Motivacija kao instrument upravljanja ljr u organizacijama turisticke privrede
Mds dejan spasic-vidljivost dogadjaja na mrezi-kladovo_maj2015
1. Vidljivost događaja na mreži kao
osnova sistema zaštite
Dejan Spasić, B.Sc.E.E.
IT Security Department Executive Manager
CCIE #15476 Service Provider
dspasic@mds.rs
ICT Security – Kladovo, maj 2015
3. 333MDS Informatički inženjeringICT Securiity Kladovo 2015
Ko su napadači?
• Hacktivists
– Onemogućavanje servisa – DDoS
– Promena izgleda Web stranica
• Hackers/Cyber Criminals:
– Sofisticirani Phishing napadi
– APT (Advanced Persisstent Threat)
– Promena izgleda Web stranica
• Aktivnosti na nacionalnom nivou?
4. 444MDS Informatički inženjeringICT Securiity Kladovo 2015
Tehnike napada
• Web bazirani napadi
• Maliciozni softver – distribucija preko Mail
i Web servisa
• DDoS – distribuirani DoS napadi
• Interne pretnje
• Krađa
5. 555MDS Informatički inženjeringICT Securiity Kladovo 2015
Trendovi
• Prosečno vreme otkrivanja
napada 205 dana
• 69% incidenata otkriveno od
strane eksternih partnera
• Javno objavljeni slučajevi velikih incidenata (Target – podaci o 40
miliona kreditnih kartica, Cryptolocker, Sony – Playstation
network, krađa podataka)
Izvor: M-Trends® 2015: A VIEW FROM THE FRONT LINES
7. 777MDS Informatički inženjeringICT Securiity Kladovo 2015
Integracija SourceFire tehnologije
• CONTEXT IS EVERYTHING – kompletna analitika
događaja i mrežnog saobraćaja
Cisco LIVE: Martin Roesch – Cisco and Sourcefire: A Threat-Centric Security Approach (BRKSEC-2761)
“Context gives me the ability to
discriminate my security events, to
select easily from the thousands of
events I get to the ten events that
actually matter.”
Sourcefire NGIPS customer
“Context enables me to set access
controls that make sense. I can
select which users can access
which public resources based on
their job function.”
Sourcefire NGFW customer
8. 888MDS Informatički inženjeringICT Securiity Kladovo 2015
Cisco FirePower - Koncept
OS & version identifikovano
Serverske aplikacije i verzije
Klijentski softver
Koji host
Verzije klijenta
Aplikacija
9. 999MDS Informatički inženjeringICT Securiity Kladovo 2015
Arhitektura sistema
• Managemant centar
– Centralno upravljanje
– Definicija polisa
– Analiza događaja, korelacija
– Mapa mreže (korisnici, uređaji,
hostovi, aplikacije)
– Paneli - Dashboard vs Context Explorer
Hardware
– Cisco ASA sa FirePower servisima
– Cisco FirePower (SourceFire uređaji)
Servisi
– IPS – dinamička primena polisa
– Web Security
– AMP (Advanced Malware Protection)
– Cisco TALOS Security Intelligence and
Research Group
Obrada događaja
FirePower Managemant Centar
Generisanje događaja
– IPS
– Malware
– File
– Access Control
– Inteligence
– Discovery
– Flow
FirePower uređaji
10. 101010MDS Informatički inženjeringICT Securiity Kladovo 2015
Indication of Compromise
Reconnaissance Weaponization Delivery Exploatation C2
Lateral
Movement
• Ciklus napada
Izvor: Intrusion Along the Kill Chain, SANS Digital Forensic
• Korelacija događaja, indikacija kompromitovanja hosta
Exfiltration
11. 111111MDS Informatički inženjeringICT Securiity Kladovo 2015
Advanced Malware Protection
Zaštita u realnom vremenu (Point-in-Time Protection) Kontinualna analiza (Retrospective Security)
Podrška za razne sisteme
13. 131313MDS Informatički inženjeringICT Securiity Kladovo 2015
Rekapitulacija
• Kontekst - Vidljivost saobraćaja i događaja
• IPS dinamičko podešavanje, AMP, IoC
• Nova security arhitektura bazirana na fazama
Cyber napada – Before, During, After
• NSS Labs – FirePower na vrhu po efikasnosti i
TCO
14. Vidljivost događaja na mreži
kao osnova sistema zaštite
Hvala na pažnji !!!
ICT Security – Kladovo, maj 2015