1. Решение Cisco Threat
Defense (CTD) и
кибербезопасность
Павел Родионов
Системный инженер, Cisco EMEAR, Security
22.10.13
© 2010 Cisco Cisco and/or its affiliates. All reserved.
© 2010 and/or its affiliates. All rights rights reserved.
1

2. • Как сегодня работают кибератаки
• Как вы их можете их обнаружить
• Какие решения Cisco для этого
используются
• Как они работают и какие технологии
используют
© 2010 Cisco and/or its affiliates. All rights reserved.
2

3. •
•
•
•
Эволюция киберугроз
Пример целевой атаки
Защитные технологии (Netflow)
Обзор решения Cisco Cyber Threat
Solution
• Варианты использования CTD
• Q&A
© 2010 Cisco and/or its affiliates. All rights reserved.
3

4. ILOVEYOU
Melissa
Anna Kournikova
Вирусы (1990)
Защита: Anti-Virus, Firewalls
Черви (2000)
Защита: Intrusion Detection & Prevention
Ботнеты (конце 2000-х и до сегодняшнего дня)
Защита: Репутация, DLP, NGFW
Advanced Persistent Threats (APTs) (
сегодня – целевые проработанные атаки)
Стретегия: Обзор и контекст
© 2010 Cisco and/or its affiliates. All rights reserved.
Nimda
SQL Slammer
Conficker
Tedroo
Rustock
Conficker
Aurora
Shady Rat
Duqu
Gauss
ZeuS
…
4

5. Любой может являться целью
…
Публикация информации о запуски кибератак против другой страны может
только дать оправдание этой стране для создания кибервойск…
Пожалуйста, не запускайте никаких бесцельных атак, реальная атака должна
фатально повредить сеть противника или похитить ценную информацию…
Все атаки должны производиться скрыто, вместо того, чтобы активно об этом
провозглашать
…
http://www.chinahush.com/2010/09/15/honker-union-of-china-to-launch-network-attack-against-japan-is-a-rumor/
До 9% рабочих станций в enterprise инфицировано ботами
http://www.darkreading.com/end-user/up-to-9-percent-of-machines-in-an-enterp/220200118
Из банков США похищены миллионы после атаки на 'wire payment switch’.
Ограблены три банка путем отвлечения внимания DDOS атакой… мошенники
исползовали Dirt Jumper, инструмент стоимостью $200 для запуска атак DDoS
http://www.scmagazine.com.au/News/354155,millions-stolen-from-us-banks-after-wire-payment-switch-targeted.aspx
Касперский: “Icefog”: Новая волна кибершпионажа
http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_exposes_Icefog_a_new_cyber-espionage_campaign_focusing_on_supply_chain_attacks
© 2010 Cisco and/or its affiliates. All rights reserved.
5
5

6. Если вы большой, вы основная цель киберугроз
3 октября 2013
У Adobe похищен исходный код и данные пользователей
…Adobe сообщила, что она пострадала от длительного взлома корпоративной
сети, в результате которого хакеры нелегально получили доступ к исходному
коду нескольких широко используемых приложений, а также к паролям и
другой чувствительной информации более чем трех миллионов заказчиков…
http://arstechnica.com/security/2013/10/adobe-source-code-and-customer-data-stolen-in-sustained-network-hack/
20 сентября 2013
Атака на Belgacom: Британская разведка взломала бельгийские телекомкомпании
…Кибератака на интернет-системы основной бельгийской
телекоммуникационной компании, Belgacom является настолько сложной и
массированной, что ни одна компания или страна не может ей
противостоять…
http://www.theguardian.com/uk-news/2013/oct/03/gchq-eu-surveillance-cyber-attack-belgian
© 2010 Cisco and/or its affiliates. All rights reserved.
6
6

7. … как это делают ваши враги
XX X
XOX
XXO
O
© 2010 Cisco and/or its affiliates. All rights reserved.
7
7

