© 2010 Cisco and/or its affiliates. All rights reserved. 1 © 2010 Cisco and/or its affiliates. All rights reserved. 1
Решение Cisco Threat Defense (CTD) и кибербезопасность Павел Родионов
Системный инженер, Cisco EMEAR, Security
22.10.13
© 2010 Cisco and/or its affiliates. All rights reserved. 2
• Как сегодня работают кибератаки
• Как вы их можете их обнаружить
• Какие решения Cisco для этого
используются
• Как они работают и какие технологии
используют
© 2010 Cisco and/or its affiliates. All rights reserved. 3
• Эволюция киберугроз
• Пример целевой атаки
• Защитные технологии (Netflow)
• Обзор решения Cisco Cyber Threat
Solution
• Варианты использования CTD
• Q & A
© 2010 Cisco and/or its affiliates. All rights reserved. 4
Защита: Anti-Virus, Firewalls
Вирусы (1990)
Защита: Intrusion Detection & Prevention
Черви (2000)
Защита: Репутация, DLP, NGFW
Ботнеты (конце 2000-х и до сегодняшнего дня)
Стретегия: Обзор и контекст
Advanced Persistent Threats (APTs) ( сегодня – целевые проработанные атаки)
ILOVEYOU Melissa Anna Kournikova
Nimda SQL Slammer Conficker
Tedroo Rustock Conficker
Aurora Shady Rat Duqu Gauss ZeuS …
© 2010 Cisco and/or its affiliates. All rights reserved. 5
Любой может являться целью
5
http://www.chinahush.com/2010/09/15/honker-union-of-china-to-launch-network-attack-against-japan-is-a-rumor/
… Публикация информации о запуски кибератак против другой страны может только дать оправдание этой стране для создания кибервойск… Пожалуйста, не запускайте никаких бесцельных атак, реальная атака должна фатально повредить сеть противника или похитить ценную информацию… Все атаки должны производиться скрыто, вместо того, чтобы активно об этом провозглашать …
http://www.darkreading.com/end-user/up-to-9-percent-of-machines-in-an-enterp/220200118
До 9% рабочих станций в enterprise инфицировано ботами
http://www.scmagazine.com.au/News/354155,millions-stolen-from-us-banks-after-wire-payment-switch-targeted.aspx
Из банков США похищены миллионы после атаки на 'wire payment switch’.
Ограблены три банка путем отвлечения внимания DDOS атакой… мошенники
исползовали Dirt Jumper, инструмент стоимостью $200 для запуска атак DDoS
http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_exposes_Icefog_a_new_cyber-espionage_campaign_focusing_on_supply_chain_attacks
Касперский: “Icefog”: Новая волна кибершпионажа
© 2010 Cisco and/or its affiliates. All rights reserved. 6
Если вы большой, вы основная цель киберугроз
6
http://arstechnica.com/security/2013/10/adobe-source-code-and-customer-data-stolen-in-sustained-network-hack/
3 октября 2013
У Adobe похищен исходный код и данные пользователей
…Adobe сообщила, что она пострадала от длительного взлома корпоративной
сети, в результате которого хакеры нелегально получили доступ к исходному
коду нескольких широко используемых приложений, а также к паролям и
другой чувствительной информации более чем трех миллионов заказчиков…
http://www.theguardian.com/uk-news/2013/oct/03/gchq-eu-surveillance-cyber-attack-belgian
20 сентября 2013
Атака на Belgacom: Британская разведка взломала бельгийские телеком-
компании
…Кибератака на интернет-системы основной бельгийской
телекоммуникационной компании, Belgacom является настолько сложной и
массированной, что ни одна компания или страна не может ей
противостоять…
© 2010 Cisco and/or its affiliates. All rights reserved. 7
X X X X O X X X O
O
… как это делают ваши враги
7
© 2010 Cisco and/or its affiliates. All rights reserved. 8
• USB флеш с вредоносным кодом
• Социальная инженерия • Email в вредоносным
вложением • Открытый WLAN MITM • Офисный документ с
вредононым кодом • Аппаратный кейлоггер • Уязвимость серверного
приложения • Drive-by-Download • Любой другой вектор атаки…
Initial Infection by 0-Day
© 2010 Cisco and/or its affiliates. All rights reserved. 9
Цель достигнута, защитная
инфраструктура обойдена
• Утечки данных
• Повреждения
• Манипуляция (исходный код)
Управляющий
канал
C&C Server
© 2010 Cisco and/or its affiliates. All rights reserved. 10
• Страна? Конкуренты? Частные лица? Кто?
• Что является целью? Что?
• Когда атака наиболее активна и с чем это связано? Когда?
• Где атакующие? Где они наиболее успешны? Где?
