Ochrana koncových staníc pomocou Cisco Security Agent 6.0 Ľubomír Varga lubomir.varga@lynx.sk
Agenda CSA 6.0 refresh Vybrané vlastnosti CSA 6.0 Application Trust levels Notify User Rule Actions User Justifications Digital Signature Identification Automatic Signature Generation Data Loss Prevention (DLP) Printer Access Control Rule Otázky a odpovede
CSA 6.0 - refresh HIDS/HIPS zabezpečuje ochranu pracovných staníc a serverov založený na kontrole správania koncového systému (behavior-based) ochrana pred day-zero útokmi centrálna správa Management Center for CSA (CSA MC) centrálne definovanie politík pre CSA centrálne úložisko log záznamov od CSA reporting a alerting
Vybrané nové vlastnosti CSA 6.0 Application Trust levels Notify User Rule Actions User Justifications Digital Signature Identification Automatic Signature Generation Data Loss Prevention (DLP) Printer Access Control Rule
Application Trust levels
Application Trust levels - popis globálne zoznamy aplikácii podľa úrovne dôveryhodnosti WhiteList, GreyList, BlackList preddefinované pravidlá reflektujú tieto explicitne definované úrovne dôveryhodnosti aplikácií aplikácie v zozname WhiteList = minimálne reštrikcie aplikácie v zozname GreyList = zvýšené reštrikcie aplikácie v zozname BlackList = maximálne reštrikcie nutné zabezpečiť zvýšenú ochranu aplikácií v zozname WhiteList
Application Trust levels príklad WhiteList
Application Trust levels použitie v pravidle
Application Trust levels EventLog wizard
Application Trust levels vs. CSA 5.2 CSA 5.2 nemá implementované ATL možnosť riešenia vytvoriť vlastné triedy aplikácií (Application classes) pre rôzne úrovne dôveryhodnosti modifikovať nevyhnutné preddefinované pravidlá, aby zohľadňovali novovytvorené triedy aplikácií CSA 5.2 nemá integrovaný wizard pre priame zaradzovanie aplikácií priamo z hlásení v Eventlog do vlastných aplikačných tried
Notify User Rule Action
Notify User Rule Actions upozornenie používateľa na výskyt vybraných udalostí v systéme notifikácia môže byť aktivovaná na základe uplatnenia reštrikčného pravidla pre danú udalosť (Allow, Deny, Terminate) ak sa neaktivovalo žiadne reštrikčné pravidlo (Allowed by default) ľubovoľná kombinácia predchádzajúcich možností vyžiadanie vyjadrenia používateľa k danej udalosti (Justification) v CSA 5.2 nerealizovateľné (ani workarround)
Notify User Rule Actions
Notify User Rule Actions Notification Notification + Justification
User Justification
User Justification vyžiadanie vyjadrenia používateľa pri pravidlách s akciou QUERY pri pravidlách s akciou NOTIFY vyjadrenie je súčasťou záznamu o udalosti v EventLog na CSA MC poskytnutie vyjadrenia nie je pre používateľa povinné (zo systémového hľadiska) v CSA 5.2 nerealizovateľné (ani workarround)
User Justification
User Justification
Digital Signature Identification
Digital Signature Identification CSA automaticky identifikuje digitálny podpis aplikácie (súčasť mandatory policy) ak je digitálny podpis dôveryhodný aplikácia je označená ako trusted trusted aplikácie podliehajú menším reštrikciám ako untrusted aplikácie modifikovateľný zoznam dôveryhodných digitálnych podpisov Good Digital Signers file set
Digital Signature Identification
Digital Signature Identification
Digital Signature Identification
Automatic Signature Generation
Automatic Signature Generation poskytuje nové funkcie CSA pre Windows platformy: automaticky generované signatúry ochrana pred DoS útokmi Process stack recovery ochrana MSRPC a LPC imunizácia enterprise princíp fungovania pravidlo typu System API Control zachytí pokus o útok typu buffer overflow CSA na pracovnej stanici vygeneruje lokálnu signatúru a pošle ju na CSA MC korelačný engine na CSA MC podľa preddefinovaných nastavení vygeneruje globálnu signatúru všetci ostatní CSA si v rámci pollingu globálnu signatúru stiahnu na základe tejto signatúry sú CSA agenti schopní zablokovať tento pokus o buffer overflow
Automatic Signature Generation simulovaný scenár CSA 6.0 CSA MC CSA 6.0 CSA 6.0 CSA 6.0 signature based deny Msf Attacker
Automatic Signature Generation príprava attacker
Automatic Signature Generation exploit executing
Automatic Signature Generation CSA MC
Automatic Signature Generation CSA MC
Automatic Signature Generation CSA MC
Automatic Signature Generation hlásenia z CSA
Automatic Signature Generation CSA klient
Automatic Signature Generation DoS prevention
Data Loss Prevention (DLP)
Data Loss Prevention (DLP) skenovanie súborov na prítomnosť citlivých dát on demand plánovaný scan on access pri otváraní pri zápise citlivé data sú identifikované podľa reťazcov (patterns) klasifikácia súborov - priradenie TAG súborom podľa výsledku scan použitie TAG v pravidlách klasifikačných klasifikácia aplikácii pri prístupe k tagovaným súborom reštrikčných kontrola prístupu aplikácií k tagovaným súborom
Data Loss Prevention (DLP) klasifikácia súborov TXT TAG
Data Loss Prevention (DLP) reštrikčné pravidlo
Printer Access Control
Printer Access Control riadenie prístupu aplikácií k tlačiarňam doplnenie funkcionality pre DLP kontrola ďalšej cesty kadiaľ môžu dáta opustiť pracovnú stanicu v CSA 5.2 File Access Control Network Access Control Clipboard Access Control v CSA 6.0 pribudol typ pravidla Printer Access Control
Kontrola ciest dát smerom z pracovnej stanice File server Network CSA 5.2 Clipboard CSA 6.0? Printer
Otázky a odpovede