Enviar búsqueda
Cargar
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованного трафика
•
0 recomendaciones
•
337 vistas
Cisco Russia
Seguir
Смотрите записи докладов форума по ссылке: http://cs.co/9000DR0Sg
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 102
Descargar ahora
Descargar para leer sin conexión
Recomendados
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Инновации Cisco для коммутации в корпоративных сетях
Инновации Cisco для коммутации в корпоративных сетях
Cisco Russia
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
Аналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
Recomendados
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Инновации Cisco для коммутации в корпоративных сетях
Инновации Cisco для коммутации в корпоративных сетях
Cisco Russia
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
Аналитика в ЦОД
Аналитика в ЦОД
Cisco Russia
Cisco Enterprise NFV
Cisco Enterprise NFV
Cisco Russia
Инновации Cisco для маршрутизации в корпоративных сетях
Инновации Cisco для маршрутизации в корпоративных сетях
Cisco Russia
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Cisco Russia
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Cisco Russia
Архитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данных
Cisco Russia
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Cisco Russia
Методики и инструменты для самостоятельного решения проблем в сети
Методики и инструменты для самостоятельного решения проблем в сети
Cisco Russia
Подходы к мониторингу информационных систем
Подходы к мониторингу информационных систем
Cisco Russia
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Cisco Russia
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
S-Terra CSP
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Cisco Russia
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Cisco Russia
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
Cisco Russia
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)
Cisco Russia
Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1
Cisco Russia
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Más contenido relacionado
La actualidad más candente
Cisco Enterprise NFV
Cisco Enterprise NFV
Cisco Russia
Инновации Cisco для маршрутизации в корпоративных сетях
Инновации Cisco для маршрутизации в корпоративных сетях
Cisco Russia
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Cisco Russia
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Cisco Russia
Архитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данных
Cisco Russia
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Cisco Russia
Методики и инструменты для самостоятельного решения проблем в сети
Методики и инструменты для самостоятельного решения проблем в сети
Cisco Russia
Подходы к мониторингу информационных систем
Подходы к мониторингу информационных систем
Cisco Russia
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Cisco Russia
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
S-Terra CSP
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Cisco Russia
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Cisco Russia
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
Cisco Russia
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)
Cisco Russia
Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1
Cisco Russia
La actualidad más candente
(20)
Cisco Enterprise NFV
Cisco Enterprise NFV
Инновации Cisco для маршрутизации в корпоративных сетях
Инновации Cisco для маршрутизации в корпоративных сетях
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Архитектура Cisco ACI и обеспечение безопасности в современном ЦОД
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Архитектура безопасности современных центров обработки данных
Архитектура безопасности современных центров обработки данных
Платформы безопасности очередного поколения
Платформы безопасности очередного поколения
Методики и инструменты для самостоятельного решения проблем в сети
Методики и инструменты для самостоятельного решения проблем в сети
Подходы к мониторингу информационных систем
Подходы к мониторингу информационных систем
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Развитие семейства коммутаторов для ЦОД Cisco Nexus
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Cisco FirePower
Cisco FirePower
Краткий обзор Cisco Cyber Threat Defense
Краткий обзор Cisco Cyber Threat Defense
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Принципы и подходы Cisco для автоматизации в сетях операторов связи
Развитие сетевой архитектуры для ЦОД Cisco ACI
Развитие сетевой архитектуры для ЦОД Cisco ACI
Безопасность и виртуализация в центрах обработки данных (часть 2)
Безопасность и виртуализация в центрах обработки данных (часть 2)
Обзор портфолио технических сервисов Cisco - часть 1
Обзор портфолио технических сервисов Cisco - часть 1
Similar a Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованного трафика
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Russia
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Cisco Russia
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
Aleksey Lukatskiy
Программируемость и автоматизация решений Ciscо - практическое применение
Программируемость и автоматизация решений Ciscо - практическое применение
Cisco Russia
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Cisco Russia
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Cisco Russia
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасность
Cisco Russia
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Cisco Russia
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Cisco Russia
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Cisco Russia
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cisco Russia
Программируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco Nexus
Cisco Russia
Cisco Cloud Security
Cisco Cloud Security
ifedorus
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
Cisco Russia
алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
Cisco DNA Campus Fabric
Cisco DNA Campus Fabric
Cisco Russia
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Cisco Russia
Next Generation Campus Architecture
Next Generation Campus Architecture
Cisco Russia
Similar a Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованного трафика
(20)
Cisco Threat Defense (Cisco Stealthwatch)
Cisco Threat Defense (Cisco Stealthwatch)
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
Программируемость и автоматизация решений Ciscо - практическое применение
Программируемость и автоматизация решений Ciscо - практическое применение
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасность
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Архитектура, конфигурирование, поиск и устранение неисправностей функций Reco...
