BEZPEČNOSTNÍ A PROVOZNÍ MONITORING VŠCHT PRAHA

OBSAH:

1. úvod, představení organizace

2. historický kontext, proč monitoring, PoC je základ

3. srovnání řešení, výběr řešení, implementace zvoleného řešení

4. use-cases, provozní zkušenosti, rozvoj

5. závěr

FlowMon Collector, Flowmon ADS coby NBAIBM QRadar coby SIEM

Současné prostředí počítačové sítě

• 4 000 studentů, 900 zaměstnanců

• 7 000 unikátních identit v Cisco ISE vč. Eduroam

• 136 000 jednotlivých ověření včetně neúspěšných za 24 hodin

• 700 - 1 100 unikátních klientů na WiFi

• 7 787 unikátních zařízení v síti včetně serverů

• Aktivní prvky počítačové sítě:

• 372 přepínačů v kampusu, oddělená datacentrová část

• 517 WiFI AP

• A také všudy přítomné tzv. „akademické svobody“

• Potřebujeme pracovat s IDENTITOU (802.1x)

o v roce 2004 zavedení na eduroam

o v roce 2007 zavedení i na drátové části sítě

Historický kontext a rozhodnutí začít řešit monitoring

• Rok 2009:

o Conficker – virová nákaza s celosvětovým dopadem na bezpečnost v IT, revoluční svým pojetím, autor může virus odvolat, rýsují se základy tzv. dnešních BotNet sítí.

o Běžné zabezpečení koncových stanic firewall, antivir, antispyware a perimetrový firewall či antivirové/antispywareové gatewaye již dávno nestačí.

o První zkušenosti s tzv. false positive z použitého IDS. IDS bez netflow, tedy bez možnosti prověřit výsledky v jiném nástroji je slepá cesta.

o Absence pokročilých nástrojů v kampusové síti nahlížet na datový tok.

• Rok 2010:

o Do popředí se dostávají nové fenomény jako je sociální inženýrství, tzv. phishing a botnet.

o Společnosti na ochranu autorského práva zesilují tlak na administrátory sítí. Větší množství incidentů na sítí nás nutilo k přemýšlení o nových nástrojích hledáme NBA

• Rok 2011:

o Začátek legislativního procesu ustanovit základní práva a povinnosti v kybernetické bezpečnosti. Police ČR se na nás obrací ve věci podezření z bankovního podvodu.

o PoC NBA Cognitive One vs. FlowMon ADS

Závěry z PoC 2011

1. Absence TCP flagů v exportu netflow je problém z pohledu zapojení za firewallem, resp. v DMZ před ním. Generuje hromadu false positive v NBA. Věčná otázka prošlo-li to či ono podezřelé spojení ven přes fw resp. bylo zastaveno na fw?• When NetFlow information is exported by the supervisor 720 Engine to the collector for analysis, the tcp flag is set to ZERO.

This is due to the hardware limitation of Supervisor 720 as it uses EARL7 ASIC. The support for TCP flag is integrated in EARL8 ASIC.

2. Bylo nutné si pohrát s timeout tzv. aktivních, spících a uzavřených spojení

3. Velké množství TCP SYN paketů v síti, poukazuje na velké množství virů, scanů a špatně nakonfigurovaných koncových stanic.

4. NetFlow s TOS příznaky a NBA pluginy dohromady může být dobrý pomocník pro návrh QoS v síti

použijte aktivní prvky s plnohodnotným exportem NetFlowa nebo sondy

Volba řešení• Rok 2013:

o Cognitive One coby NBA byl z trhu zcela stažen!

o Existuje mnoho provozních podnětů, samotné NBA stačit nebude, potřebujeme i SIEM!

o Zásadní změna zadání, hledáme znovu a porovnáváme nová řešení včetně SIEM !o Porovnání 3 řešení. Z časových důvodů jsme nemohli již otestovat další. Testování je časově náročné.

o Nakonec bylo zvoleno řešení NBA, které nejlépe pracovalo s Netflow a má lokální české zázemí. Kladen velký důraz na AVC a tzv. NBAR knihovnu. U SIEMu bylo klíčové úzké návaznosti na zvolené NBA a dále také dobrá kompatibilita s ostatními nástroji.

o Závěr z PoC č. 2: do budoucna nebude stačit jenom detekce, budeme potřebovat i automatizovaný integrovaný exekutivní nástroj

• Rok 2014:o Implementace současného NBA/SIEM řešení Flowmon Collector/ADS a IBM QRADAR. Dále provoz a utilizace systému

do dnes.o Zákon o kybernetické bezpečnosti č. 181/2014 Sb. ze dne 23. 7. V současném znění se na VŠ nevztahuje, ale štěstí

přeje připraveným. ;-)

Plán implementace, vstupy do projektu

Klíčové body implementačního plánu řešení:

1. definice rozsahu monitoringu (jenom NBA? a co SIEM?)

2. síťová hierarchie, ip rozsahy, vlany, co je co

3. správné nastavení netflow na jednotlivých prvcích, ladění

4. shromáždění všech relevantních zdrojů logů

5. ladění výstupů datových toků, ladění NBA

6. implementujte SIEM, korelujte přes všechny relevantní zdroje

7. konfrontujte svá pravidla s realitou a vyhodnocujte případně reimplementuje pravidla

8. udělejte si svůj „changelog“ a svoje „to-do“

Na začátku implementace tyto stavební kameny:

• Cisco Catalyst 6500 SUP32, SUP720, SUP2T a

NETFLOW v5 či v9

• Cisco WISM2 bezdrátový řadič NetFlow a AVC

• Cisco ISE jako hlavní zdroj identit protokolu 802.1x

• Cisco ASA Syslog, Cisco BotNet filtr

• nasměrování syslog zpráv ze switchů na SIEM

• McAfee Web Gateway verze 6 později 7 co by proxy

• Microsoft IAS, ISA, DHCP, AD, Exchange

Na konci implementace celý nový ekosystém!

Architektura řešení

Integrace FlowMon a QRadar SIEM

• Integrace FlowMon a QRadar na několika úrovních:

o Přeposílání Neflow z kolektoru do SIEM

o Integrace specifických alertů z FlowMonmonitorovacího centra

o Integrace událostí z FlowMon ADS

o Klasifikace události, pravidla pro SIEM – offences

• Další specifické integrace v prostředí VŠCHT

o Implementace rozšířeného monitoringuidentit (Cisco ISE)

o Napojení na DB uživatelů - identifikacekonkrétního uživatele

o Napojení Microsoft SCCM, hlavně antivirus

o Napojení na ticketing (fáze realizace)

Zajímavé implementované use cases• Bezpečnostní:

o Síťové bezpečnostní problémy (skenování, šíření virů, přístup na blacklistované IP atd)o Detekce opakované komunikace na BotNet IPso Nakažené a “vyléčené” PC, které pokračuje v podezřelé aktivitě (skenování, přístup na

blokované IP)o Zneužití identity na Eduroamo Detekce komunikace na cizí DNS serveryo Podpora vyšetřování porušování autorského zákona

• Provozní:o “Vypadávání” PC z domény Event Id 5723 a 5805o Detekce IPv6 flood – pravidlo pro FlowMon monitorovací centrumo Detekce selhání 802.1x autentizace, špatný čas, duplicitní identita PC účtuo Detekce ARP flood a new mac seen on port na switchi, opakované error-disable stavy

Use Case - Incident přes proxyHlášení o bezpečnostním incidentu z CESNETu:detected_gmt classification src_ip impact2016-02-28 10:07:21Z Connection to blacklisted host 147.33.10.154 Host communicated with blacklisted host 195.16.127.102

Use Case - Incident přes proxyImplementace Identity Pluginu v praxi:

Pokud bychom neznali cílovou ipadresu, znali bychom jen zdroj a čas, musíme si už pomoci netflow!

Zkušenosti s provozem monitoringuNutnost seniorního experta se znalostí interního prostředí skoro na plnýúvazek, tzv. bezpečák, zvláštní pozice.

Nelze řešit svépomocí, je to moc složité. Outsourcing se nám jeví jako dobrá volba.

Spolupráce s externím partnerem (ISECO.CZ)

• Servisní podpora a externí služba pravidelného monitoringu

• Spolupráce na analýze offences (pravidelné schůzky), identifikacepotencionálních incidentů

• Kontinuální rozvoj, programátorská rozšíření a úpravy díky IBM API

• Snižuje interní utilizaci na cca 1-2 MD za týden.

• Bezpečák s odbornými znalostmi na sítě a koncová zařízení by musel umět i programovat!

• Náklady na osobní mzdové prostředky převyšují 3x až 4x cenu služby za rok.

Agenda

• Analýza výstupů z Qradar, dohledávání informací v systémech

• Řešení potencionálních incidentů

• Úpravy pravidel a reportů

Plánovaný rozvoj

• Krátkodobé plány:o prohloubit spolupráci s Cesnetemo scan zranitelností zevnitř sítě, spolupráce s tzv. forézní laboratoří FLAB Cesnetuo tzv. blacklisty z různých zdrojů pro zpřesnění korelaci událostío napojení antispamové/antivirové e-mailové brány

• Dlouhodobé plány:o přípravy na integrovanou IPS v perimetrovém FW, new-generation firewallo napojení IBM QRADAR přes API na Cisco ISE a ADo možnost z helpdesku zablokovat identitu nebo mac adresuo automatická reakce na nákazu či provozní problém

Závěr• Proof of concept je nutnost.

• Sestavený ekosystém musíte technicko-konfiguračně udržovat aktuální, jinak nastane degradace systému.

• Účastníci monitoringu coby služby musí průběžně pracovat se systémem, udržovat své znalosti a kontext. Doporučení - changelog, to-do, jinak nastává postupná koroze systému.

• Trendy v oboru zabezpečení se neustále mění, není v silách jedince se ve všem orientovat. Spolupráce s partnerem je téměř nutnost. Spolupráce s lokálními výrobci a partnery je výhodou při řešení složitých případů. Kdo ví co jsou TAC cases ví o čem hovořím.

• NBA už nestačí. Nutné jsou korelace z více zdrojů a z toho plyne potřeba SIEMu. Bez SIEMu neuvidíte mnoho provozních závad na síti. Nasazení FlowMon s QRadar SIEM nemusí být čistě pro bezpečnost ale i pro provozní účely.

• Více zdrojů, více možností události mezi sebou propojovat a z diskrétních jevů činit spojité události - z toho pak plynou lepší možnosti stavět pravidla (assety) - cesta k pro-aktivitě a automatizaci.

• Nepodceňujte hardwarové nároky na provoz řešení, zvažte svoje interní možnosti a věnujte se dobře konfiguracím Netflow a zdrojům logů.

• Bezpečnostní monitoring je nikdy nekončící práce, neustále se vyvíjí.

• Vyberte si řešení s největším integračním potenciálem pro vaše konkrétní prostředí.

• Odpovídajícího kvalitního partnera pro implementaci a podporu. Důležité jsou zde reference.

…není to o krabicích ale o lidech. Kontinuita!

Děkuji!

Otázky ?

...směle do toho!

S dobrou přípravou se vidím támhle vpravo v rohu …

A vy ?