David Li 李勇卫

思科资深安全架构师

Date 201903

思科助力企业安全可视化建设

信息可视化

监控

检测

分析

定位

网络主体

用户

终端

系统

服务

行为

软件

网址

应用

文件

流量

位置

时间 哪年哪月几点几分？

哪个交换机哪个端口？哪个楼层哪个座位？

社交媒体？购物网站？

微博？微信？

病毒？

广播风暴？泛洪？

哪个部门的哪个人？

PC？

Windows 7？Linux？

FTP？DHCP？

Java？IE？

漏洞

属性

Bash？Heartbeat ?

网络可视化的作用？ 网络安全及稳定性问题通常来自于网络接入的主体？

为什么要网络安全可视化？-工欲善其事，必先利其器

层次 覆盖 协作 开放 呈现 自动

可视分析能力 应用能力

安全可视化建设六大要素

不同产品配

合、分享、决策执行

获得更广的视角

覆盖网内每个用户、每个端口、每次访问

主机内每一个进程的每次操

作

解决方案跨越主机、接入、通讯、边界各个层次

对外更多分享

数据、更多的分享接口

与应用系统的

信息整合

全面的、可分析、可衡量的态势呈现

层次化、分级别的表现方式

策略编排、处置自动、分析

智能

第一阶段 第二阶段

主机层面

接入层面

传输层面

网络边界

广深

内

外

应用URL

信誉

分类

黑名单

邮件文件

DNS

监视到每一个端口每一个主机

监视到每一此访问每一个数据包

情景感知

异常流量分析StealthWatch

网络准入ISE邮件安全网关 下一代防火墙Anyconnect信息采集

AMP恶意软件检测

安全能力

内网安全可视化建设

互联网威胁情报建设

了解主机所有的属性信息

可视化建设第一阶段 - 思科如何帮助客户实现安全可视化能力？-层级分析、重点研究

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Cisco AnyConnect

思科安全能力之终端合规、进程流量可视化、客户端信息收集

-Anyconnect统一终端软件

终端合规

与思科其他解决方案集成

Identity Services Engine (ISE)

ASR / CSR Switches and Wireless Controllers

Cloud Web Security Services

(CWS + WSA)

ISR Adaptive Security Appliance (ASA)

VPN

NetFlow CollectorsAdvancedMalware Protection

Umbrella Services

网络可视化

恶意软件检测

云Web过滤

网络接入准入

云DNS保护

客户端信息采集

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

思科安全能力之EDR - AMP高级恶意软件防御

-未知及已知病毒捕捉，零天病毒检测利器，勒索病毒防御

Talos 威胁情报 45% 的检测在我们检测到时，Virustotal还有没检测到

进程行为分析及异常行为IOC

集成沙箱功能– AMP Threat Grid 19% 的TG检测在我们检测到时，Virustotal还有没检测到

低流行率可执行文件的自动分析 10% 转化为恶意软件

漏洞软件分析

检测技术与AV引擎结合

下一代防病毒技术

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台

ISE策略平台

PLC

AD

SAP

你想要访问的资源

Tablet

Laptop

HMI

你是个什么设备?

Mitsue

(sales)

Shree

(IT)

Santoso

(Operator)

你的身份?

Japan

India

Building

A

从哪里接入?

19:30

16:00

16:00

什么时间接入?VPN

WiFi

Wired

连接网络的方式?

互联网

88 151

❌

88 151

❌

88 151

网络设备策略执行

身份 位置 时间

接入

方式

终端

类型

是否

感染

是否

合规

1

88

15

❌

❌

❌❌

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

思科安全能力之NTA - Stealthwatch利用网络的力量达到最大安全覆盖

-流量分析技术发现网内未知隐患

内部威胁

缺乏发现取证手段

未知威胁

行为IOC突破特征技术限制

异常活动

机器学习自动发现隐患

黑盒子网络

掌握每一次网络访问

收集流量自动学习流量匹配异常行为IOC捕捉内部威胁

交换机与路由器、防火墙:产生 Netflow、sFlow、Netstream、IPFix等

网络 安全

网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播

NaaSStealthwatch异常流量分析系统: 收集Flow，分析流量

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

思科安全能力之DPI - Firepower 下一代防火墙/下一代入侵检测

入侵文件网址 应用IP

源/目的 IP

源/目的 端口

协议

安全域

身份

设备信息

用户信息

操作系统

网内位置

国家区域

域名

域名分类

域名

域名信誉

DNS威胁情报

网址分类

网址信誉

网址威胁情报

应用分类

应用信誉

业务相关性

SHA

文件尺寸

文件样本

网址 应用 文件

是否染毒

文件轨迹

客户端应用

危险级别

微软漏洞

文件属性

Snort规则

平台相关分类

入侵方式分类

>35K 规则Firepower

漏洞列表 定制规则

IP威胁情报

拦截 警告 日志 加速允许 限速

属性

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

250+全职威胁情报研究员

百万级遥感终端

4全球数据中心

1100威胁陷阱

100+威胁情报合作伙伴

思科威胁情报

150万每天恶意软件样本

6000亿每天电子邮件消息

160亿次每天Web请求

全球蜜罐网网络

开源社区• Spamcop• OpenDNS• Senderbase

漏洞挖掘(内部)

34亿恶意软件遥感数据

ThreatGrid沙箱社区

情报共享

AspisCrete

AEGIS

第三方共享(MAPP)

ISACs

思科安全能力之威胁情报-Talos威胁情报

互联网的可视化

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

如何获得思科威胁情报安全能力

• Talos为所有的Cisco安全产品提供智能情报，为用户提供自动的防护

Network Endpoint Cloud

FirePower/ ASA

Snort subscription rule set

NGFW

NGIPS

Meraki

AMP for Networks

AMP for Endpoints

AMP for Gateways

Cloud Email Security

Cloud Web Security

Web Security Appliance

Email Security Appliance

Cisco Umbrella

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

思科安全能力通过产品协作提供丰富数据及检测分析

一支训练有素的顶级球队

Firepower下一代防火墙

ThreatGrid沙盒文件分析系统

AMP高级恶意软件防御

Stealthwatch异常流量分析系统

未知威胁防御

ESA邮件安全网关

ISE网络准入解决方案

终端信息采集终端合规信息

Anyconnect统一客户端

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

可视化建设第二阶段 - 当我们拥有了安全数据，我们如何使用他们？-借助思科解决方案实现态势感知建设

FW IPS

NTADPI EDR

VulnerabilityContext Data Posture

Data Store

Data Source

API eStreamer Syslog ODBCEvent

Collection

Technology

Threat IntelLog DataAnalysis

DataCollection

DataAnalysis

IAM VPNNAC

Malware

FileAPPOS ServiceIP-Tuple User Domain Name URL

Intrusion

Top LevelAnalysis

Use Case Category Priority Correlation MeasureDataExpre

ssio

n

Dashboard Report Threat

Researcher

SOC

Analyst

Threat

Hunter

Alert SearchCase PanelData Portal

Incident Response

Security Situation AwarenessData Operation

ForensicsAnalysis

SecurityAudit

Consumer

Email

SPAM

安全运营与分析平台架构

Sandbox

Short term-data lakeLong term-data lake

展现安全态势

快速响应及处置

解析安全事件

数据解析

监听裸数据

萃取元数据

收取分析日志

自动化事件梳理

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

安全可视化态势展现

安全分析员 – 针对事件标识和响应的调查窗口

技术经理 – 重点突出风险和事件状态的运营仪表盘

安全运营官 – 基于合规的报告

CIO – 风险状态和安全趋势的概况

安全审计 – 审计需要的安全指标

建设安全态势感知常见痛点-

• 缺乏优先级“告警疲劳？什么是告警疲劳?”

• 缺乏需要的数据源“对不起, 我们没有能力检测到这种信息...”

• 缺乏数据的理解“这个数据到底表示什么含义？”

• 缺乏检测和响应的关联“我们发现它们了，下面呢？”

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

事件那么多，请告诉我们哪些需要处理？-安全事件优先级评定

单一事件SLE评分系统

风险值=R（A,T,V）

脆弱性

资产

威胁

处置

SLE RO

定量+定性

综合评定

是不是这些事件我们都需要处理？

我需要告诉你我们没有那么安全技术人员

请不要告诉我，让我来说我们需要看哪些事件

如何评价我们现在的安全状态？

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

事件降噪举例-思科Firepower入侵事件降噪及安全风险度量

脆弱性

威胁Priority

高

中

低

Host Profile

Impact Level

0

1

2

3

4

Service

OS

Vulnerability

MatchSignature

资产

Value Ranking

10 20 30 40

Reference

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

通过持续的安全事件建设完成态势感知系统的进化

Objective ThreatStakeholder

s Data Reqs. Logic Testing Priority Output

“Failure to prepare is preparing to fail” Benjamin Franklin

处置流程的目的和目标

需要标识的威胁

与处置流程相关责任人

检测信息源. 日志、数据包、主机配置等.

处理数据和标识威胁所需要规则及条件

确认风险的校验方法逻辑

基于影响和紧急状况来分类和归类不同级别的威胁

响应威胁的工作流及报表、仪表盘

Source: SANS

- 用来标识出组织和技术的要求，针对特定威胁如何进行检测和响应

- 安全态势感知针对特定条件标识出的安全事件

安全事例框架

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

安全事例Use-Case 设计模板

Use Case ID Threat-001

Objective 保护服务器免受外来侵入

Threat 检测到针对服务器的暴力破解行为

Threat Category 异常访问/账号安全/RECON

Stakholders Sec管理部门，Server管理部门，APP 业务部门

Data Reqs. Firepower-Estreamer Data

Logics 在Firepower开启针对SSH/FTP/HTTP BruteForce特征规则

Priority Middle

Output 服务器安全告警、事件调查仪表盘

Response 设定阈值自动拦截，报知业务部门提醒业务部门，重新审视业务需求，关闭不必要的管理端口，必要时将攻击源加入黑名单。

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

标识安全事例Use-Case 备选项

Threat Oriented Control Oriented

Use risk and threat assessment results

Industry Reports

Strategic threat intelligence resourcesRed team exercises

Corporate Policies

Regulatory & ComplianceAttack Chain Model map to capabilities

Candidate Vector

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

TARGET BREACHCOMPROMISE

DNS

DNS-Layer

Security

WebSecurity

EmailSecurity

IPS

Deliver

HostAnti-Malware

INSTALL

IPS

FW

NetworkAnti-Malware

EXPLOIT

DNS

DNS-Layer

Security

WebSecurity

IPS

Command

IPS

FW

RECON

FlowAnalytics

Act

Threat Intelligence

Weaptonize

针对Cyber Kill Chain建设安全能力

File Trajectory

ATTACKER

INFRASTRUCTURE USED BY ATTACKER

FILES/PAYLOADSUSED BY ATTACKER

Source：Gartner (2016)