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Программируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco Nexus
Cisco Cloud Security
Cisco Cloud Security
Семинар «Системы сетевого управления»
Семинар «Системы сетевого управления»
алексей лукацкий 1
алексей лукацкий 1
Cisco DNA Campus Fabric
Cisco DNA Campus Fabric
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Облачные приложения и построение платформ для них на базе Openstack Дмитрий Х...
Next Generation Campus Architecture
Next Generation Campus Architecture
Más de Cisco Russia
Service portfolio 18
Service portfolio 18
Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Cisco Russia
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Cisco Russia
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
Cisco Russia
Интуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнеса
Cisco Russia
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Cisco Russia
Más de Cisco Russia
(20)
Service portfolio 18
Service portfolio 18
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Umbrella
Cisco Umbrella
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Как развернуть кампусную сеть Cisco за 10 минут? Новые технологии для автомат...
Безопасность сети. От точечных решений к целостной стратегии
Безопасность сети. От точечных решений к целостной стратегии
Интуитивная сеть как платформа для надежного бизнеса
Интуитивная сеть как платформа для надежного бизнеса
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Эволюция архитектуры унифицированных Коммуникаций и обновление продуктовой ли...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованного трафика
1.
Мониторинг угроз с использованием StealthWatch: Детальный
обзор Павел Родионов CSE Security, Cisco CCIE #11155, GREM
2.
• Введение • Использование
сетевой телеметрии • Организация данных • Обнаружение Индикаторов Компрометации • Расследование вторжения • Итоги Программа
3.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public “ Мир полон очевидных вещей, которых никто не замечает.” Шерлок Холмс, Собака Баскервилей 3
4.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Социальный эксперимент: 200 USB Flash оставили в публичных местах 4 15.11.20 17 http://www.net-security.org/secworld.php?id=19033
5.
• Введение • Использование
сетевой телеметрии Программа
6.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Об этой сесии: Видимость через изучение данных Возможность понять: • Откуда данные пришли • Как данные обрабатываются • Как использовать эти данные 6
7.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Что объединяет всех? СЕТЬ Видимость всего трафика Маршрутизация всех запросов Источники всех данных Контроль всех данных Управление всеми устройствами Контроль всех пользователей Контроль всех потоков
8.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Сетевая телеметрия Коммутатор распределения/ ядра Коммутатор доступаАгент хоста МСЭ Прокси сервер Идентификация AD и DNS Talos Глобальный интеллект Изолированные знания основанные на функции и расположении Телеметрия: процесс автоматизированной коммуникации при котором измерения и другие данные собираются на удаленных или недоступных точках и передаются на оборудование получателя для анализа и мониторинга. https://en.wikipedia.org/wiki/Telemetry Сетевые устройства
9.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Аналитика данных с помощью телеметрии: Идентификация дополнительных Индикаторов Компрометации (IoC) • Политики и Сегментация • Сетевое поведение и Обнаружение Аномалий (NBAD) Лучше понимать / реагировать на IOC: • Аудит всех коммуникаций между хостами Обнаружение • Идентификация бизнес-критичных приложений и сервисов в сети 9
10.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Cisco Stealthwatch Коммутатор распределения/ ядра Коммутатор доступа AD и DNS Talos Глобальный интеллект Cisco Stealthwatch: Это коллектор и аггрегатор сетевой телеметрии с целью аналитики безопасности и мониторинга 10 Агент хоста МСЭ Прокси сервер Идентификация Изолированные знания основанные на функции и расположении Сетевые устройства
11.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public “Информация! Мне нужна информация! Я не могу лепить кирпичи без глины! Шерлок холмс, Медные буки Понять сетевую телеметрию Сетевой трафик входит Сетевой трафик выходит Отчет Решение 11
12.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Версии NetFlow Версия 5 Фиксированный формат 18 Заданных полей Версия 9 Шаблонная 108 Заданных полей IPFIX Стандартизована Шаблонная Поля изменяемой длины 450+ Заданных полей 12
13.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Транзакционная телеметрия с NetFlow 10.2.2.2 port 1024 10.1.1.1 port 80 eth0/1 eth0/2 Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH 13
14.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Обработка телеметрии: “Склеивание сессий” 10.2.2.2 port 1024 10.1.1.1 port 80 eth0/1 eth0/2 Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Bytes Server Pkts Client SGT Server SGT Interfaces 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 100 1010 eth0/1 eth0/2 Однонаправленные потоки Двунаправленные: • Запись двусторонней сессии • Позволяет легко визуализировать и анализировать Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent SGT DGT 10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 14
15.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 15 Обработка телеметрии: “Дедупликация” Start Time Client IP Client Port Server IP Server Port Proto Client Bytes Client Pkts Server Bytes Server Pkts App Client SGT Server SGT Exporter, Interface, Direction, Action 10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 HTTP 100 1010 Sw1, eth0, in Sw1, eth1, out Sw2, eth0, in Sw2, eth1, out ASA, eth1, in ASA, eth0, out, Permitted ASA eth0, in, Permitted ASA, eth1, out Sw3, eth1, in Sw3, eth0, out Sw1, eth1, in Sw1, eth0, out 10.2.2.2 port 1024 10.1.1.1 port 80 Sw1 Sw2 Sw3 ASA
16.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Stealthwatch Системные компоненты UDP Director • UDP Копир пакетов • Отправляет на разные узлы • Отказоустойчивость • 2 физических и виртуальных модели Stealthwatch Flow Sensor • Генерирует IPFIX из SPAN/TAP • Контекстные поля (прим. App,URL,SRT,RTT) • Физические и виртуальные модели Stealthwatch Flow Collector • Сбор и анализ • До 4000 экспортеров • До одновременно 240,000 fps • 4 физических и 3 виртуальных модели Stealthwatch Management Console • Управление и отчетность • До 25 Flow Collectors • До 6 миллионов fps глобально • 2 физических и виртуальных модели • Отказоустойчивость Endpoint License Concentrator • Собирает AnyConect NVM потоки данных и отправляет на Flow Collector • Виртуальный аплаенс Cloud License Concentrator • Собирает потоки с Cloud License Agents и отправляет их на FC Cisco Security Packet Analyzer • Полный пакетный захват на сети • 2 физические модели 16
17.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 17 Stealthwatch: Построение таблицы потоков NetFlow / IPFIX weblogs Описание групп Данные интеллекта угроз Идентификация Пользователя/ Устройства Транзакционные Контекстные Таблица потоков
18.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 18 Двусторонняя запись потока Кто КтоЧто Когда Как Где • Связанный и дедуплицированный • Отображение в виде полной сессии • Высокомасштабируемый сбор и компрессия данных • Месяцы хранения данных Больше контекста
19.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Контекстная телеметрия “Это мелочи, но нет ничего важнее мелочей. Шерлок Холмс, Медные буки IP Адрес: 10.10.10.10 Кто? Что? Где? 19
20.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 20 Концепция: Хост • Любой IP Адрес наблюдаемый Flow Collector или SMC из источников телеметрии • Для каждого хоста, StealthWatch • Собирает метаданные • Строит профиль поведения
21.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 21 Концепция: Группы хостов Применяем знание окружения • Виртуальный контейнер IP адресов • Задается пользователем • Схожие атрибуты • Моделирование любого процесса/приложения
22.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public ISE как источник Телеметрии Таблица Аутентифицированных Сессий Cisco ISE • Хранит историческую таблицу сессий • Корреляция NetFlow с пользователем • Построение отчетов на пользователя Stealthwatch Management Console pxGrid • Аутентификация Пользователя / Устройства • Профиль устройства • Пассивная идентификация 22
23.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Глобальный интеллект Stealthwatch Threat Intelligence License • Известные C&C Сервера • Tor Входы и Выходы 23
24.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public “Обогащенная” запись сессии ISE Телеметрия NBAR Применяем группировку Flow Sensor Гео-IP Threat Intelligence AnyConnect NVM 24
25.
• Введение • Использование
сетевой телеметрии • Организация данных Программа
26.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 26 Со стороны: SMC Интерфейс 1: Java (Swing) Клиент • Оригинальный интерфейс • Годы разработки и функциональности • Сделан инженерами для инженеров • Новые разработки минимальны Просмотр отчетов Дерево Enterprise
27.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Со стороны: SMC Интерфейс 2: “Web” Интерфейс • Представлен в Stealthwatch 6.5 • Новые функции добавляются сюда Функции уникальные для WEB интерфейса: • ISE Remediation • Собственные события • SGT поля в Flow Record • Web данные прокси • Данные с Endpoint • Настройка Active Directory • Частные приложения • Управление работами • “First Seen” 27
28.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 28 Хостовый отчет о подозрительном хосте
29.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Карта потоков данных PCI Zone Map Общий системный профиль Внутрисистемное взаимодействие Используйте карты для концентрации внимания! 29
30.
• Введение • Использование
сетевой телеметрии • Организация данных • Обнаружение Индикаторов Компрометации Программа
31.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Концепция: Индикатор компрометации IDS/IPS тревоги Анализ логов (SIEM) Анализ данных Внешние уведомления Поведенческий анализ Мониторинг активности Свидетельство, наблюдаемое в сети или операционной системе указывающее на высокую вероятность компроиметации • http://en.wikipedia.org/wiki/Indicator_of_compromise Анализ аномалий Хэши файлов IP Адреса 31
32.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public IoC из аналитики данных Поведенческий анализ: • Использует понимание не нормального поведения • Политика и сегментация Обнаружение аномалий: • Идентификация отклонений от “нормы” 32
33.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Обнаружение угроз с StealthWatch Модель безопасности StealthWatch 33
34.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public События безопасности (“Алгоритмы”) Security Event Security Event Security Event Security Event Security Event 34
35.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Категории (“Индексы”) События безопасности (“Алгоритмы”) Security Event Security Event Security Event Security Event Security Event CI TI Recon C&C 35
36.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Security Event Security Event Security Event Security Event События безопасности (“Алгоритмы”) CI TI Recon C&C Категории (“Индексы”) Alarm Alarm Alarm Alarm Alarm Тревоги (“Уведомления”) Security Event 36
37.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Security Event Security Event Security Event Security Event Security Event Alarm Alarm Alarm Alarm Alarm CI TI Recon C&C 37 События безопасности (“Алгоритмы”) Категории (“Индексы”) Тревоги (“Уведомления”)
38.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Fake Application Security Event Security Event Security Event Security Event Alarm Alarm Alarm Alarm Alarm CI TI Recon C&C 38 События безопасности (“Алгоритмы”) Категории (“Индексы”) Тревоги (“Уведомления”)
39.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Fake Application Security Event Security Event Security Event Security Event Alarm Alarm Alarm Alarm Alarm CI TI Recon C&C 39 События безопасности (“Алгоритмы”) Категории (“Индексы”) Тревоги (“Уведомления”)
40.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public SQLF Security Event Security Event Security Event Security Event Alarm Alarm Alarm Alarm Alarm CI TI Recon C&C 40 События безопасности (“Алгоритмы”) Категории (“Индексы”) Тревоги (“Уведомления”)
41.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Категории тревог Каждая категория набирает очки 41
42.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Stealthwatch: Тревоги • Показывает серьезные отклонения в поведении и нарушение политики • Известные и неизвестные атаки генерируют тревоги • Активность выбивающаяся из нормы, разрешенного поведения или установленных политик 42
43.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Анализ поведения: Известное плохое поведение 43
44.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Сегментация и мониторинг PCI Zone Map Запрещенные взаимодействия Межсистемное взаимодействие 44
45.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 45 Нарушение политик: Политики хоста Клиентская группа Группа серверов Условия клиентского трафика Условия Серверного трафика Удачное или неудачное соединение
46.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Нарушение политик: Политики хоста 46 Связи в нарушении политики • Мониторинг активных тревог в соответствии с политикой
47.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Нарушение политик: Собственные события Экран тревог показывает все тревоги Показаны детали по “Employee to Productions Servers” тревоги 47
48.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Обнаружение аномалий: Отклонение от нормы Вино?! 48
49.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 49 Пример категории тревог: Concern Index Concern Index: Отслеживает хосты, нарушающие целостность сети 87 различных алгоритмов составляют CI начиная с v6.9.1
50.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public High Concern Index Отклонение от базового уровня на 2,432%! 50
51.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Пример события: Suspect Quiet Long Flow Соединение между внутренней и внешней сетью (с трафиком в обе стороны), которое превышает длительность “Секунды для квалификации потока как длинного” и передает подозрительно маленький объем информации Политика по-умолчанию 51
52.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Пример события: Suspect Data Loss Указывает что внутренний хост выгрузил необычно большое количество данных наружу. 52 Политика по-умолчанию
53.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Подозрение на сбор данных: • Необычно большой поток данных от внутренних хостов на один хост Таргетированный сбор данных: • Необычно большой объем данных исходящий намногие хосты Пример алгоритма: Data Hoarding 53
54.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Suspect Data Hoarding Сбор данных • Необычно большой поток данных от внутренних хостов на один хост • Политики и поведение 54
55.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 55 Менеджер политик хостов Назначение политики группам Политики по-умолчанию для внутренних и внешних хостов Создать ролевые политики для отдельных групп Проверка применяемых политик
56.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 56 Создание и изменение ролевой политики Назначить категории тревог и событий на роль Назначить Хостовые группы на Ролевую политику Включить/Выключить события безопасности – Подумайте над направлением! Задать ролевую политику
57.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 57 Установка граничных значений событий Включить и выдавать тревоги Аномалии и политики Указать границы Приемлемое отклонение от нормы
58.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 58 Реагирование на обнаружение аномалий Ранжирование по приоритету Этот хост НАИБОЛЕЕ странно себя ведет Работаем сверху вниз Используется классификация!
59.
• Введение • Использование
сетевой телеметрии • Организация данных • Обнаружение Индикаторов Компрометации • Расследование вторжения Программа
60.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Расследование вторжения 1. Понимать предыдущие шаги 2. Мониторинг и контроль происходящего вторжения 60
61.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public “Наука о дедукции.” Глава 1: Знак четырёх 61
62.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Наука о дедукции Сбор улик Элементы данных Что они смогли получить? Когда они получили туда доступ? Куда они смогли пробраться? Они все еще здесь? Кто они? IOC 62
63.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Расследование IOC: Пример Zeus C&C Server: 128.107.78.8 Обнаружен новый сервер Malware! 63
64.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Шаг 1: Мы этот хост видели? Ищем по IP адресу Известен и недавно его видели 64
65.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 65 Шаг 2: Расследование вторжения Недавние связи с хостами внутри сети
66.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 66 Шаг 2: Классификация Назначение в хост- группу
67.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Шаг 3: Поиск инфицированных хостов Построение запроса потока, включающего C&C Сервер Начнем с определенного временного диапазона Направление изначально в привилегированные группы 67
68.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Шаг 4: Анализ возвращенных результатов Зараженный хостC&C Сервер Загрузка Вредоноса Звонок “домой” 68
69.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 69 Шаг 5: Расследование зараженных хостов Открыть и исследовать отчет хоста
70.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 70 Шаг 5: Расследование инфицированных хостов Presentation ID Определение пользователя и устройства Касательно ущерба: Требует мгновенной реакции и глубокого расследования, реагирования на инцидент
71.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public 71 Шаг 6: Rapid Threat Containment Отсылает запрос на ISE для Change of Authorization и назначения новой авторизации на хост
72.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Шаг 7: Продолжение расследовани и мониторинг Поиск Malware по его хэшу Другой C&C сервер 72
73.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Шаг 7: Продолжение расследования и мониторинга Создать правило для уведомления о будущих связях 73
74.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Решение Cisco StealthWatch в анализе атаки Pyetya/Nyetya
75.
Анализ зашифрованного трафика
76.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Проблема: зловредный код активно использует TLS-шифрование • Шифрование с помощью TLS активно используется (само по себе это не плохо!) • Решения, основанные на анализе строк, становятся менее эффективными • Проблемы внедрения расшифровки (MITM) для анализа: • Приватность; юридические проблемы; внедрение; стоимость; отсутствие у клиентов желания сотрудничать ИнтернетУстройство 76
77.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Наш подход: использовать все доступные данные ИнтернетУстройства Netflow данные: SrcIP, DstIP, SrcPort, DstPort, Proto, #Bytes, #Packets Intraflow данные: размеры пакетов & временные параметры, распределение байтов, … TLS метаданные: расширения, наборы шифров, SNI, поля сертификатов, … DNS данные: имена, типы запросов, временные параметры запросов HTTP данные: заголовки и сопутствующие поля, в том числе других http-запросов с этого же хоста 77
78.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Защитите и управляйте сетью в реальном времени Расширенная аналитика Первая сеть с возможностью находить угрозы в зашифрованном трафика без расшифровки Зашифрованный трафик Незашифрованный трафик
79.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Encrypted Traffic Analytics (ETA) Видимость и обнаружение malware без расшифровки Криптографическое соответствиеMalware в зашифрованном трафике Являются ли данные в TLS сессии вредоносными? • Конфиденциальность • Целостность канала без инспекции • Адаптация. к стандартам шифрования Сколько из моего бизнеса использует сильное шифрование? • Аудит нарушений TLS политик • Пассивное обнаружение уязвимостей библиотек • Постоянный мониторинг прозрачности сети
80.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Encrypted Traffic Analytics (ETA) Исследования Cisco Известный трафик malware Known benign traffic Извлечь наблюдаемые особенности из данных Применить машинное обучение для создания детекторов Известные malware сессии детектируются с точнотью 99%^ “Identifying encrypted malware traffic with contextual flow data” AISec ’16 | Blake Anderson, David McGrew (Cisco Fellow)
81.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Malware traffic Benign traffic Наблюдаемый адрес Превалирующий адрес cisco.com c15c0.com afb32d75.com Необычный отпечаток Необычный сертификат Типичный отпечаток Типичный сертификат Self-Signed Certificate Data Exfiltration C2 Message Google search Bestafera Возможности данных ETA Исследования Cisco TCP/IP DNS TLS SPLT
82.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Получить как можно больше из незашифрованных пакетов Идентифицировать содержимое с помощью размера и последовательности пакетовpackets Первоначальный пакет Sequence of packet lengths and times Как мы инспектируем трафик? Self-Signed certificate Data exfiltration C2 message Кто есть кто в dark internet Threat intelligence map Поведенческая информация о серверах в Internet
83.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Найти вредоносную активность в зашифрованном трафике Cisco Stealthwatch Cognitive Analytics Malware detection and cryptographi c compliance Новый Catalyst 9K* NetFlow Enhanced NetFlow Telemetry for encrypted malware detection and cryptographic compliance * Other devices will be supported soon Расширенная аналитика и машинное обучение Глобальная корреляция знаний Расширенный Netflow от новых коммутаторов и маршрутизаторов Ciso Постоянное соответствие Улучшенная сеть Быстрое расследование Высокая точность Усиленная защита Metadata
84.
Немного науки
85.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Традиционный анализ сетевых потоков Экспорт Сбор Анализ ХранениеЗахват Захват Захват srcIP, dstIP, srcPort, dstPort, prot, startTime, stopTime, numBytes, numPackets 85
86.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Сбор расширенной телеметрии Экспорт Сбор Анализ ХранениеЗахват Захват Захват srcIP, dstIP, srcPort, dstPort, prot, startTime, stopTime, numBytes, numPackets Дополнительная информация о данных 86
87.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Обзор решения ОС Контекст устройства Операционная система (ОС), Приложение, PMTU, RTT, ВПО, … ETTA data flow record Метки flow record «Отпечатки» Правила Классификатор Описания Устройства безопасности ETTA data Приложение Обнаружение ВПО Семейство ВПО Крипто аудит 87
88.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Набор данных, использованный в исследовании Обучение Хранение «Чистые» данные Потоки данных с известными образцами вредоносного ПО Классификатор Правила 8888 • Метаданные • Размеры пакетов • TLS • DNS • HTTP
89.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Потоки данных с известными образцами ВПО «Чистые» данные • Записи сетевого обмена из системы динамического анализа Cisco ThreatGRID (в формате pcap): • 5-ти минутные сессии анализа; • Образцы с Threat Score = 100/100; • Миллионы pcap-файлов: • ~5,000-15,000 новых каждый день; • Сотни миллионов потоков • Демилитаризованная зона сети крупной компании: • ~10-15 миллионов потоков в день; • ~500 пользователей • IP-адреса анонимизированы. 89
90.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public src dst • SPLT – Sequence of Packet Lengths and Arrival Times, или распределение пакетов и их последовательностей с учётом временных интервалов • BD - Byte Distribution или побайтное распределение • BE - Byte Entropy или побайтная энтропия Типы данных, использованные из расширенной телеметрии 90
91.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public SPLT - распределение пакетов и их последовательностей с учётом временных интервалов src dst ПакетыклиентаПакетысервера Время 91
92.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 92
93.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 1 93
94.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 1 1 94
95.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 1 2 95
96.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public BD - побайтное распределение 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b H T T P / 1 . 1 2 0 0 O K 1 1 2 96
97.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Управляемое данными обучение * Если больше ничего не помогает Сбор данных Разработка функций Процессинг данных Тренировка и тестирование классификатора 1. Собрать больше данных! 2. Больше функций! 3. Модифицировать отбор функций 4. Увеличить сложность модели* ~99% всех усилий Окружение Знание Машинное обучение 97
98.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public • Вредоносный код • Записи сетевого обмена (pcap) с августа 2015 по май 2016 из Cisco ThreatGRID; • Трафик TLS (443), больше 100 байт на вход и выход; • 225,740 потоков; сетевая телеметрия обогащалась информацией о TLS-extensions, шифр- наборах, и размерах публичных ключей; • «Хороший трафик» • Трафик взят из DMZ крупной компании • Трафик TLS (443), больше 100 байт на вход и выход; • 225,000 потоков; сетевая телеметрия обогащалась информацией о TLS-extensions, шифр- наборах, и размерах публичных ключей; • 10-кратная перекрёстная проверка данных Тестовый набор данных 98
99.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public • DNS • Alexa Lists • Lengths of DN and FQDN • Suffix • TTL • % Numerical Characters • % Non-alphanumeric Chars • HTTP • Outbound/inbound header fields • Content-Type • User-Agent • Accept-Language • Server • code Добавлена контекстная информация 99
100.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Интересные факты: • Зловреды наиболее часто используют: • DNS Suffix: org • DNS TTL: 3600 • TLS_RSA_WITH_RC4_128_SHA • HTTP Field: location • DNS Alexa: Not Found • HTTP Server: nginx • HTTP Code: 404 • Легитимный трафик наиболее часто использует: • TLS Ext: extended_master_secret • Content type: application/octet-stream • TLS_DHE_RSA_WITH_DES_CBC_SHA • HTTP Server: Microsoft-IIS/8.5 • DNS Alexa: top-1,000,000 • HTTP User-Agent: Microsoft-CryptoAPI/6.1 100
101.
© 2017 Cisco
and/or its affiliates. All rights reserved. Cisco Public Обнаружение зашифрованного ВПО Acc. 0.00% FDR SPLT+BD+TLS+HTTP+DNS 99.993% 99.978% TLS 94.836% 50.406% DNS 99.496% 94.654% HTTP 99.945% 98.996% TLS+DNS 99.883% 96.551% TLS+HTTP 99.955% 99.660% HTTP+DNS 99.985% 99.956% SPLT+BD+TLS 99.933% 70.351% SPLT+BD+TLS+DNS 99.968% 98.043% SPLT+BD+TLS+HTTP 99.983% 99.956% TLS DNS HTTP SPLT+BD 101
102.
Спасибо за внимание!
Descargar ahora