8. Initial Infection by 0-Day
• USB флеш с вредоносным
кодом
• Социальная инженерия
• Email в вредоносным
вложением
• Открытый WLAN MITM
• Офисный документ с
вредононым кодом
• Аппаратный кейлоггер
• Уязвимость серверного
приложения
• Drive-by-Download
• Любой другой вектор атаки…
© 2010 Cisco and/or its affiliates. All rights reserved.
8

9. Цель достигнута, защитная
инфраструктура обойдена
C&C Server
Управляющий
канал
© 2010 Cisco and/or its affiliates. All rights reserved.
• Утечки данных
• Повреждения
• Манипуляция (исходный код)
9

10. Кто?
• Страна? Конкуренты? Частные лица?
Что?
• Что является целью?
Когда?
Где?
Зачем?
Как?
© 2010 Cisco and/or its affiliates. All rights reserved.
• Когда атака наиболее активна и с чем
это связано?
• Где атакующие? Где они наиболее
успешны?
• Зачем они атакуют – что конкретно их
цель?
• Как они атакуют – Zero-day?
Известные уязвимости? Инсайдер?
10

11. Кто?
• Кто в моей сети?
Что?
• Что делают пользователи? Приложения?
• Что считать нормальным поведением?
Когда?
• Устройства в сети? Что считать нормальным
состоянием?
Где?
• Где и откуда пользователи попадают в сеть?
• Внутренние? eCommerce? Внешние?
Зачем?
Как?
© 2010 Cisco and/or its affiliates. All rights reserved.
• Зачем они используют конкретные
приложения?
• Как всё это попадает в сеть?
11

12. “Что поможет
ответить на эти
вопросы?
© 2010 Cisco and/or its affiliates. All rights reserved.
12

13. Источники всех данных
Маршрутизация всех запросов
Управление всеми устройствами
СЕТЬ
Контроль всех потоков
Контроль всех данных
Видимость всего трафика
© 2010 Cisco and/or its affiliates. All rights reserved.
Контроль всех пользователей
13

14. © 2010 Cisco and/or its affiliates. All rights reserved.
14

15. • Из всех критичных и важных точек
© 2010 Cisco and/or its affiliates. All rights reserved.
15

16. Телеметрия Netflow идет в двух видах
Sampled
• Небольшое подмножество трафика, меньше 5%, собирается и
используется для генерирования телеметрии. Это дает краткую
характеристику сетевой активности, как читать книгу,
перелистывая по 20 страниц за раз.
Unsampled
• Для генерирования тереметрии используется весь трафик, он
обеспечивает полный обзор всей активности в сети. Используя
аналогию с книгами – мы читаем ее от начала и до конца не
пропуская ни одного слова.
Сложная, скрытая природа
новых киберугроз требует
полного обзора всей сети
через Netflow
© 2010 Cisco and/or its affiliates. All rights reserved.
Только определенные
коммутаторы Cisco Catalyst
могут предоставить Unsampled
NetFlow на скорости канала без
влияния на производительность
16

17. Выследите атакующего
Netflow Record
Router# show flow monitor CYBER-MONITOR cache
…
IPV4 SOURCE ADDRESS:
192.168.100.100
IPV4 DESTINATION ADDRESS: 192.168.20.6
TRNS SOURCE PORT:
47321
TRNS DESTINATION PORT: 443
INTERFACE INPUT:
Gi0/0/0
IP TOS:
0x00
IP PROTOCOL:
6
ipv4 next hop address: 192.168.20.6
tcp flags:
0x1A
interface output:
Gi0/1.20
counter bytes:
1482
counter packets:
23
timestamp first:
12:33:53.358
timestamp last:
12:33:53.370
ip dscp:
0x00
ip ttl min:
127
ip ttl max:
127
application name:
nbar secure-http
…
© 2010 Cisco and/or its affiliates. All rights reserved.
17

18. Не все выглядит так, как кажется…
© 2010 Cisco and/or its affiliates. All rights reserved.
18
18

19. …Могут быть разные варианты использования
© 2010 Cisco and/or its affiliates. All rights reserved.
19
19

