leveraging your network for internal
play

Leveraging Your Network for Internal Threat Detection and Forensics - PowerPoint PPT Presentation

Nov 23, 2022 •131 likes •582 views

Chris Tobkin, CISSP Leveraging Your Network for Internal Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information Chris Tobkin, CISSP Speeding up Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information

  1. Chris Tobkin, CISSP Leveraging Your Network for Internal Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information

  2. Chris Tobkin, CISSP Speeding up Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information

  3. Chris Tobkin, CISSP Finding Out of Bounds Security Events Chris Tobkin, CISSP Confidential Information

  4. Chris Tobkin, CISSP Getting Lucky with your Network Chris Tobkin, CISSP Confidential Information

  5. Chris Tobkin, CISSP Ch Chris ¡T ¡Tob obki kin, ¡CIS ¡CISSP P • >15 ¡years ¡of ¡Technical ¡Security ¡experience ¡ • Experience ¡in ¡programming, ¡applica;on ¡ ¡ development, ¡OS ¡and ¡DB ¡administra;on, ¡desktop ¡& ¡ ¡ server ¡security, ¡network ¡security, ¡penetra;on ¡tes;ng, ¡ ¡ policy ¡development, ¡and ¡social ¡engineering ¡ • Author ¡of ¡mul;ple ¡books ¡on ¡Network ¡Security ¡ • Advised ¡some ¡of ¡the ¡largest ¡organiza;ons ¡in ¡the ¡world ¡ • Previously ¡a ¡Regional ¡Technical ¡Consultant ¡for ¡Check ¡Point ¡SoKware ¡and ¡ led ¡over ¡300 ¡network ¡security ¡engineers ¡at ¡Cisco ¡Systems ¡ Confidential Information 5 ¡

  6. Chris Tobkin, CISSP Wher Where ¡ar e ¡are ¡the ¡g e ¡the ¡gap aps? s? • Before, ¡During, ¡AKer ¡ • Protect, ¡Detect, ¡Respond ¡ “In ¡ ¡the ¡ ¡fi fields ¡ ¡of ¡ ¡observa>on ¡ ¡chance ¡ ¡favors ¡ ¡the ¡ ¡prepared ¡ ¡mi mind.” ¡ ¡-­‑ -­‑ ¡ ¡ ¡ ¡ Lo Louis ¡P uis ¡Pas asteur eur Source: ¡2014 ¡Verizon ¡Data ¡Breach ¡Report ¡ 6 ¡ Confidential Information hSp://www.verizonenterprise.com/DBIR/ 2014/ ¡

  7. Chris Tobkin, CISSP Wha What ¡ha t ¡have ¡w e ¡we ¡tried? e ¡tried? Strengthen ¡the ¡ Perimeter ¡ Enterprise ¡ Harden ¡the ¡Endpoint ¡ Monitor ¡Content ¡Moving ¡ ¡ Into ¡and ¡Out ¡of ¡the ¡Enterprise ¡ Increase ¡Sophis:ca:on ¡ ¡ of ¡Iden:ty ¡Management ¡ 16 7 ¡ Confidential Information

  8. Chris Tobkin, CISSP Fl Flying ¡ ¡Blind 8 ¡ Confidential Information

  9. Chris Tobkin, CISSP Getting Lucky with your Network Chris Tobkin, CISSP Confidential Information

  10. Chris Tobkin, CISSP Your ¡ Yo ¡Internal ¡ ¡Network 3850 ¡ Cat4k ¡ Stack(s) ¡ VPC ¡Servers ¡ ACCESS ¡ Internet ¡ ASA ¡ ASR-­‑1000 ¡ San ¡Jose ¡ WAN ¡ CORE ¡ 3560-­‑X ¡ DATACENTER ¡ Cat6k ¡ New ¡York ¡ Atlanta ¡ Flow ¡ Nexus ¡7000 ¡UCS ¡ ¡ 3925 ¡ISR ¡ with ¡Nexus ¡1000v ¡ Informa;on ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡-­‑> ¡NBAD ¡ 1 Confidential Information 0 ¡

  11. Chris Tobkin, CISSP Wha What ¡is ¡NB t ¡is ¡NBAD? D? • Network ¡Behavioral ¡Anomaly ¡Detec;on ¡ • Data ¡source ¡= ¡Network ¡MetaData ¡(NetFlow) ¡ • Probe ¡loca;ons ¡= ¡Core ¡or ¡deeper ¡ • Quan;ty/Metric ¡Centric ¡(not ¡PaSern/Signature ¡Centric) ¡ • Some;mes ¡used ¡to ¡refer ¡to ¡NetFlow ¡Security ¡Tools ¡ • A ¡method ¡of ¡gaining ¡Visibility ¡and ¡Awareness ¡to ¡internal ¡ network ¡ac;vi;es ¡ 11 ¡ Confidential Information

  12. Chris Tobkin, CISSP NB NBAD ¡Op AD ¡Op>on ons • OSS ¡NBAD ¡-­‑ ¡ ¡SilK/PySiLK ¡ • Commercial: ¡ • Arbor ¡PeakFlow ¡ • IBM ¡Qradar ¡ • Invea-­‑Tech ¡FlowMon ¡ • Lancope ¡StealthWatch ¡ • ManageEngine ¡ • McAfee ¡NTBA ¡ • Plixer ¡Scru;nizer ¡ • ProQSys ¡FlowTraq ¡ • Riverbed ¡Cascade ¡(formerly ¡Mazu) ¡ * ¡For ¡comparison ¡see ¡Gartner ¡Network ¡Behavior ¡Analysis ¡Market ¡December ¡2012 ¡ 12 ¡ Confidential Information (G00245584) ¡

  13. Chris Tobkin, CISSP Networ Ne ork ¡Log k ¡Logging ¡Ba ¡Basics cs • A ¡record; ¡not ¡a ¡sample ¡ • Can ¡only ¡log ¡available ¡data ¡ • Unidirec;onal ¡in ¡nature ¡ • Interface ¡specific ¡ • “Phone ¡record” ¡not ¡“Phone ¡tap” ¡ • Category ¡called ¡“NetFlow” ¡or ¡“Flow” ¡ • Devices ¡with ¡one ¡or ¡more ¡Flow ¡producing ¡interfaces ¡are ¡ “Exporters” ¡ • Exporters ¡cache ¡and ¡forward ¡records ¡to ¡“Collectors” ¡ • Bandwidth ¡of ¡“basic” ¡Flow ¡export ¡is ¡~0.1% ¡of ¡monitored ¡traffic ¡ 13 ¡ Confidential Information

  14. Chris Tobkin, CISSP Ne Networ ork ¡Log k ¡Logging ¡S ¡Standards • NetFlow ¡v9 ¡(RFC-­‑3950) ¡ • IPFIX ¡(RFC-­‑5101) ¡ ¡ • Rebranded ¡NetFlow ¡ • Jflow ¡– ¡Juniper ¡ • Cflowd ¡– ¡Juniper/Alcatel-­‑Lucent ¡ • NetStream ¡– ¡3Com/Huawei ¡ Basic/Common ¡Fields ¡ • Rflow ¡– ¡Ericsson ¡ • AppFlow ¡-­‑ ¡Citrix ¡ 14 ¡ 14 ¡ Confidential Information

  15. Chris Tobkin, CISSP Detec>o De ec>on ¡Me n ¡Metho thods ds • Signature ¡ = ¡Inspect ¡Object ¡against ¡blacklist ¡ • IPS ¡ • An;virus ¡ • Content ¡Filter ¡ • Behavioral ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡blacklist ¡ • Malware ¡Sandbox ¡ • NBAD/UBAD ¡ • HIPS ¡ • SEIM ¡ • Anomaly ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡whitelist ¡ • NBAD/UBAD ¡ 15 ¡ Confidential Information

  16. Chris Tobkin, CISSP Comp mparison ¡ ¡of ¡ ¡Detec>on ¡ ¡Methods Signature ¡ Behavior ¡ Anomaly ¡ Known ¡Exploits ¡ Best ¡ Good ¡ Limited ¡ 0-­‑Day ¡Exploits ¡ Limited ¡ Best ¡ Good ¡ Creden:al ¡Abuse ¡ Limited ¡ Limited ¡ Best ¡ Confidential Information

  17. Chris Tobkin, CISSP Overview ¡ ¡– ¡ – ¡NBAD ¡ ¡Detec>on ¡ ¡Approaches • Signature ¡ • Behavioral ¡ • Anomaly ¡ Confidential Information

  18. Chris Tobkin, CISSP NB NBAD ¡De AD ¡Detec> ec>on on ¡-­‑ ¡S ¡-­‑ ¡Signature e • Segmenta;on ¡Enforcement ¡ • Policy ¡Viola;ons ¡ • C&C ¡Connec;ons ¡ • Pro’s : ¡Certainty ¡can ¡be ¡established; ¡Easy ¡to ¡set ¡up; ¡Deep ¡ visibility ¡(without ¡probes) ¡ • Con’s : ¡Only ¡detects ¡“Known ¡Threats” ¡ Confidential Information

