leveraging your network for internal
play

Leveraging Your Network for Internal Threat Detection and Forensics - PowerPoint PPT Presentation

Chris Tobkin, CISSP Leveraging Your Network for Internal Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information Chris Tobkin, CISSP Speeding up Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information


  1. Chris Tobkin, CISSP Leveraging Your Network for Internal Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information

  2. Chris Tobkin, CISSP Speeding up Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information

  3. Chris Tobkin, CISSP Finding Out of Bounds Security Events Chris Tobkin, CISSP Confidential Information

  4. Chris Tobkin, CISSP Getting Lucky with your Network Chris Tobkin, CISSP Confidential Information

  5. Chris Tobkin, CISSP Ch Chris ¡T ¡Tob obki kin, ¡CIS ¡CISSP P • >15 ¡years ¡of ¡Technical ¡Security ¡experience ¡ • Experience ¡in ¡programming, ¡applica;on ¡ ¡ development, ¡OS ¡and ¡DB ¡administra;on, ¡desktop ¡& ¡ ¡ server ¡security, ¡network ¡security, ¡penetra;on ¡tes;ng, ¡ ¡ policy ¡development, ¡and ¡social ¡engineering ¡ • Author ¡of ¡mul;ple ¡books ¡on ¡Network ¡Security ¡ • Advised ¡some ¡of ¡the ¡largest ¡organiza;ons ¡in ¡the ¡world ¡ • Previously ¡a ¡Regional ¡Technical ¡Consultant ¡for ¡Check ¡Point ¡SoKware ¡and ¡ led ¡over ¡300 ¡network ¡security ¡engineers ¡at ¡Cisco ¡Systems ¡ Confidential Information 5 ¡

  6. Chris Tobkin, CISSP Wher Where ¡ar e ¡are ¡the ¡g e ¡the ¡gap aps? s? • Before, ¡During, ¡AKer ¡ • Protect, ¡Detect, ¡Respond ¡ “In ¡ ¡the ¡ ¡fi fields ¡ ¡of ¡ ¡observa>on ¡ ¡chance ¡ ¡favors ¡ ¡the ¡ ¡prepared ¡ ¡mi mind.” ¡ ¡-­‑ -­‑ ¡ ¡ ¡ ¡ Lo Louis ¡P uis ¡Pas asteur eur Source: ¡2014 ¡Verizon ¡Data ¡Breach ¡Report ¡ 6 ¡ Confidential Information hSp://www.verizonenterprise.com/DBIR/ 2014/ ¡

  7. Chris Tobkin, CISSP Wha What ¡ha t ¡have ¡w e ¡we ¡tried? e ¡tried? Strengthen ¡the ¡ Perimeter ¡ Enterprise ¡ Harden ¡the ¡Endpoint ¡ Monitor ¡Content ¡Moving ¡ ¡ Into ¡and ¡Out ¡of ¡the ¡Enterprise ¡ Increase ¡Sophis:ca:on ¡ ¡ of ¡Iden:ty ¡Management ¡ 16 7 ¡ Confidential Information

  8. Chris Tobkin, CISSP Fl Flying ¡ ¡Blind 8 ¡ Confidential Information

  9. Chris Tobkin, CISSP Getting Lucky with your Network Chris Tobkin, CISSP Confidential Information

  10. Chris Tobkin, CISSP Your ¡ Yo ¡Internal ¡ ¡Network 3850 ¡ Cat4k ¡ Stack(s) ¡ VPC ¡Servers ¡ ACCESS ¡ Internet ¡ ASA ¡ ASR-­‑1000 ¡ San ¡Jose ¡ WAN ¡ CORE ¡ 3560-­‑X ¡ DATACENTER ¡ Cat6k ¡ New ¡York ¡ Atlanta ¡ Flow ¡ Nexus ¡7000 ¡UCS ¡ ¡ 3925 ¡ISR ¡ with ¡Nexus ¡1000v ¡ Informa;on ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡-­‑> ¡NBAD ¡ 1 Confidential Information 0 ¡

