BEZPEČNOSTNÍ A PROVOZNÍ MONITORING VŠCHT PRAHA 1. úvd, představení rganizace OBSAH: 2. histrický kntext, prč mnitring, PC je základ 3. srvnání řešení, výběr řešení, implementace zvlenéh řešení 4. use-cases, prvzní zkušensti, rzvj 5. závěr FlwMn Cllectr, Flwmn ADS cby NBA IBM QRadar cby SIEM
Sučasné prstředí pčítačvé sítě 4 000 studentů, 900 zaměstnanců 7 000 unikátních identit v Cisc ISE vč. Eduram 136 000 jedntlivých věření včetně neúspěšných za 24 hdin 700-1 100 unikátních klientů na WiFi 7 787 unikátních zařízení v síti včetně serverů Aktivní prvky pčítačvé sítě: 372 přepínačů v kampusu, ddělená datacentrvá část 517 WiFI AP A také všudy přítmné tzv. akademické svbdy Ptřebujeme pracvat s IDENTITOU (802.1x) v rce 2004 zavedení na eduram v rce 2007 zavedení i na drátvé části sítě
Histrický kntext a rzhdnutí začít řešit mnitring Rk 2009: Rk 2010: Rk 2011: Cnficker virvá nákaza s celsvětvým dpadem na bezpečnst v IT, revluční svým pjetím, autr může virus dvlat, rýsují se základy tzv. dnešních BtNet sítí. Běžné zabezpečení kncvých stanic firewall, antivir, antispyware a perimetrvý firewall či antivirvé/antispywarevé gatewaye již dávn nestačí. První zkušensti s tzv. false psitive z pužitéh IDS. IDS bez netflw, tedy bez mžnsti prvěřit výsledky v jiném nástrji je slepá cesta. Absence pkrčilých nástrjů v kampusvé síti nahlížet na datvý tk. D ppředí se dstávají nvé fenmény jak je sciální inženýrství, tzv. phishing a btnet. Splečnsti na chranu autrskéh práva zesilují tlak na administrátry sítí. Větší mnžství incidentů na sítí nás nutil k přemýšlení nvých nástrjích hledáme NBA Začátek legislativníh prcesu ustanvit základní práva a pvinnsti v kybernetické bezpečnsti. Plice ČR se na nás brací ve věci pdezření z bankvníh pdvdu. PC NBA Cgnitive One vs. FlwMn ADS
Závěry z PC 2011 1. Absence TCP flagů v exprtu netflw je prblém z phledu zapjení za firewallem, resp. v DMZ před ním. Generuje hrmadu false psitive v NBA. Věčná tázka pršl-li t či n pdezřelé spjení ven přes fw resp. byl zastaven na fw? When NetFlw infrmatin is exprted by the supervisr 720 Engine t the cllectr fr analysis, the tcp flag is set t ZERO. This is due t the hardware limitatin f Supervisr 720 as it uses EARL7 ASIC. The supprt fr TCP flag is integrated in EARL8 ASIC. 2. Byl nutné si phrát s timeut tzv. aktivních, spících a uzavřených spjení 3. Velké mnžství TCP SYN paketů v síti, pukazuje na velké mnžství virů, scanů a špatně naknfigurvaných kncvých stanic. 4. NetFlw s TOS příznaky a NBA pluginy dhrmady může být dbrý pmcník pr návrh QS v síti pužijte aktivní prvky s plnhdntným exprtem NetFlw a neb sndy
Vlba řešení Rk 2013: Cgnitive One cby NBA byl z trhu zcela stažen! Existuje mnh prvzních pdnětů, samtné NBA stačit nebude, ptřebujeme i SIEM! Zásadní změna zadání, hledáme znvu a prvnáváme nvá řešení včetně SIEM! Prvnání 3 řešení. Z časvých důvdů jsme nemhli již testvat další. Testvání je časvě nárčné. Naknec byl zvlen řešení NBA, které nejlépe pracval s Netflw a má lkální české zázemí. Kladen velký důraz na AVC a tzv. NBAR knihvnu. U SIEMu byl klíčvé úzké návaznsti na zvlené NBA a dále také dbrá kmpatibilita s statními nástrji. Závěr z PC č. 2: d buducna nebude stačit jenm detekce, budeme ptřebvat i autmatizvaný integrvaný exekutivní nástrj Rk 2014: Implementace sučasnéh NBA/SIEM řešení Flwmn Cllectr/ADS a IBM QRADAR. Dále prvz a utilizace systému d dnes. Zákn kybernetické bezpečnsti č. 181/2014 Sb. ze dne 23. 7. V sučasném znění se na VŠ nevztahuje, ale štěstí přeje připraveným. ;-)
Plán implementace, vstupy d prjektu Klíčvé bdy implementačníh plánu řešení: 1. definice rzsahu mnitringu (jenm NBA? a c SIEM?) 2. síťvá hierarchie, ip rzsahy, vlany, c je c 3. správné nastavení netflw na jedntlivých prvcích, ladění 4. shrmáždění všech relevantních zdrjů lgů 5. ladění výstupů datvých tků, ladění NBA 6. implementujte SIEM, krelujte přes všechny relevantní zdrje 7. knfrntujte svá pravidla s realitu a vyhdncujte případně reimplementuje pravidla 8. udělejte si svůj changelg a svje t-d Na začátku implementace tyt stavební kameny: Cisc Catalyst 6500 SUP32, SUP720, SUP2T a NETFLOW v5 či v9 Cisc WISM2 bezdrátvý řadič NetFlw a AVC Cisc ISE jak hlavní zdrj identit prtklu 802.1x Cisc ASA Syslg, Cisc BtNet filtr nasměrvání syslg zpráv ze switchů na SIEM McAfee Web Gateway verze 6 pzději 7 c by prxy Micrsft IAS, ISA, DHCP, AD, Exchange Na knci implementace celý nvý eksystém!
Architektura řešení
Integrace FlwMn a QRadar SIEM Integrace FlwMn a QRadar na něklika úrvních: Přepsílání Neflw z klektru d SIEM Integrace specifických alertů z FlwMn mnitrvacíh centra Integrace událstí z FlwMn ADS Klasifikace událsti, pravidla pr SIEM ffences Další specifické integrace v prstředí VŠCHT Implementace rzšířenéh mnitringu identit (Cisc ISE) Napjení na DB uživatelů - identifikace knkrétníh uživatele Napjení Micrsft SCCM, hlavně antivirus Napjení na ticketing (fáze realizace)
Zajímavé implementvané use cases Bezpečnstní: Síťvé bezpečnstní prblémy (skenvání, šíření virů, přístup na blacklistvané IP atd) Detekce pakvané kmunikace na BtNet IPs Nakažené a vyléčené PC, které pkračuje v pdezřelé aktivitě (skenvání, přístup na blkvané IP) Zneužití identity na Eduram Detekce kmunikace na cizí DNS servery Pdpra vyšetřvání prušvání autrskéh zákna Prvzní: Vypadávání PC z dmény Event Id 5723 a 5805 Detekce IPv6 fld pravidl pr FlwMn mnitrvací centrum Detekce selhání 802.1x autentizace, špatný čas, duplicitní identita PC účtu Detekce ARP fld a new mac seen n prt na switchi, pakvané errr-disable stavy
Use Case - Incident přes prxy Hlášení bezpečnstním incidentu z CESNETu: detected_gmt classificatin src_ip impact 2016-02-28 10:07:21Z Cnnectin t blacklisted hst 147.33.10.154 Hst cmmunicated with blacklisted hst 195.16.127.102
Use Case - Incident přes prxy Implementace Identity Pluginu v praxi: Pkud bychm neznali cílvu ip adresu, znali bychm jen zdrj a čas, musíme si už pmci netflw!
Zkušensti s prvzem mnitringu Nutnst senirníh experta se znalstí interníh prstředí skr na plný úvazek, tzv. bezpečák, zvláštní pzice. Nelze řešit svépmcí, je t mc slžité. Outsurcing se nám jeví jak dbrá vlba. Splupráce s externím partnerem (ISECO.CZ) Agenda Servisní pdpra a externí služba pravidelnéh mnitringu Splupráce na analýze ffences (pravidelné schůzky), identifikace ptencinálních incidentů Kntinuální rzvj, prgramátrská rzšíření a úpravy díky IBM API Snižuje interní utilizaci na cca 1-2 MD za týden. Bezpečák s dbrnými znalstmi na sítě a kncvá zařízení by musel umět i prgramvat! Náklady na sbní mzdvé prstředky převyšují 3x až 4x cenu služby za rk. Analýza výstupů z Qradar, dhledávání infrmací v systémech Řešení ptencinálních incidentů Úpravy pravidel a reprtů
Plánvaný rzvj Krátkdbé plány: prhlubit splupráci s Cesnetem scan zranitelnstí zevnitř sítě, splupráce s tzv. frézní labratří FLAB Cesnetu tzv. blacklisty z různých zdrjů pr zpřesnění krelaci událstí napjení antispamvé/antivirvé e-mailvé brány Dluhdbé plány: přípravy na integrvanu IPS v perimetrvém FW, new-generatin firewall napjení IBM QRADAR přes API na Cisc ISE a AD mžnst z helpdesku zablkvat identitu neb mac adresu autmatická reakce na nákazu či prvzní prblém
Závěr Prf f cncept je nutnst. Sestavený eksystém musíte technick-knfiguračně udržvat aktuální, jinak nastane degradace systému. Účastníci mnitringu cby služby musí průběžně pracvat se systémem, udržvat své znalsti a kntext. Dpručení - changelg, t-d, jinak nastává pstupná krze systému. Trendy v bru zabezpečení se neustále mění, není v silách jedince se ve všem rientvat. Splupráce s partnerem je téměř nutnst. Splupráce s lkálními výrbci a partnery je výhdu při řešení slžitých případů. Kd ví c jsu TAC cases ví čem hvřím. NBA už nestačí. Nutné jsu krelace z více zdrjů a z th plyne ptřeba SIEMu. Bez SIEMu neuvidíte mnh prvzních závad na síti. Nasazení FlwMn s QRadar SIEM nemusí být čistě pr bezpečnst ale i pr prvzní účely. Více zdrjů, více mžnstí událsti mezi sebu prpjvat a z diskrétních jevů činit spjité událsti - z th pak plynu lepší mžnsti stavět pravidla (assety) - cesta k pr-aktivitě a autmatizaci. Nepdceňujte hardwarvé nárky na prvz řešení, zvažte svje interní mžnsti a věnujte se dbře knfiguracím Netflw a zdrjům lgů. Bezpečnstní mnitring je nikdy neknčící práce, neustále se vyvíjí. Vyberte si řešení s největším integračním ptenciálem pr vaše knkrétní prstředí. Odpvídajícíh kvalitníh partnera pr implementaci a pdpru. Důležité jsu zde reference. není t krabicích ale lidech. Kntinuita!
Děkuji! Otázky?...směle d th! S dbru přípravu se vidím támhle vprav v rhu A vy?