Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафике (без дешифровки)
1 like363 views
Документ описывает технологии и стратегии Cisco для обнаружения вредоносного трафика в зашифрованных соединениях, акцентируя внимание на актуальности проблемы обеспечения безопасности в условиях увеличения зашифрованного трафика. Основное внимание уделяется Encrypted Traffic Analytics (ETA), который использует машинное обучение для точного распознавания вредоносных активностей без их расшифровки. Также содержится информация о необходимых инструментах и лучших практиках для защиты сетей от сложных угроз.
![C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco PublicC97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Show commands
summary
• show platform hardware qfp active feature
et-analytics datapath runtime
• show platform hardware qfp active feature
et-analytics datapath memory
• show platform hardware qfp active feature
et-analytics datapath interface <intf>
• show platform hardware qfp active feature
et-analytics datapath stats flow [clear]
• show platform hardware qfp active feature
et-analytics datapath stat export [clear]
• show platform software et-analytics global
• show platform software et-analytics interface](https://image.slidesharecdn.com/etatdm2-180319105713/85/TLS-27-320.jpg)
![C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco PublicC97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Debug commands
summary
• debug platform condition feature et-analytics dataplane
submod all level [error|info|verbose|warning]
• debug platform condition feature et-analytics dataplane
submod parser level [error|info|verbose|warning]
• debug platform condition feature et-analytics dataplane
submod proxy level [error|info|verbose|warning]
• debug platform condition feature et-analytics dataplane
submod session level [error|info|verbose|warning]
• debug platform condition start|stop
• The debug output will be in the /tmp/fp/trace/
cpp_cp log file
• clear platform condition all](https://image.slidesharecdn.com/etatdm2-180319105713/85/TLS-28-320.jpg)
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафике (без дешифровки)
- 1. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 16 февраля 2018 Encrypted Traffic Analytics Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафике Старший технический конмультант по ИБ Руслан Иванов
- 2. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 60дней В среднем по индустрии нужно чтобы залатать дыру $3.8M Средняя стоимость потерь в результате взлома 200дней В среднем по индустрии время обнаружения взлома Сетевые угрозы изменились и стали умнее Мотивированные и целеустремлённые противники Более широкий охват атак Атаки стали изощрённее • Спонсируемые государствами • Финансовая мотивация • $1T рынок киберкриминала • BYOD размывает периметр • Публичные облачные сервисы • Enterprise IOT • Целевые атаки • Зашифрованные вредоносы • Zero-day эксплуатация уязвимостей Слишком много событий Высокая сложность в защите всего Изощрённые атаки не дают догнать атакующих
- 3. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Шифрование меняет ландшафт угроз Процент бюджета ИТ/ИБ, выделяемый на контроль зашифрованного трафика Источник: Thales and VormetricПрименение шифрования Аппроксимация 16% 20% 19% 22% 23% 23% 25% 27% 30% 34% 41% 60% 50% 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 Аналитика Cisco Threat Grid, 2017 Процент вредоносов Dec Jan Feb Mar Apr May 25% 10% Gartner предсказывает, что к 2019 году 80% всего трафика будет зашифровано
- 4. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Новая реальность 38% 62% Бизнес под угрозой Decrypt Do not decrypt Новые векторы атаки • Сотрудники активно используют HTTPS в Интернет: заражение вредоносами, скрытые каналы управления к командным серверам, кража данных • Сотрудники из внутренней сети подключаются к DMZ-серверам: незаметное распространение по зашифрованным каналам Не могут обнаружить вредоносное содержимое в зашифрованном трафике Атакующих использует шифрование чтобы избежать обнаружения Организаций теряли деньги в результате атак 41%81% 64% Источник: Ponemon Report, 2016
- 5. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Обнаружение угроз, использующих шифрование с помощью сетевой телеметрии
- 6. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Защита сети в реальном времени, непрерывно, всюду Развитие архитектуры «Сеть как сенсор» Первая в индустрии сеть с возможностью обнаруживать угрозы в зашифрованном трафике без расшифровки Избежать, остановить, или смягчить последствия угроз быстрее, чем раньше Анализ сетевого трафика в реальном времени для обеспечения ситуационной осведомлённости Зашифрованный трафик Не зашифрованный трафик
