1. Cisco Expo
2012
Рекомендуемая архитектура по
внедрению систем защиты от
атак в корпоративной сети
Оксана Санникова
инженер по работе с партнерами
CCIE Security #35825
© 2011 Cisco and/or its affiliates. All rights reserved. 1
1

2. Принимайте активное участие в Cisco Expo и получите в
подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
© 2011 Cisco and/or its affiliates. All rights reserved. 2

3. • Знакомство с IPS и IDS
• Линейка продуктов Cisco
• Место в корпоративной сети
• Периметр
• Кампус
• Филиал
• ЦОД
• Особенности работы IPS
• Детектирование
• Нормализация
• Движки
© 2011 Cisco and/or its affiliates. All rights reserved. 3

4. • Интеллектуальное обнаружение
Сигнатуры для уязвимостей и эксполитов
Обнаружение аномалий в протоколах
Репутационные фильры
• Точное реагирование
Политики на основе управления рисками
Глобальная корреляция событий
Генерация мета-событий
• Гибкое внедрение
Пассивный и/или Inline IDS/IPS
Виртуальные сенсоры
Поддержка физических и логических (VLAN) интерфейсов
Software и Hardware bypass
© 2011 Cisco and/or its affiliates. All rights reserved. 4

5. Защита
Adware/Spyware Worm/Virus/Trojan P2P/IM IPv4 и
• AIM/ICQ IPv6
• Perfect Keylogger • Storm
• AOL
Activity • Mega-D
• MSN
• Hotbar Activity • Blaster
• Sametime
• Nimda
DDOS/DOS • Yahoo
• Sasser
• ICMP/UDP/TCP • BitTorrent
• Code Red
Floods • Kazaa
• Slammer
Secure Voice • eDonkey
• Backdoor Trojan Spirit
• SIP • Jabber
• Backdoor Beast
• H323 • Fatso Worm
• H225 • Kelvir Worm
Reconnaissance
Web Server • ICMP host sweeps
• Apache • TCP Port Sweeps
• Internet Information Server • TCP/UDP Combo
(IIS) Sweeps
Network, L2/3/4 • UDP Port Sweeps
• BGP
• DHCP Email
• DNS • POP
• TCP/UDP • IMAP
• IP • SMTP
• IP Fragment • Microsoft Exchange
© 2011 Cisco and/or its affiliates. All rights reserved. 5

6. Защита бизнеса любого масштаба ASA5585-P40S40
ASA5585-P60S60
ASA5585-P10S1
ASA5585-P20S20
ASA 5555-X
ASA 5545-X IPS
ASA серии ASA 5525-X IPS
5500-X ASA 5515-X IPS
ASA 5512-X IPS
IPS
ASA5540-AIP20
ASA серии ASA5520-AIP10
ASA5540-AIP40 IPS-4510
5500
ASA5510-AIP10
ASA5520-AIP20 IPS-4520
ASA5520-AIP40
ASA5510-AIP20 IPS 4360
IPS 4270
IPS 4345
IPS серий
IPS 4260
4500,
4300 и 4200 IPS 4240
Catalyst 6500
IPS 4255
Комплект IDSM2
IDSM2
Catalyst
6500
IPS NME
ISR
IOS IPS
Малый Средний Крупный
Масштаб бизнеса
© 2011 Cisco and/or its affiliates. All rights reserved. 6

7. • Cisco IPS 4240, 4255, 4260, 4270:
• анонс - 30 октября 2012,
• окончание продаж - 30 апреля 2013
• IDSM-2:
• анонс – 24 ноября 2012,
• окончание продаж – 25 марта 2013
• Модуль AIP для ASA 5500:
• анонс – 18 июля 2012,
• окончание продаж –16 января 2013
• Модуль IPS NME для маршрутизаторов ISR:
• анонс – 22 октября 2012
• окончание продаж – 22 апреля 2013
© 2011 Cisco and/or its affiliates. All rights reserved. 7

