AdvaICT - Invex Forum
•Download as PPT, PDF•
0 likes•589 views
AdvaICT - Invex Forum presentation about Network Behavior Analysis. Presented products and services: FlowMon ADS, MyNetScope ADS, Network traffic audit, NetHound
![[object Object],[object Object],[object Object],[object Object],www.advaict.com Úvod Představení spole čnosti AdvaICT](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Recommended
More Related Content
Viewers also liked
Viewers also liked (20)
Similar to AdvaICT - Invex Forum
Similar to AdvaICT - Invex Forum (20)
AdvaICT - Invex Forum
- 1. Bezpečnostní monitoring sítí – IDS / IPS nové generace Správa IT infrastruktury: lépe, snadněji, bezpečněji a levněji
- 5. www.advaict.com Úvod Dvě cesty, jak IT infrastrukturu spravovat a) systematicky a koordinovaně b) nesystematicky a nekoordinovaně Provozní či bezpečnostní incidenty jsou objeveny včas, lze jim předcházet. Když už nastanou tak alespoň minimalizovat jejich následky. Incidenty jsou objevovány v okamžiku, kdy už je nelze přehlédnout. Náprava škod je pracná a ovlivňuje chod firmy. Jsou průběžně k dispozici podklady použitelné pro další rozvoj infrastruktury. Rozvoj komunikační infrastruktury je řízen chaoticky, bez znalosti skutečných potřeb. Zbytečně se plýtvá. Rutinní správa je automatizovaná, IT specialisty lze využít pro rozvoj nových služeb. Správa je nákladná, IT specialisté jsou zahlceni operativními problémy, na další rozvoj není prostor.
- 6. www.advaict.com Správa a zabezpečení IT infrastruktury Používané nástroje Firewall Access Control Anti X Log Management IDS /IPS Asset M anagement Vulnerability Assesment NSM
- 9. Cesty Kabely
- 11. Co je cílem
- 14. Firewall
- 15. OK FIREWALL
- 16. Intrusion Detection System Intrusion Prevention System
- 17. OK STOP IDS / IDP
- 18. Vulnerability A ssesment
- 20. Anti Virus, Anti Spyware, …
- 21. OK ANTI-X
- 24. Asset M anagement
- 25. ASSET MANAGEMENT
- 26. Access Control
- 27. ACCESS CONTROL
- 28. SNMP M onitoring
- 29. SNMP
- 30. Log M anagement
- 31. LOG MANAGEMENT
- 33. Řízení a správa IT infrastruktury: Lépe, bezpečněji, jednodušeji a levněji www.advaict.com
- 34. Network Security Monitoring (Bezpečnostní monitoring sítí)
- 36. Detekce známých vzorů nežádoucího chování
- 38. Detekce anomálií
- 41. www.advaict.com Principy fungování Základní vymezení
- 42. www.advaict.com Principy fungování Zapojení do stávající IT infrastruktury Monitoring center Web based event explorer
- 45. www.advaict.com AdvaICT Portfolio Řešení Komplexní řešení bezpečnostního a provozního dohledu IT infrastruktury zahrnující sběr statistik o provozu na síti na bázi datových toků, uložení statistik a jejich vyhodnocení Služby Audit datové sítě z provozního a bezpečnostního hlediska On-line služba zpracování provozu na datové síti (www.nethound.eu) Produkty Software pro analýzu provozu, detekci útoků, anomálií a network behavior analysis Software pro podporu incident handling a dokumentaci
Editor's Notes
- Vliv IT infrastruktury na fungování organizací je stále větší, sítě se stávají nervovou soustavou firem. Problémy IT infrastruktury znamenají paralyzaci fungování organizací. Důležitost IT infrastruktury potvrzuje oficiální orgán Evropské unie, organizace ENISA, která se zabývá regulativy a doporučeními zejména v oblasti počítačové bezpečnosti.
