A fenyegetéselhárítás új módszerei

A fenyegetéselhárítás új módszerei Ács György IT biztonsági konzultáns 2014. október

Miről lesz szó? Fenyegetés fókuszú Next Generation Firewall ASA FirePOWER Services bemutatása Mit nyújt az ASA FirePOWER Services? A csattanó 2

A fenyegetések elhárítására nem elég az Alkalmazás Vezérlés Az adatok 60%-át órákon belül ellopják A betörések 54%-át hónapokig nem fedezik fel A cégek 100%-a kapcsolódott malware-t tartalmazó domainhez Egy közösség mely rejtőzködve, gyorsan támad 3

Biztos, hogy friss a Java a gépeden? A kliens oldalú exploit-ok 91%-a Java...* Ironikus: Káros kódot tartalmazó hirdetés a java.com klienseket támad A kliensek meglátogatják a java.com-t frissítésért, és klikkelés nélkül az oldal megfertőzi őket Aug 29, 2014 *Cisco Annual Security Report 4

A hagyományos Next-Generation Firewall problémái Focus on Application Visibility and Control 1 0100 111001 1001 11 111 0 Nincs fenyegetés fókusz és vizibilitás 1 0100 1110101001 1101 111 0011 0 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 00 11101 1000111010011101 1000111010011101 1100001 1100 0111010011101 1100001110001110 1001 1101 1110011 01100 0111100 011 1010011101 1 A hagyományos NGFW-k csökkentik a támadási kockázatot, de a fejlett malware-ek kijátszák ezeket 5

Történetünk szereplője, John, a CFO, Szereti a macskáját... John. CFO macskája, Helga 6

John esete a macskás állomással demó John szörfözi a webet, patch nélküli Adobe Flash Player-rel - 2014 májusi sérülékenység John áldozatul esik egy Browser Exploit site-nak John PC-jénék irányítását átveszik (Command and Control) John's PC Browser Exploit Site Controller 7

John, the CFO. 8

The Kill Chain Recon Mi lenne, ha tudnánk ezt detektálni és korrelálni Attack Delivery Exploitation C&C Lateral Movement Persistence Steal Data https://media.blackhat.com/bh-us-12/briefings/flynn/bh-us-12-flynn-intrusion-along-the-kill-chain-wp.pdf 9

Miről lesz szó? Veszély fókuszú Next Generation Firewall ASA FirePOWER Services bemutatása Mit nyújt az ASA FirePOWER Services? A csattanó 10

Cisco ASA with FirePOWER Services Industry s First Adaptive, Threat-Focused NGFW World s most widely deployed, enterpriseclass ASA stateful firewall Unmatched visibility and automation with FireSIGHT management Threat focused Industry-leading next-generation IPS (NGIPS) Identity-Policy Control & VPN URL Filtering Best in class high availability with clustering Integrated Threat defense across the attack continuum Advanced Malware Protection 11

Integrált fenyegetéselhárítás a támadás minden pillanatában Attack Continuum BEFORE Discover Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate ASA with FirePOWER Services Visibility and Automation 12

ASA with FirePOWER services ASA 5585 X SSP-40 ASA 5585-X SSP-60 (40 Gbps) ASA 5585-X SSP-20 ASA 5585-X SSP-10 ASA 5555-X ASA 5545-X ASA 5512-X ASA 5525-X ASA 5515-X FirePOWER Software module *requires SSD disc FirePOWER Hardware module 13

Miről lesz szó? Fenyegetés fókuszú Next Generation Firewall ASA FirePOWER Services bemutatása Mit nyújt az ASA FirePOWER Services? A csattanó 14

ASA FirePOWER Services Management 1 NetOPS Workflows - CSM 4.6/7 or ASDM-ASA-On-Box CSM or ASDM 2 SecOPS Workflows -FireSIGHT Management Center FireSIGHT NGFW/NGIPS Management Forensics / Log Management Network AMP / Trajectory Vulnerability Management Incident Control System Adaptive Security Policy Retrospective Analysis Correlated SIEM Eventing Network-Wide / Client Visibility Visibility Categories Threats Users Web Applications Application Protocols File Transfers Malware Command & Control Servers Client Applications Network Servers Operating Systems Routers & Switches Mobile Devices Printers VoIP Phones Virtual Machines 15

