Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[ISSA] IDS

801 views

Published on

Wojtek Wirkijowski

Published in: Technology
  • Be the first to comment

  • Be the first to like this

[ISSA] IDS

  1. 1. Detekcja intruzów Wojciech Wirkijowski ww at reconlab dot com
  2. 2. AGENDA: ● IDS – FAKTY I MITY ● NETWORK SECURITY MONITORING ● WDROŻENIA Detekcja intruzów
  3. 3. CZYM IDSY NIE SĄ? Detekcja intruzów
  4. 4. ROZWIĄZANIAMI PROAKTYWNYMI (I NIE TRAKTUJMY ICH TAK!) (STEPPING STONE I HISTORIA Z LOTNISKIEM) Detekcja intruzów
  5. 5. SZWAJCARSKIMI SCYZORYKAMI!!! INACZEJ MÓWIĄC PANACEUM NA KAŻDY PROBLEM Detekcja intruzów
  6. 6. FIREWALLAMI APLIKACYJNYMI TEŻ NIE!!! Detekcja intruzów
  7. 7. NIE POWINNY BYĆ TEŻ KOLEJNYMI GADŻETAMI RYSUJĄCYMI PIĘKNE WYKRESY ;) Detekcja intruzów
  8. 8. 10 9 8 Nasza konsola IDS 7 6 5 Kolumna 1 tworzy Kolumna 2 4 Kolumna 3 3 2 1 piękne wykresy :))) 0 Wiersz 1 Wiersz 2 Wiersz 3 Wiersz 4 Detekcja intruzów
  9. 9. PO CO NAM WIĘC WYKRYWANIE INTRUZÓW? (PRZECIEŻ MAMY FIREWALLE I IPSY) Detekcja intruzów
  10. 10. PONIEWAŻ: ISTNIEJĄCE ZABEZPIECZENIA MOGĄ ZAWIEŚĆ!!! Detekcja intruzów
  11. 11. ● CZY ISTNIEJĄCE ZABEZPIECZENIA SĄ W 100% EFEKTYWNE? ● SKĄD MA BYĆ WIADOMO KIEDY ZABEZPIECZANIA ZAWIODŁY? ● JEŚLI ZAWIODŁY TO CO ZOSTAŁO ZNISZCZONE, SKRADZIONE, STRACONE? Detekcja intruzów
  12. 12. POZA TYM: ● INTRUZ JEST NIEPRZEWIDYWALNY ● INTRUZ MOŻE BYĆ SPRYTNIEJSZY OD ADMINISTRUJĄCEGO ● ADMINISTRUJĄCY ZAWSZE DZIAŁA JAKO DRUGI (W STOSUNKU DO ATAKUJĄCEGO) ● W JAKI SPOSÓB PRZYGOTOWAĆ SIĘ NA PRZYSZŁOŚĆ? ● JEŚLI ZABEZPIECZA SIĘ WAŻNE BUDYNKI CZY POLEGA SIĘ TYLKO NA ZAMKACH W DRZWIACH? Detekcja intruzów
  13. 13. PROBLEMY (HISTORIA ZE SKANOWANIEM ODCINEK 1532 ;) Detekcja intruzów
  14. 14. WSKAŹNIKI I OSTRZEŻENIA Detekcja intruzów
  15. 15. ● INTERNET NALEŻY TRAKTOWAĆ JAK POLE WALKI – TAKI TROCHĘ „DZIKI ZACHÓD” ● PODSTAWOWYM ELEMENTEM DZIAŁAŃ TAK POLA WALKI I BIZNESU JEST MONITOROWANIE ● ZBIERANIE INFORMACJI - REKONESANS ● ANALIZA INFORMACJI ● HAKERZY NIE DZIAŁAJĄ W MAGICZNY SPOSÓB – ZOSTAWIAJĄ ŚLADY W WIELU MIEJSCACH ● LOGOWANIE I OBSERWOWANIE JAKO SPOSÓB NA WYKRYCIE TEGO OD KIEDY I ILE ZOSTAŁO STRACONE, A MOŻE KTOŚ SIĘ PRZYMIERZA DO TEGO ● REKONESANS PRZECIWNIKA TEŻ MOŻNA WYKRYĆ ● MAJĄC INFORMACJE Z JAKIEGOŚ OKRESU MOŻNA ZAREAGOWAĆ NA DZIAŁANIA NAWET NA BARDZO PRZEBIEGŁYCH I SKRYTYCH INTRUZÓW Detekcja intruzów
  16. 16. TRAKTUJMY WIĘC IDSY JAKO ŹRÓDŁO WSKAŹNIKÓW I OSTRZEŻEŃ ROZSZERZMY CAŁY SYSTEM O: ● LOGOWANIE DANYCH STATYSTYCZNYCH ● LOGOWANIE DANYCH SESJI ● LOGOWANIE PEŁNYCH PAKIETÓW Detekcja intruzów
  17. 17. HISTORIA O SKANOWANU CZĘŚĆ DRUGA (W POPRZEDNIM ODCINKU... ;P) Detekcja intruzów
  18. 18. OBRAZ NA LICENCJI GFDL 1.2 - NSMWIKI.ORG Detekcja intruzów
  19. 19. OBRAZ NA LICENCJI GFDL 1.2 - NSMWIKI.ORG Detekcja intruzów
  20. 20. DEMO Detekcja intruzów
  21. 21. quot;Security is a not a technology problem, it's a people problem.quot; - Bruce Schneier TRADYCYJNE PODEJŚCIE VS. NETWORK SECURITY MONITORING Detekcja intruzów
  22. 22. TRADYCJA DEMO:) Detekcja intruzów
  23. 23. 1. POJAWIŁ SIĘ ALARM 2. ADMINISTRATOR/ANALITYK CZYTA ALARM 3. NIE WIADOMO CZY ATAK SIĘ POWIÓDŁ (A MOŻE KTOŚ ODGADNIE?) 4. W POSZUKIWANIU POWIĄZANYCH ALERTÓW – I TAK NADAL NIC NIE WIADOMO, NAWET JEŚLI COŚ SIĘ ZNAJDZIE 5. PRZECHODZIMY DO NASTĘPNEGO ALARMU Detekcja intruzów
  24. 24. NETWORK SECURITY MONITORING – NSM ● ZAPISUJ ILE SIĘ DA (LOGUJ ILE MOŻESZ) ● JEŚLI NIE MOŻESZ LOGOWAĆ WSZYSTKIEGO, LOGUJ NAJWAŻNIEJSZE, PRÓBKUJ – LEPSZE WIEDZIEĆ COŚ NIŻ NIC ● WYKORZYSTAJ ISTNIEJĄCE ŹRÓDŁA INFORMACJI – FIREWALLE, LOGI ● DETEKCJA JAKO POCZĄTEK ŚLEDZTWA ● DECYZJE POZOSTAW LUDZIOM NIE URZĄDZENIOM Detekcja intruzów
  25. 25. WDROŻENIA Detekcja intruzów
  26. 26. OSZACUJ RYZYKO, STRATY, ZYSKI ● ● USTAL POLITYKI – CO WOLNO A CO NIE ● STWÓRZ MAPĘ SIECI I URUCHOMIONYCH USŁUG ● WDRÓŻ MONITOROWANIE ● DOSTRAJANIE, DOBIERANIE REGUŁ Detekcja intruzów
  27. 27. Detekcja intruzów
  28. 28. Detekcja intruzów
  29. 29. PROBLEMY WDROŻEŃ: ● PRÓBKOWANIE ● SPRZĘT ● WYDAJNOŚĆ ● SKALOWALNOŚĆ ● ŁATWOŚĆ OBSŁUGI ● LUDZIE ● KOSZTY Detekcja intruzów
  30. 30. PODSUMOWANIE: ● WYKRYWANIE INTRUZÓW, MUSI BYĆ NIEODŁĄCZNYM ELEMENTEM STRATEGII DEFENSE-IN-DEPTH ● SPRAWDZI SIĘ JEŚLI WIEMY DO CZEGO SŁUŻY „KNOW YOUR NETWORK BEFORE AN INTRUDER DOES” - Richard Bejtlich Detekcja intruzów
  31. 31. Dziękuję :) Pytania? Detekcja intruzów

×