- Správa IT infrastruktury je velmi nákladná. Pokud síť nebo služby nefungují může se škoda vyšplhat v závislosti na odvětví do milionů. Bezpečnou infrastrukturu potřebujeme nejen pro sebe, ale i pro své okolí. Síť, která šíří SPAM (byť nevědomě) se brzy dostane na SPAM list a přestane být schopna odesílat e-maily. Bezpečnost IT infrastruktury se postupně stává povinností. Objevují se podmínky pro získání dotací, připravuje se legislativa v této oblasti, je tlak bezpečnostní certifikace (ISO 27001). ------------------------------------------------------- Poznámky: TODO: Tady si potřebujeme připravit historky a čísla. Neměli by být na slajdu, ale přednášející by je měl při vysvětlení mimochodem zmínit Komentáře k otázkám: Kolik stojí správa IT infrastruktury? Jaké jsou důsledky, když síť či její služby chvíli nefungují? Jaká bezpečnostní rizika IT infrastruktura představuje? Jak se okolní svět stará o to, zda máte IT infrastrukturu v pořádku? zde zmínit blacklisty na spamy zmínit regulační snahy státu (kladení podmínek pro získání dotací, připravovaná legislativa), bezpečnostní certifikace (ISO 27001, SOX, …), vznik sítě CSIRTů
- Pro správné řízení a správu IT potřebujeme správné informace. Vždy je lepší incident zachytit v počátku než v okamžiku, kdy už je není možné přehlédnout. Rozvoj IT infrastruktury by měl být podložen znalostí o úzkých místech a trendech. Automatizace rutinní správy šetří čas i peníze a specialisté se tak mohou věnovat rozvoji infrastruktury a ne její údržbě.
- Podívejme se, jaké jsou běžně používané nástroje pro zajištění bezpečnosti v IT infrastruktuře. Podíváme se na ně trochu jinak, než jste zvyklí.
- Představme si na chvíli počítačovou sítě jako město a sebe starostu takového města.
- Počítače budou hrát v našem městě roli domů. Ve městech, stejně jako v počítačových sítích jsou domy různého účelu, stáří, potenciální nebezpečnosti …
- Mezi jednotlivými domy vedou ulice – v případě počítačové sítě jsou to kabely.
- Naše město obývají různí lidé – uživatelé sítě. Plní různé role, mají různé zkušenosti a záměry.
- Naším cílem je
- Starat se o město tak, aby se jeho obyvatelé (uživatelé počítačové sítě) nebouřili a měli jednoduše a rychle dostupné všechny služby, které potřebují.
- Nikoliv tak, aby naše domy (počítače) obsadili cizí nájezdníci, začali je zneužívat ke svým aktivitám jako sklady nebezpečného materiálu nebo základny pro další útoky, případně nám neodvezli to, čeho si ceníme. Naše data.
- Firewall je jedním z běžně používaných nástrojů
- Pomocí firewallu budeme regulovat dopravu, kterou do našeho města pustíme. To je důležité, jinak nám po městě budou jezdit čoudící kamióny, parní válce apod. Firewall je kontrola na příjezdové silnici do města, která propouští pouze zvolený druh dopravy. Důležité však je, že firewall nekontroluje obsah. Pokud se tedy někdo tváří, že veze květiny, ale ve skutečnosti jsou jeho úmysly jiné, firewall ho do města pustí.
- Podívejme se tedy na nástroj – IDS, který kontroluje obsah.
- IDS je další kontrola na cestě, která zkoumá, co kdo veze. Má seznam nepovolených nákladů a zkontroluje každé auto, jestli něco nedovoleného neveze. My jako lidé dokážeme posoudit, že náklad tohoto auta asi v pořádku není, ale IDS vychází z toho, co má na seznamu. TNT vypadá jako doutnák a další nebezpečná věc je kulatá bomba. Z tohoto pohledu náklad auta nebezpečný není a můžeme ho do města pustit. V našich městech nedělají nepořádek jenom ti, kdo do něj vozí nepovolené náklady. Stejně tak i v počítačových sítích nelze zločince poznat jen podle toho, že u sebe nosí nebezpečné předměty.
- Podívali jsme se na dva nástroje, které nám pomáhají regulovat dopravu v našem městě. Pojďme se teď podívat, jak můžeme chránit jednotlivé domy.
- Vulnerability assesment ověřuje známá zranitelná místa budov (počítačů). Často se v této souvislosti také mluví o penetračních testech. Podobně jako u předchozích metod – ověřuje se zranitelnost vůči známým hrozbám nebo hledá, jak se lze dostat dovnitř.
- O antivirech už asi slyšel každý, objevují se další druhy virů a nežádoucích programů jako je třeba spyware, takže se občas mluví o Anti-X systémech
- Antiviry kontrolují aktivity v daném domě (počítači, na kterém jsou nainstalované). Jejich slabinou je, že opět – podobně jako v případe IDS – kontrolu provádějí vůči známým hrozbám – v našem případě vůči kartotéce zločinců. Jenže – slovy Járy Cimrmana – co je to za eso, když se dá chytit? Bezpečnost ve vaší kancelářské budově také nelze zajistit pouze tím, že do ní nepustíte recidivisty.
