leveraging your network for internal
play

Leveraging Your Network for Internal Threat Detection and Forensics - PowerPoint PPT Presentation

Nov 23, 2022 •131 likes •582 views

Chris Tobkin, CISSP Leveraging Your Network for Internal Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information Chris Tobkin, CISSP Speeding up Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information

  1. Chris Tobkin, CISSP Leveraging Your Network for Internal Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information

  2. Chris Tobkin, CISSP Speeding up Threat Detection and Forensics Chris Tobkin, CISSP Confidential Information

  3. Chris Tobkin, CISSP Finding Out of Bounds Security Events Chris Tobkin, CISSP Confidential Information

  4. Chris Tobkin, CISSP Getting Lucky with your Network Chris Tobkin, CISSP Confidential Information

  5. Chris Tobkin, CISSP Ch Chris ¡T ¡Tob obki kin, ¡CIS ¡CISSP P • >15 ¡years ¡of ¡Technical ¡Security ¡experience ¡ • Experience ¡in ¡programming, ¡applica;on ¡ ¡ development, ¡OS ¡and ¡DB ¡administra;on, ¡desktop ¡& ¡ ¡ server ¡security, ¡network ¡security, ¡penetra;on ¡tes;ng, ¡ ¡ policy ¡development, ¡and ¡social ¡engineering ¡ • Author ¡of ¡mul;ple ¡books ¡on ¡Network ¡Security ¡ • Advised ¡some ¡of ¡the ¡largest ¡organiza;ons ¡in ¡the ¡world ¡ • Previously ¡a ¡Regional ¡Technical ¡Consultant ¡for ¡Check ¡Point ¡SoKware ¡and ¡ led ¡over ¡300 ¡network ¡security ¡engineers ¡at ¡Cisco ¡Systems ¡ Confidential Information 5 ¡

  6. Chris Tobkin, CISSP Wher Where ¡ar e ¡are ¡the ¡g e ¡the ¡gap aps? s? • Before, ¡During, ¡AKer ¡ • Protect, ¡Detect, ¡Respond ¡ “In ¡ ¡the ¡ ¡fi fields ¡ ¡of ¡ ¡observa>on ¡ ¡chance ¡ ¡favors ¡ ¡the ¡ ¡prepared ¡ ¡mi mind.” ¡ ¡-­‑ -­‑ ¡ ¡ ¡ ¡ Lo Louis ¡P uis ¡Pas asteur eur Source: ¡2014 ¡Verizon ¡Data ¡Breach ¡Report ¡ 6 ¡ Confidential Information hSp://www.verizonenterprise.com/DBIR/ 2014/ ¡

  7. Chris Tobkin, CISSP Wha What ¡ha t ¡have ¡w e ¡we ¡tried? e ¡tried? Strengthen ¡the ¡ Perimeter ¡ Enterprise ¡ Harden ¡the ¡Endpoint ¡ Monitor ¡Content ¡Moving ¡ ¡ Into ¡and ¡Out ¡of ¡the ¡Enterprise ¡ Increase ¡Sophis:ca:on ¡ ¡ of ¡Iden:ty ¡Management ¡ 16 7 ¡ Confidential Information

  8. Chris Tobkin, CISSP Fl Flying ¡ ¡Blind 8 ¡ Confidential Information

  9. Chris Tobkin, CISSP Getting Lucky with your Network Chris Tobkin, CISSP Confidential Information

  10. Chris Tobkin, CISSP Your ¡ Yo ¡Internal ¡ ¡Network 3850 ¡ Cat4k ¡ Stack(s) ¡ VPC ¡Servers ¡ ACCESS ¡ Internet ¡ ASA ¡ ASR-­‑1000 ¡ San ¡Jose ¡ WAN ¡ CORE ¡ 3560-­‑X ¡ DATACENTER ¡ Cat6k ¡ New ¡York ¡ Atlanta ¡ Flow ¡ Nexus ¡7000 ¡UCS ¡ ¡ 3925 ¡ISR ¡ with ¡Nexus ¡1000v ¡ Informa;on ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡-­‑> ¡NBAD ¡ 1 Confidential Information 0 ¡