20. “Введение в Cisco
Cyber Threat Defense
© 2010 Cisco and/or its affiliates. All rights reserved.
20

21. Решаемые задачи для безопасности
Знать нарушителя
1.
2.
3.
Защита от известных и
неизвестных атак , включая
сложные, фокусные атаки,
DoS/DDoS на ресурсы
компании
Раннее автоматическое
выявление вирусов
Раннее обнаружение
инсайдеров
4.
Обнаружение нецелевого
использования сетевых
ресурсов
5.
Расследование инцидентов
безопасности
© 2010 Cisco and/or its affiliates. All rights reserved.
21

22. 1.
Быстрое и эффективное
выявление проблем в сети
2.
Мониторинг активности
пользователей и приложений
в реальном времени
3.
Просмотр детальной
исторической статистики
4.
Планирование развития
сети
5.
Демонстрация выполнения
SLA
© 2010 Cisco and/or its affiliates. All rights reserved.
22

23. Full Netflow
Sampled Netflow
Устройства Netflow
Catalyst 4500
Supervisor 7E/L
Catalyst 6500
Supervisor 2T
ASA-5500-X(NSEL)
Nexus 1k*
Nexus 7k M Series*
Nexus 7k F2 Series*
Nexus 6k*
Nexus 2k on 7k*
NGA-3240
ASR 1000(NBAR)
ISR-G2(incl. NBAR)
LanCope StealthWatch
Catalyst 3850*
WLC (incl. NBAR)**
Catalyst 2960X LanBase*
Информация о соеднинениях
© 2010 Cisco and/or its affiliates. All rights reserved.
Flow
Sensor
Monitoring
Flow
Collector
Collection/Analysis
StealthWatch
Management
Console
Presentation
Cisco Indentity Service Engine
Catalyst 3500-X
10G-Servicemodul
Cisco
ISE
Use
r
Device
Информация идентификации
23

24. «Выравнивание» и обнаружение аномалий с помощью Netflow
© 2010 Cisco and/or its affiliates. All rights reserved.
24
24

25. • Обнаружение сложных и постоянных угроз. Вредоносный код,
который проходит периметр может долго оставаться внутри сети и
внезапно нанести удар. Это могут быть атаки нулевого дня, для
обнаружения которых не существует сигнатур, или которые сложно
обнаружить по каким-то другим причинам.
• Идентификация активности управляющих BotNet
серверов. Ботнеты внедряются в корпоративные сети и
выполняют команды своих хозяев для отправки SPAM, DDoS
или другой вредоносной деятельности.
• Обнаружение попыток рекогнисцировки сети. Первый шаг
большинства атакующих – обнаружение ресурсов сети.
• Обнаружение malware внутри сети. Распространение
malware может осуществляться для сбора данных о сети,
хищении данных или создания брешей в безопасности.
• Обнаружение утечек данных. Код может быть скрыт или зашумлен
для того, чтобы иметь возможность экспортировать чувствительную
информацию. Эти утечки может происходить быстро, или со временем.
© 2010 Cisco and/or its affiliates. All rights reserved.
25

26. Обзор
Управление
Другой
анализатор
трафика
NetFlow
NetFlow
NetFlow
StealthWatch
FlowCollector*
Netflow
enabled
device
StealthWatc
h
Management
Console*
SSL
StealthWatch
FlowReplicator
(опционально)
Не Netflow
устройство
StealthWatch FlowSensor*
или
Cisco Netflow Generation
Appliance (NGA)
(опционально)
© 2010 Cisco and/or its affiliates. All rights reserved.
Cisco
ISE
* Виртуальный или физический
26

27. 3 миллиона
потоков в
секунду
X каждый
Интерфейс
настраиваемый вид для
разных команд – ИТ, ИБ,
виртуализация
Управление и
отчеты
StealthWatch
Management
Console
Flow Collectors
X2
StealthWatch FC
для NetFlow
полное
резервирование между
основной и резервной
X 25
До 25 коллекторов
X 2000
Flow Exporters
Маршрутизаторы, коммутаторы
Physical
© 2010 Cisco and/or its affiliates. All rights reserved.
FlowSensor
FlowSensor VE
До 2000
устройств и до
120 тыс потоков
в сек.
Virtual
27