  19. Chris Tobkin, CISSP NB NBAD ¡De AD ¡Detec> ec>on on ¡-­‑ ¡Beh ¡-­‑ ¡Behavi vior oral • Scanning ¡ • SYN ¡Flood ¡ • Flag ¡Sequences ¡ • Suspiciously ¡Long ¡Flow ¡ • Worm ¡Propaga;on ¡ • Pro’s : ¡Doesn’t ¡need ¡to ¡know ¡exploit ¡ • Con’s : ¡Must ¡establish ¡host ¡counters ¡ Confidential Information

  20. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly • Pro’s : ¡Can ¡Catch ¡Sophis;cated/Targeted/Unknown ¡Threats ¡ • Con’s : ¡ • Requires ¡Host ¡and ¡User ¡Profiles ¡ • Requires ¡Specific ¡Baselines/Policies ¡ • Output ¡requires ¡interpreta;on ¡ • Requires ¡massive ¡data ¡collec;on/processing ¡ • Requires ¡Algorithmic ¡Calcula;on ¡ Confidential Information

  21. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Simp mple ¡ ¡Anoma maly 21 ¡ Confidential Information

  22. Chris Tobkin, CISSP Algorithmic ¡Detec>on Abnormal ¡ Internal ¡pivot ¡ connec;ons: ¡ ac;vity: ¡Add ¡ Slow ¡Scanning ¡ Add ¡425,000 ¡ 400,000 ¡ Ac;vity ¡: ¡Add ¡ 325,000 ¡ Host ¡Concern ¡ Index ¡= ¡ 1,150,000 ¡ • Based ¡on ¡knowing ¡normal ¡ • Dependent ¡on ¡raw ¡NetFlow ¡MetaData ¡(mul;ple ¡sources) ¡ • Does ¡not ¡require ¡understanding ¡of ¡aSack ¡ • Output ¡is ¡security ¡indices ¡focused ¡on ¡host ¡ac;vity ¡ • Similar ¡to ¡reputa;on ¡data ¡provided ¡for ¡public ¡addresses, ¡for ¡ your ¡internal ¡hosts ¡ Confidential Information 22 ¡

  23. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly ¡ ¡Types • Service ¡Traffic ¡Threshold ¡Anomaly ¡ • Service ¡Type ¡Anomaly ¡ • Geographic ¡Traffic ¡Anomaly ¡ • Time ¡of ¡Day ¡Anomaly ¡ • Geographic ¡User ¡Anomaly ¡ • Data ¡Hoarding ¡ • Data ¡Disclosure ¡ • Bad ¡Reputa;on ¡ Confidential Information

  24. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Service ¡Traffic ¡Threshold ¡Anomaly ¡ Confidential Information

  25. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Service ¡Type ¡Anomaly ¡ Confidential Information

  26. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Geographic ¡Traffic ¡Anomaly ¡ Confidential Information

  27. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Time ¡of ¡Day ¡Anomaly ¡ Confidential Information

Recommend

Efficient Reinforcement Learning with Hierarchies of Machines by Leveraging Internal Transitions

Efficient Reinforcement Learning with Hierarchies of Machines by Leveraging Internal Transitions

Efficient Reinforcement Learning with Hierarchies of Machines by Leveraging Internal Transitions Aijun Bai* Stuart Russell UC Berkeley/Microsoft Research UC Berkeley

273 views • 16 slides
Listening to the Network: Leveraging Network Flow Telemetry for Security Applications Darren

Listening to the Network: Leveraging Network Flow Telemetry for Security Applications Darren

Listening to the Network: Leveraging Network Flow Telemetry for Security Applications Darren Anstee EMEA Solutions Architect Introduction Security has an increased focus from ALL businesses, whether they are an enterprise, ISP, IDC or

926 views • 60 slides
Leveraging ICN In-network Control for Loss Detection and Recovery in Wireless Mobile networks

Leveraging ICN In-network Control for Loss Detection and Recovery in Wireless Mobile networks

Leveraging ICN In-network Control for Loss Detection and Recovery in Wireless Mobile networks Giovanna Carofiglio, Luca Muscariello, Michele Papalini, Natalya Rozhnova, Xuan Zeng Cisco, SystemX,UPMC September 25, 2016 1 5G Network

366 views • 23 slides
NetStore Leveraging Network Optimizations to Improve Distributed Transaction Processing

NetStore Leveraging Network Optimizations to Improve Distributed Transaction Processing

