Med den inbyggda Next Generation Firewall (NGFW) Features är Ciscos brandvägg Firepower otroligt effektiv när det gäller att att blockera externa hot. Men använder du all den kunskap och information som Firepower har om ditt nätverk?
I det här blogginlägget kommer jag att berätta hur du bygger ditt Cisco Firepower Management Center och får koll på om enheter i ditt nätverk är infekterade med skadlig kod – och om de i så fall används i botnet eller liknande.
Utnyttja Firepower brandvägg i mycket högre grad
Firepower Management Center fungerar ”direkt ur lådan” med kontrollpanelens standardinställningar. Men gör du bara några få tillägg till dessa kan du utnyttja er Firepower-brandvägg i mycket högre grad och få betydligt mer ut från den data som Firepower samlar in på nätverket.
En Firepower-brandvägg kan självklart blockera anslutningar mot kända säkerhetshot, men det finns oftast en orsak till att anslutningen skapats.
Identifiera orsaken till hotet med er brandvägg
Att blockera en anslutning räcker därför inte utan vi måste också hitta orsaken till problemet på enheten.
Är enheten smittad med skadlig kod? Är enheten en del av ett botnet utan att den deltar aktivt eftersom anslutningen är blockerad av er Firepower-brandvägg?
Om så är fallet, är det IT-avdelningens viktigaste uppgift att hitta de här enheterna och rensa dem från infektioner. Om AMP for endpoints är installerat är det relativt enkelt att blockera och avlägsna infektionerna. Om inte, kan man använda Security Intelligence från Firepower Management Center för att hitta enheterna och rensa dem.
På de flesta nätverk finns enheter som ligger utanför IT-avdelningens administrativa rättigheter. Det kan exempelvis vara anställdas egna smartphones eller andra IoT-enheter under BYOD-paraplyet. Därför måste vi naturligtvis ha möjlighet att begränsa åtkomsten från dessa enheter till interna resurser så att inga infektioner sprids.
Men vad ska man göra med alla enheter som hör till IT-avdelningens administrativa domän? Dem måste vi markera i Firepower Management Center så att vi kan reagera på interna säkerhetshändelser.
Cisco samlar information i Firepower om Intrusion Prevention, Advanced Malware Protection, URL filtering og Security intelligence. Sedan presenteras den som Indicators of Compromise eller som IOC:er.
Indicators of Compromise aktiveras när Firepower har bekräftat att en enhet är infekterad eller har skickat trafik till IP-adresser eller webbadresser som är kända som osäkra eller som skräpfiler.
Indicators of Compromise i Firepower Management Center
För att hitta Indicators of Compromise i Firepower Management Center kan vi till exempel öppna Summary Dashboard –> Threats som visas nedan.
På den här kontrollpanelen kan vi se en widget som heter Indications of Compromise by Host. Panelen tittar på hela nätverket, vilket innebär att du får IOC:er på alla nätverksenheter, både på dem som innehåller de anställdas egna mobila enheter och på alla andra potentiella enheter utanför IT-avdelningens administrativa domän.
Som tur är har Cisco gjort det möjligt att skapa flera olika widgets där man kan ange vilka IP-adresser som ska ingå i varje enskild widget. Därför kan vi skapa en ny widget som bara innehåller enheterna inom IT-avdelningens administrativa domän, som till exempel servrar och datorer i IT-avdelningens Active Directory-domän.
För att skapa denna nya Widget måste du först skapa en sökning, se nedan Analysis -> Search.
I Search väljer du Host Indications of Compromise till vänster – nedan markerat med rött. Därefter anger du vilket nätverk som Search ska innehålla under IP-adress – markerad med blått.
Välj sedan Save as New och döp den, exempelvis till DC.
Skapa nu en ny widget på din kontrollpanel. Klicka på Overview -> Dashboard, välj Dashboard och klicka sedan på Add widgets i det högra hörnet.
De olika widgetarna visas i Firepower Management Center. Välj nu Custom Analysis, se nedan:
När du klickar på Add, läggs den nya widgeten till din kontrollpanel och du kan återgå till Overview -> Dashboards för att konfigurera den nytillagda widgeten.
I ovanstående widget har jag konfigurerat Host Indications of Compromise och den tidigare gjorda sökningen. Den visar därför bara de IOC: er som Firepower Management Center har sett på det specifika nätverket som anges i sökningen.
Det är också möjligt att skapa en widget med User Indications of Compromise, något som gör det enklare att identifiera den enskilda datorn och användaren.
Därefter kan du välja listans intressantaste IOC:er. I exemplet ovan har endast en dator en IOC.
Genom att klicka på en specifik enhet markerad med Indicator of Compromise på vår widget, visar Firepower Management Center en flik med de hittade IOC: erna på den enskilda enheten.
Genom att klicka på Hosts visas ännu mer information – inklusive detaljer om den specifika IP-adressen.
Som framgår har den här enheten skickat eller tagit emot skadlig kod i en filöverföring. Välj det lilla förstoringsglaset som visas nedan för mer information om destinationen och hur ofta händelsen har inträffat.
En logg med käll- och destinations-IP-adresser kan också visas. Se exempel nedan.
När de infekterade servrarna och/eller datorerna har identifierats börjar vårt arbete med att rengöra dem från infektionen och inte minst med att hitta en lösning på problemet.
Hotet blockeras ofta av Firepower, men enheten bakom IP-adressen kan också ha infekterats med annan skadlig kod. Om en bärbar dator är infekterad, är risken stor att skadlig kod sprids till andra nätverk när medarbetaren till exempel tar sin bärbara dator till andra platser och nätverk.
Därför är det ofta nödvändigt att skanna den bärbara datorn med en Endpoint Protection Solution – till exempel AMP för endpoints – eller i sista hand ominstallera datorn för att ta bort den skadliga koden.
Hotet identifieras – och tas bort
Efter att vi har identifierat orsaken till IOC:n, städat upp och tagit bort hotet måste IOC:n markeras som löst på host-sidan. Man kan också göra det genom att klicka direkt på IOC:n i vår sökning, se nedan.
IOC:n tas sedan bort från Firepower Management Center, vilket gör det lättare att få en överblick över de återstående eller framtida IOC: erna.
Se över listan på IOC:er varje vecka!
Min starka rekommendation är att se över listan på IOC: er varje vecka för att säkerställa att vi kontinuerligt följer upp säkerhetshändelser i nätverket.
Ta gärna kontakt med oss på Conscia Netsafe för att få en genomgång av Firepower Next Generation Firewall och Firepower Management Center och se vilka förbättringar de kan ge din verksamhet, eller för en bredare IT-säkerhetsanalys av er verksamhet.
Jesper Erbs är en CCIE-certifierad nätverksexpert med fokus på säkerhet. Jesper har djup insikt i och stor erfarenhet av nätverks- och nätverkssäkerhetslösningar som optimerar värdet av verksamheten och ökar nätverkssäkerheten.