8. IPS следующего поколения
• Высочайшая производительность
• Учет контекста сетевого
взаимодействия
• Удобные средства управления
корпоративного класса
• Пропускная способность более 1 Гбит/с
в решении с форм-фактором 1 RU
• Четырехкратное увеличение
производительности по сравнению с
4200 в 2 раза дешевле
• Аппаратное ускорение регулярный
выражений
• Карты Hw-Bypass будут доступны в
начале 2013 г.
© 2011 Cisco and/or its affiliates. All rights reserved. 8

9. Мультигегабитная производительность
• Учет контекста сетевого взаимодействия
• Аппаратная обработка регулярных
выражений
• ЦОД или ядро корпоративной сети
• 1 GigE и 10GigE интерфейсы/SFP слоты
• Модуль IPS в шасси 5585-X
• 3 Гбит/сек (4510) – цель от 2 до 5
Гбит/сек
• 6 Гбит/сек (4520) – от 4 до 11 Гбит/сек
• Использование новой методологии
тестирования
© 2011 Cisco and/or its affiliates. All rights reserved. 9

10.  Одно шасси для всех
2RU 19in шасси для монтажа в стойке: продуктов ASA 5585
 2 модуля полной длины  28 кг с двумя модулями и
 1 модуль полной длины и 2 двумя источниками питания
половинной длины
Слот-1
Модули полной длины:
 ASA SSP для слота 0
 IPS SSP опционально в слот 1
IPS-SSP имеет свой консольный порт (как 4260/4270)
Слот-0
© 2011 Cisco and/or its affiliates. All rights reserved. 11

11. 5 новых моделей, отвечающих различным требованиям к пропускной способности
ASA 5512-X 1. Пропускная способность на
Пропускная уровне нескольких Гбит/с
способность
межсетевого экрана 1 Для удовлетворения растущих
Гбит/с требований к пропускной способности
ASA 5515-X
Пропускная
способность
межсетевого экрана 1,2
2. Встроенные средства ускорения
Гбит/с сервисов
ASA 5525-X (дополнительное оборудование не
Пропускная
способность
требуется)
межсетевого экрана Для поддержки меняющихся
2 Гбит/с
потребностей бизнеса
ASA 5545-X
Пропускная
способность
межсетевого экрана 3. Платформа с поддержкой
3 Гбит/с
сервисов нового поколения
ASA 5555-X
Пропускная Для защиты инвестиций
способность
межсетевого экрана
4 Гбит/с
© 2011 Cisco and/or its affiliates. All rights reserved. 12

12. (в Mbps)
SKU Транзакционный Медиа
ASA 5512-X IPS 165 240
ASA 5515-X IPS 310 480
ASA 5525-X IPS 615 950
ASA5545-X IPS 841 1270
ASA 5555-X IPS 1050 1500
IPS 4345 1800 1940
IPS 4360 2300 2500
ASA 5585-10 IPS 1350 2400
ASA 5585-20 IPS 2100 3700
ASA5585-40 IPS 3500 7000
ASA 5585-60 IPS 6700 10200
IPS 4510 5017 N/A
IPS 4520 7341 N/A
© 2011 Cisco and/or its affiliates. All rights reserved. 13

13. Производительность IPS при обработке HTTP-транзакций
5 Гбит/с
Пропускная способность
3 Гбит/с
ASA5512-X IPS
ASA5515-X IPS
2 Гбит/с
ASA5525-X IPS
ASA5545-X IPS
1,5 Гбит/с ASA5555-X IPS
1 Гбит/с IPS 4345
IPS 4360
500 Мбит/с
ASA5585-S10P10
ASA5585-S20P20
250 Мбит/с
ASA5585-S40P40
150 Мбит/с
ASA5585-S60P60
Филиал Интернет-периметр Комплекс ЦОД
зданий
© 2011 Cisco and/or its affiliates. All rights reserved. 14

14. Сеть
Интерфейс
управления
управления. Сетевой
трафик не проходит
через этот интерфейс.
(Имеет IP адрес)
Сенсор IPS
Интернет Компьютер
Сенсорный интерфейс получает копию трафика с
порта SPAN, от хаба, или VACL Capture. Он не
находится на пути прохождения трафика. (Не
имеет IP адреса)
© 2011 Cisco and/or its affiliates. All rights reserved. 15

15. Интерфейс
управления. Сетевой Management
трафик не проходит Network
через этот интерфейс.
(Имеет IP адрес)
Internet IPS Sensor Host
Сенсор находится на пути прохождения трафика и
может блокировать трафик при необходимости.
Интерфейс не имеет IP адреса.
Cisco IPS работает на канальном уровне (Layer 2) по
принципу “умный провод”.
© 2011 Cisco and/or its affiliates. All rights reserved. 16

16. IPS IDS
 Перегрузка сенсора может  Ограниченная защита
повлиять на проходящий
сетевой трафик  Выше риски пропуска
атаки
 Неисправность сенсора
напрямую влияет на
проходящий трафик
 Может остановить атаку,  Не влияет на сеть, не
блокируя пакеты вносит дополнительную
задержку
 Можен нормализовать
сетевой трафик для более  Допускается более
качественного высокий уровень ложных
инспектирования срабатываний
© 2011 Cisco and/or its affiliates. All rights reserved. 17

17. • Часто при тестировании для отладки работы
политик IPS не ставят на пути реального
трафика.
• Можно развернуть IDS в in-line режиме.
• Почему: Простая миграция с IDS (для
тестирования и настройки) на IPS.
© 2011 Cisco and/or its affiliates. All rights reserved. 18

18. © 2011 Cisco and/or its affiliates. All rights reserved. 19

19. • Варианты применения
• Прозрачность, Отчеты ”Большой
• Защита серверов в DMZ от плохой
Интернета Интернет”
• Защита серверов в DMZ от
Интранета
• Защита Интранета от
пользователей VPN
Интранет DMZ
• Продукты
• ASA 5500-X
• IPS 4300
• ASA5585 + модуль IPS
© 2011 Cisco and/or its affiliates. All rights reserved. 20

20. Шлюз VPN должен расшифровывать трафик до
инспекции трафика IPS, иначе IPS не увидит атаки на
уровне приложений
Интернет
Интранет
© 2011 Cisco and/or its affiliates. All rights reserved. 21

21.  Располагая IPS до МСЭ, можно получить больше
информации об атаках/угрозах из Интернета. IPS
будет видеть атаки, которые иначе были бы
заблокированы МСЭ.
 Насколько важна эта информация?
Мы получим множественные ненужные сообщения
 IPS обрабатывает больше состояний, чем МСЭ, и
поэтому может оказаться узким местом в случае
DDOS атаки.
Интернет Интранет
© 2011 Cisco and/or its affiliates. All rights reserved. 22

22.  Большинство организаций располагают IPS после
МСЭ.
 В это случае IPS не загружен атаками, которые и так
блокирует МСЭ.
Интернет Интранет
© 2011 Cisco and/or its affiliates. All rights reserved. 23

23.  Если МСЭ/VPN шлюз – не ASA
 Меньше контроля над трафиком SSL ”Плохой
Интернет”
VPN
 Нужно учитывать требования к
высокой доступности
DMZ
Интранет
© 2011 Cisco and/or its affiliates. All rights reserved. 24

24. Clientless SSL VPN Proxy
• IPS видит весть входящих трафик, как трафик с IP
адреса прокси
• Меньше контроля, т.к. индивидуальные сессии
пользователей (src,dst) не видны
• Некоторые действия (например ”drop attacker”) не
рекомендуются
attacker
10.1.1.1
Internet
Intranet
VPN inside ip = 10.1.1.1
© 2011 Cisco and/or its affiliates. All rights reserved. 25

25.  Нужно убедиться в ”Big Bad
Internet”
симметричности трафика,
проходящего через IPS
 Есть несколько опций для
высокой доступности
решения с использованием
Software или Hardware
Bypass или сетевого
дизайна (Spanning Tree…)
Intranet
© 2011 Cisco and/or its affiliates. All rights reserved. 26

26. ”Плохой
Интернет”
 Полный набор функций IPS
 Интеграция с VPN, МСЭ
 Виртуализация для разделения
политик DMZ
 Высокая отказоустойчивость
Интранет
© 2011 Cisco and/or its affiliates. All rights reserved. 27

