9. PO CO NAM WIĘC WYKRYWANIE INTRUZÓW?
(PRZECIEŻ MAMY FIREWALLE I IPSY)
Detekcja intruzów
10. PONIEWAŻ:
ISTNIEJĄCE ZABEZPIECZENIA MOGĄ
ZAWIEŚĆ!!!
Detekcja intruzów
11. ● CZY ISTNIEJĄCE ZABEZPIECZENIA SĄ
W 100% EFEKTYWNE?
● SKĄD MA BYĆ WIADOMO KIEDY
ZABEZPIECZANIA ZAWIODŁY?
● JEŚLI ZAWIODŁY TO CO ZOSTAŁO
ZNISZCZONE, SKRADZIONE,
STRACONE?
Detekcja intruzów
12. POZA TYM:
● INTRUZ JEST NIEPRZEWIDYWALNY
● INTRUZ MOŻE BYĆ SPRYTNIEJSZY OD
ADMINISTRUJĄCEGO
● ADMINISTRUJĄCY ZAWSZE DZIAŁA JAKO
DRUGI (W STOSUNKU DO ATAKUJĄCEGO)
● W JAKI SPOSÓB PRZYGOTOWAĆ SIĘ NA
PRZYSZŁOŚĆ?
● JEŚLI ZABEZPIECZA SIĘ WAŻNE BUDYNKI
CZY POLEGA SIĘ TYLKO NA ZAMKACH W
DRZWIACH?
Detekcja intruzów
13. PROBLEMY
(HISTORIA ZE SKANOWANIEM
ODCINEK 1532 ;)
Detekcja intruzów
15. ● INTERNET NALEŻY TRAKTOWAĆ JAK POLE WALKI –
TAKI TROCHĘ „DZIKI ZACHÓD”
● PODSTAWOWYM ELEMENTEM DZIAŁAŃ TAK POLA
WALKI I BIZNESU JEST MONITOROWANIE
● ZBIERANIE INFORMACJI - REKONESANS
● ANALIZA INFORMACJI
● HAKERZY NIE DZIAŁAJĄ W MAGICZNY SPOSÓB –
ZOSTAWIAJĄ ŚLADY W WIELU MIEJSCACH
● LOGOWANIE I OBSERWOWANIE JAKO SPOSÓB NA
WYKRYCIE TEGO OD KIEDY I ILE ZOSTAŁO STRACONE,
A MOŻE KTOŚ SIĘ PRZYMIERZA DO TEGO
● REKONESANS PRZECIWNIKA TEŻ MOŻNA WYKRYĆ
● MAJĄC INFORMACJE Z JAKIEGOŚ OKRESU MOŻNA
ZAREAGOWAĆ NA DZIAŁANIA NAWET NA BARDZO
PRZEBIEGŁYCH I SKRYTYCH INTRUZÓW
Detekcja intruzów
16. TRAKTUJMY WIĘC IDSY JAKO ŹRÓDŁO
WSKAŹNIKÓW I OSTRZEŻEŃ
ROZSZERZMY CAŁY SYSTEM O:
● LOGOWANIE DANYCH STATYSTYCZNYCH
● LOGOWANIE DANYCH SESJI
● LOGOWANIE PEŁNYCH PAKIETÓW
Detekcja intruzów
21. quot;Security is a not a technology problem, it's a
people problem.quot; - Bruce Schneier
TRADYCYJNE PODEJŚCIE
VS.
NETWORK SECURITY MONITORING
Detekcja intruzów
23. 1. POJAWIŁ SIĘ ALARM
2. ADMINISTRATOR/ANALITYK CZYTA ALARM
3. NIE WIADOMO CZY ATAK SIĘ POWIÓDŁ (A
MOŻE KTOŚ ODGADNIE?)
4. W POSZUKIWANIU POWIĄZANYCH
ALERTÓW – I TAK NADAL NIC NIE
WIADOMO, NAWET JEŚLI COŚ SIĘ ZNAJDZIE
5. PRZECHODZIMY DO NASTĘPNEGO
ALARMU
Detekcja intruzów
24. NETWORK SECURITY MONITORING – NSM
● ZAPISUJ ILE SIĘ DA (LOGUJ ILE MOŻESZ)
● JEŚLI NIE MOŻESZ LOGOWAĆ
WSZYSTKIEGO, LOGUJ NAJWAŻNIEJSZE,
PRÓBKUJ – LEPSZE WIEDZIEĆ COŚ NIŻ NIC
● WYKORZYSTAJ ISTNIEJĄCE ŹRÓDŁA
INFORMACJI – FIREWALLE, LOGI
● DETEKCJA JAKO POCZĄTEK ŚLEDZTWA
● DECYZJE POZOSTAW LUDZIOM NIE
URZĄDZENIOM
Detekcja intruzów
26. OSZACUJ RYZYKO, STRATY, ZYSKI
●
● USTAL POLITYKI – CO WOLNO A CO NIE
● STWÓRZ MAPĘ SIECI I URUCHOMIONYCH
USŁUG
● WDRÓŻ MONITOROWANIE
● DOSTRAJANIE, DOBIERANIE REGUŁ
Detekcja intruzów
29. PROBLEMY WDROŻEŃ:
● PRÓBKOWANIE
● SPRZĘT
● WYDAJNOŚĆ
● SKALOWALNOŚĆ
● ŁATWOŚĆ OBSŁUGI
● LUDZIE
● KOSZTY
Detekcja intruzów
30. PODSUMOWANIE:
● WYKRYWANIE INTRUZÓW, MUSI BYĆ
NIEODŁĄCZNYM ELEMENTEM STRATEGII
DEFENSE-IN-DEPTH
● SPRAWDZI SIĘ JEŚLI WIEMY DO CZEGO
SŁUŻY
„KNOW YOUR NETWORK BEFORE AN
INTRUDER DOES” - Richard Bejtlich
Detekcja intruzów