  11. Chris Tobkin, CISSP Wha What ¡is ¡NB t ¡is ¡NBAD? D? • Network ¡Behavioral ¡Anomaly ¡Detec;on ¡ • Data ¡source ¡= ¡Network ¡MetaData ¡(NetFlow) ¡ • Probe ¡loca;ons ¡= ¡Core ¡or ¡deeper ¡ • Quan;ty/Metric ¡Centric ¡(not ¡PaSern/Signature ¡Centric) ¡ • Some;mes ¡used ¡to ¡refer ¡to ¡NetFlow ¡Security ¡Tools ¡ • A ¡method ¡of ¡gaining ¡Visibility ¡and ¡Awareness ¡to ¡internal ¡ network ¡ac;vi;es ¡ 11 ¡ Confidential Information

  12. Chris Tobkin, CISSP NB NBAD ¡Op AD ¡Op>on ons • OSS ¡NBAD ¡-­‑ ¡ ¡SilK/PySiLK ¡ • Commercial: ¡ • Arbor ¡PeakFlow ¡ • IBM ¡Qradar ¡ • Invea-­‑Tech ¡FlowMon ¡ • Lancope ¡StealthWatch ¡ • ManageEngine ¡ • McAfee ¡NTBA ¡ • Plixer ¡Scru;nizer ¡ • ProQSys ¡FlowTraq ¡ • Riverbed ¡Cascade ¡(formerly ¡Mazu) ¡ * ¡For ¡comparison ¡see ¡Gartner ¡Network ¡Behavior ¡Analysis ¡Market ¡December ¡2012 ¡ 12 ¡ Confidential Information (G00245584) ¡

  13. Chris Tobkin, CISSP Networ Ne ork ¡Log k ¡Logging ¡Ba ¡Basics cs • A ¡record; ¡not ¡a ¡sample ¡ • Can ¡only ¡log ¡available ¡data ¡ • Unidirec;onal ¡in ¡nature ¡ • Interface ¡specific ¡ • “Phone ¡record” ¡not ¡“Phone ¡tap” ¡ • Category ¡called ¡“NetFlow” ¡or ¡“Flow” ¡ • Devices ¡with ¡one ¡or ¡more ¡Flow ¡producing ¡interfaces ¡are ¡ “Exporters” ¡ • Exporters ¡cache ¡and ¡forward ¡records ¡to ¡“Collectors” ¡ • Bandwidth ¡of ¡“basic” ¡Flow ¡export ¡is ¡~0.1% ¡of ¡monitored ¡traffic ¡ 13 ¡ Confidential Information

  14. Chris Tobkin, CISSP Ne Networ ork ¡Log k ¡Logging ¡S ¡Standards • NetFlow ¡v9 ¡(RFC-­‑3950) ¡ • IPFIX ¡(RFC-­‑5101) ¡ ¡ • Rebranded ¡NetFlow ¡ • Jflow ¡– ¡Juniper ¡ • Cflowd ¡– ¡Juniper/Alcatel-­‑Lucent ¡ • NetStream ¡– ¡3Com/Huawei ¡ Basic/Common ¡Fields ¡ • Rflow ¡– ¡Ericsson ¡ • AppFlow ¡-­‑ ¡Citrix ¡ 14 ¡ 14 ¡ Confidential Information

  15. Chris Tobkin, CISSP Detec>o De ec>on ¡Me n ¡Metho thods ds • Signature ¡ = ¡Inspect ¡Object ¡against ¡blacklist ¡ • IPS ¡ • An;virus ¡ • Content ¡Filter ¡ • Behavioral ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡blacklist ¡ • Malware ¡Sandbox ¡ • NBAD/UBAD ¡ • HIPS ¡ • SEIM ¡ • Anomaly ¡= ¡Inspect ¡Vic;m ¡behavior ¡against ¡whitelist ¡ • NBAD/UBAD ¡ 15 ¡ Confidential Information

  16. Chris Tobkin, CISSP Comp mparison ¡ ¡of ¡ ¡Detec>on ¡ ¡Methods Signature ¡ Behavior ¡ Anomaly ¡ Known ¡Exploits ¡ Best ¡ Good ¡ Limited ¡ 0-­‑Day ¡Exploits ¡ Limited ¡ Best ¡ Good ¡ Creden:al ¡Abuse ¡ Limited ¡ Limited ¡ Best ¡ Confidential Information

  17. Chris Tobkin, CISSP Overview ¡ ¡– ¡ – ¡NBAD ¡ ¡Detec>on ¡ ¡Approaches • Signature ¡ • Behavioral ¡ • Anomaly ¡ Confidential Information

  18. Chris Tobkin, CISSP NB NBAD ¡De AD ¡Detec> ec>on on ¡-­‑ ¡S ¡-­‑ ¡Signature e • Segmenta;on ¡Enforcement ¡ • Policy ¡Viola;ons ¡ • C&C ¡Connec;ons ¡ • Pro’s : ¡Certainty ¡can ¡be ¡established; ¡Easy ¡to ¡set ¡up; ¡Deep ¡ visibility ¡(without ¡probes) ¡ • Con’s : ¡Only ¡detects ¡“Known ¡Threats” ¡ Confidential Information

  19. Chris Tobkin, CISSP NB NBAD ¡De AD ¡Detec> ec>on on ¡-­‑ ¡Beh ¡-­‑ ¡Behavi vior oral • Scanning ¡ • SYN ¡Flood ¡ • Flag ¡Sequences ¡ • Suspiciously ¡Long ¡Flow ¡ • Worm ¡Propaga;on ¡ • Pro’s : ¡Doesn’t ¡need ¡to ¡know ¡exploit ¡ • Con’s : ¡Must ¡establish ¡host ¡counters ¡ Confidential Information

  20. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly • Pro’s : ¡Can ¡Catch ¡Sophis;cated/Targeted/Unknown ¡Threats ¡ • Con’s : ¡ • Requires ¡Host ¡and ¡User ¡Profiles ¡ • Requires ¡Specific ¡Baselines/Policies ¡ • Output ¡requires ¡interpreta;on ¡ • Requires ¡massive ¡data ¡collec;on/processing ¡ • Requires ¡Algorithmic ¡Calcula;on ¡ Confidential Information

  21. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Simp mple ¡ ¡Anoma maly 21 ¡ Confidential Information

  22. Chris Tobkin, CISSP Algorithmic ¡Detec>on Abnormal ¡ Internal ¡pivot ¡ connec;ons: ¡ ac;vity: ¡Add ¡ Slow ¡Scanning ¡ Add ¡425,000 ¡ 400,000 ¡ Ac;vity ¡: ¡Add ¡ 325,000 ¡ Host ¡Concern ¡ Index ¡= ¡ 1,150,000 ¡ • Based ¡on ¡knowing ¡normal ¡ • Dependent ¡on ¡raw ¡NetFlow ¡MetaData ¡(mul;ple ¡sources) ¡ • Does ¡not ¡require ¡understanding ¡of ¡aSack ¡ • Output ¡is ¡security ¡indices ¡focused ¡on ¡host ¡ac;vity ¡ • Similar ¡to ¡reputa;on ¡data ¡provided ¡for ¡public ¡addresses, ¡for ¡ your ¡internal ¡hosts ¡ Confidential Information 22 ¡

  23. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡– ¡ – ¡Anoma maly ¡ ¡Types • Service ¡Traffic ¡Threshold ¡Anomaly ¡ • Service ¡Type ¡Anomaly ¡ • Geographic ¡Traffic ¡Anomaly ¡ • Time ¡of ¡Day ¡Anomaly ¡ • Geographic ¡User ¡Anomaly ¡ • Data ¡Hoarding ¡ • Data ¡Disclosure ¡ • Bad ¡Reputa;on ¡ Confidential Information

  24. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Service ¡Traffic ¡Threshold ¡Anomaly ¡ Confidential Information

  25. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Service ¡Type ¡Anomaly ¡ Confidential Information

  26. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Geographic ¡Traffic ¡Anomaly ¡ Confidential Information

  27. Chris Tobkin, CISSP NBAD ¡ ¡Detec>on ¡ ¡-­‑ -­‑ ¡ ¡Anoma maly • Time ¡of ¡Day ¡Anomaly ¡ Confidential Information

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Efficient Reinforcement Learning with Hierarchies of Machines by Leveraging Internal Transitions

Efficient Reinforcement Learning with Hierarchies of Machines by Leveraging Internal Transitions

Efficient Reinforcement Learning with Hierarchies of Machines by Leveraging Internal Transitions Aijun Bai* Stuart Russell UC Berkeley/Microsoft Research UC Berkeley

273 views • 16 slides
Listening to the Network: Leveraging Network Flow Telemetry for Security Applications Darren

Listening to the Network: Leveraging Network Flow Telemetry for Security Applications Darren

Listening to the Network: Leveraging Network Flow Telemetry for Security Applications Darren Anstee EMEA Solutions Architect Introduction Security has an increased focus from ALL businesses, whether they are an enterprise, ISP, IDC or

926 views • 60 slides
Leveraging ICN In-network Control for Loss Detection and Recovery in Wireless Mobile networks

Leveraging ICN In-network Control for Loss Detection and Recovery in Wireless Mobile networks

Leveraging ICN In-network Control for Loss Detection and Recovery in Wireless Mobile networks Giovanna Carofiglio, Luca Muscariello, Michele Papalini, Natalya Rozhnova, Xuan Zeng Cisco, SystemX,UPMC September 25, 2016 1 5G Network

366 views • 23 slides
NetStore Leveraging Network Optimizations to Improve Distributed Transaction Processing

NetStore Leveraging Network Optimizations to Improve Distributed Transaction Processing

NetStore Leveraging Network Optimizations to Improve Distributed Transaction Processing Performance Xu Cui , Michael Mior, Bernard Wong, Khuzaima Daudjee, Sajjad Rizvi ACTIVE Workshop @ Middleware 2017 Las Vegas, NV, USA December 12, 2017

623 views • 38 slides
HOW DO WE GET THERE Leveraging public and private resources to create a premier urban trail network

HOW DO WE GET THERE Leveraging public and private resources to create a premier urban trail network

HOW DO WE GET THERE Leveraging public and private resources to create a premier urban trail network surrounding the core of Dallas that is linked together by a 50-mile dedicated hike and bike loop. Partnering with elected officials,

404 views • 23 slides
FDC3: Leveraging the Network Effect Bhavesh Desai Head of UI @ Adaptive Who am I? My history

FDC3: Leveraging the Network Effect Bhavesh Desai Head of UI @ Adaptive Who am I? My history

FDC3: Leveraging the Network Effect Bhavesh Desai Head of UI @ Adaptive Who am I? My history Started as a software developer in Cape Town, SA Have worked in the finance industry for 15+ years Everything from Delphi and ASP, WPF and

539 views • 16 slides
Leveraging IP for Sensor Network Deployment Simon Duquennoy, Niklas Wirstr om, Nicolas

Leveraging IP for Sensor Network Deployment Simon Duquennoy, Niklas Wirstr om, Nicolas

Leveraging IP for Sensor Network Deployment Simon Duquennoy, Niklas Wirstr om, Nicolas Tsiftes, Adam Dunkels IP+SN Workshop, Chicago, IL April 11th 2011 Incremental Sensornet Deployment Target deployments Heterogeneous networks

487 views • 16 slides
Leveraging HP Network Node Manager and xMatters to Transform Organizational Responsiveness

Leveraging HP Network Node Manager and xMatters to Transform Organizational Responsiveness

CLIENT CASE STUDY AAA OF NORTHERN CALIFORNIA 1 Leveraging HP Network Node Manager and xMatters to Transform Organizational Responsiveness Maurice Montoya, Senior Systems Architect/Engineer Suzanne Eden, Manager Enterprise Systems

453 views • 11 slides
4 Steps to Building and Leveraging Your LinkedIn Network to Accelerate Your Job Search Phaedra

4 Steps to Building and Leveraging Your LinkedIn Network to Accelerate Your Job Search Phaedra

4 Steps to Building and Leveraging Your LinkedIn Network to Accelerate Your Job Search Phaedra Brotherton, JCTC, CPRW, CDF Principal, Resumes and Career Strategies www.resumesandcareerstrategies.com Why LinkedIn? LinkedIn is the top social

311 views • 27 slides
TurboEPC: Leveraging Network Programmability to Accelerate the Mobile Packet Core Rinku Shah ,

TurboEPC: Leveraging Network Programmability to Accelerate the Mobile Packet Core Rinku Shah ,

TurboEPC: Leveraging Network Programmability to Accelerate the Mobile Packet Core Rinku Shah , Vikas Kumar, Mythili Vutukuru, Purushottam Kulkarni Department of Computer Science & Engineering Indian Institute of Technology Bombay ACM SIGCOMM

516 views • 23 slides
Leveraging the Social Breadcrumbs 2 Social Network Service Important part of Web 2.0

Leveraging the Social Breadcrumbs 2 Social Network Service Important part of Web 2.0

Leveraging the Social Breadcrumbs 2 Social Network Service Important part of Web 2.0 People share a lot of data through those sites They are of different kind of media Uploaded to be seen by other people Somehow read-once

840 views • 35 slides
Coding the Ian Foster 1 "When the network is as fast as the computers internal links,

Coding the Ian Foster 1 "When the network is as fast as the computers internal links,

Coding the Ian Foster 1 "When the network is as fast as the computers internal links, the machine disintegrates across the net into a set of special- purpose appliances. -- George Gilder, 2001 2 "When the network is as fast

688 views • 50 slides
Building a LinkedIn Profile & Leveraging it to Network USM Career & Employment Hub

Building a LinkedIn Profile & Leveraging it to Network USM Career & Employment Hub

Career & Employment Hub Building a LinkedIn Profile & Leveraging it to Network USM Career & Employment Hub Career & Employment Hub Learning Objectives Describe the importance of using LinkedIn (LI) as a social media tool

569 views • 31 slides
A First Step Towards Leveraging Commodity Trusted Execu;on

A First Step Towards Leveraging Commodity Trusted Execu;on

A First Step Towards Leveraging Commodity Trusted Execu;on Environments for Network Applica;ons Seongmin Kim Youjung Shin Jaehyung Ha

419 views • 28 slides
Leveraging Technology to Address the Opioid Crisis Presentation Goals Define the problem

Leveraging Technology to Address the Opioid Crisis Presentation Goals Define the problem

Leveraging Technology to Address the Opioid Crisis Presentation Goals Define the problem Frame the Discussion Discuss OTP Operations HIE Tie-In Centralized State Registry Discuss our experience with internal Data Management

253 views • 14 slides
Internal Audit Professionals & Internal Audit Students Pizza Mingle! Managing the Internal

Internal Audit Professionals & Internal Audit Students Pizza Mingle! Managing the Internal

Internal Audit Professionals & Internal Audit Students Pizza Mingle! Managing the Internal Audit Function Sponsored by: The Austin Chapter of the Institute of Internal Auditors, Academic Relations Committee Slide 1 Managing The Internal

722 views • 12 slides
High-Order Accurate Numerical Simulations of Flow around a Projectile using PyFR Jin Seok Park 1 1

High-Order Accurate Numerical Simulations of Flow around a Projectile using PyFR Jin Seok Park 1 1

Introduction Base Phantom Yaw LSB Conclusion High-Order Accurate Numerical Simulations of Flow around a Projectile using PyFR Jin Seok Park 1 1 Agency For Defense Development, South Korea PyFR Symposium 2020 1/39 Introduction Base Phantom

697 views • 41 slides
Obtain original web presentation here: https://slides.com/odineidolon/chym2019- 3/fullscreen#/

Obtain original web presentation here: https://slides.com/odineidolon/chym2019- 3/fullscreen#/

Obtain original web presentation here: https://slides.com/odineidolon/chym2019- 3/fullscreen#/ This PDF version is of lower quality Statistical analysis Statistical analysis for flood mapping for flood mapping estimation estimation

427 views • 26 slides
Passive Treatment of Mining Influenced Water: From Bench Scale to O & M From Bench Scale to O

Passive Treatment of Mining Influenced Water: From Bench Scale to O & M From Bench Scale to O

Passive Treatment of Mining Influenced Water: From Bench Scale to O & M From Bench Scale to O & M BIOCHEMICAL REACTOR CONSTRUCTION, MINE POOL CHEMISTRY CHANGES, & O & M , GOLINSKY MINE, CALIFORNIA Jim Gusek, Sovereign

740 views • 59 slides
Welcome Grindstone Creek Flood Hazard Mapping Study The first Public Information Centre (PIC) was

Welcome Grindstone Creek Flood Hazard Mapping Study The first Public Information Centre (PIC) was

Welcome Grindstone Creek Flood Hazard Mapping Study The first Public Information Centre (PIC) was held November 8 th , 2018 and focused on obtaining public input to inform the study. The purpose of this evenings PIC is to: Present draft study

491 views • 13 slides
Integrating Ecosystem Services into Forest Service Programs and Operations Robert Deal, USFS PNW

Integrating Ecosystem Services into Forest Service Programs and Operations Robert Deal, USFS PNW

Integrating Ecosystem Services into Forest Service Programs and Operations Robert Deal, USFS PNW Research Station, Portland, OR Nikola Smith, USFS Pacific Northwest Region 6, Portland, OR Jonas Epstein, USFS WO-WFWARP, Washington, DC Outli

835 views • 55 slides
Revealing the Source of the Radial Flow Patterns in Proton-Proton Collisions using Hard Probes

Revealing the Source of the Radial Flow Patterns in Proton-Proton Collisions using Hard Probes

Revealing the Source of the Radial Flow Patterns in Proton-Proton Collisions using Hard Probes https://arxiv.org/abs/1608.04784 Gyula Bencedi 1,2 Gyula Bencedi 1,2 in collaboration with A. Ortiz 2 , H. Bello 3 1 Wigner Research Centre for

566 views • 33 slides
How does the debris from a stellar tidal disruption join an accretion flow? Roseanne M. Cheng 1

How does the debris from a stellar tidal disruption join an accretion flow? Roseanne M. Cheng 1

How does the debris from a stellar tidal disruption join an accretion flow? Roseanne M. Cheng 1 Hotaka Shiokawa 1 , Julian H. Krolik 1 , Tsvi Piran 2 , Scott C. Noble 3 1 Department of Physics and Astronomy, Johns Hopkins University, 2 Racah

940 views • 12 slides
Integrating Medical Sensor Systems into Electronic Medical Records: The ITALH Project and Testbed

Integrating Medical Sensor Systems into Electronic Medical Records: The ITALH Project and Testbed

Integrating Medical Sensor Systems into Electronic Medical Records: The ITALH Project and Testbed Ruzena Bajcsy, Shankar Sastry, Mike Eklund Tanya Roosta, Marci Meingast, Edgar Lobotan Adeeti Ullal, Rustom Dessai, Willy Cheung, Albert Chang

498 views • 15 slides

More recommend