ComSource Efektivní ochrana kritických infrastruktur 22. 3. 2016 IT Security Workshop 2016 Jaroslav Cihelka
O čem dnes uslyšíte Novinky ComSource Kritická infrastruktura / kde a co to hlavně je Řešení ComSource - Scrubbing Center
ComSource s.r.o. Nové pobočky: Ostrava, Písek 30 zaměstnanců Scrubbing centrum čištění DDoS od konce roku 2014. Od ½ roku 2015 vývoj/výstavba Scrubbing centra II. vysoká kompetence u nabízených technologií / ustálený team 25 zaměstnanců a 5 externích pracovníků Nové dohledové centrum 24x7 Akvizice společnosti Abratica Dne 11. 3. 2016 byl oficiálně zaregistrován bezpečnostní tým společnosti ComSource s.r.o. v rámci mezinárodní důvěryhodné páteře "Trusted Introducer", která zastřešuje spolupráci bezpečnostních teamů typu CERT/CSIRT - jejichž primární náplní je řešení incidentů v oblasti kybernetické bezpečnosti.
ComSource partnerství a kompetence Základní partnerství Další partnersví DELL (Networking - Force10, PowerConnect, SonicWall ) Citrix (Networking - ADC, WAF, MDM, BYOD, ) Infinera (DWDM) TrustWave (Security web filtering, Database security,.) Novicom (IPAM, DDI, NAC, aktivní bezpečnost sítě,...) Aruba networks / Ruckus
ComSource Zázemí Lab / Demo Testování, troubleshooting (externí / interní / virtuální), atd. Juniper Routing, Switching, Security, WiFi Cisco, Citrix, Radware, Aruba SDN Lab včetně Serverů/Storage 24x7: ServisDesk LanDesk SD Dohled a Monitoring (nové dohledové a monitorovací centrum) Měřící technika: 2x10G Spirent Avalanche C2, 1G FTB-200 Compact Platform Ostatní Vlastní Security Center (DDoS, WAF, LB, ) RACK v CE COLO (Sitel) Přímé spojení na optice Členství v CZ.NIC, NIX Možnost virtuálního prostředí na testy ComSource nebo Cloud TCP Školící místnost
ComSource s.r.o. EFEKTIVNÍ OCHRANA KRITICKÝCH INFRASTRUKTUR
Kde se nachází kritická infrastruktura On Cloud On Premise www servery email Eshop DB eshop Portálové služby CRM/ERP Výrobní systémy SCADA 7
Efektivní ochrana kritických infrastruktur??? Co to je Kritická infrastruktura? Jaká je efektivní ochrana? Konkrétní zákazník Např. společnost XYZ, s.r.o. Činnost: prodej spodního prádla prsenkář Průměrná objednávka 1 150,- Kč Průměrný počet objednávek denně 1200 24 h výpadek 1 380 000,- Kč (55 200 USD) 1h výpadek 57 500,- Kč (2 300 USD)
Top hrozby 2015 DDoS Unauthorized Access Advanced Persistent Threat Intellectual Theft Phishing Worm/Virus Top hrozby 2015 41% 39% 38% 37% 37% 46% Fraud 31% Corp./Geo-political Sabotage 21% Criminal SPAM 15% % 10% 20% 30% 40% 50%
DDoS v roce 2016 / CZ Kontinuální útoky na vzestupu Neočekávané cíle útoků - nikdo není imunní - Od roku 2014 je Bod zranitelnosti internetová trubka Reflexivní útoky největší bolest rychle a zběsile Ne toliko DDoS středem zájmu útočníků Hybridní ochrana nabývá na významu Postupující migrace do Cloud mění pravidla boje
Service Name Xakepy.cc World DDoS Service Trochu čísel Service Pricing (USD) 1 hour starts at $5 24 hours starts at $30 1 week starts at $200 1 month starts at $800 1 day starts at $50 1 week starts at $300 50 USD / 1 250 Kč 1 month = starts průměrná at $1,200 1 hour starts at $5 King s DDoS Services 12 hours starts at $25 24 hours starts at $50 cena DDoS útoku na 1 den 1 week starts at $500 1 month starts at $1,500 1 night starts at $35 1 week starts at $180 46 MAD DDoS USD Service / 1 150 Kč = průměrná 1 month starts at $500 Gwapo s Professional DDoS Service 1-4 hours at $2 per hour 5-24 hours at $4 per hour 24-72 hours at $5 per hour objednávka eshopu 32 USD / 800 Kč = průměrná 1 week for $380 PsyCho DDoS Service 1 month at $1,000 fixed 1 hour for $6 1 night for $60 1 month for $900 cena thajské masáže na 1h 1 day for $70 DDoS Service 911 1 night for $50 Blaiz DDoS Service Critical DDoS Service No. 1* DDoS_SERVICE 1 week starts at $450 1 day starts at $50 1 week starts at $300 1 month starts at $900 1 day starts at $50 1 week starts at $300 1 month starts at $1,000
Čištění provozu v Cloudu Čištění provozu na hranici Internetu, jen tak jsme schopni efektivně čelit útokům na Cloud infrastrukturu.