  11. Chris Tobkin, CISSP Wha What ¡is ¡NB t ¡is ¡NBAD? D? • Network ¡Behavioral ¡Anomaly ¡Detec;on ¡ • Data ¡source ¡= ¡Network ¡MetaData ¡(NetFlow) ¡ • Probe ¡loca;ons ¡= ¡Core ¡or ¡deeper ¡ • Quan;ty/Metric ¡Centric ¡(not ¡PaSern/Signature ¡Centric) ¡ • Some;mes ¡used ¡to ¡refer ¡to ¡NetFlow ¡Security ¡Tools ¡ • A ¡method ¡of ¡gaining ¡Visibility ¡and ¡Awareness ¡to ¡internal ¡ network ¡ac;vi;es ¡ 11 ¡ Confidential Information

  12. Chris Tobkin, CISSP NB NBAD ¡Op AD ¡Op>on ons • OSS ¡NBAD ¡-­‑ ¡ ¡SilK/PySiLK ¡ • Commercial: ¡ • Arbor ¡PeakFlow ¡ • IBM ¡Qradar ¡ • Invea-­‑Tech ¡FlowMon ¡ • Lancope ¡StealthWatch ¡ • ManageEngine ¡ • McAfee ¡NTBA ¡ • Plixer ¡Scru;nizer ¡ • ProQSys ¡FlowTraq ¡ • Riverbed ¡Cascade ¡(formerly ¡Mazu) ¡ * ¡For ¡comparison ¡see ¡Gartner ¡Network ¡Behavior ¡Analysis ¡Market ¡December ¡2012 ¡ 12 ¡ Confidential Information (G00245584) ¡

  13. Chris Tobkin, CISSP Networ Ne ork ¡Log k ¡Logging ¡Ba ¡Basics cs • A ¡record; ¡not ¡a ¡sample ¡ • Can ¡only ¡log ¡available ¡data ¡ • Unidirec;onal ¡in ¡nature ¡ • Interface ¡specific ¡ • “Phone ¡record” ¡not ¡“Phone ¡tap” ¡ • Category ¡called ¡“NetFlow” ¡or ¡“Flow” ¡ • Devices ¡with ¡one ¡or ¡more ¡Flow ¡producing ¡interfaces ¡are ¡ “Exporters” ¡ • Exporters ¡cache ¡and ¡forward ¡records ¡to ¡“Collectors” ¡ • Bandwidth ¡of ¡“basic” ¡Flow ¡export ¡is ¡~0.1% ¡of ¡monitored ¡traffic ¡ 13 ¡ Confidential Information

  14. Chris Tobkin, CISSP Ne Networ ork ¡Log k ¡Logging ¡S ¡Standards • NetFlow ¡v9 ¡(RFC-­‑3950) ¡ • IPFIX ¡(RFC-­‑5101) ¡ ¡ • Rebranded ¡NetFlow ¡ • Jflow ¡– ¡Juniper ¡ • Cflowd ¡– ¡Juniper/Alcatel-­‑Lucent ¡ • NetStream ¡– ¡3Com/Huawei ¡ Basic/Common ¡Fields ¡ • Rflow ¡– ¡Ericsson ¡ • AppFlow ¡-­‑ ¡Citrix ¡ 14 ¡ 14 ¡ Confidential Information

  15. Chris Tobkin, CISSP Detec>o De ec>on ¡Me n ¡Metho thods ds • Signature ¡ = ¡Inspect ¡Object ¡against ¡blacklist ¡ • IPS ¡ • An;virus ¡ • Content ¡Filter ¡ • Behavioral ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡blacklist ¡ • Malware ¡Sandbox ¡ • NBAD/UBAD ¡ • HIPS ¡ • SEIM ¡ • Anomaly ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡whitelist ¡ • NBAD/UBAD ¡ 15 ¡ Confidential Information

  16. Chris Tobkin, CISSP Comp mparison ¡ ¡of ¡ ¡Detec>on ¡ ¡Methods Signature ¡ Behavior ¡ Anomaly ¡ Known ¡Exploits ¡ Best ¡ Good ¡ Limited ¡ 0-­‑Day ¡Exploits ¡ Limited ¡ Best ¡ Good ¡ Creden:al ¡Abuse ¡ Limited ¡ Limited ¡ Best ¡ Confidential Information

  17. Chris Tobkin, CISSP Overview ¡ ¡– ¡ – ¡NBAD ¡ ¡Detec>on ¡ ¡Approaches • Signature ¡ • Behavioral ¡ • Anomaly ¡ Confidential Information

  18. Chris Tobkin, CISSP NB NBAD ¡De AD ¡Detec> ec>on on ¡-­‑ ¡S ¡-­‑ ¡Signature e • Segmenta;on ¡Enforcement ¡ • Policy ¡Viola;ons ¡ • C&C ¡Connec;ons ¡ • Pro’s : ¡Certainty ¡can ¡be ¡established; ¡Easy ¡to ¡set ¡up; ¡Deep ¡ visibility ¡(without ¡probes) ¡ • Con’s : ¡Only ¡detects ¡“Known ¡Threats” ¡ Confidential Information

  19. Chris Tobkin, CISSP NB NBAD ¡De AD ¡Detec> ec>on on ¡-­‑ ¡Beh ¡-­‑ ¡Behavi vior oral • Scanning ¡ • SYN ¡Flood ¡ • Flag ¡Sequences ¡ • Suspiciously ¡Long ¡Flow ¡ • Worm ¡Propaga;on ¡ • Pro’s : ¡Doesn’t ¡need ¡to ¡know ¡exploit ¡ • Con’s : ¡Must ¡establish ¡host ¡counters ¡ Confidential Information

  20. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly • Pro’s : ¡Can ¡Catch ¡Sophis;cated/Targeted/Unknown ¡Threats ¡ • Con’s : ¡ • Requires ¡Host ¡and ¡User ¡Profiles ¡ • Requires ¡Specific ¡Baselines/Policies ¡ • Output ¡requires ¡interpreta;on ¡ • Requires ¡massive ¡data ¡collec;on/processing ¡ • Requires ¡Algorithmic ¡Calcula;on ¡ Confidential Information

  21. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Simp mple ¡ ¡Anoma maly 21 ¡ Confidential Information

  22. Chris Tobkin, CISSP Algorithmic ¡Detec>on Abnormal ¡ Internal ¡pivot ¡ connec;ons: ¡ ac;vity: ¡Add ¡ Slow ¡Scanning ¡ Add ¡425,000 ¡ 400,000 ¡ Ac;vity ¡: ¡Add ¡ 325,000 ¡ Host ¡Concern ¡ Index ¡= ¡ 1,150,000 ¡ • Based ¡on ¡knowing ¡normal ¡ • Dependent ¡on ¡raw ¡NetFlow ¡MetaData ¡(mul;ple ¡sources) ¡ • Does ¡not ¡require ¡understanding ¡of ¡aSack ¡ • Output ¡is ¡security ¡indices ¡focused ¡on ¡host ¡ac;vity ¡ • Similar ¡to ¡reputa;on ¡data ¡provided ¡for ¡public ¡addresses, ¡for ¡ your ¡internal ¡hosts ¡ Confidential Information 22 ¡

  23. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly ¡ ¡Types • Service ¡Traffic ¡Threshold ¡Anomaly ¡ • Service ¡Type ¡Anomaly ¡ • Geographic ¡Traffic ¡Anomaly ¡ • Time ¡of ¡Day ¡Anomaly ¡ • Geographic ¡User ¡Anomaly ¡ • Data ¡Hoarding ¡ • Data ¡Disclosure ¡ • Bad ¡Reputa;on ¡ Confidential Information

  24. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Service ¡Traffic ¡Threshold ¡Anomaly ¡ Confidential Information

  25. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Service ¡Type ¡Anomaly ¡ Confidential Information

  26. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Geographic ¡Traffic ¡Anomaly ¡ Confidential Information

  27. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Time ¡of ¡Day ¡Anomaly ¡ Confidential Information

Recommend


More recommend