Big Data a bezpečnost Andrea Kropáčová,
[email protected] CESNET, z. s. p. o.
CESNET Community Fórum
26. 11. 2014
Zabezpečená data ... ●
... jsou data, která: –
jsou chráněna obsahově. Uživatel by neměl spoléhat na poskytovatele služby, poskytovatel služby se nepostará o ochranu obsahu dat, uživatel musí věřit sobě a musí se na bezpečnosti svých dat podílet.
–
jsou ukládána do zdravé a chráněné infrastruktury. To znamená infrastruktury monitorované, s kontinuálním vyhodnocováním a řešením anomálních projevů přenosové infrastruktury a infrastruktury služeb (DÚ).
26. 11. 2014
CESNET Community Fórum
Bezpečnost dat NE!
●
Ochrana konkrétních dat (obsahu)
●
Ochrana přenosové infrastruktury a infrastruktury DÚ –
ANO!
Zahrnuje schopnost detekovat: – – –
pokusy o průlom záplavové útoky stavy omezující schopnost uživatele přistupovat ke službě (datům)
monitoring na pomezí provozu a bezpečnosti
26. 11. 2014
CESNET Community Fórum
Monitoring ● ●
●
●
Sledujeme, jaký je provoz vůči DÚ infra Monitoring a kalibrace monitoringu per lokalita, Nagios – hlášení anomálních stavů IP provoz (FTAS) –
top listy podle zdrojů, podle cílů
–
jaký je provoz vůči DÚ
–
koresponduje statistika s tím, jak by provoz měl vypadat?
Síťové a koncové prvky infrastruktury (G3) –
využití a stav linek
–
vyhodnocení provozu
–
paketové rychlosti, útoky hrubou silou
26. 11. 2014
CESNET Community Fórum
Monitoring ● ●
●
●
Sledujeme, jaký je provoz vůči DÚ infra Monitoring a kalibrace monitoringu per lokalita, Nagios – hlášení anomálních stavů IP provoz (FTAS) –
top listy podle zdrojů, podle cílů
–
jaký je provoz vůči DÚ
–
koresponduje statistika s tím, jak by provoz měl vypadat?
Síťové a koncové prvky infrastruktury (G3) –
využití a stav linek
–
vyhodnocení provozu
–
paketové rychlosti, útoky hrubou silou
umíme rozpoznat provozní problém a bezpečnostní problém umíme rozpoznat pokusy infrastrukturu a data zneužít máme naskladněné informace pro expost analýzu 26. 11. 2014
CESNET Community Fórum
26. 11. 2014
CESNET Community Fórum
Charakter provozu CESNET2
26. 11. 2014
CESNET Community Fórum
Charakter provozu DÚ ●
Uživatele v jejich činnosti (při práci s DÚ) neorganizujeme –
používají DÚ jak chtějí a potřebují
–
zálohují nahodile
–
sdílejí nahodile zátěž infrastruktury je pseudonáhodná
●
Provoz infrastruktury DÚ –
skokový, nahodilý charakter přenosů
–
z minuty můžeme pozorovat nárůst přenosů o několik GB
–
uživatel ukládá velký objem dat = může se jevit jako anomálie
26. 11. 2014
CESNET Community Fórum
Charakter provozu – DÚ
26. 11. 2014
CESNET Community Fórum
26. 11. 2014
CESNET Community Fórum
26. 11. 2014
CESNET Community Fórum
3 poselství ●
●
●
Dbáme o bezpečnost CESNET2 a o bezpečnost infrastruktur služeb (DÚ) Máme nástroje a technologie, ale nespoléháme se pouze na automatizaci, spoléháme se na schopné a gramotné správce Uživatel musí přiložit ruku k dílu
26. 11. 2014
CESNET Community Fórum
Uživatel ●
Uživatel nesmí věřit svému poskytovateli služeb!
●
Uživatel by měl přemýšlet:
●
–
s jakými daty pracuje
–
jaká data může do DÚ poslat
–
citlivá data šifrovat
Zálohujte!!! Je to často dobrá ochrana před ztrátou dat zaviněnou prolomením zabezpečení primárního úložiště dat –
●
viz kauzy vyděračského malware co zašifruje data
Provozovatel (CESNET) zajistí bezpečnost a zdraví přenosové a DÚ infrastruktury, ale nezajistí zabezpečení (obsahu) dat!
26. 11. 2014
CESNET Community Fórum
Může být hůř ... ●
Příklad: Software v cloudu často nemusí být pod správou vlastníka cloudu, ale software spravuje samotný uživatel – –
zneužití zranitelnosti neaktualizovaného sw zneužití špatné konfigurace
Kromě získání dat i potenciální zdroj samotných útoků – –
26. 11. 2014
ohrožení DÚ ohrožení infrastrukty
CESNET Community Fórum
Další nástroje ●
●
Dedikované sondy Flow Probe –
10/100 Gb sondy pro měření linek v prostředí Big Data (možnost zapojit jako 10x 10 Gb)
–
Generování záznamů o komunikaci bez ztráty paketů díky hardwarové akceleraci
–
Přesná časová značka
–
Měření L3/L4, možnost jít až do L7 (např. kontrola URL při stahování malware)
–
Zvýšení detailu v případě podezřelé komunikace
–
Export dat pomocí NetFlow v9 a IPFIX
Kolektor IPFIXcol –
Vysoce výkonný kolektor pro sběr velkého množství dat
–
Rozšiřitelná struktura záznamu o komunikaci
–
Podpora NetFlow v5, v9, IPFIX
26. 11. 2014
CESNET Community Fórum
Další nástroje ●
Analýza Nemea –
Vysoce výkonné prostředí pro analýzu velkého množství sbíraných dat
–
Detekce síťových i aplikačních událostí ● ● ● ●
●
Skenování, DoS Útoky na SSH, HeartBleed, Shell shock Amplifikační útoky Malware
Externí zdroje dat –
sběrná místa typu ShadowServer, DShield, N6, UCEPROTECT ...
–
systém Warden (http://warden.cesnet.cz)
–
může být první indikátor něčeho nezdravého v infrastruktuře (DÚ) ● ●
26. 11. 2014
zaměření monitoringu analýza naskladněných dat
CESNET Community Fórum
Závěr ●
Bezpečnostní infrastruktura –
síťové sondy na perimetru sítě CESNET2
–
dedikované sondy, IPFIXcol, analýza Nemea
–
FTAS a G3 ●
plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur
●
plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur
–
IDS systémy, Honeypoty
–
Systémy pro sdílení a korelaci dat ●
–
–
Warden, http://warden.cesnet.cz/
Forenzní laboratoř (FLAB) ●
forenzní analýza
●
penetrační testy, testy odolnosti
Gramotné a spolupracující správce: CESNETCERTS, PSS, NOC
26. 11. 2014
CESNET Community Fórum
Závěr ●
Bezpečnostní infrastruktura –
síťové sondy na perimetru sítě CESNET2
–
dedikované sondy, IPFIXcol, analýza Nemea
–
FTAS a G3 ●
plošné souvislé sledování IP provozu rozsáhlých síťových infrastruktur
●
plošné souvislé sledování stavu a chování rozsáhlých výkonných infrastruktur
–
IDS systémy, Honeypoty
–
Systémy pro sdílení a korelaci dat ●
–
Warden, http://warden.cesnet.cz/
Forenzní laboratoř (FLAB) ●
forenzní analýza
●
penetrační testy, testy odolnosti
–
Gramotné a spolupracující správce: CESNETCERTS, PSS, NOC
–
Gramotné a spolupracující uživatele
26. 11. 2014
CESNET Community Fórum
Děkuji za pozornost.
CESNET Day o bezpečnosti, 8. 10. 2014, Praha