Ochrana proti DDoS formou služby Jak jsme na tom u nás v ČR?
Kam DDoS směřují #1 Každý zákazník je něčím specifický 14
Z 30 Mb/s na 2,7 Gb/s pod sekundu
10 Gb/s pod 30 sekund
Reflection/Amplification stále nejoblíbenější
Útočí se neustále Počet a intenzita útoků vzrůstá a doba se zkracuje
Co se dělo včera? Paralelní útoky Krátké útoky
Co se dělo včera? Paralelní útoky Krátké útoky
ComSource s.r.o. SCRUBBING CENTER FLOWGUARD - PRAČKA V CLOUDU
Hlavní myšlenka ochrany před DDoS Čištění provozu na hranici Internetu, jen tak jsme schopni čelit útokům na cloud infrastrukturu. Hlavní důvod: účinný antiddos na úrovni Internetu LoadBalancing, Aplication Delivery Controler WebAplicationFirewall Scrubbing center pračka v Cloudu
Jak na DDoS útoky?? Hybridní DDoS řešení nabízí spojení dvou variant nasazení u koncového uživatele ( CPE ) a Cloudu do jediného integrovaného řešení. Hybridní řešení podle typu útoků a jejich objemu zvolí, jestli přesměruje čištění do Cloudu DDoS nebo provede čištění přímo u zákazníka tak, aby byl optimálně chráněn. Součástí je také výměna informací o útoku mezi CPE a Cloudem, to umožňuje okamžitou reakci bez nutnosti znovu se učit strukturu útoku. Výhody: Možnost operativního navýšení množství čištěných dat Minimální nároky na know-how Vašeho IT oddělení Nízké celkové náklady vlastnictví Pokrytí všech vektorů útoku Rychlá reakce na útok Pro DDoS Provoz je směrován jen blok podezřelého provozu Integrovaný reporting Zaměřeno na volumetrické útoky DDoS a ochranu WEB Aplikací před škodlivým kódem.
Možnosti služby 1 Využití CPE u zákazníka Hybridní DDoS Cloud security center Cloud Detekce a signalizace útoku Signalizace přesměrování provozu PC Internet CPE Server/PC/Web app
Možnosti služby 2 Always-on služba U ochrany před DDoS je to možnost U ochrany web alikací nutnost Cloud security center Cloud WAF služba Příchozí provoz k WEB aplikaci obsahující škodlivý provoz Čistý provoz směrován do WEB aplikace PC Internet Web aplikace
ComSource řešení DDoS útoků Pokrývá útoky Schopnost CPE DDoS u koncového uživatele DDoS Cloud Hybrid UDP / ICMP network floods Ano Ano Ano Ano Útok na zahlcení Internetové Ne linky Ano Ano Ano SSL based attacks Ano Ne Ano Ano Útok HTTP GET / POST Ano Ne Ano Ano Low & slow attacks Ano Ne Ano Ano Čištění provozu Doba reakce na útok Ihned Pomalé - nejméně 15 minut Ihned Alwayson Ihned Spouštění automaticky Ano Ne Ano Ano Přesměrování provozu Přesměrování provozu pomocí BGP nebo DNS Ne Pro každý útok Jen pokud by útok zahltil Internetovo u linku stálé přesměrov ání
Přesměrování provozu Přesměrování pomocí BGP Přesměrování pomocí BGP je preferováno Zákazník musí mít přiděleny IP adresy a vlastní autonomní systém Při útoku dojde k propagaci bloku IP adres přímo ze strany DDoS Cloud Je zajištěno přesměrování provozu na blok IP adres do DDoS Cloud Tento typ přesměrování uchrání také konektivitu, nikoli jen serverové zdroje Zpět je provoz posílán pomocí GRE tunelu přímo do směrovače zákazníka nebo přes NIX.CZ (privátní VLAN) nebo přímým propojením na CE COLO nebo GTS.
