A fenyegetéselhárítás új módszerei Ács György IT biztonsági konzultáns
2014. október
Miről lesz szó? §
Fenyegetés fókuszú Next Generation Firewall
§
ASA FirePOWER Services bemutatása
§
Mit nyújt az ASA FirePOWER Services?
§
A csattanó
© 2014 Cisco and/or its affiliates. All rights reserved.
2
A fenyegetések elhárítására nem elég az Alkalmazás Vezérlés Az adatok 60%-át órákon belül ellopják
A cégek A betörések 100%-a kapcsolódott 54%-át hónapokig nem malware-t tartalmazó domainhez fedezik fel
Egy közösség mely rejtőzködve, gyorsan támad © 2014 Cisco and/or its affiliates. All rights reserved.
3
Biztos, hogy friss a Java a gépeden? §
A kliens oldalú exploit-ok 91%-a Java...*
§
Ironikus: Káros kódot tartalmazó hirdetés a java.com klienseket támad
§
A kliensek meglátogatják a java.com-t frissítésért, és klikkelés nélkül az oldal megfertőzi őket
Aug 29, 2014
*Cisco Annual Security Report © 2014 Cisco and/or its affiliates. All rights reserved.
4
A hagyományos Next-Generation Firewall problémái Focus on Application Visibility and Control
11 0100 111001 1001 11 111 0
Nincs fenyegetés fókusz és vizibilitás
11 0100 1110101001 1101 111 0011 0 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110
1001 1101 1110011 0110011 101000 0110 00
100 11101 1000111010011101 1000111010011101 1100001 1100 0111010011101 1100001110001110
1001 1101 1110011 01100
0111100 011 1010011101 1
A hagyományos NGFW-k csökkentik a támadási kockázatot, de a fejlett malware-ek kijátszák ezeket © 2014 Cisco and/or its affiliates. All rights reserved.
5
Történetünk szereplője, John, a CFO, Szereti a macskáját ...
John. CFO © 2014 Cisco and/or its affiliates. All rights reserved.
macskája, Helga 6
John esete a macskás állomással – demó § John szörfözi a webet, patch nélküli Adobe Flash Player-rel - 2014 májusi sérülékenység
§ John áldozatul esik egy Browser Exploit site-nak § John PC-jénék irányítását átveszik (Command and Control) Browser Exploit Site John's PC
Controller © 2014 Cisco and/or its affiliates. All rights reserved.
7
John, the CFO.
© 2014 Cisco and/or its affiliates. All rights reserved.
8
The Kill Chain Recon
Mi lenne, ha tudnánk ezt detektálni és korrelálni
Attack Delivery Exploitation C&C Lateral Movement Persistence Steal Data
© 2014 Cisco and/or its affiliates. All rights reserved.
https://media.blackhat.com/bh-us-12/Briefings/Flynn/bh-us-12-Flynn-intrusion-along-the-kill-chain-WP.pdf 9
Miről lesz szó? §
Veszély fókuszú Next Generation Firewall
§
ASA FirePOWER Services bemutatása
§
Mit nyújt az ASA FirePOWER Services?
§
A csattanó
© 2014 Cisco and/or its affiliates. All rights reserved.
10
Cisco ASA with FirePOWER Services Industry’s First Adaptive, Threat-Focused NGFW
World’s most widely deployed, enterpriseclass ASA stateful firewall
Unmatched visibility and automation with FireSIGHT management
URL Filtering
Identity-Policy Control & VPN
Best in class high availability with clustering Integrated Threat defense across the attack continuum © 2014 Cisco and/or its affiliates. All rights reserved.
Threat focused – Industry-leading next-generation IPS (NGIPS)
Advanced Malware Protection 11
Integrált fenyegetéselhárítás a támadás minden pillanatában Attack Continuum
BEFORE
DURING
AFTER
Discover Enforce Harden
Detect Block Defend
Scope Contain Remediate
ASA with FirePOWER Services Visibility and Automation © 2014 Cisco and/or its affiliates. All rights reserved.
12
ASA 5585-X SSP-60 (40 Gbps)
ASA with FirePOWER services
ASA 5585 –X SSP-40
ASA 5585-X SSP-20
ASA 5585-X SSP-10 ASA 5555-X ASA 5545-X ASA 5525-X ASA 5512-X ASA 5515-X
FirePOWER Software module – *requires SSD disc © 2014 Cisco and/or its affiliates. All rights reserved.
FirePOWER Hardware module 13
Miről lesz szó? §
Fenyegetés fókuszú Next Generation Firewall
§
ASA FirePOWER Services bemutatása
§
Mit nyújt az ASA FirePOWER Services?
§
A csattanó
© 2014 Cisco and/or its affiliates. All rights reserved.
14
ASA FirePOWER Services Management 1
NetOPS Workflows - CSM 4.6/7 or ASDM-ASA-On-Box
FireSIGHT
CSM or ASDM
2
SecOPS Workflows -FireSIGHT Management Center
NGFW/NGIPS Management Forensics / Log Management Network AMP / Trajectory Vulnerability Management Incident Control System Adaptive Security Policy Retrospective Analysis Correlated SIEM Eventing Network-Wide / Client Visibility
© 2014 Cisco and/or its affiliates. All rights reserved.
Visibility Categories Threats Users Web Applications Application Protocols File Transfers Malware Command & Control Servers Client Applications Network Servers Operating Systems Routers & Switches Mobile Devices Printers VoIP Phones Virtual Machines 15
Vizibilitás, rálátás: A FireSIGHT felfedezi § ..
automatikusan
§ A hosztokat, oprendszereket,
bejelentkezett felhasználókat, alkalmazásokat, sérülékenységeket § Sokkal többet ad, mint egy
Application Visibility and Control (AVC)
Host
10.1.19.4
OS User Apps Vulnerabilities
100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110
© 2014 Cisco and/or its affiliates. All rights reserved.
john
1001 1101 1110011 011 101000 01
16
Vizibilitás: A FireSIGHT felfedezi a felhasználókat § User Agent installált egy
Host
Windows gépen
10.1.19.4
OS
§ Active Directory logon és logoff
User
eseményeket olvassa
john
Apps
§ Informálja a FireSIGHT-ot,
Vulnerabilities
vagy közvetlenül Active Directory
User Agent log on
john © 2014 Cisco and/or its affiliates. All rights reserved.
17
A jövő: Identitás felfedezése és megosztása más eszközökkel Host
§ Az eszköz azonosítja magát a
OS
hálózaton (802.1X)
User
§ Cisco ISE megosztja az
eszközökre is működik
john
Apps
információt pxGrid segítségével
§ Nem csak Active Directory
10.1.19.4
pxGrid
Vulnerabilities
I S E
Future – Roadmaps are Subject to Change © 2014 Cisco and/or its affiliates. All rights reserved.
18
IPS
FirePOWER™ Services: NGIPS
§ IPS Engine az Open Source Snort ™ alapon § A legjobb fenyegetés elhárítás hatékonyság § Legjobb érték (legkisebb TCO/protected Mbps) § Előfizetéses licensz
© 2014 Cisco and/or its affiliates. All rights reserved.
IPS
OpenAppID
19
Vizibilitás: kisebb kockázat, kevesebb munka
IPS
§ A FireSIGHT IPS
szabályokat javasol
§ Kisebb kockázat § Kevesebb munka IPS szabályok adaptálása az adott környezetre
© 2014 Cisco and/or its affiliates. All rights reserved.
20
Vizibilitás: kisebb kockázat, kevesebb munka
IPS
§ IPS hatékonyság nő § A releváns riasztásokra
Host
fókuszáljunk
192.168.3.1
OS
§ Hatás elemzése, impact factor
User
john
Apps Act Immediately Vulnerable
Vulnerabilities
100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110
© 2014 Cisco and/or its affiliates. All rights reserved.
