Date post: | 20-Feb-2017 |
Category: |
Technology |
Upload: | security-session |
View: | 213 times |
Download: | 3 times |
Martin Škoda, Product Manager
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby
• Výrobce moderních řešení pro monitoring a zabezpečení počítačových sítí
• Fakta
Založeno v 2007 jako univerzitní spin-off
50+ zaměstnanců, 600+ zákazníků
Obrat > 200 mil. CZK
Vlastní výzkum a vývoj
• Úspěchy
Gartner MQ (NPMD) 2016
Deloitte CE Technology Fast 50 (3x)
Top 100 Czech ICT ranking
Co děláme?
Bezpečnost na perimetru
Firewall
IDS/IPS
UTM
Application firewall
Web filter
E-mail security
SSH Access
PerimeterSecurity
Bezpečnost koncových stanic
Antivir
Personální firewall
Antimalware
Antirootkit
Endpoint DLP
Bezpečnostna perimetru
Bezpečnost koncových stanic
Co nám chybí?
Bezpečnostna perimetru
Bezpečnost koncových stanic
Viditelnost do sítě a bezpečnost
Přístupy monitorování
• SNMP monitoring Velikost přenesených dat,
počet packetů, dostupnost služeb.
• Flow monitoring Detailní viditelnost do
síťového provozu a jeho struktury.
• Analýza paketů Získávání informací z
obsahu paketů pro forenzní účely a viditelnosti do vyšších vrstev.
Basic monitoring Next-generationmonitoring
Princip flow monitoringu
Flow vs. Analýza paketů
Silné stránky Slabé stránky
Flow data
• Pracuje na vysokorychlostních sítích• Odolná vůči šifrované komunikaci• Viditelnost do provozu a reporting• Analýza chování sítě
• Informace z vrstev L3/L4• Někdy chybí dostatek detailů• Samplování (routere, switche)
Analýza paketů
• Plný provoz na síti• Dostatek detailů• Forenzní analýza• Detekce na základě signatur
• Nepoužitelné pro šifrovaný provoz
• Příliš mnoho detailů• Náročné na zdroje
• Který přístup si vybrat? Nejlepší je kombinovat oba přístupy v jediném
řešení
Síťové sondy provádí paketovou analýzu a doplňují flow záznam o informace z obsahu paketů.
Architektura
Monitorovánísíťového provozu
Sběr statistik o provozu
Vizualizace a detekceanomálií
Sondy
• samostatné pasivní zdroje statistik ze sítě - flow data
Kolektor
• úložiště, vizualizace a vyhodnocení síťových statistik
Softwarové moduly
• detekce anomálií, záznam provozu, monitorování výkonu aplikací …
• Monitorování provozu v síti(flow data - NetFlow/IPFIX) Kompletní viditelnost do dění v síti Real-time a historická data pro LAN & WAN &
komunikaci do Internetu Optimalizace správy a provozu sítě Efektivní troubleshooting
• Bezpečnost datové sítě (NBA, NBAD) Založeno na behaviorální analýze, nikoliv
známých signaturách Detekce pokročilého malware, zero-day útoků,
podezřelých přenosů dat, změn chování a dalších incidentů
Z pohledu uživatele
• Záznam provozu v plném rozsahu
Na vyžádání při řešení problémů a incidentů
Distribuovaná architektura
Podpora sítí až 100G
• Monitorování výkonu aplikací
Sledování uživatelských transakcí bez SW agentů
Rozlišení zpoždění aplikace/sítě, sledování SLA
Určeno pro HTTP/HTTPS aplikace a SQL databáze
• Ochrana před DDoS útoky
Detekce volumetrických útoků
Aktivní řízení směrování provozu a mitigace
Z pohledu uživatele
Co se děje ve vaši síti, když se nedíváte?
Přehled provozu, detekované anomálie
Aktivita útočníka (port sken, útok na heslo)
Oběť útoku, následně vykazuje anomálie
Mapování cílů útoků útočníkem
Útok na autentizaci
SSH
Prolomení hesla
Zakrátko začne infikovaná stanice komunikovat s
botnet C&C center
Identifikace botnetu s využitím „Threat intelligence“
Datové toky L2/L3/L4
Včetně viditelnosti do aplikační vrstvy
Záchyt komunikace v plném rozsahu (PCAP)
Komunikace s botnetC&C center
Pokyn k exfiltraci dat přes ICMP
Pokyn ke zjištění serverů s RDP
Podezřelý ICMP provoz s payloadem
Opět PCAP k dispozici, co bylo odesláno?
/etc/passwd soubor s uživatelskými účty
Vyhledání Windows serverů s RDP
Útok na službu RDP
Nelze chránit, co není vidět
Zdroj: Checkpoint Security Report 2015
Ochrana perimetru a koncových stanic na pokročilé kybernetické hrozby nestačí.
Analýzou chování lze odhalit i dosud neznámé hrozby.
Pro zajištění bezpečnosti je důležité vidět, co se odehrává v síťovém provozu.
• Možnosti spolupráce při studiu Vedení bakalářských a diplomových prací Stáže a interim projekty Zapojení do výzkumných projektů
• Tvořte s námi unikátní produkty a technologie
• Jsme ryze česká společnost Nejsme pobočkou nadnárodní společnosti Sami si stanovujeme cíle i pracovní postupy
• Stabilně rosteme o více než 50 % za rok• Napojení na přední vědecká pracoviště• 600+ zákazníků ve 30+ krajinách světa
Možnosti spolupráce
Flowmon Networks a.s. U Vodárny 2965/2616 00 Brno, Czech Republicwww.flowmon.com
High-Speed Networking Technology Partner
Děkuji za pozornost
Martin Š[email protected]