Vizibilitás, rálátás: A FireSIGHT felfedezi.. automatikusan A hosztokat, oprendszereket, bejelentkezett felhasználókat, alkalmazásokat, sérülékenységeket Sokkal többet ad, mint egy Application Visibility and Control (AVC) Host 10.1.19.4 OS User Apps Vulnerabilities 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 011 101000 01 john 16

Vizibilitás: A FireSIGHT felfedezi a felhasználókat User Agent installált egy Windows gépen Active Directory logon és logoff eseményeket olvassa Informálja a FireSIGHT-ot, vagy közvetlenül Host 10.1.19.4 OS User Apps Vulnerabilities john Active Directory log on User Agent john 17

A jövő: Identitás felfedezése és megosztása más eszközökkel Az eszköz azonosítja magát a hálózaton (802.1X) Cisco ISE megosztja az információt pxgrid segítségével Nem csak Active Directory eszközökre is működik I S E pxgrid Host 10.1.19.4 OS User Apps Vulnerabilities john Future Roadmaps are Subject to Change 18

FirePOWER Services: NGIPS IPS IPS Engine az Open Source Snort alapon A legjobb fenyegetés elhárítás hatékonyság Legjobb érték (legkisebb TCO/protected Mbps) Előfizetéses licensz IPS OpenAppID 19

Vizibilitás: kisebb kockázat, kevesebb munka IPS A FireSIGHT IPS szabályokat javasol Kisebb kockázat Kevesebb munka IPS szabályok adaptálása az adott környezetre 20

Vizibilitás: kisebb kockázat, kevesebb munka IPS IPS hatékonyság nő A releváns riasztásokra fókuszáljunk Hatás elemzése, impact factor Act Immediately Vulnerable Host 192.168.3.1 OS User Apps Vulnerabilities john 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 011 101000 01 21

Cisco FireSIGHT leegyszerűsíti az üzemeltetést Megmondja, mik a legfontosabb riasztások! IPS IMPACT FLAG ADMINISTRATOR ACTION WHY 1 Act Immediately, Vulnerable Event corresponds to vulnerability mapped to host 2 Investigate, Potentially Vulnerable Relevant port open or protocol in use, but no vuln mapped 3 Good to Know, Currently Not Vulnerable Relevant port not open or protocol not in use 4 Good to Know, Unknown Target Monitored network, but unknown host Korrelálja a támadási eseményeket az adott cél impact értékével 0 Good to Know, Unknown Network Unmonitored network 22

Bash environment variable command injection (shellshock) - demó Szeptember 24, CVSS:10, számos sérülékenység (apache/cgi, ssh, bizonyos DHCP kliensek), bash 1.14 és 4.3 verziók között (mind) IPS rule : ugyanazon a napon (14:54:18 UTC) További információ: http://www.cisco.com/web/about/security/intelligence/ Cisco_ERP_Bash_09252014.html Webszerver 192.168.75.115 192.168.75.117 23

DEMO 24

Shellshock in the Wild http://blog.securityscorecard.com/ 25

IPS értékelés IPS Top Ratings (8260) * 98.9% detection & protection 34Gbps inspected throughput 60M concurrent connections $15 TCO / protected Mbps 26

AMP Advanced Malware Protection AMP A File-okat analizálja, detektálja és blokkolja a malware-eket Felhő alapú file reputáció keresés Felhő alapú Dynamic Analysis with Sandboxing Retrospective Security Előfizetéses licensz AMP 27

A Retrospective Security értéke AMP Ha egy malicious file átcsúszik az Anti-Malware rendszereken......mivel ez egy új malware 28

A Retrospective Security értéke AMP Ha egy malicious file átcsúszik az Anti-Malware rendszereken......mivel ez egy új malware És másnap, mikor a malware ismert... Szeretnéd tudni Ki töltötte le? Miket fertőzött meg? 29

Felhő előnyök Petaflop feldolgozás Petabyte tárolás Big data analitika Folyamatos analízis Legfrisseb mesterséges intelligencia (AI) algoritmusok a folyamatos malware felfedezésre Never Forgets! vs 30

AMP akcióban: tudottan rossz file AMP File keresés (hash) "malware értékkel tér vissza AMP Cloud A file-t azonnal dobja File Lookup =Malware 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 011 101000 01 31

AMP akcióban: Retrospective Security AMP A file keresés "Unknown értékkel tér vissza A file-t engedélyezi AMP Cloud File Lookup =Unknown 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 011 101000 01 32

AMP akcióban: Retrospective Security A file-t később malware-ként ismerjük fel - sandboxing - machine learning ALERT! catfood.pdf downloaded by John@10.1.19.4 is malware AMP AMP Cloud - intelligence community Riasztás, hogy ki töltötte le a file-t Vizibilitás és behatárolás 100 0111100 011 1010011101 1000111010011101 10001110 10011 101 010011101 1100001110001110 1001 1101 1110011 011 101000 01 33

FireSIGHT : Indications of Compromise Indications of Compromise azonosítja a meghekkelt gépeket IPS riasztás, malware események, ismert botnet kontrollerekkel való kommunikáció alapján Gyors és egyszerű IPS AMP 34

FireSIGHT : Anomália detekció Detektálja, ha egy új alkalmazás megjelenik vagy a profil megváltozik Meghekkelt állomások azonosítása Hasznos statikus környezetben: Scada, DMZ, MEDTEC... ssh RIASZTÁS A hoszt hirtelen SSH-t kezd és a kimenő forgalom megnő 35

FirePOWER Services: URL Filtering Blokkolja (vagy figyelmezteti) a nem üzlettel kapcsolatos site-okat kategória alapján Felhasználó vagy csoport tagság alapján Előfizetéses licensz URL 36

FireSIGHT : Automatikus válasz Előre definiált vagy saját script automatikus akció kezdeményezésére Például eszköz karanténba helyezése ISE API-val Change ACL,VLAN or SGT I S E Indications Of Compromise - IPS event impact 1 - Malware - Communication with BOTNET QUARANTINE 37

Miről lesz szó? Fenyegetés fókuszú Next Generation Firewall ASA FirePOWER Services bemutatása Mit nyújt az ASA FirePOWER Services? A csattanó 38

3 rd Party: FirePOWER Best Threat Effectiveness IPS AMP Security Value Map for Intrusion Prevention System (IPS) Security Value Map for Breach Detection Protection Protection Price per Protected Mbps Price per Protected Mbps 39

NSS Labs Next-Generation Firewall Security Value Map 2014 szeptember The NGFW Security Value Map shows the placement of Cisco ASA with FirePOWER Services and the FirePOWER 8350 as compared to other vendors. All three products achieved 99.2 percent in security effectiveness and now all can be confident that they will receive the best protections possible regardless of deployment. Source: NSS Labs 2014 40

FireSIGHT konfiguráció 41

Megjegyzés a demóval kapcsolatban Az ASA FirePOWER blokkolt volna minden támadást default-ként "no block" ra állítottuk a megtámadott rendszer vizsgálata céljából Nincs olyan biztonsági rendszer, ami mindent elkap A retrospektív vizibilitás számít! 42

FireSIGHT vizibilitás 43

The Kill Chain Recon Mi lenne, ha tudnánk ezt detektálni és korrelálni? Attack Delivery Exploitation C&C Lateral Movement Persistence I G E N! Steal Data https://media.blackhat.com/bh-us-12/briefings/flynn/bh-us-12-flynn-intrusion-along-the-kill-chain-wp.pdf 44

Összefoglalás ASA with FirePOWER Services : az első fenyegetés fókuszú NGFW Fenyegetés elhárítás IPS, AMP és URL szűréssel Páratlan rálátás a FireSIGHT menedzsmenttel Java, bash és macska 45

Köszönöm.