Нюансы функционирования и эксплуатации Cisco SOC
2 likes2,505 views
Документ представляет собой презентацию о функционировании центров оперативного реагирования на инциденты безопасности (SOC) в компании Cisco, касающуюся различных процессов, технологий и подходов к обеспечению информационной безопасности. В ней рассматриваются проблемы киберугроз, такие как фишинг и DDoS-атаки, и способы их предотвращения с помощью современных технологий и методов анализа данных. Также упоминается о сервисе Threat Awareness и возможностях по построению SOC для клиентов компании.
Нюансы функционирования и эксплуатации Cisco SOC
- 1. 27 апреля 2017 Cisco Infosec Representative Cisco Security Ninja Blue Belt Нюансы эксплуатации SOC внутри Cisco Алексей Лукацкий
- 2. Disclaimer За 20 минут нельзя рассказать о том, как функционирует весь SOC Cisco Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы не являются полным описанием того, что делается внутри ИБ компании Cisco. Упомянутые в презентации процессы, сервисы, продукты, технологии и подходы изменяются с течением времени (в том числе и в данный момент) Презентация базируется на публичной информации, раскрытие которой разрешено службой ИБ компании Cisco
- 3. Опыт Cisco в части построения SOC Cisco CSIRT Cisco Flexible SOC Cisco ATA Cisco SecOps Собственный SOC и служба реагирования на инциденты Cisco Услуги Cisco по построению SOC для заказчиков Аутсорсинговый SOC Cisco для заказчиков Аутсорсинговый SOC Cisco для промышленных предприятий
- 4. Что представляет особую сложность? Сложности ИБ • Неуправляемые десктопы и ПК руководства • Спам/Вредоносное ПО • DDoS • Удаленно контролируемые зараженные узлы • Быстро меняющееся окружение Базовые решения • Anti-virus • Firewalls • IDS/IPS • IronPort WSA/ESA • Сегментация сети (активно развивается) • Захват и анализ логов • Incident response team 95% Расширенные решения • Расширенный сбор данных • Netflow, IP атрибуция, DNS… • Анализ Big data и playbooks • Быстрая локализация • DNS/RPZ, карантин, On-line форензика на узлах • Осведомленность об угрозах Продвинутых угроз • Целевой фишинг с троянами • Атаки Watering hole • Атаки через соцсети • Атаки спецслужб 5%
- 5. Вам не нужен SOC, если вам нечего мониторить! 122K человек/170 стран 26,000 домашних офисов 1,350 лабораторий 2,500 приложений/500 облачных сервисов 3M IP-адресов/40K маршрутизаторов 425 устройств, обнаруживающих инциденты ИБ 350+ сотрудников службы ИБ (включая расширенный состав) 4TБ данных собирается и анализируется ежедневно 1.2трлн сетевых событий 15млрд потоков NetFlows 4.7млрд DNS-записей 75млн Web-транзакций • Блокируется – 1.2M (WSA) 94% входящих e-mail блокируется на периметре (ESA) 47TБ трафика инспектируется • эквивалентно 3.8K часов видео blu-ray 5
- 6. Выстроенные процессы в основе всего выстроенных процессов управления инцидентами и событиями безопасности (workflow, playbook, пути эскалации, RACI-матрица и т.д.) не компенсирует даже хорошо настроенная и дорогая SIEM-система Отсутствие
- 7. Отсутствие нормальных SIEM устраивающих нас привычных SIEM на рынке • Сложно индексировать данные не-ИБ или логи своих приложений • Проблемы масштабирования и скорости поиска. 10Гб/день (сегодня 4 Тб) и поиск занимал > 6 минут • Сложно кастомизировать встроенные правила, генерящие много ложных срабатываний Отсутствие 17 1000356 2 0 50 100 150 200 250 300 350 400 Avg Query Time (seconds) Data Indexed (GB/day) Query Time vs. Indexed Data Splunk SIEM 1
- 8. Коммуникации, взаимодействие и другие ИТ-системы РасследованияМониторинг Средства защиты Решения от провайдеров ИБ и разведки угроз Управление сервисами Web Tools SIEM Feeds Cloud Service Cloud WAFCloud DoSP Standalone Tools IM NGIPS NGFW Antimalware Web Proxies Vuln Scan Email Sec Virtualized InfraWiki Collab Tool Ticketing CMDB Training Platform Log Collector Log Mgmt В итоге мы перешли от такой архитектуры
- 9. Инфраструктура под расследованием Меры защиты и восстановления Системы коммуникаций и взаимодействия РасследованиеМониторинг и реагирование Обогащение/TI Телеметрия и другие источники Решения провайдеров по ИБ Управление сервисами Security Analytics Suite AV Intel Providers Cloud Infra Service Provider Solutions Digital Forensics Tools Security Case Management Enrichment Providers Threat Intel Providers Платформы для разведки Threat Intelligence Malware Analysis Knowledge Base Log Management Native Logs Cyber Security Controls Wiki Comm & Collab Apps Internal Infra Ticketing Training Platforms Physical Security Controls …к этой Sensor Telemetry Other Data Sources
- 10. Комбинируйте методы обнаружения Intel Signature Flows Intel Signature Behavior Flows Intel Signature В прошлом 2012 2013+ Необходимо использовать различные способы изучения угроз Сетевые потоки | Поведение | Сигнатуры | Исследования
- 11. Не забывайте про мониторинг внутренней сети уникальный источник информации о событиях безопасности, который позволяет использовать каждый коммутатору и маршрутизатор в качестве распределенной системы обнаружения атак и аномалий Netflow Cisco Stealthwatch
- 12. Мобильные пользователи Филиал Мониторинг не только периметра Облако Сеть Админ ЦОД Пользователи ЗАПИСЫВАТЬ каждую коммуникацию Понимать, что такое НОРМА Предупреждать об ИЗМЕНЕНИЯХ ЗНАТЬ каждый узел Реагировать на УГРОЗЫ быстро HQ
- 13. Cisco CSIRT о своей практике использования Stealthwatch https://youtu.be/FEmAmsajBtI
- 14. Threat Intelligence обогащает ваши события безопасности - знание (включая процесс его получения) об угрозах и нарушителях, обеспечивающее понимание методов, используемых злоумышленниками для нанесения ущерба, и способов противодействия им Оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п. Threat Intelligence Cisco Systems Free / Open Source Государство ISAC Коммерчес- кие Частные Внутренние
- 15. 5 департаментов DNS-запросов в день 90 МЛРД Файлов / семплов в день 18.5 МЛРД / 1,5 МЛН Web-запросов в день 16 МЛРД сообщений email в день 600 МЛРД
- 16. Коммерческие решения vs open source позволяют собирать индикаторы компрометации из различных коммерческих и бесплатных, закрытых и открытых, государственных и частных источников, классифицировать их и производить с ними различные операции, включая и выгрузку в средства защиты и системы мониторинга (SIEM) TI-платформы MITRE CRiTs IT-ISAC на базе Anomali ThreatStream
- 17. От CRiTs к OpenSOC 17 Мультипетабайтное хранилище Интерактивные запросы Поиск в реальном времени Масштабируемая обработка потоков Неструктурированные данные Контроль доступа к данным Масштабируемые вычисления Hadoop Big Data Platform OpenSOC Алерты в реальном времени Обнаружение аномалий Корреляция данных Правила и отчеты Прогнозное моделирование UI и приложения
- 18. От OpenSOC к Apache Metron
- 19. От OpenSOC к Cisco TIP Стек железа (40u): - 14 Hadoop Data Nodes (UCS C240 M3) - 8 Elastic Data Nodes (UCS C220 M3) - 3 Cluster Control Nodes (UCS C220 M3) - 2 ESX Hypervisor Hosts (UCS C220 M3) - 1 PCAP Processor (UCS C220 M3 + Napatech NIC) - 2 SourceFire Threat alert processors - 1 Anue Network Traffic splitter - 1 Router - 1 48 Port 10GE Switch Стек ПО - HDP 2.2 - Kafka 0.8.1 - Elastic Search 1.3.0 - MySQL 5.5 (Hive Meta & GeoData)
- 20. Контроль доступа дает нам контекст Тип устройства МестоположениеПользователь Оценка Время Метод доступа Прочие атрибуты Cisco ISE
- 21. …для последующего реагирования • Задействует EPS (Endpoint Protection Services), известный также как ANC – Adaptive Network Control • Одна из наиболее неизвестных и недоиспользованных возможностей ISE • ISE-сервера могут глобально поместить MAC-адреса узла в restricted zone • Инфицированный узел будет иметь доступ к средствами восстановления, но не сможет повлиять на другие системы в компании • Помещение и исключение из карантина могут быть ручными или автоматическими (по API) Драматически снижает время реагирования на инцидент
- 22. Отражение атак: BGP RTBH @Cisco • OER – Optimized Edge Routing • Также известен как Performance Routing (PfR): • Немедленно устанавливает null0 route • Позволяет избежать дорогостоящего изменения правил ACL или на МСЭ • Использует iBGP и uRPF • Не требует дополнительной настройки • Настраивает /32 null0 route: 22 route x.x.x.x 255.255.255.255 null0 iBGP peering
- 23. Cisco Threat Mitigation System (TMS) – собственная разработка Единый инструмент для управления DNS RPZ* и BGP BH** * - Response Policy Zones ** - Black Hole
- 24. Cisco Threat Mitigation System (TMS)
- 25. Киберучения с помощью Cisco Cyber Range Identity Services Engine Flow Collector FC SMCStealthWatch Management Internet IXIA Breaking Point Open Source Attack Tools Inside Host NetFlow AVC TrustSec Wireless Security ASA NGFW Cisco Talos Web Security Appliance Email Security Appliance Stealthwatch Sourcefire IPS Splunk Cisco Prime Fire SIGHT Data Analytics N1KV ASAv Virtual Security
- 26. Типовой состав киберучений в Cisco • Вредоносный код • Спам • Утечка информации • Фишинг • Доступ к ненужным для работы сайтам • Сканирование • Проникновение извне • Подмена устройств • Реализация APT • Кража идентификационных данных • Фальшивые точки беспроводного доступа • Атаки на виртуализированные инфраструктуры, включая и центры обработки данных • Атаки на мобильные устройства • Техники обхода средств защиты • DDoS-атаки • Взаимодействие с C&C- серверами • И другие.
- 27. Мобильный SOC от Cisco CSIRT
- 28. Состав мобильного SOC (в части ИБ) • Cisco ASA 5545-X • Cisco NGIPS (FirePOWER 7150) • Cisco Stealthwatch • Cisco S300V Web Security Appliance • Cisco AMP for Content / Network • Cisco Netflow Generation Appliance 3340 • CSIRT PDNS и Cisco Umbrella • Splunk • BGP Black Hole/Quarantine • Функции DLP • Сбор Syslog • Qualys • RedSeal
- 29. Временные параметры Support business outcomes Enable business change Manage risk in line with business needs Optimize customer experience Show value for moneyContinually improve • Time-to-Detect (TTD) • Time-to-Contain (TTC) • Time-to-Remediate (TTR) • Time-to-Response (TTR) • Time-to-Mitigate (TTM) TTD TTC TTR Первая активность Обнаружение Лечение Восстановление TTM
- 30. Не бывает «15 минут на реагирование на инцидент» DETECT CONTAIN CLOSE
- 31. Q1 New Doctor Q2 Background Check Q3 Account Closing Q4 Plan Recruitment Cisco 13% 19% 10% 5% Information Security 1% 8% 6% 1% • Фишинг – это источник #1 компрометации оконечных устройств • Реализуем различные степени сложности каждый квартал • Достаточно всего одного письма, чтобы скомпрометировать сотрудника Измерение эффективности SOC – это высший пилотаж
- 32. Cisco СSIRT делится опытом в блоге…
- 33. Инженеры службы Cisco по ИБ поделились своим опытом выстраивания Cisco SOC и процессов реагирования на инциденты в книгах …и пишет книги 33
- 34. Cisco Threat Awareness Service – бесплатный мониторинг угроз Cisco® Threat Awareness Service это портальный, сервис анализа угроз, который расширяет видимость угроз и является доступным 24-часа-в-сутки. • Использование одной из лучших в мире баз данных угроз • Оперативное обнаружение вредоносной активности • Идентификация скомпрометированных сетей и подозрительного поведения • Помогает компаниям быстро идентифицировать скомпрометированные системы • Обеспечение рекомендаций • Помогает ИТ/ИБ идентифицировать угрозы • Анализирует сетевой, исходящий из организации • Позволяет улучшить общую защищенность
- 35. Cisco Threat Awareness Service Базируясь на технологиях Cisco, сервис Threat Awareness Service не требует: • Капитальных вложений • Изменений конфигурации • Сетевых инструментов • Новых внедрений ПО • Сенсоров в сети заказчика • Дополнительных людских ресурсов Снижение времени внедрения, сложности, и цены с ростом эффективности threat intelligence
- 36. Свяжитесь с нами Тестируйте Составьте план внедрения Напишите нам на security- request@cisco.com или своему менеджеру Cisco для организации встречи для более глубокого обсуждения ваших потребностей и того, как мы можем их удовлетворить Воспользуйтесь широким спектром возможностей по тестированию: • dCloud • Виртуальные версии всего ПО • Демо-оборудование • И не забудьте про Threat Awareness Service Мы поможем вам составить поэтапный план создания SOC на вашем предприятии Что сделать после конференции?
- 37. Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/