campus
USB
Internet
Security
Inspection
Device X
Firewal
l
Data Center
Remote
Access
Про многие устройства Вы даже не знаете
Android
Routers and Switches
Apple
Printer
Phones
Linux
Internet of Things
Jonathan Brossard (CEO at Toucan System)
5
http://www.slideshare.net/endrazine/h2hc-2013-sandboxing-is-the-shit#btnNext
Место CTD в модели безопасности Cisco
Control
Enforce
Harden
Detect
Block
Defend
Network Behavior Analysis
Cyber Threat Defense (CTD)
Scope
Contain
Remediate
Время – деньги и нервы
Стоимость инцидента
Устранение уязвимости
Обнаружение
*
CRISIS
REGION
КРИЗИС
Кража критичных данных
ВЫИГРАННОЕ
ВРЕМЯ
*
*
*
*
Пресечение
Обнаружение
Начало атаки
*
*
Оповещение
*
Время
Устранение
уязвимости
Что объединяет всех?
Источники всех данных
Маршрутизация всех запросов
Управление всеми устройствами
СЕТЬ
Контроль всех потоков
Контроль всех данных
Видимость всего трафика
25.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Контроль всех пользователей
8
Сеть как сенсор
NetFlow можно взять из всех важных точек
Не везде есть IPS, но везде есть NetFlow
C
B
A
B
A
C
A
B
C
Возможности CTD
Обнаружение
сканирований и
DDoS
Предотвращение
утечек данных
Обнаружение
компьютеровзомби и червей
и ещё десятки
шаблонов атак
Локализация
эпидемий
Расследование
инцидентов
Проверка как
работает защита
НА САМОМ
ДЕЛЕ
Обнаружение
серверов P2P,
VPN, прокси и
пр.
Возможности CTD (ч.2)
Профилирование
хостов и
приложений
Анализ
структуры
трафика
Troubleshooting
маршрутизации и
QoS
Какие хосты и
пользователи
генерят больше
всего трафика
Визуализация карты сервисов,
инцидентов и т.д.
Анализ top
conversations
Мониторинг
приложений и
сервисов
Не забывайте про возможности инфраструктуры
Router
DSCP Marking, ACL, Rate Limit, Policy Based Routing,
Packet Capture
Dynamic VLAN Assignment , Private VLAN Enforcement
Packet Capture, VACL
Switch
ACL, Private VLAN Enforcement
Packet Capture
Firewall
Malware Isolation, Packet Drop, File Extraction
IPS
Dynamic Segmentation, CoA, Security Tagging,
Dynamic Access Control List
ISE
Система обнаружения
сетевых вторжений
• На основе сигнатур
• Пассивный сбор
• Первичный источник
оповещения
Анализ сетевых потоков
• Не может блокировать
самостоятельно
• Основной инструмент
расследования
• Быстрое внедрение
• Сравнительно низкая стоимость
SIEM/Syslog
• Инструмент глубокого анализа
• Возможность фильтрации
• Не может блокировать
самостоятельно
DEMO TIME!
25.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
17
Архитектура Cyber Threat Defense
StealthWatch
Management
Console
Другие
коллекторы
https
https
Cisco
ISE
StealthWatch
FlowCollector
StealthWatch
FlowReplicator
NetFlow
+ jFlow, sFlow,
PAN AppID и др.
NetFlow
NBAR
До 25 коллекторов на SMC
До 3 миллионов потоков/сек
NSEL
StealthWatch
FlowSensor
Cisco Network
StealthWatch
FlowSensor
VE
Users/Devices
CTD 2.0 – возможные точки роста
Основные компоненты CTD
 Продукты Lancope StealthWatch (SMC,
FlowCollector, FlowSensor, FlowReplicator)
 Интеграция с Cisco Identity Services Engine
(ISE) v1.2, v1.3
 ISE pxGrid API
 Sourcefire NGIPS (FirePOWER, FireSIGHT)
 Sourcefire AMP (network, endpoints, ESA,
WSA)
 Cloud Web Security Premium (с CTA, AMP)
Протестированные
платформы Cisco
 ISR G2
 ASR 1000
 Catalyst 3560-X/3750-X, 3850, 3650
 Catalyst 2960-X (NetFlow Lite)
 Catalyst 4500 Sup 7, Sup 8
 Catalyst 6500 Sup 2T
 ASA 5500-X with FirePOWER Services
 NetFlow Generation Appliance (NGA)
Вот-вот выйдет CVD для CTD 2.0
Новые категории предупреждений
Exfiltration: Хост передает ненормальное
количество данных (EXI points)
Command and Control: Показывает на существование в
вашей сети бот-сервера или хосты успешно связываются
с C&C серверами (C&C points)
Policy Violation: Хосты нарушают
предопределенные политики в сети (PVI points)
Concern Index: Показывает хосты, которые,
возможно, нарушают целостность сети
Target Index: Показывает хосты, которые являются
жертвами атаки (TI points)
Новый веб-интерфейс
Active Alarms
Alarms
Top
Applications
Flow collection
trend
Хост
Информация о хосте
Группы хостов
Потоки
Активность и
приложения
Оповещения
Пользователи
Информация о пользователе
Пользователь
Детали из AD
Оповещения
Устройства
и сессии
Необычно большое количество входящих
Необычно большое количество входящих
Подозрительно долгие соединения
Долгие IP-соединения между внутренними и внешними зонами в одном или обоих
направлениях смалым количесвом переданных данных
Собственные политики (Custom events)
Условия по
партнёрам
Условия по
группам/
приложениям
Условия по
времени
Условия
соединения
Когда использовать Custom Events
High Level Use cases:
• Проверка политик и работы средств защиты
• Поиск заведомо плохого трафика
Примеры:
• Признаки компрометации актуальные для данной среды
• Поиск нелегальных серверов
• Подозрительные логины, например Remote VPN из Китая
• Сложные условия, например длинные сессии с большим
объёмом трафика
Анализ потоков по запросу
Время
Партнёры
Условия поиска
Детали
сессии
Запрос
Результаты запроса по потокам
Быстрый просмотр потоков
Кто
Что
Где
Когда
Ещё больше деталей
Как
Кто
Место CTD в модели безопасности Cisco
Жизненный цикл атаки
ВО
ВРЕМЯ
ДО
Исследование
Внедрение
политик
Укрепление
ПОСЛЕ
Локализация
Изолирование
Восстановление
Обнаружение
Блокирование
Защита