28. Дубликаты
Router A: 10.2.2.2:1024 -> 10.1.1.1:80
Router B: 10.2.2.2:1024 -> 10.1.1.1:80
Router C: 10.1.1.1:80 ->
10.2.2.2:1024
10.2.2.2
port
1024
Router B
Router C
Router A
•
•
•
•
•
Без de-duplication:
• Неправильные отчеты об объемах
трафика
• Могут произойти ложные срабатывания
Эффективное хранение данных о потоках
Необходимо, для аккуратных отчетов уровня
хоста
Не удаляет данные
Включает NAT
© 2010 Cisco and/or its affiliates. All rights reserved.
10.1.1.1
port 80
28
28

29. eth0/2
eth0/1
Сиплексные
записи
10.2.2.2
port
1024
10.1.1.1
port 80
Start Time
Interfac
e
Src IP
Src Port
Dest IP
Dest Port Proto
Pkts Sent Bytes
Sent
10:20:12.221
eth0/1
10.2.2.2
1024
10.1.1.1
80
TCP
5
1025
10:20:12.871
eth0/2
10.1.1.1
80
10.2.2.2
1024
TCP
17
28712
Start Time
Client IP Client
Port
Server
IP
Server
Port
Proto
Client
Bytes
Client
Pkts
Server Server Pkts
Bytes
Interfaces
10:20:12.221
10.2.2.2
10.1.1.1
80
TCP
1025
5
28712
eth0/1
eth0/2
1024
17
Дуплексные записи:
• Запись сесии в потоке
• Простая визуализация и анализ
© 2010 Cisco and/or its affiliates. All rights reserved.
29
29

30. Параметр «Concern Index» показывает
количество подозрительных событий,
которые отклюняются от установленного
шаблона
Host
Groups
Host
CI
CI%
Alarms
Alerts
Desktops
10.10.101.118
338,137,280
8656%
High Concern
index
Ping, Ping_Scan, TCP_Scan
Мониторинг и выравнивание деятельности для хоста
или группы хостов
© 2010 Cisco and/or its affiliates. All rights reserved.
30

31. Привязка потоков и поведения к пользователям и устройствам
Policy
Start
Active
Time
Alarm
Source
Source
Host
Groups
Source
User Name
Device
Type
Switch
Port
Desktops
& Trusted
Wireless
Jan 3,
2013
Suspect Data
Loss
10.10.101.
89
Atlanta,
Desktops
John
Chambers
AppleiPad
Cat 7/42
© 2010 Cisco and/or its affiliates. All rights reserved.
31
31

32. Предупрежнение о
связи с известным
Botnet Controller
Имя
пользователя
IP адрес
Политика,
вызвавшая
alarm
Policy
Start
Active
Time
Alarms
Source
Source
Host
Groups
Source
User
Name
Target
Target Host
Group
Inside
Hosts
Jan 27,
2012
Host Lock
Violation
10.35.88.171
Remote
VPN
Bob
ZeusCCServer.com
Zeus BotNet
Controllers
© 2010 Cisco and/or its affiliates. All rights reserved.
32
32

33. Policy
Start
Active
Time
Alarm
Source
Inside Hosts
8-Feb2012
Suspect
Data Loss
10.34.74.123
© 2010 Cisco and/or its affiliates. All rights reserved.
Sour Source Targe
ce Userna
t
Host
me
Grou
p
Wired
Data
Bob
Multiple
Hosts
Details
Observed 4.08G bytes.
Policy Maximum allows
up to 81.92M bytes.
33
33

