Kybernetické hrozby jak detekovat? Ľuboš Lunter lunter@invea.com Cyber Security 2015 14.10.2015, Praha
Flowmon Networks Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU Založena 2007 (INVEA-TECH) Oblasti působení: Flow Monitoring Network Behavior Analysis APM, Packet Capture, DDoS protection Přes 500 instalací řešení FlowMon
Flowmon Networks Gartnerem rozpoznávána od 2010 Spolupráce s 2x Deloitte CE Technology Fast 50 Red Herring 100 Europe
Bezpečnost koncových stanic Antivir Personální firewall Endpoint DLP antirootkit antimalware Bezpečnost koncových stanic Bezpečnost na perimetru
To však již nestačí!
Co nám chybí? Viditelnost do sítě a bezpečnost Bezpečnost koncových stanic Bezpečnost na perimetru
Gartner doporučuje Gartner doporučuje monitorovat vnitřní síť pomocí Flow Monitoringu a NBA
Bezpečnostní nástroje Viditelnost do sítě & bezpečnost Bezpečnost na perimetru Bezpečnost Koncových stanic
Gartner
Gartner Style 12 45 3 Network Analýza Endpoint Payload síťového chování analysis Forensics na - provozu sandboxing koncových analýza incidentů zařízeních Detekce Detailní Aktivní Usnadňují Efektivně Nutné ochrana reporty, anomálii, doplňuje analýzu jednotlivé (blokování), rekonstrukce nejsou incidentů, signature-based agenti přístupy i detailní mimo incidentů konc. detekci, firemní informace, kombinovat (flow/paket zařízeních, síť téměř i mimo realtime, level) firemní Omezené Komplexní Agenti síť detailní na informace, každém možnosti složitost, koncovém možnost blokování, časově blokace zařízení náročné, nutné správné vysoká aktualizace, nastavení cena správa, pro paket false positive; capture konzumace Neblokují, Není jistota, řešení částečně agenti zdrojů že pro se na bude řeší větší každém některé chovat sítě zařízení FW, stejně IPS, - i aktualizace, mimo Web gateway simulovné správa prostřední, časový průběh malware
Řešení FlowMon
Přehled produktu FlowMon Monitorování datových toků Bezpečnost (NBA) Záznam komunikace v plném rozsahu Měření odezvy sítě a aplikací Ochrana před útoky typu DDoS 2013 2014 2015
FlowMon architektura Monitorování síťového provozu FlowMon sondy samostatné pasivní zdroje statistik ze sítě Sběr - statistik NetFlow o / IPFIX data provozu FlowMon kolektor úložiště, vizualizace a vyhodnocení síťových statistik FlowMon moduly Vizualizace a detekce anomálií detekce anomálií, záznam provozu, monitorování výkonu aplikací
Z pohledu uživatele Monitorování provozu v síti (NetFlow/IPFIX) Kompletní viditelnost do dění v síti Real-time a historická data pro LAN & WAN & komunikaci do Internetu Optimalizace správy a provozu sítě Efektivní troubleshooting Bezpečnost datové sítě (NBA, NBAD) Založeno na behaviorální analýze, nikoliv známých signaturách Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů
Shrnutí
Z pohledu uživatele Záznam provozu v plném rozsahu Na vyžádání při řešení problémů a incidentů Distribuovaná architektura Podpora sítí až 100G Monitorování výkonu aplikací Sledování uživatelských transakcí bez SW agentů Rozlišení zpoždění aplikace/sítě, sledování SLA Určeno pro HTTP/HTTPS aplikace a SQL databáze Ochrana před DDoS útoky Detekce volumetrických útoků Aktivní řízení směrování provozu a mitigace
Nasazení s Radware Anomaly Detection Mitigation Enforcement Traffic Diversion via BGP Route Injection FlowMon with DDoSDefender Scrubbing Center Dynamic Protection Policy Deployment incl. Baselines via Vision REST API Netflow Data Collection Learning Baselines Attack Path Clean Path Service Provider Core Protected Object 1 e.g. Data Center, Organization, Service etc Edge Protected Object 2 Access
Nasazení s Radware Scrubbing Center Anomaly Detection Mitigation Enforcement FlowMon with DDoSDefender Dynamic Protection Policy Deployment incl. Baselines via Vision REST API Traffic Diversion via BGP Route Injection Best of Class Attack Mitigation Netflow Data Collection Learning Baselines Attack Path Clean Path Protected Object 1 e.g. Data Center, Organization, Service etc Service Provider Core Edge Protected Object 2 Access
Příklady z praxe Bezpečnostní incident
Hlášení incidentu 28.5. 9:00 Nevím, co se děje Většina z nás se nedostane na Internet Ale informační systém je funkční Ve školící místnosti je vše v pořádku
Hlášení incidentu 28.5. 9:00 To je zvláštní Žádné hlášení ze Zabbixu nemám Servery i VPN jsou dostupné Podívám se do Flowmon-u
Hledání příčiny problému 28.5. 9:10 78 port skenů? DNS anomálie?
Hledání příčiny problému 28.5. 9:10 Podívejme se na ty skeny Ok, uživatelům nejede web Souvisí s tím ty DNS anomálie?
Hledání příčiny problému 28.5. 9:15 Jaký DNS server se používá? 192.168.0.53? To je notebook! No asi už tuším
Hledání příčiny problému 28.5. 9:15 Zdá se, že máme v síti nový DHCP server přitom to ale je notebook paní Novákové
Hledání příčiny problému 28.5. 9:20 Tak se na to podívejme Notebook o sobě prohlašuje, že je DHCP server
Hledání příčiny problému 28.5. 9:25 Odpojte notebook paní Novákové! Je příčinou problému, asi bude zavirovaný. A restartujte svoje počítače. Ok. Řeknu to ostatním
Nudná obnova notebooku 29.5. 08:00 Tak co tady máme? Dobrý pokus, ještě že jsem to odhalil
Jak nepustit hackera do sítě? A co když už tam hacker je? Co kdyby Malware opravdu fungoval? 192.168.0.X <-> 192.168.0.53 <-> 192.168.0.1 <-> Internet Z pohledu uživatele je všechno v pořádku, ale Malware by měl přístup k veškerému provozu Mimo jiné k přihlašovacím údajům a jiným citlivým datům Jak by se tento incident řešil bez monitoringu? Pravděpodobně by řešení trvalo hodiny, ne 20 minut Pokud by malware fungoval, tak by se o něm ani nedozvěděli
Shrnutí Neztrácejte čas hledáním pověstné jehly v kupce sena Monitorujte síť Buďte proaktivní Buďte o krok napřed Běžné prostředky chrání jen do určité míry Firewall, IDS, Antivirus, Potřebujete nástroje pro monitorování a analýzu provozu datové sítě, řízení přístupu do sítě, log management
Otázky? High-Speed Networking Technology Partner Ľuboš Lunter lunter@invea.com Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno www.invea.com