Идентификация
разведывательной
деятельности

Блокирование известных угроз

Обнаружение скрытых C&C

Отслеживание распространение
вредоносного ПО внутри сети

Предотвращение утечек данных

Непрерывный
мониторинг активов и
активности
Подумайте о пилотном внедрении
Результаты в КАЖДОМ внедрении
 Обнаружение компьютеров-зомби
и червей
 Профилирование трафика и
приложений
 Инвентаризация хостов
 Нелегальные серверы
 VPN, прокси, Р2Р-трафик
Что нужно
 ВМ с временными лицензиями
 Настроить NetFlow и SPAN
 Один-два дня на установку
Ждем ваших сообщений с хештегом
#CiscoConnectRu
Спасибо
[email protected]
CiscoRu
25.11.2014
Cisco
© 2014 Cisco and/or its affiliates. All rights reserved.
CiscoRussia
Код доклада
5259
Пожалуйста, заполните анкеты
Это очень важно для нас
25.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved.
Консоль управления CTD
Крупным планом
Детальная статистика о
всех атаках,
обнаруженных в сети
Обнаружение разных
типов атак, включая
DDoS
Визуализация по разным срезам
Визуализация по разным срезам
Cisco CTD: обнаружение атак без сигнатур
Высокий Concern Index показывает
значительное количество подозрительных
событий
Группа
узлов
Desktops
Узел
CI
10.10.101.118 338,137,280
CI%
Тревога
Предупреждения
8,656
%
High Concern
index
Ping, Ping_Scan,
TCP_Scan
Слежение за активностью как одного узла, так и группы узлов
Cisco CTD: обнаружение атак без сигнатур
Что делает
10.10.101.89?
Политика
Время
начала
Тревога
Источник
Source Host
Groups
Цель
Детали
Desktops
& Trusted
Wireless
Янв 3, 2013
Вероятная
утечка
данных
10.10.101.89
Атланта,
Десктопы
Множество
хостов
Наблюдается 5.33 Гб.
Политика позволяет
максимум до 500 Мб
Предустановленные политики
Предполагаемая утечка
данных
Слишком высокий показатель
совместного использования
файлов
Достигнуто максимальное
количество обслуженных
потоков
Получение контекста от Cisco ISE
Политика
Время
старта
Тревога
Источник
Группа хостов
источника
Имя
пользователя
Тип
устройства
Цель
Desktops &
Trusted
Wireless
Янв 3,
2013
Вероятная
утечка
данных
10.10.101.89
Атланта,
Десктопы
Джон Смит
Apple-iPad
Множество
хостов
Cisco ISE установлен в 1/3 всех проектов по Cisco Threat
Defense (CTD)
Карта эпидемии
Третичное заражение
Вторичное заражение
«Нулевой пациент»
Получение контекста от Cisco ASA / ISR / ASR
Поле Flow Action может добавить дополнительный контекст
NSEL-отчетность на основе состояний для поведенческого анализа
 Сбор информации о отклоненных или разрешенных соединениях
Расследование инцидентов
Когда?
Участник
Участник
Каким
образом?
Сколько?
Запрос интересующей информации
Выберите узел
для
исследования
Поиск
исходящего
трафика
Результаты запроса
Сервер, DNS и страна
Тип трафика и объем
Типы NetFlow
Sampled
•
Маленькое подмножество трафика, менее 5%, собирается и
используется для генерирования телеметрии. Дает
покадровый обзор активности в сети, похоже на чтение книги,
просматривая каждую 100-ю страницу.
Unsampled
•
Телеметрия генерируется всем трафиком, при этом
получается общая картина активности в сети.
Индивидуальная, скрытая