Přesměrování provozu Přesměrování pomocí DNS Použití především u serverů Dlouhá doba propagace cca Hodiny Je zde využito ADC v roli reverzní proxy umístěné v DDoS Cloud Nutnost zajistit ochranu autoritativních DNS serverů Zamezení přímé komunikace z internetu na servery mimo DDoS Cloud
takové to domácí zařízení Umístěno v infrastruktuře zákazníka CPE INVEA-TECH FlowMon DDoS Defender RADWARE DefensePro Juniper DDoS Secure Spolupracuje s DDoS Cloud Zajišťuje detekci/vyhodnocení útoků v síti zákazníka Čistí útoky, které nejsou volumetrické Případně iniciuje potřebu přesměrování provozu Synchronizace signatur útoku s DDoS Cloud
DDoS Cloud Technologie MITIGACE&IPS RADWARE DefensePro ROUTING Juniper MX ADC / LB / WAF Citrix NetScaler FIREWALL Juniper SRX PROTOKOL FlowSpec
Cloud konektivita Celková současná kapacita 480G do zahraničí Poskytovatelé TTI + Cogent + TeliaSonera + Hibernia + Kaia Připojení 10G do NIX.CZ
Varianty FlowGuard Always On měsíční platba za předem stanovenou garantovanou kapacitu očištěného provozu z DDoS. Jedná se o trvalé přesměrování za legitimní kapacitu měsíční platba za předem stanovenou a garantovanou kapacitu očištěného provozu z DDoS Cloud zpět ke klientovi za útok za legitimní kapacitu jednorázová platba v případě útoku za garantovanou kapacitu očištěného provozu z DDoS Cloud zpět ke klientovi
Klíčové vlastnosti služby Možnost operativního zvýšení množství čištěných dat Pokrytí všech vektorů útoku Minimální nároky na know-how u zákazníka Rychlá reakce na útok Nízké celkové náklady vlastnictví Provoz je přesměrován až jako poslední možnost Služba je technicky zabezpečena a provozována z ČR Integrovaný reporting Profesionální podpora 24x7
Future Future Q3 2016 Q4 2016 Q1 2016 Q2 2016 Infra New RDWR Scrubbing FRS 1.0 SecCloud RoadMap Infra QFX5200 ADC 1.0 LB, HealtCheck WAF 1.0 OWASP T10 Scrubbing 2.0 DDoS Defender Integration Customer W/B lists Customer Mitigation Method Setup FlowSpec PoC BGP RR for customers Infra Site redundancy PPS Limit (J16.1) BGP Origin Protect Scrubbing 2.0 Customer Signatures Connection provisioning FlowSpec offload ADC 2.0 IPv6 NAT HTTP/2 TCP Multiplexing DNSSec Keyless SSL WAF 2.0 Customer rules CPE DDoS Scrubbing 2.0 GEOIP Blacklists Service 24h activation Reputation Management DNS DNS management WAF Two-factor authentication HSM integration Anycast DNS Service Instant activation PCI DSS Automatic Abuse Reporting Raw log access Frontend optimization CDN Caching Siem Integration Customized setup and branding
Aby byl zákazník spokojený, musí mít individuální nastavení a přístup. Magická krabička neexistuje!
ComSource s.r.o. Nad Vršovskou horou 1423/10, Praha 10,101 00 www.comsource.cz Děkuji