Cisco Self Defending Networks Schutz v o n Stun d e 0 a n! Michael Schwäm m lein I n t er n et wo r k in g C o n s u lt an t C is co Sy s t em s G m b H 1 1

Agenda Einfüh r u ng in S e c u r it y S D N S t r a t e g ie S D N D ie näc h s t e P h a s e : S t u nd e 0 S e c u r it y M a na g e m e nt Z u s a m m e nfa s s u ng 2 2

Einfüh ru ng in S e c u rit y 3 3

E i nf üh r u ng i n S ec u r i t y D a s J a hr i m Rück b l i ck : Wür m e r, V i r e n, Sp a m,. Wür m e r, Wür m e r, u nd no c h m e h r Wür m e r B l a s t e S a p h e S a s s e M y D o o m, u d g a e B a e r, r, r, nd ie nz nd D a s e ig e ne S y s t e m a l s Wa ffe E-m a il A nh a ng a l s Türöffne r für Würm e r u nd V ire n A ng r iff a u f d ie Wir t s c h a ft M y D o o m V iru s l e g t d ie G e s c h äft s p ro z e s s e l a h m (S C O, D e u t s c h e P o s t, ) 4 4

E i nf üh r u ng i n S ec u r i t y Se cur i ty ha t s i ch g e än d e r t I n d e n g u t e n a l t e n Ta g e n S e c u rit y w a r w ic h t ig, a b e r (re l a t iv ) e infa c h F ire w a l l s w a re n d ie b e k a nnt e n We rk z e u g e P e rim e t e r D e fe ns e w a r d ie w ic h t ig s t e S t ra t e g ie S e c u rit y A nfo rd e ru ng e n w u rd e n a l s B a rrie re für d e n Eins a t z v ie l e r A p p l ik a t io ne n a ng e s e h e n S e c u rit y d a s u ng e l ie b t e K ind v s. 5 5

E i nf üh r u ng i n S ec u r i t y Se cur i ty ha t s i ch g e än d e r t Und j e t z t S e c u ri t y i s t de r H a u p t g e da nk e für a l l e B e t e i l i g t e n B e dro h u ng e n s i nd v i e l k o mp l e x e r g e w o rde n S i c h e e i t s s y s t e s e w e s e l i c h e l l i g e e s e i rh me müs n nt i nt nt r n D e fe ns e in D e p t h i s t di e w i c h t i g s t e S t ra t e g i e g e w o rde n S e c u ri t y g i l t i nz w i s c h e n a l s G ru nda nfo rde ru ng i n de r E nt w i c k l u ng v o n A p p l i k a t i o ne n v s. 6 6

M a E v o l u t i o n der S i c h er h ei t s anf o r der u ngen VV ee rg aa ng ee nh ee it NN oo tt ww ee nd ig ee M a ßna hh mm ee n Reaktiv A u to matis c h, P r o aktiv, E in z elp r o d u kte P r o d u ktp o s itio n ier u n g I n teg r ier t üb er alle S c h ic h ten Lös u n g s d es ig n / M n g. S ec. S er vic e Üb b ee rr gg rr ee ii ff ee nn dd ee rr Lös s un gg ss aa nn ss aa tz Se ll f f DD ee ff ee nn dd ii nn g g NN ee tw oo rr kk 7 7

S D N S t ra t e g ie 8 8

S el f D ef endi ng N et w o r k S t r at egi e I N T E G RA T E D S E C U RI T Y Secure C onnectiv ity T h rea t D ef ens e T rus t & I dentity A u to mated, P r o ac tive II nn itiative AA n n in itiative zz uu r r VV er to bb es d d rr amatic ss er uu nn g g ally dd er NN etz imp ww er rr kf o o ve äh th ig keiten e nn etw,, oo BB rr ed k s rr ooab hh uility u nn gg en zz u u er to ken id nnen en tif,, y zy z, u, u pp ver rr even hh in t, dd er an n n d d uu nn d d ss ic h h ddad er ap nn eu t to en th rrss eats itu atio n n an zz uu pp as ss en A D V A N C E D S E C U RI T Y T E C H N O LO G I E S Endpoint Security A ppl ica tion F irew a l l SSL V P N N etw ork A nom a l y D etection S Y S T E M LE V E L S O LU T I O N S Endpoints + N etw + P ol icies Serv ices P a rtners h ips ork s 9 9