34. 5. Увеличивается “concern
index”. Генерируются
предупреждения о
подозрительной активности
Управление
StealthWatch
FlowCollector
3. Сбор и анализ
данных Netflow
StealthWatch
Management
Console
Cisco
ISE
4. Добавляем к анализу
конекстную информацию
2. Инфраструктура генерирует
записи с использованием
NetFlow
Device
s
Internal Network
1. Инфицированные хост выполняет
случайные ping и TCP SYN по всей
сети
© 2010 Cisco and/or its affiliates. All rights reserved.
NetFlow Capable
34
34

35. 5. Увеличивается «Concern
index». Генерируется Worm
propagation Alarm
Управление
3. Сбор и анализ
данных Netflow
StealthWatch
FlowCollector
StealthWatch
Management
Console
Cisco
ISE
4. Добавляем контекст
Первоначальная
инфекция
Devices
Вторичная
инфекция
2. Инфраструктура генерирует
записи об активности с
помощью Netflow
Internal Network
1. Инфекция распространяется через
внутреннюю сеть, чтобы атакующий
достиг своей цели.
© 2010 Cisco and/or its affiliates. All rights reserved.
NetFlow
Capable
35
35

36. 5. Увеличивается «Concern
index». Генерируется Worm
propagation Alarm
Управление
3. Сбор и анализ
данных Netflow
StealthWatch
FlowCollector
StealthWatch
Management
Console
Cisco
ISE
4. Добавляем контекст
Первоначальная
инфекция
Devices
Вторичная
инфекция
2. Инфраструктура генерирует
записи об активности с
помощью Netflow
Internal Network
Третичная
инфекция
1. Инфекция распространяется через
внутреннюю сеть, чтобы атакующий
достиг своей цели.
© 2010 Cisco and/or its affiliates. All rights reserved.
NetFlow
Capable
36
36

37. Первоначальная инфекция
Вторичная инфекция
Третичная инфекция
© 2010 Cisco and/or its affiliates. All rights reserved.
37
37

38. San Jose
RTP
Amsterdam
Tokyo
Bangalore
Sydney
15.6 млрд потоков/день
90 дней срок хранения
© 2010 Cisco and/or its affiliates. All rights reserved.
38
38

39. Экспорт потоков
Cisco
ASR
1000 или
ISR G2
Cisco
ASA
Cisco
NGA
Cisco Catalyst 3560-X, 3750-X, 4500 (Sup7-E,7LE), 6500 (Sup2T)
Cisco ISR
Cisco ASR 1000
Cisco ASA 5500
Cisco NGA
Агрегация, анализ, контекст
Model
Max Exporters
Max Hosts
Storage
FlowCollector VE
30.000*
1000
500.000
1TB
FlowCollector
1000
30.000
500
250.000
1TB
FlowCollector
2000
60.000
1000
500.000
2TB
FlowCollector
4000
Cisco ISE
(опционально)
Max Flows
120.000
2000
1.000.000
4TB
Обзор и управление
Model
Max FlowCollectors
Storage
StealthWatch Management Console VE
5*
1TB
StealthWatch Management Console 1000
5
1TB
StealthWatch Management Console 2000
25
2TB
© 2010 Cisco and/or its affiliates. All rights reserved.
+ лицензии на потоки
1.000, 25.000, 50.000,
100.000
39

40. • Решение Cisco Cyber Thread Defense (CTD) состоит из
инфраструктуры Cisco из Lancope Stealthwatch
• Все компоненты могут быть заказаны у Cisco
• ASA и ASR приносят знание NAT к решению
• Добавление ISE добавляет информацию об идентификации
• CTD поддерживает обнаружение атак в реальном времени и
проведение расследований
• CTD – это одно окно для анализа поведения сети, как для IT, так и для
ИБ
• Lancope – лучший в сфере Network Behaviour Analysis
• CTD умеет обнаруживать атаки 0-го дня и APT с помощью поведенческого
анализа
© 2010 Cisco and/or its affiliates. All rights reserved.
40

41. © 2010 Cisco and/or its affiliates. All rights reserved.
41

42. © 2010 Cisco and/or its affiliates. All rights reserved.
42

43. © 2010 Cisco and/or its affiliates. All rights reserved.
43

44. Thank you.