Co se skrývá v datovém provozu? Cyber Security 2014, Praha 22.10.2014 Petr Špringl springl@invea.com
Moderní hrozby Společné vlastnosti? Nedetekováno AV nebo IDS 2010 Stuxnet 2011 Duqu 2012 Flame 2013?
Moderní hrozby Advanced Persistent Threats (pokročilé hrozby) Průmyslová špionáž a cílené útoky Zero-day útoky a polymorfní malware Společné vlastnosti Přesně cílené na prostředí oběti Šifrované a skryté v gigabitech běžného provozu Signatury nejsou dostupné Neviditelné pro tradiční řešení
se vás týkají Byli byste překvapeni, co se možná právě teď děje ve vaší datové síti...
Jak jim čelit? Monitorování a analýza provozu nové generace Nespoléhá na signatury Funkční i pro šifrovaný provoz Výkon v prostředí 10G Network Behavior Analysis: Protecting by Predicting and Preventing, Aberdeen Group Network Behavior Analysis Update, Gartner
Princip technologie
Řešení Sběr statistik o provozu Monitorová provozu datové sítě Vizualizace a detekce anomálií
Co se skrývá v provozu? Jak vypadal provoz naší sítě během jednoho dne? Je všechno v souladu s naším očekáváním?
Co se skrývá v provozu? Podívejme se na špičku. To bude v pořádku, IT oddělení provádí migraci dat. Nic zvláštního. Opravdu? Nebo bychom měli prozkoumat provoz z jiného úhlu pohledu?
Co se skrývá v provozu? Podívejme se na provoz z pohledu bezpečnostní analýzy, co je červená špička kolem jedné ráno?
Co se skrývá v provozu? Jde o útok z dvojice IP adres, které se nachází v Číně, obě adresy jsou známí útočníci.
Co se skrývá v provozu? Oba útoky nebyly úspěšné, můžeme se podívat na detaily až na úroveň jednotlivých spojení.
Co se skrývá v provozu? Vraťme se zpět k přehledu provozu, v čase mezi 1:00 2:00, pouze SSH provoz našeho serveru. Musíte vědět co hledáte nebo používat odpovídající nástroje pro analýzu provozu
Co se skrývá v provozu? Úniky dat Šíření SPAMu Příčiny provozních problémů
Úniky dat
Šíření SPAMu
Zahlcení sítě Špatná odezva sítě v důsledku přetížení
Chybná konfigurace Chybná konfigurace síťových služeb Přesun služeb na jiné servery Výpadky nebo blokování přístupu
Shrnutí
Zákonné požadavky Zákon o kybernetické bezpečnosti požaduje: Detekovat kybernetické bezpečnostní události Hlásit kybernetické bezpečnostní incidenty Definovaným způsobem (NCKB NBÚ) Provádět reaktivní protiopatření Kritická infrastruktura vždy Poskytovatelé elektronických komunikací a významných sítí za stavu kybernetického nebezpečí nebo za nouzového stavu
Rekapitulace Technologie IP flow monitoringu a NBA Je jednou z důležitých technologií pro detekci bezpečnostních událostí - včetně těch, které nejsou odhalitelné tradičními nástroji Evidence činnosti informační infrastruktury Detekce kybernetických bezpečnostních událostí ve vnitřní síti Sběru, vyhodnocení a hlášení kybernetických bezpečnostních událostí Společně s ochranou perimetru a koncových stanic představuje komplexní řešení pro zabezpečení sítě ENDPOINT PERIMETER SECURITY SECURITY LAN VISIBILITY & SECURITY
FlowMon APM Nový plugin do řešení FlowMon Application Performance Monitoring Monitorování výkonu aplikace HTTP & HTTPS zákaznické portály, intranety Jak se aplikace chová jednotlivým uživatelům Monitorování všech uživatelských transakcí Bez zásahu do sledované aplikace Pracuje na L7, rekonstrukce TCP spojení Měření doby odezvy a výkonu aplikace FlowMon = monitoring bezpečností, provozní i výkonu aplikací
INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU Založena 2007 Oblasti působení: Flow Monitoring Network Behavior Analysis Network & Application Performance Monitoring Přes 500 instalací řešení FlowMon celosvětově
Jak dál? Praktická ukázka řešení Případové studie a reference www.invea.com/cs/spolecnost/reference www.invea.com/cs/produkty-sluzby/flowmon/flowmon-pripadove-studie Pilotní projekt řešení FlowMon ve Vaší datové síti
Otázky? High-Speed Networking Technology Partner Petr Špringl springl@invea.com +420 724 899 760 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno Czech Republic www.invea-tech.com