Download - Обнаружение аномальной активности в сети
![Page 1: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/1.jpg)
Cisco Confidential © 2010 Cisco and/or its affiliates. All rights reserved. 1
Обнаружение аномальной активности в сети Алексей Лукацкий
Бизнес-консультант по безопасности
![Page 2: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/2.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
A
B
C
C B
A
C A
B
А что если мы не можем внутри поставить сенсоры?
![Page 3: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/3.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
• Из всех критичных и важных точек
![Page 4: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/4.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Обзор
StealthWatch FlowCollector*
StealthWatch Management
Console*
Управление
StealthWatch FlowReplicator
(
Другие анализаторы
Cisco ISE
StealthWatch FlowSensor*
Netflow enabled device
Не-Netlow устройство
NetFlow NetFlow N
etFl
ow
* Виртуальный или физический
![Page 5: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/5.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Построение базиса и определение аномалий с помощью Netflow
5
![Page 6: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/6.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
![Page 7: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/7.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Обзор
• Активность BotNet Command & Control
• Обнаружение утечек данных
• Целенаправленные угрозы (APT)
• Обнаружение Malware, распространяющегося внутри сети
• Обнаружение разведки в сети
• Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)
![Page 8: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/8.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Что анализировать: • Страны • Приложение • Соотношение входящего/исходящего трафика
• время • Повторяющиеся соединения
• Beaconing – повторяющиеся «мертвые» соединения
• Долгоживущие потоки
Активность “phone home”
Предупреждения:
Bot Command & Control Server Bot Infected Host – Attempted C&C Bot Infected Host – Successful C&C
Suspect Long Flow Beaconing Host
Massive TCP RST High Concern Index
Trapped Host …
![Page 9: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/9.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Третичное заражение
Вторичное заражение
Первоначальное заражение
9
Сканирование
![Page 10: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/10.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10 10
Отправка бинарника размером x
Третичное заражение
Вторичное заражение
Первоначальное заражение
![Page 11: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/11.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11 11
Скан
Третичное заражение
Вторичное заражение
Первоначальное заражение
![Page 12: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/12.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12 12
Отправка…x
Третичное заражение
Вторичное заражение
Первоначальное заражение
![Page 13: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/13.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Высокий Concern Index показывает значительное количество
подозрительных событий, которые отклоняются об базиса
Host Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern index
Ping, Ping_Scan, TCP_Scan
ICMP echo
CEO PC
1. ECHO -> CI = CI + 1 2. ECHO -> CI = CI + 2 3. ECHO -> CI = CI + 4 4. ECHO -> CI = CI + 8
Упрощенный пример:
![Page 14: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/14.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Высокий Concern Index показывает значительное количество
подозрительных событий, которые отклоняются об базиса
Host Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern index
Ping, Ping_Scan, TCP_Scan
TCP RST
CEO PC
1. RST -> CI = CI + 1 2. RST -> CI = CI + 2 3. RST -> CI = CI + 4 4. RST -> CI = CI + 8
Упрощенный пример:
![Page 15: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/15.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Высокий Concern Index показывает значительное количество
подозрительных событий, которые отклоняются об базиса
Host Groups
Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 8656% High Concern index
Ping, Ping_Scan, TCP_Scan
SSH
CEO PC
1. PC -> CI = CI + 1 2. PC -> CI = CI + 2 3. PC -> CI = CI + 4 4. PC -> CI = CI + 8
PC с незапу- щенным сервисом SSH
Упрощенный пример:
![Page 16: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/16.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
![Page 17: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/17.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
![Page 18: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/18.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Основные подозрительные события
![Page 19: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/19.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Решение по мониторингу на основе NetFlow, которое предоставляет действенное понимание в отношении производительности и безопасности, а также сокращает время расследования подозрительного поведения
• Признанный игрок рынка мониторинга сети и безопасности
• Cisco Solutions Plus Product Общие дизайны Cisco+Lancope
Совместные инвестиции в развитие Доступность в канале продаж Cisco
• Отличный уровень сотрудничества с Cisco
Lancope StealthWatch – ключевой элемент
![Page 20: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/20.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
TrustSec Enabled
Enterprise Network
Identity Services Engine
NetFlow: Switches, Routers, и ASA 5500
Контекст: NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа и обеспечивает ключевое понимание внутренней активности в сети
Flow
Телеметрия NetFlow Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы Cisco Identity, Device, Posture, Application
Cyber Threat Defense = Cisco + Lancope
![Page 21: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/21.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
StealthWatch FlowSensor
StealthWatch FlowSensor
VE Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Другие коллекторы
https
https
NBAR NSEL
![Page 22: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/22.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
Cat 3K-X w/ Service Module
Line-Rate NetFlow
Cat 4K Sup7E, Sup7L-E
Line-Rate NetFlow
ISR, ASR Scale
NetFlow NBAR2
Adds NetFlow
Доступ
Доступ
/ распределение
Периметр
Cat 6K Sup2T
Cat 2K-X the only L2 w/Netflow
ASA
![Page 23: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/23.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
• Обнаружение брешей в настройках МСЭ
• Обнаружение незащищенных коммуникаций
• Обнаружение P2P-трафика
• Обнаружение неавторизованной установки локального Web-сервера или точки доступа
• Обнаружение попыток несанкционированного доступа
• Обнаружение ботнетов (командных серверов)
• Обнаружение атак «отказ в обслуживании»
• Обнаружение инсайдеров
• Расследование инцидентов
• Troubleshooting
Решаемые задачи
![Page 24: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/24.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
![Page 25: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/25.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
Обнаружение разных типов атак, включая DDoS
Детальная статистика о всех атаках, обнаруженных в сети
![Page 26: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/26.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
![Page 27: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/27.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
![Page 28: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/28.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
Exfiltration: Хост передает ненормальное количество данных (EXI points)
Command and Control: Показывает на существование в вашей сети бот-сервера или хосты успешно связываются с C&C серверами (C&C points)
Policy Violation: Хосты нарушают предопределенные политики в сети (PVI points)
Concern Index: Показывает хосты, которые, возможно, нарушают целостность сети
Target Index: Показывает хосты, которые являются жертвами атаки (TI points)
![Page 29: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/29.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
![Page 30: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/30.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Suspect Data Hoarding
Target Data Hoarding
• Обнаружение систем, которые загружают ненормальные объемы данных из внутренних узлов
• Обнаружение систем, из которых загружаются ненормальные объемы данных
![Page 31: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/31.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Ненормальные объемы данных запрашиваются хостом
Политика
![Page 32: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/32.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Передача ненормальных объемов данных во внешний мир
Политика
![Page 33: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/33.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
Когда?
Сколько?
Участник Участник
Каким образом?
![Page 34: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/34.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
Выберите узел для
исследования
Поиск исходящего трафика
![Page 35: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/35.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Netflow телеметрия Cisco Switches, Routers и
ASA 5500
Внутренняя сеть & периметр
Общий вид Анализ и контекст в
Lancope StealthWatch
Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее: • ISE отправляет identity данные в
CTD • NBAR из маршрутизаторов тоже попадает в CTD
• NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства
NetFlow
Данные контекста Cisco Identity, Device, Posture,
NAT, Application
Context
![Page 36: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/36.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
• Cisco ISE установлен в 1/3 всех проектов по Cisco Threat Defense (CTD)
Получение контекста от Cisco ISE
Политика Время старта
Тревога Источник Группа хостов источника
Имя пользователя
Тип устройства
Цель
Desktops & Trusted Wireless
Янв 3, 2013
Вероятная утечка данных
10.10.101.89 Атланта, Десктопы
Джон Смит Apple-iPad Множество хостов
![Page 37: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/37.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
• Поле Flow Action может добавить дополнительный контекст
• NSEL-отчетность на основе состояний для поведенческого анализа Сбор информации о отклоненных или разрешенных соединениях
Получение контекста от Cisco ASA / ISR / ASR
![Page 38: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/38.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
• Получение данные от сетевого оборудования с NetFlow, а также от сенсоров без поддержке NetFlow (например, VMware ESX)
• До 120.000 потоков в секунду на коллектор (до 3 миллионов на кластер)
• Понимание контекста
Масштабируемая архитектура
![Page 39: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/39.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
Комплексная защита от угроз в течение всего жизненного цикла атаки
Исследование Внедрение политик
Укрепление
Обнаружение Блокирование
Защита
Локализация Изолирование Восстановление
Жизненный цикл атаки
ДО ВО ВРЕМЯ
ПОСЛЕ
§ Идентификация разведывательной деятельности
§ Блокирование известных угроз § Обнаружение скрытых C&C § Отслеживание распространение вредоносного ПО внутри сети
§ Предотвращение утечек данных
§ Непрерывный мониторинг активов и активности
![Page 40: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/40.jpg)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
Основные компоненты CTD § Продукты Lancope StealthWatch
(SMC, FlowCollector, FlowSensor, FlowReplicator)
§ Интеграция с Cisco Identity Services Engine (ISE) v1.2, v1.3
§ ISE pxGrid API
§ Sourcefire NGIPS (FirePOWER, FireSIGHT)
§ Sourcefire AMP (network, endpoints, ESA, WSA)
§ Cloud Web Security Premium (с CTA, AMP)
Протестированные платформы Cisco § ISR G2
§ ASR 1000
§ Catalyst 3560-X/3750-X, 3850, 3650
§ Catalyst 2960-X (NetFlow Lite)
§ Catalyst 4500 Sup 7, Sup 8
§ Catalyst 6500 Sup 2T
§ ASA 5500-X with FirePOWER Services
§ NetFlow Generation Appliance (NGA)
![Page 41: Обнаружение аномальной активности в сети](https://reader034.vdocuments.pub/reader034/viewer/2022042615/55a5ebe41a28aba9548b46be/html5/thumbnails/41.jpg)
Спасибо!