Ochrana koncových staníc pomocou Cisco Security Agent 6.0. Ľubomír Varga.

Transcription

1 Ochrana koncových staníc pomocou Cisco Security Agent 6.0 Ľubomír Varga

2 Agenda CSA 6.0 refresh Vybrané vlastnosti CSA 6.0 Application Trust levels Notify User Rule Actions User Justifications Digital Signature Identification Automatic Signature Generation Data Loss Prevention (DLP) Printer Access Control Rule Otázky a odpovede

3 CSA refresh HIDS/HIPS zabezpečuje ochranu pracovných staníc a serverov založený na kontrole správania koncového systému (behavior-based) ochrana pred day-zero útokmi centrálna správa Management Center for CSA (CSA MC) centrálne definovanie politík pre CSA centrálne úložisko log záznamov od CSA reporting a alerting

4 Vybrané nové vlastnosti CSA 6.0 Application Trust levels Notify User Rule Actions User Justifications Digital Signature Identification Automatic Signature Generation Data Loss Prevention (DLP) Printer Access Control Rule

5 Application Trust levels

6 Application Trust levels - popis globálne zoznamy aplikácii podľa úrovne dôveryhodnosti WhiteList, GreyList, BlackList preddefinované pravidlá reflektujú tieto explicitne definované úrovne dôveryhodnosti aplikácií aplikácie v zozname WhiteList = minimálne reštrikcie aplikácie v zozname GreyList = zvýšené reštrikcie aplikácie v zozname BlackList = maximálne reštrikcie nutné zabezpečiť zvýšenú ochranu aplikácií v zozname WhiteList

7 Application Trust levels príklad WhiteList

8 Application Trust levels použitie v pravidle

9 Application Trust levels EventLog wizard

10 Application Trust levels vs. CSA 5.2 CSA 5.2 nemá implementované ATL možnosť riešenia vytvoriť vlastné triedy aplikácií (Application classes) pre rôzne úrovne dôveryhodnosti modifikovať nevyhnutné preddefinované pravidlá, aby zohľadňovali novovytvorené triedy aplikácií CSA 5.2 nemá integrovaný wizard pre priame zaradzovanie aplikácií priamo z hlásení v Eventlog do vlastných aplikačných tried

11 Notify User Rule Action

12 Notify User Rule Actions upozornenie používateľa na výskyt vybraných udalostí v systéme notifikácia môže byť aktivovaná na základe uplatnenia reštrikčného pravidla pre danú udalosť (Allow, Deny, Terminate) ak sa neaktivovalo žiadne reštrikčné pravidlo (Allowed by default) ľubovoľná kombinácia predchádzajúcich možností vyžiadanie vyjadrenia používateľa k danej udalosti (Justification) v CSA 5.2 nerealizovateľné (ani workarround)

13 Notify User Rule Actions

14 Notify User Rule Actions Notification Notification + Justification

15 User Justification

16 User Justification vyžiadanie vyjadrenia používateľa pri pravidlách s akciou QUERY pri pravidlách s akciou NOTIFY vyjadrenie je súčasťou záznamu o udalosti v EventLog na CSA MC poskytnutie vyjadrenia nie je pre používateľa povinné (zo systémového hľadiska) v CSA 5.2 nerealizovateľné (ani workarround)

17 User Justification

18 User Justification

19 Digital Signature Identification

20 Digital Signature Identification CSA automaticky identifikuje digitálny podpis aplikácie (súčasť mandatory policy) ak je digitálny podpis dôveryhodný aplikácia je označená ako trusted trusted aplikácie podliehajú menším reštrikciám ako untrusted aplikácie modifikovateľný zoznam dôveryhodných digitálnych podpisov Good Digital Signers file set

21 Digital Signature Identification

22 Digital Signature Identification

23 Digital Signature Identification

24 Automatic Signature Generation

25 Automatic Signature Generation poskytuje nové funkcie CSA pre Windows platformy: automaticky generované signatúry ochrana pred DoS útokmi Process stack recovery ochrana MSRPC a LPC imunizácia enterprise princíp fungovania pravidlo typu System API Control zachytí pokus o útok typu buffer overflow CSA na pracovnej stanici vygeneruje lokálnu signatúru a pošle ju na CSA MC korelačný engine na CSA MC podľa preddefinovaných nastavení vygeneruje globálnu signatúru všetci ostatní CSA si v rámci pollingu globálnu signatúru stiahnu na základe tejto signatúry sú CSA agenti schopní zablokovať tento pokus o buffer overflow

26 Automatic Signature Generation simulovaný scenár CSA 6.0 CSA MC CSA 6.0 CSA 6.0 CSA 6.0 signature based deny Msf Attacker

27 Automatic Signature Generation príprava attacker

28 Automatic Signature Generation exploit executing

29 Automatic Signature Generation CSA MC

30 Automatic Signature Generation CSA MC

31 Automatic Signature Generation CSA MC

32 Automatic Signature Generation hlásenia z CSA

33 Automatic Signature Generation CSA klient

34 Automatic Signature Generation DoS prevention

35 Data Loss Prevention (DLP)

36 Data Loss Prevention (DLP) skenovanie súborov na prítomnosť citlivých dát on demand plánovaný scan on access pri otváraní pri zápise citlivé data sú identifikované podľa reťazcov (patterns) klasifikácia súborov - priradenie TAG súborom podľa výsledku scan použitie TAG v pravidlách klasifikačných klasifikácia aplikácii pri prístupe k tagovaným súborom reštrikčných kontrola prístupu aplikácií k tagovaným súborom

37 Data Loss Prevention (DLP) klasifikácia súborov TXT TAG

38 Data Loss Prevention (DLP) reštrikčné pravidlo

39 Printer Access Control

40 Printer Access Control riadenie prístupu aplikácií k tlačiarňam doplnenie funkcionality pre DLP kontrola ďalšej cesty kadiaľ môžu dáta opustiť pracovnú stanicu v CSA 5.2 File Access Control Network Access Control Clipboard Access Control v CSA 6.0 pribudol typ pravidla Printer Access Control

41 Kontrola ciest dát smerom z pracovnej stanice File server Network CSA 5.2 Clipboard CSA 6.0? Printer

42 Otázky a odpovede