KAJ PA UPORABNIKI? Zaščita in vidljivost onkraj požarnih zidov.

Transcription

1 Stojan Rančić, CCIE KAJ PA UPORABNIKI? Zaščita in vidljivost onkraj požarnih zidov NIL, Varnostna oznaka: VAROVANO JAVNO 1

2 Kje je TEŽAVA? 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 2

3 Kdaj Ali bomo NAPADENI? 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 3

4 Vrstijo se novice 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 4

5 Vrstijo se napadi 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 5

6 Napadi v številkah 66 % 69 % 230k $4M zlonamerne kode je bilo odkrite mesece ali leta po okužbi vdorov je bilo zaznanih iz zunanje strani dnevno število novih vzorcev zlonamerne kode povprečna ocena stroškov zaznanega vdora 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 6

7 Odziv na napade je prepočasen Ali je to res najbolje, česar smo zmožni? 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 7

8 Kdo je TARČA? 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 8

9 Tarča so uporabniki Organizations continue to spend a lot of money on network security solutions, but it s the endpoint that is the ultimate target of advanced threats and attacks NIL, Varnostna oznaka: VAROVANO JAVNO 9

10 Kje so IZZIVI? 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 10

11 Pet zahtev za zaščito 1. Slepi smo glede dogajanja pri uporabnikih in strežnikih 2. Vnaprej ne moremo vedeti, kaj je slabo 3. Odprava ranljivosti je prepočasna in zapletena 4. Tradicionalna zaščita ne zaustavi naprednih groženj 5. Omrežna varnost se ne integrira z varnostjo končnih točk Vidljivost Zaznava Odziv Preprečevanje Integracija Imeti informacijo o tem, kaj se dogaja na končnih točkah in strežnikih, v realnem času Videti in zabeležiti vse; zaznava ranljivosti v realnem času, brez podpisov Analiza poteka napada na podlagi zbranih podatkov; omejitev in zaustavitev napadov Zaustavitev napadov na inovativne načine, brez podpisov Konsolidacija informacij o končnih točkah in omrežju, za hitrejši in natančnejši odziv 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 11

12 Kje je REŠITEV? 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 12

13 Poznati DOBRO Zaznati SLABO 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 13

14 Cisco StealthWatch Vaše omrežje Assess Elementi Revizija Stanje Detekcija Odziv Kontekst VSE se dotakne omrežja INFORMACIJA o strežnikih in uporabnikih SHRANITE vsako konverzacijo Kaj je zame NORMALNO Opozorilo o SPREMEMBAH Podatke hranimo MESECE ali LETA Kaj mi lahko omrežje še pove? 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 14

15 Cisco StealthWatch - Arhitektura Naprava brez podpore za NetFlow SPAN StealthWatch FlowSensor Generiranje NetFlow StealthWatch FlowCollector NetFlow / NBAR / NSEL Omrežne naprave Zbiranje in analiza Do 4,000 virov Do to 240,000 FPS StealthWatch Upravljavska Konzola Upravljanje in poročanje Do 25 FlowCollectorjev Do 6 milijonov FPS globalno 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 15

16 Kaj pa uporabniki? V omrežju organizacije: zbiranje in analiza na nivoju omrežja Izven domačega omrežja: User Visibility Device Visibility Application Visibility Network Visibility Location/Network Domain Integracija v Cisco AnyConnect omogoča zbiranje podatkov: Uporabnikov Aplikacij Naprav Izvora in ponora podatkov 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 16

17 Cisco AnyConnect V prihodu Basic VPN Advanced VPN Endpoint Compliance Inspection Service Enterprise Access Threat Protection Network Visibility ODNS Plugin Cisco AnyConnect Integration with other Cisco solutions ISR ASR / CSR Adaptive Security Appliance (ASA) Identity Services Engine (ISE) Cloud Web Security Switches and Advanced Services Wireless Controllers Malware Protection (CWS + WSA) NetFlow Collectors Roaming Protection 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 17

18 Vse naprave Rekurzivni DNS OpenDNS Avtoritativen DNS root com. domain.com. Vzorci zahtev Za zaznavo: Kompromitirani sistemi Povezava na C2 strežnike Poskusi okužbe Algoritemsko generirane domene Sorodne domene Novo registrirane domene Avtoritativni logi Uporabni za iskanje: Nova omrežja Zlonamerne domene, IPji, ASNs DNS zloraba Hitro bežeče domene Povezane domene 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 18