C i s co s I n te g r i e r te s N e tzw e r k s i che r he i ts s y s te m Threat Defense Defend the Edge: Integrated Network FW+IPS Detects and Prevents External Attacks P r o tec t the I nter i o r : C atal y s t Integrated Sec u ri ty Pro tects Ag ai nst I nternal Attacks G u a r d the Endp o i nts : C i s c o Sec u ri ty A gent ( C SA ) Pro tects H o sts Ag ai nst I nf ecti o n I nter net I ntr a net Trust and I de nti ty V er i fy the U s er a nd Dev i c e: Identi ty -B as ed Networki ng/ NA C C o ntro l W h o / W h at H as Access Si Si S e c ure C o m m. S u r T r a p o r M V o i C o i ec e the ns t: IPSec VPN SSL VPN PL S Pro tects Data/ ce nf denti ali ty 10 10

5 E i g e n s c h a f t e n e i n e s S e l f -D e f e n d i n g N e t w o r k s K o n tr o lle d er E n d p u n kte an h an d d er P o lic y N etw o r k A dm i s s i o n C o ntr o l, I denti ty B a s ed N etw o r k S er v i c es, S S L Dev i c e P r o tec ti o n S c h u tz d er N etz w er kko mp o n en ten C o o l P l a P o l i c i A u u r C P U M o r y T l s i c P r o k o l l ntr ne ng, to -S ec e, em hr es ho di ng, her e to e F lex ib le u n d S ic h er e V er b in d u n g en Dy na m i c M u l ti p o i nt V P N, V L A N D y n amis c h er D aten au s tau s c h E lemen te ein z eln er N etfl o w, N etw o r k B a s ed A p p l i c a ti o n R ec o gni ti o n (N B A R ), Dy na m i c I ntr u s i o n P r o tec ti o n, T hr ea t R es p o ns e, A r e Y o u T her e? A u to matis c h e Reaktio n au f B ed r o h u n g en C i s c o S u r i A N o r k A m a l y o i v N I ec ty gent, etw no Detec ti n (R er hea d), DS 11 11

SDN Di e näc h s t e P h a s e 12 12

O Stän d i g k l e i n e r w e r d e n d e R e a k ti o n s f e n s te r Vu l nerab V iel i tyi D i s c ov ered P EPatc PI h Is s u ed Patc E h ExI p l oi t Is s u ed Pu b l i s h ed Inc i dent Ex p l oi t c c u Pu rs b l i s h ed Inc i dent O c c u rs O p e rati o n S l o t (#vulnerability & resources) B l as ter: 2 5 N ach i : 1 5 1 Wenn Sl am m er: d 1 er 8 0 E x p l o i t v o w r i deem w o lp l en a t c S h i e d a en u f tv r io t t r f a l l v er h i nd er n, N imd s el b a: s t3 3 1 T ag e b ei m a x i m a l er A ns t r eng u ng? Day-Zero Attack 13 13

