Chris Tobkin, CISSP Leveraging Your Network for Internal Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information
Chris Tobkin, CISSP Speeding up Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information
Chris Tobkin, CISSP Finding Out of Bounds Security Events Chris Tobkin, CISSP Confidential Information
Chris Tobkin, CISSP Getting Lucky with your Network Chris Tobkin, CISSP Confidential Information
Chris Tobkin, CISSP Ch Chris ¡T ¡Tob obki kin, ¡CIS ¡CISSP P • >15 ¡years ¡of ¡Technical ¡Security ¡experience ¡ • Experience ¡in ¡programming, ¡applica;on ¡ ¡ development, ¡OS ¡and ¡DB ¡administra;on, ¡desktop ¡& ¡ ¡ server ¡security, ¡network ¡security, ¡penetra;on ¡tes;ng, ¡ ¡ policy ¡development, ¡and ¡social ¡engineering ¡ • Author ¡of ¡mul;ple ¡books ¡on ¡Network ¡Security ¡ • Advised ¡some ¡of ¡the ¡largest ¡organiza;ons ¡in ¡the ¡world ¡ • Previously ¡a ¡Regional ¡Technical ¡Consultant ¡for ¡Check ¡Point ¡SoKware ¡and ¡ led ¡over ¡300 ¡network ¡security ¡engineers ¡at ¡Cisco ¡Systems ¡ Confidential Information 5 ¡
Chris Tobkin, CISSP Wher Where ¡ar e ¡are ¡the ¡g e ¡the ¡gap aps? s? • Before, ¡During, ¡AKer ¡ • Protect, ¡Detect, ¡Respond ¡ “In ¡ ¡the ¡ ¡fi fields ¡ ¡of ¡ ¡observa>on ¡ ¡chance ¡ ¡favors ¡ ¡the ¡ ¡prepared ¡ ¡mi mind.” ¡ ¡-‑ -‑ ¡ ¡ ¡ ¡ Lo Louis ¡P uis ¡Pas asteur eur Source: ¡2014 ¡Verizon ¡Data ¡Breach ¡Report ¡ 6 ¡ Confidential Information hSp://www.verizonenterprise.com/DBIR/ 2014/ ¡
Chris Tobkin, CISSP Wha What ¡ha t ¡have ¡w e ¡we ¡tried? e ¡tried? Strengthen ¡the ¡ Perimeter ¡ Enterprise ¡ Harden ¡the ¡Endpoint ¡ Monitor ¡Content ¡Moving ¡ ¡ Into ¡and ¡Out ¡of ¡the ¡Enterprise ¡ Increase ¡Sophis:ca:on ¡ ¡ of ¡Iden:ty ¡Management ¡ 16 7 ¡ Confidential Information
Chris Tobkin, CISSP Fl Flying ¡ ¡Blind 8 ¡ Confidential Information
Chris Tobkin, CISSP Getting Lucky with your Network Chris Tobkin, CISSP Confidential Information
Chris Tobkin, CISSP Your ¡ Yo ¡Internal ¡ ¡Network 3850 ¡ Cat4k ¡ Stack(s) ¡ VPC ¡Servers ¡ ACCESS ¡ Internet ¡ ASA ¡ ASR-‑1000 ¡ San ¡Jose ¡ WAN ¡ CORE ¡ 3560-‑X ¡ DATACENTER ¡ Cat6k ¡ New ¡York ¡ Atlanta ¡ Flow ¡ Nexus ¡7000 ¡UCS ¡ ¡ 3925 ¡ISR ¡ with ¡Nexus ¡1000v ¡ Informa;on ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡-‑> ¡NBAD ¡ 1 Confidential Information 0 ¡
Chris Tobkin, CISSP Wha What ¡is ¡NB t ¡is ¡NBAD? D? • Network ¡Behavioral ¡Anomaly ¡Detec;on ¡ • Data ¡source ¡= ¡Network ¡MetaData ¡(NetFlow) ¡ • Probe ¡loca;ons ¡= ¡Core ¡or ¡deeper ¡ • Quan;ty/Metric ¡Centric ¡(not ¡PaSern/Signature ¡Centric) ¡ • Some;mes ¡used ¡to ¡refer ¡to ¡NetFlow ¡Security ¡Tools ¡ • A ¡method ¡of ¡gaining ¡Visibility ¡and ¡Awareness ¡to ¡internal ¡ network ¡ac;vi;es ¡ 11 ¡ Confidential Information
Chris Tobkin, CISSP NB NBAD ¡Op AD ¡Op>on ons • OSS ¡NBAD ¡-‑ ¡ ¡SilK/PySiLK ¡ • Commercial: ¡ • Arbor ¡PeakFlow ¡ • IBM ¡Qradar ¡ • Invea-‑Tech ¡FlowMon ¡ • Lancope ¡StealthWatch ¡ • ManageEngine ¡ • McAfee ¡NTBA ¡ • Plixer ¡Scru;nizer ¡ • ProQSys ¡FlowTraq ¡ • Riverbed ¡Cascade ¡(formerly ¡Mazu) ¡ * ¡For ¡comparison ¡see ¡Gartner ¡Network ¡Behavior ¡Analysis ¡Market ¡December ¡2012 ¡ 12 ¡ Confidential Information (G00245584) ¡
Chris Tobkin, CISSP Networ Ne ork ¡Log k ¡Logging ¡Ba ¡Basics cs • A ¡record; ¡not ¡a ¡sample ¡ • Can ¡only ¡log ¡available ¡data ¡ • Unidirec;onal ¡in ¡nature ¡ • Interface ¡specific ¡ • “Phone ¡record” ¡not ¡“Phone ¡tap” ¡ • Category ¡called ¡“NetFlow” ¡or ¡“Flow” ¡ • Devices ¡with ¡one ¡or ¡more ¡Flow ¡producing ¡interfaces ¡are ¡ “Exporters” ¡ • Exporters ¡cache ¡and ¡forward ¡records ¡to ¡“Collectors” ¡ • Bandwidth ¡of ¡“basic” ¡Flow ¡export ¡is ¡~0.1% ¡of ¡monitored ¡traffic ¡ 13 ¡ Confidential Information
Chris Tobkin, CISSP Ne Networ ork ¡Log k ¡Logging ¡S ¡Standards • NetFlow ¡v9 ¡(RFC-‑3950) ¡ • IPFIX ¡(RFC-‑5101) ¡ ¡ • Rebranded ¡NetFlow ¡ • Jflow ¡– ¡Juniper ¡ • Cflowd ¡– ¡Juniper/Alcatel-‑Lucent ¡ • NetStream ¡– ¡3Com/Huawei ¡ Basic/Common ¡Fields ¡ • Rflow ¡– ¡Ericsson ¡ • AppFlow ¡-‑ ¡Citrix ¡ 14 ¡ 14 ¡ Confidential Information
Chris Tobkin, CISSP Detec>o De ec>on ¡Me n ¡Metho thods ds • Signature ¡ = ¡Inspect ¡Object ¡against ¡blacklist ¡ • IPS ¡ • An;virus ¡ • Content ¡Filter ¡ • Behavioral ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡blacklist ¡ • Malware ¡Sandbox ¡ • NBAD/UBAD ¡ • HIPS ¡ • SEIM ¡ • Anomaly ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡whitelist ¡ • NBAD/UBAD ¡ 15 ¡ Confidential Information
Chris Tobkin, CISSP Comp mparison ¡ ¡of ¡ ¡Detec>on ¡ ¡Methods Signature ¡ Behavior ¡ Anomaly ¡ Known ¡Exploits ¡ Best ¡ Good ¡ Limited ¡ 0-‑Day ¡Exploits ¡ Limited ¡ Best ¡ Good ¡ Creden:al ¡Abuse ¡ Limited ¡ Limited ¡ Best ¡ Confidential Information
Chris Tobkin, CISSP Overview ¡ ¡– ¡ – ¡NBAD ¡ ¡Detec>on ¡ ¡Approaches • Signature ¡ • Behavioral ¡ • Anomaly ¡ Confidential Information
Chris Tobkin, CISSP NB NBAD ¡De AD ¡Detec> ec>on on ¡-‑ ¡S ¡-‑ ¡Signature e • Segmenta;on ¡Enforcement ¡ • Policy ¡Viola;ons ¡ • C&C ¡Connec;ons ¡ • Pro’s : ¡Certainty ¡can ¡be ¡established; ¡Easy ¡to ¡set ¡up; ¡Deep ¡ visibility ¡(without ¡probes) ¡ • Con’s : ¡Only ¡detects ¡“Known ¡Threats” ¡ Confidential Information
Chris Tobkin, CISSP NB NBAD ¡De AD ¡Detec> ec>on on ¡-‑ ¡Beh ¡-‑ ¡Behavi vior oral • Scanning ¡ • SYN ¡Flood ¡ • Flag ¡Sequences ¡ • Suspiciously ¡Long ¡Flow ¡ • Worm ¡Propaga;on ¡ • Pro’s : ¡Doesn’t ¡need ¡to ¡know ¡exploit ¡ • Con’s : ¡Must ¡establish ¡host ¡counters ¡ Confidential Information
Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly • Pro’s : ¡Can ¡Catch ¡Sophis;cated/Targeted/Unknown ¡Threats ¡ • Con’s : ¡ • Requires ¡Host ¡and ¡User ¡Profiles ¡ • Requires ¡Specific ¡Baselines/Policies ¡ • Output ¡requires ¡interpreta;on ¡ • Requires ¡massive ¡data ¡collec;on/processing ¡ • Requires ¡Algorithmic ¡Calcula;on ¡ Confidential Information
Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Simp mple ¡ ¡Anoma maly 21 ¡ Confidential Information
Chris Tobkin, CISSP Algorithmic ¡Detec>on Abnormal ¡ Internal ¡pivot ¡ connec;ons: ¡ ac;vity: ¡Add ¡ Slow ¡Scanning ¡ Add ¡425,000 ¡ 400,000 ¡ Ac;vity ¡: ¡Add ¡ 325,000 ¡ Host ¡Concern ¡ Index ¡= ¡ 1,150,000 ¡ • Based ¡on ¡knowing ¡normal ¡ • Dependent ¡on ¡raw ¡NetFlow ¡MetaData ¡(mul;ple ¡sources) ¡ • Does ¡not ¡require ¡understanding ¡of ¡aSack ¡ • Output ¡is ¡security ¡indices ¡focused ¡on ¡host ¡ac;vity ¡ • Similar ¡to ¡reputa;on ¡data ¡provided ¡for ¡public ¡addresses, ¡for ¡ your ¡internal ¡hosts ¡ Confidential Information 22 ¡
Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly ¡ ¡Types • Service ¡Traffic ¡Threshold ¡Anomaly ¡ • Service ¡Type ¡Anomaly ¡ • Geographic ¡Traffic ¡Anomaly ¡ • Time ¡of ¡Day ¡Anomaly ¡ • Geographic ¡User ¡Anomaly ¡ • Data ¡Hoarding ¡ • Data ¡Disclosure ¡ • Bad ¡Reputa;on ¡ Confidential Information
Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-‑ -‑ ¡ ¡Anoma maly • Service ¡Traffic ¡Threshold ¡Anomaly ¡ Confidential Information
Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-‑ -‑ ¡ ¡Anoma maly • Service ¡Type ¡Anomaly ¡ Confidential Information
Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-‑ -‑ ¡ ¡Anoma maly • Geographic ¡Traffic ¡Anomaly ¡ Confidential Information
Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-‑ -‑ ¡ ¡Anoma maly • Time ¡of ¡Day ¡Anomaly ¡ Confidential Information
Recommend
More recommend