Cisco Tech Club Webináře On-line každých 14 dní
Cisco Tech Club WebinářeOn-line každých 14 dní
Peter MesjarTechnical Solutions [email protected]
Aby Vás infikované koncovézariadenie nestálo hlavu12.5.2020
© 2020 Spoločnosť Cisco a jej pobočky.
Ako sa dostať k cenným dátam vnútri podnikovej siete?
Internet
IPSec VPN koncentrátor
(ASA)
LAN agregácia & core
IPS novejgenerácie
(FTD)
Dátové centrum Segment manažmentu siete
web
Využime fakt, že väčšina pracuje z domu...
DMZ
ESA WSA
Fáza pred útokom“Houston” nemáme problémJ
© 2020 Spoločnosť Cisco a jej pobočky.
© 2020 Spoločnosť Cisco a jej pobočky.
Pár poznámok k phishing-u- PunycodeViac informácii v Techclub seminári na tému Umbrella zo dňa 28.4.2020
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco ESASubject: [SUSPICIOUS] ACTION REQUIRED!
“Houston” máme problém!Fáza počas útoku
© 2020 Spoločnosť Cisco a jej pobočky.
© 2020 Spoločnosť Cisco a jej pobočky.
Network Fabric
Quarantine
Cisco Integrovaná Kybernetická BezpečnosťDetekcia -> Karanténa -> Riešenie bezpečnostného incidentu
Supplier
Employee
Employee
Quarantine
SharedServer
Server
High RiskSegment
Internet
Stealthwatch FirePower NGIPSor 3rd party Appsuch as Splunk
Change Authorization
PxGr
id
Event: XYZSource IP: 10.4.51.5Role: SupplierResponse: Quarantine
ü
ISE
LANWifiVPN
© 2020 Spoločnosť Cisco a jej pobočky.
Nezahadzujte svoj IPS
[1:37618:1] "MALWARE-CNC Win.Trojan.Latentbot variant outbound connection" [Impact: Vulnerable] From “Firepower" at Sat Oct 12 10:29:48 2019 UTC [Classification: A Network Trojan was Detected] [Priority: 1] {tcp} 172.16.7.13:50141 (unknown)->188.40.252.115:443 (germany)
1) Endpoint protection softvér nič neukázal, je toto false positive?
2) TALOS reputácia pre IP 188.40.252.115 Unknown, Umbrella riziko benign/mediumzaujímavý ale bol hostname:
3) V skutočnosti išlo o komunikáciu neželanej aplikácie pre vzdialený prístup stiahnuteľnej zadarmo
Fáza po útoku“Houston” máme po probléme?
© 2020 Spoločnosť Cisco a jej pobočky.
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco ESA 13.0 – Mailbox Autoremediation
https://www.cisco.com/c/en/us/td/docs/security/esa/esa13-0/user_guide/b_ESA_Admin_Guide_13-0/b_ESA_Admin_Guide_12_1_chapter_010101.html
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response - vyhľadanie IoC (Indication of Compromise)
SHA256 pod lupou
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – trasovanie IoC cez sieť (1/3)
Súbor prišieldvoma
emailami,
každý s inýmpredmetom správy
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – trasovanie IoC cez sieť (2/3)
a z dvoch známychverejných domén.
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – trasovanie IoC cez sieť (3/3)
Mail prešiel aj naprieksprávne implementovanejmail gateway a NGFW.
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – analýza cieľa
Email bol úspešne doručenýna štyri mailové účty
a dvaja používateliasi prílohu stiahli.
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – bloknutie na pár klikov
Automaticky pridá na custom blacklist do:- Endpoint AMP- Network AMP- Content AMP
https://blogs.cisco.com/security/empowering-defenders-amp-unity-and-cisco-threat-response
© 2020 Spoločnosť Cisco a jej pobočky.
Cisco Threat Response – sled udalostí v čase
Asociovaná aktivitaEndpoint AMP Forenzná analýza
Endpoint AMP
© 2020 Spoločnosť Cisco a jej pobočky.
In Memory
Exploit Prevention
System Protection
On DiskReputation 1:1
Machine Learning
Fuzzy Fingerprinting
Tetra / ClamAV
Script Protection
DFC
Retrospection
Proactive
Orbital search
Low PrevalenceApplications
Sandboxing
Post Infection
Server Side IOC
CTA
IP & Application Blocking
Integration (ISE, FTD …)
Host Isolation
Device / File Trajectory
Client Side IOC
MAP (offline anti-ransomware)
Custom BlacklistsVulnerability
mapping
Attack TimelineEndpoint AMP engines
Na záver
Proti útokom sa treba chrániť na viacerých vrstvách
RECONNAISSANCE
WEAPONIZATION
CIEĽCOMMAND &
CONTROLACTIONS ON OBJECTIVES
PRIENIK
DELIVERY EXPLOITATION INSTALLATION
KOMPROMITÁCIA
DUOzero trust for
workforce
Pokročiláochrana proti
malvéruAMP
Pokročiláochrana proti
malvéruAMP
inštalovaná na koncové
zariadenia a servery
DNS
UmbrellaDNS
Security
CiscoWeb
Security
CiscoEmail
Security
SignatúryNGIPS
DNS
UmbrellaDNS Security
Cognitive Threat Analytics
pre webovú ochranu a
Stealthwatch
Threat intelligencepre NGIPS
TALOSThreat
Intelligence
Segmentácia na báze identity
ISE
Analýza správania Stealthwatch
Aplikačná ochrana so
segmentáciou Tetration
Analýza správania Stealthwatchintegráciou s
identitami ISE,analytikoušifrovanej
prevádzky bez nutnosti
dešifrovania ETA a dát zasielaných
koncovými zariadeniami Anyconnect
AMP = Advanced Malware ProtectionETA = Encrypted Traffic Analytics
Threat Gridglobálnysandbox
Vzájomná integrácia a Cisco Threat
Response
pre rýchle riešenie
bezpečnostných incidentov
ĎakujemeCisco Tech Club Webináře14.05.2020 Cisco HyperFlex – nie iba obyčajná hyperkonvergovaná platforma19.05.2020 Kybernetická bezpečnosť v prostredí IoT sietí21.05.2020 Dizajn a vlastnosti moderných Wi-Fi 6 sietí