A versão em Inglês deste Artigo se encontra em: Navigating Security in a Chaotic Environment - Part II .

 

Para obter uma cópia off-line ou impressa deste documento, basta escolher ⋮ Opções > Página Amigável para Impressora. Você pode então Imprimir > Imprimir em PDF ou Copiar & Colar em qualquer outro formato de documento de sua preferência.

 

Este Knowledge Base Article possui duas partes:

• Navegando de Forma Segura num Ambiente Caótico - Parte I: Introdução ao Ambiente Caótico & IA (Inteligência Artificial)

Descubra como lidar com Ambientes Caóticos de frente e explore o papel da IA na navegação dessa complexidade !!!

• Navegando de Forma Segura num Ambiente Caótico - Parte II: Exemplo do Mundo Real, Desafios e Dicas

Obtenha insights de Exemplos do Mundo Real de Ambientes Caóticos, descubra Desafios, e equipe-se com Dicas para "vencer esta Guerra".

 

PARTE I

Link:

Navegando de Forma Segura num Ambiente Caótico - Parte I

 

PARTE II

Obrigado @Durval Vieira , @Ivan Tratz , @Renato Guardia , @Robson Ribeiro , @Adonay dos Anjos , @Daniel Volpato pela contribuição !!!

 

Prefácio

Um cenário do mundo real com muitas adversidades gera muitas Lições Aprendidas e Histórias de Sucesso.

Os Desafios & Soluções enfrentados por um grande Cliente oferecem a todos os Leitores uma oportunidade única de aprender com a experiência diária deste constante "Campo de Batalha".

A Caixa Econômica Federal é uma enorme Instituição Financeira, com um Ambiente de Rede heterogêneo muito grande que buscava fornecer Zero Trust Access aos seus Funcionários, Contratados e Dispositivos que precisam de acesso aos Aplicativos da Empresa e Acesso à Internet.

O principal Desafio era encontrar Soluções Técnicas e Operacionais que proporcionassem Visibilidade e Controle de Usuários e Dispositivos, em uma Infraestrutura Diversificada e, em alguns casos, Legada, com Recursos de Segurança limitados.

 

Caixa Econômica Federal

Caixa Econômica Federal é um Banco Público fundado em 1861 com 85K+ Funcionários, 115K Usuários e 150M+ Clientes atendendo o território Brasileiro de 8,5M km2 e 26 Estados por meio de 53K+ Pontos de Atendimento (dentre eles 13 Agências Caminháo e 2 Agências Barco), 15K Switches e 250K Endpoints.

 

Como a Caixa Econômica Federal é:

• no Setor Público ... licitação é o principal motivo que cria um Ambiente Caótico
• é um Banco ... é um alvo atraente para Cibercriminosos

 

ISE

Visão Geral

Cisco Secure Zero Trust é uma abordagem abrangente para proteger todo o acesso entre Pessoas, Aplicativos e Ambientes. As três áreas principais do Zero Trust são: WorkForce, WorkPlace e WorkLoads ...

O WorkPlace é o coração do Cisco ISE !!!

 

A seguir... uma visão geral do Cisco ISE em 4 imagens:

 

 

 

 

Casos de Uso & Resultados

Casos de Uso & Resultados que podem ser habilitados por meio do Cisco ISE:

 

Cisco Secure Client vs Cisco AnyConnect

O Cisco Secure Client é a versão renomeada do Cisco AnyConnect.

O Cisco Secure Client é um Security Client abrangente que oferece um conjunto de serviços de segurança por meio de sua abordagem modular:

 

Um Exemplo do Mundo Real (Desafios/Dicas)

Nosso Exemplo do Mundo Real é baseado na Caixa Econômica Federal e no Cisco ISE !!!

 

Implantação

Esteja Preparado para a Próxima Crise !!!

A Segurança nunca deve ser uma reflexão tardia no Processo de Desenvolvimento, caso contrário, leva a vulnerabilidades e aumenta os riscos.

Em um momento de grande incerteza (onde a única certeza é: "Quando será a próxima crise ?"), devemos estar preparados para uma mudança rápida e suave de Wired para VPN, a Pandemia de 2019 foi um ótimo exemplo !!!

 

Desafios:

• Durante uma crise como essa, mover de forma rápida e segura 150K Usuários para o trabalho totalmente remoto (de Wired para VPN), mantendo não apenas a Qualidade do Serviço, mas também a Experiência de Todos (Experiência do Cliente e do Funcionário) é mais do que um desafio... é uma OBRIGAÇÃO... é a Reputação da Marca !!!

 

Dicas:

• Release & Patch

Evite Release & Patch diferentes entre VPN e Wired ISE Cluster.

• PAN & MnT

Dedicated PAN & MnT em ambos os Deployment para suportar a carga extra quando a mudança de Wired para VPN for necessária.

• PSNs

Esteja preparado para criar um novo arranjo de PSNs (De-Register de PSNs do Wired ISE Cluster e Register no VPN ISE Cluster).

• Load Balancer

Load Balancers entre NADs (Switchs / Firewalls) e PSNs (Wired / VPN Cluster) fornecem flexibilidade para uma migração rápida para o novo arranjo de PSNs !!!

 

Links:

Performance and Scalability Guide for Cisco ISE

ISE Software Download

 

Reavalie sua Implantação Periodicamente !!!

As Sizing Guidelines for ISE Deployment (Table 3 do Performance and Scalability Guide for Cisco ISE) são derivadas com base em testes sob as seguintes condições:

• O ISE Deployment é formada em um Single Datacenter implantado na mesma Region
• Low Latency (menos de 5 ms) entre as ISE InterNode Communications
• Eventos de DOT1X Authentication e Accounting gerados por Endpoints estão na faixa de 2 a 4 repetições por dia

 

 

IMPORTANTE: no caso de Deployments em que os Endpoints geram Eventos repetidos de Authentication e Accounting, é necessário um número maior de PSNs no PSN Group para ajudar a lidar com Tráfego Pesado.

 

Desafios:

• Infelizmente, em um Ambiente Caótico, é extremamente difícil prever com antecedência o número de Authentications repetidas e Accounting Events gerados por Endpoints !!!

 

Dicas:

• reavaliar periodicamente seu Deployment é a ÚNICA opção !!!
• o Suppress Repeated Failed Clients e Suppress Successful Reports (em Administration > System > Settings > Protocols > RADIUS > Suppression & Reports) são configurações importantes para proteger a saúde de seu Deployment !!!

 

• O Chart: Passed Authentication By Day (em Operations > Reports > Reports > Endpoints and Users > Authentication Summary) é um gráfico excelente para visualizar o número de Authentications Events !!!

 

• fique sempre de olho em:

 Authentication Rates (Table 5: RADIUS, Table 6: TACACS+ e Table 7: Scenario-Specific) do Performance and Scalability Guide for Cisco Identity Services Engine:

Avg TPS (Average Transactions per Second) (em Operations > Reports > Reports > Diagnostics > Key Performance Metrics) :    

 

TPS Line Graph (em Operations > System 360 > Log Analytics > RADIUS Authentication Summary) : 

 

Links:

ISE - O que precisamos saber sobre SNS / VM

 

Unknowns to Knowns to Classified !!!

O Cisco Learning Nerwork tem incríveis Identity Services Engine Training Videos, uma das Lessons falou sobre Scaling ISE Deployments for Long Term Success.

Esta Lesson explica que diferentes Mídias têm diferentes Consumos de Recursos em oposição às Units da Policy Service Node Scale (Table 4 do Performance and Scalability Guide for Cisco ISE).

 

É extremamente importante ir de Unknowns, para Knowns, para Classified NÃO SOMENTE para dimensionar melhor seu Deployment, MAS TAMBÉM para proteger melhor seu Deployment contra Ameaças !!!

 

Desafios:

• Infelizmente, em um Ambiente Caótico, com múltiplas "Coisas", é extremamente difícil identificar TODOS os Endpoints !!!

 

Dicas:

• em Operations > Reports > Reports > Endpoints and Users > Authentication Summary, verifique a Authentication by Identity Group e busque por Unknown.

 

• use as seguintes ferramentas para ir de Unknowns, para Knowns, para Classified:

ISE Profiling: uma feature que fornece detecção e classificação dinâmicas de Endpoints conectados à Rede.

Device Sensor: uma feture usada para coletar Dados Brutos de Endpoints de Network Devices.

 

Links:

ISE Profiling Design Guide

Device Sensor

Configure Device Sensor for ISE Profiling

 

Recuperação de Desastres

Um Scheduled Backup e um Functional Restore ... Pode não ser Suficiente !!!

Um Scheduled Backup e uma Functional Restore são componentes essenciais de uma estratégia de Disaster Recovery (ou para se recuperar de um Ataque de Ransomware), mas podem não ser suficientes quando você tem que lidar constantemente com Solicitações de Intimação e Prazos.

