BEZPEČNOSTNÍ A PROVOZNÍ MONITORING VŠCHT PRAHA



Podobné dokumenty
Plán e-bezpečnosti na škole

Dotazník tvoří celkem 25 otázek. Jejich zpracování stanovujeme do Garantujeme důvěrnost veškerých získaných informácí.

Studentská Agora. - Proběhne 6 krajských kol debatní soutěže pod dozorem poroty.

Zpravodaj projektu PREGNET

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Témata modulu a úkoly jsou využitelné ve výuce tematické oblasti RVP Člověk a svět práce ve středních školách.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Flow monitoring a NBA

Bohužel nejste jediní. Jak se v této džungli orientovat a jaké jsou možnosti při prodeji nemovitosti se dozvíte na následujících stránkách.

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Ministerstvo vnitra České republiky vyhlašuje Výzvu k předkládání žádostí o finanční podporu v rámci Integrovaného operačního programu

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Řízení kvality, kontroling, rizika. Branislav Lacko Martina Polčáková. Kateřina Hrazdilová Bočková - konzultantka

GLOBÁLNÍ ARCHITEKTURA ROB

Information and Data Management Profinit. All rights reserved.

NÁVODNÁ STRUKTURA MÍSTNÍHO AKČNÍHO PLÁNU VZDĚLÁVÁNÍ

VNITŘNÍ PRAVIDLA ODLEHČOVACÍ SLUŽBY

Stanovisko Rekonstrukce státu ke komplexnímu pozměňovacímu návrhu novely služebního zákona

Co JE, K ČEMU JE A JAK SE PRACUJE S GISEM

Role metodika v procesu zavádění a ověřování standardů kvality v praxi

USNESENÍ. Č. j.: ÚOHS-S339/2012/VZ-21769/2012/523/Krk Brno 20. prosince 2012

PŘÍPADOVÁ STUDIE ÚŘAD MĚSTSKÉ ČÁSTI PRAHA 3

EXTRAKT z mezinárodní normy

Program prevence nehod a bezpečnosti letů

Organizační pokyn Hnutí Brontosaurus č. 3.2 Program Akce příroda. Organizační pokyn Hnutí Brontosaurus č. 3.2

2. ZASEDÁNÍ PROGRAMOVÉHO VÝBORU KABINETU PRO STANDARDIZACI O.P.S.

Plán odpadového hospodářství

MAS VÝCHODNÍ SLOVÁCKO

Technická specifikace

Doporučení Středočeskému kraji k transformaci ústavní péče v péči komunitní

Strategie přizpůsobení se změně klimatu v podmínkách ČR

Transakce Profinit. All rights reserved.

IT Security a Cloud. Zbyněk Juřena Managing Director ALTRON Business Solutions, a.s. září 2014

Stanovisko k dokumentu Řešení dalšího postupu územně ekologických limitů těžby hnědého uhlí v severních Čechách ze srpna 2015

ŠKOLNÍ VZDĚLÁVACÍ PROGRAM pro základní vzdělávání ŠKOLNÍ DRUŽINA

Akční plán města Žďár nad Sázavou

5. Způsob hodnocení nabídek Nabídka bude hodnocena podle základního hodnotícího kritéria, kterým je nejnižší nabídková cena.

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Koncept BYOD. Jak řešit systémově? Petr Špringl

Maturitní prací student osvědčuje svou schopnost samostatně pracovat na projektech a aktivně využívat nabyté zkušenosti

Zadávací dokumentace Stránka 1 z 8

Obrana sítě - základní principy

Jak zavést systém managementu kvality

Aktivní bezpečnost sítě

Balíček oběhového hospodářství v Evropě

Výroční zpráva. Základní škola Rakovského v Praze 12. Rakovského 3136/1, Praha 4 - Modřany

Vnitřní předpis města Náchoda pro zadávání veřejných zakázek malého rozsahu (mimo režim zákona č. 137/2006 Sb., o veřejných zakázkách)

Bezpečnostní projekt Případová studie

Specifikace pro SW aplikaci Start-up business.

16. Kategorizace SW chyb, kritéria korektnosti a použitelnosti, spolehlivost SW

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Kybernetické hrozby - existuje komplexní řešení?

Návrh zákona o evidenci tržeb připomínkové řízení

Flow monitoring a NBA

integrované povolení

AKS. Asociace komunitních služeb sekce bydlení Setkání v Praze v Eset Helpu v kavárně Dendrit dne

Výzva k podání nabídek

Broušení a ostření nástrojů na speciálních bruskách

16. výzva IROP Energetické úspory v bytových domech

STANOVY SDRUŽENÍ DOCTOR WHO FANCLUB ČR

FlowMon Monitoring IP provozu

Flow Monitoring & NBA. Pavel Minařík

Školní vzdělávací program

ŠKOLNÍ ŘÁD. Účinnost: zákonným zástupcům dětí, pracovníkům školy MŠ Holice. Mgr. Mojmír Chytil, ředitel školy

Stanovy SKODAMOTOR Veterán Klubu

Tento projekt je spolufinancován. a státním rozpočtem

Koncept. Centrálního monitoringu a IP správy sítě

2. Kulatý stůl aneb veřejná debata mezi vedením, studenty, profesory a absolventy Gymnázia Olomouc-Hejčín

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT, metodik ICT. Plán práce 2013/2014

Zápis z valné hromady TJ Sokol Mohelno dne

Sylabus modulu: B - Strategické řízení organizace

Resortní systémy centralizovaného zadávání (RS CZ)

silná pevná konstrukce, bezúdržbový řetězový pohon, krátká základní délka pro ušetření místa velikost Ø mm

Koncepce Smart Administration města Mohelnice

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Sylabus modulu: D Útvarové a procesní řízení, plánování, IT podpora projektového řízení

Acronis Backup & Recovery 10 Server for Linux

INFORMACE O NOVÉ VERZI POSKI REAL

PŘEDSTAVENÍ PRODUKTU AUTOPOJIŠTĚNÍ PRO SPOLEČNOST VYSOKÁ ŠKOLA BÁŇSKÁ TECHNICKÁ UNIVERZITA OSTRAVA

FORMULÁŘ ŢÁDOSTI O PŘÍSPĚVEK. Vyplní odbor kultury a cestovního ruchu města Písku: Číselný kód žádosti: Počet získaných bodů:

IPS a IDS. Martin Beránek. 17. března Martin Beránek (SSPŠ) IPS a IDS 17. března / 25

Irena a Petr Smékalovi. Telefonní kontakt: , ová komunikace: irena@smekalovi.cz petr@smekalovi.cz

SMĚRNICE č. 5 ŠKOLENÍ ZAMĚSTNANCŮ, ŽÁKŮ A DALŠÍCH OSOB O BEZPEČNOSTI A OCHRANĚ ZDRAVÍ PŘI PRÁCI (BOZP)

Univerzita Karlova v Praze, KOLEJE A MENZY, Voršilská 1, Praha 1

Monitorování datových sítí: Dnes

VŠB Technická univerzita, Fakulta ekonomická. Katedra regionální a environmentální ekonomiky REGIONÁLNÍ ANALÝZA A PROGRAMOVÁNÍ.

Metodická příručka Omezování tranzitní nákladní dopravy

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Flow monitoring a NBA

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Business Intelligence - principy, efekty, předpoklady. OKsystem, 26/11/2009

& GDPR & ŘÍZENÍ PŘÍSTUPU

Specifikace veřejné zakázky: Věc: Dodatečné informace č. 1 k veřejné zakázce "Konsolidace IT a nové služby TC ORP Uherské Hradiště"

SEGMENT SPOTŘEBITEL. (úvěry pro FOO)

Technologická platforma Vozidla pro udržitelnou mobilitu

Socioekonomická studie mikroregionu Frýdlantsko. B.5. Analýza konkurenčního potenciálu skiareálu Smrk

ETICKÝ A OBCHODNÍ ŘÁD ANTIMONOPOLNÍ & KONKURENČNÍ POLITIKA

MĚSTSKÝ ÚŘAD ROŽNOV POD RADHOŠTĚM VÝROČNÍ ZPRÁVA O ČINNOSTI

Tvorba jednotného zadání závěrečné zkoušky ve školním roce 2010/2011

Kybernetické hrozby jak detekovat?

Transkript:

BEZPEČNOSTNÍ A PROVOZNÍ MONITORING VŠCHT PRAHA 1. úvd, představení rganizace OBSAH: 2. histrický kntext, prč mnitring, PC je základ 3. srvnání řešení, výběr řešení, implementace zvlenéh řešení 4. use-cases, prvzní zkušensti, rzvj 5. závěr FlwMn Cllectr, Flwmn ADS cby NBA IBM QRadar cby SIEM

Sučasné prstředí pčítačvé sítě 4 000 studentů, 900 zaměstnanců 7 000 unikátních identit v Cisc ISE vč. Eduram 136 000 jedntlivých věření včetně neúspěšných za 24 hdin 700-1 100 unikátních klientů na WiFi 7 787 unikátních zařízení v síti včetně serverů Aktivní prvky pčítačvé sítě: 372 přepínačů v kampusu, ddělená datacentrvá část 517 WiFI AP A také všudy přítmné tzv. akademické svbdy Ptřebujeme pracvat s IDENTITOU (802.1x) v rce 2004 zavedení na eduram v rce 2007 zavedení i na drátvé části sítě

Histrický kntext a rzhdnutí začít řešit mnitring Rk 2009: Rk 2010: Rk 2011: Cnficker virvá nákaza s celsvětvým dpadem na bezpečnst v IT, revluční svým pjetím, autr může virus dvlat, rýsují se základy tzv. dnešních BtNet sítí. Běžné zabezpečení kncvých stanic firewall, antivir, antispyware a perimetrvý firewall či antivirvé/antispywarevé gatewaye již dávn nestačí. První zkušensti s tzv. false psitive z pužitéh IDS. IDS bez netflw, tedy bez mžnsti prvěřit výsledky v jiném nástrji je slepá cesta. Absence pkrčilých nástrjů v kampusvé síti nahlížet na datvý tk. D ppředí se dstávají nvé fenmény jak je sciální inženýrství, tzv. phishing a btnet. Splečnsti na chranu autrskéh práva zesilují tlak na administrátry sítí. Větší mnžství incidentů na sítí nás nutil k přemýšlení nvých nástrjích hledáme NBA Začátek legislativníh prcesu ustanvit základní práva a pvinnsti v kybernetické bezpečnsti. Plice ČR se na nás brací ve věci pdezření z bankvníh pdvdu. PC NBA Cgnitive One vs. FlwMn ADS

Závěry z PC 2011 1. Absence TCP flagů v exprtu netflw je prblém z phledu zapjení za firewallem, resp. v DMZ před ním. Generuje hrmadu false psitive v NBA. Věčná tázka pršl-li t či n pdezřelé spjení ven přes fw resp. byl zastaven na fw? When NetFlw infrmatin is exprted by the supervisr 720 Engine t the cllectr fr analysis, the tcp flag is set t ZERO. This is due t the hardware limitatin f Supervisr 720 as it uses EARL7 ASIC. The supprt fr TCP flag is integrated in EARL8 ASIC. 2. Byl nutné si phrát s timeut tzv. aktivních, spících a uzavřených spjení 3. Velké mnžství TCP SYN paketů v síti, pukazuje na velké mnžství virů, scanů a špatně naknfigurvaných kncvých stanic. 4. NetFlw s TOS příznaky a NBA pluginy dhrmady může být dbrý pmcník pr návrh QS v síti pužijte aktivní prvky s plnhdntným exprtem NetFlw a neb sndy

