On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD)...
Transcript of On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD)...
![Page 1: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/1.jpg)
Cisco Tech Club WebinářeOn-line každých 14 dní
![Page 2: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/2.jpg)
Peter MesjarTechnical Solutions [email protected]
Aby Vás infikované koncovézariadenie nestálo hlavu12.5.2020
![Page 3: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/3.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Ako sa dostať k cenným dátam vnútri podnikovej siete?
Internet
IPSec VPN koncentrátor
(ASA)
LAN agregácia & core
IPS novejgenerácie
(FTD)
Dátové centrum Segment manažmentu siete
web
Využime fakt, že väčšina pracuje z domu...
DMZ
ESA WSA
![Page 4: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/4.jpg)
Fáza pred útokom“Houston” nemáme problémJ
![Page 5: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/5.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
![Page 6: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/6.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Pár poznámok k phishing-u- PunycodeViac informácii v Techclub seminári na tému Umbrella zo dňa 28.4.2020
![Page 7: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/7.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco ESASubject: [SUSPICIOUS] ACTION REQUIRED!
![Page 8: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/8.jpg)
“Houston” máme problém!Fáza počas útoku
![Page 9: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/9.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
![Page 10: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/10.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Network Fabric
Quarantine
Cisco Integrovaná Kybernetická BezpečnosťDetekcia -> Karanténa -> Riešenie bezpečnostného incidentu
Supplier
Employee
Employee
Quarantine
SharedServer
Server
High RiskSegment
Internet
Stealthwatch FirePower NGIPSor 3rd party Appsuch as Splunk
Change Authorization
PxGr
id
Event: XYZSource IP: 10.4.51.5Role: SupplierResponse: Quarantine
ü
ISE
LANWifiVPN
![Page 11: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/11.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Nezahadzujte svoj IPS
[1:37618:1] "MALWARE-CNC Win.Trojan.Latentbot variant outbound connection" [Impact: Vulnerable] From “Firepower" at Sat Oct 12 10:29:48 2019 UTC [Classification: A Network Trojan was Detected] [Priority: 1] {tcp} 172.16.7.13:50141 (unknown)->188.40.252.115:443 (germany)
1) Endpoint protection softvér nič neukázal, je toto false positive?
2) TALOS reputácia pre IP 188.40.252.115 Unknown, Umbrella riziko benign/mediumzaujímavý ale bol hostname:
3) V skutočnosti išlo o komunikáciu neželanej aplikácie pre vzdialený prístup stiahnuteľnej zadarmo
![Page 12: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/12.jpg)
Fáza po útoku“Houston” máme po probléme?
![Page 13: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/13.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
![Page 14: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/14.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco ESA 13.0 – Mailbox Autoremediation
https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-0/user_guide/b_ESA_Admin_Guide_13-0/b_ESA_Admin_Guide_12_1_chapter_010101.html
![Page 15: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/15.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response - vyhľadanie IoC (Indication of Compromise)
SHA256 pod lupou
![Page 16: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/16.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – trasovanie IoC cez sieť (1/3)
Súbor prišieldvoma
emailami,
každý s inýmpredmetom správy
![Page 17: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/17.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – trasovanie IoC cez sieť (2/3)
a z dvoch známychverejných domén.
![Page 18: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/18.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – trasovanie IoC cez sieť (3/3)
Mail prešiel aj naprieksprávne implementovanejmail gateway a NGFW.
![Page 19: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/19.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – analýza cieľa
Email bol úspešne doručenýna štyri mailové účty
a dvaja používateliasi prílohu stiahli.
![Page 20: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/20.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – bloknutie na pár klikov
Automaticky pridá na custom blacklist do:- Endpoint AMP- Network AMP- Content AMP
https://blogs.cisco.com/security/empowering-defenders-amp-unity-and-cisco-threat-response
![Page 21: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/21.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – sled udalostí v čase
Asociovaná aktivitaEndpoint AMP Forenzná analýza
Endpoint AMP
![Page 22: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/22.jpg)
© 2020 Spoločnosť Cisco a jej pobočky.
In Memory
Exploit Prevention
System Protection
On DiskReputation 1:1
Machine Learning
Fuzzy Fingerprinting
Tetra / ClamAV
Script Protection
DFC
Retrospection
Proactive
Orbital search
Low PrevalenceApplications
Sandboxing
Post Infection
Server Side IOC
CTA
IP & Application Blocking
Integration (ISE, FTD …)
Host Isolation
Device / File Trajectory
Client Side IOC
MAP (offline anti-ransomware)
Custom BlacklistsVulnerability
mapping
Attack TimelineEndpoint AMP engines
![Page 23: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/23.jpg)
Na záver
![Page 24: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/24.jpg)
Proti útokom sa treba chrániť na viacerých vrstvách
RECONNAISSANCE
WEAPONIZATION
CIEĽCOMMAND &
CONTROLACTIONS ON OBJECTIVES
PRIENIK
DELIVERY EXPLOITATION INSTALLATION
KOMPROMITÁCIA
DUOzero trust for
workforce
Pokročiláochrana proti
malvéruAMP
Pokročiláochrana proti
malvéruAMP
inštalovaná na koncové
zariadenia a servery
DNS
UmbrellaDNS
Security
CiscoWeb
Security
CiscoEmail
Security
SignatúryNGIPS
DNS
UmbrellaDNS Security
Cognitive Threat Analytics
pre webovú ochranu a
Stealthwatch
Threat intelligencepre NGIPS
TALOSThreat
Intelligence
Segmentácia na báze identity
ISE
Analýza správania Stealthwatch
Aplikačná ochrana so
segmentáciou Tetration
Analýza správania Stealthwatchintegráciou s
identitami ISE,analytikoušifrovanej
prevádzky bez nutnosti
dešifrovania ETA a dát zasielaných
koncovými zariadeniami Anyconnect
AMP = Advanced Malware ProtectionETA = Encrypted Traffic Analytics
Threat Gridglobálnysandbox
Vzájomná integrácia a Cisco Threat
Response
pre rýchle riešenie
bezpečnostných incidentov
![Page 25: On-line každých14 dní Cisco Tech Club Webiná · LAN agregácia& core IPS novej generácie (FTD) ... or 3rdparty App such as Splunk d Change Authorization Event: XYZ Source IP:](https://reader034.fdocuments.net/reader034/viewer/2022052103/603e3eda92ac4a61ab22788d/html5/thumbnails/25.jpg)
ĎakujemeCisco Tech Club Webináře14.05.2020 Cisco HyperFlex – nie iba obyčajná hyperkonvergovaná platforma19.05.2020 Kybernetická bezpečnosť v prostredí IoT sietí21.05.2020 Dizajn a vlastnosti moderných Wi-Fi 6 sietí