ComSource Efektivní ochrana kritických infrastruktur IT Security Workshop 2016 Jaroslav Cihelka

Transkript

1 ComSource Efektivní ochrana kritických infrastruktur IT Security Workshop 2016 Jaroslav Cihelka

2 O čem dnes uslyšíte Novinky ComSource Kritická infrastruktura / kde a co to hlavně je Řešení ComSource - Scrubbing Center

3 ComSource s.r.o. Nové pobočky: Ostrava, Písek 30 zaměstnanců Scrubbing centrum čištění DDoS od konce roku Od ½ roku 2015 vývoj/výstavba Scrubbing centra II. vysoká kompetence u nabízených technologií / ustálený team 25 zaměstnanců a 5 externích pracovníků Nové dohledové centrum 24x7 Akvizice společnosti Abratica Dne byl oficiálně zaregistrován bezpečnostní tým společnosti ComSource s.r.o. v rámci mezinárodní důvěryhodné páteře "Trusted Introducer", která zastřešuje spolupráci bezpečnostních teamů typu CERT/CSIRT - jejichž primární náplní je řešení incidentů v oblasti kybernetické bezpečnosti.

4 ComSource partnerství a kompetence Základní partnerství Další partnersví DELL (Networking - Force10, PowerConnect, SonicWall ) Citrix (Networking - ADC, WAF, MDM, BYOD, ) Infinera (DWDM) TrustWave (Security web filtering, Database security,.) Novicom (IPAM, DDI, NAC, aktivní bezpečnost sítě,...) Aruba networks / Ruckus

5 ComSource Zázemí Lab / Demo Testování, troubleshooting (externí / interní / virtuální), atd. Juniper Routing, Switching, Security, WiFi Cisco, Citrix, Radware, Aruba SDN Lab včetně Serverů/Storage 24x7: ServisDesk LanDesk SD Dohled a Monitoring (nové dohledové a monitorovací centrum) Měřící technika: 2x10G Spirent Avalanche C2, 1G FTB-200 Compact Platform Ostatní Vlastní Security Center (DDoS, WAF, LB, ) RACK v CE COLO (Sitel) Přímé spojení na optice Členství v CZ.NIC, NIX Možnost virtuálního prostředí na testy ComSource nebo Cloud TCP Školící místnost

6 ComSource s.r.o. EFEKTIVNÍ OCHRANA KRITICKÝCH INFRASTRUKTUR

7 Kde se nachází kritická infrastruktura On Cloud On Premise www servery Eshop DB eshop Portálové služby CRM/ERP Výrobní systémy SCADA 7

8 Efektivní ochrana kritických infrastruktur??? Co to je Kritická infrastruktura? Jaká je efektivní ochrana? Konkrétní zákazník Např. společnost XYZ, s.r.o. Činnost: prodej spodního prádla prsenkář Průměrná objednávka 1 150,- Kč Průměrný počet objednávek denně h výpadek ,- Kč ( USD) 1h výpadek ,- Kč (2 300 USD)

9 Top hrozby 2015 DDoS Unauthorized Access Advanced Persistent Threat Intellectual Theft Phishing Worm/Virus Top hrozby % 39% 38% 37% 37% 46% Fraud 31% Corp./Geo-political Sabotage 21% Criminal SPAM 15% % 10% 20% 30% 40% 50%

10 DDoS v roce 2016 / CZ Kontinuální útoky na vzestupu Neočekávané cíle útoků - nikdo není imunní - Od roku 2014 je Bod zranitelnosti internetová trubka Reflexivní útoky největší bolest rychle a zběsile Ne toliko DDoS středem zájmu útočníků Hybridní ochrana nabývá na významu Postupující migrace do Cloud mění pravidla boje

11 Service Name Xakepy.cc World DDoS Service Trochu čísel Service Pricing (USD) 1 hour starts at $5 24 hours starts at $30 1 week starts at $200 1 month starts at $800 1 day starts at $50 1 week starts at $ USD / Kč 1 month = starts průměrná at $1,200 1 hour starts at $5 King s DDoS Services 12 hours starts at $25 24 hours starts at $50 cena DDoS útoku na 1 den 1 week starts at $500 1 month starts at $1,500 1 night starts at $35 1 week starts at $ MAD DDoS USD Service / Kč = průměrná 1 month starts at $500 Gwapo s Professional DDoS Service 1-4 hours at $2 per hour 5-24 hours at $4 per hour hours at $5 per hour objednávka eshopu 32 USD / 800 Kč = průměrná 1 week for $380 PsyCho DDoS Service 1 month at $1,000 fixed 1 hour for $6 1 night for $60 1 month for $900 cena thajské masáže na 1h 1 day for $70 DDoS Service night for $50 Blaiz DDoS Service Critical DDoS Service No. 1* DDoS_SERVICE 1 week starts at $450 1 day starts at $50 1 week starts at $300 1 month starts at $900 1 day starts at $50 1 week starts at $300 1 month starts at $1,000

12 Čištění provozu v Cloudu Čištění provozu na hranici Internetu, jen tak jsme schopni efektivně čelit útokům na Cloud infrastrukturu.

13 Ochrana proti DDoS formou služby Jak jsme na tom u nás v ČR?

14 Kam DDoS směřují #1 Každý zákazník je něčím specifický 14

15 Z 30 Mb/s na 2,7 Gb/s pod sekundu

16 10 Gb/s pod 30 sekund

17 Reflection/Amplification stále nejoblíbenější

18 Útočí se neustále Počet a intenzita útoků vzrůstá a doba se zkracuje

19 Co se dělo včera? Paralelní útoky Krátké útoky

20 Co se dělo včera? Paralelní útoky Krátké útoky

21 ComSource s.r.o. SCRUBBING CENTER FLOWGUARD - PRAČKA V CLOUDU

22 Hlavní myšlenka ochrany před DDoS Čištění provozu na hranici Internetu, jen tak jsme schopni čelit útokům na cloud infrastrukturu. Hlavní důvod: účinný antiddos na úrovni Internetu LoadBalancing, Aplication Delivery Controler WebAplicationFirewall Scrubbing center pračka v Cloudu

23 Jak na DDoS útoky?? Hybridní DDoS řešení nabízí spojení dvou variant nasazení u koncového uživatele ( CPE ) a Cloudu do jediného integrovaného řešení. Hybridní řešení podle typu útoků a jejich objemu zvolí, jestli přesměruje čištění do Cloudu DDoS nebo provede čištění přímo u zákazníka tak, aby byl optimálně chráněn. Součástí je také výměna informací o útoku mezi CPE a Cloudem, to umožňuje okamžitou reakci bez nutnosti znovu se učit strukturu útoku. Výhody: Možnost operativního navýšení množství čištěných dat Minimální nároky na know-how Vašeho IT oddělení Nízké celkové náklady vlastnictví Pokrytí všech vektorů útoku Rychlá reakce na útok Pro DDoS Provoz je směrován jen blok podezřelého provozu Integrovaný reporting Zaměřeno na volumetrické útoky DDoS a ochranu WEB Aplikací před škodlivým kódem.

24 Možnosti služby 1 Využití CPE u zákazníka Hybridní DDoS Cloud security center Cloud Detekce a signalizace útoku Signalizace přesměrování provozu PC Internet CPE Server/PC/Web app

25 Možnosti služby 2 Always-on služba U ochrany před DDoS je to možnost U ochrany web alikací nutnost Cloud security center Cloud WAF služba Příchozí provoz k WEB aplikaci obsahující škodlivý provoz Čistý provoz směrován do WEB aplikace PC Internet Web aplikace

26 ComSource řešení DDoS útoků Pokrývá útoky Schopnost CPE DDoS u koncového uživatele DDoS Cloud Hybrid UDP / ICMP network floods Ano Ano Ano Ano Útok na zahlcení Internetové Ne linky Ano Ano Ano SSL based attacks Ano Ne Ano Ano Útok HTTP GET / POST Ano Ne Ano Ano Low & slow attacks Ano Ne Ano Ano Čištění provozu Doba reakce na útok Ihned Pomalé - nejméně 15 minut Ihned Alwayson Ihned Spouštění automaticky Ano Ne Ano Ano Přesměrování provozu Přesměrování provozu pomocí BGP nebo DNS Ne Pro každý útok Jen pokud by útok zahltil Internetovo u linku stálé přesměrov ání