D a y Z e r o Sc h u tz C is c o d ef in ier t H o s t-b as ed I n tr u s io n P r even tio n als d ie F äh ig keit, D ay z er o malic io u s C o d es o h n e N eu ko n f ig u r atio n o d er U p d ates z u s to p p en C S A h at d ie w eltw eit b es te au f g ez eic h n ete U n ter b in d u n g vo n Z er o D ay ex p lo its, Wür mer n, u n d V ir en üb er d ie letz ten 4 J ah r e: 2 0 0 1 C o de R ed, N i m da (a l l e 5 ex p l o i ts ), P enta go ne (G o nner ) 2 0 0 2 S i r c a m, Deb p l o i t, S Q L S na k e, B u gb ea r, 2 0 0 3 S Q L S l a m m er, S o B i g, B l a s ter / W el c hi a, F i z z er 2 0 0 4 M y Do o m, B a gl e, S a s s er, J P EG b r o w s er ex p l o i t (M S 0 4-0 2 8 ), R P C - DC O M ex p l o i t (M S 0 3-0 3 9 ), B u ffer O v er fl o w i n W o r k s ta ti o n s er v i c e (M S 0 3-0 4 9 ) 2 0 0 5 I nter net Ex p l o r er C o m m a nd Ex ec u ti o n V u l ner a b i l i ty K ein e N eu ko n f ig u r atio n d er C S A D ef au lt E in s tellu n g en o d er U p d ates z u d en C S A B in ar ies s in d d af ür n ötig 14 14

C i s c o Se c u r i ty A g e n t ( C SA ) R e g e l b a s i e r te s V e r f a h r e n, Z e r o U p d a te R e g e l b a s i e r e n d ( w h i t e l i s t ) K E I N E S i g n a t u r -U p d a t e s n o t w e n d i g Z e n t r a l e I n s t a l l a t i o n u n d L i z e n s i e r u n g Erstes Auftreten T i m eli ne C C S S A g g esc esc h h ütz ütz tt D D a a y y -Z -Z ero ero P P ro ro tec tec ti ti o o n 15 15

CSA: m e h r f a c h e Si c h e r h e i t s -F u n k t i o n a l i t ät e n P e r s o n a l F i r e w a l l S y s t e m H a r d e n i n g A p p l i c a t i o n P o l i c y E n f o r c e m H o s t b a s e d I D S / I P S M a l i c i o u s C o d e P r o t e c t i o n F i l e I n t e g r i t y e n t 16 16

C i s c o Se c u r i ty A g e n t ( C SA ) Regelbasierender S c h u t z v o r A ngrif f en 1. L earn ab ou t th e s y s tem 2. T ry i ng v ari ou s v u l nerab i l i ti es Sc h nel l e Änderu ng Ständi ge SIG -U p dates T ei l wei s e u ngenau gegenüb er neu en A ngri ffen T arget 3. C reate b ac kdoors 4. Ex tend attac k to oth er s y s tem s 5. D os, get i nform ati on Sc h adens p otenti al Ändern s i c h s eh r l angs am Ins p i rati on für C SA 17 17

W i e d e r C SA A n g i f f e s to p p t A lle A n g r if f e müs s en b es timmte V er h alten s w eis en f o lg en u m er f o lg r eic h z u s ein : Der A n g ri f f c o d e m u s s i n d er Z i el -C P U a u s g ef üh rt w erd en B u f f er o v erf l o w, ex ec u t e s h el l s c ri p t s, d o w n l o a d u n d ex ec u t e c o d e, u.a. D a es n u r ein e b eg r en z te Z ah l vo n Weg en in ein S y s tem vo m N etz w er k au s g ib t, w er d en ein e o d er meh r er e d ies er V er h alten s w eis en vo n d en A n g r if f en ver w en d et D ie Üb er w ac h u n g u n d K o n tr o lle d ies es S c h lüs s elver h alten s läß t d en C S A A n g r if f e b lo c kier en Weil alle A n g r if f e d ie g leic h en w eg e b en u tz en müs s en, is t d er C S A s eh r ef f ektiv b eim S to p p en vo n b ekan n ten u n d u n b ekan n ten ( D ay Z er o ) A n g r if f en 18 18

C SA - I N C O R E A r c h i te c tu r e Der C i s c o S ec u ri t y A g en t c h ec k t d i e S y s t em a u f ru f e u n d en t s c h ei d et m i t a l l o w / d en y R eg el n, o b d er A u f ru f g es t a t t et i s t o d er n i c h t. Di es e T ec h o l o g i e h ei ßt I N C O R E I N C O RE I N t erc ep t C O rrel a t e Ru l es En g i n e Z ero U p d a t e A rc h i t ek t u r K ei n e S i g n a t u ren n o t w en i g u m ei n en A n g ri f f erf o l g rei c h a b z u w eh ren! 19 19

