Cisco SecureX – Prípadová štúdia
Príklad nasadenia v organizácii, v ktorej sú implementované produkty Cisco WSA a Cisco NG FTD firewall. Toto riešenie je pre zákazníkov, ktorí majú jeden alebo viacero podporovaných Cisco bezpečnostných produktov a samotné SecureX je voľne k dispozícii.
SecureX je nová cloudová platforma, ktorá zjednocuje a prepája, integruje rôzne Cisco bezpečnostné systémy a produkty. Je možné tiež zaintegrovať aj riešenia tretích strán, napríklad pomocou API rozhrania. SecureX zlepšuje vizibilitu pomocou prispôsobiteľného Dashboardu pre rôzne tímy v rámci organizácie (napríklad Security tím, Network Operation tím, IT). Každý Dashboard je možné prispôsobiť požiadavkám daného tímu a vybrať ktoré dlaždice reprezentujúce grafy pozorovaní a incidentov v ňom budú zobrazené, kde budú zobrazené a aké časové hľadisko bude zobrazené. Threat Response, ktorý je súčasťou SecureX výrazne skracuje čas potrebný na zisťovanie a manažment bezpečnostných incidentov a koreluje ich pomocou globálnej inteligencie. Pre ešte väčšie zrýchlenie je možné použiť už predpripravené alebo vytvárať vlastné automatizované postupy spracovania incidentov - workflows.
Použitie nástroja SecureX začína vytvorením konta na https://security.cisco.com/. Prvý užívateľ, ktorý vytvára konto pre organizáciu je zároveň vlastníkom daného konta. Je samozrejme možné pridávať ďalších užívateľov alebo administrátorov. Pri vytváraní konta je potrebné zadať údaje o organizácii a hlavne vybrať cloud, v ktorom bude daná služba bežať (Amerika, Európa, Ázia). Overovanie prihlásenia je pomocou multifaktorovej autentifikácie Cisco DUO.
Po úspešnom vytvorení a prihlásení sa užívateľ dostane do samotného SecureX rozhrania:
Vľavo hore je možné vidieť nástroje SecureX: Threat Response a Security Services Exchange.
Threat Response je nástroj do ktorého môžeme zadať rôzne „observables“ (parametre, ktoré je možné pozorovať a vyhľadávať ako napríklad: IP adresa, SHA256 Hash súboru, e-mailová adresa, doména, URL adresa a podobne). Threat Response tieto observables pošle na vyhľadávanie v udalostiach jednotlivých zaintegrovaných modulov (produktov, systémov) a výsledky vyhľadávania následne koreluje do prehľadného grafu ako jednotlivé parametre, observables spolu súvisia a či súvisia aj s inými udalosťami.
Pre zariadeniach a bezpečnostných systémoch, ktoré sú priamo u zákazníka je potrebné zabezpečiť, aby vygenerované udalosti boli posielané do cloudu. Na toto slúži nástroj SSE (Security Services Exchange), ktorý je tiež súčasťou SecureX. V ňom je potrebné zaregistrovať bezpečnostné produkty a systémy a zvoliť, ktoré udalosti budú posielané do cloudu.
Na ľavej strane SecureX rozhrania je možné ďalej vidieť už zaintegrované produkty:
A aj ďalšie možnosti integrácie:
Tu vidno, že je možné zaintegrovať rôzne Cisco systémy, produkty a systémy tretích strán. Pri niektorých produktoch je aj možné vybrať si možnosť bezplatného vyskúšania (Free Trial).
V strednej časti rozhrania SecureX je možné vidieť „dlaždice“ (tiles) grafov, ktoré boli vybrané do daného Dashboardu. V pravej časti obrazovky je možné vidieť novinky.
V spodnej časti je nástrojová lišta (Ribbon). Táto lišta je rovnaká pre všetky zaintegrované nástroje, ktoré ju podporujú.
V tejto lište je možné vidieť jednotlivé zaintegrované nástroje a produkty, ktoré ju podporujú a je možné sa do týchto nástrojov aj prepnúť (klik na Launch):
Ďalej je možné vidieť záznamy prípadov (casebook – incident, incidenty, ktoré daný človek rieši), prípadne je možné vidieť jednotlivé incidenty.
Po prepnutí do iného nástroja, v našom prípade Threat Response, sa lišta a jej nastavenie pre konkrétneho užívateľa nemení, ostáva tak ako bola v SecureX.
V nami popisovanom prípade zákazník používa on-premise Cisco produkty WSA - Web Security Appliance a NG FTD Firewall. Tieto systémy sa do SecureX zaregistrovali prostredníctvom príslušných SSE (Security Services Exchange):
Tiež bolo potrebné povoliť aj posielanie udalostí zo zariadení do cloudu:
Po pripojení bezpečnostných riešení zákazníka, FTD firewall a WSA sa začali načítavať zaznamenané udalosti a začali sa napĺňať jednotlivé grafy v Dashboarde:
A po krátkom čase bolo vidieť narastajúci počet incidentov a to hlavne z FTD firewallu:
Po prezretí observables (v tomto prípade to boli IP adresy útočníka a obete) bolo možné daný incident poslať na skúmanie, investigovanie do Threat Response:
Threat Response a jeho pridaná inteligencia prešla jednotlivé moduly, identifikovala súvislosti medzi incidentami a vytvorila prehľadný graf ako spolu jednotlivé observables, parametre čo sme dali preskúmať, súvisia:
Z uvedeného vyplýva, že pridaná inteligencia zistila, že bol vedený útok z oranžovej IP adresy nielen na IP adresu obete, ktorú sme dali preskúmať, ale aj na ďalšie IP adresy (zistené poslaním obsevables, parametrov do jednotlivých pripojených modulov, systémov ktoré sú zaintegrované do SecureX).
Takýto prehľadný graf výrazne zrýchli hľadanie príčiny incidentu, jeho bližšie určenie a po zvážení aj vyriešenie zmenou konfigurácie na konkrétnom zariadení.
Ešte výraznejšie zrýchlenie spracovania incidentov je možné dosiahnuť zautomatizovaním spracovania. Zautomatizovanie spracovania incidentov je prídavný modul dostupný na vyžiadanie od spoločnosti Cisco. Je možné použiť už predpripravené postupy (workflows), ktoré sú súčasťou modulu automatizácie, alebo si vytvoriť vlastné. Vytváranie vlastných postupov nie je podmienené použitím programovacieho jazyka, skriptov, ale používa sa metóda Drag&Drop.
Výsledné riešenie SecureX:
V našom prípade boli do SecureX zaintegrované produkty WSA a NG FTD Firewall. Tým že zariadenia sú nasadené priamo u zákazníka, bolo potrebné ich zaregistrovať aj v SSE a povoliť posielanie udalostí do cloudu. Zákazník má sídlo v Európe, tak aj pri vytváraní SecureX konta bol vybraný cloud pre Európu. Pre zákazníka boli vytvorené tri rôzne Dashboardy. Modul automatizácie nebol v našom prípade nasadený.
Záver:
Incidenty a udalosti je možné vidieť aj v jednotlivých manažmentoch bezpečnostných nástrojov a ďalej ich v nich skúmať. SecureX riešenie však tieto incidenty spojí do jedného prehľadného rozhrania, čím zjednodušuje prácu ľudí zodpovedných za bezpečnosť a riešenie incidentov.
Riešenie SecureX je vhodné hlavne pre organizácie, ktoré už majú viac bezpečnostných riešení a produktov od spoločnosti Cisco a je pre ne výhodné zjednotiť ich udalosti, pozorovania incidentov do jedného nástroja. Aj pre organizácie, ktoré majú zatiaľ len jedno, prípadne dve riešenia ako v našom prípade, je SecureX prínosom z dôvodu pridanej inteligencie Threat Response nástroja.