27.  IPSec VPN site-to-site
 SSL VPN (AnyConnect)
 Clientless SSL VPN
оригинальный IP адрес сохраняется для IPS
Интернет
Интранет
Трафик VPN
© 2011 Cisco and/or its affiliates. All rights reserved. 28

28.  Виртуальные сенсоры с
различными настройками ”Плохой
реакции на собития Интернет”
VS0 : Internet -> dmz Виртаульные
drop if Risk Rating > 90 сенсоры
VS1 : VPN traffic DMZ
drop if Risk Rating > 80
ip log if Risk Rating > 80
VS2 : Intranet surf Интранет
drop if Risk Rating > 70
© 2011 Cisco and/or its affiliates. All rights reserved. 29

29.  Администрируется как 1 ASA + 2 ”Плохой
Интернет”
IPS
ASA поддерживает синхронизацию
конфигураций
IPS – не поддерживает синхронизацию
конфигураций
 Трафик должен проходить DMZ
симметрично через активную ASA
 Отказоустойчивость без потери
трафика
Интранет
© 2011 Cisco and/or its affiliates. All rights reserved. 30

30. © 2011 Cisco and/or its affiliates. All rights reserved. 31

31.  Задача:
Защита сети от беспроводных Si Services
клиентов
 Продукты:
IPS 4500
ASA5585 Core
Si Si
IDSM2
Distribution
Si Si
Access
© 2011 Cisco and/or its affiliates. All rights reserved. 32

32. WLC ALARM!
WCS
Предотврящение угрод на
физическом и канальном
уровне (layer 1-2)
DOS атаки в 802.11 Внутр.
Посторонные точки доступа
сеть
Ad-Hoc сети
радиочастотные помехи
Аномальный клиентский
AP трафик в WLAN
WLAN
Client
© 2011 Cisco and/or its affiliates. All rights reserved. 33

33. 2) Cisco IPS
инициирует 1) Cisco IPS обнаружил
блокировку хоста вредоносный
клиентский трафик
3) WLC получает
shun list с IP WLC
адресом IPS
заблокированного
хоста
4) WLC проверяет, Внутр.
соответствует ли сеть
заблокированный IP
адрес
ассоциированному в
БЛВС клиенту. Если да 5) WLC отключает
– исключает клиента клиента от БЛВС и
AP блокирует попытки
переподключения
X
WLAN
Client
© 2011 Cisco and/or its affiliates. All rights reserved. 34

34. © 2011 Cisco and/or its affiliates. All rights reserved. 35

35. • Задачи
Защита филиала от атак из Интернета (если есть примой
доступ в Интернет из филиала)
Защита головного офиса от атак из филиала
Защита серверов в филиале (соответствие PCI)
• Продукты
Cisco IOS IPS
Маршрутизатор Cisco с IPS модулем (AIM, NME)
ASA5500-X
Филиал VPN Головной
офис
© 2011 Cisco and/or its affiliates. All rights reserved. 36

36. • Маленькие филиалы
Нет локальной поддержки ИТ, нежелание добавлять новые
компоненты, требующие обслуживания
Выбор - IOS IPS, Маршрутизатор с AIM/NME, ASA с AIP
• Очень много филиалов
Нужно снизить капитальные затраты
Выбор - IOS IPS
• Низкая скорость подключения филиала (E1, 10Mbps)
Не требуется высокая производительность IPS
• Кто управляет маршрутизатором?
Маршрутизатор может быть под управлением сервис провайдера
© 2011 Cisco and/or its affiliates. All rights reserved. 37

37. • Не требует дополнительного оборудования. Низкие
операционные и капитальные затраты делают
решение привлекательным для компаний, которые
сами управляют маршрутизаторами в филиалах
• Функционал IOS IPS не такой гибкий, как у
аппаратных IPS
• С появлением ISR G2 производительность IOS IPS
увеличилась больше, чем в 2 раза при той же
стоимости устройств
© 2011 Cisco and/or its affiliates. All rights reserved. 38

38. Защита от атак из филиала
Inside Outside Головной
офис
Филиал
Веб-
Черви! FE0/0 FE0/1 Интернет трафик кластер
Туннель IPSec
Cisco 28xx
Серверы
Интернет приложений
Interface FastEthernet0/0
Компьютеры
ip ips ips-policy in
Компьютеры
© 2011 Cisco and/or its affiliates. All rights reserved. 39

