Leveraging Your Network for Internal Threat Detection and Forensics - - PowerPoint PPT Presentation

Confidential Information

Chris Tobkin, CISSP

Leveraging Your Network for Internal Threat Detection and Forensics

Chris Tobkin, CISSP

Confidential Information

Chris Tobkin, CISSP

Speeding up Threat Detection and Forensics

Chris Tobkin, CISSP

Confidential Information

Chris Tobkin, CISSP

Finding Out of Bounds Security Events

Chris Tobkin, CISSP

Confidential Information

Chris Tobkin, CISSP

Getting Lucky with your Network

Chris Tobkin, CISSP

Confidential Information

Chris Tobkin, CISSP

• >15 ¡years ¡of ¡Technical ¡Security ¡experience ¡
• Experience ¡in ¡programming, ¡applica;on ¡ ¡

development, ¡OS ¡and ¡DB ¡administra;on, ¡desktop ¡& ¡ ¡ server ¡security, ¡network ¡security, ¡penetra;on ¡tes;ng, ¡ ¡ policy ¡development, ¡and ¡social ¡engineering ¡

• Author ¡of ¡mul;ple ¡books ¡on ¡Network ¡Security ¡
• Advised ¡some ¡of ¡the ¡largest ¡organiza;ons ¡in ¡the ¡world ¡
• Previously ¡a ¡Regional ¡Technical ¡Consultant ¡for ¡Check ¡Point ¡SoKware ¡and ¡

led ¡over ¡300 ¡network ¡security ¡engineers ¡at ¡Cisco ¡Systems ¡

Ch Chris ¡T ¡Tob

• bki

kin, ¡CIS ¡CISSP P

5 ¡

Confidential Information

Chris Tobkin, CISSP

• Before, ¡During, ¡AKer ¡
• Protect, ¡Detect, ¡Respond ¡

6 ¡

Wher Where ¡ar e ¡are ¡the ¡g e ¡the ¡gap aps? s?

Source: ¡2014 ¡Verizon ¡Data ¡Breach ¡Report ¡ hSp://www.verizonenterprise.com/DBIR/ 2014/ ¡

“In ¡ ¡the ¡ ¡fi fields ¡ ¡of ¡ ¡observa>on ¡ ¡chance ¡ ¡favors ¡ ¡the ¡ ¡prepared ¡ ¡mi mind.” ¡ ¡-­‑

• ­‑ ¡

¡ ¡ ¡ Lo Louis ¡P uis ¡Pas asteur eur

Confidential Information

Chris Tobkin, CISSP

7 ¡

Wha What ¡ha t ¡have ¡w e ¡we ¡tried? e ¡tried?

Enterprise ¡

Strengthen ¡the ¡ Perimeter ¡ Monitor ¡Content ¡Moving ¡ ¡ Into ¡and ¡Out ¡of ¡the ¡Enterprise ¡ Increase ¡Sophis:ca:on ¡ ¡

• f ¡Iden:ty ¡Management ¡

Harden ¡the ¡Endpoint ¡

16

Confidential Information

Chris Tobkin, CISSP

8 ¡

Fl Flying ¡ ¡Blind

Confidential Information

Chris Tobkin, CISSP

Getting Lucky with your Network

Chris Tobkin, CISSP

Confidential Information

Chris Tobkin, CISSP

Flow ¡ Informa;on ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡-­‑> ¡NBAD ¡

1 0 ¡

Yo Your ¡ ¡Internal ¡ ¡Network

WAN ¡ DATACENTER ¡ ACCESS ¡ CORE ¡

3560-­‑X ¡ Atlanta ¡ New ¡York ¡ San ¡Jose ¡ 3850 ¡ Stack(s) ¡ Cat4k ¡ ASA ¡ Internet ¡ Cat6k ¡ VPC ¡Servers ¡ 3925 ¡ISR ¡ ASR-­‑1000 ¡ Nexus ¡7000 ¡UCS ¡ ¡ with ¡Nexus ¡1000v ¡

Confidential Information

Chris Tobkin, CISSP

• Network ¡Behavioral ¡Anomaly ¡Detec;on ¡
• Data ¡source ¡= ¡Network ¡MetaData ¡(NetFlow) ¡
• Probe ¡loca;ons ¡= ¡Core ¡or ¡deeper ¡
• Quan;ty/Metric ¡Centric ¡(not ¡PaSern/Signature ¡Centric) ¡
• Some;mes ¡used ¡to ¡refer ¡to ¡NetFlow ¡Security ¡Tools ¡
• A ¡method ¡of ¡gaining ¡Visibility ¡and ¡Awareness ¡to ¡internal ¡

network ¡ac;vi;es ¡

11 ¡

Wha What ¡is ¡NB t ¡is ¡NBAD? D?

Confidential Information

Chris Tobkin, CISSP

• OSS ¡NBAD ¡-­‑ ¡ ¡SilK/PySiLK ¡
• Commercial: ¡
• Arbor ¡PeakFlow ¡
• IBM ¡Qradar ¡
• Invea-­‑Tech ¡FlowMon ¡
• Lancope ¡StealthWatch ¡
• ManageEngine ¡
• McAfee ¡NTBA ¡
• Plixer ¡Scru;nizer ¡
• ProQSys ¡FlowTraq ¡
• Riverbed ¡Cascade ¡(formerly ¡Mazu) ¡

* ¡For ¡comparison ¡see ¡Gartner ¡Network ¡Behavior ¡Analysis ¡Market ¡December ¡2012 ¡ (G00245584) ¡ 12 ¡

NB NBAD ¡Op AD ¡Op>on

• ns

Confidential Information

Chris Tobkin, CISSP

• A ¡record; ¡not ¡a ¡sample ¡
• Can ¡only ¡log ¡available ¡data ¡
• Unidirec;onal ¡in ¡nature ¡
• Interface ¡specific ¡
• “Phone ¡record” ¡not ¡“Phone ¡tap” ¡
• Category ¡called ¡“NetFlow” ¡or ¡“Flow” ¡
• Devices ¡with ¡one ¡or ¡more ¡Flow ¡producing ¡interfaces ¡are ¡

“Exporters” ¡

• Exporters ¡cache ¡and ¡forward ¡records ¡to ¡“Collectors” ¡
• Bandwidth ¡of ¡“basic” ¡Flow ¡export ¡is ¡~0.1% ¡of ¡monitored ¡traffic ¡

13 ¡

Ne Networ

• rk ¡Log

k ¡Logging ¡Ba ¡Basics cs

Confidential Information

Chris Tobkin, CISSP

14 ¡

Ne Networ

• rk ¡Log

k ¡Logging ¡S ¡Standards

14 ¡

Basic/Common ¡Fields ¡

• NetFlow ¡v9 ¡(RFC-­‑3950) ¡
• IPFIX ¡(RFC-­‑5101) ¡ ¡
• Rebranded ¡NetFlow ¡
• Jflow ¡– ¡Juniper ¡
• Cflowd ¡– ¡Juniper/Alcatel-­‑Lucent ¡
• NetStream ¡– ¡3Com/Huawei ¡
• Rflow ¡– ¡Ericsson ¡
• AppFlow ¡-­‑ ¡Citrix ¡

Confidential Information

Chris Tobkin, CISSP

• Signature ¡= ¡Inspect ¡Object ¡against ¡blacklist ¡
• IPS ¡
• An;virus ¡
• Content ¡Filter ¡
• Behavioral ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡blacklist ¡
• Malware ¡Sandbox ¡
• NBAD/UBAD ¡
• HIPS ¡
• SEIM ¡
• Anomaly ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡whitelist ¡
• NBAD/UBAD ¡

15 ¡

De Detec>o ec>on ¡Me n ¡Metho thods ds

Confidential Information

Chris Tobkin, CISSP

Comp mparison ¡ ¡of ¡ ¡Detec>on ¡ ¡Methods

Signature ¡ Behavior ¡ Anomaly ¡ Known ¡Exploits ¡ Best ¡ Good ¡ Limited ¡ 0-­‑Day ¡Exploits ¡ Limited ¡ Best ¡ Good ¡ Creden:al ¡Abuse ¡ Limited ¡ Limited ¡ Best ¡

Confidential Information

Chris Tobkin, CISSP

Overview ¡ ¡– ¡ – ¡NBAD ¡ ¡Detec>on ¡ ¡Approaches

• Signature ¡
• Behavioral ¡
• Anomaly ¡

Confidential Information

Chris Tobkin, CISSP

NB NBAD ¡De AD ¡Detec> ec>on

• n ¡-­‑ ¡S

¡-­‑ ¡Signature e

• Segmenta;on ¡Enforcement ¡
• Policy ¡Viola;ons ¡
• C&C ¡Connec;ons ¡
• Pro’s: ¡Certainty ¡can ¡be ¡established; ¡Easy ¡to ¡set ¡up; ¡Deep ¡

visibility ¡(without ¡probes) ¡

• Con’s: ¡Only ¡detects ¡“Known ¡Threats” ¡

Confidential Information

Chris Tobkin, CISSP

NB NBAD ¡De AD ¡Detec> ec>on

• n ¡-­‑ ¡Beh

¡-­‑ ¡Behavi vior

• ral
• Scanning ¡
• SYN ¡Flood ¡
• Flag ¡Sequences ¡
• Suspiciously ¡Long ¡Flow ¡
• Worm ¡Propaga;on ¡
• Pro’s: ¡Doesn’t ¡need ¡to ¡know ¡exploit ¡
• Con’s: ¡Must ¡establish ¡host ¡counters ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly

• Pro’s: ¡Can ¡Catch ¡Sophis;cated/Targeted/Unknown ¡Threats ¡
• Con’s: ¡
• Requires ¡Host ¡and ¡User ¡Profiles ¡
• Requires ¡Specific ¡Baselines/Policies ¡
• Output ¡requires ¡interpreta;on ¡
• Requires ¡massive ¡data ¡collec;on/processing ¡
• Requires ¡Algorithmic ¡Calcula;on ¡

Confidential Information

Chris Tobkin, CISSP

21 ¡

NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Simp mple ¡ ¡Anoma maly

Confidential Information

Chris Tobkin, CISSP

Algorithmic ¡Detec>on

22 ¡

• Based ¡on ¡knowing ¡normal ¡
• Dependent ¡on ¡raw ¡NetFlow ¡MetaData ¡(mul;ple ¡sources) ¡
• Does ¡not ¡require ¡understanding ¡of ¡aSack ¡
• Output ¡is ¡security ¡indices ¡focused ¡on ¡host ¡ac;vity ¡
• Similar ¡to ¡reputa;on ¡data ¡provided ¡for ¡public ¡addresses, ¡for ¡

your ¡internal ¡hosts ¡

Host ¡Concern ¡ Index ¡= ¡ 1,150,000 ¡ Slow ¡Scanning ¡ Ac;vity ¡: ¡Add ¡ 325,000 ¡ Abnormal ¡ connec;ons: ¡ Add ¡425,000 ¡ Internal ¡pivot ¡ ac;vity: ¡Add ¡ 400,000 ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly ¡ ¡Types

• Service ¡Traffic ¡Threshold ¡Anomaly ¡
• Service ¡Type ¡Anomaly ¡
• Geographic ¡Traffic ¡Anomaly ¡
• Time ¡of ¡Day ¡Anomaly ¡
• Geographic ¡User ¡Anomaly ¡
• Data ¡Hoarding ¡
• Data ¡Disclosure ¡
• Bad ¡Reputa;on ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡-­‑

• ­‑ ¡

¡Anoma maly

• Service ¡Traffic ¡Threshold ¡Anomaly ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡-­‑

• ­‑ ¡

¡Anoma maly

• Service ¡Type ¡Anomaly ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡-­‑

• ­‑ ¡

¡Anoma maly

• Geographic ¡Traffic ¡Anomaly ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡-­‑

• ­‑ ¡

¡Anoma maly

• Time ¡of ¡Day ¡Anomaly ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡-­‑

• ­‑ ¡

¡Anoma maly

• Geographic ¡User ¡Anomaly ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡-­‑

• ­‑ ¡

¡Anoma maly

• Data ¡Hoarding ¡

Confidential Information

Chris Tobkin, CISSP

NBAD ¡ ¡Detec>on ¡ ¡-­‑

• ­‑ ¡

¡Anoma maly

• Data ¡Disclosure ¡

Confidential Information

Chris Tobkin, CISSP

Real World Examples of NBAD Detection

Chris Tobkin, CISSP

Confidential Information

Chris Tobkin, CISSP

Overview ¡ ¡– ¡ – ¡Specifi fic ¡ ¡NBAD ¡ ¡Breaches

• Health ¡Care ¡vs. ¡State ¡Sponsored ¡
• State/Local ¡Government ¡vs. ¡Organized ¡Crime ¡
• Agriculture ¡vs. ¡State ¡Sponsored ¡
• Higher ¡Educa;on ¡vs. ¡State ¡Sponsored ¡
• Manufacture ¡vs. ¡Ac;vists ¡

Confidential Information

Chris Tobkin, CISSP

Pa Pa>ent ¡ ¡Data ¡ ¡to ¡ ¡East ¡ ¡Asia

• Vic:m ¡Ver:cal: ¡Healthcare ¡
• Probable ¡Assailant: ¡State ¡Sponsored ¡
• Objec:ve: ¡TheK ¡of ¡pa;ent ¡healthcare ¡records ¡
• Mo:va:on: ¡Geopoli;cal/Mar;al ¡
• Methodology: ¡ ¡
• Keylogging ¡Malware ¡
• Configura;on ¡change ¡of ¡infrastructure ¡
• NBAD ¡Type: ¡Enforcement ¡Monitoring ¡

¡

Confidential Information

Chris Tobkin, CISSP

Geographical ¡ ¡Anoma maly

Confidential Information

Chris Tobkin, CISSP

Ca Cardhol

• lder

er ¡Da ¡Data ¡t ¡to ¡E

• ¡East ¡Eu

¡Europ

• pe

e

• Vic:m ¡Ver:cal: ¡State/Local ¡Government ¡
• Probable ¡Assailant: ¡Organized ¡Crime ¡
• Objec:ve: ¡TheK ¡of ¡cardholder ¡data ¡
• Mo:va:on: ¡Profit ¡
• Methodology: ¡ ¡
• Coldfusion ¡exploit ¡of ¡payment ¡webserver ¡
• Recoded ¡Applica;on ¡
• Staged ¡data ¡on ¡server; ¡uploaded ¡to ¡East ¡Europe ¡FTP ¡server ¡
• NBAD ¡Type: ¡ ¡
• Geographic ¡Anomaly ¡
• Traffic ¡Anomaly ¡

¡

Confidential Information

Chris Tobkin, CISSP

Geographical ¡ ¡Traffic ffic ¡ ¡Anoma maly

Confidential Information

Chris Tobkin, CISSP

In Intellect ellectual ¡Pr al ¡Prop

• pert

erty ¡t y ¡to ¡E

• ¡Eas

ast ¡Asia ¡Asia

• Vic:m ¡Ver:cal: ¡Agriculture ¡
• Probable ¡Assailant: ¡State ¡Sponsored ¡
• Objec:ve: ¡TheK ¡of ¡food ¡produc;on ¡IP ¡
• Mo:va:on: ¡Profit/Na;onal ¡Compe;;on ¡
• Methodology: ¡ ¡
• Spearphish ¡of ¡administrator ¡
• Pivot ¡via ¡VPN ¡
• Pivot ¡via ¡monitoring ¡servers ¡
• Direct ¡exfiltra;on ¡
• NBAD ¡Type: ¡ ¡
• Geographic ¡Traffic ¡Anomaly ¡
• Geographic ¡User ¡Anomaly ¡
• Traffic ¡Anomaly ¡

¡

Confidential Information

Chris Tobkin, CISSP

Recon ¡ ¡from ¡ m ¡Monitoring ¡ ¡Servers

Confidential Information

Chris Tobkin, CISSP

Geographical ¡ ¡Anoma maly

Confidential Information

Chris Tobkin, CISSP

Th TheU ¡of eU ¡of ¡R ¡Res esea earch ch ¡D ¡Data

• Vic:m ¡Ver:cal: ¡Higher ¡Educa;on ¡
• Probable ¡Assailant: ¡State ¡Sponsored ¡
• Objec:ve: ¡TheK ¡sensi;ve ¡research ¡data ¡
• Mo:va:on: ¡Geopoli;cal/Mar;al ¡
• Methodology: ¡ ¡
• Direct ¡access ¡to ¡exposed ¡RDP ¡Servers ¡
• Bruteforce ¡of ¡creden;als ¡
• NBAD ¡Type: ¡ ¡
• Service ¡Traffic ¡Anomaly ¡
• Geographic ¡Traffic ¡Anomaly ¡

¡

Confidential Information

Chris Tobkin, CISSP

Traffic ffic ¡ ¡Anoma maly

Confidential Information

Chris Tobkin, CISSP

TheU ¡ ¡of ¡ ¡Custome mer ¡ ¡Data

• Vic:m ¡Ver:cal: ¡Manufacturing ¡
• Probable ¡Assailant: ¡Ac;vist ¡
• Objec:ve: ¡Publish ¡stolen ¡customer ¡data ¡
• Mo:va:on: ¡Embarrassing ¡Vic;m ¡
• Methodology: ¡ ¡
• SQL ¡Injec;on ¡to ¡Customer ¡Portal ¡
• NBAD ¡Type: ¡ ¡
• Recon ¡detec;on ¡
• Traffic ¡Anomaly ¡to ¡Internet ¡
• Traffic ¡Anomaly ¡to ¡Webserver ¡from ¡DB ¡

¡

Confidential Information

Chris Tobkin, CISSP

Re Recon ¡ ¡before ¡ ¡SQL QLi

Confidential Information

Chris Tobkin, CISSP

Anoma malous ¡ ¡Data ¡ ¡Exfi filtra>on

Confidential Information

Chris Tobkin, CISSP

Chris ¡Tobkin, ¡CISSP ¡ Personal: ¡tobkin@tobkin.com, ¡612-­‑801-­‑9622, ¡hSp://linkedin.com/in/tobkin ¡ ¡ Work: ¡ctobkin@lancope.com, ¡612-­‑584-­‑9885, ¡hSp://lancope.com/ ¡ ¡

Th Thank ¡Y ¡You

• u!

45 ¡