ochrana koncových staníc pomocou cisco security agent [email protected] Ľubomír varga...
TRANSCRIPT
![Page 2: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/2.jpg)
Agenda
• CSA 6.0 – refresh
• Vybrané vlastnosti CSA 6.0
– Application Trust levels
– Notify User Rule Actions
– User Justifications
– Digital Signature Identification
– Automatic Signature Generation
– Data Loss Prevention (DLP)
– Printer Access Control Rule
• Otázky a odpovede
![Page 3: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/3.jpg)
CSA 6.0 - refresh
• HIDS/HIPS
• zabezpečuje ochranu pracovných staníc a serverov
• založený na kontrole správania koncového systému (behavior-based)
• ochrana pred day-zero útokmi
• centrálna správa – Management Center for CSA (CSA MC)– centrálne definovanie politík pre CSA
– centrálne úložisko log záznamov od CSA
– reporting a alerting
![Page 4: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/4.jpg)
Vybrané nové vlastnosti CSA 6.0
• Application Trust levels
• Notify User Rule Actions
• User Justifications
• Digital Signature Identification
• Automatic Signature Generation
• Data Loss Prevention (DLP)
• Printer Access Control Rule
![Page 5: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/5.jpg)
Application Trust levels
![Page 6: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/6.jpg)
Application Trust levels - popis
• globálne zoznamy aplikácii podľa úrovne dôveryhodnosti
• WhiteList, GreyList, BlackList
• preddefinované pravidlá reflektujú tieto explicitne definované úrovne dôveryhodnosti aplikácií– aplikácie v zozname WhiteList = minimálne reštrikcie
– aplikácie v zozname GreyList = zvýšené reštrikcie
– aplikácie v zozname BlackList = maximálne reštrikcie
• nutné zabezpečiť zvýšenú ochranu aplikácií v zozname WhiteList
![Page 7: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/7.jpg)
Application Trust levels – príklad WhiteList
![Page 8: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/8.jpg)
Application Trust levels – použitie v pravidle
![Page 9: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/9.jpg)
Application Trust levels – EventLog wizard
![Page 10: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/10.jpg)
Application Trust levels vs. CSA 5.2
• CSA 5.2 nemá implementované ATL
• možnosť riešenia
– vytvoriť vlastné triedy aplikácií (Application classes)
pre rôzne úrovne dôveryhodnosti
– modifikovať nevyhnutné preddefinované pravidlá, aby
zohľadňovali novovytvorené triedy aplikácií
– CSA 5.2 nemá integrovaný wizard pre priame
zaradzovanie aplikácií priamo z hlásení v Eventlog do
vlastných aplikačných tried
![Page 11: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/11.jpg)
Notify User Rule Action
![Page 12: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/12.jpg)
Notify User Rule Actions
• upozornenie používateľa na výskyt vybraných udalostí v systéme
• notifikácia môže byť aktivovaná na základe – uplatnenia reštrikčného pravidla pre danú udalosť
(Allow, Deny, Terminate)
– ak sa neaktivovalo žiadne reštrikčné pravidlo (Allowed by default)
– ľubovoľná kombinácia predchádzajúcich možností
• vyžiadanie vyjadrenia používateľa k danej udalosti (Justification)
• v CSA 5.2 nerealizovateľné (ani workarround)
![Page 13: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/13.jpg)
Notify User Rule Actions
![Page 14: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/14.jpg)
Notify User Rule Actions
Notification
Notification +
Justification
![Page 15: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/15.jpg)
User Justification
![Page 16: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/16.jpg)
User Justification
• vyžiadanie vyjadrenia používateľa
– pri pravidlách s akciou QUERY
– pri pravidlách s akciou NOTIFY
• vyjadrenie je súčasťou záznamu o udalosti v
EventLog na CSA MC
• poskytnutie vyjadrenia nie je pre používateľa
povinné (zo systémového hľadiska)
• v CSA 5.2 nerealizovateľné (ani workarround)
![Page 17: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/17.jpg)
User Justification
![Page 18: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/18.jpg)
User Justification
![Page 19: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/19.jpg)
Digital Signature Identification
![Page 20: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/20.jpg)
Digital Signature Identification
• CSA automaticky identifikuje digitálny podpis
aplikácie (súčasť mandatory policy)
• ak je digitálny podpis dôveryhodný aplikácia je
označená ako „trusted“
• „trusted“ aplikácie podliehajú menším
reštrikciám ako „untrusted“ aplikácie
• modifikovateľný zoznam dôveryhodných
digitálnych podpisov – Good Digital Signers file
set
![Page 21: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/21.jpg)
Digital Signature Identification
![Page 22: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/22.jpg)
Digital Signature Identification
![Page 23: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/23.jpg)
Digital Signature Identification
![Page 24: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/24.jpg)
Automatic Signature Generation
![Page 25: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/25.jpg)
Automatic Signature Generation
• poskytuje nové funkcie CSA pre Windows platformy:– automaticky generované signatúry– ochrana pred DoS útokmi– Process stack recovery
• ochrana MSRPC a LPC• imunizácia enterprise• princíp fungovania
– pravidlo typu System API Control zachytí pokus o útok typu buffer overflow
– CSA na pracovnej stanici vygeneruje lokálnu signatúru a pošle ju na CSA MC
– korelačný engine na CSA MC podľa preddefinovaných nastavení vygeneruje globálnu signatúru
– všetci ostatní CSA si v rámci pollingu globálnu signatúru stiahnu– na základe tejto signatúry sú CSA agenti schopní zablokovať tento
pokus o buffer overflow
![Page 26: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/26.jpg)
Automatic Signature Generation – simulovaný scenár
CSA MC
CSA 6.0
CSA 6.0
CSA 6.0
CSA 6.0
Attacker
Msf
signature based deny
![Page 27: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/27.jpg)
Automatic Signature Generation – príprava attacker
![Page 28: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/28.jpg)
Automatic Signature Generation – exploit executing
![Page 29: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/29.jpg)
Automatic Signature Generation – CSA MC
![Page 30: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/30.jpg)
Automatic Signature Generation – CSA MC
![Page 31: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/31.jpg)
Automatic Signature Generation – CSA MC
![Page 32: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/32.jpg)
Automatic Signature Generation – hlásenia z CSA
![Page 33: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/33.jpg)
Automatic Signature Generation – CSA klient
![Page 34: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/34.jpg)
Automatic Signature Generation – DoS prevention
![Page 35: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/35.jpg)
Data Loss Prevention (DLP)
![Page 36: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/36.jpg)
Data Loss Prevention (DLP)
• skenovanie súborov na prítomnosť citlivých dát– on demand
• plánovaný scan
– on access• pri otváraní
• pri zápise
• citlivé data sú identifikované podľa reťazcov (patterns)
• klasifikácia súborov - priradenie TAG súborom podľa výsledku scan
• použitie TAG v pravidlách– klasifikačných
• klasifikácia aplikácii pri prístupe k tagovaným súborom
– reštrikčných• kontrola prístupu aplikácií k tagovaným súborom
![Page 37: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/37.jpg)
Data Loss Prevention (DLP) – klasifikácia súborov
TAG
TXT
![Page 38: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/38.jpg)
Data Loss Prevention (DLP) – reštrikčné pravidlo
![Page 39: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/39.jpg)
Printer Access Control
![Page 40: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/40.jpg)
Printer Access Control
• riadenie prístupu aplikácií k tlačiarňam
• doplnenie funkcionality pre DLP
– kontrola ďalšej cesty kadiaľ môžu dáta opustiť
pracovnú stanicu
– v CSA 5.2
• File Access Control
• Network Access Control
• Clipboard Access Control
– v CSA 6.0
• pribudol typ pravidla Printer Access Control
![Page 41: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/41.jpg)
Kontrola ciest dát smerom z pracovnej stanice
Clipboard
Network
File
server
Printer
?
CSA 5.2 CSA 6.0
![Page 42: Ochrana koncových staníc pomocou Cisco Security Agent 6...lubomir.varga@lynx.sk Ľubomír Varga Ochrana koncových staníc pomocou Cisco Security Agent 6.0](https://reader036.vdocument.in/reader036/viewer/2022071418/611640ca80377e06ac19f50a/html5/thumbnails/42.jpg)
Otázky a odpovede