Kybernetické hrozby - existuje komplexní řešení? Cyber Security 2015, Praha 19.2.2015 Petr Špringl springl@invea.com
Bezpečnost na perimetru Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email security, vzdálený přístup
Bezpečnost koncových stanic Antivir, personální firewall, antimalware, antirootkit, endpoint DLP
To však již nestačí!
FIREWALL OK
IDS/IPS OK STOP
ANTI-X OK
IDENTITY MANAGEMENT
Moderní kybernetické hrozby Pokročilé hrozby (Advanced Persistent Threats) Cílené útoky a průmyslová špionáž Zero-day útoky a polymorfní malware Společné vlastnosti Přesně cílené na prostředí oběti Šifrované a skryté v gigabitech běžného provozu Signatury nejsou dostupné Neviditelné pro tradiční řešení (AV, IDS/IPS, firewall ) které chrání před známými hrozbami a útočníky
Bezpečnost vnitřní sítě Viditelnost do sítě flow monitoring, NBA behaviorální analýza, automatická detekce anomálií
Gartner doporučuje Gartner doporučuje monitorovat vnitřní síť pomocí Flow Monitoringu a NBA
Přehled síťové bezpečnosti Viditelnost do sítě & bezpečnost Bezpečnost na perimetru Bezpečnost Koncových stanic
Monitorování síťového provozu
NBA Detekce známých vzorů nežádoucího chování
NBA Detekce anomálií
FlowMon řešení
Přehled technologií
FlowMon architektura Monitorování síťového provozu FlowMon Sondy samostatné pasivní zdroje statistik ze sítě Sběr - statistik NetFlow o / IPFIX data provozu FlowMon Kolektor úložiště, vizualizace a vyhodnocení síťových statistik FlowMon ADS Vizualizace a detekce anomálií detekce anomálií, behaviorální analýza
FlowMon řešení
FlowMon Monitoring Center
Network Monitoring Benefits Monitorování provozu sítě nové generace & Performance Monitoring (NetFlow/IPFIX) Informace o aktivních zařízeních v síti, Reporting & Alerting system na základě Vámi vytvořených profilů Viditelnost až do aplikační vrstvy L7 (URL, hostnames) Značně snižuje náklady na síťové implementace a jejich správu
FlowMon řešení
FlowMon ADS
Bezpečnostní analýza Síťová bezpečnost nové generace Behaviorální analýza & detekce anomálií Odhaluje a rozpoznává útoky, které nejsou detekovány řešeními postavenými na signaturách Detekuje podezřelé změny chování Reportuje anomálie, DDoS i Advanced Persistant Threats
IPS vs. NBA (IDS vs. ADS) IPS (Intrusion Prevention System) Detekce útoků založená na rozpoznávání signatur Založeno na analýze aplikací L7 Ochrana proti známým hrozbám již detekovaným a pojmenovaným Závislé na databázi vzorů výrobce Působí na perimetru, neefektivní proti vnitřním hrozbám Nepoužitelné pro šifrovaný provoz Blokuje podezřelý provoz NBA (Network Behavior Analysis) Detekce změn chování a podezřelé komunikace Založeno na analýze IP statistik Detekce pokročilých útoků, Zero- Day útoků Nepoužívá žádné signatury LAN, WAN, analýza perimetru - odhalí vnitřní hrozby Pracuje i s šifrovaným provozem Pasivní pouze informuje Signature detection Host or network level Behavior detection Network level
FlowMon řešení
FlowMon Traffic Recorder
FlowMon Traffic Recorder Záznam vybraného síťového provozu v plném rozsahu (L2-L7) Výsledky ve formátu PCAP pro následnou forenzní analýzu (např. Wireshark) Široké možnosti filtrace a kritérií pro záznam provozu
FlowMon řešení
FlowMon DDoS Defender
Co umí DDoS Defender? Nový plugin do řešení FlowMon Detekce volumetrických útoků typu DoS a DDoS v reálném čase Pracuje na základě flow dat analyzovaných řešením FlowMon Pokročilé možnosti okamžité reakce Spuštění skriptu Přesměrování provozu do čističky či scrubbing centra Nástroj pro ochranu před DoS/DDoS útoky dostupný nejen největším organizacím
FlowMon řešení
FlowMon APM
FlowMon APM Nový plugin do řešení FlowMon Application Performance Monitoring Monitorování výkonu aplikace HTTP & HTTPS zákaznické portály, intranety Jak se aplikace chová jednotlivým uživatelům Monitorování všech uživatelských transakcí Bez zásahu do sledované aplikace Pracuje na L7, rekonstrukce TCP spojení Měření doby odezvy a výkonu aplikace loading, please wait
FlowMon řešení
Rekapitulace Technologie IP flow monitoringu a NBA Je jednou z důležitých technologií pro detekci bezpečnostních událostí - včetně těch, které nejsou odhalitelné tradičními nástroji Evidence činnosti informační infrastruktury Detekce kybernetických bezpečnostních událostí ve vnitřní síti Sběru, vyhodnocení a hlášení kybernetických bezpečnostních událostí Společně s ochranou perimetru a koncových stanic představuje komplexní řešení pro zabezpečení sítě ENDPOINT PERIMETER SECURITY SECURITY LAN VISIBILITY & SECURITY
INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU Založena 2007 Oblasti působení: Flow Monitoring Network Behavior Analysis Network & Application Performance Monitoring Přes 500 instalací řešení FlowMon celosvětově
Jak dál? Praktická ukázka řešení Případové studie a reference www.invea.com/cs/spolecnost/reference www.invea.com/cs/produkty-sluzby/flowmon/flowmon-pripadove-studie Pilotní projekt řešení FlowMon ve Vaší datové síti
Otázky? High-Speed Networking Technology Partner Petr Špringl springl@invea.com +420 724 899 760 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno Czech Republic www.invea-tech.com