ClearPass a Introspect (UEBA) řízení přístupu do sítě a zachycování útoků na vnitřní systémy

Transkript

1 ClearPass a Introspect (UEBA) řízení přístupu do sítě a zachycování útoků na vnitřní systémy Daniel Fertšák - Systems Engineer

2 NAŠE MISE je stát se přístupovou platformou pro éru Mobile a IoT Technologičtí Partneři GTM Partneři Aliance Airheads a Developeři NEJROZVINUTĚJŠÍ EKOSYSTÉM OPERATIONS SECURITY LOCATION SD-WAN SOFTWAROVÁ PLATFORMA Aruba OS AirWave / Central ClearPass IntroSpect Meridian VIA CLIENT ZABEZPEČENÁ INFRASTRUKTURA WI-FI BLE TAGS REMOTE ACCESS WIRED ACCESS WIRED CORE/AGG WAN EDGE COMPUTE Mobile First Zabezpečená Otevřená Autonomní

3 Aruba ClearPass 3

4 Bezpečnostní realita dnešních sítí Napadené známé či neznámé zařízení Návštěvník Kontraktor Lidská chyba DOBŘÍ LIDÉ ZLOSYNI Legitimní osoba s nekalým úmyslem Mobilita znamená, že hrozby přicházejí zevnitř Tradiční bezpečnost na bázi perimetru sítě je minulost

5 Mějte pod kontrolou přístup uživatelů, hostů i BYOD a IoT Internet of Things (IoT) Multi-vendor switching Aruba ClearPass REST API Security monitoring and threat prevention Device management and multi-factor authentication BYOD and corporate owned Multi-vendor WLANs Helpdesk and voice/sms service in the cloud

6 ClearPass klíčové funkce PŘEHLED Víte kdo, co a kde se připojuje do vaší drátové či bezdrátové sítě nebo VPN To vše na téměř jakékoliv síťové infrastruktuře KONTROLA Redukce rizik a náročnosti operativy skrze automatizaci všechna zařízení jsou autentizována či autorizována ŹÁDNÁ NEZNÁMÁ ZAŘÍZENÍ NA SÍTI RESPONSE Adaptivní odezva skrze propojení s dalšími bezpečnostními řešeními 6

7 Zjednodušení operativy a maximální zabezpečení 3 Aruba ClearPass X na drátu či bezdrátu Zařízení se připojí k jakémukoliv portu či SSID Switch nebo AP ověří identitu v ClearPass ClearPass povolí/zamezí přístup a automaticky nastaví port či SSID do správné VLAN či se správnou firewall politikou Technolo 7

8 Adaptivní bezpečnostní politika podle typu/vlastnictví zařízení Enterprise Laptop BYOD Phone Authentication EAP-TLS Authentication EAP-TLS SSID CORP-SECURE SSID CORP-SECURE Internet and Intranet Internet Only 8

9 Zalepte bezpečnostní díry vzniklé hloupými zařízeními Mnoho zařízení nepodporuje 802.1X Typické řešení je MAC autentizace Díky snadné změně MAC je ale takové řešení nebezpečné Udržování seznamu MAC adres je náročné 9

10 Bezkonkurenční profiling metody DHCP Fingerprinting (podpora pro IP-Helper a použití SPAN/RSPAN zrcadlení) SNMP/Network Discovery (čtení standardních MIB pro zjištění IP adres) Detailní fingerprinting WMI (pro Windows) SSH (pro Linux) CDP, LLDP HTTP User-Agent (pro Apple) MAC OUI (pro Android) ARP Reads, Subnet Scans Active Sync Plugin Nmap Port scans TCP DHCP Fingerprinting (podpora pro IP-Helper a použití SPAN/RSPAN zrcadlení) SNMP/Network Discovery (čtení standardních MIB pro zjištění IP adres) Základní fingerprinting 10

11 Sjednocení přístupových politik a stáhnutelné uživatelské role (DUR) Klíčové pro centralizaci a tedy zjednodušení nasazení politik 1. Wired or wireless user provides credentials 2. CPPM returns Role & Policy Switch či kontrolér nemusí mít lokálně definované QoS či Firewall/ACL politiky BYOD AP Mobility Controller ClearPass Policy Manager (CPPM) Vše je dynamicky stáhnuto v momentě připojení zařízení PC/Laptop ArubaOS-Switch 3. Role & Policy push to the Mobility Controller or Aruba Switches 11

12 BYOD: Zaměstanec si sám zaregistruje své zařízení Jednoduché pro uživatele i IT: Uživatel se zaregistruje bez pomoci IT, přitom má IT vše plně pod kontrolou Bezpečnost: Jednoduše nasadíte certifikátové ověřování se zabudovanou CA Kontext: Data pro adaptivní politiky z různých zdrojů, třeba IPS či SIEM

13 Profesionální přístup hostů na WiFi je stejně důležitý, jako čistý vchod a kvalitní recepce Plné možnosti úprav designu pro propagaci všeho loga a stylu Bohaté možnosti způsobů přihlášení (kliknutí, formulář, SMS, recepce,...) Login ze sociálních sítí Zapamatování pro časté návštěvníky

14 Typy ClearPass integrací s třetími stranami Firewall Authentication Messaging Property Social Media Logging MDM Network Hotspot 14

15 Důvody proč nasadit ClearPass do sítě? Pro síťového administrátora Síťový správce už nikdy nebude muset nastavovat porty switche ručně Vše bude automatické dle politik v AD či ClearPass Pro hlubší bezpečnostní přínosy Hloupá IoT zařízení už nebudou taková hrozba Inteligence vašeho firewallu/ips/mdm se dostane na celou síť Chytřejší politiky ve vašem firewallu Zjednodušení operativy a úspora času 15

16 Aruba Introspect 16

17 Útoky v reálném světě SCANNING ATTACK scan servers in the data center to find out vulnerable targets DETECTED WITH AD LOGS DATA DOWNLOAD download data from internal document repository which is not typical for the host DETECTED WITH NETWORK TRAFFIC EXFILTRATION OF DATA upload a large file to cloud server hosted in new country never accessed before DETECTED WITH WEB PROXY LOGS 17

18 Poslední novinka ze světa (nejen) IoT útoků 18

19 Bezpečnost na letišti Pravidla Jednoduché statické kontroly Učení se z dat Dynamické kontroly založené na kontinuálním monitorování SIEM Firewall IDS a IPS Web/Mail brány SIEM a log management 19

20 Techniky strojového učení (ML) Supervizované strojové učení Nesupervizované strojové učení 20

21 Detekce DNS exfiltrace příkl. supervizovaného ML Útočník vezme soubor, naseká ho na malé kousky, každý z nich zakóduje a tento řetězec použije jako subdoménové pole v DNS dotazu. Jakmile se všechny kousky dostanou k DNS serveru data jsou ukradena! DNS exfiltraci nelze detekovat běžnými statickými pravidly na firewallu či SIEM. 21

22 Detekce DNS tunelování příkl. nesupervizovaného ML Útočník zakóduje data do DNS dotazů i odpovědí. Následně jsou BOTNETy vzdáleně ovládány C&C servery skrze TXT záznamy v DNS odpovědích, které jsou patřičně zakódovány. DNS tunelování nelze detekovat běžnými statickými pravidly na firewallu či SIEM. 22

23 Detekce anomálií To co není zachyceno přímou shodou s cílenými modely je odhalováno skrze detekci anomálií Využíváme dvojí baselining historický a skupinový 23

24 Behavior Fingerprinting: Users User 1 User 2 24

25 Behavior Fingerprinting: User vs Machine User Machine 25

26 Behavior Anomaly Detection: Compromised User User Before Compromise User Post Compromise 26

27 Behavior Anomaly Detection: Compromised IoT Device Dropcam Before Compromise Dropcam Post Compromise 27

28 Introspect komponenty Packets PACKET PROCESSOR DPI PACKET CAPTURE Flows ANALYZER OTHER SYSTEMS ENTITY360 API ANALYTICS FORENSICS Logs COLLECTOR NATIVE SIEM DATA FUSION BIG DATA Consoles / Workflows Alerts Threat Intelligence 28

29 Základ: Párovaní údálostí a přenosů na uživatele/entitu IP Address 29

30 Analýza chování napříč mnoha dimenzemi Authentication AD logins Internal Resource Access Finance servers Remote Access VPN logins External Activity C&C, personal Behavioral Analytics SaaS Activity* Office 365, Box Cloud IaaS* AWS, Azure Exfiltration DLP, Physical Access* badge logs 30

31 Základní analýza chování Strojové účení NESUPERVIZOVANÉ ANALÝZA CHOVÁNÍ BASELINES HISTORIE + SROVNÁNÍ SE SKUPINOU ABNORMÁLNÍ PŘÍSTUP K INTERNÍM DATŮM 31

32 Hledání škodlivého mezi anomáliemi BUSINESS CONTEXT High Value Assets High Value Actors Behavioral Analytics MACHINE LEARNING SUPERVISED UNSUPERVISED THIRD PARTY ALERTS DLP Sandbox Firewalls STIX Rules Etc. 32

33 Aruba IntroSpect řeší dvě hlavní oblasti ÚTOKY A NEBEZPEČNÉ CHOVÁNÍ uvnitř sítě Jeden z hlavních cílů protivníků je získat přístup k platným interním přístupovým údajům. Útok tak získá klíčové nástroje. EFEKTIVITA bezpečnostních týmů 80% těchto úniků je detekováno za měsíce čiroky místo týdnů či ještě kratších období Zdroj: Verizon 2017 Data Breach Investigations Report 33

34 Domain Generation Algorithm (DGA) Detection veuqfgleebf.com (Botnet / Conficker) Features N-gram character distribution Length of domain string Top level domain WHOIS registration info Training Data Alexa top 1M domains (white) More than 500k DGA domains generated from 28 families (black) Model Naive Bayes Classifier 34

35 Domain Generation Algorithm (DGA) Detection veuqfgleebf.com (Botnet / Conficker) vyrawagauvm.com (DGA???) ML Botnet / Infostealer (?) 35

36 Domain Generation Algorithm (DGA) Detection veuqfgleebf.com (Botnet / Conficker) vyrawagauvm.com (DGA?) 25 tagged DNS DGA domains queried from the same host within 60 seconds All 25 domains are unique 1 resolved, 18 NXDomain, 6 Sinkholed Only 1 tagged DNS DGA domain from the host within 1 hour Duplicated domain occurrence All queries are resolved YES NO 36

37 Konkrétní případ:ransomware Indikátory C&C komunikace UEBA - detekce DGA Detekce např.: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.], xxlvbrloxvriy2c5[.]onion, sqjolphimrr7jqw6[.]onion, 76jdd2ir2embyv47[.]onion SMB sken sítě Analýza chování a srovnání s baseline detekce nadměrného SMB přístupu z hlediska objemu, četnosti cílů atp. Risk skóre kompromitovaného systému 37

38 Aruba IntroSpect integrace s ClearPass jako branou do sítě A B C 38

39 Co děláme jinak aneb proč právě Introspect? Like a digital Sherlock Holmes Zobecněná architektura nezávislá na typu vstupních dat Hadoop based škálovatelná infrastruktura 100 AI modelů phishing, ransomware, rata exfiltrace Mnoho-dimenzionální behaviorální modely Diskrétní analýza pro obohacení kontextu, nikoliv pro filtrování Markovův model detekující pohyb přes kill chains Akcelerace šetření událostí Integrace s aktivním zásahem pomocí ClearPass 39