Martin Škoda, Product Manager

Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby

skoda@flowmon.com

• Výrobce moderních řešení pro monitoring a zabezpečení počítačových sítí

• Fakta

Založeno v 2007 jako univerzitní spin-off

50+ zaměstnanců, 600+ zákazníků

Obrat > 200 mil. CZK

Vlastní výzkum a vývoj

• Úspěchy

Gartner MQ (NPMD) 2016

Deloitte CE Technology Fast 50 (3x)

Top 100 Czech ICT ranking

Co děláme?

Bezpečnost na perimetru

Firewall

IDS/IPS

UTM

Application firewall

Web filter

E-mail security

SSH Access

PerimeterSecurity

Bezpečnost koncových stanic

Antivir

Personální firewall

Antimalware

Antirootkit

Endpoint DLP

Bezpečnostna perimetru

Bezpečnost koncových stanic

Co nám chybí?

Bezpečnostna perimetru

Bezpečnost koncových stanic

Viditelnost do sítě a bezpečnost

Přístupy monitorování

• SNMP monitoring Velikost přenesených dat,

počet packetů, dostupnost služeb.

• Flow monitoring Detailní viditelnost do

síťového provozu a jeho struktury.

• Analýza paketů Získávání informací z

obsahu paketů pro forenzní účely a viditelnosti do vyšších vrstev.

Basic monitoring Next-generationmonitoring

Princip flow monitoringu

Flow vs. Analýza paketů

Silné stránky Slabé stránky

Flow data

• Pracuje na vysokorychlostních sítích• Odolná vůči šifrované komunikaci• Viditelnost do provozu a reporting• Analýza chování sítě

• Informace z vrstev L3/L4• Někdy chybí dostatek detailů• Samplování (routere, switche)

Analýza paketů

• Plný provoz na síti• Dostatek detailů• Forenzní analýza• Detekce na základě signatur

• Nepoužitelné pro šifrovaný provoz

• Příliš mnoho detailů• Náročné na zdroje

• Který přístup si vybrat? Nejlepší je kombinovat oba přístupy v jediném

řešení

Síťové sondy provádí paketovou analýzu a doplňují flow záznam o informace z obsahu paketů.

Architektura

Monitorovánísíťového provozu

Sběr statistik o provozu

Vizualizace a detekceanomálií

Sondy

• samostatné pasivní zdroje statistik ze sítě - flow data

Kolektor

• úložiště, vizualizace a vyhodnocení síťových statistik

Softwarové moduly

• detekce anomálií, záznam provozu, monitorování výkonu aplikací …

• Monitorování provozu v síti(flow data - NetFlow/IPFIX) Kompletní viditelnost do dění v síti Real-time a historická data pro LAN & WAN &

komunikaci do Internetu Optimalizace správy a provozu sítě Efektivní troubleshooting

• Bezpečnost datové sítě (NBA, NBAD) Založeno na behaviorální analýze, nikoliv

známých signaturách Detekce pokročilého malware, zero-day útoků,

podezřelých přenosů dat, změn chování a dalších incidentů

Z pohledu uživatele

• Záznam provozu v plném rozsahu

Na vyžádání při řešení problémů a incidentů

Distribuovaná architektura

Podpora sítí až 100G

• Monitorování výkonu aplikací

Sledování uživatelských transakcí bez SW agentů

Rozlišení zpoždění aplikace/sítě, sledování SLA

Určeno pro HTTP/HTTPS aplikace a SQL databáze

• Ochrana před DDoS útoky

Detekce volumetrických útoků

Aktivní řízení směrování provozu a mitigace

Z pohledu uživatele

Co se děje ve vaši síti, když se nedíváte?

Přehled provozu, detekované anomálie

Aktivita útočníka (port sken, útok na heslo)

Oběť útoku, následně vykazuje anomálie

Mapování cílů útoků útočníkem

Útok na autentizaci

SSH

Prolomení hesla

Zakrátko začne infikovaná stanice komunikovat s

botnet C&C center

Identifikace botnetu s využitím „Threat intelligence“

Datové toky L2/L3/L4

Včetně viditelnosti do aplikační vrstvy

Záchyt komunikace v plném rozsahu (PCAP)

Komunikace s botnetC&C center

Pokyn k exfiltraci dat přes ICMP

Pokyn ke zjištění serverů s RDP

Podezřelý ICMP provoz s payloadem

Opět PCAP k dispozici, co bylo odesláno?

/etc/passwd soubor s uživatelskými účty

Vyhledání Windows serverů s RDP

Útok na službu RDP

Nelze chránit, co není vidět

Zdroj: Checkpoint Security Report 2015

Ochrana perimetru a koncových stanic na pokročilé kybernetické hrozby nestačí.

Analýzou chování lze odhalit i dosud neznámé hrozby.

Pro zajištění bezpečnosti je důležité vidět, co se odehrává v síťovém provozu.

• Možnosti spolupráce při studiu Vedení bakalářských a diplomových prací Stáže a interim projekty Zapojení do výzkumných projektů

• Tvořte s námi unikátní produkty a technologie

• Jsme ryze česká společnost Nejsme pobočkou nadnárodní společnosti Sami si stanovujeme cíle i pracovní postupy

• Stabilně rosteme o více než 50 % za rok• Napojení na přední vědecká pracoviště• 600+ zákazníků ve 30+ krajinách světa

Možnosti spolupráce

Flowmon Networks a.s. U Vodárny 2965/2616 00 Brno, Czech Republicwww.flowmon.com

High-Speed Networking Technology Partner

Děkuji za pozornost

Martin Škodaskoda@flowmon.com