ClearPass a Introspect (UEBA) řízení přístupu do sítě a zachycování útoků na vnitřní systémy

Podobné dokumenty
Aruba ClearPass bezpečné řízení přístupu do sítě a integrační možnosti. Daniel Fertšák Aruba Systems Engineer

& GDPR & ŘÍZENÍ PŘÍSTUPU

Petr Vlk KPCS CZ. WUG Days října 2016

User based tunneling (UBT) a downloadable role

Proč prevence jako ochrana nestačí? Luboš Lunter

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Kybernetické hrozby jak detekovat?

Komentáře CISO týkající se ochrany dat

Zabezpečení infrastruktury

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Bezpečnostní vlastnosti moderních sítí

Systém detekce a pokročilé analýzy KBU napříč státní správou

ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Firemní strategie pro správu mobilních zařízení, bezpečný přístup a ochranu informací. Praha 15. dubna 2015

Ivo Němeček. Manager, Systems Engineering Cisco and/or its affiliates. All rights reserved. Cisco Public 1

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Silná autentizace a detekce fraudu (nejen) ve finančním sektoru jak to udělat správně

PB169 Operační systémy a sítě

Řízení privilegovaný účtů

Jan Pilař Microsoft MCP MCTS MCSA

Kybernetické hrozby - existuje komplexní řešení?

Ladislav Arvai Produktový Manager Aruba Networks

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Flow Monitoring & NBA. Pavel Minařík

Aktivní bezpečnost sítě

Koncept. Centrálního monitoringu a IP správy sítě

Koncept centrálního monitoringu a IP správy sítě

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Bitdefender GravityZone

Kybernetická rizika velkoměst

ANECT & SOCA ANECT Security Day

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Téma bakalářských a diplomových prací 2014/2015 řešených při

Symantec Mobile Security

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Enterprise Mobility Management

Next-Generation Firewalls a reference

Síťová visibilita a integrovaná správa sítě - nezbytná součást SOC strategie. AddNet a BVS. Jindřich Šavel NOVICOM s.r.o

Daniel Dvořák, Jiří Chalota Svatá Kateřina. Mobilní pracovní styl moderního uživatele - infrastruktura, správa koncových zařízení

Možnosti využití cloudových služeb pro provoz IT

Co vše přináší viditelnost do počítačové sítě?

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Řešení ochrany databázových dat

NOVÉ BEZPEČNOSTNÍ HROZBY A JAK SE JIM SPRÁVNĚ BRÁNIT

Úloha sítě při zajištění kybernetické bezpečnosti

Zabezpečení platformy SOA. Michal Opatřil Corinex Group

Kybernetické útoky a podvody Inteligentní detekce a obrana

Forenzní analýza jako doplněk SIEMu. Jiří Slabý Policejní akademie ČR, Praha

Jiří Kadavý Technický specialista pro školství Microsoft Česká republika

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Nový přístup k bezpečnosti v budování výpočetní a komunikační infrastruktury

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Převezměte kontrolu nad bezpečností sítě s ProCurve

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Petr Vlk KPCS CZ. WUG Days října 2016

Extreme Forum Datová centra A10, VMWare, Citrix, Microsoft, Ixia

Síťová bezpečnost Ing. Richard Ryšavý

Dalibor Kačmář

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Obrana sítě - základní principy

SOA a Cloud Computing

Představení Kerio Control

Petr Vlk KPCS CZ. WUG Days října 2016

Mobile Device Management atlantis software spol. s r.o. Jiří Konečný, Key Account Manager, atlantis software spol. s r.o. konecny@atlantis.

Enterprise Mobility Management AirWatch & ios v businessu

Extrémně silné zabezpečení mobilního přístupu do sítě.

