Cyberscout Presentation


Published on


  • Be the first to comment

  • Be the first to like this

No Downloads
Total views
On SlideShare
From Embeds
Number of Embeds
Embeds 0
No embeds

No notes for slide

Cyberscout Presentation

  1. 1. Cyber Defence and Monitoring System Executive Briefing, July 2009 E i B i fi J l 2009
  2. 2. Development  Development • Cyber software has been Developed since 2006 C b ft h b D l d i 2006 • Several upgrades to meet requirements for major clients  • Most advanced product in its category • First in the world to break 100Mb, 1G and 10G barriers • Real‐time monitoring and alert for suspected terrorist activities  • Future version to include behavior analysis and online steg detection y g • Current version can monitor VOIP , next release can will have function to monitor secure  VOIP like SKYPE
  3. 3. Deployments • Deployed by 7 Law Enforcing Agencies (LEAs) across globe D l db 7L E f i A i (LEA ) l b • Covering 4 Major countries • Covering over 1 billion internet users • Over 300 deployments • Over 50+ 100Mb deployments • Over 250+ 1G deployments p y • Over 10+ 10G deployments • Up gradations & augmentations orders from every customer Up gradations & augmentations orders from every customer
  4. 4. Wide Support for all formats Wide Support for all formats • Supports multiple forms for traffic Supports multiple forms for traffic • Fast Ethernet, Gigabit Ethernet • E1, T1 • STM1, STM4, STM16 • Single mode, multimode OFC • 10G • Taps, Aggregator taps • Supports all the protocols associated with these inputs S ll h l i d ih h i • High bandwidth support • Can take inputs up to 10G Can take inputs up to 10G • 40G system under development
  5. 5. Widest Protocol Monitoring Widest Protocol Monitoring • Supports public and proprietary protocols Supports public and proprietary protocols • HTTP, HTTPS • POP, TELNET, FTP • P2P, VOIP • RADIUS, TACACS • Ethernet, IP, VLAN, MPLS, IPV6, ADSL Ethernet, IP, VLAN, MPLS, IPV6, ADSL • Gmail, hotmail, yahoo chat, scripts • And many more • Quick support for new protocols • Two weeks for decoding any new proprietary protocols • Expertise in reverse engineering protocols from raw capture Expertise in reverse engineering protocols from raw capture
  6. 6. Comprehensive Filtering Comprehensive Filtering • Captures traffic based on • Keyword / phrase match • IP address  IP address • Mac address • Port numbers • Ip ranges • Email address • Instant messenger address Instant messenger address • ISP users • Telephone numbers • Broadband NAS ID
  7. 7. Advanced Filtering based on Advanced Filtering based on behavioural analyse • Filter based on heuristics  Filter based on heuristics • Identify dead dropped mails • Identify new email ids • Automatic tracking of new email ids • Identify encrypted / encoded mails • Track propaganda URLs and its access Track propaganda URLs and its access • Track mails / chats to enemy countries • Special analysis of cyber café traffic • Password protected files • Special types of files • Anti spam support Anti spam support • Filters can be put in any language • English, French, Arabic, Urdu ……
  8. 8. Granular Filtering Granular Filtering • Filter can be applied at a very granular level  Filter can be applied at a very granular level • On specific traffic types • On specific domains • On cyber cafés • On certain IP ranges • On inbound or outbound On inbound or outbound • On specific types of attachments • Supports regular expressions • This reduces false positives • Required to be effective at high bandwidth • Reduce operator load  Reduce operator load
  9. 9. High Level Secondary Analysis    High Level Secondary Analysis • Automatic classification of data based on user specified rules Automatic classification of data based on user specified rules • Critical • Important • Non critical • Automatic creation of password dictionary for brute force attacks • Automatically profiles a suspect Automatically profiles a suspect • Login details • Login patters • Email usage patterns • Google like search feature on captured data
  10. 10. Real time Alerts for Critical  Real‐time Alerts for Critical Information • Alert rules can be configured • Automatic SMS to telephone number Automatic SMS to telephone number • Automatic mail to the operator • Pop up screen on the user terminal • Alerts can be generated for • On user logon • On user access to mail • Real time alert information used to track suspects in the field
  11. 11. Link Analysis Link Analysis • Graphical representation of a suspect’s communication • Gives a birds eye view of a suspect’s friends and associates • Advanced filtering mechanism to fine tune the graphs g g p • Indirect links between suspects can be found out  • Can find out anchor person in the group Reporting • Daily report on the filters • Statistics report on email IDs • Statistic reports on behavior analysis S i i b h i l i • Statistic report on cyber cafes Please see next slide for example 
  12. 12. Example of a Suspects Tracking Graph k h
  13. 13. Automated Database of Automated Database of Suspects and Associates • Details of a suspect and associates can be kept • Suspect details includes • Alias, physical address Ali h i l dd • Various email ID, telephone number • All his / her associated traffic • Organization details • Details of organization • Organization structure • All traffic associated with the organization • Gives a consolidated view of the suspect and the organization he belongs to Gives a consolidated view of the suspect and the organization he belongs to
  14. 14. Highly Secure Highly Secure • Works in stealth mode • No IP address in the probe machine No IP address in the probe machine • Hierarchy of operators • Super user • Team leader • Operator • Data stored in encrypted format Data stored in encrypted format • All data channels encrypted using 256 bit encryption • Same infrastructure can be shared by multiple LEAs y p • Data of each LEA separate from others
  15. 15. Highly Available Highly Available • Redundancy build into the hardware and software • 100% uptime 100% uptime • Clustered OS • Clustered Database • Real‐time alert on hardware failure • Centralized management of servers • Automatic recovery mechanisms • Redundancy failover built into system
  16. 16. Robust Architecture Robust Architecture SAN Storage Probe Servers Data SAN Switch SAN Switch Router Modem Leased Line Database & Application Modem Router GIG LAN Switch Probe Servers Data Tape Modem Leased Line Backup  Server Router Modem Work Stations
  17. 17. Flexible Architecture Flexible Architecture Based on your requirements • Can be deployed nationwide • National collection centre • Collects all the traffic from various Regional centers C ll t ll th t ffi f i R i l t • Regional collection center • Collects all the traffic from various city centers • City collection center • Collects all the traffic from various probes placed at the ISPs • Disaster recovery centre for national collection centre Di t t f ti l ll ti t • All probes can be controlled from the national centre • Probe infrastructure can be shared by multiple agencies • Physical data segregation between various agency data • Data transferred to the collection centre of the agency through encrypted channel
  18. 18. National Level Model National Level Model DR centre City  City  Centre Centre Probes Probes National  centre Regional  centre Regional  Regional centre City  Centre City  Centre LEA ‐ 1 LEA ‐ 2 Probes P b Probes