Systém detekce a pokročilé analýzy KBU napříč státní správou

Podobné dokumenty
Monitorování datových sítí: Dnes

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Flow monitoring a NBA

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Bezpečnostní monitoring v praxi. Watson solution market

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Jak využít NetFlow pro detekci incidentů?

FlowMon Monitoring IP provozu

Kybernetické hrozby jak detekovat?

Kybernetické hrozby - existuje komplexní řešení?

Flow Monitoring & NBA. Pavel Minařík

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Řešení ochrany databázových dat

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Co vše přináší viditelnost do počítačové sítě?

PŘEDSTAVENÍ - KAREL HÁJEK Nasazení SD ve skupině ČEZ

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Flow monitoring a NBA

Koncept centrálního monitoringu a IP správy sítě

Aktivní bezpečnost sítě

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Zákon o kybernetické bezpečnosti: kdo je připraven?

Konvergovaná bezpečnost v infrastrukturních systémech

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Příloha č. 1 - ke Smlouvě na dodávku software dle GDPR pro počítačovou síť nedílná součást zadávací dokumentace k podmínkám výzvy VZ 145.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Koncept aktivní bezpečnosti a spolehlivosti IT infrastruktury. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

FlowMon Vaše síť pod kontrolou

Flow monitoring a NBA

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Koncept BYOD. Jak řešit systémově? Petr Špringl

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Výzva k podání nabídky na dodávku Centrálního logování a systému pro vyhodnocování auditních logů (SIEM)

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

AddNet integrovaný DDI/NAC nástroj

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Co se skrývá v datovém provozu?

Požadavky na technické řešení

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Koncept. Centrálního monitoringu a IP správy sítě

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Síťová visibilita a integrovaná správa sítě - nezbytná součást SOC strategie. AddNet a BVS. Jindřich Šavel NOVICOM s.r.o

Firewall, IDS a jak dále?

Proč prevence jako ochrana nestačí? Luboš Lunter

Diagnostika webových aplikací v Azure

Firewall, IDS a jak dále?

SÍŤOVÁ INFRASTRUKTURA MONITORING

Bezpečná a efektivní IT infrastruktura

Kybernetické útoky a podvody Inteligentní detekce a obrana

<Insert Picture Here> Na co se můžete s Oracle BI těšit

POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

PREZENTACE ŘEŠENÍ CSX

Zabezpečení infrastruktury

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Jarní setkání

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Praktické ukázky, případové studie, řešení požadavků ZoKB

Sjednocení dohledových systémů a CMDB

Budujeme SOC Best practice. Ing. Karel Šimeček, Ph.D

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Zkušenosti z nasazení a provozu systémů SIEM

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Monitorování datových sítí: Vize 2020

Kontrolně analytické centrum (KAC) Nástroj moderního řízení a organizace železniční dopravní cesty

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Forenzní analýza jako doplněk SIEMu. Jiří Slabý Policejní akademie ČR, Praha

Bezpečně nemusí vždy znamenat draze a neefektivně

Demilitarizovaná zóna (DMZ)

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Enterprise Mobility Management

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Nový přístup k bezpečnosti v budování výpočetní a komunikační infrastruktury

Martin Šindlář Competence leader SAP Basis and Software Engineering. Connected manufacturing

IBM TotalStorage Productivity Center Overview

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

BEZPEČNOSTNÍ MONITORING SÍTĚ

Integrované řešení pro správu informací - Microsoft

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

Strategie sdružení CESNET v oblasti bezpečnosti

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Bezpečnost aktivně. štěstí přeje připraveným

Dodatečné informace k veřejné zakázce SDAT Sběr dat pro potřeby ČNB 3. série

Efektivní řízení rizik

Integrovaný DDI/NAC a vizualizace komunikace IT aktiv, jako základ rychlé reakce SOC

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Dalibor Kačmář

Komentáře CISO týkající se ochrany dat

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Detekce anomálií v síťovém provozu, systémy prevence průniku. Jan Vaněk, IT Security & Business Continuity Services

Transkript:

Systém detekce a pokročilé analýzy KBU napříč státní správou Stanislav Bárta Vedoucí oddělení analýzy síťového provozu @ NÚKIB Kamil Doležel Technical Director @ Service & Support spol. s r. o. 25. 10. 2018 Praha

Motivace

Motivace Stav Potřeba Cíle Projekt nedostatečné kapacity monitoringu sítí ministerstev zvýšit síťovou bezpečnost strategických sítí státu sběr a analýza dat ze sond detekce událostí v jedné síti nedetekovatelných monitoring hrozeb rozmístit síťové sondy do vybraných sítí státu centralizovaný sběr a vyhodnocování dat ze sond analytické vyhodnocení nalezených hrozeb a včasné varování síťové sondy ve státní správě centrální analytický software