NetStore Leveraging Network Optimizations to Improve Distributed Transaction Processing Performance Xu Cui , Michael Mior, Bernard Wong, Khuzaima Daudjee, Sajjad Rizvi ACTIVE Workshop @ Middleware 2017 Las Vegas, NV, USA December 12, 2017

623 views • 38 slides
HOW DO WE GET THERE Leveraging public and private resources to create a premier urban trail network

HOW DO WE GET THERE Leveraging public and private resources to create a premier urban trail network

HOW DO WE GET THERE Leveraging public and private resources to create a premier urban trail network surrounding the core of Dallas that is linked together by a 50-mile dedicated hike and bike loop. Partnering with elected officials,

404 views • 23 slides
FDC3: Leveraging the Network Effect Bhavesh Desai Head of UI @ Adaptive Who am I? My history

FDC3: Leveraging the Network Effect Bhavesh Desai Head of UI @ Adaptive Who am I? My history

FDC3: Leveraging the Network Effect Bhavesh Desai Head of UI @ Adaptive Who am I? My history Started as a software developer in Cape Town, SA Have worked in the finance industry for 15+ years Everything from Delphi and ASP, WPF and

539 views • 16 slides
Leveraging IP for Sensor Network Deployment Simon Duquennoy, Niklas Wirstr om, Nicolas

Leveraging IP for Sensor Network Deployment Simon Duquennoy, Niklas Wirstr om, Nicolas

Leveraging IP for Sensor Network Deployment Simon Duquennoy, Niklas Wirstr om, Nicolas Tsiftes, Adam Dunkels IP+SN Workshop, Chicago, IL April 11th 2011 Incremental Sensornet Deployment Target deployments Heterogeneous networks

487 views • 16 slides
Leveraging HP Network Node Manager and xMatters to Transform Organizational Responsiveness

Leveraging HP Network Node Manager and xMatters to Transform Organizational Responsiveness

CLIENT CASE STUDY AAA OF NORTHERN CALIFORNIA 1 Leveraging HP Network Node Manager and xMatters to Transform Organizational Responsiveness Maurice Montoya, Senior Systems Architect/Engineer Suzanne Eden, Manager Enterprise Systems

453 views • 11 slides
4 Steps to Building and Leveraging Your LinkedIn Network to Accelerate Your Job Search Phaedra

4 Steps to Building and Leveraging Your LinkedIn Network to Accelerate Your Job Search Phaedra

4 Steps to Building and Leveraging Your LinkedIn Network to Accelerate Your Job Search Phaedra Brotherton, JCTC, CPRW, CDF Principal, Resumes and Career Strategies www.resumesandcareerstrategies.com Why LinkedIn? LinkedIn is the top social

311 views • 27 slides
TurboEPC: Leveraging Network Programmability to Accelerate the Mobile Packet Core Rinku Shah ,

TurboEPC: Leveraging Network Programmability to Accelerate the Mobile Packet Core Rinku Shah ,

TurboEPC: Leveraging Network Programmability to Accelerate the Mobile Packet Core Rinku Shah , Vikas Kumar, Mythili Vutukuru, Purushottam Kulkarni Department of Computer Science & Engineering Indian Institute of Technology Bombay ACM SIGCOMM

516 views • 23 slides
Leveraging the Social Breadcrumbs 2 Social Network Service Important part of Web 2.0

Leveraging the Social Breadcrumbs 2 Social Network Service Important part of Web 2.0

Leveraging the Social Breadcrumbs 2 Social Network Service Important part of Web 2.0 People share a lot of data through those sites They are of different kind of media Uploaded to be seen by other people Somehow read-once

840 views • 35 slides
Coding the Ian Foster 1 "When the network is as fast as the computers internal links,

Coding the Ian Foster 1 "When the network is as fast as the computers internal links,

Coding the Ian Foster 1 "When the network is as fast as the computers internal links, the machine disintegrates across the net into a set of special- purpose appliances. -- George Gilder, 2001 2 "When the network is as fast

688 views • 50 slides
Building a LinkedIn Profile & Leveraging it to Network USM Career & Employment Hub

Building a LinkedIn Profile & Leveraging it to Network USM Career & Employment Hub

Career & Employment Hub Building a LinkedIn Profile & Leveraging it to Network USM Career & Employment Hub Career & Employment Hub Learning Objectives Describe the importance of using LinkedIn (LI) as a social media tool

569 views • 31 slides
A First Step Towards Leveraging Commodity Trusted Execu;on

A First Step Towards Leveraging Commodity Trusted Execu;on

A First Step Towards Leveraging Commodity Trusted Execu;on Environments for Network Applica;ons Seongmin Kim Youjung Shin Jaehyung Ha

