Petr Soukeník.

Transkript

1

2 Petr Soukeník

3 Jsem spokojen. Sophos nám dělal podobné DNS, ale musím říci, že zachytil pouze tak 5% z Vašeho filtrovaného provozu. Karel Beneš, BrazdimNET

4 1. Odešlete nám formulář z 2. Do zprávy nám napište smokovec 3. Snadno nasaďte 4. A testujte měsíc bez omezení

5 91,3 % 68 % malwaru využívá DNS překlad organizací nemonitoruje DNS překlad Cisco 2016 Annual Security Report

6

7

8

9 Neřešíme jen bezpečnost, staráme se o DNS. Chráníme všechna připojená zařízení. Šetříme práci i náklady, včetně rozvoje. Jednoduchá instalace. Už žádné starosti s hazardní blokací. Snižujeme blacklistování IP i objem abuse ů. Usnadňujeme zákaznický support. Čistíme konektivitu. Můžete využít jako dodatečný zdroj příjmů. Doplnění standardní ochrany. Účinnost ve všech fázích životního cyklu malware.

10 Infekce Instrukce od C&C Aktivita malwaru 1 2 3

11 em rozesílaný downloader Infekce (exploit) hostovaná na webu

12 Malware vyčkává s aktivitou až do prvních instrukcí od C&C serveru Pro komunikaci používá DNS překlad 91.3% malwaru (2016 Annual Security Report, Cisco)

13 Rozesílání spamu DDoS útoky Skenování online služeb Bruteforcing online služeb Keylogging Vydírání uživatelů

14 hacker.com safety.com Síťová infrastruktura DNS ochrana Externí Threat Intelligence Whalebone Threat Intelligence Whalebone Neuronová síť Heuristická analýza Zákaznická pravidla

15 Cloud DNS resolver On-premise DNS resolver Snadné nasazení = do pěti minut, pouze změna konfigurace DNS resolverů Bez nutnosti jakékoliv instalace ve vlastní infrastruktuře. Viditelnost na lokální IP Různé politiky podle zdrojové sítě/ip adresy Maximálně jednotky hodin Software / virtuální appliance na vašem HW / VPS

16

17 Kombinace mnoha open source zdrojů Tinba, Bedep, Ramnit, apod. Ransomware Tracker, Zeus Tracker Alienvault Open Threat Exchange Proprietární zdroje Data od AntiVirus vendorů Google Safebrowsing API Společnosti specializované na výzkum malwaru Vlastní zdroje Neuronové sítě ové honeypoty Analýza sekundárních zdrojů

18 Provozujeme ové honeypoty Posbíraný malware automaticky analyzujeme a zjišťujeme, které domény využívá Domény jsou obratem zařazeny do informací o hrozbách

19 Neuronová síť rozpoznává náhodně vypadající (Domain Generation Algorithm) doménu od normálních domén: Zero-day detekce neznámého malwaru a komunikace botnetů např. komunikace infikovaného Ccleaner Pokračujeme ve výzkumu automatizované blokace dalších typů hrozeb

20 60 tisíc domén / den Je zařazeno do naší databáze hrozeb 2,5 milionu domén Je celkový počet závadných domén aktivních v naší databázi 30 tisíc incidentů / den Je průměrný počet detekovaných incidentů ve všech zákaznických sítích 3 IP Stále provozují infikovaný CCleaner

21 Tím vyhodnotíme všechna data, abychom minimalizovali riziko false positive blokací

22

23 Detekce infikovaných a rizikových přípojek Možnost notifikace uživatelů a firem Automatická blokace opravdu závadného provozu Jednoduchý nástroj na blokaci vybraných domén Na přání zákazníka (např. školy) Na základě legislativního nařízení Nástroj pro zákaznickou podporu Blokace hazardu Výsledky použitelné pro marketing Ochránili jsme naše zákazníky před XYZ útoky Přehledy o trendech provozu a anomáliích (i přes API) Dodatečný zdroj příjmů (nový balíček + doplňková služba)

24 Snížení objemu spamu, DDoS a bruteforce útoků IP adresy a sítě nebudou zařazovány na blacklisty Zvýšení dostupnosti služeb zákazníkům Snížení počtu abuse hlášení a nutnost jejich řešení Méně klientů dožadujících se nápravy řádění malwaru

25 Lokální poskytovatelé internetu Národní telekomy Firmy a instituce Banky a finanční instituce

26

27 A hned prvy den u klienta vyskocil jeden malware, kolegovia uz odobrali vzorku a sanitizovali postihnuty stroj, robia analyzu, takze to vyzera super. MSSP partner, Slovensko

28

29 Předkonfigurován s přidaným modulem pro bezpečnostní filtraci

30 1. Definice různých politik podle zdrojové sítě/ip adresy 2. Upgrade a rekonfigurace bez výpadku DNS provozu 3. Podpora aktuálních standardů DNSSEC + monitoring 4. Zlepšení DNS služby zákazníkům: Prefetching aktualizujeme automaticky cache pro domény ještě než vyprší jejich TTL, resolver nečeká až se ho zeptá klient Serve stale v případě krátkodobé nedostupnosti autoritativních serverů si resolver pamatuje poslední záznamy v cache a použije je, aby klientům zajistil překlad

31

32 PDF verze neobsahuje gify s animací instalace, prosím navštivte kde jsou uvedeny všechny technické informace.

33

34

35

36

37

38 Tak rychlé a bezproblémové nasazení síťové bezpečnostní technologie se jen tak nevidí. Miloš Vodička vedoucí ICT AERO Vodochody

39

40 Až na úroveň konkrétních DNS dotazů. Nad auditem se dá dělat rozsáhlý výzkum a přinést mnohem víc informací. Možnost pokročilé fulltextové filtrace.

41 Desítky rodin botnetů blokujeme a přesměrováváme na naší blokační stránku. Zobrazujeme mnoho informací o hrozbách, např. o jakou konkrétní rodinu malware jde.

42 MX dotazy na unikátní domény Anomálie ukazuje na bota rozesílajícího spam

43

44

45

46

47 Jak jsme vybírali novou technologii pro lokální resolver a jak to dopadlo

48

49 Maximální výkon a škálovatelnost Modularita kvůli případným budoucím rozšířením Nejvyšší možná kompatibilita s RFC Schopnost plně využívat nativní konfiguraci vybraného resolveru Kvalitní DNSSEC Aktivní a živý vývoj resolveru

50

51 Velmi rozšířený a známý Pokračující vývoj Příliš velký moloch Ohromné množství starého kódu, který vyžaduje refaktorizaci Není modulární, obtížně by se zapojovaly naše vlastní funkce

52 Whalebone má s Unboundem zkušenosti Nabízí možnost zapojení modulů Vývoj a komunita není příliš živá Omezená podpora pro možnosti modulů

53 recursor Velmi živý vývoj a možnost zakoupení podpory Podpora modulů Moduly jsou zaměřeny zejména na autoritativní server, ale velmi málo na recursor Nedostatečná dokumentace k modulům

54 Velmi živý vývoj a možnost zakoupení podpory Jasná dedikace vývoje na dlouhou dobu dopředu Vývoj a podpora v ČR Technologie si zatím buduje své jméno a mnoho lidí s zatím nemá zkušenosti

55

56

57 1. Definice různých politik podle zdrojové sítě/ip adresy 2. Bezvýpadkové upgrady a úpravy konfigurace 3. Zlepšení DNS služby zákazníkům: Prefetching aktualizujeme automaticky cache pro domény ještě než vyprší jejich TTL, resolver nečeká až se ho zeptá klient Serve stale v případě krátkodobé nedostupnosti autoritativních serverů si resolver pamatuje poslední záznamy v cache a použije je, aby klientům zajistil překlad

58 1. Detekce domén, u kterých selhává DNSSEC validace a upozornění administrátora 2. Práce s identitou uživatele na základě autentizačních serverů a nebo interních systémů ISP (v logu nebude jen IP, ale i konrétní ID zákazníka) 3. Možnost aktivace automatizovaných akcí proti odchozím DDoS, spamu, zneužívání DNS protokolu, apod.

59 1. Odešlete nám formulář na 2. Do zprávy nám napište smokovec 3. Snadno nasaďte 4. A testujte měsíc bez omezení

60 Petr Soukeník