Cisco ASA Cyber Threat Defence składa się z trzech komponentów. Pierwszy z nich należy do podstawowych narzędzi monitorujących zagrożenia i jest obecny we wszystkich ASA-ch w wersjach firmware-u wyższych niż 8.0 (2). Jego funkcja to sprawdzanie ilości pakietów zagubionych przez ASA. Jednak ponieważ dane te odnoszą się całej sieci, trudno jest stwierdzić co jest źródłem problemu. Dopiero kiedy użyjemy oprogramowania do analizy logów z użyciem NSEL lub syslog, możemy mieć nadzieję na znalezienie źródła zagrożenia.
1. Podstawowa detekcja zagrożeń w ASA (Basic Threat Detection) szuka następujących eventów:
• ACL Drop (acl-drop) – pakiety są odrzucone przez listy dostępu
• Bad Pkts (bad-packet-drop) - błędne formaty pakietów, włącznie z nagłówkami L3 i L4 które nie są zgodne ze standardem RFC
• Conn Limit (conn-limit-drop) – pakiety, które przekroczyły skonfigurowany lub globalny limit połączenia
• DoS Attack (dos-drop) – atak typu „Denial of Service (DoS)
• Firewall (fw-drop) – podstawowe sprawdzenie bezpieczeństwa firewalla
• ICMP Atttack (icmp-drop) – podejrzane pakiety ICMP
• Inspect (inspect-drop) - odrzucenie przez inspekcję aplikacji
• Interface (interface-drop) – pakiety zgubione przez sprawdzanie interface-u
• Scanning (scanning-threat) – ataki skanujące wymierzone w sieć/hosta
• SYN Attack (syn-attack) – ataki typu „niedokończona sesja”; wliczając w to ataki TCP SYN oraz sesje UDP nie zawierające danych
Dla każdego z powyższych typów eventów wyznaczone są wartości krytyczne, po których przekroczeniu uznaje się go za zagrożenie. Określone są zarówno maksymalne wartości chwilowe, jak i średnie maksymalne określane dla przedziałów liczonych w sekundach a nawet w okresie 30 dni (zależnie od typu eventu). Statystyki dotyczące częstości występowania eventów w poszczególnych kategoriach można uzyskać z pomocą komendy „show threat-detection”. Podstawowa detekcja zagrożeń ASA (o której cały czas mówimy) nie podejmuje jednak żadnych działań które zapobiegły zidentyfikowanym problemom.
2. Zaawansowana Detekcja Zagrożeń (Advanced Threat Detection)
Drugi komponent Cisco ASA Cyber Threat Defence wgłębia się w bardziej szczegółowe parametry takie jakie jak IP hosta, porty, protokoły, ACL oraz serwery zabezpieczone przez TCP intercept. Jest to domyślne ustawienie statystyk ACL. Otrzymujemy informację o najważniejszych 10-ciu ACE-ach (zarówno dot. pozwolenia jak i odrzucenia dostępu) które osiągnęły największe wartości w danym przedziale czasowym. Dla tychże typów informacji Zaawansowana Detekcja Zagrożeń zwróci informacje o pakietach, bajtach i zagubionych danych zarówno otrzymanych jak i wysłanych przez dany obiekt w określonym przedziale czasowym. Jednak podobnie do Podstawowej Detekcji Zagrożeń, jej Detekcja Zaawansowana również ma funkcję czysto informacyjną. Wnioski płynące ze statystyk nie przekładają się na żadne działania zmierzające od wyeliminowania zagrożeń.
3. Skanująca Detekcja Zagrożeń (Scanning Threat Detection)
Ten komponent Cisco ASA Cyber Threat Defence ma za zadanie nadzór nad domniemanymi źródłami zagrożeń, które nawiązują połączenia ze zbyt dużą ilością hostów w podsieci, lub ze zbyt dużą ilością portów na hoście lub w danej podsieci. Ta funkcjonalność jest domyślnie wyłączona i jest bardzo podobna do Podstawowej Detekcji Zagrożeń, z tym że tworzy bazę domniemanych źródeł zagrożeń oraz wyznaczać ich adresy IP. A to z kolei pozwala na ich automatyczne blokowanie. Jak widać, trzeci typ detekcji zagrożeń posiada możliwość aktywnego przeciwdziałania atakom.
Pomimo że firewalle typu ASA są flagowymi urządzeniami chroniącym sieć, ich automatyka oparta na porównywaniu podpisów nie jest pozbawiona dziur. Dopiero użycie narzędzi do analizy NetFlow (którą to analizę te urządzenia umożliwiają) pozwala sięgnięcie do poziomu reputacji IP i osiągnięcie wystarczającego poziomu zabezpieczenia. Nowe standardy wynikają z ewolucji złośliwego oprogramowania, które aktualnie najczęściej wykorzystuje połączenia kodowane. To oznacza, że używana w przeszłości analiza pakietów przestaje mieć jakikolwiek sens.
Na marginesie, te najbardziej złośliwe typy wirusów pojawiające się w sieci są najczęściej wyłapywane przez niezależne ciała typu agencje działające na zlecenie rządu. W ten sposób „cywilna” ochrona nie ma szansy zdobyć dostatecznej wiedzy nt. Tych zagrożeń. A przecież dobre narzędzie do monitoringu sieci może zgromadzić dostateczną ilość danych do analizy i włączyć w nią logi z konkretnych urządzeń. Taka kombinacja zapewnia najbardziej wnikliwą ochronę.
Cisco Cyber Threat Defence dostarcza proaktywne narzędzia detekcji zagrożeń, które już zdołały spenetrować sieć. W inteligentny sposób jest w stanie prześwietlić ruch, aby ostatecznie odpowiedzieć na pytanie „kto, co, kiedy, gdzie, dlaczego oraz jak” spowodował anomalie.
Bezpieczeństwo sieciowe to stale ewolujący świat. Motorem tej ewolucji są stale pojawiające się nowe typy zagrożeń, które wykorzystują dotychczasowe metody. Koncentracja wysiłków zwykle celuje w zagrożenia płynące z internetu. Ale zaawansowane zagrożenia często przychodzą ze strony mediów zewnętrznych, „spear phishing”, „social ingineering” lub w formie malware czy trojanów. Niezależnie od źródła, zaawansowane zagrożenia pojawiają się niezauważone i funkcjonują w ukryciu przez długi czas.
Pod osłoną zwykłego ruchu sieciowego zaawansowane wirusy mogą z powodzeniem rozprzestrzeniać się po kolejnych celach. Zabezpieczenia parametryczne „nie widzą” tych zagrożeń. Pod nieobecność użytkownika zainfekowany system może próbować wykorzystać dane dot. internetowych płatności czy nawet wykradać po kawałku własność intelektualną firmy. Oznaki tej przestępczej działalności mogą nie być w ogóle widoczne, a jej skutki przewidywalne.
Cisco Cyber Threat Defence pozwala na wyłowienie i szybkie naświetlenie tych ukrytych anomalii. Informacje te mogą być użyte w odniesieniu z danymi typu flow zebranymi z innych urządzeń. Dobry analizator NetFlow musi posiadać funkcję korelacji eventów oraz klasyfikację na poziomie aplikacji. Te dwa narzędzia są niesłychanie pomocne w walce z intruzami i złośliwym oprogramowaniem.
Połączenie działań z wykorzystaniem kilku technologii monitoringu sieciowego jest najlepszą metodą wykrycia zagrożeń w twojej sieci. Dane z analizy NetFlow mogą być użyte do analizy behawioralnej i ujawnić złe adresy IP. Zebranie danych udostępnianych przez współczesne urządzenia sieciowe i wykorzystanie ich przez scentralizowany software do raportowania i ostrzegania da nam w efekcie:
Link do oryginalnego artykułu.
1. Podstawowa detekcja zagrożeń w ASA (Basic Threat Detection) szuka następujących eventów:
• ACL Drop (acl-drop) – pakiety są odrzucone przez listy dostępu
• Bad Pkts (bad-packet-drop) - błędne formaty pakietów, włącznie z nagłówkami L3 i L4 które nie są zgodne ze standardem RFC
• Conn Limit (conn-limit-drop) – pakiety, które przekroczyły skonfigurowany lub globalny limit połączenia
• DoS Attack (dos-drop) – atak typu „Denial of Service (DoS)
• Firewall (fw-drop) – podstawowe sprawdzenie bezpieczeństwa firewalla
• ICMP Atttack (icmp-drop) – podejrzane pakiety ICMP
• Inspect (inspect-drop) - odrzucenie przez inspekcję aplikacji
• Interface (interface-drop) – pakiety zgubione przez sprawdzanie interface-u
• Scanning (scanning-threat) – ataki skanujące wymierzone w sieć/hosta
• SYN Attack (syn-attack) – ataki typu „niedokończona sesja”; wliczając w to ataki TCP SYN oraz sesje UDP nie zawierające danych
Dla każdego z powyższych typów eventów wyznaczone są wartości krytyczne, po których przekroczeniu uznaje się go za zagrożenie. Określone są zarówno maksymalne wartości chwilowe, jak i średnie maksymalne określane dla przedziałów liczonych w sekundach a nawet w okresie 30 dni (zależnie od typu eventu). Statystyki dotyczące częstości występowania eventów w poszczególnych kategoriach można uzyskać z pomocą komendy „show threat-detection”. Podstawowa detekcja zagrożeń ASA (o której cały czas mówimy) nie podejmuje jednak żadnych działań które zapobiegły zidentyfikowanym problemom.
2. Zaawansowana Detekcja Zagrożeń (Advanced Threat Detection)
Drugi komponent Cisco ASA Cyber Threat Defence wgłębia się w bardziej szczegółowe parametry takie jakie jak IP hosta, porty, protokoły, ACL oraz serwery zabezpieczone przez TCP intercept. Jest to domyślne ustawienie statystyk ACL. Otrzymujemy informację o najważniejszych 10-ciu ACE-ach (zarówno dot. pozwolenia jak i odrzucenia dostępu) które osiągnęły największe wartości w danym przedziale czasowym. Dla tychże typów informacji Zaawansowana Detekcja Zagrożeń zwróci informacje o pakietach, bajtach i zagubionych danych zarówno otrzymanych jak i wysłanych przez dany obiekt w określonym przedziale czasowym. Jednak podobnie do Podstawowej Detekcji Zagrożeń, jej Detekcja Zaawansowana również ma funkcję czysto informacyjną. Wnioski płynące ze statystyk nie przekładają się na żadne działania zmierzające od wyeliminowania zagrożeń.
3. Skanująca Detekcja Zagrożeń (Scanning Threat Detection)
Ten komponent Cisco ASA Cyber Threat Defence ma za zadanie nadzór nad domniemanymi źródłami zagrożeń, które nawiązują połączenia ze zbyt dużą ilością hostów w podsieci, lub ze zbyt dużą ilością portów na hoście lub w danej podsieci. Ta funkcjonalność jest domyślnie wyłączona i jest bardzo podobna do Podstawowej Detekcji Zagrożeń, z tym że tworzy bazę domniemanych źródeł zagrożeń oraz wyznaczać ich adresy IP. A to z kolei pozwala na ich automatyczne blokowanie. Jak widać, trzeci typ detekcji zagrożeń posiada możliwość aktywnego przeciwdziałania atakom.
Pomimo że firewalle typu ASA są flagowymi urządzeniami chroniącym sieć, ich automatyka oparta na porównywaniu podpisów nie jest pozbawiona dziur. Dopiero użycie narzędzi do analizy NetFlow (którą to analizę te urządzenia umożliwiają) pozwala sięgnięcie do poziomu reputacji IP i osiągnięcie wystarczającego poziomu zabezpieczenia. Nowe standardy wynikają z ewolucji złośliwego oprogramowania, które aktualnie najczęściej wykorzystuje połączenia kodowane. To oznacza, że używana w przeszłości analiza pakietów przestaje mieć jakikolwiek sens.
Na marginesie, te najbardziej złośliwe typy wirusów pojawiające się w sieci są najczęściej wyłapywane przez niezależne ciała typu agencje działające na zlecenie rządu. W ten sposób „cywilna” ochrona nie ma szansy zdobyć dostatecznej wiedzy nt. Tych zagrożeń. A przecież dobre narzędzie do monitoringu sieci może zgromadzić dostateczną ilość danych do analizy i włączyć w nią logi z konkretnych urządzeń. Taka kombinacja zapewnia najbardziej wnikliwą ochronę.
Cisco Cyber Threat Defence dostarcza proaktywne narzędzia detekcji zagrożeń, które już zdołały spenetrować sieć. W inteligentny sposób jest w stanie prześwietlić ruch, aby ostatecznie odpowiedzieć na pytanie „kto, co, kiedy, gdzie, dlaczego oraz jak” spowodował anomalie.
Bezpieczeństwo sieciowe to stale ewolujący świat. Motorem tej ewolucji są stale pojawiające się nowe typy zagrożeń, które wykorzystują dotychczasowe metody. Koncentracja wysiłków zwykle celuje w zagrożenia płynące z internetu. Ale zaawansowane zagrożenia często przychodzą ze strony mediów zewnętrznych, „spear phishing”, „social ingineering” lub w formie malware czy trojanów. Niezależnie od źródła, zaawansowane zagrożenia pojawiają się niezauważone i funkcjonują w ukryciu przez długi czas.
Pod osłoną zwykłego ruchu sieciowego zaawansowane wirusy mogą z powodzeniem rozprzestrzeniać się po kolejnych celach. Zabezpieczenia parametryczne „nie widzą” tych zagrożeń. Pod nieobecność użytkownika zainfekowany system może próbować wykorzystać dane dot. internetowych płatności czy nawet wykradać po kawałku własność intelektualną firmy. Oznaki tej przestępczej działalności mogą nie być w ogóle widoczne, a jej skutki przewidywalne.
Cisco Cyber Threat Defence pozwala na wyłowienie i szybkie naświetlenie tych ukrytych anomalii. Informacje te mogą być użyte w odniesieniu z danymi typu flow zebranymi z innych urządzeń. Dobry analizator NetFlow musi posiadać funkcję korelacji eventów oraz klasyfikację na poziomie aplikacji. Te dwa narzędzia są niesłychanie pomocne w walce z intruzami i złośliwym oprogramowaniem.
Połączenie działań z wykorzystaniem kilku technologii monitoringu sieciowego jest najlepszą metodą wykrycia zagrożeń w twojej sieci. Dane z analizy NetFlow mogą być użyte do analizy behawioralnej i ujawnić złe adresy IP. Zebranie danych udostępnianych przez współczesne urządzenia sieciowe i wykorzystanie ich przez scentralizowany software do raportowania i ostrzegania da nam w efekcie:
- analizę korelacyjną w czasie rzeczywistym
- wizualizację
- raportowanie na podstawie danych skonsolidowanych z NeFlow oraz analizy tożsamości (z ang. „identity analysis”)
Link do oryginalnego artykułu.