 

Desafios:

• É um desafio evitar constantemente o desperdício de dezenas de horas (ou até dias) restaurando o Sistema e obtendo as informações solicitadas na Intimação dentro do Prazo estipulado.

 

Dicas:

• em Operations > Reports > Reports > Endpoints and Users > RADIUS Authentication | RADIUS Accounting, agende um Report diário com o seguinte Filter: Logged At EQUALS yesterday:

 

Link:

ISE - CSCwn63678 - Radius Accounting reports ISE 3.3

 

A Sala de Guerra

Para gerenciar Riscos de Negócios durante um Ataque de Cibersegurança, você deve primeiro identificar TODAS as Ameaças e então priorizar qual delas tem o maior impacto em seu Negócio ...

... para identificar TODAS as Ameaças em um Ambiente Caótico com múltiplos Fornecedores, Hardware e "Coisas", você DEVE ter múltiplas Equipes especializadas ...

 

"1a Regra"

A "1a regra" e melhor prática para qualquer Sala de Guerra é envolver o mínimo de pessoas possível !!!

 

Desafios:

• Chamar rapidamente as Equipes especializadas certas para colaborar em uma Sala de Guerra e responder efetivamente às Ameaças que têm maior impacto no seu Negócio ... é um ENORME desafio !!!

 

Dicas:

• em Administration > Network Resources > Network Devices preencha o Location e Device Type com nomes significativos (por ex.: [State] e [State]-[NAD Vendor]-[NAD Model])
• em Policy > Results > Authentication > Allowed Protocols preencha o Service Name com nomes significativos (por ex.: Wired-DOT1X-[NAD Vendor] ou Wired-MAB-[NAD Vendor])
• em Policy > Profiling > Profiling Policies crie Rules para identificar seus Endpoints com a opção Create an Identity Group for the Policy habilitada:

 

• em Operations > Reports > Reports > Endpoint and Users > Authentication Summary, use as seguintes informações para identificar rapidamente a Equipe especializada e priorizar os riscos do Negócio.

Authentication by Location
Authentication by Device Type
Authentication by Allowed Protocol
Authentication by Identity Store
Authentication by Failure Reason
Authentication by Identity Group

 

Seus Business Behaviors

Entender seus Business Behaviors (limites e padrões específicos) é o primeiro passo para identificar Comportamentos Anômalos ou Ameaças que você "não consegue ver" !!!

Esses Comportamentos Anômalos podem ser Ataques de Cibesegurança ou Problemas Críticos que você DEVE Reagir rapidamente, especialmente em um Ambiente Caótico Enorme !!!

 

Desafios:

• Identificar rapidamente Ameaças que você "não consegue ver" é outro GRANDE desafio em um Ambiente Caótico !!!

 

Dicas:

• entenda seus Business Behaviors (limites e padrões específicos) usando seus Dados de Referência Histórica.
• em Operations > System 360 > Log Analytics:

RADIUS Performance:

verifique o RADIUS All Traffic per Server: 

Week till 12:30 PM - Normal behavior

Week till 01:00 PM - Anomalous behavior

Week - Anomalous behavior highlight

Day - Anomalous behavior highlight

Hour - Anomalous behavior highlight

 

 

Hour - RADIUS Authentication highlight

 

 

Hour - Pass highlight

 

Profiler Performance:

verifique o Profiler Events:

 

Hour - Profiler CoA highlight

 

Registro de Certificado de Dispositivos Linux usando NDES (SCEP)

Sem um Trusted System para Authentication, agentes maliciosos podem se passar por Dispositivos legítimos.

Digital Certificates desempenham um papel crucial na proteção de dados confidenciais e na prevenção de acesso não autorizado, verificando Identities e criptografando Informações.

O processo de Registro de Digital Certificates garante que um Dispositivo obtenha Digital Certificates de uma Trusted Authority, conhecida como CA (Certificate Authority).

O Microsoft NDES (Network Device Enrollment Service) é um dos serviços de função do AD CS (Active Directory Certificate Services) que atua como uma Registration Authority para permitir que Dispositivos obtenham Certificates com base no SCEP (Simple Certificate Enrollment Protocol).

 

Desafios:

• O GPO (Group Policy) é usado para distribuir Digital Certificates que se encadeiam para uma Trusted Root em um AD Domain para Dispositivos Windows. E quanto aos Dispositivos Linux ?

 

Dicas:

• use NDES (SCEP)

 

Link:

What is NDES for AD CS ?

