cisco threat defense (cisco stealthwatch)
TRANSCRIPT
Безопасность
Cisco Threat Defense (Cisco Stealthwatch)
Василий Томилин
Инженер-консультант
16 ноября 2016 г.
• Введение• Обзор системы Cisco Stealthwatch• Архитектура и развертывание Stealthwatch• Начало работы с системой Stealthwatch• Модель тревог• Резюме
План презентации
Обзор семейства решений Cisco Stealthwatch
Безопасность начинается с «видимости»
Нельзя защитить то, о чем ты не знаешь
Кто работает в сети?
И что они делают?
Сетевая телеметрия
Коммутаторуровня
распределения/ядра
КоммутатордоступаАгент на
оконечном устройстве
Межсетевой экран
Прокси-сервер IdentityAD и DNS
Talos
Глобальная аналитика
Изолированные сведения = f (функция, местоположение)
Telemetry: an automated communications process by which measurements and other data are collected at remote or inaccessible points and transmitted to receiving equipment for monitoring.
https://en.wikipedia.org/wiki/Telemetry
Сетевые устройства
NetFlow10.1.8.3
172.168.134.2
ИнтернетДанные о потоке ПакетыSOURCE ADDRESS 10.1.8.3
DESTINATION ADDRESS 172.168.134.2
SOURCE PORT 47321
DESTINATION PORT 443
INTERFACE Gi0/0/0
IP TOS 0x00
IP PROTOCOL 6
NEXT HOP 172.168.25.1
TCP FLAGS 0x1A
SOURCE SGT 100
: :
APPLICATION NAME NBAR SECURE-HTTP
МаршрутизаторыКоммутаторы
Особенности NetFlow• Сведения обо всех взаимодействиях в вашей
сети• Возможность сбора записей в любой точке сети
(коммутатор, маршрутизатор, МСЭ)• Контроль использования сети• Средство контроля для трафика как «север-юг»,
так и «запад-восток»• Простота мониторинга по сравнению с
анализом SPAN-трафика• Возможность обнаружения IoC• Сведения о метках SGT
Система StealthWatch
pxGridМониторинг на всех уровнях в реальном времени
• Аналитика с использованием данных, собираемых по всей сети
• Обнаружение ресурсов• Профилирование сети• Мониторинг выполнения политики безопасности• Обнаружение аномалий• Ускорение обработки инцидентов
Cisco® Identity Services Engine Действие для нейтрализации
угрозы
КонтекстNetFlow
StealthWatch
Масштабирование мониторинга: «склейка» потоков
10.2.2.2порт 1024 10.1.1.1
порт 80
eth0
/1
eth0
/2
Начало Интерфейс Src IP Src Port Dest IP Dest Port ProtoОтправлено пакетов
Отправлено байт
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 102510:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Запись о двунаправленном сеансе• Запись о потоке взаимодействия• Простота визуализации и анализа
Записи об однонаправленных потоках
НачалоIPклиента
Портклиента
IPсервера
Порт сервера Proto
Байт от клиента
Пакетов от клиента
Байт от сервера
Пакетов от сервера Интерф.
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1eth0/2
Масштабирование: дедупликация NetFlow
Router A
Router B
Router C
10.2.2.2порт 1024
10.1.1.1порт 80
• Без дедупликации• Возможны ошибки в подсчете объема• Возможны ложные срабатывания
• Повышение эффективности хранения данных• Необходимо для точного ведения отчетов на
уровне хоста
Router A: 10.2.2.2:1024 -> 10.1.1.1:80Router B: 10.2.2.2:1024 -> 10.1.1.1:80Router C: 10.1.1.1:80 -> 10.2.2.2:1024
Дубликаты
Запись о двунаправленном потоке
• Масштабируемый сбор (решение корпоративного уровня)
• Отличный уровень сжатия => долговременное хранение• Хранение в течение месяцев
Когда Кто
Где
ЧтоКто
Метка SGT
Контекст
Анализ NetFlow с помощью StealthWatch
ОбнаружениеВыделение
IoCЛучшее
понимание/ реакция на
IoC:
Определение всех приложений и сервисов в сети
Политика и сегментация
Обнаружение аномалий (NBAD)
Сбор данных обо всех
взаимодействиях, хорошая база для
расследований
Проектирование и развертывание решений системы Stealthwatch
StealthwatchManagement
Console
UDP-директорСбор данных о потоках (Flow Collector)
NetFlow,syslog, SNMP Инфраструктура,
поддерживающая NetFlow
Сенсор потоков (Flow Sensor)
Веб-прокси
Данные о пользователях и устройствах
Cisco ISE
Данные об актуальных угрозах
Компоненты системы Stealthwatch
www
Лицензия Threat Feed
Концентратордля устройств
Cloud License Concentrator &
Agents
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch
FlowCollector
Базовые компонентыStealthwatch: Flow Collector иStealthwatch Management Console (SMC).
Все компоненты решенияStealthwatch могут развертываться в физическом или виртуальном (VMware)формате.
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: SFlow
FlowCollector
Существует отдельный Flow Collector for SFlow. Stealthwatchподдерживает получение данных о потоках от широкого спектра устройств.
Инфраструктура, передающая
данные о потоках
FlowCollector
For SFLOW
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: лицензия FPS
FlowCollector
Лицензия FPS
Лицензия на обработку определенного числа потоков в секунду(FPS) определяет ожидаемую производительность.
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: минимальная спецификация
FlowCollector
Лицензия FPS
1 SMC и поддержка
2 Flow Collectorи поддержка
3 Лицензия FPS и поддержка.
Заказчик
Консоли SMC
Инфраструктура, передающая данные
о потоках
Набор решений Stealthwatch: UDP-директор
FlowCollector’ы
UDP-директор
В решениях Stealthwatchпредусмотрено обеспечение отказоустойчивости. UDP-директорможет направлять трафик на несколько Flow Collector’ов. Также поддерживаются несколько консолей SMC.
StealthwatchManagement
Console
Инфраструктура, передающая данные о потоках
Набор решений Stealthwatch: Flow Sensor
FlowCollector
FlowSensor
Инфраструктура, не способная генерировать
данные о потоках
Flow Sensor позволяет генерировать записи о потоках там, где инфраструктура не поддерживает такой функционал. Данные от Flow Sensor’ов не учитываются лицензией FPS.
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Данные о пользователях и устройствах
Набор решений Stealthwatch: интеграция с ISE
CiscoISE
FlowCollector
FlowSensor
Инфраструктура, не способная генерировать
данные о потоках
Все существующие версии Stealthwatchподдерживают интеграцию с Cisco ISE для получения контекста и обратной связи по pxGrid.
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: лицензия Proxy License
FlowCollector
FlowSensor
Инфраструктура, не способная генерировать
данные о потоках
WSAКонтекстные данные
веб-прокси
Proxy License позволяет Flow Collector обрабатывать журналы прокси и Syslog для формирования дополнительного контекста.BlueCoat, McAfee, Squid, WSA
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Набор решений Stealthwatch: лицензии для оконечных устройств и облаков
FlowCollector
EndpointConcentrator
Много клиентов AnyConnect с NVM Серверы в AWS
CloudConcentrator
Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!).
Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Данные о пользователях и устройствах
Информационный поток Stealthwatch Labs
Intelligence Center (SLIC)
Набор решений Stealthwatch: данные об угрозах
CiscoISE
FlowCollector
FlowSensor
Инфраструктура, не способная
генерировать данные о потоках
Stealthwatchподдерживает поток данных об угрозах SLIC как дополнительный лицензируемый компонент.
StealthwatchManagement
Console
Инфраструктура, передающая
данные о потоках
Данные о пользователях и устройствах
Информационный поток Stealthwatch Labs
Intelligence Center (SLIC)
Stealthwatch Portfolio: лицензия Learning Network
CiscoISE
FlowCollector
Learning Network Manager
Сетьфилиала
Лицензия Stealthwatch Learning Network позволяет использовать средства обнаружения аномалий и блокировать угрозы на ISR серии 4000.
Масштабирование: до 1000 агентов на 1 менеджера
Интеграция StealthWatch-ISE
Аутентификация
Команды поместить в карантин/извлечь из карантина с помощью ISE EPS
pxGrid
syslog (udp/3514)
Identity Services Engine
StealthWatch Management
Console
Атрибуция потоков• Использование ISE для
сопоставления имени пользователя IP-адресу
Принципы проектирования решения на базе системы Stealthwatch
• Каждое устройство будет поддерживать минимальное гарантированное число потоков
• Наиболее важные метрики: • Число экспортеров – число Flow Sensor’ов или маршрутизаторов/коммутаторов, передающих данные на Flow Collector
• Скорость поступления данных – интенсивность получения данных о потоках (Flow Collector получает данные от Flow Sensor’ов или сетевых устройств)
• Число хостов – общее число внутренних и внешних хостов• Объем хранилища данных о потоках
Основные принципы
Оценка FPS
Тип хоста Число FPS на 1 хост
Сервер 5
Рабочая станция/ноутбук 1,2
Маршрутизатор/коммутатор 75
IP-телефон 0,002
• Оценку FPS можно выполнить на основании числа и типа IP-хостов, активных в сети
• Настоятельно рекомендуется осуществлять проектирование (и приобретать лицензию FPS) с запасом!
• Калькулятор FPS:https://www.lancope.com/fps-estimator
• Запросите 30-дневную бесплатную версию UDP-директора и попробуйте
Типовая схема развертывания• Одна консоль SteathWatch
Management Console и один FlowCollector
• Одна консоль SMC – достаточно типовой случай
• Все изменения конфигурации выполняются на SMC
• FlowCollector посылает результирующие данные на SMC
• SMC настроена на получение записей журналов (таких как Syslog) от ISE , также включен pxGrid
HT
TPS
потоки
Базовый аппаратный вариантItem Product SKU
1 SMC 1010 Appliance LC-SMC-1010-K9
2 SMC Support CON-SMC-1K
3 FlowCollector 2000 Appliance (60K FPS, 1K Exporters, 2TB Storage )
LC-FC-2010-NF-K9
4 FlowCollector Support CON-FC2K-NF
5 FPS 50K License L-LC-FPS-50K=
6 Support for FPS license CON-FPS-50K
Поддержка до 50 000 FPS.
Базовый виртуальный вариантItem Product SKU1 SMC VE L-LC-FC-NF-VE-K9
2 SMC Support CON-SMC-VE
3 FlowCollector VE (30K FPS, 1K Exporters, 1TB Storage )
L-LC-FC-NF-VE-K9
4 FlowCollector Support CON-FC-NF-VE
5 FPS 25K License L-LC-FPS-25K=
6 Support for FPS license CON-FPS-25K
7* FlowSensor VE for VMware L-LC-FSVE-VMW-K9
8* 1 Year Maintenance For FlowSensor VE CON-FSVE-VMW
* - Опционально
Резервирование SMC, региональные коллекторыТребования:
• 2 SMC + поддержка SMC
• Несколько FC + поддержка FC
• Несколько лицензий FPS
Примечание:• Выбор конкретных FC
и SMC зависит от показателей FPS среды.
StealthwatchFlowCollector
StealthwatchFlowCollector
Americas Internet/MPLS
ОсновнаяSMC
РезервнаяSMC
EMEAInternet/MPLS
Asia PacificInternet/MPLS
Резервирование SMC и FC Требования:
• 2 SMC + поддержка SMC• Несколько FC + поддержка
FC• Несколько лицензий FPS• Резервные лицензии FPS
(в нужном количестве)
Опционально:• Несколько UDP-директоров
Примечание:• Выбор конкретных FC
и SMC зависит от показателей FPS среды.
Americas Internet/MPLS
EMEAInternet/MPLS
Asia PacificInternet/MPLS
StealthwatchFlowCollector’ы
ОсновнаяSMC
РезервнаяSMC
Работа с системой Stealthwatch
Начало работы с SMChttps://<smc-ip>
Обычный вход
Интерфейс №1: веб-интерфейс• Добавлен в StealthWatch 6.5• Быстрая демонстрация• Новые функции реализованы
в этом интерфейсе
Уникальные отличия:• Реакция с помощью ISE• Пользовательские события• Поля SGT в записях о потоках• ProxyWatch• Настройка Active Directory• Пользовательские приложения• Управление заданиями
Интерфейс №1: веб-интерфейс
Меню
Активные тревоги
Инф. панельЗапуск Java-
клиента
Виджеты
Интерфейс №1: НОВЫЙ веб-интерфейс
• Традиционный интерфейс• Годы разработки• «Инженеры для инженеров»• Минимальный объем новых функций
Интерфейс №1: НОВЫЙ веб-интерфейс
Просмотр «документов»
Древовидный каталог
SMC: древовидный каталог
Группы хостов
Домен
FlowCollector(ы) и Exporter(ы)
Cisco ISE
Хосты и группы хостов
Хосты
• Любой IP-адрес, с которого был трафик: • Зафиксированный экспортером NetFlow• Запись была отправлена в коллектор
• Для каждого хоста StealthWatch• Собирает метаданные• Формирует профиль поведения
Группы хостов• Виртуальный контейнер IP-адресов• Задается пользователем• Общность атрибутов• Моделирование любого
процесса/приложения
Типы групп хостов
• Внутренние хосты:• Все хосты, явно определенные
как часть сети• По умолчанию– “Catch All”
• Внешние хосты• Все хосты, которые не были явно
указаны как часть сети• Страны – GEO-IP
• Ведение с помощью SLIC• Bogon• C & C• Tor
Внутренние группы хостовПо умолчанию• Catch All
• Адреса RFC 1918• По функции• По местоположению
Включая общедоступные IP-адреса
Группы хостов: улучшение контроля
Виртуальный контейнер IP-адресов/диапазонов со
схожими атрибутамиУправление как единым
объектом
Совет: внесение всех известных IP-адресов в
одну или несколько групп хостов
Возможность применения политик к группе
Группы хостов: причинно-следственная связь
Настройки внизИнформация вверх
Панель группы хостов – внутренние хосты
Хосты с высоким CI
Популярные цели
Тренд тревог
Активные тревоги
Сведения о хосте: 10.10.101.118Топ активных
потоковСобытия,
связанные с CIСведения о
хосте
Фильтр
Модель тревог
51
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Security Event
Категории(“Индексы”)
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Security Event
CI
TI
Recon
C&C
Security Event
Security Event
Security Event
Security Event
ИБ-события(“Алгоритмы”)
CI
TI
Recon
C&C
Категории(“Индексы”)
Alarm
Alarm
Alarm
Alarm
Alarm
Тревоги(“Уведомления”)
Security Event
ИБ-события(“Алгоритмы”)
Категории(“Индексы”)
Тревоги(“Уведомления”)
Security Event
Security Event
Security Event
Security Event
Security Event
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
Fake Application
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Категории(“Индексы”)
Тревоги(“Уведомления”)
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
Fake Application
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Категории(“Индексы”)
Тревоги(“Уведомления”)
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
SQLF
ИБ-события(“Алгоритмы”)
Security Event
Security Event
Security Event
Security Event
Категории(“Индексы”)
Тревоги(“Уведомления”)
Alarm
Alarm
Alarm
Alarm
Alarm
CI
TI
Recon
C&C
Stealthwatch: тревогиТревоги• Существенное изменение поведения и нарушения
политики• Генерируются как для известных, так и не известных атак• Действия, выходящие за рамки обычного профиля,
допустимого поведения или заданных политик
Категории тревог
Накопление очков в каждой категории
Мониторинг сегментацииГруппы хостов
Связь
Запрещенная связь
Нарушение политики: Host Locking
Клиенты Серверы
Условия для клиента
Условия для сервера
Успешное или любое
Нарушение политики: Host Locking
Связь в нарушение политики• Тревога сработала на нарушение политик
Нарушение политики: пользовательские события
Событие срабатывает при определенном
трафике
Исходная SGT
Целевая SGT
Имя/описание правила
Описание объекта
Описание субъекта
Описание соединения
Нарушение политики: пользовательские события
ПАНЕЛЬ ТРЕВОГ: все тревоги, связанные с политиками
Сведения о тревоге “Employee to Productions Servers”
Контроль аномалий: Concern IndexConcern Index: хосты, ведущие себя странно
66 различных алгоритмов для версии 6.7.1.
65
Высокое значение CIОтклонение от нормы на 2 432%!
Внутренняя разведка: обнаружение по CI
Сканирование разных подсетей в поисках
TCP-445
Событие CI
А что система может «из коробки»?
Шаблоны отчетов
Reports
00 - Top Internal Scanning Hosts (report time)
01 - Overview of Monitored Network (report time)
02 - Outside to Outside Hosts and Conversations
03 - Server Classification Report
The above 00-03 reports are for provisioning.
It is important to view these reports within first 2 days of initial assessment start date to make sure report 04-10 are accurate and clean.
Очень малая часть, создаваемая, как правило, на этапе PoC:Reports
04 - DNS Analysis – Yesterday
05 - Proxy Bypass Report – Last 14 Days
06 - SMB to Internet Analysis – Last 14 Days
07 – Alarms - Last 14 Days
08 - Remote Access From Internet – Last 14 Days
09 - Telnet Analysis – Last 14 Days
10 - Suspect Country Traffic – Last 14 Days
11 – Rogue Servers
12 – Behaviour Analysis
13 – Protected Assets at Risk
• Краткая сводка с лаконичным представлением ситуации.
Обзор для высшего руководства
Резюме
Мы обсудили• Состав решения Stealthwatch• Начальные этапы использования системы Stealthwatch
Основные темы
Лучше один раз увидеть!!!• Стенды в dCloud (dcloud.cisco.com)
• Cisco Digital Read Network v1 – Always On • Cisco Cyber Threat Defense 6.7 v1
Cisco CSIRT о своей практике использования Stealthwatch
https://youtu.be/FEmAmsajBtI