• Зачем они атакуют – что конкретно их цель? Зачем?
• Как они атакуют – Zero-day? Известные уязвимости? Инсайдер? Как?
© 2010 Cisco and/or its affiliates. All rights reserved. 11
• Кто в моей сети? Кто? • Что делают пользователи? Приложения?
• Что считать нормальным поведением? Что?
• Устройства в сети? Что считать нормальным состоянием? Когда?
• Где и откуда пользователи попадают в сеть?
• Внутренние? eCommerce? Внешние? Где?
• Зачем они используют конкретные приложения? Зачем?
• Как всё это попадает в сеть? Как?
© 2010 Cisco and/or its affiliates. All rights reserved. 12 © 2010 Cisco and/or its affiliates. All rights reserved. 12
“Что поможет ответить на эти вопросы?
© 2010 Cisco and/or its affiliates. All rights reserved. 13
СЕТЬ
Видимость всего трафика
Маршрутизация всех запросов Источники всех данных
Контроль всех данных
Управление всеми устройствами
Контроль всех пользователей
Контроль всех потоков
© 2010 Cisco and/or its affiliates. All rights reserved. 14
© 2010 Cisco and/or its affiliates. All rights reserved. 15
• Из всех критичных и важных точек
© 2010 Cisco and/or its affiliates. All rights reserved. 16
Телеметрия Netflow идет в двух видах
Sampled
• Небольшое подмножество трафика, меньше 5%, собирается и используется для генерирования телеметрии. Это дает краткую характеристику сетевой активности, как читать книгу, перелистывая по 20 страниц за раз.
Unsampled
• Для генерирования тереметрии используется весь трафик, он обеспечивает полный обзор всей активности в сети. Используя аналогию с книгами – мы читаем ее от начала и до конца не пропуская ни одного слова.
Сложная, скрытая природа новых киберугроз требует полного обзора всей сети
через Netflow
Только определенные коммутаторы Cisco Catalyst
могут предоставить Unsampled NetFlow на скорости канала без влияния на производительность
© 2010 Cisco and/or its affiliates. All rights reserved. 17
Выследите атакующего
Router# show flow monitor CYBER-MONITOR cache
…
IPV4 SOURCE ADDRESS: 192.168.100.100
IPV4 DESTINATION ADDRESS: 192.168.20.6
TRNS SOURCE PORT: 47321
TRNS DESTINATION PORT: 443
INTERFACE INPUT: Gi0/0/0
IP TOS: 0x00
IP PROTOCOL: 6
ipv4 next hop address: 192.168.20.6
tcp flags: 0x1A
interface output: Gi0/1.20
counter bytes: 1482
counter packets: 23
timestamp first: 12:33:53.358
timestamp last: 12:33:53.370
ip dscp: 0x00
ip ttl min: 127
ip ttl max: 127
application name: nbar secure-http
…
Netflow Record
© 2010 Cisco and/or its affiliates. All rights reserved. 18
Не все выглядит так, как кажется…
18
© 2010 Cisco and/or its affiliates. All rights reserved. 19 19
…Могут быть разные варианты использования
© 2010 Cisco and/or its affiliates. All rights reserved. 20 © 2010 Cisco and/or its affiliates. All rights reserved. 20
“Введение в Cisco Cyber Threat Defense
© 2010 Cisco and/or its affiliates. All rights reserved. 21
Решаемые задачи для безопасности
1. Защита от известных и неизвестных атак , включая сложные, фокусные атаки, DoS/DDoS на ресурсы компании
2. Раннее автоматическое выявление вирусов
3. Раннее обнаружение инсайдеров
4. Обнаружение нецелевого использования сетевых ресурсов
5. Расследование инцидентов безопасности
Знать нарушителя
© 2010 Cisco and/or its affiliates. All rights reserved. 22
1. Быстрое и эффективное выявление проблем в сети
2. Мониторинг активности пользователей и приложений в реальном времени
3. Просмотр детальной исторической статистики
4. Планирование развития сети
5. Демонстрация выполнения SLA
© 2010 Cisco and/or its affiliates. All rights reserved. 23
Cisco ISE
Flow Sensor
Flow Collector
StealthWatch Management
Console
Catalyst 3500-X
10G-Servicemodul
Catalyst 3850*
Catalyst 4500 Supervisor 7E/L
Catalyst 6500 Supervisor 2T
ASA-5500-X(NSEL)
Nexus 1k*
Nexus 7k M Series*
Nexus 7k F2 Series*
Nexus 6k*
Nexus 2k on 7k*
NGA-3240
ASR 1000(NBAR)
ISR-G2(incl. NBAR)
WLC (incl. NBAR)**
Catalyst 2960X LanBase*
Устр
ой
ств
а N
etf
low
La
nC
op
e S
tea
lthW
atc
h
Cis
co
In
de
ntity
Se
rvic
e E
ngin
e
Информация о соеднинениях
Monitoring
Информация идентификации
Device User
Full Netflow
Sampled Netflow
Collection/Analysis
Presentation
© 2010 Cisco and/or its affiliates. All rights reserved. 24
«Выравнивание» и обнаружение аномалий с помощью Netflow
24
© 2010 Cisco and/or its affiliates. All rights reserved. 25
• Идентификация активности управляющих BotNet серверов. Ботнеты внедряются в корпоративные сети и выполняют команды своих хозяев для отправки SPAM, DDoS или другой вредоносной деятельности.
• Обнаружение утечек данных. Код может быть скрыт или зашумлен для того, чтобы иметь возможность экспортировать чувствительную информацию. Эти утечки может происходить быстро, или со временем.
• Обнаружение сложных и постоянных угроз. Вредоносный код, который проходит периметр может долго оставаться внутри сети и внезапно нанести удар. Это могут быть атаки нулевого дня, для обнаружения которых не существует сигнатур, или которые сложно обнаружить по каким-то другим причинам.
• Обнаружение malware внутри сети. Распространение malware может осуществляться для сбора данных о сети, хищении данных или создания брешей в безопасности.
• Обнаружение попыток рекогнисцировки сети. Первый шаг большинства атакующих – обнаружение ресурсов сети.
© 2010 Cisco and/or its affiliates. All rights reserved. 26
Обзор
StealthWatch FlowCollector*
StealthWatch
Management Console*
Управление
StealthWatch FlowReplicator (опционально)
Другой анализатор
трафика
Cisco ISE
StealthWatch FlowSensor* или
Cisco Netflow Generation Appliance (NGA) (опционально)
Netflow enabled device
Не Netflow устройство
SS
L
NetFlow NetFlow N
etF
low
* Виртуальный или физический
© 2010 Cisco and/or its affiliates. All rights reserved. 27
Flow Exporters
Flow Collectors
Управление и отчеты
X 25 До 25 коллекторов
StealthWatch FC для NetFlow
StealthWatch Management Console
X 2 полное резервирование между основной и резервной
X 2000 До 2000 устройств и до 120 тыс потоков в сек.
Интерфейс X каждый настраиваемый вид для разных команд – ИТ, ИБ, виртуализация
Physical Virtual
Маршрутизаторы, коммутаторы FlowSensor VE FlowSensor
3 миллиона потоков в
секунду
© 2010 Cisco and/or its affiliates. All rights reserved. 28 28
Router A
Router B
Router C
10.2.2.2 port 1024
10.1.1.1 port 80
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 ->
10.2.2.2:1024
Дубликаты
• Без de-duplication: • Неправильные отчеты об объемах
трафика • Могут произойти ложные срабатывания
• Эффективное хранение данных о потоках • Необходимо, для аккуратных отчетов уровня
хоста • Не удаляет данные • Включает NAT
© 2010 Cisco and/or its affiliates. All rights reserved. 29 29
10.2.2.2 port 1024
10.1.1.1 port 80
eth
0/1
eth
0/2
Start Time Interfac
e
Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes
Sent
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Start Time Client IP Client
Port
Server
IP
Server
Port
Proto Client
Bytes
Client
Pkts
Server
Bytes
Server Pkts Interfaces
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1
eth0/2
Сиплексные
записи
Дуплексные записи:
• Запись сесии в потоке
• Простая визуализация и анализ
© 2010 Cisco and/or its affiliates. All rights reserved. 30
Параметр «Concern Index» показывает количество подозрительных событий,
которые отклюняются от установленного шаблона
Host
Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern
index
Ping, Ping_Scan, TCP_Scan
Мониторинг и выравнивание деятельности для хоста
или группы хостов
© 2010 Cisco and/or its affiliates. All rights reserved. 31
Привязка потоков и поведения к пользователям и устройствам
31
Policy Start
Active
Time
Alarm Source Source
Host
Groups
Source
User Name
Device
Type
Switch
Port
Desktops
& Trusted
Wireless
Jan 3,
2013
Suspect Data
Loss
10.10.101.
89
Atlanta,
Desktops
John
Chambers
Apple-
iPad
Cat 7/42
© 2010 Cisco and/or its affiliates. All rights reserved. 32
Предупрежнение о
связи с известным
Botnet Controller
IP адрес Имя пользователя
Политика,
вызвавшая
alarm
Policy Start
Active
Time
Alarms Source Source
Host
Groups
Source
User
Name
Target Target Host
Group
Inside
Hosts
Jan 27,
2012
Host Lock
Violation
10.35.88.171 Remote
VPN
Bob ZeusCCServer.com Zeus BotNet
Controllers
32
© 2010 Cisco and/or its affiliates. All rights reserved. 33
Policy Start
Active
Time
Alarm Source Sour
ce
Host
Grou
p
Source
Userna
me
Targe
t
Details
Inside Hosts 8-Feb-
2012
Suspect
Data Loss
10.34.74.123 Wired
Data
Bob Multiple
Hosts
Observed 4.08G bytes.
Policy Maximum allows
up to 81.92M bytes.
33
© 2010 Cisco and/or its affiliates. All rights reserved. 34
NetFlow Capable
Internal Network
Device
s
Управление
StealthWatch FlowCollector
StealthWatch Management
Console
1. Инфицированные хост выполняет случайные ping и TCP SYN по всей сети
2. Инфраструктура генерирует записи с использованием NetFlow
3. Сбор и анализ данных Netflow
4. Добавляем к анализу конекстную информацию
5. Увеличивается “concern index”. Генерируются предупреждения о подозрительной активности
Cisco ISE
34
© 2010 Cisco and/or its affiliates. All rights reserved. 35
NetFlow
Capable
Devices
Управление
StealthWatch FlowCollector
StealthWatch Management
Console 3. Сбор и анализ данных Netflow
4. Добавляем контекст
5. Увеличивается «Concern index». Генерируется Worm propagation Alarm
Cisco ISE
Перво-начальная инфекция
Вторичная инфекция
1. Инфекция распространяется через внутреннюю сеть, чтобы атакующий достиг своей цели.
2. Инфраструктура генерирует записи об активности с помощью Netflow
Internal Network
35
© 2010 Cisco and/or its affiliates. All rights reserved. 36
NetFlow
Capable
Devices
Управление
StealthWatch FlowCollector
StealthWatch Management
Console 3. Сбор и анализ данных Netflow
4. Добавляем контекст
5. Увеличивается «Concern index». Генерируется Worm propagation Alarm
Cisco ISE
Перво-начальная инфекция
Вторичная инфекция
1. Инфекция распространяется через внутреннюю сеть, чтобы атакующий достиг своей цели.
2. Инфраструктура генерирует записи об активности с помощью Netflow
Internal Network
36
Третичная инфекция
© 2010 Cisco and/or its affiliates. All rights reserved. 37
Третичная инфекция
Вторичная инфекция
Первоначальная инфекция
37
© 2010 Cisco and/or its affiliates. All rights reserved. 38 38
RTP San Jose
Amsterdam
Bangalore
Sydney
Tokyo
15.6 млрд потоков/день
90 дней срок хранения
© 2010 Cisco and/or its affiliates. All rights reserved. 39
Агрегация, анализ, контекст
Экспорт потоков
Cisco Catalyst 3560-X, 3750-X, 4500 (Sup7-E,7LE), 6500 (Sup2T)
Cisco ISR
Cisco ASR 1000
Cisco ASA 5500
Cisco NGA
Cisco ISE (опционально)
Обзор и управление
Cisco ASR
1000 или ISR G2
Cisco ASA
Cisco NGA
Model Max Flows Max Exporters Max Hosts Storage
FlowCollector VE 30.000* 1000 500.000 1TB
FlowCollector
1000
30.000 500 250.000 1TB
FlowCollector
2000
60.000 1000 500.000 2TB
FlowCollector
4000
120.000 2000 1.000.000 4TB
Model Max FlowCollectors Storage
StealthWatch Management Console VE 5* 1TB
StealthWatch Management Console 1000 5 1TB
StealthWatch Management Console 2000 25 2TB
+ лицензии на потоки
1.000, 25.000, 50.000,
100.000
© 2010 Cisco and/or its affiliates. All rights reserved. 40
• Решение Cisco Cyber Thread Defense (CTD) состоит из
инфраструктуры Cisco из Lancope Stealthwatch
• Все компоненты могут быть заказаны у Cisco
• ASA и ASR приносят знание NAT к решению
• Добавление ISE добавляет информацию об идентификации
• CTD поддерживает обнаружение атак в реальном времени и
проведение расследований
• CTD – это одно окно для анализа поведения сети, как для IT, так и для
ИБ
• Lancope – лучший в сфере Network Behaviour Analysis
• CTD умеет обнаруживать атаки 0-го дня и APT с помощью поведенческого
анализа
© 2010 Cisco and/or its affiliates. All rights reserved. 41
© 2010 Cisco and/or its affiliates. All rights reserved. 42
© 2010 Cisco and/or its affiliates. All rights reserved. 43
Thank you.