Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Podobné dokumenty
Václav Bartoš. Meeting projektu SABU , Vranovská ves

Analýza dat z Wardenu

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

Systém detekce a pokročilé analýzy KBU napříč státní správou

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Inteligentní analýza bezpečnostních událostí (iabu)

SÍŤOVÁ INFRASTRUKTURA MONITORING

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Bezpečnost aktivně. štěstí přeje připraveným

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Kybernetické hrozby - existuje komplexní řešení?

Proč prevence jako ochrana nestačí? Luboš Lunter

Monitorování datových sítí: Dnes

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Kybernetické hrozby jak detekovat?

Network Measurements Analysis (Nemea)

Projekt SABU. Sdílení a analýza bezpečnostních událostí

BEZPEČNOSTNÍ MONITORING SÍTĚ

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Co se skrývá v datovém provozu?

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Tomáš Čejka Monitorování sítě pomocí flow. case studies

Co vše přináší viditelnost do počítačové sítě?

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Firewall, IDS a jak dále?

Firewall, IDS a jak dále?

FlowMon Monitoring IP provozu

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Petr Velan. Monitorování sítě pomocí flow case studies

Sledování IP provozu sítě

FlowMon Vaše síť pod kontrolou

Jak využít NetFlow pro detekci incidentů?

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

CESNET Day AV ČR. bezpečnostní služby & infrastrukturní služby

IPFIXCOL MODULÁRNÍ KOLEKTOR SÍŤOVÝCH TOKŮ. Lukáš Huták CESNET. 4. listopad 2018 OpenAlt, Brno

Koncept. Centrálního monitoringu a IP správy sítě

Seminář o bezpečnosti sítí a služeb

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

CESNET Day. Bezpečnost

FR CESNET Závěrečná zpráva

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Phishing. Postup při řešení incidentu. Aleš Padrta Radomír Orkáč , Seminář o bezpečnosti, Praha

CESNET Day. Bezpečnost

Bezpečnost síťové části e-infrastruktury CESNET

Bezpečnostní monitoring sítě

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Nadpis 1 - Nadpis Security 2

Strategie sdružení CESNET v oblasti bezpečnosti

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Úroveň 1: Shromažďování indikátorů, použití Port Mirroring nebo sondy pro zachytávání síťového provozu.

Flow monitoring a NBA

Firewally a iptables. Přednáška číslo 12

Marketingová komunikace. 2. soustředění. Mgr. Pavel Vávra Kombinované studium Skupina N9KMK1aPH/N9KMK1bPH (um1a1ph/um1b1ph)

Detekce volumetrických útoků a jejich mi4gace v ISP

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

Příloha č. 1 - ke Smlouvě na dodávku software dle GDPR pro počítačovou síť nedílná součást zadávací dokumentace k podmínkám výzvy VZ 145.

ZADÁNÍ BAKALÁŘSKÉ PRÁCE

CESNET Day. Bezpečnost

Datové služby. Písemná zpráva zadavatele

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Detektor anomálií DNS provozu

ZADÁNÍ DIPLOMOVÉ PRÁCE

Marketingová komunikace. 2. a 3. soustředění. Mgr. Pavel Vávra 9103@mail.vsfs.cz. Kombinované studium Skupina N9KMK3PH (vm3aph)

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Koncept centrálního monitoringu a IP správy sítě

PVBPS - Prezentace DUŠAN CHOLEVA (CHO0130)

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

DoS útoky v síti CESNET2

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Efektivní sdílení informací

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Monitoring provozu poskytovatelů internetu

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Flow monitoring a NBA

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Zákon o kybernetické bezpečnosti: kdo je připraven?

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Audit bezpečnosti počítačové sítě

Bezpečnostní tým na VŠB-TUO

Koncept BYOD. Jak řešit systémově? Petr Špringl

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Transkript:

Václav Bartoš, Martin Žádník Schůze partnerů SABU 20. 6. 2016

Warden Warden systém pro sdílení informací o bezpečnostích událostech Detektory u nás i v jiných organizací v síti CESNET2, externí zdroje Vyvinuto a provozováno CESNETem (odd. 709) honeypot flow analysis Mentat IDS Filter & report... NERD

Warden data Warden obrovské množství dat (>1 mil. hlášení denně) A snažíme se získávat další zdroje V současnosti využité pouze pro reporting Zdrojová adresa uvnitř sítě CESNET2 (nebo partnerské organizace) email report Pokud je zdroj jinde, zprávy jsou nevyužité Mnoho dat lze vydolovat užitečné informace Obecné charakteristiky škodlivého provozu Jaké typy útoků jsou nejčastější? Odkud útoky nejčastěji přichází? Jak jsou vybírány cíle? Jaké bezpečnostní hrozby můžeme v nejbližší době očekávat? Analýza dat z Wardenu: Technická zpráva CESNET 1/2016, Analysis of alerts reported to Warden.

Analýza dat z Wardenu výsledky Klíčová zjištění: 1) Velká část IP adres se objevuje opakovaně. Některé velmi často a dlouhodobě. 2) Některé sítě (AS) a země produkují mnohem více škodlivého provozu než jiné. 3) Je možné předpovídat, jaké zdroje budou v blízké době znovu útočit. Na základě historie detekovaných útoků Příslušnosti do sítě, země a dalších informací

Analýza dat z Wardenu výsledky 1) Velká část IP adres se objevuje opakovaně. Některé velmi často a dlouhodobě. 1) Příslušnosti do sítě, země a dalších informací 8,5% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 65% všech událostí 3,4% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 49% všech událostí

Analýza dat z Wardenu výsledky 1) Velká část IP adres se objevuje opakovaně. Některé velmi často a dlouhodobě. 8,5% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 65% všech událostí 3,4% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 49% všech událostí

Analýza dat z Wardenu výsledky 1) Velká část IP adres se objevuje opakovaně. Některé velmi často a dlouhodobě.

Analýza dat z Wardenu výsledky 2) Některé sítě (AS) a země produkují mnohem více škodlivého provozu než jiné. Top 10 countries - scanning CN 20% Others 33% RU 16% US 8% ES 5% BR 4% TR 3% IT 2% UA 3% TH 3% IN 3%

Analýza dat z Wardenu výsledky 3) Je možné předpovídat, jaké zdroje budou v blízké době znovu útočit. Na základě historie detekovaných útoků (Příslušnosti do sítě, země a dalších informací) Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech Pravděpodobnost detekce v následujícím dni 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1 2 3 4 5 6 7 8 9 10 Počet po sobě jdoucích dní, kdy byla adresa detekována (D)DoS Login Skenování

Reputační databáze Databáze síťových entit (IP adresy, sítě, domény, ) Seznam známých zdrojů škodlivých aktivit na internetu a všeho, co o nich víme Hlavní cíle: Přijímat hlášení o bezpečnostních událostech z Wardenu (příp. i z jiných obdobných systémů) Agregace podle zdrojové adresy Obohacení o další data z externích zdorjů Hostname, ASN, geolokace, Přítomnost na blacklistech... Shrnutí všech informací do reputation score jak velkou hrozbu entita představuje Formálně: pravděpodobnost, že bude adresa v blízké době útočit, kombinovaná se závažností předpokládaného útoku

Reputační databáze použití Způsoby použití: Vrať mi vše, co víš o této IP adrese Informace o seznamu adres (entit) Vyhledávání entit podle zadaných kritérií Statistiky K čemu to bude dobré? Incident handling / vyšetřování Block listy pro firewally Např. mitigace DDoS (blokování adres se špatnou reputací) Blokování SSH spojení od známých SSH útočníků Bezpečnostní výzkum Vizualizace, marketing, PR Statistiky, grafy,... Uživatelé určitě přijdou s dalšími způsoby použití...

Reputační databáze uživatelé Uživatelé: Lidé CSIRT týmy, administrátoři sítí, výzkumníci Web interface Plugin pro browsery pop-up okénko pro každou IP adresu na stránce Jiné systémy HTTP-based API Kdo bude mít přístup k datům: Přispěvatelé posílající data do Wardenu CSIRT týmy Ve velmi omezené podobě i veřejně Pouze informace z veřejných zdrojů + celkové shrnutí (reputace) Limity na množství dotazů Uživatelské účty, skupiny Přístup k určitým položkám omezen na určité skupiny

NERD Architektura query response Web interface or REST API meta-info Reputation Database (properties of IP addresses) properties external data (geo, AS, blacklists,...) reputation score Other systems? Event database events Reputation score estimation (machine learning)

NERD reputační databáze Dokumentová NoSQL databáze JSON dokument pro každou IP adresu (entitu) Záznam o IP adrese: Časové známky (vytvoření záznamu, poslední úprava) Meta informace o událostech Atributy: Hostname (rev. DNS) Geolokace ASN Abuse kontakt Seznam blacklistů, na kterých je adresa přítomna Amplifikátor (Open DNS, NTP, SNMP) TOR exit node VirusTotal Informace ze Shodanu (otevřené porty)... Mnoho z těchto atributů s historií či mírou pravděpodobnosti Odvozené atributy: Statická/dynamická adresa Typ zařízení Reputation score (možná více než jedna hodnota) Ručně přidané poznámky

NERD ukázka https://nerd.cesnet.cz/nerd/ips/

Děkuji za pozornost

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář