Nástroj pre analýzu sieťovej prevádzky (NTA) s. skúsenosti z cvičení kybernetickej bezpečnosti. Vladimír Sedláček, CTO, GREYCORTEX s.r.o.

Podobné dokumenty
Implementácia bezpečnostného dohľadu v organizáciách štátnej a verejnej správy. Martin Senčák, Beset, Bratislava Vladimír Sedláček, Greycortex, Brno

Monitorování datových sítí: Dnes

Flow monitoring a NBA

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

Flow Monitoring & NBA. Pavel Minařík

Koncept BYOD. Jak řešit systémově? Petr Špringl

KYBERNETICKÁ BEZPEČNOST V ARMÁDĚ ČR

FlowMon Vaše síť pod kontrolou

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Jak se ztrácí citlivá data a jak tato data ochránit?:

FlowMon Monitoring IP provozu

Kybernetické hrozby - existuje komplexní řešení?

Dalibor Kačmář

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Kybernetické hrozby jak detekovat?

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Jak využít NetFlow pro detekci incidentů?

Co se skrývá v datovém provozu?

Flow monitoring a NBA

Jak se ztrácí citlivá data a jak tato data ochránit?:

Zákon o kybernetické bezpečnosti: kdo je připraven?

Výzkum v oblasti kybernetické bezpečnosti

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Co vše přináší viditelnost do počítačové sítě?

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Proč prevence jako ochrana nestačí? Luboš Lunter

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Kybernetická bezpečnost Ochrana proti sílící hrozbě

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Avast Globální lídr v zabezpečení digitálních zařízení

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

Systém detekce a pokročilé analýzy KBU napříč státní správou

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha,

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Mgr. et Mgr. Jakub Fučík

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Technická opatření pro plnění požadavků GDPR

Účinná ochrana sítí. Roman K. Onderka

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Detekce volumetrických útoků a jejich mi4gace v ISP

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Kritická infrastruktura státu bitevní pole kybernetické obrany (i útoku)

Bezpečná a efektivní IT infrastruktura

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Vize ERRAC do roku 2050 Rail 2050 Vision Ing. Jaroslav Vašátko

Výroční zpráva společnosti Corpus Solutions a.s. za rok Popis účetní jednotky. Název společnosti: Corpus Solutions

Bezpečnostní politika a dokumentace

ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

Next-Gen antiviry. Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Kybernetická bezpečnost ČR aktivity NBÚ. Jaroslav Šmíd náměstek ředitele NBÚ

O2 a jeho komplexní řešení pro nařízení GDPR

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Monitoring, správa IP adresního prostoru a řízení přístupu do sítí

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Network Measurements Analysis (Nemea)

PREZENTACE ŘEŠENÍ CSX

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

MindForge Inovační a technologický hub JAN JANČA

Aby vaše data dorazila kam mají. Bezpečně a včas.

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Security of Things. 6. listopadu Marian Bartl

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

PB169 Operační systémy a sítě

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

Dopady Průmyslu 4.0 na kybernetickou bezpečnost. Ing. Tomáš Přibyl Ing. Michal Kohút

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Sandboxing nové generace Efektivní ochrana proti pokročilému malwaru. Michal Mezera COMGUARD a.s.

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

Řešení počítačové sítě na škole

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

ANECT & SOCA ANECT Security Day

Konvergovaná bezpečnost v infrastrukturních systémech

Michal Andrejčák, Seminář Energetika v průmyslu, Hotel Vista Dolní Morava, Možnosti monitorování a ovládání Zpracování dat z rozvoden

Jak se ztrácí citlivá data? A jak tato data ochránit?

Síťová bezpečnost Ing. Richard Ryšavý

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Aktivní bezpečnost sítě

Management sítí OSI management framework SNMP Komerční diagnostické nástroje Opensource diagnostické nástroje

NSA GB HDD. Příručka k rychlé instalaci. Multimediální server s jedním diskem. Výchozí přihlašovací údaje. Webová adresa: nsa310 Heslo: 1234

Transkript:

Nástroj pre analýzu sieťovej prevádzky (NTA) s prvkami AI - skúsenosti z cvičení kybernetickej bezpečnosti Vladimír Sedláček, CTO, GREYCORTEX s.r.o., Brno

O nás Kdo jsme, kde jsme Co, jak a proč děláme 2

KDO JSME - Jsme evropská firma - profesionálové počítačové bezpečnosti (C EH, CISSP, ) - vytváříme produkt pro bezpečnější svět sítí (Internet) a propojených zařízení (SCADA, IoT) - pro firmy, instituce, silové složky, kritickou infrastrukturu, komunální podniky - Máme zkušenosti - z AVG, Comguard a.s., TrustPort International, Acision - s výstavbou a správou počítačových sítí - s tvorbou software pro analýzu a dopravu zpráv v telekomunikačních sítích - s analýzou škodlivého software a managementem bezpečnosti 3

KAM NÁS ŘADÍ ANALYTICI Patříme mezi klíčové dodavatele technologie v segmentu analýzy síťového provozu (NTA), spolu s firmami jako je Cisco, Darktrace, Fidelis Cybersecurity, Plixer a další - Zdroj: Gartner: Market Guide for Network Traffic Analysis, Published: 28 February 2019 ID: G00381265 Jsme z Evropy, z Brna - regionální dění je pro nás důležité - po Brexitu, pokud opravdu bude dokončen, zůstaneme jediným výrobcem NTA software v EU 4

CO DĚLÁME - Software pro ODHALOVÁNÍ a ANALÝZU bezpečnostních incidentů v počítačové síti a případné ZASTAVENÍ nebo ODRAŽENÍ útoku - Poskytujeme rozšířený pohled - na strukturu sítě a datových toků - na nežádoucí a škodlivý provoz (anomálie, porušení politik, útoky, únik dat, ) - na obsah a průběh incidentů - na výkonnostní charakteristiky součástí systémů poskytování informačních služeb - Komu? - Bezpečnostní a provozní ředitelé a oddělení, bezpečnostní analytici - Firmy, státní správa, silové složky, kritická infrastruktura, průmysl, telekomunikace, služby, přenosové soustavy 5

JAK TO DĚLÁME - V produktu Mendel Analyst spojujeme - hloubkovou inspekci paketů (DPI) - autonomní analýzu rozšířených síťových metrik - pokročilou signaturní detekci - systémy reputace a Threat Intelligence - asistované strojové učení (ML) - Spolupracujeme s výzkumnými organizacemi, například - VUT, CCDCOE, CERT.lv 6

PROČ TO DĚLÁME Datum útoku Cíl útoku Uživatelské účty (mil) únor 2018 Under Armor 150 leden 2018 Marriott 500 říjen 2017 MyHeritage 92 červenec 2017 Equifax provozem. 145,5 červenec 2017 Facebook 50 listopad 2016 Uber 57 říjen 2016 Adult FriendFinder 412 květen 2016 MySpace 360 listopad 2014 Yahoo 500 červenec 2014 JP Morgan Chase 83 květen 2014 EBay 145 duben 2014 Home Depot 53 Děláme listopad propojený 2013 Targetsvět lidí a zařízení bezpečnějším. 110 srpen 2013 Yahoo 3000 únor 2013 Tumblr 65 červen 2012 LinkedIn 100 únor 2012 Rambler.ru 98 Ukážeme Vám, co se děje právě ve vaší síti. duben 2011 Sony PlayStation Network 77 Téměř všechny významné kybernetické útoky nějak souvisejí se síťovým Prakticky všechny probíhají automatizovaně. Na rozdíl od pentestingu. Zdroj: https://qz.com/1480809/the-biggest-data-breaches-of-all-time-ranked/, 2019-05-21 20:03 CEST 7

Technické věci Integrace a architektura Příklad nasazení 8

ZAPOJENÍ DO SÍTĚ - Jsme pasivní - SPAN konfigurace na aktivních prvcích - TAP odbočka na vlákně, odposlech na kabelu T - Jsme modulární - Senzor S S S S S - Kolektor - Centrální správa K Lok. 1 Lok. 2 K - Také pro malé nasazení - All-in-one SOC CEM 9