- 7. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Encrypted Traffic Analytics (ETA) Соответствие требованиям с точки зрения регуляторики Вредоносное ПО в зашифрованных соединениях Является ли то, что передаётся внутри TLS вредоносным? • Конфиденциальность сохраняется • Обеспечивается целостность информации • Адаптируется к новым стандартам шифрования Какие приложения используют сильное шифрование и как? • Аудит нарушения политик использования TLS • Пассивное обнаружение криптонаборов с известными уязвимостями • Мониторинг использования шифрования в сети
- 8. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Encrypted Traffic Analytics (ETA) В основе – исследовательская работа специалистов Cisco Известный вредоносный трафик Известный «хороший» трафик Выделение характерных признаков в сетевом трафике Применение технологий машинного обучения для получения классификаторов Сессии известного вредоносного ПО определяются в сетевом трафике с 99% аккуратностью и низким FDR “Deciphering Malware's use of TLS (without Decryption)” Blake Anderson, Subharthi Paul, David McGrew https://arxiv.org/abs/1607.01639
- 9. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Вредоносный трафик «Хороший» трафик Плохая репутация (или отсутствие) Часто используемый и известный адрес cisco.com c15c0.com afb32d75.com Нетипичный fingerprint Необычный cert Типовой fingerprint Типовой cert Self-Signed Certificate Data Exfiltration C2 Message Google search Bestafera ETA – используемый набор данных TCP/IP DNS TLS SPLT
- 10. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Выжать максимум из доступных незашифрованных полей Определение типа соединения по размерам и частотно-временным характеристикам пакетов Initial data packet Частотно-временные характеристики размеров пакетов SPLT Что мы можем увидеть в зашифрованном трафике? Самоподписанный сертификат Утечка данных C2-команда Кто есть кто на тёмной стороне Internet Глобальная карта рисков Репутационная и поведенческая информация о серверах в сети Internet
- 11. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Обнаружение ВПО с использованием Cognitive Analytics Initial data packet Global Risk Map Sequence of packet lengths and times Облачные технологии машинного обучения Все три элемента хорошо дополняют друг друга
- 12. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Обнаружение вредоносной активности в зашифрованном трафике Cisco Stealthwatch® Cognitive Analytics Обнаружение ВПО и поддержка требований регуляторов Новые Catalyst® 9000* NetFlow Расширенный NetFlow Сетевая телеметрия * ISR, ASR тоже поддерживаются Продвинутая аналитика и машинное обучение Корреляция глобальной и локальной информации Enhanced NetFlow от новых коммутаторов и маршрутизаторов Cisco Постоянный контроль соответствия Использование сети Быстрое расследование Высокая точность Хорошая защита Метаданные
- 13. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Элементы решения
- 14. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Сетевые сенсоры Телеметрия для обнаружения ВПО и для крипто- аудита Encrypted Traffic Analytics NetFlow Stealthwatch Flow collector https Cognitive Analytics Расширенный анализ NetFlow с Encrypted Traffic Analytics с современных устройств Cisco Возможности расширенного анализа и технологий машинного обучения снижают время расследования инцидентов Уникальная программно- аппаратная архитектура Cisco Глобальная и локальная корреляция знаний позволяет добиться высокой точности в обнаружении угроз Stealthwatch
- 15. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco PublicC97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Какие метаданные отправляются в облако? • Метаданные от Stealthwatch к Cognitive: Initial Data Packet (IDP) и Sequence of Packet Lengths and Time (SPLT). • Метаданные отправляются только для трафика, пересекающего периметр (например, отправляемого в Интернет) и DNS-запросы. • Канал между Stealthwatch flow collector и Cognitive защищён с помощью TLS. • Большая часть трафика, отправленного в Cognitive удаляется через 2-4 часа после анализа. • Cognitive Analytics обрабатывает ETA-данные (Enhanced NetFlow) специализированном ЦОД, со всеми необходимыми настройками безопасности и приватности, с постоянным контролем. • Разработка ведётся в соответствии с принципами безопасности и приватности в управлении данными.
- 16. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco Catalyst 9000 расширяет возможности «сети как сенсора» с помощью ETA Stealthwatch® pxGrid Реагирование Encrypted Traffic Analytics ISE Машинное обучение на основе анализа поведения • Первая в индустрии сеть с возможностью обнаруживать угрозы в зашифрованном трафике без расшифровки • Дополняет другие решения по контролю зашифрованного трафика Использование глобальной корреляции и информации об угрозах Анализ сетевой телеметрии без расшифровки Работа на скорости порта Оптимизация инвестиций Простое управление
- 17. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Anomaly detection Trust modeling Event classification Entity modeling Relationship modeling Global risk map Threat correlation Internet scrapers Encrypted Traffic Analytics Threat Grid Anomalous Web requests (flows) Threat Incidents (aggregated events) Malicious Events (flow sequences) Cognitive Analytics использует многослойное машинное обучение 50,000 инцидентов в день 10B запросов в день Incidents Threat context Telemetry Features Layer 1 Layer 2 Layer 3
- 18. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Что нужно чтобы начать использовать ETA? Лицензии, наборы, оборудование Элемент решения Версия ПО Лицензия Коммутаторы Cisco® Catalyst® 9000* Cisco IOS® XE 16.6.1 Включена в Cisco DNA™ Advantage/ Cisco ONE™ Advanced Маршрутизаторы ASR 1000, 4000 ISR, CSR, ISRv, 1100 ISR** Cisco IOS XE 16.6.2 Включена в SEC/k9 license Cisco ONE foundation Stealthwatch® с CA v6.9.1 Management Console, Flow Collector, Flow Rate LicenseStealthwatch с CA и ETA v6.9.2 Cryptographic compliance (Q3CY17) Malware Detection (Q4CY17) *C9300 коммутаторы с ПО 16.6.1(июль 17), C9400 начиная с 16.6.2 (октябрь 17) **Доступно для тестов с 16.6.1, официальная поддержка с 16.6.2 (октябрь 17)
- 19. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Варианты развёртывания
- 20. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Варианты развёртывания Проводной и беспроводной – только с фабрикой – Catalyst 9300 Проводной – варианты с фабрикой и классический (на доступе) – Catalyst 9300 Сетевые элементы, которые собирают и обрабатывают расширенную телеметрию
- 21. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public ЦОД Филиальная сеть Switch ISR4K Филиал Switch ISR4K Филиал Интернет VPN Internet / WAN ASR1K Регион Switch Филиал ISRv ASR1K ETA ETA ETA 2 3 1 Региональный хаб, с доступом в Интернет1 2 Центральный хаб - граница WAN 3 Центральный хаб – доступ в Интернет
- 22. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Филиальная сеть - варианты Switch ISR4K Branch Switch ISR4K Branch Switch ISR4K Branch InternetVPN ASR1K Internet / WAN Edge Switch Branch ISRv ETA2 3 4 5 ISR4K 1 ETA ETA ETA ETA ETA DC Филиал, нет доступа в Интернет1 2 Филиал, есть доступ в Интернет 3 Филиал Филиал 4 Внутрифилиальный трафик 5 vBranch, есть доступ в Интернет
- 23. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Router and switch commands
- 24. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public ETA configuration Enabling ETA globally on the router Verifying the configuration et-analytics ip flow-export destination <flow-collector_ip> 2055 whitelist acl 101 sho platform software et-analytics global ET-Analytics Global state ========================= All Interfaces : Off IP Flow-record Destination: 192.168.1.5 : 2055 Inactive timer: 15 ET-Analytics interfaces ========================= GigabitEthernet2 interface GigabitEthernet3 no et-analytics enable Disabling ETA on an interface ip access-list extended 101 permit ip host 172.27.58.180 any permit ip any host 172.27.58.180 Whitelisted traffic to bypass ETA ACL is stateless. Need to define two entries for bidirectional flow interface GigabitEthernet3 et-analytics enable Enabling ETA on an interface
- 25. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Verifying ETA flow records exported show platform hardware qfp active feature et-analytics datapath stats export ET-Analytics 192.168.1.5:2055 Stats: Export statistics: Total records exported : 110117737 Total packets exported : 72189185 Total bytes exported : 82908062924 Total dropped records : 0 Total dropped packets : 0 Total dropped bytes : 0 Total IDP records exported : initiator->responder : 10052309 responder->initiator : 9474106 Total SPLT records exported: initiator->responder : 10052303 responder->initiator : 9474102 Total SALT records exported: initiator->responder : 0 responder->initiator : 0 Total BD records exported : initiator->responder : 0 responder->initiator : 0 Total TLS records exported : initiator->responder : 7912608 responder->initiator : 7921068
