SlideShare a Scribd company logo

Giới thiệu về giải pháp IDS Damballa

Download as PPTX, PDF
huudoanh
huudoanh

"DAMBALLA CSP" là một bộ cảm biến được cài đặt trong môi trường kết nối nhiều mạng, theo dõi lưu lượng và phân tích DNS với công cụ phát hiện mối đe dọa để phát hiện sự liên lạc với máy chủ C & C và thiết bị đầu cuối bị nhiễm phần mềm độc hại. Tính năng lớn nhất của nó là có khả năng tự học dựa trên dữ liệu khổng lồ.

Technology
1 of 17
Damballa CSP Communications Service Provider GIỚI THIỆU TỔNG QUAN
Tổng quan về Damballa CSP Telcos & ISPs Giải pháp DUY NHẤT có thể tự động phát hiện các thuê bao Các thiết bị nguy hiểm khi nằm dưới sự điều khiển của tội phạm Bảo vệ hơn 500+ triệu thiết bị toàn cầu Tất cả các ISPs và Telcos lớn nhất trên toàn cầu
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Tại sao sử dụng Damballa CSP ? 10/21/2019CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 3 Mô hình hành vi và sự hiểu biết các mối đe dọa dẫn đầu của Damballa Phát hiện các thuê bao bị nhiễm trong hạ tầng ISPs/Telcos DAMBALLA CSP DNS Bảo vệ ISPs/Telcos toàn cầu CSP cung cấp các cảnh báo Cung cấp cảnh báo Suite-Bot Sự chú ý ngay lập tức! Bot là gì và tại sao phải quan tâm Protection Suite là gì? Protection Suite phát hiện một bot trên thiết bị của bạn. Bấm “HÀNH ĐỘNG NGAY” để loại bỏ các phần mềm độc hại trên thiết bị của bạn HÀNH ĐỘNG NGAY ISPs/Telcos cung cấp các dịch vụ & tăng mối quan hệ với khách hàng Tăng mối quan hệ khách hàng • Nâng cao lòng tin của khách hàng. • Cung cấp các dịch vụ cộng thêm cho thuê bao Mở ra các cơ hội • Cung cấp dịch vụ khắc phục sự cố • Cung cấp các dịch vụ bảo mật cộng thêm. Làm sạch hạ tầng • Phát hiện các thuê bao bị nhiễm • Chặn các lưu lượng sử dụng trái phép. • Giảm bớt các áp lực điều tiết. Giám sát ~ 55% lưu lượng DNS (Bắc Mỹ) ~ 30% toàn thế giới
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Damballa CSP hoạt động như thế nào? CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 4 Enables Xác định thuê bao bị nhiễm bằng các giám sát các hành vi DNS Làm sạch mối đe dọa bằng các công cụ và phần mềm Anti-Virus Báo cáo hành vi tội phạm mạng bao gồm các rủi ro tiềm tàng cho thuê bao Cảnh báo & Khắc phục • Cảnh báo cho thuê bao về mối đe dọa. • Đưa ra các hướng dẫn cho thuê bao tự làm sạch Bảo vệ & Ngăn chặn • Ngăn các giao tiếp của phần mềm độc hại. • Cô lập các hành vi không được phép của thuê bao đến khi làm sạch. DAMBALLA CSP ISP / Telco
Damballa CSP Communications Service Provider Triển khai và Thực hiện 6 Proof of Infections. Not Alerts.
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Damballa® CSP: Kiến trúc Damballa CSP DNS Cluster DNS Cluster DNS Cluster DNS Cluster Data Center Sensor Sensor Sensor Sensor Management Console Hub & Spoke | 1 U Appliances | Out of Band
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA • Sensors giám sát lưu lượng (out of band) • Bắt gói và phân tích các hành vi từ lượng DNS để xác định các thuê bao bị nhiễm • Management Console(MC) thu thập dữ liệu từ Damballa sensors • Cung cấp IP thuê bao thỏa hiệp, cung cấp các lựa chọn về mối đe dọa và các cách xử lý. • Cung cấp báo cáo, trích xuất dữ liệu, tích hợp với các hãng thứ ba (SIEM) Damballa® CSP: Triển khai Provider Perimeter
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Damballa® CSP : Kết hợp với các thiết bị bảo mật traceroute Phát hiện • Xác định thuê bao bị nhiễm bằng cách giám sát hành vi DNS • Báo cáo các hành vi tội phạm mạng bao gồm các lớp đe dọa và các rủi ro tiềm tang đến thuê bao. • Tương quan các thông tin đe dọa với các công cụ làm sạch. Cảnh báo & Làm sạch • Cung cấp các cảnh báo đến thuê bao. • Cảnh báo tối ưu dựa trên mối đe dọa và rủi ro. • Cung cấp các đường link hoặc trỏ thuê bao đến ISP • Trỏ trực tiếp thuê bao đến các cổng làm sạch tự động (hãng Antivirus). Giảm nhẹ rủi ro • Không cho thuê bao tương tác hoặc tham gia. • Chuyển hướng các kết nối DNS đến C&C. • Chuyển hướng các mối đe dọa hoặc thuê bao Enables Enables Damballa® CSP
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Damballa® CSP : Kết hợp với các thiết bị bảo mật Báo cáo: Hỗ trợ các định dạng json, csv, pdf, and html Truy cập trực tiếp Database Tích hợp: Perftech (cảnh báo) HP ArcSight (SIEM) Syslog Giảm nhẹ: Ngắt (DNS Spoofing)
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Báo cáo mẫu: Thống kê tổng quan • Dữ liệu xu hướng đe dọa • Theo dấu các hoạt động cao • Dữ liệu ý định đe dọa
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 0 5000 10000 15000 20000 25000 30000 35000 40000 45000 Top 10 Account for 80% of Infections! Mục tiêu đáp ứng
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Làm sạch - Top Mười mối đe dọa Top 10: Tổng số IPs thuê bao IPs bị nhiễm: 68,693 Top 10: Tổng số IP bị nhiễm làm sạch bởi MSRT: 56,051 Botnet Name Industry Name AV Software Intent MSRT Sub Ips RudeWarlockMob TDL/TDSS Gang True Multi-Purpose RenosAlureon 13360 WhiteGloveGang NeoSploit_Exploit_Group_AFalse Exploit Kit 12642 FiveLakeTrippers Rogue_AV_Group_C True Multi-Purpose FakeRean 11953 GreedySideBoys Virut_Group_A True Multi-Purpose Virut 8670 SouthSideRiders Rogue_AV_Porn_Based False Multi-Purpose FakeRean 6654 OneShoeMonsters RogueFakeRean_Group_A False Multi-Purpose FakeRean 6012 FourLakeRiders Zeus_Group_B True Multi-Purpose Zbot 5933 FourWaveMonsters Small_Trojan_Group_B True Multi-Purpose FakeVimes 5654 FourStreetAvengers Zeus-Zitmo_Generic True Multi-Purpose Zbot 5504 BlueSpiderPeeps Gbot_Group_A True Multi-Purpose Gaobot 4953
Tích hợp
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Thuê bao ‘X’ | Threat: Zeus | Intent: Information Stealer | Microsoft: ZBOT Cảnh báo Chính sách dựa trên mối liên hệ của một mối đe dọa cụ thể (‘Zeus’) Tích hợp Damballa CSP / Perftech DNS Cluster Thuê bao Internet http://Badguy.com Sensor 1 5 3MC 2 4
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Tích hợp Damballa - Antivirus Phát hiện Cảnh báo Làm sạch Giám sát tất cả các lưu lượng DNS, phát hiện và báo cáo về các giao tiếp của phần mềm độc hại Gởi các cảnh báo và giáo dục người dùng về các mối đe dọa và cung cấp các giải pháp. Sử dụng giải pháp Anti virus làm sạch các thiết bị thuê bao bị nhiễm
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA CEF:0|Damballa|SP Solution|2.0|1|Infected Host|10|cat=DNSQuery cnt=2 cs1=Damballa Test cs1Label=ThreatName cs2=Damballa Test Industry cs2Label=IndustryName destinationDnsDomain=test.damballa.com dvchost=sensor1 end=1300194678000 src=1.2.3.4 start=1300192878000 Chính sách dựa trên mối liên hệ của một mối đe dọa cụ thể (‘Zeus’) Tích hợp Damballa CSP / HP ArcSight và Syslog DNS Cluster Thuê bao Internet http://Badguy.com Sensor 1 3MC 2 HP/Syslog 4
Q&A? https://huudoanh.com 18 Proof of Infections. Not Alerts.

Recommended

An toàn thông tin
An toàn thông tinAn toàn thông tin
An toàn thông tinNguyen Xuan Quang
 
An toan an_ninh_thong_tin
An toan an_ninh_thong_tinAn toan an_ninh_thong_tin
An toan an_ninh_thong_tinecafe24g
 
Kiến trúc Bảo mật Toàn diện
Kiến trúc Bảo mật Toàn diệnKiến trúc Bảo mật Toàn diện
Kiến trúc Bảo mật Toàn diệnSunmedia Corporation
 
Giai phap chong tan cong ddos Arbor
Giai phap chong tan cong ddos ArborGiai phap chong tan cong ddos Arbor
Giai phap chong tan cong ddos Arborhuudoanh
 
Webinar_Sophos ZTNA_VNpro_v2.pdf
Webinar_Sophos ZTNA_VNpro_v2.pdfWebinar_Sophos ZTNA_VNpro_v2.pdf
Webinar_Sophos ZTNA_VNpro_v2.pdfvhunh59
 
Damballa automated breach defense for sales
Damballa automated breach defense for salesDamballa automated breach defense for sales
Damballa automated breach defense for saleslabmentor
 
CMC DDoS_Tai lieu gioi thieu cho noi bo_Final_20200406.pptx
CMC DDoS_Tai lieu gioi thieu cho noi bo_Final_20200406.pptxCMC DDoS_Tai lieu gioi thieu cho noi bo_Final_20200406.pptx
CMC DDoS_Tai lieu gioi thieu cho noi bo_Final_20200406.pptxcAnhV31
 
bctntlvn (47).pdf
bctntlvn (47).pdfbctntlvn (47).pdf
bctntlvn (47).pdfLuanvan84
 

Recommended

An toàn thông tin
An toàn thông tinAn toàn thông tin
An toàn thông tinNguyen Xuan Quang
 
An toan an_ninh_thong_tin
An toan an_ninh_thong_tinAn toan an_ninh_thong_tin
An toan an_ninh_thong_tinecafe24g
 
Kiến trúc Bảo mật Toàn diện
Kiến trúc Bảo mật Toàn diệnKiến trúc Bảo mật Toàn diện
Kiến trúc Bảo mật Toàn diệnSunmedia Corporation
 
Giai phap chong tan cong ddos Arbor
Giai phap chong tan cong ddos ArborGiai phap chong tan cong ddos Arbor
Giai phap chong tan cong ddos Arborhuudoanh
 
Webinar_Sophos ZTNA_VNpro_v2.pdf
Webinar_Sophos ZTNA_VNpro_v2.pdfWebinar_Sophos ZTNA_VNpro_v2.pdf
Webinar_Sophos ZTNA_VNpro_v2.pdfvhunh59
 
Damballa automated breach defense for sales
Damballa automated breach defense for salesDamballa automated breach defense for sales
Damballa automated breach defense for saleslabmentor
 
CMC DDoS_Tai lieu gioi thieu cho noi bo_Final_20200406.pptx
CMC DDoS_Tai lieu gioi thieu cho noi bo_Final_20200406.pptxCMC DDoS_Tai lieu gioi thieu cho noi bo_Final_20200406.pptx
CMC DDoS_Tai lieu gioi thieu cho noi bo_Final_20200406.pptxcAnhV31
 
bctntlvn (47).pdf
bctntlvn (47).pdfbctntlvn (47).pdf
bctntlvn (47).pdfLuanvan84
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Cau hoi an ninh internet version 3 (1)
Cau hoi an ninh internet version 3 (1)Cau hoi an ninh internet version 3 (1)
Cau hoi an ninh internet version 3 (1)Hiếu Hiếu
 
Athena tuần 1
Athena tuần 1Athena tuần 1
Athena tuần 1thanhthong1210
 
ATTT.pptx
ATTT.pptxATTT.pptx
ATTT.pptxssuser1d7b58
 
Bai 9
Bai 9Bai 9
Bai 9Hồng Hải Đàm Quang
 
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp
 
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp
 
VPN
VPNVPN
VPNVNG
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnpeterh18
 
Chương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTChương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTMasterCode.vn
 
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...Security Bootcamp
 
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.doc
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.docĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.doc
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.docDịch Vụ Viết Bài Trọn Gói ZALO 0917193864
 
1
11
1Chuc Thanh
 
Kali Linux
Kali LinuxKali Linux
Kali LinuxChuc Thanh
 
Cấu Hình ADSL
Cấu Hình ADSLCấu Hình ADSL
Cấu Hình ADSLxeroxk
 
Network tool
Network toolNetwork tool
Network toolDuc Nguyen
 

More Related Content

Similar to Giới thiệu về giải pháp IDS Damballa

Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)An Pham
 
Cau hoi an ninh internet version 3 (1)
Cau hoi an ninh internet version 3 (1)Cau hoi an ninh internet version 3 (1)
Cau hoi an ninh internet version 3 (1)Hiếu Hiếu
 
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp
 
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp
 
VPN
VPNVPN
VPNVNG
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnpeterh18
 
Chương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTChương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTMasterCode.vn
 
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...Security Bootcamp
 
Cấu Hình ADSL
Cấu Hình ADSLCấu Hình ADSL
Cấu Hình ADSLxeroxk
 

Similar to Giới thiệu về giải pháp IDS Damballa (17)

Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
Cau hoi an ninh internet version 3 (1)
Cau hoi an ninh internet version 3 (1)Cau hoi an ninh internet version 3 (1)
Cau hoi an ninh internet version 3 (1)
 
Athena tuần 1
Athena tuần 1Athena tuần 1
Athena tuần 1
 
ATTT.pptx
ATTT.pptxATTT.pptx
ATTT.pptx
 
Bai 9
Bai 9Bai 9
Bai 9
 
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
 
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
 
VPN
VPNVPN
VPN
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpn
 
Chương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPTChương 6 Bảo mật - Giáo trình FPT
Chương 6 Bảo mật - Giáo trình FPT
 
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...
Quan Minh Tam - Mot so phuong phap tiep can trong nghien cuu bao mat mang vo ...
 
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.doc
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.docĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.doc
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.doc
 
1
11
1
 
Kali Linux
Kali LinuxKali Linux
Kali Linux
 
Cấu Hình ADSL
Cấu Hình ADSLCấu Hình ADSL
Cấu Hình ADSL
 
Network tool
Network toolNetwork tool
Network tool
 

Giới thiệu về giải pháp IDS Damballa

  • 1. Damballa CSP Communications Service Provider GIỚI THIỆU TỔNG QUAN
  • 2. Tổng quan về Damballa CSP Telcos & ISPs Giải pháp DUY NHẤT có thể tự động phát hiện các thuê bao Các thiết bị nguy hiểm khi nằm dưới sự điều khiển của tội phạm Bảo vệ hơn 500+ triệu thiết bị toàn cầu Tất cả các ISPs và Telcos lớn nhất trên toàn cầu
  • 3. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Tại sao sử dụng Damballa CSP ? 10/21/2019CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 3 Mô hình hành vi và sự hiểu biết các mối đe dọa dẫn đầu của Damballa Phát hiện các thuê bao bị nhiễm trong hạ tầng ISPs/Telcos DAMBALLA CSP DNS Bảo vệ ISPs/Telcos toàn cầu CSP cung cấp các cảnh báo Cung cấp cảnh báo Suite-Bot Sự chú ý ngay lập tức! Bot là gì và tại sao phải quan tâm Protection Suite là gì? Protection Suite phát hiện một bot trên thiết bị của bạn. Bấm “HÀNH ĐỘNG NGAY” để loại bỏ các phần mềm độc hại trên thiết bị của bạn HÀNH ĐỘNG NGAY ISPs/Telcos cung cấp các dịch vụ & tăng mối quan hệ với khách hàng Tăng mối quan hệ khách hàng • Nâng cao lòng tin của khách hàng. • Cung cấp các dịch vụ cộng thêm cho thuê bao Mở ra các cơ hội • Cung cấp dịch vụ khắc phục sự cố • Cung cấp các dịch vụ bảo mật cộng thêm. Làm sạch hạ tầng • Phát hiện các thuê bao bị nhiễm • Chặn các lưu lượng sử dụng trái phép. • Giảm bớt các áp lực điều tiết. Giám sát ~ 55% lưu lượng DNS (Bắc Mỹ) ~ 30% toàn thế giới
  • 4. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Damballa CSP hoạt động như thế nào? CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 4 Enables Xác định thuê bao bị nhiễm bằng các giám sát các hành vi DNS Làm sạch mối đe dọa bằng các công cụ và phần mềm Anti-Virus Báo cáo hành vi tội phạm mạng bao gồm các rủi ro tiềm tàng cho thuê bao Cảnh báo & Khắc phục • Cảnh báo cho thuê bao về mối đe dọa. • Đưa ra các hướng dẫn cho thuê bao tự làm sạch Bảo vệ & Ngăn chặn • Ngăn các giao tiếp của phần mềm độc hại. • Cô lập các hành vi không được phép của thuê bao đến khi làm sạch. DAMBALLA CSP ISP / Telco
  • 5. Damballa CSP Communications Service Provider Triển khai và Thực hiện 6 Proof of Infections. Not Alerts.
  • 6. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Damballa® CSP: Kiến trúc Damballa CSP DNS Cluster DNS Cluster DNS Cluster DNS Cluster Data Center Sensor Sensor Sensor Sensor Management Console Hub & Spoke | 1 U Appliances | Out of Band
  • 7. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA • Sensors giám sát lưu lượng (out of band) • Bắt gói và phân tích các hành vi từ lượng DNS để xác định các thuê bao bị nhiễm • Management Console(MC) thu thập dữ liệu từ Damballa sensors • Cung cấp IP thuê bao thỏa hiệp, cung cấp các lựa chọn về mối đe dọa và các cách xử lý. • Cung cấp báo cáo, trích xuất dữ liệu, tích hợp với các hãng thứ ba (SIEM) Damballa® CSP: Triển khai Provider Perimeter
