endepunktsikkerhetmed cisco amp - uninett · hvorforvalgtentnu amp? • cisco sin holistiske...

23

Endepunktsikkerhet med Cisco AMP Christoffer V. Hallstensen Sr. Sikkerhetsanalytiker NTNU SOC Seksjon for digital sikkerhet, IT-avdelingen NTNU

Upload: others

Post on 15-Mar-2020

2 views

Category:

Documents

0 download

Report

Download

Embed Size (px):

TRANSCRIPT

Page 1: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

Endepunktsikkerhet med Cisco AMP

Christoffer V. HallstensenSr. Sikkerhetsanalytiker NTNU SOCSeksjon for digital sikkerhet, IT-avdelingen NTNU

Page 2: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

2

Agenda

• Kort om Cisco AMP• Hvorfor valgte NTNU AMP?• Avanserte funksjoner• Demo?

Page 3: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

3

Kort om Cisco AMP

• Beskyttelse– Global trusseleteretning (Cisco Talos)– Flere deteksjonsmotorer som jobber sammen– Kjøring av filer i sandkasse– Finner såbar programvare

• Deteksjon– Kontinuerlig monitorering og analyse– Deteksjon av misbruk av legitime verktøy

• Respons– Søke– Etterforske– Blokkere

• Skybasert / On-prem

Page 4: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

4

Deteksjonsmotorer

• TETRA: Signaturbasert antivirusmotor– Offline skanning, rootkit skanning og annet tradisjonell AV

utfører.– ClamAV benyttes på Linux og Mac

• SPERO: Skybasert maskinlæring (ser påhundrevis av egenskaper ved filen)

• ETHOS: Filgrupperingsmotor (Kontekstbasertdeteksjon)

Page 5: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

5

AMP vs EPP

https://blogs.cisco.com/security/endpoint-protection-platform-epp-vs-endpoint-detection-response-edr

Page 6: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

6

Hvorfor valgte NTNU AMP?

• Cisco sin holistiske tilnærming til sikkerhet• Cisco fremmer, og baserer seg mye på open source

(SourceFire, ClamAV, Snort, OpenDNS etc.)• Talos trusseletteretning• SOC Analytikervennlig (Mindre blackbox enn mange

andre løsninger)• Beskyttelse på og utenfor campus• REST API / Integrasjonsmuligheter• Avansert deteksjon og respons• Windows / Mac / Linux (Kunne vært bedre) / Android

Page 7: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

AVANSERTE FUNKSJONERKort gjennomgang av:

Page 8: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

8

Tilpasset deteksjon: Simpel

Page 9: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

9

Tilpasset deteksjon: Avansert

Page 10: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

10

Tilpasset deteksjon: Android

Page 11: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

11

Tilpasset deteksjon: Nettverk

Page 12: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

12

Applikasjonskontroll

• Blacklisting (SHA256)• Whitelisting (SHA256)

Page 13: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

13

Rotårsaksanalyse (1)

Page 14: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

14

Rotårsaksanalyse (2)

Page 15: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

15

Sårbar programvare

Page 16: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

16

Utbredelse

Page 17: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

17

Filanalyse (Sandkasse)

Page 18: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

18

Endpoint IOC skanner

• Verktøy for å skanne post-compromise IOCer• Flash scan: Kjørende prosesser, DLL, Tjenester,

Drivere, Task scheduler, Systeminformasjon, Brukerkonto informasjon, Browser historie ogdownloads, Windows eventlogger, nettverk ogDNS informasjon.

• Full scan: Windows register, alle filer på disk ogsystem restore points.

Page 19: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

DEMOOh oooh.

Page 20: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

Takk for meg

[email protected]: 481 35 180

NTNU SOC [email protected] Sikkerhet [email protected]

Page 21: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

21

Page 22: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

22

Page 23: Endepunktsikkerhetmed Cisco AMP - Uninett · HvorforvalgteNTNU AMP? • Cisco sin holistiske tilnærming til sikkerhet • Cisco fremmer, og baserer seg mye på opensource (SourceFire,

23

UMZINYATHI MEDICAL HEALTH · PDF filecccccc &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& cccccc &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& &&&&& &&&&&

JOHN BARRY SELECTIE - · PDF file-John Barry Selectie-DEMO SCORE & & & & & & & & & & & & &?????

Cisco Firepower Next-Generation Firewall · Mehr Bedrohungen beseitigen Dämmen Sie bekannte und unbekannte Malware ein durch die führende Cisco AMP und Sandboxing. Nutzen Sie die

Cisco AMP Threat Grid Appliance · Cisco AMP Threat Grid Appliance 설정 및 컨피그레이션 가이드. 버전 2.1.6 . 최종 업데이트: 2017년 1월 5일. Cisco Systems, Inc

WEB GÜVENLİK CİHAZI KULLANMA KILAVUZU CİSCO · AMP, TG gibi ek özellikler bu modeli değerlendirme moduna geçirecektir. Tablo 4. Cisco M Serisi İçerik Güvenliği Yönetim

Veterinary&Pathology&in&Animal& Biomedical&Research& · PDF fileVeterinary&School& Basic&Sciences && • Anatomy&(Gross,&Micro)& • Physiology • Immunology& • Virology& • Microbiology&

Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP

Cisco Advanced Malware Protection（AMP）/レト …Cisco Advanced Malware Protection（AMP）/レトロスペクティブで見えてくるマルウェアの挙動 Author Cisco

Обзор новых возможностей Cisco Advanced Malware Protection и AMP Threat Grid

Acano & Co. – Alternativen zu bisherigen ... · PDF fileBesprechungsraum 4A.200 (Cisco SX20, HD Beamer) Besprechungsraum 2A.250 (Cisco SX20, HD Beamer)

Security Everywhere · 2015-11-02 · • Talos Security Intelligence • AMP Threat Grid Intelligence • Cisco AMP Threat Grid Dynamic Analysis에서 매월생성되는1천만개파일

1ª GUERRA MUNDIAL 2013 HO - LISTA DE EXERCÍCIOS · PDF fileLISTA&DE&EXERCÍCIOS:&1ª&GUERRA&MUNDIAL& &!! ! !!!!!&& &Prof.&Rodolfo& 1.&(Upe&2013)&Operíodo&de&duração&da&Primeira&Guerra&

Sourcefire 3D システム - Cisco...バージョン 5.3 Sourcefire 3D システム仮想インストールガイド 5 仮想アプライアンスの概要 Sourcefire 3D System 仮想アプライアンス

Total&:&&&&&&/&100& Total&:&&&&&&&/20 ... - Banque de · PDF fileÉcolepolytechnique&de&montrÉal& dÉpartement&de&gÉnie&chimique& gch3100a–&opÉrations&unitaires& examen&final&automne&2011&

The World Against the Bad, Cisco AMP Solution to the Rescue

Introducción al Web Security Appliance (WSA) · 29/03/2016 · Tiene las siguientes certificaciones Cisco: CCNA&CCNP (Seguridad/R&S) ... 2. IPS/Sourcefire 3. ACS/ISE 4. ... Desafio-Respuesta

KULLANMA KILAVUZU CİSCO - Tech Data · AMP, TG gibi ek özellikler bu modeli değerlendirme moduna geçirecektir. Tablo 4. Cisco M Serisi İçerik Güvenliği Yönetim Cihazı Model

Sourcefire 8000 series

Cisco Support Community Expert Series Webcast · PDF fileITQ Instructor –CCNA R&S, CCNA Security, CCNP R&S, IT Essentials Instructor del año Cisco Networking Academy Latinoamérica

LapolíCcaenergéCcasostenible&como&mecanismo&de&miCgación ... · PDF fileinstalaciones&industriales,&petroleras,&gaseras&y&de&reﬁnación.&& & ... – Hipótesis& alternava:

Royal&Derma®&,&Mascarillas&& · PDF filelimpiar,&reparar,&nutrir&y&reestructurar&lapiel&de ... rigurosos& exámenes& y& diferentes& 8pos& de& tests& en& el& área de& cosmetología

Adidas - Innovation · PDF filemore&directcontrol:&Own&retail&stores&operated&by&Adidas&itself,&mono9branded&& Franchise&stores,&shop9in9shops,&co9branded&stores&with&sports

Event Photos - Cisco · ctsc CISCO Cisco Pc Cisco CISCO. CISCO. Key MarketingStrate Operational E Cisco Cisco CISCO. Amazi Togeth

Cisco AMP Threat Grid Ordering Guide · Cisco AMP Threat Grid는 매ࡘ 600만 개가 넘는 샘플 분۳ଞ는 클라ࡋ드 ۲ٺ스니다. ࢹ 세계에۲ 수집되는 ߈성코드

Sourcefire семинар

Prezentacja programu PowerPoint - Orange Polska · 2020. 10. 7. · Cisco AMP with SSL proxy, URL filtering, Cisco ... Application Aware Routing 10. Priorytetyzacja ruchu (CoS) 1

Пример отчета по анализу вредоносного кода TeslaCrypt, подготовленного Cisco AMP Threat Grid

AR RIYADH [PROPOSAL BISNIS] · PDF fileLinksys, Cisco & Mikrotik Data Center Hardware & Printer KEAHLIAN. Website, Database & SEO Kami sangat berpengalaman dalam dunia penerbitan piranti

Finale 2006 - [ ] - secult.ce.gov.br · PDF fileLAMENTOS De: Pixinguinha Arr:. Manoel Ferreira Lima & & & & & & & & & & & & & & &????? bb # # # # # # bb bb bb bb 10

ˇ - · PDF filec ˙ "˜0& "˛1&. ˛)$&2˛˛1$#3(˛ 7-˛4&)&3&˜&/.˝&7(&(,˝#&˜˛& $"!/$$&.!/&/&(.˜&) ˛3&5!& (˛#&$(7(/ ˝9’$ ˜(7&/7+.˜(˛ ... f 2/’!(˛’%(/4

Cisco Connect Japan 2014:サイバー攻撃・マルウェア脅威の防御を総合的に提供する Cisco AMP

0%-&.,& *%1+&)*2&-*% 3&)*#'&&) · PDF file0%-&.,& *%1+&)*2&-*% 3&)*#'&&) ... 5

Cisco BT çözümleriyle işletmenizi büyütün...Gelişmiş kötü amaçlı yazılım koruması: Cisco Gelişmiş Kötü Amaçlı Yazılım Koruması (AMP), önleme, sürekli izleme

Cisco START Catalog · Cisco AMP(Advanced Malware Protection) for Endpoints ... 리포트 등의 고급 기능도 활용할 수 있습니다. Cisco START는 다음과 같은 이점을

Cisco Security: Sourcefire Deep Dive Cisco Quick Hit Briefing Brian Avery Territory Business Manager, Cisco This session was recorded via Cisco WebEx!