Kybernetické hrozby – jak detekovat?
Ľuboš Lunter
[email protected] Cyber Security 2015 14.10.2015, Praha
Flowmon Networks • Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU • Založena 2007 (INVEA-TECH) • Oblasti působení: Flow Monitoring Network Behavior Analysis APM, Packet Capture, DDoS protection
• Přes 500 instalací řešení FlowMon
Flowmon Networks • • • •
Gartnerem rozpoznávána od 2010 Spolupráce s … 2x Deloitte CE Technology Fast 50 Red Herring 100 Europe
Bezpečnost koncových stanic
Endpoint DLP
Antivir Personální firewall
antirootkit
antimalware Bezpečnost koncových stanic
Bezpečnost na perimetru
To však již nestačí!
Co nám chybí?
Viditelnost do sítě a bezpečnost
Bezpečnost koncových stanic
Bezpečnost na perimetru
Gartner doporučuje… Gartner doporučuje monitorovat vnitřní síť pomocí Flow Monitoringu a NBA
Bezpečnostní nástroje
Viditelnost do sítě & bezpečnost
Bezpečnost na perimetru
Bezpečnost Koncových stanic
Gartner
Gartner
1 2 4 3 – Endpoint Network Analýza Payload chování síťového analysis Forensics na -provozu sandboxing –koncových analýza incidentů zařízeních Style 5 Forensics Nutné jednotlivé přístupy kombinovat Detekce Detailní Aktivní Efektivně ochrana reporty, anomálii, doplňuje (blokování), rekonstrukce nejsou signature-based agenti i detailní mimo incidentů na konc. detekci, firemní (flow/paket zařízeních, síť téměř realtime, level) realtime Usnadňují analýzu incidentů, informace, i mimo firemní detailnína informace, možnost síť Omezené Komplexní Agenti každém možnosti – složitost, koncovém blokování, časověblokace zařízení náročné, nutné správné – vysoká aktualizace, nastavení cena správa, pro paket false positive; capture konzumace Není jistota, řešení částečně zdrojů… že pro sena bude řeší větší některé chovat sítě zařízení FW, stejně IPS, mimo Web gateway simulovné Neblokují, agenti každém -iaktualizace, správa… prostřední, časový průběh malware
Řešení FlowMon
Přehled produktu
FlowMon Monitorování datových toků
Bezpečnost (NBA)
2013
Záznam komunikace v plném rozsahu
Měření odezvy sítě a aplikací
2014
Ochrana před útoky typu DDoS
2015
FlowMon architektura
Monitorování síťového provozu
FlowMon sondy • samostatné pasivní zdroje statistik Sběr- statistik o ze sítě NetFlow / IPFIX data provozu FlowMon kolektor • úložiště, vizualizace a vyhodnocení síťových statistik FlowMon moduly Vizualizace a detekce anomálií • detekce anomálií, záznam provozu, monitorování výkonu aplikací …
Z pohledu uživatele • Monitorování provozu v síti (NetFlow/IPFIX) Kompletní viditelnost do dění v síti Real-time a historická data pro LAN & WAN & komunikaci do Internetu Optimalizace správy a provozu sítě Efektivní troubleshooting
• Bezpečnost datové sítě (NBA, NBAD) Založeno na behaviorální analýze, nikoliv známých signaturách Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů
Shrnutí
Z pohledu uživatele • Záznam provozu v plném rozsahu Na vyžádání při řešení problémů a incidentů Distribuovaná architektura Podpora sítí až 100G
• Monitorování výkonu aplikací Sledování uživatelských transakcí bez SW agentů Rozlišení zpoždění aplikace/sítě, sledování SLA Určeno pro HTTP/HTTPS aplikace a SQL databáze
• Ochrana před DDoS útoky Detekce volumetrických útoků Aktivní řízení směrování provozu a mitigace
Nasazení s Radware Scrubbing Center Anomaly Detection Mitigation Enforcement
Dynamic Protection Policy Deployment incl. Baselines via Vision REST API
FlowMon with DDoSDefender
Traffic Diversion via BGP Route Injection Netflow Data Collection Learning Baselines
Attack Path
Clean Path Protected Object 1 e.g. Data Center, Organization, Service etc…
Service Provider Core Edge Access
Protected Object 2
Nasazení s Radware Scrubbing Center Anomaly Detection Mitigation Enforcement
Dynamic Protection Policy Deployment incl. Baselines via Vision REST API
FlowMon with DDoSDefender
Traffic Diversion via BGP Route Injection
Best of Class Attack Mitigation
Netflow Data Collection Learning Baselines
Attack Path
Clean Path Protected Object 1 e.g. Data Center, Organization, Service etc…
Service Provider Core Edge Access
Protected Object 2
Příklady z praxe Bezpečnostní incident
Hlášení incidentu 28.5. 9:00 …
Nevím, co se děje Většina z nás se nedostane na Internet Ale informační systém je funkční Ve školící místnosti je vše v pořádku
Hlášení incidentu 28.5. 9:00 …
To je zvláštní … Žádné hlášení ze Zabbixu nemám Servery i VPN jsou dostupné Podívám se do Flowmon-u
Hledání příčiny problému 28.5. 9:10 … 78 port skenů? DNS anomálie?
Hledání příčiny problému 28.5. 9:10 … Podívejme se na ty skeny Ok, uživatelům nejede web Souvisí s tím ty DNS anomálie?
Hledání příčiny problému 28.5. 9:15 … Jaký DNS server se používá? 192.168.0.53? To je notebook! No asi už tuším…
Hledání příčiny problému 28.5. 9:15 … Zdá se, že máme v síti nový DHCP server – přitom to ale je notebook paní Novákové…
Hledání příčiny problému 28.5. 9:20 … Tak se na to podívejme… Notebook o sobě prohlašuje, že je DHCP server
Hledání příčiny problému 28.5. 9:25 … Odpojte notebook paní Novákové! Je příčinou problému, asi bude zavirovaný. A restartujte svoje počítače.
Ok. Řeknu to ostatním
Nudná obnova notebooku 29.5. 08:00 … Tak co tady máme? Dobrý pokus, ještě že jsem to odhalil …
Jak nepustit hackera do sítě? • A co když už tam hacker je? • Co kdyby Malware opravdu fungoval?
192.168.0.X <-> 192.168.0.53 <-> 192.168.0.1 <-> Internet Z pohledu uživatele je všechno v pořádku, ale … Malware by měl přístup k veškerému provozu Mimo jiné k přihlašovacím údajům a jiným citlivým datům
• Jak by se tento incident řešil bez monitoringu? Pravděpodobně by řešení trvalo hodiny, ne 20 minut Pokud by malware fungoval, tak by se o něm ani nedozvěděli
Shrnutí • Neztrácejte čas hledáním pověstné jehly v kupce sena Monitorujte síť Buďte proaktivní Buďte o krok napřed
• Běžné prostředky chrání jen do určité míry Firewall, IDS, Antivirus, … Potřebujete nástroje pro monitorování a analýzu provozu datové sítě, řízení přístupu do sítě, log management
Otázky?
High-Speed Networking Technology Partner
Ľuboš Lunter
[email protected]
Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno www.invea.com