19 Zakaj DNS? VSAKA NAPRAVA DHCP ali DNS strežnik povesta napravi, kje je njen imenski strežnik VSAKA TOPOLOGIJA Deluje ne glede na topologijo vašega omrežja VSI OPERACIJSKI SISTEMI Win, Mac, ios, Android, Linux, namenski strežniki in tudi IoT 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 19

20 Zakaj OpenDNS? GLOBALNO OMREŽJE LASTNA ANALIZA 90B+ DNS zahtev/dan 25 podatkovnih centrov 65M+ uporabnikov 100% neprekinjeno delovanje Vsako priključno mesto in protokol + raziskovalna skupina iz področja varnosti avtomatizirana klasifikacija BGP peer relationships 3D vizualizacija = 80M+ dnevno blokiranih zlonamernih zahtev 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 20

21 Kako pa to počne OpenDNS? Zajem vsebin milijoni podatkovnih točk na sekundo Obdelava statistični modeli in človeška inteligenca Prepoznava verjetne zlonamerne strani a.ru b.cn e.net p.com/jpg NIL, Varnostna oznaka: VAROVANO JAVNO 21

22 Kaj pa uporabniki? V omrežju organizacije: zbiranje in analiza na nivoju omrežja Izven domačega omrežja: Brez VPN povezave Malware C2 Callbacks Phishing Vidljivost in filtriranje Blokiranje dostopa do škodljivih domen in IP naslovov Vgrajena inteligenca z analizo aktualnih in novih groženj 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 22

23 Zaščita pred zlonamerno kodo: Cisco AMP *AMP for Endpoints can be launched from AnyConnect Virtual AMP for Networks Windows OS Android Mobile MAC OS AMP for Endpoints Linux for datacenters AMP on Cisco ASA Firewall with FirePOWER Services AMP Advanced Malware Protection AMP Private Cloud Virtual Appliance AMP Threat Grid Malware Analysis + Threat Intelligence Engine Appliance or Cloud CWS AMP on Web & Security Appliances AMP for Cloud Web Security & Hosted NIL, Varnostna oznaka: VAROVANO JAVNO 23

24 Cisco AMP - Gradniki Javni oblak oblačna rešitev, ki ocenjuje ugled datotek Threat Grid (TG) File Intelligence Gathering AMP poizvedbe: 1-1 SHA: Straight SHA256 no PII ETHOS: Fuzzy SHA no PII SPERO: Machine Learning limited PII (DLL etc) PING2: Retrospective The Poke = ocena tveganja iz TG poslana v AMP Cloud 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 24

25 Cisco AMP omogoča polno vidljivost Analysis Stops Point-in-time Detection Not 100% Antivirus Sandboxing Initial Disposition = Clean Encryption Sleep Techniques Required Interaction Polymorphism Actual Disposition = Bad = Too Late!! Blind to scope of compromise Sourcefire AMP SHA Matching SPERO Analysis ThreatGrid ETHOS Analysis Tetra Retrospective Detection, Analysis Continues Turns back time Visibility and Control are Key Initial Disposition = Clean Actual Disposition = Bad = Blocked 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 25

26 Kaj pa uporabniki? V omrežju organizacije: zbiranje in analiza na nivoju omrežja Brez vidljivosti dogajanja na končnih točkah AMP for Endpoints: Agent, nameščen na končnih točkah Brez podpisov, brez posodobitev Minimalna poraba virov TCP 443 Visibility of Executions (History to Current) AMP Cloud 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 26

27 Kdo pa so uporabniki? ISE When Where Who How What BEFORE DURING AFTER CWS WSA ESA FirePOWER Services NetFlow NGIPS StealthWatch AMP AMP Threat Grid FirePOWER Console 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 27

28 AnyConnect ASA AMP ISE Secure Access VPN WiFi/LAN Switches WLC ASA 5500-X ASA X ASA-SM ASAv ASR AMP Security Policy Management & Monitoring Meraki Firewall ISR, CSR WSA/vm Content GW SMA/vm ESA/vm ASANGFW CWS AMP AMP Secure Transfer TrustSec IPS Sourcefire AMP Meraki Encryption S2S VPN DMVPN GET VPN Flex VPN MacSec SGT/SGAC L ASA/NGF W AMP FireAMP AMP for mobile Secure Inside Threat Management LanCope 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 28

29 Kaj pa uporabniki? 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 29

30 ENABLING IT FOR BUSINESS 2016 NIL, Varnostna oznaka: VAROVANO JAVNO 30 nil.com