PŘÍKLAD NASAZENÍ: VELKÁ ORGANIZACE Lokalita 2 Lokalita 1 S S VPN/ Internet K Centrála S Internet Lokalita 17 S Lokalita 18 S 10

Co jsme také našli během první hodiny po nasazení VPN Filter Malware Volný přístup ke konzoli serveru Data končí jinde, než mají 11

ÚSPĚŠNĚ ZAHNÍZDĚNÝ MALWARE Malware VPN Filter TOR provoz ve vnitřní síti, efektivně obejitý firewall Volně dostupná vnitřní síť za firewallem pro další působení Nakažený stroj TOR endpoint CCC Internet Firewall LAN Server Stanice Tiskárna 12

VOLNÝ PŘÍSTUP KE KONZOLI SERVERU Porty otevřené na firewallu pro přístup z veřejné sítě (přímo, bez VPN či jiné ochrany) Volný přístup ke klávesnici, obrazovce, CD a USB mechanice a diagnostice počítače Nezměněné defaultní heslo Organizace Datacentrum Server Internet Firewall LAN 13

ZÁLOHOVÁNÍ NA ŠPATNÝ CÍL Zálohovací server byl přesunut do jiné podsítě, nastavení zálohování nebylo opraveno a data se zapisovala na jiný stroj, který zdědil IP adresu původního serveru a díky doméně akceptoval připojení Organizace Server s citlivými daty Pracovní stanice v síti Ulož moji supertajnou zálohu Úložiště pro zálohy LAN 14

Jedeme cvičit s kyberexperty z NATO CCDCOE, cvičení Crossed Swords Týmy a role ve cvičení Zkušenosti a zjištění 15

A PROČ VLASTNĚ CVIČÍME? Děláme propojený svět lidí a zařízení bezpečnějším. Ověřujeme a rozvíjíme naše schopnosti detekce incidentů v provozu. Vyměňujeme znalosti, nápady a zkušenosti s experty v oboru. Zlepšujeme tak ochranu, kterou vám poskytujeme. V roce 2018 jsme rovněž přispěli do knihovny programů s otevřeným kódem pro kybernetickou bezpečnost Frankenstack (ke stažení na GitHub) 16

CENTRUM EXCELENCE KOOPERATIVNÍ KYBERNETICKÉ OBRANY Zdroj: tiskové oddělení CCDCOE, neklasifikováno 17

CO JE CCDCOE NATO Cooperative Cyber Defence Centre of Excellence, Tallinn, Estonsko - Mezinárodní a interdisciplinární centrum kybernetické obrany - Výzkum, školení a výcvik v technologiích, strategii, provozu a právu - Pořádání konference CyCon - Pořádání cvičení Locked Shields, Crossed Swords - Podpora cvičení CWIX, Trident a Cyber Coalition - Údržba knihovny dokumentů Incyder a bezpečnostní příručky Talinn Manual 2.0 Zdroj: webové stránky https://ccdcoe.org/, cit. 2019-02-15 12:34 18

CROSSED SWORDS A LOCKED SHIELDS Locked Shields - Přes 1200 účastníků z téměř 30 zemí - Spolupořádáno armádními složkami, univerzitami obrany a průmyslovými partnery - Probíhá na Cyber Range - cvičišti estonské armády - Zahrnuje ochranu přes 150 firemních, kritických (KI) a vojenských systémů 4000 možných cílů, 2500 probíhajících kyberútoků - Armádní cvičení a experimenty Zdroj: https://ccdcoe.org/exercises/locked-shields/, cit. 2019-05-22 06:19 19

CROSSED SWORDS A LOCKED SHIELDS Crossed Swords - Přes 100 účastníků z 21 zemí - Spolupořádáno CCDCOE, CERT.LV v partnerství s estonskými a lotyšskými složkami a průmyslovými partnery, jsme jedním z nich - Zvyšování kvalifikace a nácvik na LS, prohlubování spolupráce expertů armády a civilních složek, experimenty a ověřování nápadů - Letos včetně ochrany vozidel bez posádky a bezpilotních letounů Zdroj: https://ccdcoe.org/news/2019/exercise-crossed-swords-2019-integrates-cyber-into-full-scale-of-operations/, cit. 2019-05-22 06:17 20

ZAŽÍT LIVE-FIRE Zdroj: tiskové oddělení CCDCOE, neklasifikováno 21

ŽIVOTNÍ CYKLUS LIVE-FIRE CVIČENÍ 1. Příprava Vytvoření infrastruktury a instalace systémů zapojených ve FakeNetu, hardening (zelený tým) Příprava a instalace monitorovacích systémů pro Situational Awareness (žlutý tým) 2. Kinetické provedení Rudý tým reálně útočí, modrý tým analyzuje zranitelnosti a vydává doporučení pro opravy systémů používaných bílým týmem k běžné činnosti, zelený tým provádí běžnou údržbu Žlutý tým monitoruje a zelené informuje o napadeních, rudé informuje o míře jejich viditelnosti 3. Vyhodnocení Vyhodnocení průběhu, dosažených výsledků a pozorování 4. Příprava na další cvičení Vylepšování postupů (modrý, zelený a rudý tým) Vylepšování produktů a metod sledování a vizualizace (žlutý tým, partneři) Zdroj: https://taosecurity.blogspot.com/2007/09/security-jersey-colors.html a další, cit. 2019-05-22 06:24 22

ÚLOHA: MONITORING BEZPEČNOSTI Zdroj: tiskové oddělení CCDCOE, neklasifikováno 23

NAŠE POZOROVÁNÍ A ZÁVĚRY - Air gap bez dalších opatření nedostačuje - Vždy lze najít slabě zabezpečenou cestu k obejití hlavní linie, například připojené VPN na slabě chráněném zařízení - Rychlost postupu prozrazuje - I v kouřové cloně dalšího provozu lze útoky najít - Zapomenuté zařízení ve slabé nebo výchozí konfiguraci prohrává - Obránci nezměnili defaultní hesla při přípravě obrany! - Rozhoduje i denní doba - Po dobrém obědě byli obránci pomalejší a útočníci méně agresivní - Důkaz kvality našeho řešení - Ohlásili jsme o dva útoky více, než další zapojený produkt. Oba nálezy byly potvrzené! 24

PRŮLOM NA DOSAH Zdroj: tiskové oddělení CCDCOE, neklasifikováno 25

Doporučení na závěr Chraňte se účinně a přiměřeně Prověřujte Vyzkoušejte nás 26

CHRAŇTE SE Zásady kalkulace škody a investic do ochrany: Nejde o to, jestli událost nastane, ale o to kdy k ní dojde a jak velká bude škoda (kolik bude činit ztráta a kolik bude stát náprava). Publicita Škoda Kybernetické útoky Náklady ochranných opatření mají být úměrné velikosti škody a riziku výskytu události. Nelze vsadit na jediný druh ochrany, opatření je třeba kombinovat. Je třeba také trvale sledovat a ověřovat, jak daná opatření fungují. (Shon Harris, CISSP study materials) Úniky a ztráta dat Provoz a provozní chyby Odvratitelnost Riziko výskytu 27

PROVĚŘUJTE Vladimír Sedláček C EH, Certified LiveWire Examiner, CTO Co dál? - Přijďte si pro více informací - Vyzkoušejte nás - techniku a licenci zapůjčíme - nálezy vysvětlíme vladimir.sedlacek@greycortex.com Martin Senčák Obchodný riaditeľ +421 2/57275111 martin.sencak@beset.sk Řadíme se ke světové špičce, ale domluvíte se s námi! 28

Děkuji za pozornost! www.greycortex.com další informace, příklady použití info@greycortex.com kontaktujte nás www.youtube.com/greycortex sledujte videa 29

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář