Ľuboš Lunter

Kybernetické hrozby – jak detekovat?

lunter@invea.com

Cyber Security 2015

14.10.2015, Praha

• Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU

• Založena 2007 (INVEA-TECH)

• Oblasti působení:

Flow Monitoring

Network Behavior Analysis

APM, Packet Capture, DDoS protection

• Přes 500 instalací řešení FlowMon

Flowmon Networks

• Gartnerem rozpoznávána od 2010

• Spolupráce s …

• 2x Deloitte CE Technology Fast 50

• Red Herring 100 Europe

Flowmon Networks

Bezpečnost koncových stanic

Antivir

Personální firewall

antimalware

antirootkit

Endpoint DLP

Bezpečnost na perimetru

Bezpečnost koncových stanic

To však již nestačí!

Co nám chybí?

Bezpečnost na perimetru

Bezpečnost koncových stanic

Viditelnost do sítě a bezpečnost

Gartner doporučuje monitorovat vnitřní síť pomocí Flow Monitoringu a NBA

Gartner doporučuje…

Bezpečnostní nástroje

Viditelnost do sítě & bezpečnost

Bezpečnost na perimetru

Bezpečnost Koncových

stanic

Gartner

Gartner

Style 1 – Analýza síťového provozu Detekce anomálii, nejsou agenti na konc. zařízeních, realtime Omezené možnosti blokování, nutné správné nastavení false

positive; částečně řeší některé FW, IPS, Web gateway

Style 2 – Network Forensics – analýza incidentů Detailní reporty, rekonstrukce incidentů (flow/paket level) Komplexní – složitost, časově náročné, vysoká cena pro paket

capture řešení pro větší sítě

Style 3 – Payload analysis - sandboxing Efektivně doplňuje signature-based detekci, téměř realtime,

detailní informace, možnost blokace Není jistota, že se bude chovat stejně i mimo simulovné

prostřední, časový průběh malware

Style 4 – Analýza chování na koncových zařízeních Aktivní ochrana (blokování), i mimo firemní síť Agenti na každém koncovém zařízení – aktualizace, správa,

konzumace zdrojů…

Style 5 – Endpoint Forensics Usnadňují analýzu incidentů, detailní informace, i mimo firemní

síť Neblokují, agenti na každém zařízení - aktualizace, správa…

Nutné jednotlivé přístupy kombinovat

Řešení FlowMon

Přehled produktu

FlowMon

Monitorování datových

toků

Bezpečnost (NBA)

Záznam komunikace v

plném rozsahu

Měření odezvy sítě a

aplikací

Ochrana před útoky typu

DDoS

2013 2014 2015

FlowMon architektura

Monitorování síťového provozu

Sběr statistik o provozu

Vizualizace a detekce anomálií

FlowMon sondy

• samostatné pasivní zdroje statistik ze sítě - NetFlow / IPFIX data

FlowMon kolektor

• úložiště, vizualizace a vyhodnocení síťových statistik

FlowMon moduly

• detekce anomálií, záznam provozu, monitorování výkonu aplikací …

• Monitorování provozu v síti (NetFlow/IPFIX) Kompletní viditelnost do dění v síti

Real-time a historická data pro LAN & WAN & komunikaci do Internetu

Optimalizace správy a provozu sítě

Efektivní troubleshooting

• Bezpečnost datové sítě (NBA, NBAD) Založeno na behaviorální analýze, nikoliv

známých signaturách

Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů

Z pohledu uživatele

Shrnutí

• Záznam provozu v plném rozsahu

Na vyžádání při řešení problémů a incidentů

Distribuovaná architektura

Podpora sítí až 100G

• Monitorování výkonu aplikací

Sledování uživatelských transakcí bez SW agentů

Rozlišení zpoždění aplikace/sítě, sledování SLA

Určeno pro HTTP/HTTPS aplikace a SQL databáze

• Ochrana před DDoS útoky

Detekce volumetrických útoků

Aktivní řízení směrování provozu a mitigace

Z pohledu uživatele

Service Provider Core

Access

Edge

Scrubbing Center

Attack Path

FlowMon with DDoSDefender

Clean Path

Protected Object 1 e.g. Data Center, Organization, Service etc…

Protected Object 2

Netflow Data Collection

Learning Baselines

Anomaly Detection Mitigation

Enforcement

Dynamic Protection Policy Deployment incl. Baselines via Vision REST API

Traffic Diversion via BGP Route Injection

Nasazení s Radware

Service Provider Core

Access

Edge

Scrubbing Center

Attack Path

FlowMon with DDoSDefender

Clean Path

Protected Object 1 e.g. Data Center, Organization, Service etc…

Protected Object 2

Netflow Data Collection

Learning Baselines

Anomaly Detection Mitigation

Enforcement

Traffic Diversion via BGP Route Injection Best of Class

Attack Mitigation

Dynamic Protection Policy Deployment incl. Baselines via Vision REST API

Nasazení s Radware

Příklady z praxe

Bezpečnostní incident

Hlášení incidentu

28.5. 9:00 …

Nevím, co se děje Většina z nás se nedostane na Internet Ale informační systém je funkční Ve školící místnosti je vše v pořádku

Hlášení incidentu

28.5. 9:00 …

To je zvláštní … Žádné hlášení ze Zabbixu nemám Servery i VPN jsou dostupné Podívám se do Flowmon-u

Hledání příčiny problému

28.5. 9:10 …

78 port skenů? DNS anomálie?

Hledání příčiny problému

28.5. 9:10 …

Podívejme se na ty skeny Ok, uživatelům nejede web Souvisí s tím ty DNS anomálie?

Hledání příčiny problému

28.5. 9:15 …

Jaký DNS server se používá? 192.168.0.53? To je notebook! No asi už tuším…

Hledání příčiny problému

28.5. 9:15 …

Zdá se, že máme v síti nový DHCP server – přitom to ale je notebook paní Novákové…

Hledání příčiny problému

28.5. 9:20 …

Tak se na to podívejme… Notebook o sobě prohlašuje, že je DHCP server

Hledání příčiny problému

28.5. 9:25 …

Odpojte notebook paní Novákové! Je příčinou problému, asi bude zavirovaný. A restartujte svoje počítače.

Ok. Řeknu to ostatním

Nudná obnova notebooku

29.5. 08:00 …

Tak co tady máme? Dobrý pokus, ještě že jsem to odhalil …

Jak nepustit hackera do sítě?

• A co když už tam hacker je?

• Co kdyby Malware opravdu fungoval? 192.168.0.X <-> 192.168.0.53 <-> 192.168.0.1 <-> Internet

Z pohledu uživatele je všechno v pořádku, ale …

Malware by měl přístup k veškerému provozu

Mimo jiné k přihlašovacím údajům a jiným citlivým datům

• Jak by se tento incident řešil bez monitoringu? Pravděpodobně by řešení trvalo hodiny, ne 20 minut

Pokud by malware fungoval, tak by se o něm ani nedozvěděli

Shrnutí

• Neztrácejte čas hledáním pověstné jehly v kupce sena

Monitorujte síť

Buďte proaktivní

Buďte o krok napřed

• Běžné prostředky chrání jen do určité míry Firewall, IDS, Antivirus, …

Potřebujete nástroje pro monitorování a analýzu provozu datové sítě, řízení přístupu do sítě, log management

Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno www.invea.com

High-Speed Networking Technology Partner

Otázky?

lunter@invea.com Ľuboš Lunter