39. © 2011 Cisco and/or its affiliates. All rights reserved. 40

40. • Задачи
Защита серверов
Мониторинг / Уведомление о тревогах с помощью
IPS в режиме IDS
Мониторинг трафика виртуальных машин (пока
только в режиме IDS)
• Продукты
Cisco IPS 4500 в режиме IPS или IDS
Cisco ASA IPS SSP для ASA 5585
Cisco ASA5500-X
Cisco IDSM2 в режиме IPS или IDS
© 2011 Cisco and/or its affiliates. All rights reserved. 41

41. • Разбиваем серменты на L2-VLANы Host B
(без SVI)
VLAN20
• Разрешаем 10 и 20 VLANы в транке в
торону IPS Fa2/42
• Добавляем правила мапирования
VLANов
• Тарблицы MAC адресов: Gi1/1
MAC Port MAC Port
Fa1/10
HostA Fa1/10 HostB Fa2/42
HostB Gi1/1 HostA Gi1/1 VLAN10
Нет STP loop-ов, т.к. записи в разных
VLANах Host A
© 2011 Cisco and/or its affiliates. All rights reserved. 42

42. Модуль Cisco ACE или Cisco ACE4710 терминирует SSL
• Позволяет IPS/IDS инспектировать трафик
• Поддерживает балансировку нагрузки на
уровне приложений (layer 7)
• Разргрузка SSL с серверов
• Сохранается IP адрес клиентов
• Используется специализированная
аппаратная платформа
Cisco ACE Cisco IPS
HTTPS/SSL
HTTP
Интернет Сервера
© 2011 Cisco and/or its affiliates. All rights reserved. 43

43. Как сделать
span трафика
Гре
множеста ВМ с
разместить
множеста
сенсор?
серверов ESX?
Как мониторить
трафик между Что делать с
ВМ на одном перемещением
сервере ESX? ВМ и VMotion?
© 2011 Cisco and/or its affiliates. All rights reserved. 44

44. Простота управления ВМ и сетевыми политиками
• Подключение ВМ на основе
политик
Мобильность сетевых настроек и Server 1 Server 2
политик безопансости
• Интеграция с Virtual Center для VM
#1
VM
#2
VM
#3
VM
#4
VM
#5
VM
#6
VM
#7
VM
#8
администраторов серверов
Cisco NX-OS для сетевых
администраротов VMware 1000V
Nexus vSwitch VMware 1000V
Nexus vSwitch
Nexus 1000V DVS
VMW ESX VMW ESX
• Прозрачность работы и
контроль политик даже с
VMotion
• Совместимость с
платформами коммутации
© 2011 Cisco and/or its affiliates. All rights reserved. 45

45. Профили портов
включают: Server
 Настройки VLAN, PVLAN
VM VM VM VM
 ACL, Port Security, ACL #1 #2 #3 #4
Redirect
 Cisco TrustSec (SGT)
Nexus 1000V - VEM
 NetFlow Collection
VMW ESX
 Rate Limiting
 QoS Marking (COS/DSCP)
 Remote Port Mirror
(ERSPAN)
Cisco VSMs
Virtual Center
© 2011 Cisco and/or its affiliates. All rights reserved. 46

46. vPC Peers
VSS (физика) VSS (логика) vPC
10GE Cat6500 Cat6500
Sup720-10GE Sup720-10GE MCEC
Si Si
vPC Peers
802.3ad 802.3ad
802.3ad
802.3ad
MCEC
Access Switch or Server
ToR or Blades Access Switch or
Server
ToR or Blades
© 2011 Cisco and/or its affiliates. All rights reserved. 48

47. • НЕ РАБОТАЕТ с устройствами IPS
(нет поддержки EtherChannel)
• Работает с ASA с версии 8.4.1:
Поддержка EtherChannel
Версия 8.4.2 на ASA 5585-X
© 2011 Cisco and/or its affiliates. All rights reserved. 50