Projekt

Projektový pohled Projekt Aktuální stav systém detekce kybernetických bezpečnostních incidentů ve vybraných informačních systémech veřejné správy rozmístění síťových sond u vybraných partnerů vybudovaný analytický systém Realizace 2015 2018 Partneři 3 ministerstva a přímo řízené organizace

Síťové sondy S cílem Rozmístění Proti hrozbám zvýšit bezpečnost vybraných sítí splnění části požadavků kladených zákonem č. 181/2014 Sb. uvnitř sítě i na jejím perimetru DoS/DDoS útoky, zapojení do BOTNET sítí, komunikace do sítí a na adresy se špatnou reputací, malware, skenování sítě, brute-force pokusy o prolomení autentizace u služeb nabízených sítí

Analytický software pro GovCERT.CZ

Základní požadavky Předpoklad Očekáváno zpracování velkého objemu dat snadná rozšiřitelnost bezpečnostní události síťové toky funkcionalita běžná pro SIEM (ale navíc ) tvorba alertů a reportů schopnost zpracování flow záznamů prohledávání dat s drill-down analýzou napojení na externí databáze vlastní vizualizace

Vstupy Flow Události pro vzájemnou korelaci napříč resorty IPFIX obohaceny o informace až do L7 scan, brute-force DoS/DDoS malware botnet (koncový uzel, kontakt s C&C, doména spojovaná s botnetem,... ) reputace (IP/doména se špatnou reputací) Odkud Externí databáze jen z perimetru organizace threat info z GovCERT.CZ Botnet Feed, Shadow Server, apod. geoip zapojení do tor sítě

Analýza dat Reaktivní Využití Proaktivní Využití Výstupy vyhodnocování událostí řešení incidentů vlastní vstupní události korelované události korelované flow záznamy detekce síťových anomálií (NBA) vyhledávání možných problémů vizualizací a drill-down analýzy připravené dashboardy zpětná vazba resortům

Další rozvoj

Rozšiřování prostředí Zapojení další organizace Posílení infrastruktura konektivita, úložiště, výpočetní výkon Rozšiřování prostředí analytického sw zpracování větších objemů dat

Technické řešení projektu Splunk for Enterprise Security

Požadavky na technické řešení Požadavky Architektura SIEM funkce Detekce anomálií Zpracování událostí v řádu statisíců za sekundu Odhalování anomálií (automatizovaně) Specifické dashboardy a vizualizace vysoký stupeň redundance Snadný rozvoj Korelace, aktiva drill down dashboardy a reporting Šetření incidentů Machine Learning kontextuální korelace

Tradiční SIEM vs Big Data koncept Tradiční SIEM Splunk Datové zdroje omezené jakékoliv zařízení Podpora specifických zdrojů obtížná snadná Doplňující informace obtížné snadné realtime nebo historické Custom Reporty aplikace třetích stran součástí řešení Rychlost vyhledávání nízká vysoká Korelace obtížné (pravidla) snadné (pomocí vyhledávání) Detekce chování založeno na pravidlech Machine Learning Integrace omezená REST API Škálovatelnost omezená snadná až na úroveň petabytů

Splunk Enterprise Security Univerzální platforma Monitor and Alert Report and Analyze Custom Dashboards Online Services Packaged Applications Storage Online Shopping Cart Smartphones and Devices Security Desktops Telecoms Web Services Energy Meters Custom Applications Web Clickstreams GPS Location Messaging Call Detail Records Servers Networks Databases Threat Intelligence Firewall Authentication Asset & CMDB Employee Info External Lookups Threat Intelligence Applications Data Stores

Architektura řešení

Investigace incidentů Funkcionalita Přínosy Kombinace raw událostí, akcí a anotačních poznámek (vyhledávání, pohledů, filtrů a stavu událostí) Zkoumání souvislostí mezi událostmi Automatické vytváření reportů o šetření Lepší pochopení, vizualizace a záznam detailu útoku pro vícestupňové hrozby Práce v týmu Sdílení informací

Splunk Machine learning

Příklady Vyhledání

Příklady dashboardů - OverView

Příklady dashboardů - Connections

Příklady dashboardů - Chord

Příklady dashboardů - Sankey

Q&A

Děkujeme za pozornost! Stanislav Bárta, s.barta@nukib.cz Kamil Doležel, dolezel@sands.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář