Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 31 Anzeige

Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]

Herunterladen, um offline zu lesen

Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.

Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.

Anzeige
Anzeige

Weitere Verwandte Inhalte

Ähnlich wie Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.] (20)

Anzeige

Weitere von Security Session (20)

Aktuellste (19)

Anzeige

Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]

  1. 1. Martin Škoda, Product Manager Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby skoda@flowmon.com
  2. 2. • Výrobce moderních řešení pro monitoring a zabezpečení počítačových sítí • Fakta  Založeno v 2007 jako univerzitní spin-off  50+ zaměstnanců, 600+ zákazníků  Obrat > 200 mil. CZK  Vlastní výzkum a vývoj • Úspěchy  Gartner MQ (NPMD) 2016  Deloitte CE Technology Fast 50 (3x)  Top 100 Czech ICT ranking Co děláme?
  3. 3. Bezpečnost na perimetru Firewall IDS/IPS UTM Application firewall Web filter E-mail security SSH Access Perimeter Security
  4. 4. Bezpečnost koncových stanic Antivir Personální firewall Antimalware Antirootkit Endpoint DLP Bezpečnost na perimetru Bezpečnost koncových stanic
  5. 5. Co nám chybí? Bezpečnost na perimetru Bezpečnost koncových stanic Viditelnost do sítě a bezpečnost
  6. 6. Přístupy monitorování • SNMP monitoring  Velikost přenesených dat, počet packetů, dostupnost služeb. • Flow monitoring  Detailní viditelnost do síťového provozu a jeho struktury. • Analýza paketů  Získávání informací z obsahu paketů pro forenzní účely a viditelnosti do vyšších vrstev. Basic monitoring Next-generation monitoring
  7. 7. Princip flow monitoringu
  8. 8. Flow vs. Analýza paketů Silné stránky Slabé stránky Flow data • Pracuje na vysokorychlostních sítích • Odolná vůči šifrované komunikaci • Viditelnost do provozu a reporting • Analýza chování sítě • Informace z vrstev L3/L4 • Někdy chybí dostatek detailů • Samplování (routere, switche) Analýza paketů • Plný provoz na síti • Dostatek detailů • Forenzní analýza • Detekce na základě signatur • Nepoužitelné pro šifrovaný provoz • Příliš mnoho detailů • Náročné na zdroje • Který přístup si vybrat?  Nejlepší je kombinovat oba přístupy v jediném řešení  Síťové sondy provádí paketovou analýzu a doplňují flow záznam o informace z obsahu paketů.
  9. 9. Architektura Monitorování síťového provozu Sběr statistik o provozu Vizualizace a detekce anomálií Sondy • samostatné pasivní zdroje statistik ze sítě - flow data Kolektor • úložiště, vizualizace a vyhodnocení síťových statistik Softwarové moduly • detekce anomálií, záznam provozu, monitorování výkonu aplikací …
  10. 10. • Monitorování provozu v síti (flow data - NetFlow/IPFIX)  Kompletní viditelnost do dění v síti  Real-time a historická data pro LAN & WAN & komunikaci do Internetu  Optimalizace správy a provozu sítě  Efektivní troubleshooting • Bezpečnost datové sítě (NBA, NBAD)  Založeno na behaviorální analýze, nikoliv známých signaturách  Detekce pokročilého malware, zero-day útoků, podezřelých přenosů dat, změn chování a dalších incidentů Z pohledu uživatele
  11. 11. • Záznam provozu v plném rozsahu  Na vyžádání při řešení problémů a incidentů  Distribuovaná architektura  Podpora sítí až 100G • Monitorování výkonu aplikací  Sledování uživatelských transakcí bez SW agentů  Rozlišení zpoždění aplikace/sítě, sledování SLA  Určeno pro HTTP/HTTPS aplikace a SQL databáze • Ochrana před DDoS útoky  Detekce volumetrických útoků  Aktivní řízení směrování provozu a mitigace Z pohledu uživatele
  12. 12. Co se děje ve vaši síti, když se nedíváte?
  13. 13. Přehled provozu, detekované anomálie
  14. 14. Aktivita útočníka (port sken, útok na heslo)
  15. 15. Oběť útoku, následně vykazuje anomálie
  16. 16. Mapování cílů útoků útočníkem Útok na autentizaci SSH Prolomení hesla
  17. 17. Zakrátko začne infikovaná stanice komunikovat s botnet C&C center
  18. 18. Identifikace botnetu s využitím „Threat intelligence“
  19. 19. Datové toky L2/L3/L4
  20. 20. Včetně viditelnosti do aplikační vrstvy
  21. 21. Záchyt komunikace v plném rozsahu (PCAP)
  22. 22. Komunikace s botnet C&C center
  23. 23. Pokyn k exfiltraci dat přes ICMP
  24. 24. Pokyn ke zjištění serverů s RDP
  25. 25. Podezřelý ICMP provoz s payloadem
  26. 26. Opět PCAP k dispozici, co bylo odesláno?
  27. 27. /etc/passwd soubor s uživatelskými účty
  28. 28. Vyhledání Windows serverů s RDP Útok na službu RDP
  29. 29. Nelze chránit, co není vidět Zdroj: Checkpoint Security Report 2015 Ochrana perimetru a koncových stanic na pokročilé kybernetické hrozby nestačí. Analýzou chování lze odhalit i dosud neznámé hrozby. Pro zajištění bezpečnosti je důležité vidět, co se odehrává v síťovém provozu.
  30. 30. • Možnosti spolupráce při studiu  Vedení bakalářských a diplomových prací  Stáže a interim projekty  Zapojení do výzkumných projektů • Tvořte s námi unikátní produkty a technologie • Jsme ryze česká společnost  Nejsme pobočkou nadnárodní společnosti  Sami si stanovujeme cíle i pracovní postupy • Stabilně rosteme o více než 50 % za rok • Napojení na přední vědecká pracoviště • 600+ zákazníků ve 30+ krajinách světa Možnosti spolupráce
  31. 31. Flowmon Networks a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.flowmon.com High-Speed Networking Technology Partner Děkuji za pozornost Martin Škoda skoda@flowmon.com

×