48. • Соединяет IDS систему с VSS шасси с помощью технологии SPAN
• CAT6K поддерживает:
SPAN
RSPAN
ERSPAN
• Nexus 7000 поддерживает:
SPAN
RSPAN
© 2011 Cisco and/or its affiliates. All rights reserved. 51

49. © 2011 Cisco and/or its affiliates. All rights reserved. 52

50. Бессчетное 30,000 3000 сигнарут
количество еще известных против
не написанных эксплоитов уязвимостей
эксплоитов
Сигнатуры против экспроитов позволяют
определить как известные и протестированные
экспроиты, так и еще не написанные
эксплоиты (эксплоиты нулевого дня)
© 2011 Cisco and/or its affiliates. All rights reserved. 53

51.  Simple Pattern Matching
напр. atomic / проверка содежимого одного пакета
 Stateful Pattern Matching
напр. фрагментированные TCP пакеты
 Context Stateful Pattern Matching
напр. Данные FTP или в канале управления
 Protocol Decode-Based Analysis
напр. несоответствие RFC, длина полей в пакетах
определенных типов
 Anomaly Based Analysis
напр. отличие трафика от “нормального” поведения
 Reputation Based Analysis (Глобальная
корреляция)
© 2011 Cisco and/or its affiliates. All rights reserved. 54

52. © 2011 Cisco and/or its affiliates. All rights reserved. 55

53. Cisco SIO Обновления Обновления
ГК Защита
сигнатур модулей
АСУ
Управление
Модуль Внутренний
Модули политиками
нормализации модуль
анализа на основании
трафика корреляции
рисков
Фильтр
репутации
Выбор Регистрация Отражение
виртуального данных и формирование
сенсора (forensics) тревог
IN OUT
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56

54. Что такое виртуальные сенсоры?
• Несколько экземпляров сенсора в рамках одного устройства IPS
• Поддерживаются до 4 виртуальных сенсоров
Сенсор (VS0)
Атакующие Сеть A
Сеть B Сенсор (VS1) Сенсор (VS2) Сеть C
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57

55. Cisco SIO Обновления Обновления
ГК Защита
сигнатур модулей
АСУ
Управление
Модуль Внутренний
Модули политиками
нормализации модуль
анализа на основании
трафика корреляции
рисков
Фильтр
репутации
Выбор Регистрация Отражение
виртуального данных и формирование
сенсора (forensics) тревог
IN OUT
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58

56. ...
58.65.232.0/21
58.83.8.0/22
Фильтр репутации Cisco IPS: 58.83.12.0/22
62.122.32.0/21
• Удаление пакетов, ...
поступающих от известных
Предварительная
источников вредоносного ПО, обработка
без анализа сигнатур.
• БД фильтров репутации Фильтры
постоянно обновляется репутации IPS
• Защита от атак известных
ботнетов Анализ
по сигнатурам
• Отражение на основании Ядро
Глобальн.
принятия
контекста (отправителя), а не корреляция
решений
только контента Обнаружение
аномалий
• Быстрее, чем традиционный
«только сигнатурный» подход
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59

57. Cisco SIO Обновления Обновления
ГК Защита
сигнатур модулей
АСУ
Управление
Модуль Внутренний
Модули политиками
нормализации модуль
анализа на основании
трафика корреляции
рисков
Фильтр
репутации
Выбор Регистрация Отражение
виртуального данных и формирование
сенсора (forensics) тревог
IN OUT
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60

58. Дополнительная функция
анализа, позволяющая:
• Предотвратить передачу
аномального трафика через
сенсор
• Противодействовать
маскировке атак (anti-evasion)
• “Поддерживать” действия по
другим сигнатурам в ходе
длительных атак
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61

59. Как модуль нормализации решает
эти задачи?
• Строгий контроль состояния
конечного автомата TCP USER root
• Строгий контроль порядковых TCP: HDR USER HDR root
номеров
• Отслеживание неподтвержденного
проанализированного контента IP: HDR HDR US HDR ER HDR HDR ro HDR ot
• Проверка контрольных сумм,
обнаружение недопустимых флагов
• Поддержка модификации TTL
• …
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62