1001 1101 1110011 011 101000 01
21
Cisco FireSIGHT leegyszerűsíti az üzemeltetést
IPS
Megmondja, mik a legfontosabb riasztások!
IMPACT FLAG
Korrelálja a támadási eseményeket az adott cél “impact” értékével © 2014 Cisco and/or its affiliates. All rights reserved.
ADMINISTRATOR ACTION
WHY
1
Act Immediately, Vulnerable
Event corresponds to vulnerability mapped to host
2
Investigate, Potentially Vulnerable
Relevant port open or protocol in use, but no vuln mapped
3
Good to Know, Currently Not Vulnerable
Relevant port not open or protocol not in use
4
Good to Know, Unknown Target
Monitored network, but unknown host
0
Good to Know, Unknown Network
Unmonitored network
22
Bash environment variable command injection (shellshock) demó § Szeptember 24, CVSS:10, számos sérülékenység (apache/cgi, ssh,
bizonyos DHCP kliensek), bash 1.14 és 4.3 verziók között (mind)
§ IPS rule : ugyanazon a napon (14:54:18 UTC) § További információ:
§ http://www.cisco.com/web/about/security/intelligence/ Cisco_ERP_Bash_09252014.html
Webszerver 192.168.75.115 © 2014 Cisco and/or its affiliates. All rights reserved.
192.168.75.117 23
DEMO
© 2014 Cisco and/or its affiliates. All rights reserved.
24
Shellshock in the Wild
© 2014 Cisco and/or its affiliates. All rights reserved.
http://blog.securityscorecard.com/
25
IPS
IPS értékelés
Top Ratings (8260)* § 98.9% detection & protection § 34Gbps inspected throughput § 60M concurrent connections § $15 TCO / protected Mbps
© 2014 Cisco and/or its affiliates. All rights reserved.
26
AMP – Advanced Malware Protection
AMP
§ A File-okat analizálja, detektálja és blokkolja a malware-eket § Felhő alapú file reputáció keresés § Felhő alapú Dynamic Analysis with Sandboxing § Retrospective Security
§ Előfizetéses licensz © 2014 Cisco and/or its affiliates. All rights reserved.
AMP
27
A Retrospective Security értéke §
Ha egy malicious file átcsúszik az Anti-Malware rendszereken...
§
...mivel ez egy új malware
© 2014 Cisco and/or its affiliates. All rights reserved.
AMP
28
A Retrospective Security értéke §
Ha egy malicious file átcsúszik az Anti-Malware rendszereken...
§
...mivel ez egy új malware
§
És másnap, mikor a malware ismert...
§
Szeretnéd tudni § §
AMP
Ki töltötte le? Miket fertőzött meg?
© 2014 Cisco and/or its affiliates. All rights reserved.
29
Felhő előnyök §
Petaflop feldolgozás
§
Petabyte tárolás
§
“Big data” analitika
§
Folyamatos analízis
§
Legfrisseb mesterséges intelligencia (AI) algoritmusok a folyamatos malware felfedezésre
© 2014 Cisco and/or its affiliates. All rights reserved.
Never Forgets!
vs
30
AMP akcióban: tudottan rossz file
AMP
§ File keresés (hash)
"malware„ értékkel tér vissza
AMP Cloud
§ A file-t azonnal dobja
File Lookup =Malware 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110
© 2014 Cisco and/or its affiliates. All rights reserved.
1001 1101 1110011 011 101000 01
31
AMP akcióban: Retrospective Security
AMP
§ A file keresés
"Unknown„ értékkel tér vissza
AMP Cloud
§ A file-t engedélyezi
File Lookup =Unknown 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110
© 2014 Cisco and/or its affiliates. All rights reserved.
1001 1101 1110011 011 101000 01
32
AMP akcióban: Retrospective Security § A file-t később malware-ként ismerjük
fel
- sandboxing - machine learning
ALERT! catfood.pdf downloaded by
[email protected] is malware
AMP
AMP Cloud
- intelligence community
§ Riasztás, hogy ki töltötte le a file-t § Vizibilitás és behatárolás 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110
© 2014 Cisco and/or its affiliates. All rights reserved.
1001 1101 1110011 011 101000 01
33
FireSIGHT : Indications of Compromise
IPS AMP
§
Indications of Compromise azonosítja a meghekkelt gépeket
§
IPS riasztás, malware események, ismert botnet kontrollerekkel való kommunikáció alapján
§
Gyors és egyszerű
© 2014 Cisco and/or its affiliates. All rights reserved.
34
FireSIGHT : Anomália detekció §
Detektálja, ha egy új alkalmazás megjelenik vagy a profil megváltozik
§
Meghekkelt állomások azonosítása
§
Hasznos statikus környezetben: Scada, DMZ, MEDTEC...
ssh
© 2014 Cisco and/or its affiliates. All rights reserved.
RIASZTÁS A hoszt hirtelen SSH-t kezd és a kimenő forgalom megnő
35
FirePOWER Services: URL Filtering §
Blokkolja (vagy figyelmezteti) a nem üzlettel kapcsolatos site-okat kategória alapján
§
Felhasználó vagy csoport tagság alapján
§
Előfizetéses licensz
© 2014 Cisco and/or its affiliates. All rights reserved.
URL
36
FireSIGHT : Automatikus válasz §
Előre definiált vagy saját script automatikus akció kezdeményezésére
§
Például eszköz karanténba helyezése ISE API-val
Change ACL,VLAN or SGT
© 2014 Cisco and/or its affiliates. All rights reserved.
I S E
Indications Of Compromise - IPS event impact 1 - Malware - Communication with BOTNET
QUARANTINE
37
Miről lesz szó? §
Fenyegetés fókuszú Next Generation Firewall
§
ASA FirePOWER Services bemutatása
§
Mit nyújt az ASA FirePOWER Services?
§
A csattanó
© 2014 Cisco and/or its affiliates. All rights reserved.
38
IPS
3rd Party: FirePOWER Best Threat Effectiveness
AMP Security Value Map for Intrusion Prevention System (IPS)
Protection
© 2014 Cisco and/or its affiliates. All rights reserved.
Price per Protected Mbps
Security Value Map for Breach Detection
Protection
Price per Protected Mbps 39
NSS Labs – Next-Generation Firewall Security Value Map 2014 szeptember The NGFW Security Value Map shows the placement of Cisco ASA with FirePOWER Services and the FirePOWER 8350 as compared to other vendors. All three products achieved 99.2 percent in security effectiveness and now all can be confident that they will receive the best protections possible regardless of deployment.
Source: NSS Labs 2014 © 2014 Cisco and/or its affiliates. All rights reserved.
40
FireSIGHT konfiguráció
© 2014 Cisco and/or its affiliates. All rights reserved.
41
Megjegyzés a demóval kapcsolatban Az ASA FirePOWER blokkolt volna minden támadást default-ként "no block" –ra állítottuk a megtámadott rendszer vizsgálata céljából
Nincs olyan biztonsági rendszer, ami mindent elkap A retrospektív vizibilitás számít!
© 2014 Cisco and/or its affiliates. All rights reserved.
42
FireSIGHT vizibilitás
© 2014 Cisco and/or its affiliates. All rights reserved.
43
The Kill Chain Recon
Mi lenne, ha tudnánk ezt detektálni és korrelálni ?
Attack Delivery Exploitation C&C Lateral Movement
I G E N !
Persistence Steal Data
© 2014 Cisco and/or its affiliates. All rights reserved.
https://media.blackhat.com/bh-us-12/Briefings/Flynn/bh-us-12-Flynn-intrusion-along-the-kill-chain-WP.pdf44
Összefoglalás §
ASA with FirePOWER Services : az első fenyegetés fókuszú NGFW
§
Fenyegetés elhárítás IPS, AMP és URL szűréssel
§
Páratlan „rálátás” a FireSIGHT menedzsmenttel
§
Java, bash és macska
© 2014 Cisco and/or its affiliates. All rights reserved.
45
Köszönöm.