- 26. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Verifying ETA flow export stats show platform hardware qfp active feature et-analytics datapath stats flow ET-Analytics Stats: Flow statistics: feature object allocs : 10172547 feature object frees : 10172544 flow create requests : 250551484 flow create matching : 240378937 flow create successful: 10172547 flow create failed, CFT handle: 0 flow create failed, getting FO: 0 flow create failed, malloc FO : 0 flow create failed, attach FO : 0 flow create failed, match flow: 0 flow create failed, set aging : 2063 flow ageout requests : 10164099 flow ageout failed, freeing FO: 0 flow ipv4 ageout requests : 0 flow ipv6 ageout requests : 0 flow whitelist traffic match : 10860
- 27. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco PublicC97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Show commands summary • show platform hardware qfp active feature et-analytics datapath runtime • show platform hardware qfp active feature et-analytics datapath memory • show platform hardware qfp active feature et-analytics datapath interface <intf> • show platform hardware qfp active feature et-analytics datapath stats flow [clear] • show platform hardware qfp active feature et-analytics datapath stat export [clear] • show platform software et-analytics global • show platform software et-analytics interface
- 28. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco PublicC97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Debug commands summary • debug platform condition feature et-analytics dataplane submod all level [error|info|verbose|warning] • debug platform condition feature et-analytics dataplane submod parser level [error|info|verbose|warning] • debug platform condition feature et-analytics dataplane submod proxy level [error|info|verbose|warning] • debug platform condition feature et-analytics dataplane submod session level [error|info|verbose|warning] • debug platform condition start|stop • The debug output will be in the /tmp/fp/trace/ cpp_cp log file • clear platform condition all
- 29. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco Catalyst 9300 Series ETA – Wired mode Enabling ETA on the switch Verifying the configuration Switch(config)#et-analytics Switch(config-et-analytics)#ip flow-export destination 10.109.16.213 2838 Switch(config-et-analytics)#inactive-timeout 10 Switch (config)#interface gigabitEthernet 1/0/1 Switch (config-if)#et-analytics enable Switch#show platform software et-analytics global ET-Analytics Global state ========================= All Interfaces : Off IP Flow-record Destination: 10.108.16.213:2838 Inactive timer: 10 ET-Analytics interfaces: GigabitEthernet1/0/1 ET-Analytics VLAN: None Switch (config)#interface gigabitEthernet 1/0/1 Switch (config-if)#no et-analytics enable Disabling ETA on the interface
- 30. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Verifying the exports – Cisco Catalyst 9300 Series ETA Switch# show flow monitor etta-mon cache Cache type: Normal (Platform cache) Cache size: 10000 Current entries: 4 Flows added: 6 Flows aged: 2 - Inactive timeout (15 secs) 2 IPV4 DESTINATION ADDRESS: 15.15.15.35 IPV4 SOURCE ADDRESS: 72.163.128.140 IP PROTOCOL: 17 TRNS SOURCE PORT: 53 TRNS DESTINATION PORT: 12032 counter bytes long: 128 counter packets long: 1 timestamp abs first: 06:23:24.799 timestamp abs last: 06:23:24.799 interface input: Null interface output: Null Verifying that the exports are happening from the switch
- 31. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Verifying the exports – Cisco Catalyst 9300 Series ETA Switch#show platform software fed switch active fnf et-analytics-flow-dump ET Analytics Flow dump ================= Total packets received (27) Excess packets received (0) (Index:0) 72.163.128.140, 15.15.15.35, protocol=17, source port=53, dest port=12032, flow done=u SPLT: len = 2, value = (25600,0)(128,0) IDP: len = 128, value = 45:0:0:80:f0:6c:0:0:f9:11: (Index:1) 72.163.128.140, 15.15.15.35, protocol=17, source port=53, dest port=32356, flow done=u SPLT: len = 2, value = (59649,0)(128,0) IDP: len = 517, value = 45:0:2:5:c3:1:0:0:f9:11: (Index:2) 15.15.15.35, 72.163.128.140, protocol=17, source port=12032, dest port=53, flow done=u SPLT: len = 2, value = (10496,0)(128,0) IDP: len = 69, value = 45:0:0:45:62:ae:40:0:40:11: (Index:3) 15.15.15.35, 72.163.128.140, protocol=17, source port=32356, dest port=53, flow done=u SPLT: len = 2, value = (10496,0)(128,0) IDP: len = 69, value = 45:0:0:45:62:ad:40:0:40:11:
- 32. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cisco Catalyst 9300 Series ETA – Fabric-enabled wireless mode Enabling ETA on the VLAN Verifying the configuration Switch(config)#et-analytics Switch(config-et-analytics)#ip flow-export destination 10.109.16.213 2838 Switch(config-et-analytics)#inactive-timeout 10 Switch(config)#vlan configuration 71 Switch(config-vlan-config)#et-analytics enable Switch(config-vlan-config)#end Switch#show platform software et-analytics global ET-Analytics Global state ========================= All Interfaces : Off IP Flow-record Destination: 10.108.16.213:2838 Inactive timer: 10 ET-Analytics interfaces: none ET-Analytics VLANs: 71 Switch (config)#vlan configuration 71 Switch (config-if)#no et-analytics enable Disabling ETA on the VLAN
- 33. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Примеры Stealthwatch Management Console
- 34. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cryptographic compliance Flow search results
- 35. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Cognitive Analytics Encrypted malware detection Expanded CTA dashboard view Cognitive Analytics
- 36. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
- 37. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Encrypted malware detection: Example incident
- 38. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Confirmed threats
- 39. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Сеанс чёрной магии окончен, приступаем к разоблачению ;)
- 40. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public HTTP легко прочитать http://nytimes.com/index.htm http://salesforce.com/updateSalesTargets.js http://api.gmail.com/newmail http://dropbox.com/checkForUpdates http://youtube.com/funnycatvideos • Cognitive Analytics использует до 500 параметров из каждого запроса для анализа
- 41. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Множество HTTP-запросов в одном потоке http://nytimes.com/index.htm http://salesforce.com/updateSalesTargets.js http://api.gmail.com/newmail http://dropbox.com/checkForUpdates http://youtube.com/funnycatvideos (и 200 сопутствующих запросов) (+20 запросов) (0 запросов) (5 запросов) (100+ запросов и потоковое видео) • Cognitive Analytics использует до 500 параметров из каждого запроса для анализа • Каждая загрузка страницы - от 50 до 200 HTTP запросов к тому же самому серверу
- 42. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public HTTPS запросы непрозрачны https://1.2.3.4 https://123.123.123.123 https://234.234.234.234 https://22.33.44.55 https://21.21.21.21 • Домены и сайты напрямую нам не видны
- 43. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Но мы всё ещё можем получить КУЧУ информации ;) https://1.2.3.4 https://123.123.123.123 https://234.234.234.234 https://22.33.44.55 https://21.21.21.21 Мы можем подсмотреть свойства TLS-сессии при установке соединения Мы видим частотно-временные характеристики и размеры пакетов Мы (часто) знаем сервер • Параметры установки TLS-сессии • Частотно-временные характеристики и размеры пакетовв • Информация о домене (часто)
- 44. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public • HTTPS-заголовок с несколькими интересными полями. • Имена серверов из SNI-поля сертификатов. • Информация из параметров установки TLS- сессии многое нам говорит об особенностях поведения сервера и клиента, иногда – о приложении. • Информация из сертификата – всё равно, что информация о домене из whois. • А также многое другое при использовании глобальной репутации и корреляции. Initial data packet IPHeader TCPHeader TLS Header TLS version SNI (Server Name) Ciphersuites Certificate Organization Issuer Issued Expires Initial data packet Initial data packet
- 45. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Sequence of packet lengths and times (SPLT) Частотно-временные характеристики и размеры пакетов Частотно-временные характеристики и размеры пакетов Старт соединения Время • Размер и временные характеристики первых пакетов позволяют нам сделать вывод о типе данных внутри зашифрованного соединения. • Мы умеем различать видео, web, вызовы API, голосовые звоки, и множество других типов данных друг от друга, а также классифицировать их.
- 46. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Глобальная карта рисков Cisco Image: http://census2012.sourceforge.net/images.html Кто есть кто на тёмной стороне Internet • Модели учитывают больше 20 параметров с каждого из 150 миллионов известных вредоносных, опасных, или иным способом влияющих на безопасность сайтов. • Параметры включают информацию о характеристиках домена, информацию из whois, данные из TLS-сертификата, статистику использования, а также шаблоны поведения для каждого сервера.
- 47. C97-739122-02 © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public