455 86Use Case

Capability

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

事件调查及关联分析数据展示

Deliver INSTALLEXPLOIT CommandRECON ActWeaptonize

位置身份 安全态势分析行为态势分析行为审计日志

安全事件

情景信息

资产属性

身份关联 攻击链映射事件出发 情景信息展现

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

安全事例管理框架

• 按照需求方要求• 收集需求• 填写Use-Case模板• 标识可用的及可实现的内容

标识备选Use Case

• 实现后重新审视• 环境变化后重新审视• Use Cases命中后• 定期重审• 定期刷新情景数据

重审Use Case

• 按照重要性• 按照可行性• 建立Use Cases优

先级列表• 备案不可实现的

Use Cases

Use Case优先级评定 • 复查和优化描述与需求

• 确认实现需求的安全能力• 决定需求的数据源• 决定满足需求的情景数据• 标识新的或者被影响的流程

以及运营方案• 开发、测试和提交内容至产

品

Use Case实现方针

• 修改内容• 修改事件修改记录• 添加或修改情景数据• 修改输出内容（Output）• 修改运营流程

优化Use Case

• 与Owner或者提交需求方确认更新文档

• 通知相关责任人• 删除内容• 更新废除Use Cases列表

废除Use Case

• 收集独立Use Case指标• 收集Use Case管理指标• 提供反馈给战略与计划开

发

衡量流程性能

Source: Gartner(2018)

开始

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

安全事例Use Case分类汇总

Threat Kill Chain

威胁类型 场景分类 RECON Weaptonize Deliver Exploit Install Command Act Other

异常访问

账号安全 1

高危访问 4

安全合规 2

入侵事件高频事件 5

新发事件 1

网络流量

资源滥用 1

异常流量 1 1 2

蠕虫传播 1

恶意软件

异常行为 2 1

高危感染 2

病毒爆发 1

威胁情报

恶意攻击 1

远程控制 3

恶意软件分发 2

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

1小时内100次重复单一事件攻击 - Firepower

单一源IP持续入侵攻击行为-Firepower

某服务器被持续攻击-Firepower

高风险值的攻击行为 - Firepower

未被阻止的高风险入侵事件 - Firepower

30天内出现的新型入侵事件- Firepower

举例 - 风险分类：入侵事件

实现内容:

接收来自Firepower入侵检测/入侵防御系统产生的日志。规格化所有来自这些设备的日志。关联分析所有防火墙和入侵检测/入侵防御系统的事件，产生调查分析报表和告警

Use Case事例

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

高带宽占用客户端-Stealthwatch

单一主机外发大量邮件-Stealthwatch

源主机发送大量异常流量（Scan/Flood）-

Stealthwatch

源主机通过SMB访问互联网行为-Stealthwatch

服务器受到DDOS攻击-Stealthwatch

主机发生蠕虫传播行为-Stealthwatch

实现内容 ：

通过Netflow和端口镜像，收集网络所有的流量数据。自动学习流量，分析报警异常流量

Use Case示例:

举例 - 风险分类：网络流量

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

思科提供更加开放的接口帮助客户实现定制化需求

Firepower

下一代防火墙

ThreatGrid

沙盒文件分析系统

AMP

高级恶意软件防御

Stealthwatch

异常流量分析系统

ESA

邮件安全网关

ISE

网络准入解决方案

Anyconnect统一客户端

ODBCRestful APIHost Input APIEstreamer APISouthbound API

Restful API

SDK

ERS APIPxGridPassive-ID

Restful API

Restful API

Restful API

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

思科态势感知平台技术实现方式

异常流量分析系统 网络准入系统 下一代防火墙 文件沙箱系统 恶意软件防御

安全能力层

数据采集处理

安全运营分析

安全事件响应 威胁情报监控 网络安全分析

日志关联分析

安全态势感知 事件监控中心

SOAPA

安全报告

安全知识培训

用户行为审计

威胁情报监控- 威胁研究和建模- 恶意软件分析- 沟通和协调- 报告和简报

安全事件响应- 网络安全监控- 网络安全调查和升级报

告- 网络威胁搜索- 网络安全事故补救- 事后分析

网络安全分析- 安全数据管理- 安全分析- 事件分类- 事件定级

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

Threats will increase.Volume and sophistication.

威胁与日俱增更多种类 更加复杂

欢迎选择思科帮你完成可视化建设

希望有机会分享我们的经验