27 Přesměrování provozu Přesměrování pomocí BGP Přesměrování pomocí BGP je preferováno Zákazník musí mít přiděleny IP adresy a vlastní autonomní systém Při útoku dojde k propagaci bloku IP adres přímo ze strany DDoS Cloud Je zajištěno přesměrování provozu na blok IP adres do DDoS Cloud Tento typ přesměrování uchrání také konektivitu, nikoli jen serverové zdroje Zpět je provoz posílán pomocí GRE tunelu přímo do směrovače zákazníka nebo přes NIX.CZ (privátní VLAN) nebo přímým propojením na CE COLO nebo GTS.

28 Přesměrování provozu Přesměrování pomocí DNS Použití především u serverů Dlouhá doba propagace cca Hodiny Je zde využito ADC v roli reverzní proxy umístěné v DDoS Cloud Nutnost zajistit ochranu autoritativních DNS serverů Zamezení přímé komunikace z internetu na servery mimo DDoS Cloud

29 takové to domácí zařízení Umístěno v infrastruktuře zákazníka CPE INVEA-TECH FlowMon DDoS Defender RADWARE DefensePro Juniper DDoS Secure Spolupracuje s DDoS Cloud Zajišťuje detekci/vyhodnocení útoků v síti zákazníka Čistí útoky, které nejsou volumetrické Případně iniciuje potřebu přesměrování provozu Synchronizace signatur útoku s DDoS Cloud

30 DDoS Cloud Technologie MITIGACE&IPS RADWARE DefensePro ROUTING Juniper MX ADC / LB / WAF Citrix NetScaler FIREWALL Juniper SRX PROTOKOL FlowSpec

31 Cloud konektivita Celková současná kapacita 480G do zahraničí Poskytovatelé TTI + Cogent + TeliaSonera + Hibernia + Kaia Připojení 10G do NIX.CZ

32 Varianty FlowGuard Always On měsíční platba za předem stanovenou garantovanou kapacitu očištěného provozu z DDoS. Jedná se o trvalé přesměrování za legitimní kapacitu měsíční platba za předem stanovenou a garantovanou kapacitu očištěného provozu z DDoS Cloud zpět ke klientovi za útok za legitimní kapacitu jednorázová platba v případě útoku za garantovanou kapacitu očištěného provozu z DDoS Cloud zpět ke klientovi

33 Klíčové vlastnosti služby Možnost operativního zvýšení množství čištěných dat Pokrytí všech vektorů útoku Minimální nároky na know-how u zákazníka Rychlá reakce na útok Nízké celkové náklady vlastnictví Provoz je přesměrován až jako poslední možnost Služba je technicky zabezpečena a provozována z ČR Integrovaný reporting Profesionální podpora 24x7

34 Future Future Q Q Q Q Infra New RDWR Scrubbing FRS 1.0 SecCloud RoadMap Infra QFX5200 ADC 1.0 LB, HealtCheck WAF 1.0 OWASP T10 Scrubbing 2.0 DDoS Defender Integration Customer W/B lists Customer Mitigation Method Setup FlowSpec PoC BGP RR for customers Infra Site redundancy PPS Limit (J16.1) BGP Origin Protect Scrubbing 2.0 Customer Signatures Connection provisioning FlowSpec offload ADC 2.0 IPv6 NAT HTTP/2 TCP Multiplexing DNSSec Keyless SSL WAF 2.0 Customer rules CPE DDoS Scrubbing 2.0 GEOIP Blacklists Service 24h activation Reputation Management DNS DNS management WAF Two-factor authentication HSM integration Anycast DNS Service Instant activation PCI DSS Automatic Abuse Reporting Raw log access Frontend optimization CDN Caching Siem Integration Customized setup and branding

35 Aby byl zákazník spokojený, musí mít individuální nastavení a přístup. Magická krabička neexistuje!

36 ComSource s.r.o. Nad Vršovskou horou 1423/10, Praha 10, Děkuji