C G C SA - V e r te i l u n g d e r P o l i c i e s üb e r P U L L - A n s a tz eneri eru ng der A gent K i ts Ins tal l ati on der K i ts ( m i t Z erti fi kat) C S AM CA Agent Kits R egi s tri eru ng u nd PU L L der Pol i c y v i a SSL SSL Agent CA SSL CA CA CA CA Agent Agent Agent Agent 20 20

Netzwerk: O u tb rea k P rev en ti o n S erv i c e Adressiert den w ic h tig sten T eil ein es L eb en sz y k l u ses v o n V iren u n d Würm ern : O u tb rea k P rev en tio n Sehr s c hn el l R ea k t i o n a u f n eu e Au sb rüc h e w irk t g eg en b eides: Würm er u n d V iren S y stem -l ev el An sa tz : C isc o I n fra stru k tu r üb erg reifen d G a u K o n l l l l a n n P o l y M w r s s g r b en e tro e der in sta tio ein er eu en ic Automatic mode an ual mode ith comp eh en iv e con tr ol ov er ev en ts an d ex cep tion on a dev ices or oup as is E rw eiteru n g der C isc o S el f-d efen din g N etw o rk I n itia tiv e 21 21

O O O O O O O u tb rea k P rev en ti o n S erv i c e Schnelle R ea k t i o n a u f neu e V i r en u nd Wür m er Die ein z el n en B es t a n d t eil e: TrendLabs w el t w ei t es real -t i m e M o ni t o ri ng u nd S i g nat u renent w i c k l u ng st eam S o ft w are: C i sc o I nc i dent C o nt ro l S erv er ( I C S ) H i l fsm i t t el für di e A dm i ni st rat i o n u nd das A u sro l l en v o n V i ren u nd Würm ern bez o g enen Lösu ng en Z i el si nd N et z w erk g erät e, di e di esen S erv i c e z u r V erfüg u ng st el l en T r end L a b s O u t b r e a k & t h r e a t i n f o r m a t i o n h r e a t l e v e l e t a i l e d d e s c r i p t i o n y p i c a l i m p a c t / v e c t o r s e c o m m e n d e d O P T D T R ACL P o l i c y / e x c e p t i o n s M a n u a l o r a u t o m a t i c F u l l c o n t r o l : D e v i c e s, g r o u p s, e t c. R e c o m m e n d e d o r m o d i f i e d O P ACL Ca t a l y s t 6 5 0 0 I P S B l a d e M a l w a r e O u tb r ea k! t= 0 P ACL P S i g P AC L t= 3 0 m i n m a x / 1 5 ty p Cisco Incident Contr ol S er v er ( ICS ) P ACL P S i g P S i g t= 1 2 0 m i n m a x / 6 0 ty p Ca t a l y s t R o u t e r I P S 4 2 0 0 S e r i e s R o u t e r I P S i n S o f t w a r e AS A 5 5 0 0 I P S B l a d e 22 22

Outbreak Prevention Service Service T y p en Zwei L ev el v o n O P S S er v ic e b a s ier en d a u f d en F u n k t io n a l it ät en d es en t s p r ec h en en G er ät es L ev el I S o l u tio n : O P AC L a u f I O S dev ic es O u k P n L ( O P L ) w n a l b v o n 3 0 m. ( ~ 1 5 p. ) n a c h l c h v o n T a b p u b l tb rea rev en tio AC AC ird in erh in ty ein em festg estel ten Au sb ru den ren dl s iz iert Z iel g eräte: R o u ters, S w itc h es O P AC L E x a m p l es: W O R M _ M S B L A S T. A ( T CP P or t 4 4 4 4 ) : deny tcp a ny a ny eq 4 4 4 4 W O R M _ N A CH I. A ( ICM P ) : deny icm p a ny a ny W O R M _ B A G L E. B ( T CP / U D P P or t 8 8 6 6 ) : deny tcp a ny a ny eq 8 8 6 6, deny u dp a ny a ny eq 8 8 6 6 23 23

Outbreak Prevention Service Service T y p en L ev el I I S o l u tio n : O P AC L + O P S ig a u f I P S dev ic es O u k P n L ( O P L ) w n a l b v o n 3 0 m. ( ~ 1 5 p. ) n a c h l c h v o n T a b p u b l tb rea rev en tio AC AC ird in erh in ty ein em festg estel ten Au sb ru den ren dl s iz iert O P AC L w ird en tfern t u n d du rc h ein e O u tb rea k P rev en tio n S ig n a tu r ( O P S ig ) ersetz t. T y p isc h erw eise in n erh a l b v o n c a. 6 0 1 2 0 M in u ten n a c h Au sb ru c h Z iel e der S ig n a tu r: a l l e I P S -en a b l ed G eräte: I P S -4 2 0 0 series sen so rs, I D S M 2 für C a t6 K, I O S R o u ters m it S ec u rity I m a g e ( S W I P S ) 24 24

Outbreak Prevention Service M a n a g em en t & M o n it o rin g S u p p o r t in C S -M A R S S y s l o g c l ien t s u p p o r t f o r u s e wit h o t h er r ep o r t in g t o o l s 25 25

CONVERGED MANAGEMENT, MONITORING, AND RES P ONS E Security Management 26 26 26

Management, Monitoring & P l anu ng Geringe K o m p l ex ität Device Managem ent SS yy stem Managem ent Integriertes, ww eb -b aa sierend es MM aa na gem ent A ll ll -in-o ne KK oo nf igu ra tio n FF W W,, IP S S,, VV PP N N,, AA V V RR ea ll -tim e mm oo nito ring to oo ll s Cisco Device Manager Meh rere PP rod uu kk te integriert in einem Managem ent HH oh e SS kk al ierb ark eit Cisco SS ecu rity Manager Monitoring and Mitigation Mu ll ti-p ll atform EE vent Managem ent and RR esp onse AA uu sgek ll ügel te KK orrel ation Cisco SS ecu rity MA RR SS CiscoW ork s SS II MS AA uu dd iting Üb erp rüfu ng dd er SS ecu rity KK onform ität dd es GG erätes nach II nd uu strie b est pp ractices uu nd RR egu ll arien Cisco SS ecu rity AA uu dd itor 27 27

C is c o D ev ic e Manager Integriert, W eb -b a s iertes M a na gem ent u nd M o nito ring Managem ent u nd Monitoring d er Cisco Lösu ngen V ol l e U nterstütz u ng für d ie K onfigu ration von: - A ccess control - A p p l ication secu rity - A nti-x & attack svcs - V P N p ol icies - R ou ting - A A A u nd m eh r U nterstütz t Monitoring von: - S y sl og ( real -tim e) - Connections - T h rou gh p u t - S y stem statu s & m eh r 28 28 28

C is co Security M anag em ent Suite S ec u rity M a na ger 3. 0 - D ev ic e C entric P o l ic y V iew 29 29

C is co Security M anag em ent Suite S ec u rity M a na ger 3. 0 - M a p C entric V iew B iet et m u l t i-l a y er m a p B iet et G er ät e R ep l ik a t io n O p er a t io n a l e F ea t u r es Config roll back D e p loy A u f r u f a n d er er T o o l s V P N bu ild e r Dep l o y m ent Device Settings V P N F ir ew a l l I P S O th er R u le s t able D e v ice s e t t ings 30 30

W S el f -D ef end ing N etw ork E v ent G eneratoren A t t a c k er V i ru s o rm User S c r ip t K id d ie Z om b ie / DDoS 31 31

