Inteligentní analýza bezpečnostních událostí (iabu)

Podobné dokumenty
Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Monitorování datových sítí: Dnes

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Flow monitoring a NBA

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Kybernetické hrozby - existuje komplexní řešení?

Flow Monitoring & NBA. Pavel Minařík

Forenzní analýza jako doplněk SIEMu. Jiří Slabý Policejní akademie ČR, Praha

Systém detekce a pokročilé analýzy KBU napříč státní správou

BEZPEČNOSTNÍ MONITORING SÍTĚ

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

FlowMon Vaše síť pod kontrolou

Inteligentní NetFlow analyzátor

Firewall, IDS a jak dále?

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Firewall, IDS a jak dále?

Zákon o kybernetické bezpečnosti: kdo je připraven?

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Next-Gen antiviry. Pokročilejší zabezpečení nebo jen buzzword? David Pecl 25. října 2018, Cyber Security 2018

FlowMon Monitoring IP provozu

PB169 Operační systémy a sítě

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

SÍŤOVÁ INFRASTRUKTURA MONITORING

Co se skrývá v datovém provozu?

Penetrační testy v IP telefonii Filip Řezáč Department of Telecommunications VSB - Technical University of Ostrava Ostrava, Czech Republic

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Jak využít NetFlow pro detekci incidentů?

Filter online threats off your network

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Představení Kerio Control

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

EXTRAKT z technické normy CEN ISO

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Zabezpečení v síti IP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

RadioBase 3 Databázový subsystém pro správu dat vysílačů plošného pokrytí

Flow monitoring a NBA

Propojování sítí,, aktivní prvky a jejich principy

Monitoring provozu poskytovatelů internetu

Monitorování a bezpečnostní analýza

Kybernetické hrozby jak detekovat?

Výzkum v oblasti kybernetické bezpečnosti

Dalibor Kačmář

Analýza a zabezpečení počítačové sítě

PRODUKTY. Tovek Tools

Bezpečnost počítačových sítí

Obsah. Předmluva 13. O autorovi 15. Poděkování 16. O odborných korektorech 17. Úvod 19

Firewally a iptables. Přednáška číslo 12

Aktivní prvky: přepínače

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

PRODUKTY. Tovek Tools

Projekt SABU. Sdílení a analýza bezpečnostních událostí

Detektor anomálií DNS provozu

DoS útoky v síti CESNET2

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

Network Measurements Analysis (Nemea)

Bezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Sledování provozu sítě

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Strategie sdružení CESNET v oblasti bezpečnosti

Č.J. PPR /ČJ PRAHA Počet listů: 6

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

Enterprise Mobility Management

Technická analýza kyberútoků z března 2013

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Botnet. Stručná charakteristika

Predikce a řízení incidentů, událostí a poruchových stavů v reálném čase

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Architektura připojení pro kritické sítě a služby

Návrh integrační architektury informačního prostředí HMP První krok k integraci IS a datových vazeb

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

DATABASE SECURITY SUITE STRUČNÝ POPIS

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Budování sítě v datových centrech

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Co vše přináší viditelnost do počítačové sítě?

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Flow monitoring a NBA

ASV testy - podmínky služby

Bezpečnost aktivně. štěstí přeje připraveným

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Identifikátor materiálu: ICT-2-05

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

DOCUMENT MANAGEMENT TOOLKIT

Transkript:

Inteligentní analýza bezpečnostních událostí (iabu) Jan Vykopal 20. 6. 2016

Architektura

iabu Inteligentní analýza bezpečnostních událostí Čištění událostí Analýza Vizualizace Dashboard Obohacení NERD jeden ze zdrojů, více v další prezentaci

Čistička událostí Umístěna mezi zdrojem dat (Wardenem) a úložištěm (Mentatem) Filtruje (deduplikuje) a upravuje (doplňuje) přicházející události Klíčová pro další komponenty, které už budou pracovat s tím, že každá událost je validní a uložena a analyzována právě jednou Odstraňuje chybné události, které by mohly negativně ovlivnit výsledky návazných analýz

Čistička případy použití I Jemné síto na data z Wardenu Základní filtrace nevalidních událostí na vstupu Příklady: špatný formát dat (nesmyslný port, nevalidní adresa) klient nahlásí událost z adresního rozsahu, který mu nepřísluší neodpovídající čas detekce (příliš v minulosti nebo v budoucnosti) IP adresy nebo domény známých služeb (Google, Wikipedia, Facebook,.) IP adresy týkající se lokální sítě (127.0.0.1, broadcast IP,...) jako zdroj útoku je označen NAT, proxy nebo jakákoliv jiná relay

Čistička případy použití II Agregace dvou a více událostí stejného typu pocházejících ze stejného zdroje Jeden z více modulů čističky Příklad: 1. Detekce události horizontálního skenování portu 22 z IP adresy A v čase t 2. Detekce další události stejného typu v čase t+300 s 3. Detekce další události (poslední) v čase t+600 s

Obohacení událostí Události nesou v sobě identifikátory (typicky IP adresy), ke kterým mohou existovat dodatečné informace Pro komplexnější analýzu je výhodné přidat tyto informace k dané události (= obohatit ji) Příklady obohacení: Geolokační a administrativní informace Role stroje v síti NERD Network Entity Reputation Database

Analyzátor událostí Součást Mentatu, která má přístup k datovému úložišti Spoléhá se na kvalitní data, která prošla čističkou Klíčová komponenta pro pokročilé analýzy událostí Souvislost mezi událostmi (korelace) Vyhledávání komplexních událostí Predikce útoků a hrozeb

Analyzátor učení vzorů

Příklady vzorů I Souslednost událostí Skupina vzorů, ne pouze jeden Příklad: 1. Agregovaná a ukončená událost skenování SIP portu na IP adrese B z IP adresy A v čase t 2. Agregovaná a ukončená událost hádání hesla z IP adresy C na B v čase t + 1000 s 3. Agregovaná událost o podezřelých voláních z IP adresy B v čase t + 1010 s

Příklady vzorů II Souvislost mezi událostmi různého typu Příklad: 1. Směrovače organizace X zahodí velké množství paketů na základě reverse path filtering (RPF) v čase t a nahlásí tuto událost 2. Organizace Y detekuje amplifikační DoS na svou infrastrukturu v čase t - 10 s

Predikce útoků a hrozeb Na základě částečné shody se vzorem Může mít návaznost na mitigační konektory, události tohoto typu musí být jasně označeny Příklady: skenování portů slovníkový útok nahrání malware útočník již skenoval čtyři české sítě => pravděpodobně bude skenovat i ostatní české sítě útočník v jedné síti skenoval a pak spustil slovníkový útok + vidíme, že v jiné síti skenuje => čekáme slovníkový útok

Určování závažnosti Na základě korelace události s ostatními události a výstupy analýzy a obohacení. Závažnost je dána typem a rozsahem události a souvislosti s jinými událostmi (např. velký amplifikační DoS útok). Velkou roli také hraje důležitost/role cíle útoku (zařízení/služby). Jste ochotni poskytnout tuto informaci?

Vizualizace Vhodně zobrazuje výstupy analýz pro dashboard Uvažované typy pohledů: (Orientovaný) graf zachycující souvislosti mezi událostmi, agregované a komplexní události, síťové rozsahy, příslušnost k doméně, AS atp. Trendy - vývoj situace v čase např. šíření botnetu Počty/typy událostí na podkladové mapě

Dashboard Kontrolní panel pro správu systému SABU Centrální místo poskytující informace o všech komponentách Výstup jednotlivých komponent Stav systému běží vše jak má? Jaké typy vizualizací poskytují osvědčené nástroje, které používáte?

Shrnutí iabu je komplexní komponenta SABU Budeme rádi za váš jakýkoliv podnět k: Čističce co čistit?, co teď prochází a nemělo by? Vzorům pro analyzátor jakým útokům čelíte? Určování závažnosti vhledem do vaší sítě? Způsobu obohacení znáte další vhodný zdroj? Vizualizaci a její využitelnosti co (ne)funguje? Obsahu dashboardu co chybí, čeho je moc?

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář