违反!防御销售点网络和系统

鉴于最近新闻中出现的销售点(PoS)攻击,我相信你们中的许多人都在考虑或采取行动,构建更好的防御。我最近与思科的一个团队合作,对如何正确地保护销售点网络免受攻击进行了同样的分析。我们使用的攻击场景是在最近的入侵、blackpos和其他PoS恶意软件攻击之后模拟的。简而言之,我们分析了销售点环境中发现的威胁,并设计了一个思科安全解决方案,该解决方案将提供最大的影响,同时对PoS环境的破坏最小。我们提出了一些原则,以确保最终获得最佳解决方案:

  • 快速和易于部署是一个高度优先级
  • 重点防范利用自定义恶意软件或零日方法的有针对性的攻击
  • 确保覆盖整个攻击生命周期;攻击的前、中、后阶段

根据这些设计目标,我们提出了三种思科安全解决方案,根据您的环境、预算和风险状况,它们既可以单独使用,也可以作为一个系统一起使用。最符合上述设计目标的三种安全解决方案是:

  1. 思科网络威胁防御(CTD)
  2. 思科Sourcefire高级恶意软件预防(AMP)
  3. Cisco Sourcefire下一代IPS (NGIPS)

这三种解决方案涵盖了全面攻击连续体:之前,期间和之后(BDA)。以下是每个阶段的描述:

连续攻击

此下一个图形显示了BDA连续内最常见的安全解决方案的映射。CTD也可以在前阶段中有用。阅读更多信息。

前阶段

攻击连续扩展
Cisco CTD允许您创建安全区域规则,并将您提醒您,如果流量流中断区域规则。这允许您使用规则设置PCI区域,该规则将禁止将数据从PCI区域传输到任何其他区域。CTD使用网络作为传感器,特别是NetFlow,以获得实时业务流的未绘制视图。该解决方案符合我们所有的三个要点。它是非侵入式,而不是内联,因为它使用思科网络中已有的NetFlow数据。它可以非常容易地安装,并快速创建的区域。最后它在找到目标或零日攻击时非常出色,因为它是不糟糕/脱离网络流量的策略行为。

以下是CTD的屏幕截图,在易于使用的关系图中,有一些区域设置:

CTD区域

阶段

阶段期间利用所有三种解决方案:CTD,AMP和NGIPS。同样,这些解决方案可以一起使用或分离。在此阶段,CTD提供了一个名为“可疑数据丢失”的盒子功能中的功能。此功能使用区域来确定异常数量或数据类型是否以天组播方式将组织留出。因此,当恶意软件进入exfiltrate时,被盗数据通过Netflow看到此上传,并将警报。AMP能够在阶段中检测恶意软件。AMP查看文件的声誉和行为,因为它们遍历网络或删除运行放大器客户端的客户端。如果之前未看到文件,则自动将其上载到放大器客户端进行分析,沙盒和判决将被传回放大器。可恶意文件可以在网络设备或放大器客户端丢弃。Fireeamp目前在任何SourceFire Ngips或NGFW设备上运行。 The final solution for during is NGIPS, this applies snort rules to traffic to find malware or malware like activity. All of the known variants of PoS malware already have snort signatures. NGIPS also includes layer 7 application visibility and control for 100's of apps which will allow it to detect many of the data exfiltration and command&control methods even zero-day malware will use. All of these solutions incorporate multiple types of context into their alarms and data. Username, device type, location, traffic types, apps used, and much more. For CTD, Cisco ISE can even feed data over.

CTD怀疑数据丢失和报警趋势

以下是CTD可疑数据丢失和报警趋势的屏幕截图。您可以清楚地看到图中的FTP上传:

思科Sourcefire防御中心仪表盘

这是Cisco SourceFire防御中心仪表板的屏幕截图。防御中心管理Ngips和AMP,以及我们不会在这个博客中谈论的NGFW。您可以快速查看POS网络上的威胁和危险应用程序。

思科AMP(高级恶意软件保护)仪表盘

以下是Cisco AMP(高级恶意软件保护)仪表板的局部屏幕截图。

以下是Cisco SourceFire放大器用于击败恶意软件的多个分析方法

SourceFire先进的恶意软件保护(AMP)

在阶段之后

之后的阶段是关于确定损害的范围,控制攻击,补救和清理混乱。对IT部门来说,准确了解发生了什么,感染有多大,并确保彻底清理是非常苛刻的要求。这就是CTD和AMP解决方案的不同之处。这两个解决方案本质上都随时间提供可见性,而不仅仅是时间点。CTD创建各种历史分析,如基线、异常、行为分析、流速、应用程序类型,最重要的是,它记住整个网络中从主机到主机的网络数据流。CTD还内置了检测蠕虫传播和其他类似恶意软件行为的规则。AMP监视所有文件,因为他们通过网络从客户端,服务器,www,存储等。AMP非常详细地了解每个文件的声誉威胁、风险和行为,包括内存使用、系统调用等。因为AMP从未失去跟踪的文件您可以执行文件轨迹追踪病人零恶意软件爆发,找到所有受感染的主机和感染他们,找到文件,通常是由其他文件如滴管和看到所有的恶意软件的文件系统上。这两种解决方案,CTD和AMP,将确保您可以通过后阶段,并有信心,当您完成清理的混乱。

这是AMP文件轨迹的屏幕截图。请注意,该文件从出现未知,并显示为灰色圆圈。完成分析后,快速转向红色圆圈。然后,您可以在整个网络和主机中跟踪其偏移,如行和箭头所示。这表明您完全如何传播,它丢弃和/或创建的其他文件,那些文件所做的等等等等。基本上是AMP提供总是开启的,正常,恶意软件法医分析。

AMP文件轨迹

这是看思科网络威胁防御蠕虫漂移事件和地图:

这三个Solutons背后有更多细节:CTD,AMP和Ngips。如果您想了解如何使用它们来抵御销售点网络,您可以按照需求聆听我的网络研讨会注册表:http://cs.co/90005SII

思科网络威胁防御

这里提出的意见和信息是我个人观点而不是雇主的观点。我绝不是雇主的官方发言人。

杰米的博客 有关安全的更多条款。

加入网络世界社区有个足球雷竞技app脸谱网linkedin.对自己最关心的话题发表评论。
有关的:

版权所有©2014.Raybet2

工资调查:结果是