 

Novos Release / Novas Features

• para ser Proativo, é altamente recomendável ficar de olho nos próximos Releases / Patches:

 

• esteja ciente do Software Suggested Release:

 

Link:

Cisco ISE Release Notes

Cisco ISE Software Download

Cisco Secure Client 5.1 Release Notes

Cisco Secure Client 5 Download

 

APIs

A partir do Cisco ISE Release 3.1+, as MnT APIs (port 9443), as ERS APIs (port 443 ou 9060) e as Open APIs (port 9070) são roteadas por meio de API Gateway (uma solução de gerenciamento de API que atua como um único ponto de entrada para várias Cisco ISE Service APIs).

Em um Distributed Environment, as Read Requests são encaminhadas para um PSN ou um Primary PAN, mas as Write Requests são encaminhadas SOMENTE para o Primary PAN. O Primary PAN é o ÚNICO Node que tem autoridade de gravação no Deployment Environment.

 

Desafios:

• Em um Enorme Ambiente Caótico, é um desafio gerenciar o Sistema manualmente.

 

Dicas:

• Criar APIs personalizadas

 

Link:

Cisco ISE API

 

API para Distributed Management NADs

CODE SNIPPET para API for Distributed Management NADs

Code Snippet

 

 

API para Distributed Management and Automation of Whitelists

CODE SNIPPET para API for Distributed Management and Automation of Whitelists

 

Data Connect

Data Connect é uma feature que fornece acesso Read-Only ao ISE Database para que você possa consultar Dados e criar seus próprios Reports - DIY Reports (Do It Yourself).

TCP / 2484 é usado para estabelecer Database Connections com o ISE por meio do Oracle TCPS (TCP Secure) Protocol.

 

ISE 3.2+ suporta Data Connect.

 

Desafios:

• Defaults Reports nem sempre são a melhor opção para atender às suas necessidades.

 

Dicas:

• use o Data Connect para criar seus próprios Reports - DIY Reports (Do It Yourself).

 

Link:

ISE - O que precisamos saber sobre Data Connect

 

Compartilhar Conhecimento - A Única Opção

Security Knowledge Base Articles e Ideias & Melhorias são parte do processo de Sharing Knowledge e melhoria do Cisco ISE, alguns exemplos são

 

Security Knowledge Base Articles

Slow Replication

Em um Ambiente Caótico, o Slow Replication é uma das causas de problemas em uma Implantação do ISE.

Para uma análise aprofundada do Cisco ISE - Slow Replication causada por "Atores Externos" (não o ISE), o que isso significa, como lidar com isso e seu impacto na Implantação do Cisco ISE, dê uma olhada em:

ISE - Slow Replication

 

Queue Link Error

O ISE Messaging Service é iniciado em cada ISE Node e usado para trocar informações entre Nodes (via TLS usando um Certificado emitido pela CA Interna do ISE). O Queue Link é a conexão entre esses Nodes, e o Queue Link Error significa que algo deu errado !!!

Para uma análise aprofundada do Cisco ISE - Queue Link, como lidar com ele e seu impacto na sua Implantação do Cisco ISE, dê uma olhada em:

ISE - Queue Link Error

 

Ideias & Melhorias

As dificuldades enfrentadas tanto no dia a dia quanto durante uma Sala de Guerra se tornam Lições Aprendidas e estas, por sua vez, são traduzidas em Ideias & Melhorias, a maioria postada (mais de 40x) em:

Cisco Insider User Group Ideas - Security.

Como:

ISE: improve the ISE GUI

outros em:

Cisco CX Cloud Ideas.

 

Conclusão

Este Knowledge Base Article levou os Leitores em uma jornada da Teoria (na Parte I) à Experiência (na Parte II) para atingir os seguintes objetivos importantes:

• explorar o "universo teórico" de um Ambiente Caótico (como eles surgem e como se preparar para eles)
• compartilhar experiências do mundo real (apenas algumas) de um Enorme Ambiente Caótico (desafios e dicas)
• demonstrar a importância de Compartilhar Conhecimento (a ÚNICA opção para "vencer esta Guerra")

 

Agora é hora de "sujar as mãos" e pular para a Prática em seu próprio Ambiente !!!

Lembre-se de que: Teoria por si só não é suficiente, a Prática é apenas o começo e uma boa Experiência é feita com Teoria e muita Prática !!!

 

Estamos ansiosos para ouvir de você... sinta-se à vontade para compartilhar seus pensamentos e Lições Aprendidas aqui !!!

 

OBRIGADO PELO SEU TEMPO !!!   ;  )