419 views • 28 slides
Leveraging Technology to Address the Opioid Crisis Presentation Goals Define the problem

Leveraging Technology to Address the Opioid Crisis Presentation Goals Define the problem

Leveraging Technology to Address the Opioid Crisis Presentation Goals Define the problem Frame the Discussion Discuss OTP Operations HIE Tie-In Centralized State Registry Discuss our experience with internal Data Management

253 views • 14 slides
Internal Audit Professionals & Internal Audit Students Pizza Mingle! Managing the Internal

Internal Audit Professionals & Internal Audit Students Pizza Mingle! Managing the Internal

Internal Audit Professionals & Internal Audit Students Pizza Mingle! Managing the Internal Audit Function Sponsored by: The Austin Chapter of the Institute of Internal Auditors, Academic Relations Committee Slide 1 Managing The Internal

722 views • 12 slides
Internal Load Balancing in 5 mins Deliver scalable and resilient internal-only services on GCP

Internal Load Balancing in 5 mins Deliver scalable and resilient internal-only services on GCP

Internal Load Balancing in 5 mins Deliver scalable and resilient internal-only services on GCP Google Cloud Load Balancing HTTP(S) Load SSL proxy Global Balancing Network TCP/UDP Internal TCP/UDP Regional Load Balancing Load Balancing

538 views • 18 slides
Leveraging Informatics in Pragmatic Research: Initial Experience in PCORnet Russell L. Rothman MD

Leveraging Informatics in Pragmatic Research: Initial Experience in PCORnet Russell L. Rothman MD

Leveraging Informatics in Pragmatic Research: Initial Experience in PCORnet Russell L. Rothman MD MPP Professor, Internal Medicine, Pediatrics and Health Policy Vice President, Population Health Research Director, Center for Health Services

469 views • 44 slides
Assessment Leadership: Leveraging Performance-Based Assessments for Deeper Lea rning Presented by

Assessment Leadership: Leveraging Performance-Based Assessments for Deeper Lea rning Presented by

William & Mary Assessment Leadership: Leveraging Performance School-University Resource Network Assessments for Deeper Learning Assessment Leadership: Leveraging Performance-Based Assessments for Deeper Lea rning Presented by Christopher

961 views • 39 slides
Regulatory role in the European Network Codes Philip Newsome CER TITRE Framework Guidelines

Regulatory role in the European Network Codes Philip Newsome CER TITRE Framework Guidelines

Regulatory role in the European Network Codes Philip Newsome CER TITRE Framework Guidelines & Network Codes 24 October 2012 The Internal Market ACERs Role . ACER is responsible for delivering the Internal Market. CER and UR input .

115 views • 8 slides
Leveraging Citize n Sc ie nc e and the Inte rne t of T hing s to create a statewide community

Leveraging Citize n Sc ie nc e and the Inte rne t of T hing s to create a statewide community

Leveraging Citize n Sc ie nc e and the Inte rne t of T hing s to create a statewide community monitoring network. Calvin Cupini, Clean Air Carolina, Charlotte, NC Brian Magi, Department of Geography and Earth Sciences, UNC Charlotte ASIC

428 views • 41 slides
Internal Controls A short presentation from Your Internal Audit Department The Old Internal

Internal Controls A short presentation from Your Internal Audit Department The Old Internal

Internal Controls A short presentation from Your Internal Audit Department The Old Internal Audit Department The New Internal Audit Department Were here to help! Teach + Train = Change Our goal: Promote effective, efficient and

205 views • 19 slides
T echBrief Leveraging Redundancy to Leveraging Redundancy to Build Fault-T olerant Networks

T echBrief Leveraging Redundancy to Leveraging Redundancy to Build Fault-T olerant Networks

T echBrief Leveraging Redundancy to Leveraging Redundancy to Build Fault-T olerant Networks Introduction The high demands of e-commerce and Internet applications have required networks to exhibit the same reliability as the public switched

411 views • 8 slides
SEM Network Code Forum Operational Network Codes Sam Matthews 1 st July 2014 Operational Network

SEM Network Code Forum Operational Network Codes Sam Matthews 1 st July 2014 Operational Network

SEM Network Code Forum Operational Network Codes Sam Matthews 1 st July 2014 Operational Network Codes Still waiting on Comitology for OS, OPS, LFCR Internal assessment work on implementing Network Code Emergency & Restoration

489 views • 37 slides

More recommend