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

ANECT & SOCA. Informační a kybernetická bezpečnost. Víte, co Vám hrozí? Ivan Svoboda Business Development Manager, ANECT

Bezpečnost sítí

Synchronizujte své identity a využijte je pro všechny podnikové online služby Microsoftu i vaše aplikace

Integrovaný DDI/NAC a vizualizace komunikace IT aktiv, jako základ rychlé reakce SOC

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

Produktové portfolio

FlowMon Vaše síť pod kontrolou

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

2000s E-business. 2010s Smarter Planet. Client/Server Internet Big Data & Analytics. Global resources and process excellence

Microsoft System Center Configuration Manager Jan Lukele

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

FlowMon Monitoring IP provozu

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Není cloud jako cloud, rozhodujte se podle bezpečnosti

ICT bezpečnost a její praktická implementace v moderním prostředí

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

IP Kamery RELICAM Verze 1 UŽIVATELSKÝ MANUÁL

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Aby vaše data dorazila kam mají. Bezpečně a včas.

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

BEZPEČNOSTNÍ HROZBY 2015

Transkript:

ClearPass a Introspect (UEBA) řízení přístupu do sítě a zachycování útoků na vnitřní systémy Daniel Fertšák - Systems Engineer

NAŠE MISE je stát se přístupovou platformou pro éru Mobile a IoT Technologičtí Partneři GTM Partneři Aliance Airheads a Developeři NEJROZVINUTĚJŠÍ EKOSYSTÉM OPERATIONS SECURITY LOCATION SD-WAN SOFTWAROVÁ PLATFORMA Aruba OS AirWave / Central ClearPass IntroSpect Meridian VIA CLIENT ZABEZPEČENÁ INFRASTRUKTURA WI-FI BLE TAGS REMOTE ACCESS WIRED ACCESS WIRED CORE/AGG WAN EDGE COMPUTE Mobile First Zabezpečená Otevřená Autonomní

Aruba ClearPass 3

Bezpečnostní realita dnešních sítí Napadené známé či neznámé zařízení Návštěvník Kontraktor Lidská chyba DOBŘÍ LIDÉ ZLOSYNI Legitimní osoba s nekalým úmyslem Mobilita znamená, že hrozby přicházejí zevnitř Tradiční bezpečnost na bázi perimetru sítě je minulost

Mějte pod kontrolou přístup uživatelů, hostů i BYOD a IoT Internet of Things (IoT) Multi-vendor switching Aruba ClearPass REST API Security monitoring and threat prevention Device management and multi-factor authentication BYOD and corporate owned Multi-vendor WLANs Helpdesk and voice/sms service in the cloud

ClearPass klíčové funkce PŘEHLED Víte kdo, co a kde se připojuje do vaší drátové či bezdrátové sítě nebo VPN To vše na téměř jakékoliv síťové infrastruktuře KONTROLA Redukce rizik a náročnosti operativy skrze automatizaci všechna zařízení jsou autentizována či autorizována ŹÁDNÁ NEZNÁMÁ ZAŘÍZENÍ NA SÍTI RESPONSE Adaptivní odezva skrze propojení s dalšími bezpečnostními řešeními 6

Zjednodušení operativy a maximální zabezpečení 3 Aruba ClearPass 1 2 802.1X na drátu či bezdrátu 1 2 3 Zařízení se připojí k jakémukoliv portu či SSID Switch nebo AP ověří identitu v ClearPass ClearPass povolí/zamezí přístup a automaticky nastaví port či SSID do správné VLAN či se správnou firewall politikou Technolo 7

Adaptivní bezpečnostní politika podle typu/vlastnictví zařízení Enterprise Laptop BYOD Phone Authentication EAP-TLS Authentication EAP-TLS SSID CORP-SECURE SSID CORP-SECURE Internet and Intranet Internet Only 8

Zalepte bezpečnostní díry vzniklé hloupými zařízeními Mnoho zařízení nepodporuje 802.1X Typické řešení je MAC autentizace Díky snadné změně MAC je ale takové řešení nebezpečné Udržování seznamu MAC adres je náročné 9

Bezkonkurenční profiling metody DHCP Fingerprinting (podpora pro IP-Helper a použití SPAN/RSPAN zrcadlení) SNMP/Network Discovery (čtení standardních MIB pro zjištění IP adres) Detailní fingerprinting WMI (pro Windows) SSH (pro Linux) CDP, LLDP HTTP User-Agent (pro Apple) MAC OUI (pro Android) ARP Reads, Subnet Scans Active Sync Plugin Nmap Port scans TCP DHCP Fingerprinting (podpora pro IP-Helper a použití SPAN/RSPAN zrcadlení) SNMP/Network Discovery (čtení standardních MIB pro zjištění IP adres) Základní fingerprinting 10

Sjednocení přístupových politik a stáhnutelné uživatelské role (DUR) Klíčové pro centralizaci a tedy zjednodušení nasazení politik 1. Wired or wireless user provides credentials 2. CPPM returns Role & Policy Switch či kontrolér nemusí mít lokálně definované QoS či Firewall/ACL politiky BYOD AP Mobility Controller ClearPass Policy Manager (CPPM) Vše je dynamicky stáhnuto v momentě připojení zařízení PC/Laptop ArubaOS-Switch 3. Role & Policy push to the Mobility Controller or Aruba Switches 11

BYOD: Zaměstanec si sám zaregistruje své zařízení Jednoduché pro uživatele i IT: Uživatel se zaregistruje bez pomoci IT, přitom má IT vše plně pod kontrolou Bezpečnost: Jednoduše nasadíte certifikátové ověřování se zabudovanou CA Kontext: Data pro adaptivní politiky z různých zdrojů, třeba IPS či SIEM

Profesionální přístup hostů na WiFi je stejně důležitý, jako čistý vchod a kvalitní recepce Plné možnosti úprav designu pro propagaci všeho loga a stylu Bohaté možnosti způsobů přihlášení (kliknutí, formulář, SMS, recepce,...) Login ze sociálních sítí Zapamatování pro časté návštěvníky

Typy ClearPass integrací s třetími stranami Firewall Authentication Messaging Property Social Media Logging MDM Network Hotspot 14

Důvody proč nasadit ClearPass do sítě? Pro síťového administrátora Síťový správce už nikdy nebude muset nastavovat porty switche ručně Vše bude automatické dle politik v AD či ClearPass Pro hlubší bezpečnostní přínosy Hloupá IoT zařízení už nebudou taková hrozba Inteligence vašeho firewallu/ips/mdm se dostane na celou síť Chytřejší politiky ve vašem firewallu Zjednodušení operativy a úspora času 15

Aruba Introspect 16

Útoky v reálném světě SCANNING ATTACK scan servers in the data center to find out vulnerable targets DETECTED WITH AD LOGS DATA DOWNLOAD download data from internal document repository which is not typical for the host DETECTED WITH NETWORK TRAFFIC EXFILTRATION OF DATA upload a large file to cloud server hosted in new country never accessed before DETECTED WITH WEB PROXY LOGS 17

Poslední novinka ze světa (nejen) IoT útoků 18

Bezpečnost na letišti Pravidla Jednoduché statické kontroly Učení se z dat Dynamické kontroly založené na kontinuálním monitorování SIEM Firewall IDS a IPS Web/Mail brány SIEM a log management 19

Techniky strojového učení (ML) Supervizované strojové učení Nesupervizované strojové učení 20

Detekce DNS exfiltrace příkl. supervizovaného ML Útočník vezme soubor, naseká ho na malé kousky, každý z nich zakóduje a tento řetězec použije jako subdoménové pole v DNS dotazu. Jakmile se všechny kousky dostanou k DNS serveru data jsou ukradena! DNS exfiltraci nelze detekovat běžnými statickými pravidly na firewallu či SIEM. 21

Detekce DNS tunelování příkl. nesupervizovaného ML Útočník zakóduje data do DNS dotazů i odpovědí. Následně jsou BOTNETy vzdáleně ovládány C&C servery skrze TXT záznamy v DNS odpovědích, které jsou patřičně zakódovány. DNS tunelování nelze detekovat běžnými statickými pravidly na firewallu či SIEM. 22

Detekce anomálií To co není zachyceno přímou shodou s cílenými modely je odhalováno skrze detekci anomálií Využíváme dvojí baselining historický a skupinový 23

Behavior Fingerprinting: Users User 1 User 2 24

Behavior Fingerprinting: User vs Machine User Machine 25

Behavior Anomaly Detection: Compromised User User Before Compromise User Post Compromise 26

Behavior Anomaly Detection: Compromised IoT Device Dropcam Before Compromise Dropcam Post Compromise 27

Introspect komponenty Packets PACKET PROCESSOR DPI PACKET CAPTURE Flows ANALYZER OTHER SYSTEMS ENTITY360 API ANALYTICS FORENSICS Logs COLLECTOR NATIVE SIEM DATA FUSION BIG DATA Consoles / Workflows Alerts Threat Intelligence 28

Základ: Párovaní údálostí a přenosů na uživatele/entitu IP Address 29

Analýza chování napříč mnoha dimenzemi Authentication AD logins Internal Resource Access Finance servers Remote Access VPN logins External Activity C&C, personal email Behavioral Analytics SaaS Activity* Office 365, Box Cloud IaaS* AWS, Azure Exfiltration DLP, Email Physical Access* badge logs 30

Základní analýza chování Strojové účení NESUPERVIZOVANÉ ANALÝZA CHOVÁNÍ BASELINES HISTORIE + SROVNÁNÍ SE SKUPINOU ABNORMÁLNÍ PŘÍSTUP K INTERNÍM DATŮM 31

Hledání škodlivého mezi anomáliemi BUSINESS CONTEXT High Value Assets High Value Actors Behavioral Analytics MACHINE LEARNING SUPERVISED UNSUPERVISED THIRD PARTY ALERTS DLP Sandbox Firewalls STIX Rules Etc. 32

Aruba IntroSpect řeší dvě hlavní oblasti ÚTOKY A NEBEZPEČNÉ CHOVÁNÍ uvnitř sítě Jeden z hlavních cílů protivníků je získat přístup k platným interním přístupovým údajům. Útok tak získá klíčové nástroje. EFEKTIVITA bezpečnostních týmů 80% těchto úniků je detekováno za měsíce čiroky místo týdnů či ještě kratších období Zdroj: Verizon 2017 Data Breach Investigations Report 33

Domain Generation Algorithm (DGA) Detection veuqfgleebf.com (Botnet / Conficker) Features N-gram character distribution Length of domain string Top level domain WHOIS registration info Training Data Alexa top 1M domains (white) More than 500k DGA domains generated from 28 families (black) Model Naive Bayes Classifier 34

Domain Generation Algorithm (DGA) Detection veuqfgleebf.com (Botnet / Conficker) vyrawagauvm.com (DGA???) ML Botnet / Infostealer (?) 35

Domain Generation Algorithm (DGA) Detection veuqfgleebf.com (Botnet / Conficker) vyrawagauvm.com (DGA?) 25 tagged DNS DGA domains queried from the same host within 60 seconds All 25 domains are unique 1 resolved, 18 NXDomain, 6 Sinkholed Only 1 tagged DNS DGA domain from the host within 1 hour Duplicated domain occurrence All queries are resolved YES NO 36

Konkrétní případ:ransomware Indikátory C&C komunikace UEBA - detekce DGA Detekce např.: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.], xxlvbrloxvriy2c5[.]onion, sqjolphimrr7jqw6[.]onion, 76jdd2ir2embyv47[.]onion SMB sken sítě Analýza chování a srovnání s baseline detekce nadměrného SMB přístupu z hlediska objemu, četnosti cílů atp. Risk skóre kompromitovaného systému 37

Aruba IntroSpect integrace s ClearPass jako branou do sítě A B C 38

Co děláme jinak aneb proč právě Introspect? Like a digital Sherlock Holmes Zobecněná architektura nezávislá na typu vstupních dat Hadoop based škálovatelná infrastruktura 100 AI modelů phishing, ransomware, rata exfiltrace Mnoho-dimenzionální behaviorální modely Diskrétní analýza pro obohacení kontextu, nikoliv pro filtrování Markovův model detekující pohyb přes kill chains Akcelerace šetření událostí Integrace s aktivním zásahem pomocí ClearPass 39

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář