Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
- 1. 22 сентября 2016 Бизнес-консультант по безопасности Внутренние угрозы. Обзор технологий противодействия Алексей Лукацкий
- 2. Один день из жизни CISO в Cisco 2 4TB Данных для сбора/анализа NetFlow для анализа в день (Lancope) 15B Инспектируется трафика в день 47TB Сигналов тревоги в день (NG-IPS) 1.5M Сетевых событий 1.2T 10K Файлов для анализа в день (ThreatGRID) 4.8B Записей DNS в день 45M Web-транзакций блокируется (WSA) 425 Защитных устройств 4.1M Email-транзакций блокируется в день (ESA)
- 3. Не все ли вам равно, откуда исходит угроза? Может ли внутренняя угроза исходить из внешнего источника? Чем отличается внутренняя угроза от внешней? Что такое внутренняя угроза? © 2015 Cisco and/or its affiliates. All rights reserved. 3
- 4. Атака через внутреннюю точку доступа – это внутренняя угроза?
- 5. Подмена точки доступа и перехват паролей Видео-демонстрация
- 6. Что вы будете делать, если найдете флешку у дверей офиса? Любопытство возьмет верх или нет?
- 8. Аппаратные закладки на базе Raspberry Pi Лобби и переговорки… Вы их контролируете?
- 9. Вы думаете это шутка? Видео-демонстрация
- 10. Согласно оценкам Гартнер к 2018: 25% корпоративного трафика будет миновать периметр ИБ
- 11. Облачные приложения становятся неотъемлемой частью бизнеса Как осуществляется их защита? Удаленный доступ Оперативность и скорость Улучшенное взаимодействие Увеличение продуктивности Экономичность Утечка конфиденциальных данных Риски несоответствия правовым нормам Риск инсайдерских действий Вредоносное ПО и вирусы
- 12. Понимание рисков, связанных с облачными приложениями, для вашего бизнеса Это проблема, так как ваш ИТ-отдел: •Не видит, какие используются приложения •Не может идентифицировать опасные приложения •Не может настроить необходимые средства управления приложениями сотрудников признают, что используют неутвержденные приложения1 72%72% ИТ-отделов используют 6 и более неутвержденных приложений2 26%26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов 35%35% «Теневые» ИТ Использование несанкционированных приложений Источник: 1 CIO Insight; 2,3 Gartner
- 13. Понимание рисков использования данных в облачных приложениях Это проблема, так как ваш ИТ-отдел: •Не может остановить утечку данных и устранить риски несоблюдения нормативных требований •Не в состоянии заблокировать входящий опасный контент •Не в силах остановить рискованные действия пользователей организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1 90%90% приложений могут стать опасными при неправильном использовании2 72%72% файлов на каждого пользователя открыто используется в организациях3 185185 «Теневые» данные Использование санкционированных приложения для неправомерных целей Источник: 1 Ponemon, 2013 Cost of Data Breach Study; 2 CIO Insight; 3 Elastica
- 14. Надо учитывать весь жизненный цикл угрозы Защита в момент времени Непрерывная защита Сеть ПК Мобильное устройство Виртуальная машина Облако Жизненный цикл внутренней угрозы Исследование Внедрение политик Укрепление Обнаружение Блокирование Защита Локализация Изолирование Восстановление ДО АТАКИ ВО ВРЕМЯ АТАКИ ПОСЛЕ АТАКИ
- 16. Сетевые и системные ресурсы Политика доступа Традиционная TrustSec Доступ BYOD Быстрая изоляция угроз Гостевой доступ Ролевой доступ Идентификация, профилирование и оценка состояния Кто Соответствие нормативам Что Когда Где Как Дверь в сеть Контекст Давайте попробуем пойти чуть дальше
- 17. Шаг 1. Какие угрозы вам важны? Разные угрозы требуют разных технологий!
- 18. Шаг 2. Какова ваша модель нарушителя? Разные нарушители требуют разных технологий!
