Hálózatunkat érhető támadások sokat fejlődtek az elmúlt években. Sokkal kifinomultabbak, hosszabb ideig tartó és célzott támadások ellen kell védekeznünk. Hálózatunk számos védelmi komponenst tartalmaz, melyek mindegyike kibővíthető vagy kiegészíthető mélyebb elemzési ismeretekkel. Az összetett és nagy adathalmaz feldolgozása érdekében javasolt lehet egy közös felügyeleti és jelentéskezelő rendszerrel támogatott megoldás kialakítása a védekezés eredményességének fokozása érdekében. A megoldásunk új elemekkel bővíthető, illetve meglevő hálózati, tartalomszűrő rendszerekbe is integrálható. A végponti kiterjesztés alacsony terhelést jelent, s megfér a meglevő vírusirtó rendszer mellett. NAC rendszerrel integrálható, így dinamikusan korlátozhatóak a kitörések. A közös menedzsment előnye a grafikus terjedési térképek megjelenítése.
További információért kérjük látogasson el honlapunkra és vegye fel a kapcsolatot szakértőinkkel: http://www.snt.hu/megoldasok/informaciobiztonsag/
2. APT
2
- Jellemzők
- Hosszú idő alatt zajlik
- Célzott – így egyedi – is lehet
- Ciklikus
- Malware / Dropper
- Exploit / Deploy
- Callhome / Report / CnC
- Collect / Act / Send
- Detektálhatósága nehéz
- Malware scan – Email, Web, eszköz, stb.
- Letöltés – legtöbbször web, esetleg eszköz
- Telepítés – eszközben
- Call home / kontroll – távoli kapcsolatok elrejtve
- Működés – tetszőleges
- Akár hónapok is az egyes műveletek között!
Advanced Persistent Threat
7. APT
7
- Hagyományos rendszerek kibővítése
- További biztonsági szint
- Nagyon sok információval dolgozik
- Események láncolatát elemzi
- Specialitása: SandBox technilógia
Advanced Persistent Threat
8. Tűzfal
8
- Kontrollált kapcsolatok
- Naplózás
- Azonosítás megléte / azonosíthatóság megteremtése
- Bővített funkcionalitás
- IPS funkciók – minták felismerése, naplózása
- URL funkciók – URL-ek követhetősége
- AV funkciók – általános elemzés
- Veszély
- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése
- Igény
- APT felismerés és elemzés
- Bár elég szegényesek az információk, de nem lehetetlen
UTM++
9. IPS
9
- Kontrollált kapcsolatok
- Naplózás
- Azonosítás megléte / azonosíthatóság megteremtése
- Bővített funkcionalitás
- FW funkciók – kontrollok lehetősége
- URL funkciók – URL-ek követhetősége
- AV funkciók – általános elemzés
- Veszély
- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése
- Igény
- APT felismerés és elemzés
- Bár elég szegényesek az információk, de nem lehetetlen
NGIPS
10. Content Security
10
- Kontrollált kapcsolatok
- Naplózás
- Azonosítás megléte / azonosíthatóság megteremtése
- URL funkciók – URL-ek követhetősége
- Bővített funkcionalitás
- AV funkciók – általános elemzés
- IPS funkciók – minták felismerése, naplózása
- Veszély
- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése
- Igény
- APT felismerés és elemzés
- Bár elég szegényesek az információk, de nem lehetetlen
Web és Email
11. Antivírus
11
- Kontrollált kapcsolatok
- Naplózás
- Azonosítás megléte / azonosíthatóság megteremtése
- AV funkciók – általános elemzés
- Bővített funkcionalitás
- URL funkciók – URL-ek követhetősége
- IPS funkciók – minták felismerése, naplózása
- Veszély
- Ellenőrzött, legitim munkaállomásról valós felhasználó legitimnek látszó kérése
- Önkontroll lehetőségei
- Igény
- APT felismerés és elemzés
- Bár elég szegényesek az információk, de nem lehetetlen
Végpontok
12. Naplóelemzés – SIEM
12
- Naplózás
- Végtelen adatok
- Tűzfal, IPS, Email, Web, AV, DHCP, AD, ….
- Bővített funkcionalitás
- Asset kezelés – események összekapcsolhatósága
- Actor kezelés – események felhasználó-alapú összekapcsolása
- Veszély
- Igazi BigData elemzés
- Nagyon sok adat, hosszú időtáv, magukban nem jellemző események, eltérő címek és felhasználónevek
- Hiányos adatok
- Igény
- APT felismerés és elemzés
- Bár elég szegényesek az információk, de nem lehetetlen
Naplókezelésen túl
13. APT Megoldás
13
- Lefedettség
- APT elemzési feladatok
- NGFW / NGIPS funkcionalitás
- Felhasználók kezelésével, Assetek követésével
- Külön megoldás, vagy meglevő ASA bővítés
- URL szűrés támogatása
- Content Security – Web és Email megoldásokban is
- Végponti kliensek, elemzések – AV mellett
- NAC integráció – ISE
- Külső karantén lehetősége
- Felhő és helyi SandBox
- Adatok összevetése, SIEM funkciók
- Dedikált, célzott és közös menedzsment felület
- Vizuális jelentések, terjedési térképek
CISCO++
14. Specific
(ONE-TO-ONE)
(•)
Detekciós motorok a PowerAMP-ben
Generic
(ETHOS)
{•••}
Decision Tree
(SPERO)
Integrative
(Adv. Analytics)
∫ 1
users, engines
Detection
torque
Primary
Hash
Feature
Print
ONE-TO-ONE
Catches “well known” malware
through use of primary SHA
match. Equivalent to a
signature-based system.
ETHOS
Catches families of malware
through use of “fuzzy hashes”
embedded in the Feature Print.
Counters malware evasion by
“bit-twiddling”.
SPERO
Uses AI methods for real-time
discovery of malware based on
environment and behavior.
Uses periodic review of Big
Data store to implement
retrospection
ADVANCED ANALYTICS
Integrates heuristics from the
malware environment, the Big
Data store, ETHOS and SPERO
to clarify the outcome of a
marginal conviction
19. OOOO A4
19
Hálózatunkat érhető támadások sokat fejlődtek az elmúlt években. Sokkal
kifinomultabbak, hosszabb ideig tartó és célzott támadások ellen kell
védekeznünk. Hálózatunk számos védelmi komponenst tartalmaz, melyek
mindegyike kibővíthető vagy kiegészíthető mélyebb elemzési ismeretekkel. Az
összetett és nagy adathalmaz feldolgozása érdekében javasolt lehet egy közös
felügyeleti és jelentéskezelő rendszerrel támogatott megoldás kialakítása a
védekezés eredményességének fokozása érdekében. A megoldásunk új
elemekkel bővíthető, illetve meglevő hálózati, tartalomszűrő rendszerekbe is
integrálható. A végponti kiterjesztés alacsony terhelést jelent, s megfér a meglevő
vírusirtó rendszer mellett. NAC rendszerrel integrálható, így dinamikusan
korlátozhatóak a kitörések. A közös menedzsment előnye a grafikus terjedési
térképek megjelenítése.