60. Вплоть до L7-
обфускации
GET http://…U/*Con*/NI/*fused*/ON
Анализ по сигнатуре
GET http://…UNION
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63

61. Cisco SIO Обновления Обновления
ГК Защита
сигнатур модулей
АСУ
Управление
Модуль Внутренний
Модули политиками
нормализации модуль
анализа на основании
трафика корреляции
рисков
Фильтр
репутации
Выбор Регистрация Отражение
виртуального данных и формирование
сенсора (forensics) тревог
IN OUT
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70

62. Что такое блоки анализа? Типы блоков сигнатур
• Компонент сенсора, • AIC
поддерживающий категорию • Atomic
сигнатур • Flood
• Meta
• Каждый модуль характеризуется
набором параметров, для • Multi String
которых существуют допустимые • Normalizer
диапазоны и наборы значений • Service
• State
• Настраиваемые параметры
модулей позволяют • Sweep
оптимизировать • Traffic Anomaly
сигнатуры/выполнять их тонкую • Trojan
настройку или создавать новые • …
сигнатуры.
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71

63. • Сигнатура IPS описывает
отличительные особенности
трафика
• Сигнатуры связаны с определенным
модулем
• Постоянно выпускаются новые
сигнатуры, также обновляются
существующие сигнатуры.
• Cisco позволяет заказчикам
разрабатывать собственные
сигнатуры
• Сигнатуры, разработанные Cisco,
привязаны к уязвимостям
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72

64. Уникальный модуль, созданный для
платформ, поддерживающих
аппаратное ускорение обработки
Regex
Модули String – это модули поиска
шаблонов при анализе ICMP-, TCP-
и UDP трафика
Новые модули “string-xl”:
• string-xl-tcp
• string-xl-udp
• string-xl-icmp
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73

65. Большинство модулей поддерживают
как IPv4, так и IPv6
Исключения:
• Действие modify-packet для
нормализации трафика
• Модули, связанные
с обработкой ICMP
• Модуль AIC
• Block host, Block connection, and
Rate limiting
• Обнаружение аномалий
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74

66. Cisco SIO Обновления Обновления
ГК Защита
сигнатур модулей
АСУ
Управление
Модуль Внутренний
Модули политиками
нормализации модуль
анализа на основании
трафика корреляции
рисков
Фильтр
репутации
Выбор Регистрация Отражение
виртуального данных и формирование
сенсора (forensics) тревог
IN OUT
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75

67. Нормализация трафика Сигнатура A 10:17
ИД попытки Сигнатура B 10:19
обхода Сигнатура C 10:19
Мета-
сигнатура X
Анализ
протокола
Для принятия решения об атаке требуется полный
контроль различных сигнатур, сведений о пользователях,
протоколах и т. п.
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76

68. Модуль META
• Позволяет определять
связанные события, которые
произошли в течение
«скользящего» интервала
времени
• Обрабатывает события, а не
пакеты
• Генерирует событие сигнатуры
после того, как выполнены все
требования (обнаружены все
компоненты) объекта
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77

69. Инновации в управлении угрозами
Фильтры репутации
Блокируют худших и известных
Нормализация и анализ Глобальный Ядро
по сигнатурам анализ принятия
Повышение RR решений
Обнаружение известных
для характерных Block, Alert,
шаблонов
сочетаний Permit, Limit
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78

70. Влияние глобальной корреляции на рейтинг риска
• Средства анализа глобальной Reputation Effect on Risk Rating
Standard Mode Reputation of Attacker
корреляции позволяют Blue Deny Packet Red Deny Attacker
корректировать RR событий
-1 -2 -3 -4 -5 -6 -7 -8 -9 -10
Initial 80 80 87 92 95 98 99 100 100 100 100
на основании репутации Risk
Rating
81
82
81 87 92 96 98
82 88 93 96 98
100
100
100
100
100
100
100
100
100
100
атакующего и исходного 83
84
83 88 93 96 99
84 89 94 97 99
100
100
100
100
100
100
100
100
100
100
значения RR. 85
86
85 90 94 97 99
86 90 94 97 99
100
100
100
100
100
100
100
100
100
100
87 87 91 95 98 100 100 100 100 100 100
88 88 91 95 98 100 100 100 100 100 100
89 89 92 96 98 100 100 100 100 100 100
90 90 92 96 99 100 100 100 100 100 100
91 91 93 97 99 100 100 100 100 100 100
92 92 93 97 99 100 100 100 100 100 100
93 93 94 97 100 100 100 100 100 100 100
94 94 95 98 100 100 100 100 100 100 100
95 95 95 98 100 100 100 100 100 100 100
96 96 96 99 100 100 100 100 100 100 100
97 97 97 99 100 100 100 100 100 100 100
98 98 98 100 100 100 100 100 100 100 100
99 99 99 100 100 100 100 100 100 100 100
100 100 100 100 100 100 100 100 100 100 100
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79

71. Известные риски для определенных отраслей
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80

72. Векторы прямых/косвенных угроз
Modbus
Level 5 Руткит Enterprise Network
Enterprise
Zone
Level 4 E-Mail, Intranet, etc. Site Business Planning and Logistics Network
Purdue Reference Model, ISA-95
Firewall
Terminal Patch Management AV
Services Server
Web
E-Mail ДМЗ
CIP
Application Web Services Application
Mirror Operations Server
Firewall
ISA-99
FactoryTalk
Application
FactoryTalk
Directory
Engineering
Workstation
Domain
Controller
Зона
Level 3 Server
производства
Руткит
Site Manufacturing
Operations and Control
Area
FactoryTalk
Client
FactoryTalk
Client
Supervisory
Control
Modbus
Level 2
Operator Engineering Operator
Interface Workstation Interface
Cell/Area
Basic Control
Continuous
Zone
Level 1 Batch Discrete Drive Process Safety
Control Control Control Control Control
Level 0 Sensors Drives Actuators Robots Process
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81

73. Дилемма обновления компонентов АСУ ТП
Решения Cisco для защиты
АСУ ТП обеспечивают
безопасность при разумном Новая уязвимость
подходе
• Снижение рисков Патч готов ?
непредвиденных простоев
Y N
(редко) (обычно)
в результате атаки
Ставим патч ? Принимаем риск?
• Существенное снижение затрат
N
Y
за счет упрощения процедур Убытки/ время/работа Принимаем риск ?
пакетной установки патчей Риски нарушения
работоспособности
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82

74. Решение Cisco
Отдельный класс сигнатур
для АСУ ТП
• Обновление в рамках
обычного еженедельного
обновления сигнатур
• Отдельная лицензия
• Решено большинство
типовых проблем
промышленных сред
(например, MODBUS)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83

75. Ориентация на отрасли
Что уже сделано? Все типы оборудования
• SCADA
Экстенсивная защита • DCS
• PLC
• Типовые отраслевые системы • SIS
АСУ ТП • EMS
Начальная отрасль: нефтегазовая Все основные поставщики
• Schneider
• Как добыча, так и переработка • Siemens
• Поддержка сигнатур и их • Rockwell
разработка продолжаются • GE, ABB
• Yokogawa
Планы • Motorola
• Emerson
• Энергораспределительные
• Invensys
системы
• Honeywell
• Производство • SEL
• Добыча полезных ископаемых
и список пополняется...
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 84

76. Cisco SIO Обновления Обновления
ГК Защита
сигнатур модулей
АСУ
Управление
Модуль Внутренний
Модульные политиками
нормализации модуль
блоки анализа на основании
трафика корреляции
рисков
Фильтр
репутации
Выбор Регистрация Отражение
виртуального данных и формирование
сенсора (forensics) тревог
IN OUT
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 85

77. Рейтинг риска (RR)
• Для каждого события
вычисляется RR
Серьез- Опасность
• Контекст учитывается ность угрозы?
(глобальная корреляция)
Достов. Насколько низки
+ сигнатуры ложные
• Политика обработки событий срабатывания?
основана на категориях рисков Релевант-
+ ность Опасность для
цели?
• Фильтрация для известных атаки
Ценность Насколько важна
триггеров + цели безопасность
атаки цели?
Оценка
Контекст
+ дополнительных
сведений?
= Рейтинг риска
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 86