- 19. Нетипичные внутренние угрозы Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В процессе исполнения В процессе исполнения В процессе исполнения Статический Цель IOS IOS IOS IOS, linecards IOS, ROMMON IOS Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя протокол C2 Используя протокол C2 Не напрямую Да
- 20. Шаг 3. На что обращать внимание?!
- 21. Шаг 4. Источники данных для анализа
- 22. Контроль физического местоположения с помощью ИТ – это тоже важно
- 23. • Неудачные попытки входа в системы • Доступ к нетипичным ресурсам • Профиль сетевого трафика • Утечки данных (по объему, типу сервиса и контенту) • Нетипичные методы доступа • Изменение привилегий • Нетипичные команды • Нетипичные поисковые запросы Шаг 5. Выбрать индикаторы
- 24. • Модификация логов • Нетипичное время доступа • Нетипичное местонахождение • Вредоносный код • Модификация или уничтожение объектов ИТ-инфраструктуры • Поведение конкурентов и СМИ • Необычные командировки и персональные поездки Примеры индикаторов
- 25. • Негативные сообщения в социальных сетях • Наркотическая или алкогольная зависимость • Потеря близких • Проигрыш в казино • Ухудшение оценок (review) • Изменение финансовых привычек (покупка дорогих вещей) • Нестандартные ИТ-инструменты (сканеры, снифферы и т.п.) Примеры индикаторов
- 26. Объединяя типы угрозы и индикаторы Категория Индикатор 1 2 3 4 5 6 7 8 9 Системная активность Неудачные попытки входа 1 1 1 1 1 1 Доступ к нетипичным ресурсам 1 1 1 1 1 1 Утечка данных 1 2 2 1 2 Изменение привилегий 1 2 1 1 2 2 …
- 27. Шаг 6. 5 типов данных для анализа
- 28. Малый и средний бизнес, филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг Откуда брать данные?
- 29. Объединяя типы данных и места их сбора
- 30. Объединяя типы данных и индикаторы
- 31. Инцидент попадает к CISO КТО это сделал? КАК это произошло? ЧТО пострадало ? ОТКУДА начался инцидент? КОГДА это произошло? Шаг 7. Выбрать нужные технологии
- 32. Пора задуматься о смене стратегии © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
- 33. Как Cisco ловит угрозы в своей сети? Нейтрализовать и реагировать Метрики и отчеты Управление конфигурацией Инспекция Регистрация Идентификация Телеметрия IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1x Address, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB Execs Auditors Infosec IT Orgs HR-Legal Line of Biz Admins End Users Partners Business Functions Информирование Реагирование РасследованиеОбнаружение DBs Внешние фиды об угрозах Сканы Конфиги Логи Потоки События 4TB в день Сист. управления Incident Mgt System Compliance Tracker Incident Response Team Playbook
- 34. Спасибо!
Editor's Notes
- #3: Another thing that makes Cisco a security company like no other: We have a world class defense of our own enterprise and clouds. Visibility is Key in Catching threats BEFORE they can do harm Massive global network… under constant attack Customers care about how Cisco protects Cisco => Want to learn from us Opportunity for Sales to change the customer relationship Share Cisco on Cisco expertise Use Cisco as a showcase for how we use technology, processes, and policies to protect Cisco and our customers Leverage Cisco on Cisco in EBCs, etc. to expand sales opportunities and position Cisco as a Trusted Partner 2 days to roll out openDNS across cisco Transition from Fireeye to Threat Grid- 85% increase in incidents detected
- #4: We need to be threat–centric, and think like an attacker. Why? You are up against a highly motivated and compensated workforce. Who are using advances in technology, changing business models and user behaviors to their advantage . The dynamic threat landscape is demanding an adapt or die strategy. We think like you do. We have taken a threat–centric approach in creating our cybersecurity solutions to tackle your biggest issues .
- #7: Apple + Patching = You’re Doing It Wrong http://www.tombom.co.uk/blog/?p=492
- #8: Apple + Patching = You’re Doing It Wrong http://www.tombom.co.uk/blog/?p=492
- #9: Apple + Patching = You’re Doing It Wrong http://www.tombom.co.uk/blog/?p=492
- #10: Apple + Patching = You’re Doing It Wrong http://www.tombom.co.uk/blog/?p=492
- #11: Gartner predicts by 2018, the average company will have 25% of its corporate data traffic bypassing the network perimeter. Some industries are already there or surpassed this depending on how mobile your workforce is.
- #15: Cisco ASA with FirePOWER Services addresses the full attack continuum before, during and after an attack, with a truly integrated threat defense. THE WAY WE ANALYZE THE PROBLEM IS BY LOOKING AT THE ENTIRE ATTACK CONTINUUM OF THINGS YOU MUST DO: BEFORE, DURING AND AFTER AN ATTACK TAKES PLACE. IN ORDER TO DEAL WITH THE INDUSTRIALIZED THREAT, WE NEED TO LOOK AT THESE PHASES COMPREHENSIVELY: BEFORE AN ATTACK: WE NEED TO KNOW WHAT WE ARE DEFENDING….YOU NEED TO KNOW WHATS ON YOUR NETWORK TO BE ABLE TO DEFEND IT – DEVICES / OS / SERVICES / APPLICATIONS / USERS WE NEED TO IMPLEMENT ACCESS CONTROLS, ENFORCE POLICY AND BLOCK APPLICATIONS AND OVERALL ACCESS TO ASSETS. HOWEVER POLICY AND CONTROLS ARE A SMALL PIECE OF WHAT NEEDS TO HAPPEN. THEY MAY REDUCE THE SURFACE AREA OF ATTACK, BUT THERE WILL STILL BE HOLES THAT THE BAD GUYS WILL FIND. ATTACKERS DO NOT DISCRIMINATE. THEY WILL FIND ANY GAP IN DEFENSES AND EXPLOIT IT TO ACHIEVE THEIR OBJECTIVE. DURING THE ATTACK: WE MUST HAVE THE BEST DETECTION OF THREATS THAT YOU CAN GET ONCE WE DETECT ATTACKS, WE CAN BLOCK THEM AND DEFEND OUR ENVIRONMENT AFTER THE ATTACK: INVARIABLY ATTACKS WILL BE SUCCESSFUL, AND WE NEED TO BE ABLE TO DETERMINE THE SCOPE OF THE DAMAGE, CONTAIN THE EVENT, REMEDIATE, AND BRING OPERATIONS BACK TO NORMAL YOU ALSO NEED TO ADDRESS A BROAD RANGE OF ATTACK VECTORS, WITH SOLUTIONS THAT OPERATE EVERYWHERE THE THREAT CAN MANIFEST ITSELF – ON THE NETWORK, ENDPOINT, MOBILE DEVICES, VIRTUAL ENVIRONMENTS. FINALLY, TRADITIONAL SECURITY TECHNOLOGIES ONLY OPERATE AT A POINT IN TIME. THEY HAVE ONE SHOT TO DETERMINE IF SOMETHING IS BAD OR NOT. WITH TODAY’S THREAT LANDSCAPE FULL OF ADVANCED MALWARE AND ZERO DAY ATTACKS POINT IN TIME ALONE DOES NOT WORK. WHAT IS NEEDED IS A CONTINUOUS CAPABILITY, ALWAYS WATCHING, ALWAYS ANALYZING AND CAN DETECT, CONTAIN AND REMEDIATE A THREAT REGARDLESS OF TIME.
- #20: Apple + Patching = You’re Doing It Wrong http://www.tombom.co.uk/blog/?p=492
- #32: Breached and Blind 26% One away from being fired
- #33: So Now What? We need to evolve. Evolve our thinking. Evolve our strategy.