Ľuboš Lunter
Kybernetické hrozby – jak detekovat?
Cyber Security 2015
14.10.2015, Praha
• Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU
• Založena 2007 (INVEA-TECH)
• Oblasti působení:
Flow Monitoring
Network Behavior Analysis
APM, Packet Capture, DDoS protection
• Přes 500 instalací řešení FlowMon
Flowmon Networks
• Gartnerem rozpoznávána od 2010
• Spolupráce s …
• 2x Deloitte CE Technology Fast 50
• Red Herring 100 Europe
Flowmon Networks
Bezpečnost koncových stanic
Antivir
Personální firewall
antimalware
antirootkit
Endpoint DLP
Bezpečnost na perimetru
Bezpečnost koncových stanic
To však již nestačí!
Co nám chybí?
Bezpečnost na perimetru
Bezpečnost koncových stanic
Viditelnost do sítě a bezpečnost
Gartner doporučuje monitorovat vnitřní síť pomocí Flow Monitoringu a NBA
Gartner doporučuje…
Bezpečnostní nástroje
Viditelnost do sítě & bezpečnost
Bezpečnost na perimetru
Bezpečnost Koncových
stanic
Gartner
Gartner
Style 1 – Analýza síťového provozu Detekce anomálii, nejsou agenti na konc. zařízeních, realtime Omezené možnosti blokování, nutné správné nastavení false
positive; částečně řeší některé FW, IPS, Web gateway
Style 2 – Network Forensics – analýza incidentů Detailní reporty, rekonstrukce incidentů (flow/paket level) Komplexní – složitost, časově náročné, vysoká cena pro paket
capture řešení pro větší sítě
Style 3 – Payload analysis - sandboxing Efektivně doplňuje signature-based detekci, téměř realtime,
detailní informace, možnost blokace Není jistota, že se bude chovat stejně i mimo simulovné
prostřední, časový průběh malware
Style 4 – Analýza chování na koncových zařízeních Aktivní ochrana (blokování), i mimo firemní síť Agenti na každém koncovém zařízení – aktualizace, správa,
konzumace zdrojů…
Style 5 – Endpoint Forensics Usnadňují analýzu incidentů, detailní informace, i mimo firemní
síť Neblokují, agenti na každém zařízení - aktualizace, správa…
Nutné jednotlivé přístupy kombinovat
Řešení FlowMon
Přehled produktu
FlowMon
Monitorování datových
toků
Bezpečnost (NBA)
Záznam komunikace v
plném rozsahu
Měření odezvy sítě a
aplikací
Ochrana před útoky typu
DDoS
2013 2014 2015
FlowMon architektura
Monitorování síťového provozu
Sběr statistik o provozu
Vizualizace a detekce anomálií
FlowMon sondy
• samostatné pasivní zdroje statistik ze sítě - NetFlow / IPFIX data
FlowMon kolektor
• úložiště, vizualizace a vyhodnocení síťových statistik
FlowMon moduly
• detekce anomálií, záznam provozu, monitorování výkonu aplikací …
• Monitorování provozu v síti (NetFlow/IPFIX) Kompletní viditelnost do dění v síti
Real-time a historická data pro LAN & WAN & komunikaci do Internetu
Optimalizace správy a provozu sítě
Efektivní troubleshooting
• Bezpečnost datové sítě (NBA, NBAD) Založeno na behaviorální analýze, nikoliv
známých signaturách
Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů
Z pohledu uživatele
Shrnutí
• Záznam provozu v plném rozsahu
Na vyžádání při řešení problémů a incidentů
Distribuovaná architektura
Podpora sítí až 100G
• Monitorování výkonu aplikací
Sledování uživatelských transakcí bez SW agentů
Rozlišení zpoždění aplikace/sítě, sledování SLA
Určeno pro HTTP/HTTPS aplikace a SQL databáze
• Ochrana před DDoS útoky
Detekce volumetrických útoků
Aktivní řízení směrování provozu a mitigace
Z pohledu uživatele
Service Provider Core
Access
Edge
Scrubbing Center
Attack Path
FlowMon with DDoSDefender
Clean Path
Protected Object 1 e.g. Data Center, Organization, Service etc…
Protected Object 2
Netflow Data Collection
Learning Baselines
Anomaly Detection Mitigation
Enforcement
Dynamic Protection Policy Deployment incl. Baselines via Vision REST API
Traffic Diversion via BGP Route Injection
Nasazení s Radware
Service Provider Core
Access
Edge
Scrubbing Center
Attack Path
FlowMon with DDoSDefender
Clean Path
Protected Object 1 e.g. Data Center, Organization, Service etc…
Protected Object 2
Netflow Data Collection
Learning Baselines
Anomaly Detection Mitigation
Enforcement
Traffic Diversion via BGP Route Injection Best of Class
Attack Mitigation
Dynamic Protection Policy Deployment incl. Baselines via Vision REST API
Nasazení s Radware
Příklady z praxe
Bezpečnostní incident
Hlášení incidentu
28.5. 9:00 …
Nevím, co se děje Většina z nás se nedostane na Internet Ale informační systém je funkční Ve školící místnosti je vše v pořádku
Hlášení incidentu
28.5. 9:00 …
To je zvláštní … Žádné hlášení ze Zabbixu nemám Servery i VPN jsou dostupné Podívám se do Flowmon-u
Hledání příčiny problému
28.5. 9:10 …
78 port skenů? DNS anomálie?
Hledání příčiny problému
28.5. 9:10 …
Podívejme se na ty skeny Ok, uživatelům nejede web Souvisí s tím ty DNS anomálie?
Hledání příčiny problému
28.5. 9:15 …
Jaký DNS server se používá? 192.168.0.53? To je notebook! No asi už tuším…
Hledání příčiny problému
28.5. 9:15 …
Zdá se, že máme v síti nový DHCP server – přitom to ale je notebook paní Novákové…
Hledání příčiny problému
28.5. 9:20 …
Tak se na to podívejme… Notebook o sobě prohlašuje, že je DHCP server
Hledání příčiny problému
28.5. 9:25 …
Odpojte notebook paní Novákové! Je příčinou problému, asi bude zavirovaný. A restartujte svoje počítače.
Ok. Řeknu to ostatním
Nudná obnova notebooku
29.5. 08:00 …
Tak co tady máme? Dobrý pokus, ještě že jsem to odhalil …
Jak nepustit hackera do sítě?
• A co když už tam hacker je?
• Co kdyby Malware opravdu fungoval? 192.168.0.X <-> 192.168.0.53 <-> 192.168.0.1 <-> Internet
Z pohledu uživatele je všechno v pořádku, ale …
Malware by měl přístup k veškerému provozu
Mimo jiné k přihlašovacím údajům a jiným citlivým datům
• Jak by se tento incident řešil bez monitoringu? Pravděpodobně by řešení trvalo hodiny, ne 20 minut
Pokud by malware fungoval, tak by se o něm ani nedozvěděli
Shrnutí
• Neztrácejte čas hledáním pověstné jehly v kupce sena
Monitorujte síť
Buďte proaktivní
Buďte o krok napřed
• Běžné prostředky chrání jen do určité míry Firewall, IDS, Antivirus, …
Potřebujete nástroje pro monitorování a analýzu provozu datové sítě, řízení přístupu do sítě, log management
Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno www.invea.com
High-Speed Networking Technology Partner
Otázky?
[email protected] Ľuboš Lunter