思科助力企业安全可视化建设 - cisco · 信息 可视化 监 控 检 测 分 析 定 位...
TRANSCRIPT
David Li 李勇卫
思科资深安全架构师
Date 201903
思科助力企业安全可视化建设
信息可视化
监控
检测
分析
定位
网络主体
用户
终端
系统
服务
行为
软件
网址
应用
文件
流量
位置
时间 哪年哪月几点几分?
哪个交换机哪个端口?哪个楼层哪个座位?
社交媒体?购物网站?
微博?微信?
病毒?
广播风暴?泛洪?
哪个部门的哪个人?
PC?
Windows 7?Linux?
FTP?DHCP?
Java?IE?
漏洞
属性
Bash?Heartbeat ?
网络可视化的作用? 网络安全及稳定性问题通常来自于网络接入的主体?
为什么要网络安全可视化?-工欲善其事,必先利其器
层次 覆盖 协作 开放 呈现 自动
可视分析能力 应用能力
安全可视化建设六大要素
不同产品配
合、分享、决策执行
获得更广的视角
覆盖网内每个用户、每个端口、每次访问
主机内每一个进程的每次操
作
解决方案跨越主机、接入、通讯、边界各个层次
对外更多分享
数据、更多的分享接口
与应用系统的
信息整合
全面的、可分析、可衡量的态势呈现
层次化、分级别的表现方式
策略编排、处置自动、分析
智能
第一阶段 第二阶段
主机层面
接入层面
传输层面
网络边界
广深
内
外
应用URL
信誉
分类
黑名单
邮件文件
DNS
监视到每一个端口每一个主机
监视到每一此访问每一个数据包
情景感知
异常流量分析StealthWatch
网络准入ISE邮件安全网关 下一代防火墙Anyconnect信息采集
AMP恶意软件检测
安全能力
内网安全可视化建设
互联网威胁情报建设
了解主机所有的属性信息
可视化建设第一阶段 - 思科如何帮助客户实现安全可视化能力?-层级分析、重点研究
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Cisco AnyConnect
思科安全能力之终端合规、进程流量可视化、客户端信息收集
-Anyconnect统一终端软件
终端合规
与思科其他解决方案集成
Identity Services Engine (ISE)
ASR / CSR Switches and Wireless Controllers
Cloud Web Security Services
(CWS + WSA)
ISR Adaptive Security Appliance (ASA)
VPN
NetFlow CollectorsAdvancedMalware Protection
Umbrella Services
网络可视化
恶意软件检测
云Web过滤
网络接入准入
云DNS保护
客户端信息采集
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科安全能力之EDR - AMP高级恶意软件防御
-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御
Talos 威胁情报 45% 的检测在我们检测到时,Virustotal还有没检测到
进程行为分析及异常行为IOC
集成沙箱功能– AMP Threat Grid 19% 的TG检测在我们检测到时,Virustotal还有没检测到
低流行率可执行文件的自动分析 10% 转化为恶意软件
漏洞软件分析
检测技术与AV引擎结合
下一代防病毒技术
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台
ISE策略平台
PLC
AD
SAP
你想要访问的资源
Tablet
Laptop
HMI
你是个什么设备?
Mitsue
(sales)
Shree
(IT)
Santoso
(Operator)
你的身份?
Japan
India
Building
A
从哪里接入?
19:30
16:00
16:00
什么时间接入?VPN
WiFi
Wired
连接网络的方式?
互联网
88 151
❌
88 151
❌
88 151
网络设备策略执行
身份 位置 时间
接入
方式
终端
类型
是否
感染
是否
合规
1
88
15
❌
❌
❌❌
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科安全能力之NTA - Stealthwatch利用网络的力量达到最大安全覆盖
-流量分析技术发现网内未知隐患
内部威胁
缺乏发现取证手段
未知威胁
行为IOC突破特征技术限制
异常活动
机器学习自动发现隐患
黑盒子网络
掌握每一次网络访问
收集流量自动学习流量匹配异常行为IOC捕捉内部威胁
交换机与路由器、防火墙:产生 Netflow、sFlow、Netstream、IPFix等
网络 安全
网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播
NaaSStealthwatch异常流量分析系统: 收集Flow,分析流量
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科安全能力之DPI - Firepower 下一代防火墙/下一代入侵检测
入侵文件网址 应用IP
源/目的 IP
源/目的 端口
协议
安全域
身份
设备信息
用户信息
操作系统
网内位置
国家区域
域名
域名分类
域名
域名信誉
DNS威胁情报
网址分类
网址信誉
网址威胁情报
应用分类
应用信誉
业务相关性
SHA
文件尺寸
文件样本
网址 应用 文件
是否染毒
文件轨迹
客户端应用
危险级别
微软漏洞
文件属性
Snort规则
平台相关分类
入侵方式分类
>35K 规则Firepower
漏洞列表 定制规则
IP威胁情报
拦截 警告 日志 加速允许 限速
属性
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
250+全职威胁情报研究员
百万级遥感终端
4全球数据中心
1100威胁陷阱
100+威胁情报合作伙伴
思科威胁情报
150万每天恶意软件样本
6000亿每天电子邮件消息
160亿次每天Web请求
全球蜜罐网网络
开源社区• Spamcop• OpenDNS• Senderbase
漏洞挖掘(内部)
34亿恶意软件遥感数据
ThreatGrid沙箱社区
情报共享
AspisCrete
AEGIS
第三方共享(MAPP)
ISACs
思科安全能力之威胁情报-Talos威胁情报
互联网的可视化
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
如何获得思科威胁情报安全能力
• Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护
Network Endpoint Cloud
FirePower/ ASA
Snort subscription rule set
NGFW
NGIPS
Meraki
AMP for Networks
AMP for Endpoints
AMP for Gateways
Cloud Email Security
Cloud Web Security
Web Security Appliance
Email Security Appliance
Cisco Umbrella
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科安全能力通过产品协作提供丰富数据及检测分析
一支训练有素的顶级球队
Firepower下一代防火墙
ThreatGrid沙盒文件分析系统
AMP高级恶意软件防御
Stealthwatch异常流量分析系统
未知威胁防御
ESA邮件安全网关
ISE网络准入解决方案
终端信息采集终端合规信息
Anyconnect统一客户端
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
可视化建设第二阶段 - 当我们拥有了安全数据,我们如何使用他们?-借助思科解决方案实现态势感知建设
FW IPS
NTADPI EDR
VulnerabilityContext Data Posture
Data Store
Data Source
API eStreamer Syslog ODBCEvent
Collection
Technology
Threat IntelLog DataAnalysis
DataCollection
DataAnalysis
IAM VPNNAC
Malware
FileAPPOS ServiceIP-Tuple User Domain Name URL
Intrusion
Top LevelAnalysis
Use Case Category Priority Correlation MeasureDataExpre
ssio
n
Dashboard Report Threat
Researcher
SOC
Analyst
Threat
Hunter
Alert SearchCase PanelData Portal
Incident Response
Security Situation AwarenessData Operation
ForensicsAnalysis
SecurityAudit
Consumer
SPAM
安全运营与分析平台架构
Sandbox
Short term-data lakeLong term-data lake
展现安全态势
快速响应及处置
解析安全事件
数据解析
监听裸数据
萃取元数据
收取分析日志
自动化事件梳理
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
安全可视化态势展现
安全分析员 – 针对事件标识和响应的调查窗口
技术经理 – 重点突出风险和事件状态的运营仪表盘
安全运营官 – 基于合规的报告
CIO – 风险状态和安全趋势的概况
安全审计 – 审计需要的安全指标
建设安全态势感知常见痛点-
• 缺乏优先级“告警疲劳?什么是告警疲劳?”
• 缺乏需要的数据源“对不起, 我们没有能力检测到这种信息...”
• 缺乏数据的理解“这个数据到底表示什么含义?”
• 缺乏检测和响应的关联“我们发现它们了,下面呢?”
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
事件那么多,请告诉我们哪些需要处理?-安全事件优先级评定
单一事件SLE评分系统
风险值=R(A,T,V)
脆弱性
资产
威胁
处置
SLE RO
定量+定性
综合评定
是不是这些事件我们都需要处理?
我需要告诉你我们没有那么安全技术人员
请不要告诉我,让我来说我们需要看哪些事件
如何评价我们现在的安全状态?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
事件降噪举例-思科Firepower入侵事件降噪及安全风险度量
脆弱性
威胁Priority
高
中
低
Host Profile
Impact Level
0
1
2
3
4
Service
OS
Vulnerability
MatchSignature
资产
Value Ranking
10 20 30 40
Reference
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
通过持续的安全事件建设完成态势感知系统的进化
Objective ThreatStakeholder
s Data Reqs. Logic Testing Priority Output
“Failure to prepare is preparing to fail” Benjamin Franklin
处置流程的目的和目标
需要标识的威胁
与处置流程相关责任人
检测信息源. 日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件
确认风险的校验方法逻辑
基于影响和紧急状况来分类和归类不同级别的威胁
响应威胁的工作流及报表、仪表盘
Source: SANS
- 用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应
- 安全态势感知针对特定条件标识出的安全事件
安全事例框架
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
安全事例Use-Case 设计模板
Use Case ID Threat-001
Objective 保护服务器免受外来侵入
Threat 检测到针对服务器的暴力破解行为
Threat Category 异常访问/账号安全/RECON
Stakholders Sec管理部门,Server管理部门,APP 业务部门
Data Reqs. Firepower-Estreamer Data
Logics 在Firepower开启针对SSH/FTP/HTTP BruteForce特征规则
Priority Middle
Output 服务器安全告警、事件调查仪表盘
Response 设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单。
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
标识安全事例Use-Case 备选项
Threat Oriented Control Oriented
Use risk and threat assessment results
Industry Reports
Strategic threat intelligence resourcesRed team exercises
Corporate Policies
Regulatory & ComplianceAttack Chain Model map to capabilities
Candidate Vector
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
TARGET BREACHCOMPROMISE
DNS
DNS-Layer
Security
WebSecurity
EmailSecurity
IPS
Deliver
HostAnti-Malware
INSTALL
IPS
FW
NetworkAnti-Malware
EXPLOIT
DNS
DNS-Layer
Security
WebSecurity
IPS
Command
IPS
FW
RECON
FlowAnalytics
Act
Threat Intelligence
Weaptonize
针对Cyber Kill Chain建设安全能力
File Trajectory
ATTACKER
INFRASTRUCTURE USED BY ATTACKER
FILES/PAYLOADSUSED BY ATTACKER
Source:Gartner (2016)
455 86Use Case
Capability
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
事件调查及关联分析数据展示
Deliver INSTALLEXPLOIT CommandRECON ActWeaptonize
位置身份 安全态势分析行为态势分析行为审计日志
安全事件
情景信息
资产属性
身份关联 攻击链映射事件出发 情景信息展现
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
安全事例管理框架
• 按照需求方要求• 收集需求• 填写Use-Case模板• 标识可用的及可实现的内容
标识备选Use Case
• 实现后重新审视• 环境变化后重新审视• Use Cases命中后• 定期重审• 定期刷新情景数据
重审Use Case
• 按照重要性• 按照可行性• 建立Use Cases优
先级列表• 备案不可实现的
Use Cases
Use Case优先级评定 • 复查和优化描述与需求
• 确认实现需求的安全能力• 决定需求的数据源• 决定满足需求的情景数据• 标识新的或者被影响的流程
以及运营方案• 开发、测试和提交内容至产
品
Use Case实现方针
• 修改内容• 修改事件修改记录• 添加或修改情景数据• 修改输出内容(Output)• 修改运营流程
优化Use Case
• 与Owner或者提交需求方确认更新文档
• 通知相关责任人• 删除内容• 更新废除Use Cases列表
废除Use Case
• 收集独立Use Case指标• 收集Use Case管理指标• 提供反馈给战略与计划开
发
衡量流程性能
Source: Gartner(2018)
开始
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
安全事例Use Case分类汇总
Threat Kill Chain
威胁类型 场景分类 RECON Weaptonize Deliver Exploit Install Command Act Other
异常访问
账号安全 1
高危访问 4
安全合规 2
入侵事件高频事件 5
新发事件 1
网络流量
资源滥用 1
异常流量 1 1 2
蠕虫传播 1
恶意软件
异常行为 2 1
高危感染 2
病毒爆发 1
威胁情报
恶意攻击 1
远程控制 3
恶意软件分发 2
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
1小时内100次重复单一事件攻击 - Firepower
单一源IP持续入侵攻击行为-Firepower
某服务器被持续攻击-Firepower
高风险值的攻击行为 - Firepower
未被阻止的高风险入侵事件 - Firepower
30天内出现的新型入侵事件- Firepower
举例 - 风险分类:入侵事件
实现内容:
接收来自Firepower入侵检测/入侵防御系统产生的日志。规格化所有来自这些设备的日志。关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警
Use Case事例
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
高带宽占用客户端-Stealthwatch
单一主机外发大量邮件-Stealthwatch
源主机发送大量异常流量(Scan/Flood)-
Stealthwatch
源主机通过SMB访问互联网行为-Stealthwatch
服务器受到DDOS攻击-Stealthwatch
主机发生蠕虫传播行为-Stealthwatch
实现内容 :
通过Netflow和端口镜像,收集网络所有的流量数据。自动学习流量,分析报警异常流量
Use Case示例:
举例 - 风险分类:网络流量
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科提供更加开放的接口帮助客户实现定制化需求
Firepower
下一代防火墙
ThreatGrid
沙盒文件分析系统
AMP
高级恶意软件防御
Stealthwatch
异常流量分析系统
ESA
邮件安全网关
ISE
网络准入解决方案
Anyconnect统一客户端
ODBCRestful APIHost Input APIEstreamer APISouthbound API
Restful API
SDK
ERS APIPxGridPassive-ID
Restful API
Restful API
Restful API
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
思科态势感知平台技术实现方式
异常流量分析系统 网络准入系统 下一代防火墙 文件沙箱系统 恶意软件防御
安全能力层
数据采集处理
安全运营分析
安全事件响应 威胁情报监控 网络安全分析
日志关联分析
安全态势感知 事件监控中心
SOAPA
安全报告
安全知识培训
用户行为审计
威胁情报监控- 威胁研究和建模- 恶意软件分析- 沟通和协调- 报告和简报
安全事件响应- 网络安全监控- 网络安全调查和升级报
告- 网络威胁搜索- 网络安全事故补救- 事后分析
网络安全分析- 安全数据管理- 安全分析- 事件分类- 事件定级
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Threats will increase.Volume and sophistication.
威胁与日俱增更多种类 更加复杂
欢迎选择思科帮你完成可视化建设
希望有机会分享我们的经验