Monitorování datových sítí: Vize 2020 FlowMon Friday, 29.5.2015 Pavel Minařík minarik@invea.com
Flow vs. paketová analýza INVEA-TECH: Flow + L7 vyřeší 95% případů
Pokročilé hrozby (APT) Gartner potvrzuje to, co INVEA-TECH prezentuje již od roku 2009, kdy jsme uvedli FlowMon ADS.
Infikované podnikové sítě Od roku 2011 jsme provedli více než 100 analýz provozu datové sítě. Téměř 80% organizací lze označit za nedostatečně zabezpečené a infikované malwarem.
Výkon sítě i aplikací Představte si, že máte nástroj, který ukončí spory mezi správci sítě, serverů a aplikací o příčiny výkonnostních problémů.
SIEM, antivirus a flow INVEA-TECH: SIEM a antivirus samozřejmě ano, ale nezapomínejte na viditelnost do provozu datové sítě a včasnou detekci.
INVEA-TECH v roce 2015
Příklad útoku Use-case: path traversal attack Na úrovni datových toků Automatická detekce na základě analýzy toků Detailní viditelnost díky aplikačnímu monitoringu Záznam a analýza provozu v plném rozsahu Flow ADS APM Packet capture
Datové toky (flow) Zřejmá anomálie provozu datové sítě
Detekce anomálií (ADS) Automatická detekce útoku včetně interpretace
Monitoring aplikací (APM) Viditelnost do útoku na aplikační vrstvě Plná délka URL, UserAgent,
Záznam a analýza provozu Pořízení PCAP souboru v případě potřeby pro detailní (forenzní) analýzu
Flow vs. paketová analýza Datové toky Paketová analýza Silné stránky Použitelné i pro vysokorychlostní sítě Odolné vůči šifrovanému provozu Viditelnost do provozu a reporting Data pro behaviorální analýzu Plný rozsah datové komunikace Dostatečný detail pro řešení problémů Data využitelná pro forenzní analýzu Automatická detekce na bázi signatur Slabé stránky Aplikační vrstva zcela chybí Někdy příliš málo informací Sampling (aktivní prvky) Nelze pro šifrovaný provoz Náročné na výpočetní zdroje Často příliš mnoho informací Řešení? Kombinace silných stránek v jediném řešení Multifunkční síťové sondy pro kompletní viditelnost na všech vrstvách
Monitorování sítí vize 2020
Internet věcí (IoT) Inteligentní budovy, spotřebiče, automobily, lékařské přístroje připojené k síti s sebou nesou nová kritická bezpečnostní rizika a vyžadují nové metody ochrany
Datové sítě v roce 2020 Technologie 100G je standardem, existují běžné síťové adaptéry pro tyto rychlosti INVEA-TECH uvádí jako první na světě 400G síťovou kartu založenou na FPGA
Potřebujeme vidět a vědět VISUAL ANALYTICS pro okamžitý vhled do dění na síti a zvýšení efektivity práce operátora/analytika www.d3js.org
Vše je virtuální, i datové sítě Datová centra jsou postavena na konceptu SDN (Software Defined Networking), většina zařízení používá NFV (Network Function Virtualization) Bez monitoringu a analýzy provozu to nepůjde
Flow ve všech zařízeních Podpora flow je standardem Switche, routery, firewally, atd. Rozšiřuje se viditelnost do L7 Sondy mají stále svůj význam L7 (DNS, DHCP, SQL, Samba, ) Network Performance Monitoring Záznam provozu v plném rozsahu Wire-speed výkon, žádný sampling Viditelnost ve specifickém prostředí
FlowMon v roce 2020? Koncept sonda kolektor zůstává Jak zdroj L3/L4 flow lze použít každé síťové zařízení Vysoký výkon pro technologii 400G Ethernet Monitoring virtuálních sítí a podpora SDN Škálovatelné řešení pro cloud (NOC, SOC, MSSP) Flow a packet capture splývá v jediném řešení Vizualizace (visual analytics & situation awareness) FlowMon jako Single Source of Truth
Děkuji za pozornost High-Speed Networking Technology Partner Pavel Minařík minarik@invea.com +420 733 713 703 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno Czech Republic www.invea-tech.com