A fenyegetéselhárítás új módszerei

A fenyegetéselhárítás új módszerei Ács György IT biztonsági konzultáns

2014. október

Miről lesz szó? § 

Fenyegetés fókuszú Next Generation Firewall

§ 

ASA FirePOWER Services bemutatása

§ 

Mit nyújt az ASA FirePOWER Services?

§ 

A csattanó

© 2014 Cisco and/or its affiliates. All rights reserved.

2

A fenyegetések elhárítására nem elég az Alkalmazás Vezérlés Az adatok 60%-át órákon belül ellopják

A cégek A betörések 100%-a kapcsolódott 54%-át hónapokig nem malware-t tartalmazó domainhez fedezik fel

Egy közösség mely rejtőzködve, gyorsan támad © 2014 Cisco and/or its affiliates. All rights reserved.

3

Biztos, hogy friss a Java a gépeden? § 

A kliens oldalú exploit-ok 91%-a Java...*

§ 

Ironikus: Káros kódot tartalmazó hirdetés a java.com klienseket támad

§ 

A kliensek meglátogatják a java.com-t frissítésért, és klikkelés nélkül az oldal megfertőzi őket

Aug 29, 2014

*Cisco Annual Security Report © 2014 Cisco and/or its affiliates. All rights reserved.

4

A hagyományos Next-Generation Firewall problémái Focus on Application Visibility and Control

11 0100 111001 1001 11 111 0

Nincs fenyegetés fókusz és vizibilitás

11 0100 1110101001 1101 111 0011 0 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110

1001 1101 1110011 0110011 101000 0110 00

100 11101 1000111010011101 1000111010011101 1100001 1100 0111010011101 1100001110001110

1001 1101 1110011 01100

0111100 011 1010011101 1

A hagyományos NGFW-k csökkentik a támadási kockázatot, de a fejlett malware-ek kijátszák ezeket © 2014 Cisco and/or its affiliates. All rights reserved.

5

Történetünk szereplője, John, a CFO, Szereti a macskáját ...

John. CFO © 2014 Cisco and/or its affiliates. All rights reserved.

macskája, Helga 6

John esete a macskás állomással – demó §  John szörfözi a webet, patch nélküli Adobe Flash Player-rel -  2014 májusi sérülékenység

§  John áldozatul esik egy Browser Exploit site-nak §  John PC-jénék irányítását átveszik (Command and Control) Browser Exploit Site John's PC

Controller © 2014 Cisco and/or its affiliates. All rights reserved.

7

John, the CFO.


8

The Kill Chain Recon

Mi lenne, ha tudnánk ezt detektálni és korrelálni

Attack Delivery Exploitation C&C Lateral Movement Persistence Steal Data


https://media.blackhat.com/bh-us-12/Briefings/Flynn/bh-us-12-Flynn-intrusion-along-the-kill-chain-WP.pdf 9


Veszély fókuszú Next Generation Firewall

§ 


§ 


§ 

A csattanó


10

Cisco ASA with FirePOWER Services Industry’s First Adaptive, Threat-Focused NGFW

World’s most widely deployed, enterpriseclass ASA stateful firewall

Unmatched visibility and automation with FireSIGHT management

URL Filtering

Identity-Policy Control & VPN

Best in class high availability with clustering Integrated Threat defense across the attack continuum © 2014 Cisco and/or its affiliates. All rights reserved.

Threat focused – Industry-leading next-generation IPS (NGIPS)

Advanced Malware Protection 11

Integrált fenyegetéselhárítás a támadás minden pillanatában Attack Continuum

BEFORE

DURING

AFTER

Discover Enforce Harden

Detect Block Defend

Scope Contain Remediate

ASA with FirePOWER Services Visibility and Automation © 2014 Cisco and/or its affiliates. All rights reserved.

12

ASA 5585-X SSP-60 (40 Gbps)

ASA with FirePOWER services

ASA 5585 –X SSP-40

ASA 5585-X SSP-20

ASA 5585-X SSP-10 ASA 5555-X ASA 5545-X ASA 5525-X ASA 5512-X ASA 5515-X

FirePOWER Software module – *requires SSD disc © 2014 Cisco and/or its affiliates. All rights reserved.

FirePOWER Hardware module 13



§ 


§ 


§ 

A csattanó


14

ASA FirePOWER Services Management 1

NetOPS Workflows - CSM 4.6/7 or ASDM-ASA-On-Box

FireSIGHT

CSM or ASDM

2

SecOPS Workflows -FireSIGHT Management Center

NGFW/NGIPS Management Forensics / Log Management Network AMP / Trajectory Vulnerability Management Incident Control System Adaptive Security Policy Retrospective Analysis Correlated SIEM Eventing Network-Wide / Client Visibility


Visibility Categories Threats Users Web Applications Application Protocols File Transfers Malware Command & Control Servers Client Applications Network Servers Operating Systems Routers & Switches Mobile Devices Printers VoIP Phones Virtual Machines 15

Vizibilitás, rálátás: A FireSIGHT felfedezi §  ..

automatikusan

§  A hosztokat, oprendszereket,

bejelentkezett felhasználókat, alkalmazásokat, sérülékenységeket §  Sokkal többet ad, mint egy

Application Visibility and Control (AVC)

Host

10.1.19.4

OS User Apps Vulnerabilities

100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110


john

1001 1101 1110011 011 101000 01

16

Vizibilitás: A FireSIGHT felfedezi a felhasználókat §  User Agent installált egy

Host

Windows gépen

10.1.19.4

OS

§  Active Directory logon és logoff

User

eseményeket olvassa

john

Apps

§  Informálja a FireSIGHT-ot,

Vulnerabilities

vagy közvetlenül Active Directory

User Agent log on

john © 2014 Cisco and/or its affiliates. All rights reserved.

17

A jövő: Identitás felfedezése és megosztása más eszközökkel Host

§  Az eszköz azonosítja magát a

OS

hálózaton (802.1X)

User

§  Cisco ISE megosztja az

eszközökre is működik

john

Apps

információt pxGrid segítségével

§  Nem csak Active Directory

10.1.19.4

pxGrid

Vulnerabilities

I S E

Future – Roadmaps are Subject to Change © 2014 Cisco and/or its affiliates. All rights reserved.

18

IPS

FirePOWER™ Services: NGIPS

§  IPS Engine az Open Source Snort ™ alapon §  A legjobb fenyegetés elhárítás hatékonyság §  Legjobb érték (legkisebb TCO/protected Mbps) §  Előfizetéses licensz


IPS

OpenAppID

19

Vizibilitás: kisebb kockázat, kevesebb munka

IPS

§  A FireSIGHT IPS

szabályokat javasol

§  Kisebb kockázat §  Kevesebb munka IPS szabályok adaptálása az adott környezetre


20

Vizibilitás: kisebb kockázat, kevesebb munka

IPS

§  IPS hatékonyság nő §  A releváns riasztásokra

Host

fókuszáljunk

192.168.3.1

OS

§  Hatás elemzése, impact factor

User

john

Apps Act Immediately Vulnerable

Vulnerabilities

100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110


1001 1101 1110011 011 101000 01

21

Cisco FireSIGHT leegyszerűsíti az üzemeltetést

IPS

Megmondja, mik a legfontosabb riasztások!

IMPACT FLAG

Korrelálja a támadási eseményeket az adott cél “impact” értékével © 2014 Cisco and/or its affiliates. All rights reserved.

ADMINISTRATOR ACTION

WHY

1

Act Immediately, Vulnerable

Event corresponds to vulnerability mapped to host

2

Investigate, Potentially Vulnerable

Relevant port open or protocol in use, but no vuln mapped

3

Good to Know, Currently Not Vulnerable

Relevant port not open or protocol not in use

4

Good to Know, Unknown Target

Monitored network, but unknown host

0

Good to Know, Unknown Network

Unmonitored network

22

Bash environment variable command injection (shellshock) demó §  Szeptember 24, CVSS:10, számos sérülékenység (apache/cgi, ssh,

bizonyos DHCP kliensek), bash 1.14 és 4.3 verziók között (mind)

§  IPS rule : ugyanazon a napon (14:54:18 UTC) §  További információ:

§  http://www.cisco.com/web/about/security/intelligence/ Cisco_ERP_Bash_09252014.html

Webszerver 192.168.75.115 © 2014 Cisco and/or its affiliates. All rights reserved.

192.168.75.117 23

DEMO


24

Shellshock in the Wild


http://blog.securityscorecard.com/

25

IPS

IPS értékelés

Top Ratings (8260)* §  98.9% detection & protection §  34Gbps inspected throughput §  60M concurrent connections §  $15 TCO / protected Mbps


26

AMP – Advanced Malware Protection

AMP

§  A File-okat analizálja, detektálja és blokkolja a malware-eket §  Felhő alapú file reputáció keresés §  Felhő alapú Dynamic Analysis with Sandboxing §  Retrospective Security

§  Előfizetéses licensz © 2014 Cisco and/or its affiliates. All rights reserved.

AMP

27

A Retrospective Security értéke § 

Ha egy malicious file átcsúszik az Anti-Malware rendszereken...

§ 

...mivel ez egy új malware


AMP

28

A Retrospective Security értéke § 

Ha egy malicious file átcsúszik az Anti-Malware rendszereken...

§ 

...mivel ez egy új malware

§ 

És másnap, mikor a malware ismert...

§ 

Szeretnéd tudni §  § 

AMP

Ki töltötte le? Miket fertőzött meg?


29

Felhő előnyök § 

Petaflop feldolgozás

§ 

Petabyte tárolás

§ 

“Big data” analitika

§ 

Folyamatos analízis

§ 

Legfrisseb mesterséges intelligencia (AI) algoritmusok a folyamatos malware felfedezésre


Never Forgets!

vs

30

AMP akcióban: tudottan rossz file

AMP

§  File keresés (hash)

"malware„ értékkel tér vissza

AMP Cloud

§  A file-t azonnal dobja

File Lookup =Malware 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110


1001 1101 1110011 011 101000 01

31

AMP akcióban: Retrospective Security

AMP

§  A file keresés

"Unknown„ értékkel tér vissza

AMP Cloud

§  A file-t engedélyezi

File Lookup =Unknown 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110


1001 1101 1110011 011 101000 01

32

AMP akcióban: Retrospective Security §  A file-t később malware-ként ismerjük

fel

-  sandboxing -  machine learning

ALERT! catfood.pdf downloaded by [email protected] is malware

AMP

AMP Cloud

-  intelligence community

§  Riasztás, hogy ki töltötte le a file-t §  Vizibilitás és behatárolás 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110


1001 1101 1110011 011 101000 01

33

FireSIGHT : Indications of Compromise

IPS AMP

§ 

Indications of Compromise azonosítja a meghekkelt gépeket

§ 

IPS riasztás, malware események, ismert botnet kontrollerekkel való kommunikáció alapján

§ 

Gyors és egyszerű


34

FireSIGHT : Anomália detekció § 

Detektálja, ha egy új alkalmazás megjelenik vagy a profil megváltozik

§ 

Meghekkelt állomások azonosítása

§ 

Hasznos statikus környezetben: Scada, DMZ, MEDTEC...

ssh


RIASZTÁS A hoszt hirtelen SSH-t kezd és a kimenő forgalom megnő

35

FirePOWER Services: URL Filtering § 

Blokkolja (vagy figyelmezteti) a nem üzlettel kapcsolatos site-okat kategória alapján

§ 

Felhasználó vagy csoport tagság alapján

§ 

Előfizetéses licensz


URL

36

FireSIGHT : Automatikus válasz § 

Előre definiált vagy saját script automatikus akció kezdeményezésére

§ 

Például eszköz karanténba helyezése ISE API-val

Change ACL,VLAN or SGT


I S E

Indications Of Compromise - IPS event impact 1 - Malware - Communication with BOTNET

QUARANTINE

37



§ 


§ 


§ 

A csattanó


38

IPS

3rd Party: FirePOWER Best Threat Effectiveness

AMP Security Value Map for Intrusion Prevention System (IPS)

Protection


Price per Protected Mbps

Security Value Map for Breach Detection

Protection

Price per Protected Mbps 39

NSS Labs – Next-Generation Firewall Security Value Map 2014 szeptember The NGFW Security Value Map shows the placement of Cisco ASA with FirePOWER Services and the FirePOWER 8350 as compared to other vendors. All three products achieved 99.2 percent in security effectiveness and now all can be confident that they will receive the best protections possible regardless of deployment.

Source: NSS Labs 2014 © 2014 Cisco and/or its affiliates. All rights reserved.

40

FireSIGHT konfiguráció


41

Megjegyzés a demóval kapcsolatban Az ASA FirePOWER blokkolt volna minden támadást default-ként "no block" –ra állítottuk a megtámadott rendszer vizsgálata céljából

Nincs olyan biztonsági rendszer, ami mindent elkap A retrospektív vizibilitás számít!


42

FireSIGHT vizibilitás


43

The Kill Chain Recon

Mi lenne, ha tudnánk ezt detektálni és korrelálni ?

Attack Delivery Exploitation C&C Lateral Movement

I G E N !

Persistence Steal Data


https://media.blackhat.com/bh-us-12/Briefings/Flynn/bh-us-12-Flynn-intrusion-along-the-kill-chain-WP.pdf44

Összefoglalás § 

ASA with FirePOWER Services : az első fenyegetés fókuszú NGFW

§ 

Fenyegetés elhárítás IPS, AMP és URL szűréssel

§ 

Páratlan „rálátás” a FireSIGHT menedzsmenttel

§ 

Java, bash és macska


45

Köszönöm.

A fenyegetéselhárítás új módszerei

Recommend Documents