17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Нюансы функционирования и эксплуатации Cisco SOC
1. 27 апреля 2017
Cisco Infosec Representative
Cisco Security Ninja Blue Belt
Нюансы эксплуатации
SOC внутри Cisco
Алексей Лукацкий
2. Disclaimer
За 20 минут нельзя рассказать о том, как
функционирует весь SOC Cisco
Упомянутые в презентации процессы,
сервисы, продукты, технологии и подходы
не являются полным описанием того, что
делается внутри ИБ компании Cisco.
Упомянутые в презентации процессы,
сервисы, продукты, технологии и подходы
изменяются с течением времени (в том
числе и в данный момент)
Презентация базируется на публичной
информации, раскрытие которой
разрешено службой ИБ компании Cisco
3. Опыт Cisco в части построения SOC
Cisco CSIRT
Cisco
Flexible SOC
Cisco ATA
Cisco
SecOps
Собственный SOC и
служба реагирования
на инциденты Cisco
Услуги Cisco по
построению SOC
для заказчиков
Аутсорсинговый SOC
Cisco для заказчиков
Аутсорсинговый SOC
Cisco для
промышленных
предприятий
4. Что представляет особую сложность?
Сложности ИБ
• Неуправляемые десктопы и ПК руководства
• Спам/Вредоносное ПО
• DDoS
• Удаленно контролируемые зараженные узлы
• Быстро меняющееся окружение
Базовые решения
• Anti-virus
• Firewalls
• IDS/IPS
• IronPort WSA/ESA
• Сегментация сети (активно развивается)
• Захват и анализ логов
• Incident response team
95%
Расширенные решения
• Расширенный сбор данных
• Netflow, IP атрибуция, DNS…
• Анализ Big data и playbooks
• Быстрая локализация
• DNS/RPZ, карантин, On-line форензика на узлах
• Осведомленность об угрозах
Продвинутых угроз
• Целевой фишинг с троянами
• Атаки Watering hole
• Атаки через соцсети
• Атаки спецслужб
5%
5. Вам не нужен SOC, если вам нечего
мониторить!
122K человек/170 стран
26,000 домашних офисов
1,350 лабораторий
2,500 приложений/500 облачных
сервисов
3M IP-адресов/40K
маршрутизаторов
425 устройств, обнаруживающих
инциденты ИБ
350+ сотрудников службы ИБ
(включая расширенный состав)
4TБ данных собирается и
анализируется ежедневно
1.2трлн сетевых событий
15млрд потоков NetFlows
4.7млрд DNS-записей
75млн Web-транзакций
• Блокируется – 1.2M (WSA)
94% входящих e-mail блокируется
на периметре (ESA)
47TБ трафика инспектируется
• эквивалентно 3.8K часов видео blu-ray
5
6. Выстроенные процессы в основе всего
выстроенных процессов
управления инцидентами и
событиями безопасности
(workflow, playbook, пути
эскалации, RACI-матрица и
т.д.) не компенсирует даже
хорошо настроенная и дорогая
SIEM-система
Отсутствие
7. Отсутствие нормальных SIEM
устраивающих нас привычных SIEM на
рынке
• Сложно индексировать данные не-ИБ
или логи своих приложений
• Проблемы масштабирования и
скорости поиска. 10Гб/день (сегодня 4
Тб) и поиск занимал > 6 минут
• Сложно кастомизировать встроенные
правила, генерящие много ложных
срабатываний
Отсутствие
17
1000356
2
0
50
100
150
200
250
300
350
400
Avg Query Time (seconds) Data Indexed (GB/day)
Query Time vs. Indexed Data
Splunk
SIEM 1
8. Коммуникации, взаимодействие и другие ИТ-системы
РасследованияМониторинг
Средства
защиты
Решения от провайдеров ИБ и разведки угроз
Управление
сервисами
Web Tools
SIEM
Feeds
Cloud
Service
Cloud WAFCloud DoSP
Standalone
Tools
IM
NGIPS
NGFW
Antimalware
Web
Proxies
Vuln Scan
Email Sec
Virtualized
InfraWiki
Collab Tool
Ticketing
CMDB
Training
Platform
Log
Collector
Log Mgmt
В итоге мы перешли от такой архитектуры
9. Инфраструктура под
расследованием
Меры защиты и
восстановления
Системы коммуникаций и
взаимодействия
РасследованиеМониторинг и
реагирование
Обогащение/TI
Телеметрия и
другие
источники
Решения провайдеров
по ИБ
Управление
сервисами
Security Analytics
Suite
AV Intel
Providers
Cloud
Infra
Service
Provider
Solutions
Digital
Forensics
Tools
Security Case
Management
Enrichment
Providers
Threat Intel
Providers
Платформы для разведки
Threat
Intelligence
Malware
Analysis
Knowledge
Base
Log
Management
Native Logs
Cyber Security
Controls
Wiki
Comm &
Collab Apps
Internal Infra
Ticketing
Training
Platforms
Physical Security
Controls
…к этой
Sensor
Telemetry
Other Data
Sources
11. Не забывайте про мониторинг внутренней
сети
уникальный источник
информации о событиях
безопасности, который
позволяет использовать
каждый коммутатору и
маршрутизатор в
качестве
распределенной
системы обнаружения
атак и аномалий
Netflow
Cisco Stealthwatch
12. Мобильные пользователи
Филиал
Мониторинг не только периметра
Облако
Сеть
Админ
ЦОД
Пользователи
ЗАПИСЫВАТЬ
каждую коммуникацию
Понимать, что
такое НОРМА
Предупреждать об
ИЗМЕНЕНИЯХ
ЗНАТЬ
каждый узел
Реагировать на
УГРОЗЫ быстро
HQ
13. Cisco CSIRT о своей практике использования
Stealthwatch
https://youtu.be/FEmAmsajBtI
14. Threat Intelligence обогащает ваши
события безопасности
- знание (включая процесс его получения) об
угрозах и нарушителях, обеспечивающее
понимание методов, используемых
злоумышленниками для нанесения ущерба, и
способов противодействия им
Оперирует не только и не столько
статической информацией об отдельных
уязвимостях и угрозах, сколько более
динамичной и имеющей практическое
значение информацией об источниках угроз,
признаках компрометации (объединяющих
разрозненные сведения в единое целое),
вредоносных доменах и IP-адресах,
взаимосвязях и т.п.
Threat Intelligence
Cisco
Systems
Free / Open
Source
Государство
ISAC
Коммерчес-
кие
Частные
Внутренние
15. 5 департаментов
DNS-запросов в день
90 МЛРД
Файлов / семплов в день
18.5 МЛРД / 1,5 МЛН
Web-запросов в день
16 МЛРД
сообщений email в день
600 МЛРД
16. Коммерческие решения vs open source
позволяют собирать индикаторы
компрометации из различных
коммерческих и бесплатных, закрытых
и открытых, государственных и
частных источников,
классифицировать их и производить с
ними различные операции, включая и
выгрузку в средства защиты и системы
мониторинга (SIEM)
TI-платформы
MITRE CRiTs
IT-ISAC на базе Anomali ThreatStream
17. От CRiTs к OpenSOC
17
Мультипетабайтное хранилище
Интерактивные запросы
Поиск в реальном времени
Масштабируемая обработка потоков
Неструктурированные данные
Контроль доступа к данным
Масштабируемые вычисления
Hadoop
Big Data
Platform
OpenSOC
Алерты в реальном времени
Обнаружение аномалий
Корреляция данных
Правила и отчеты
Прогнозное моделирование
UI и приложения
19. От OpenSOC к Cisco TIP
Стек железа (40u):
- 14 Hadoop Data Nodes (UCS C240 M3)
- 8 Elastic Data Nodes (UCS C220 M3)
- 3 Cluster Control Nodes (UCS C220 M3)
- 2 ESX Hypervisor Hosts (UCS C220 M3)
- 1 PCAP Processor (UCS C220 M3 + Napatech NIC)
- 2 SourceFire Threat alert processors
- 1 Anue Network Traffic splitter
- 1 Router
- 1 48 Port 10GE Switch
Стек ПО
- HDP 2.2
- Kafka 0.8.1
- Elastic Search 1.3.0
- MySQL 5.5 (Hive Meta & GeoData)
20. Контроль доступа дает нам контекст
Тип
устройства
МестоположениеПользователь Оценка Время Метод доступа
Прочие
атрибуты
Cisco ISE
21. …для последующего реагирования
• Задействует EPS (Endpoint Protection Services), известный также как ANC – Adaptive Network Control
• Одна из наиболее неизвестных и недоиспользованных возможностей ISE
• ISE-сервера могут глобально поместить MAC-адреса узла в restricted zone
• Инфицированный узел будет иметь доступ к средствами восстановления, но не сможет повлиять
на другие системы в компании
• Помещение и исключение из карантина могут быть ручными или автоматическими (по API)
Драматически снижает время реагирования на инцидент
22. Отражение атак: BGP RTBH @Cisco
• OER – Optimized Edge Routing
• Также известен как Performance
Routing (PfR):
• Немедленно устанавливает null0 route
• Позволяет избежать дорогостоящего
изменения правил ACL или на МСЭ
• Использует iBGP и uRPF
• Не требует дополнительной настройки
• Настраивает /32 null0 route:
22
route x.x.x.x 255.255.255.255 null0
iBGP peering
23. Cisco Threat Mitigation System (TMS) –
собственная разработка
Единый инструмент для управления DNS RPZ* и BGP BH**
* - Response Policy Zones
** - Black Hole
25. Киберучения с помощью Cisco Cyber Range
Identity Services Engine
Flow Collector FC
SMCStealthWatch Management Internet
IXIA
Breaking Point Open Source Attack
Tools
Inside Host
NetFlow
AVC
TrustSec
Wireless Security
ASA NGFW
Cisco Talos
Web Security Appliance
Email Security Appliance
Stealthwatch
Sourcefire IPS
Splunk
Cisco
Prime
Fire
SIGHT
Data Analytics
N1KV
ASAv
Virtual Security
26. Типовой состав киберучений в Cisco
• Вредоносный код
• Спам
• Утечка информации
• Фишинг
• Доступ к ненужным для
работы сайтам
• Сканирование
• Проникновение извне
• Подмена устройств
• Реализация APT
• Кража
идентификационных
данных
• Фальшивые точки
беспроводного доступа
• Атаки на
виртуализированные
инфраструктуры,
включая и центры
обработки данных
• Атаки на мобильные
устройства
• Техники обхода средств
защиты
• DDoS-атаки
• Взаимодействие с C&C-
серверами
• И другие.
28. Состав мобильного SOC (в части ИБ)
• Cisco ASA 5545-X
• Cisco NGIPS (FirePOWER 7150)
• Cisco Stealthwatch
• Cisco S300V Web Security Appliance
• Cisco AMP for Content / Network
• Cisco Netflow Generation Appliance 3340
• CSIRT PDNS и Cisco Umbrella
• Splunk
• BGP Black Hole/Quarantine
• Функции DLP
• Сбор Syslog
• Qualys
• RedSeal
29. Временные параметры
Support business
outcomes
Enable business
change
Manage risk in line with business
needs
Optimize customer
experience
Show value
for moneyContinually improve
• Time-to-Detect (TTD)
• Time-to-Contain (TTC)
• Time-to-Remediate (TTR)
• Time-to-Response (TTR)
• Time-to-Mitigate (TTM)
TTD
TTC
TTR
Первая
активность Обнаружение Лечение Восстановление
TTM
30. Не бывает «15 минут на реагирование на
инцидент»
DETECT
CONTAIN
CLOSE
31. Q1
New Doctor
Q2
Background Check
Q3
Account Closing
Q4
Plan Recruitment
Cisco 13% 19% 10% 5%
Information
Security
1% 8% 6% 1%
• Фишинг – это источник #1
компрометации оконечных
устройств
• Реализуем различные степени
сложности каждый квартал
• Достаточно всего одного письма,
чтобы скомпрометировать
сотрудника
Измерение эффективности SOC – это
высший пилотаж
33. Инженеры службы
Cisco по ИБ
поделились своим
опытом выстраивания
Cisco SOC и
процессов
реагирования на
инциденты в книгах
…и пишет книги
33
34. Cisco Threat Awareness Service – бесплатный
мониторинг угроз
Cisco® Threat Awareness Service это портальный, сервис
анализа угроз, который расширяет видимость угроз и
является доступным 24-часа-в-сутки.
• Использование одной из лучших в мире баз данных угроз
• Оперативное обнаружение вредоносной
активности
• Идентификация скомпрометированных сетей и
подозрительного поведения
• Помогает компаниям быстро идентифицировать
скомпрометированные системы
• Обеспечение рекомендаций
• Помогает ИТ/ИБ идентифицировать угрозы
• Анализирует сетевой, исходящий из организации
• Позволяет улучшить общую защищенность
35. Cisco Threat Awareness Service
Базируясь на технологиях Cisco, сервис Threat Awareness
Service не требует:
• Капитальных вложений
• Изменений конфигурации
• Сетевых инструментов
• Новых внедрений ПО
• Сенсоров в сети заказчика
• Дополнительных людских ресурсов
Снижение времени внедрения, сложности,
и цены с ростом эффективности threat intelligence
36. Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
request@cisco.com или своему менеджеру
Cisco для организации встречи для более
глубокого обсуждения ваших потребностей
и того, как мы можем их удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный
план создания SOC на вашем предприятии
Что сделать после конференции?
37. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/