  • 8. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Damballa® CSP : Kết hợp với các thiết bị bảo mật traceroute Phát hiện • Xác định thuê bao bị nhiễm bằng cách giám sát hành vi DNS • Báo cáo các hành vi tội phạm mạng bao gồm các lớp đe dọa và các rủi ro tiềm tang đến thuê bao. • Tương quan các thông tin đe dọa với các công cụ làm sạch. Cảnh báo & Làm sạch • Cung cấp các cảnh báo đến thuê bao. • Cảnh báo tối ưu dựa trên mối đe dọa và rủi ro. • Cung cấp các đường link hoặc trỏ thuê bao đến ISP • Trỏ trực tiếp thuê bao đến các cổng làm sạch tự động (hãng Antivirus). Giảm nhẹ rủi ro • Không cho thuê bao tương tác hoặc tham gia. • Chuyển hướng các kết nối DNS đến C&C. • Chuyển hướng các mối đe dọa hoặc thuê bao Enables Enables Damballa® CSP
  • 9. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Damballa® CSP : Kết hợp với các thiết bị bảo mật Báo cáo: Hỗ trợ các định dạng json, csv, pdf, and html Truy cập trực tiếp Database Tích hợp: Perftech (cảnh báo) HP ArcSight (SIEM) Syslog Giảm nhẹ: Ngắt (DNS Spoofing)
  • 10. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Báo cáo mẫu: Thống kê tổng quan • Dữ liệu xu hướng đe dọa • Theo dấu các hoạt động cao • Dữ liệu ý định đe dọa
  • 11. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 0 5000 10000 15000 20000 25000 30000 35000 40000 45000 Top 10 Account for 80% of Infections! Mục tiêu đáp ứng
  • 12. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Làm sạch - Top Mười mối đe dọa Top 10: Tổng số IPs thuê bao IPs bị nhiễm: 68,693 Top 10: Tổng số IP bị nhiễm làm sạch bởi MSRT: 56,051 Botnet Name Industry Name AV Software Intent MSRT Sub Ips RudeWarlockMob TDL/TDSS Gang True Multi-Purpose RenosAlureon 13360 WhiteGloveGang NeoSploit_Exploit_Group_AFalse Exploit Kit 12642 FiveLakeTrippers Rogue_AV_Group_C True Multi-Purpose FakeRean 11953 GreedySideBoys Virut_Group_A True Multi-Purpose Virut 8670 SouthSideRiders Rogue_AV_Porn_Based False Multi-Purpose FakeRean 6654 OneShoeMonsters RogueFakeRean_Group_A False Multi-Purpose FakeRean 6012 FourLakeRiders Zeus_Group_B True Multi-Purpose Zbot 5933 FourWaveMonsters Small_Trojan_Group_B True Multi-Purpose FakeVimes 5654 FourStreetAvengers Zeus-Zitmo_Generic True Multi-Purpose Zbot 5504 BlueSpiderPeeps Gbot_Group_A True Multi-Purpose Gaobot 4953
  • 14. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Thuê bao ‘X’ | Threat: Zeus | Intent: Information Stealer | Microsoft: ZBOT Cảnh báo Chính sách dựa trên mối liên hệ của một mối đe dọa cụ thể (‘Zeus’) Tích hợp Damballa CSP / Perftech DNS Cluster Thuê bao Internet http://Badguy.com Sensor 1 5 3MC 2 4
  • 15. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA Tích hợp Damballa - Antivirus Phát hiện Cảnh báo Làm sạch Giám sát tất cả các lưu lượng DNS, phát hiện và báo cáo về các giao tiếp của phần mềm độc hại Gởi các cảnh báo và giáo dục người dùng về các mối đe dọa và cung cấp các giải pháp. Sử dụng giải pháp Anti virus làm sạch các thiết bị thuê bao bị nhiễm
  • 16. CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA CEF:0|Damballa|SP Solution|2.0|1|Infected Host|10|cat=DNSQuery cnt=2 cs1=Damballa Test cs1Label=ThreatName cs2=Damballa Test Industry cs2Label=IndustryName destinationDnsDomain=test.damballa.com dvchost=sensor1 end=1300194678000 src=1.2.3.4 start=1300192878000 Chính sách dựa trên mối liên hệ của một mối đe dọa cụ thể (‘Zeus’) Tích hợp Damballa CSP / HP ArcSight và Syslog DNS Cluster Thuê bao Internet http://Badguy.com Sensor 1 3MC 2 HP/Syslog 4