Vlba řešení Rk 2013: Cgnitive One cby NBA byl z trhu zcela stažen! Existuje mnh prvzních pdnětů, samtné NBA stačit nebude, ptřebujeme i SIEM! Zásadní změna zadání, hledáme znvu a prvnáváme nvá řešení včetně SIEM! Prvnání 3 řešení. Z časvých důvdů jsme nemhli již testvat další. Testvání je časvě nárčné. Naknec byl zvlen řešení NBA, které nejlépe pracval s Netflw a má lkální české zázemí. Kladen velký důraz na AVC a tzv. NBAR knihvnu. U SIEMu byl klíčvé úzké návaznsti na zvlené NBA a dále také dbrá kmpatibilita s statními nástrji. Závěr z PC č. 2: d buducna nebude stačit jenm detekce, budeme ptřebvat i autmatizvaný integrvaný exekutivní nástrj Rk 2014: Implementace sučasnéh NBA/SIEM řešení Flwmn Cllectr/ADS a IBM QRADAR. Dále prvz a utilizace systému d dnes. Zákn kybernetické bezpečnsti č. 181/2014 Sb. ze dne 23. 7. V sučasném znění se na VŠ nevztahuje, ale štěstí přeje připraveným. ;-)

Plán implementace, vstupy d prjektu Klíčvé bdy implementačníh plánu řešení: 1. definice rzsahu mnitringu (jenm NBA? a c SIEM?) 2. síťvá hierarchie, ip rzsahy, vlany, c je c 3. správné nastavení netflw na jedntlivých prvcích, ladění 4. shrmáždění všech relevantních zdrjů lgů 5. ladění výstupů datvých tků, ladění NBA 6. implementujte SIEM, krelujte přes všechny relevantní zdrje 7. knfrntujte svá pravidla s realitu a vyhdncujte případně reimplementuje pravidla 8. udělejte si svůj changelg a svje t-d Na začátku implementace tyt stavební kameny: Cisc Catalyst 6500 SUP32, SUP720, SUP2T a NETFLOW v5 či v9 Cisc WISM2 bezdrátvý řadič NetFlw a AVC Cisc ISE jak hlavní zdrj identit prtklu 802.1x Cisc ASA Syslg, Cisc BtNet filtr nasměrvání syslg zpráv ze switchů na SIEM McAfee Web Gateway verze 6 pzději 7 c by prxy Micrsft IAS, ISA, DHCP, AD, Exchange Na knci implementace celý nvý eksystém!

Architektura řešení

Integrace FlwMn a QRadar SIEM Integrace FlwMn a QRadar na něklika úrvních: Přepsílání Neflw z klektru d SIEM Integrace specifických alertů z FlwMn mnitrvacíh centra Integrace událstí z FlwMn ADS Klasifikace událsti, pravidla pr SIEM ffences Další specifické integrace v prstředí VŠCHT Implementace rzšířenéh mnitringu identit (Cisc ISE) Napjení na DB uživatelů - identifikace knkrétníh uživatele Napjení Micrsft SCCM, hlavně antivirus Napjení na ticketing (fáze realizace)

Zajímavé implementvané use cases Bezpečnstní: Síťvé bezpečnstní prblémy (skenvání, šíření virů, přístup na blacklistvané IP atd) Detekce pakvané kmunikace na BtNet IPs Nakažené a vyléčené PC, které pkračuje v pdezřelé aktivitě (skenvání, přístup na blkvané IP) Zneužití identity na Eduram Detekce kmunikace na cizí DNS servery Pdpra vyšetřvání prušvání autrskéh zákna Prvzní: Vypadávání PC z dmény Event Id 5723 a 5805 Detekce IPv6 fld pravidl pr FlwMn mnitrvací centrum Detekce selhání 802.1x autentizace, špatný čas, duplicitní identita PC účtu Detekce ARP fld a new mac seen n prt na switchi, pakvané errr-disable stavy

Use Case - Incident přes prxy Hlášení bezpečnstním incidentu z CESNETu: detected_gmt classificatin src_ip impact 2016-02-28 10:07:21Z Cnnectin t blacklisted hst 147.33.10.154 Hst cmmunicated with blacklisted hst 195.16.127.102

Use Case - Incident přes prxy Implementace Identity Pluginu v praxi: Pkud bychm neznali cílvu ip adresu, znali bychm jen zdrj a čas, musíme si už pmci netflw!

Zkušensti s prvzem mnitringu Nutnst senirníh experta se znalstí interníh prstředí skr na plný úvazek, tzv. bezpečák, zvláštní pzice. Nelze řešit svépmcí, je t mc slžité. Outsurcing se nám jeví jak dbrá vlba. Splupráce s externím partnerem (ISECO.CZ) Agenda Servisní pdpra a externí služba pravidelnéh mnitringu Splupráce na analýze ffences (pravidelné schůzky), identifikace ptencinálních incidentů Kntinuální rzvj, prgramátrská rzšíření a úpravy díky IBM API Snižuje interní utilizaci na cca 1-2 MD za týden. Bezpečák s dbrnými znalstmi na sítě a kncvá zařízení by musel umět i prgramvat! Náklady na sbní mzdvé prstředky převyšují 3x až 4x cenu služby za rk. Analýza výstupů z Qradar, dhledávání infrmací v systémech Řešení ptencinálních incidentů Úpravy pravidel a reprtů

Plánvaný rzvj Krátkdbé plány: prhlubit splupráci s Cesnetem scan zranitelnstí zevnitř sítě, splupráce s tzv. frézní labratří FLAB Cesnetu tzv. blacklisty z různých zdrjů pr zpřesnění krelaci událstí napjení antispamvé/antivirvé e-mailvé brány Dluhdbé plány: přípravy na integrvanu IPS v perimetrvém FW, new-generatin firewall napjení IBM QRADAR přes API na Cisc ISE a AD mžnst z helpdesku zablkvat identitu neb mac adresu autmatická reakce na nákazu či prvzní prblém

Závěr Prf f cncept je nutnst. Sestavený eksystém musíte technick-knfiguračně udržvat aktuální, jinak nastane degradace systému. Účastníci mnitringu cby služby musí průběžně pracvat se systémem, udržvat své znalsti a kntext. Dpručení - changelg, t-d, jinak nastává pstupná krze systému. Trendy v bru zabezpečení se neustále mění, není v silách jedince se ve všem rientvat. Splupráce s partnerem je téměř nutnst. Splupráce s lkálními výrbci a partnery je výhdu při řešení slžitých případů. Kd ví c jsu TAC cases ví čem hvřím. NBA už nestačí. Nutné jsu krelace z více zdrjů a z th plyne ptřeba SIEMu. Bez SIEMu neuvidíte mnh prvzních závad na síti. Nasazení FlwMn s QRadar SIEM nemusí být čistě pr bezpečnst ale i pr prvzní účely. Více zdrjů, více mžnstí událsti mezi sebu prpjvat a z diskrétních jevů činit spjité událsti - z th pak plynu lepší mžnsti stavět pravidla (assety) - cesta k pr-aktivitě a autmatizaci. Nepdceňujte hardwarvé nárky na prvz řešení, zvažte svje interní mžnsti a věnujte se dbře knfiguracím Netflw a zdrjům lgů. Bezpečnstní mnitring je nikdy neknčící práce, neustále se vyvíjí. Vyberte si řešení s největším integračním ptenciálem pr vaše knkrétní prstředí. Odpvídajícíh kvalitníh partnera pr implementaci a pdpru. Důležité jsu zde reference. není t krabicích ale lidech. Kntinuita!

Děkuji! Otázky?...směle d th! S dbru přípravu se vidím támhle vprav v rhu A vy?

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář