A fenyegetéselhárítás új módszerei

Átírás

1 A fenyegetéselhárítás új módszerei Ács György IT biztonsági konzultáns október

2 Miről lesz szó? Fenyegetés fókuszú Next Generation Firewall ASA FirePOWER Services bemutatása Mit nyújt az ASA FirePOWER Services? A csattanó 2

3 A fenyegetések elhárítására nem elég az Alkalmazás Vezérlés Az adatok 60%-át órákon belül ellopják A betörések 54%-át hónapokig nem fedezik fel A cégek 100%-a kapcsolódott malware-t tartalmazó domainhez Egy közösség mely rejtőzködve, gyorsan támad 3

4 Biztos, hogy friss a Java a gépeden? A kliens oldalú exploit-ok 91%-a Java...* Ironikus: Káros kódot tartalmazó hirdetés a java.com klienseket támad A kliensek meglátogatják a java.com-t frissítésért, és klikkelés nélkül az oldal megfertőzi őket Aug 29, 2014 *Cisco Annual Security Report 4

5 A hagyományos Next-Generation Firewall problémái Focus on Application Visibility and Control Nincs fenyegetés fókusz és vizibilitás A hagyományos NGFW-k csökkentik a támadási kockázatot, de a fejlett malware-ek kijátszák ezeket 5

6 Történetünk szereplője, John, a CFO, Szereti a macskáját... John. CFO macskája, Helga 6

7 John esete a macskás állomással demó John szörfözi a webet, patch nélküli Adobe Flash Player-rel májusi sérülékenység John áldozatul esik egy Browser Exploit site-nak John PC-jénék irányítását átveszik (Command and Control) John's PC Browser Exploit Site Controller 7

8 John, the CFO. 8

9 The Kill Chain Recon Mi lenne, ha tudnánk ezt detektálni és korrelálni Attack Delivery Exploitation C&C Lateral Movement Persistence Steal Data 9

10 Miről lesz szó? Veszély fókuszú Next Generation Firewall ASA FirePOWER Services bemutatása Mit nyújt az ASA FirePOWER Services? A csattanó 10

11 Cisco ASA with FirePOWER Services Industry s First Adaptive, Threat-Focused NGFW World s most widely deployed, enterpriseclass ASA stateful firewall Unmatched visibility and automation with FireSIGHT management Threat focused Industry-leading next-generation IPS (NGIPS) Identity-Policy Control & VPN URL Filtering Best in class high availability with clustering Integrated Threat defense across the attack continuum Advanced Malware Protection 11

12 Integrált fenyegetéselhárítás a támadás minden pillanatában Attack Continuum BEFORE Discover Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate ASA with FirePOWER Services Visibility and Automation 12

13 ASA with FirePOWER services ASA 5585 X SSP-40 ASA 5585-X SSP-60 (40 Gbps) ASA 5585-X SSP-20 ASA 5585-X SSP-10 ASA 5555-X ASA 5545-X ASA 5512-X ASA 5525-X ASA 5515-X FirePOWER Software module *requires SSD disc FirePOWER Hardware module 13

14 Miről lesz szó? Fenyegetés fókuszú Next Generation Firewall ASA FirePOWER Services bemutatása Mit nyújt az ASA FirePOWER Services? A csattanó 14

15 ASA FirePOWER Services Management 1 NetOPS Workflows - CSM 4.6/7 or ASDM-ASA-On-Box CSM or ASDM 2 SecOPS Workflows -FireSIGHT Management Center FireSIGHT NGFW/NGIPS Management Forensics / Log Management Network AMP / Trajectory Vulnerability Management Incident Control System Adaptive Security Policy Retrospective Analysis Correlated SIEM Eventing Network-Wide / Client Visibility Visibility Categories Threats Users Web Applications Application Protocols File Transfers Malware Command & Control Servers Client Applications Network Servers Operating Systems Routers & Switches Mobile Devices Printers VoIP Phones Virtual Machines 15

16 Vizibilitás, rálátás: A FireSIGHT felfedezi.. automatikusan A hosztokat, oprendszereket, bejelentkezett felhasználókat, alkalmazásokat, sérülékenységeket Sokkal többet ad, mint egy Application Visibility and Control (AVC) Host OS User Apps Vulnerabilities john 16

17 Vizibilitás: A FireSIGHT felfedezi a felhasználókat User Agent installált egy Windows gépen Active Directory logon és logoff eseményeket olvassa Informálja a FireSIGHT-ot, vagy közvetlenül Host OS User Apps Vulnerabilities john Active Directory log on User Agent john 17

18 A jövő: Identitás felfedezése és megosztása más eszközökkel Az eszköz azonosítja magát a hálózaton (802.1X) Cisco ISE megosztja az információt pxgrid segítségével Nem csak Active Directory eszközökre is működik I S E pxgrid Host OS User Apps Vulnerabilities john Future Roadmaps are Subject to Change 18

19 FirePOWER Services: NGIPS IPS IPS Engine az Open Source Snort alapon A legjobb fenyegetés elhárítás hatékonyság Legjobb érték (legkisebb TCO/protected Mbps) Előfizetéses licensz IPS OpenAppID 19

20 Vizibilitás: kisebb kockázat, kevesebb munka IPS A FireSIGHT IPS szabályokat javasol Kisebb kockázat Kevesebb munka IPS szabályok adaptálása az adott környezetre 20

21 Vizibilitás: kisebb kockázat, kevesebb munka IPS IPS hatékonyság nő A releváns riasztásokra fókuszáljunk Hatás elemzése, impact factor Act Immediately Vulnerable Host OS User Apps Vulnerabilities john

22 Cisco FireSIGHT leegyszerűsíti az üzemeltetést Megmondja, mik a legfontosabb riasztások! IPS IMPACT FLAG ADMINISTRATOR ACTION WHY 1 Act Immediately, Vulnerable Event corresponds to vulnerability mapped to host 2 Investigate, Potentially Vulnerable Relevant port open or protocol in use, but no vuln mapped 3 Good to Know, Currently Not Vulnerable Relevant port not open or protocol not in use 4 Good to Know, Unknown Target Monitored network, but unknown host Korrelálja a támadási eseményeket az adott cél impact értékével 0 Good to Know, Unknown Network Unmonitored network 22

23 Bash environment variable command injection (shellshock) - demó Szeptember 24, CVSS:10, számos sérülékenység (apache/cgi, ssh, bizonyos DHCP kliensek), bash 1.14 és 4.3 verziók között (mind) IPS rule : ugyanazon a napon (14:54:18 UTC) További információ: Cisco_ERP_Bash_ html Webszerver

24 DEMO 24

25 Shellshock in the Wild 25

26 IPS értékelés IPS Top Ratings (8260) * 98.9% detection & protection 34Gbps inspected throughput 60M concurrent connections $15 TCO / protected Mbps 26

27 AMP Advanced Malware Protection AMP A File-okat analizálja, detektálja és blokkolja a malware-eket Felhő alapú file reputáció keresés Felhő alapú Dynamic Analysis with Sandboxing Retrospective Security Előfizetéses licensz AMP 27

28 A Retrospective Security értéke AMP Ha egy malicious file átcsúszik az Anti-Malware rendszereken......mivel ez egy új malware 28

29 A Retrospective Security értéke AMP Ha egy malicious file átcsúszik az Anti-Malware rendszereken......mivel ez egy új malware És másnap, mikor a malware ismert... Szeretnéd tudni Ki töltötte le? Miket fertőzött meg? 29

30 Felhő előnyök Petaflop feldolgozás Petabyte tárolás Big data analitika Folyamatos analízis Legfrisseb mesterséges intelligencia (AI) algoritmusok a folyamatos malware felfedezésre Never Forgets! vs 30

31 AMP akcióban: tudottan rossz file AMP File keresés (hash) "malware értékkel tér vissza AMP Cloud A file-t azonnal dobja File Lookup =Malware

32 AMP akcióban: Retrospective Security AMP A file keresés "Unknown értékkel tér vissza A file-t engedélyezi AMP Cloud File Lookup =Unknown

33 AMP akcióban: Retrospective Security A file-t később malware-ként ismerjük fel - sandboxing - machine learning ALERT! catfood.pdf downloaded by John@ is malware AMP AMP Cloud - intelligence community Riasztás, hogy ki töltötte le a file-t Vizibilitás és behatárolás

34 FireSIGHT : Indications of Compromise Indications of Compromise azonosítja a meghekkelt gépeket IPS riasztás, malware események, ismert botnet kontrollerekkel való kommunikáció alapján Gyors és egyszerű IPS AMP 34

35 FireSIGHT : Anomália detekció Detektálja, ha egy új alkalmazás megjelenik vagy a profil megváltozik Meghekkelt állomások azonosítása Hasznos statikus környezetben: Scada, DMZ, MEDTEC... ssh RIASZTÁS A hoszt hirtelen SSH-t kezd és a kimenő forgalom megnő 35

36 FirePOWER Services: URL Filtering Blokkolja (vagy figyelmezteti) a nem üzlettel kapcsolatos site-okat kategória alapján Felhasználó vagy csoport tagság alapján Előfizetéses licensz URL 36

37 FireSIGHT : Automatikus válasz Előre definiált vagy saját script automatikus akció kezdeményezésére Például eszköz karanténba helyezése ISE API-val Change ACL,VLAN or SGT I S E Indications Of Compromise - IPS event impact 1 - Malware - Communication with BOTNET QUARANTINE 37

38 Miről lesz szó? Fenyegetés fókuszú Next Generation Firewall ASA FirePOWER Services bemutatása Mit nyújt az ASA FirePOWER Services? A csattanó 38

39 3 rd Party: FirePOWER Best Threat Effectiveness IPS AMP Security Value Map for Intrusion Prevention System (IPS) Security Value Map for Breach Detection Protection Protection Price per Protected Mbps Price per Protected Mbps 39

40 NSS Labs Next-Generation Firewall Security Value Map 2014 szeptember The NGFW Security Value Map shows the placement of Cisco ASA with FirePOWER Services and the FirePOWER 8350 as compared to other vendors. All three products achieved 99.2 percent in security effectiveness and now all can be confident that they will receive the best protections possible regardless of deployment. Source: NSS Labs

41 FireSIGHT konfiguráció 41

42 Megjegyzés a demóval kapcsolatban Az ASA FirePOWER blokkolt volna minden támadást default-ként "no block" ra állítottuk a megtámadott rendszer vizsgálata céljából Nincs olyan biztonsági rendszer, ami mindent elkap A retrospektív vizibilitás számít! 42

43 FireSIGHT vizibilitás 43

44 The Kill Chain Recon Mi lenne, ha tudnánk ezt detektálni és korrelálni? Attack Delivery Exploitation C&C Lateral Movement Persistence I G E N! Steal Data 44

45 Összefoglalás ASA with FirePOWER Services : az első fenyegetés fókuszú NGFW Fenyegetés elhárítás IPS, AMP és URL szűréssel Páratlan rálátás a FireSIGHT menedzsmenttel Java, bash és macska 45

46 Köszönöm.