Monitorování datových sítí: Vize 2020 FlowMon Friday, 29.5.2015
Pavel Minařík
[email protected]
Flow vs. paketová analýza
INVEA-TECH: „Flow + L7 vyřeší 95% případů“ © INVEA-TECH 2015
Pokročilé hrozby (APT)
Gartner potvrzuje to, co INVEA-TECH prezentuje již od roku 2009, kdy jsme uvedli FlowMon ADS. © INVEA-TECH 2015
Infikované podnikové sítě
Od roku 2011 jsme provedli více než 100 analýz provozu datové sítě. Téměř 80% organizací lze označit za nedostatečně zabezpečené a infikované malwarem. © INVEA-TECH 2015
Výkon sítě i aplikací
Představte si, že máte nástroj, který ukončí spory mezi správci sítě, serverů a aplikací o příčiny výkonnostních problémů. © INVEA-TECH 2015
SIEM, antivirus a flow
INVEA-TECH: „SIEM a antivirus samozřejmě ano, ale nezapomínejte na viditelnost do provozu datové sítě a včasnou detekci.“
© INVEA-TECH 2015
INVEA-TECH v roce 2015
Příklad útoku • Use-case: path traversal attack
Na úrovni datových toků Automatická detekce na základě analýzy toků Detailní viditelnost díky aplikačnímu monitoringu Záznam a analýza provozu v plném rozsahu
Flow
ADS
APM
Packet capture
Datové toky (flow) • Zřejmá anomálie provozu datové sítě
© INVEA-TECH 2015
Detekce anomálií (ADS) • Automatická detekce útoku včetně interpretace
© INVEA-TECH 2015
Monitoring aplikací (APM) • Viditelnost do útoku na aplikační vrstvě Plná délka URL, UserAgent, …
© INVEA-TECH 2015
Záznam a analýza provozu • Pořízení PCAP souboru v případě potřeby pro detailní (forenzní) analýzu
© INVEA-TECH 2015
Flow vs. paketová analýza Silné stránky
Slabé stránky
Datové toky
• • • •
Použitelné i pro vysokorychlostní sítě Odolné vůči šifrovanému provozu Viditelnost do provozu a reporting Data pro behaviorální analýzu
• Aplikační vrstva zcela chybí • Někdy příliš málo informací • Sampling (aktivní prvky)
Paketová analýza
• • • •
Plný rozsah datové komunikace Dostatečný detail pro řešení problémů Data využitelná pro forenzní analýzu Automatická detekce na bázi signatur
• Nelze pro šifrovaný provoz • Náročné na výpočetní zdroje • Často příliš mnoho informací
• Řešení? Kombinace silných stránek v jediném řešení Multifunkční síťové sondy pro kompletní viditelnost na všech vrstvách © INVEA-TECH 2015
Monitorování sítí vize 2020
Internet věcí (IoT) • Inteligentní budovy, spotřebiče, automobily, lékařské přístroje připojené k síti s sebou nesou nová kritická bezpečnostní rizika a vyžadují nové metody ochrany
© INVEA-TECH 2015
Datové sítě v roce 2020 • Technologie 100G je standardem, existují běžné síťové adaptéry pro tyto rychlosti • INVEA-TECH uvádí jako první na světě 400G síťovou kartu založenou na FPGA
© INVEA-TECH 2015
Potřebujeme vidět a vědět • VISUAL ANALYTICS pro okamžitý vhled do dění na síti a zvýšení efektivity práce operátora/analytika
www.d3js.org
© INVEA-TECH 2015
Vše je virtuální, i datové sítě • Datová centra jsou postavena na konceptu SDN (Software Defined Networking), většina zařízení používá NFV (Network Function Virtualization) • Bez monitoringu a analýzy provozu to nepůjde
© INVEA-TECH 2015
Flow ve všech zařízeních • Podpora flow je standardem Switche, routery, firewally, atd. Rozšiřuje se viditelnost do L7
• Sondy mají stále svůj význam
L7 (DNS, DHCP, SQL, Samba, …) Network Performance Monitoring Záznam provozu v plném rozsahu Wire-speed výkon, žádný sampling Viditelnost ve specifickém prostředí © INVEA-TECH 2015
FlowMon v roce 2020? • Koncept sonda – kolektor zůstává Jak zdroj L3/L4 flow lze použít každé síťové zařízení
• • • • •
Vysoký výkon pro technologii 400G Ethernet Monitoring virtuálních sítí a podpora SDN Škálovatelné řešení pro cloud (NOC, SOC, MSSP) Flow a packet capture splývá v jediném řešení Vizualizace (visual analytics & situation awareness)
• FlowMon jako „Single Source of Truth“ © INVEA-TECH 2015
Děkuji za pozornost
High-Speed Networking Technology Partner
Pavel Minařík
[email protected] +420 733 713 703
INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno Czech Republic www.invea-tech.com