Editor's Notes

  1. Introduce yourself and state the purpose of the presentation.
  2. Who? Industry Innovator Pioneering cyber threat research, analysis and detection since 2006 Born out of Georgia Tech security researchers Research backed by the U.S. Department of Homeland Security, the Office of Naval Research, the Air Force Research Labs, the Army Research Office, and Google Six patents-pending Discussion points – Damballa Research takes advantage of Big Data collected in the form of a massive Passive DNS database from ISPs/Telcos and Enterprise companies. We are able to study this data and build Query profilers as well as DGA Profilers (Domain Generation Algorithm )
  3. Quick overview of the product in a nutshell. This slide should be used when time is restricted and you want to show as much as possible up front from a technical and business perspective Currently we have focused exclusively on DNS query and DGA (Domain Generation Algorithm) detection around C&C traffic. – See backup slides for DGA and Query profiler details. The road map is to move toward not only additional DNS data (MX records, TXT, etc) but also to potentially consume Flow samples or even offer an Egress sensor that will take a sample of the connection data to flesh out a convection engine. Why? What do we allow you to do? Differentiate your subscriber offering Address Regulatory Concerns: the Australian High Tech Crime Centre (AHTCC) Criminal Code 1995 – Botnets are illegal to operate] ACMA – Australian Internet Security Initiative (AISI) In June 2010, the Internet Industry Association of Australia (IIA) launched a voluntary ISP code of practice, the icode, (similar to CSRIC -- Communications Security, Reliability and Interoperability Council's ABC – Anti Bot Code of conduct) Damballa CSP addresses the security concerns of ISPs and Telcos by offering a solution that: PROVIDE A SECURE SERVICE OFFERING PROVIDE A DIFFERENTIATED SERVICE OFFERING DEPLOY QUICKLY WITH AN OUTSTANDING ROI Identifies potential threats to bandwidth consumption and thus subscriber experience Creates goodwill with customers by providing an enhanced security offering Offers protection without threats to privacy. No PII data is collected. Is low risk to deploy Cost is minimal with a focus only on DNS traffic. No need for devices at all egress and proxy points. Technical – out of band system that does not put the subscriber’s expected experience at risk. Simple Deployment and Integration Highly Scalable to see entire network No PII (Personal Identification Info) traffic to avoid ‘opt in’ requirements Cost effective and integrates with existing systems / solutions
  4. Perftech for in browser notification HP ArcSight SIEM for off box reporting and correlation Generic Syslog also an option Blocking via DNS Spoofing – sensors can inject spoofed responses to queries regarding known C&C systems. Ideally injecting both above and below the recursive
  5. While Damballa’s threat Detections are key to the Provider’s Security Eco-System, we also partner with other vendors to drive up our value and help both the Provider and their Subscribers. Notifications- Perftech (Partners) partnership for nearly 4 years now. Their focus is around subscriber notifications. Initially focused on in-browser notifications, they also offer email notifications and walled garden solutions to help notify and educate the customer base. FrontPorch (in discussions) that offer a similar discussion and encourage you to obtain any feedback on other notification vendors that a Service Provider might use. Xerocole (reseller partner) – they focus on walled garden solutions, but they also have a DNS offering that you should be aware of when discussing potential customers or integrations. SIEM/Reporting – HP ArcSight SIEM integration Syslog – Generic Syslog integration Splunk – Splunk consumes Syslog data so while we currently as of 2.0 release do not have an explicit Splunk integration in CSP, we are able to integrate via syslog. Remediation - Microsoft MSRT (Malicious Software Removal Toolkit) integrations have been in the product for 4 years now F-Secure – As of CSP 2.0, we have an integration with F-Secure which offers a “high/medium/low” confidence in the ability of F-Secure to remediate any specific threat. MalwareBytes – Not in the product today, but an example of one of the other vendors we are talking with about integrations
  6. At this point we will move into an overview of the standard Damballa CSP deployment
  7. This is a high level overview of how you would deploy Damballa CSP MC and Sensors -Hub/Spoke Deployment model -Monitoring only DNS traffic exclusively via TAP or SPAN (Out of Band) (just as in Failsafe)
  8. Out-of-band (span or tap)
  9. Damballa CSP is the Detection leg of the 3 legged chair of Detection Notification and Remediation. Enables the eco system and allows providers to meet expectations of their customers and of regulators. Also allows them to go above and beyond their competitors
  10. Damballa CSP detects threats and delivers that detection to partners in a variety of manners: - .json (Compromised/Resolved/NXDomain) - .csv (Threat Trending Report) - .pdf (Executive/Trend/Health) - .html(Executive/Trend/Health) – also remember the Dashboard widgets Integrations: Perftech (notifications) HP ArcSight (SIEM) Syslog
  11. Sample of the CSV Trend report and the PDF/HTML report
  12. You can see from the long tail that the majority of the threats are clustered near the left. This means that a targeted approach with tools like F-Secure AntiBot can allow you to make a big difference in the security of your deployment. The basic concept behind this slide is that while there may be thousands of threats, you can take a targeted approach at the most active and make a significant impact on the Security of the Subscriber Deployment. Big Impact on targeting a few threats.
  13. Targeted Attack on the Threats in the network with tools that can remediate the issue.
  14. Perftech integration overview 1 – Subscriber attempts to lookup “badguy.com” and Damballa Sensor detects DNS Query to “badguy.com” a known Command and Control server 2 – Sensor delivers detection results to Damballa MC 3 – Damballa MC delivers a custom string based on the Perftech API integration and sends this information over to Perftech 4 – Perftech correlates Damballa’s threat detection information with the subscriber identification system and deliver an in-browser notification to the Infected Subscriber 5 – The Subscriber attempts to go online and the notification is delivered alerting them of their infection. This information will likely have the Damballa Research Notes and potential remediation options
  15. Specifics on how we might work with F_secure as a remediation tool. The concept on a basic level is Detection by Damballa and Remediation by F-Secure.
  16. HP ArcSight and Syslog integration overview 1 – Subscriber attempts to lookup “badguy.com” and Damballa Sensor detects DNS Query to “badguy.com” a known Command and Control server 2 – Sensor delivers detection results to Damballa MC 3 – Damballa MC delivers either Syslog or CEF formatted data depending on the product (i.e. ArcSight or Syslog) 4 – Admins can review the ArcSight / Syslog systems and generate rules / policies / alerts accordingly.
  17. Damballa solves this problem by reducing the time it takes security teams to detect actual infections and respond before loss occurs. Enterprises have invested heavily in prevention yet today’s advanced threats can easily evade prevention controls. The gap between failed prevention and the time it takes to detect and respond to infections creates a security gap. Damballa automatically detects infections that have bypassed prevention controls and helps responders prioritize and shorten the time it takes to remediate the risk.