Defense-I n-dep th = Höh er e K o m p l ex i tät I nfected H ost Log/ A l ert 32 32

A u f gab e d es S ec -A d min: F irew al l u nd N I D S L ogs S wit c h L o g s F ir ewa l l L o g s R o u t er L o g s I P S L o g s 33 33

C is c o Mitigation and R es p ons e S y s tem ( MA R S ) N u t z u n g d er v o r h a n d en en N et z wer k in f r a s t r u k t u r z u r S ic h er h eit s a n a l y s e D a t en k o r r el l ier u n g im k o m p l et t en N et z N I D S, F ire w all, R ou t e r, S w it ch e s, CS A S y s S N M P, R D E P, S D E E, N e t F, E p e v e log, low nd oint nt logs S c h n el l e L o k a l is ier u n g v o n A n g r if f en u n d E in l eit u n g v o n G eg en m a ßn a h m en K ey F ea t u r es M e ld e t S e cu rit y incidents bas ie re nd au f D ev ice m essa g es, ev ents, u nd sessio ns I w e e h d e T d s t e ncidents rd n grap is ch in r op ologie arge llt G e ge nm aßnah m e n au f L 2 p ort s u nd L 3 G e rät e n S kalie rbarke it au ch in kom p le x e re n U m ge bu nge n 34 34

CS-M A R S: W i e e s f u n k t i o n i e r t? S c h n el l es E r f a s s en v o n u n t er s c h ied l ic h en D a t en : d a t a f l o ws, l o g s, a l er t s, t o p o l o g y D y n a m is c h e R ed u z ier u n g, K o r r el ier u n g u n d Üb er p r üf u n g V is u a l is ier u n g d er p r io r is ier t en, r ea l en V o r f äl l en a u f d er N et z wer k -T o p o l o g iek a r t e A u t o m a t is c h es z en t r a l e I n v es t ig a t io n, A u d it in g u n d R ep o r t in g V h d t u n d s t o p p t A n g r f d u r c h s o g. E n f o r c t d er in er if e em en ev ic es ContextCorrelation S u rev ec tor A naly s is Network, Fw, NAT, Netflow Capture NAT, CVE, Anomaly, Rule Correlate VA, Fw, Sw, Rule Validate Drill-Down Visualize, Prioritize, Investigate Logs, Alerts, Traffic flow Leveraged Mitigation A u tom itig ate Rapid Query, Audit, Report 35 35

CS-M A R S: Üb e r s i c h t u n d K o n t r o l l e 36 36

CS-M A R S: D a t e n k o r r e l i e r u n g Genaue Darstellung des Angriffsweges H o s t A P o r t S c a n s T a r g e t X, f o l l o w e d b y H o s t A B u f f e r O v e r f l o w A t t a c k t o T a r g e t X W h e r e X i s v u l n e r a b l e t o A t t a c k, f o l l o w e d b y T a r g e t X e x e c u t e s p a s s w o r d a t t a c k o n T a r g e t Y 37 37

C S -MA R S : E inl eitu ng v on G egenmaßnah men Nutzung d e r A b w e h r m ögl i c h e i te n i nne r h a l b d e s Ne tzw e r k s Graphische D arstel l u n g path. Geg en m aßn ahm en w erd en au f d em N etz w erk g erät d u rchg ef ührt. d es L ay er 2 3 attack S wit c h C isco M A R S k o n f ig u riert Geg en m aßn ahm en R o u t er F ir ewa l l ] 38 38

CONVERGED MANAGEMENT, MONITORING, AND RES P ONS E Zusammenfassung 39 39 39

Se c u r i t y i s t n i c h t o p t i o n a l! Security Optional Security als Sch w A d d -On ierig e I nteg ration N ich t K os tenef f ek tiv K eine K onz entration auf d ie G es ch äf ts proz es s e Security als T eil eines Sys tem s Security is t eing eb aut I ntellig ente Z us am m enarb eit A b g es tim m t auf d ie G es ch äf ts proz es s e 40 40

41 41