картина новых угроз требует
полной информации о
трафике в сети.
Только коммутаторы Cisco Catalyst
могут дать информацию Unsampled
NetFlow на полной скорости без
влияния на производительность
CTD 2.0 Story Line / Use case
Campus
Data Center
Identification of
command & control
Visibility into all host-tohost communication
Protection from known
exploits
Detection of data
theft activity
Policy Audit
Detection of
suspicious activity
Branch
Identification of
internal threats
Identification of malicious files
•
•
•
Policy enforcement
Deep Contextual Visibility
File trajectory
Heightened relevance of known threats
•
•
Broad Visibility
Signals Intelligence
Blocking of known
malicious files
Introduction to NetFlow
Source
Destination
NetFlow Generator
1
Source IP Address
2
Destination IP Address
Source Port
NetFlow
Key Fields
Destination Port
Flow Information
Address, ports...
Layer 3 Protocol
...
TOS byte (DSCP)
Input Interface
NetFlow Cache
3
StealthWatch
FlowCollector
Packets
11000
Bytes/packet
1528
Configuring Flexible NetFlow
Well, this seems simple.
1. Configure the Exporter
Router(config)# flow exporter my-exporter
Where do I want my data sent?
Router(config-flow-exporter)# destination 1.1.1.1
Best Practice: include all
v5 fields
2. Configure the Flow Record
Router(config)# flow record my-record
Router(config-flow-record)#
match
ipv4
destination address
What data
do I want
to meter?
Router(config-flow-record)# match ipv4 source address
Router(config-flow-record)# collect counter bytes
3. Configure the Flow Monitor
Router(config)# flow monitor my-monitor
How do I want to cache
information
Router(config-flow-monitor)#
exporter
my-exporter
Router(config-flow-monitor)# record my-record
4. Apply to an Interface
Router(config)# interface s3/0
Which interface do I want to monitor?
Router(config-if)# ip flow monitor my-monitor input
Uni-directional
flow records
eth0/2
eth0/1
NetFlow Collection: Flow Stitching
10.2.2.2
port 1024
Start Time
Interface
10.1.1.1
port 80
Src IP
Src Port
Dest IP
Dest Port
Proto
Pkts Sent
Bytes
Sent
10:20:12.221 eth0/1
10.2.2.2
1024
10.1.1.1
80
TCP
5
1025
10:20:12.871 eth0/2
10.1.1.1
80
10.2.2.2
1024
TCP
17
28712
Start Time
Client IP Client
Port
Server
IP
Server
Port
Proto
Client
Bytes
Client
Pkts
Server Server Pkts
Bytes
Interfaces
10:20:12.221
10.2.2.2
10.1.1.1
80
TCP
1025
5
28712
eth0/1
eth0/2
1024
Bi-directional:
• Conversation flow record
• Allows easy visualization and analysis
17
NetFlow Collection: De-duplication
Duplicates
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 -> 10.2.2.2:1024
10.1.1.1
port 80
Router B
Router C
Router A
• Without de-duplication
• Traffic volume can be misreported
• False positives would occur
• Allows for the efficient storage of flow data
• Necessary for accurate host-level reporting
• Does not discard data
10.2.2.2
port 1024
Conversational Flow Record
Who
What
Really cool!
How
Who
More context
Where
When
•
•
Highly scalable (enterprise class) collection
High compression => long term storage
• Months of data retention