Cisco Tech Club WebinářeOn-line každých 14 dní

Peter MesjarTechnical Solutions Architectpmesjar@cisco.com

Aby Vás infikované koncovézariadenie nestálo hlavu12.5.2020

© 2020 Spoločnosť Cisco a jej pobočky.

Ako sa dostať k cenným dátam vnútri podnikovej siete?

Internet

IPSec VPN koncentrátor

(ASA)

LAN agregácia & core

IPS novejgenerácie

(FTD)

Dátové centrum Segment manažmentu siete

web

Využime fakt, že väčšina pracuje z domu...

DMZ

ESA WSA

Fáza pred útokom“Houston” nemáme problémJ

© 2020 Spoločnosť Cisco a jej pobočky.

© 2020 Spoločnosť Cisco a jej pobočky.

Pár poznámok k phishing-u- PunycodeViac informácii v Techclub seminári na tému Umbrella zo dňa 28.4.2020

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco ESASubject: [SUSPICIOUS] ACTION REQUIRED!

“Houston” máme problém!Fáza počas útoku

© 2020 Spoločnosť Cisco a jej pobočky.

© 2020 Spoločnosť Cisco a jej pobočky.

Network Fabric

Quarantine

Cisco Integrovaná Kybernetická BezpečnosťDetekcia -> Karanténa -> Riešenie bezpečnostného incidentu

Supplier

Employee

Employee

Quarantine

SharedServer

Server

High RiskSegment

Internet

Stealthwatch FirePower NGIPSor 3rd party Appsuch as Splunk

Change Authorization

PxGr

id

Event: XYZSource IP: 10.4.51.5Role: SupplierResponse: Quarantine

ü

ISE

LANWifiVPN

© 2020 Spoločnosť Cisco a jej pobočky.

Nezahadzujte svoj IPS

[1:37618:1] "MALWARE-CNC Win.Trojan.Latentbot variant outbound connection" [Impact: Vulnerable] From “Firepower" at Sat Oct 12 10:29:48 2019 UTC [Classification: A Network Trojan was Detected] [Priority: 1] {tcp} 172.16.7.13:50141 (unknown)->188.40.252.115:443 (germany)

1) Endpoint protection softvér nič neukázal, je toto false positive?

2) TALOS reputácia pre IP 188.40.252.115 Unknown, Umbrella riziko benign/mediumzaujímavý ale bol hostname:

3) V skutočnosti išlo o komunikáciu neželanej aplikácie pre vzdialený prístup stiahnuteľnej zadarmo

Fáza po útoku“Houston” máme po probléme?

© 2020 Spoločnosť Cisco a jej pobočky.

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco ESA 13.0 – Mailbox Autoremediation

https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-0/user_guide/b_ESA_Admin_Guide_13-0/b_ESA_Admin_Guide_12_1_chapter_010101.html

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco Threat Response - vyhľadanie IoC (Indication of Compromise)

SHA256 pod lupou

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco Threat Response – trasovanie IoC cez sieť (1/3)

Súbor prišieldvoma

emailami,

každý s inýmpredmetom správy

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco Threat Response – trasovanie IoC cez sieť (2/3)

a z dvoch známychverejných domén.

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco Threat Response – trasovanie IoC cez sieť (3/3)

Mail prešiel aj naprieksprávne implementovanejmail gateway a NGFW.

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco Threat Response – analýza cieľa

Email bol úspešne doručenýna štyri mailové účty

a dvaja používateliasi prílohu stiahli.

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco Threat Response – bloknutie na pár klikov

Automaticky pridá na custom blacklist do:- Endpoint AMP- Network AMP- Content AMP

https://blogs.cisco.com/security/empowering-defenders-amp-unity-and-cisco-threat-response

© 2020 Spoločnosť Cisco a jej pobočky.

Cisco Threat Response – sled udalostí v čase

Asociovaná aktivitaEndpoint AMP Forenzná analýza

Endpoint AMP

© 2020 Spoločnosť Cisco a jej pobočky.

In Memory

Exploit Prevention

System Protection

On DiskReputation 1:1

Machine Learning

Fuzzy Fingerprinting

Tetra / ClamAV

Script Protection

DFC

Retrospection

Proactive

Orbital search

Low PrevalenceApplications

Sandboxing

Post Infection

Server Side IOC

CTA

IP & Application Blocking

Integration (ISE, FTD …)

Host Isolation

Device / File Trajectory

Client Side IOC

MAP (offline anti-ransomware)

Custom BlacklistsVulnerability

mapping

Attack TimelineEndpoint AMP engines

Na záver

Proti útokom sa treba chrániť na viacerých vrstvách

RECONNAISSANCE

WEAPONIZATION

CIEĽCOMMAND &

CONTROLACTIONS ON OBJECTIVES

PRIENIK

DELIVERY EXPLOITATION INSTALLATION

KOMPROMITÁCIA

DUOzero trust for

workforce

Pokročiláochrana proti

malvéruAMP

Pokročiláochrana proti

malvéruAMP

inštalovaná na koncové

zariadenia a servery

DNS

UmbrellaDNS

Security

CiscoWeb

Security

CiscoEmail

Security

SignatúryNGIPS

DNS

UmbrellaDNS Security

Cognitive Threat Analytics

pre webovú ochranu a

Stealthwatch

Threat intelligencepre NGIPS

TALOSThreat

Intelligence

Segmentácia na báze identity

ISE

Analýza správania Stealthwatch

Aplikačná ochrana so

segmentáciou Tetration

Analýza správania Stealthwatchintegráciou s

identitami ISE,analytikoušifrovanej

prevádzky bez nutnosti

dešifrovania ETA a dát zasielaných

koncovými zariadeniami Anyconnect

AMP = Advanced Malware ProtectionETA = Encrypted Traffic Analytics

Threat Gridglobálnysandbox

Vzájomná integrácia a Cisco Threat

Response

pre rýchle riešenie

bezpečnostných incidentov

ĎakujemeCisco Tech Club Webináře14.05.2020 Cisco HyperFlex – nie iba obyčajná hyperkonvergovaná platforma19.05.2020 Kybernetická bezpečnosť v prostredí IoT sietí21.05.2020 Dizajn a vlastnosti moderných Wi-Fi 6 sietí