- Pojďme si teď posvítit na jednotlivé obyvatele. Jak nastavíme, kdo se kde může pohybovat?
- Identity management systémy zařizují jednotnou identifikaci uživatelů (obyvatel) a tato identifikace je využívána pro přístup do jednotlivých budov. Jak se však lze dočíst například v knize jednoho z nejznámějších hackerů – nejpoužívanější metoda je tzv. sociální inženýrství. Jinými slovy, jak z lidí pod různými záminkami vymámit jejich přístupové údaje a pak se již vesele po síti pohybovat pod cizí identitou. Na jednom nejmenovaném českém úřadu prováděli podobný test a výsledkem bylo, že zhruba polovina zaměstnanců byla ochotna po telefonu sdělit své heslo.
- Pojďme se teď podívat, co nám může pomoci se správou města jako takového.
- Asset management slouží k tomu mít přehled, jaké domy vlastně ve městě jsou a co je jejich účelem. Pokud však asset management není propojený s tím, jak se jednotlivé domy chovají ve skutečnosti, je to pouze mrtvá kartotéka, která s tím co se skutečně děje má málo společného.
- Infrastrukturu města a další domy lze chránit před novými přistěhovalci a návštěvníky. Cestou k tomu je access kontrol.
- Pokud se chce někdo připojit do sítě, musí splnit dané požadavky, např. musí mít provedou revizi elektřiny. Ve světě počítačů to znamená aktualizovaný operační systém nebo nainstalovaný antivir.
- Nyní se podívejme, jak zajistit informovanost o aktuálním dění ve městě.
- Základním nástrojem je tzv. SNMP (Simple Network Management Protocol) monitoring. Umožňuje si do města nainstalovat jednoduché senzory (například čítač, kolik aut projelo kolem daného domu).
- Posledním ze zmíněných nástrojů je log management.
- Jednotlivé nástroje (firewally, antiviry, IDS, …) ale i aplikace vydávají o své činnosti a odhalených problémech zprávy – log záznamy. Log management je umožňuje shromažďovat na jednom místě a následně prohledávat. Důležité však je, že schopnost produkovat smysluplné a užitečné log záznamy je závislá na každém konkrétním zařízení či aplikaci. Častou praxí útočníků je logování na potřebnou dobu vypnout či zablokovat, případně po provedeném útoku smazat. Bez účinných nástrojů, které jsou schopny z logů automaticky odhalovat situace, které vyžadují pozornost, jsme však pouze vytvořili archiv, kde hledáme pověstnou jehlu v kupce sena.
- Všechny prezentované prostředky ochrany jsou potřebné a mají svou roli při ochraně sítě. Sami však nestačí. Bez průběžného monitoringu toho, co se skutečně děje nejste schopni říct, zda firewall nebo IDS funguje správě. Víte co do sítě nepustil, ale už nevíte co ano. Stávající prostředky se příliš zaměřují na známé hrozby a zahlcují nás velkým množstvím informací. Chybí jim potřebný nadhled.
- Řešení AdvaICT je jiné, nesnaží se stávajícím prostředkům konkurovat, ale naopak je vhodně doplnit.
- Naše řešení patří do kategorie Network Security Monitoring, tedy nezávislý dohled nad chováním sítě se zaměřením na bezpečnost. Vraťme se zpátky k naší metafoře města.
- Základem network security monitoringu je nepřetržitý sběr informací o tom, co se ve městě děje. NSM se zaměřuje na sledování dopravy. Každý přesun (komunikace v síti) je zaznamenána. Na základě jednotlivých přesunů se postupně budují a aktualizují informace, jak se jednotlivé domy, uživatelé a cesty chovají, jak jsou vytíženy, kdy a kým a jestli se neděje něco nežádoucího či podezřelého.
- NSM dovede odhalovat podezřelé způsoby chování ve městě.
- Když například někdo jezdí od domu k domu s velkým svazkem klíčů a zkouší, jestli by se mu nepodařilo nějaký dům otevřít. V počítačové síti se této hrozbě říká slovníkový útok – útočník se snaží uhodnout heslo a používá k tomu seznam často používaných hesel – analogie ke svazku klíčů. Tento druh útoku je velmi často používaný a nebezpečný. Chytrý útočník se z pohledu ostatních bezpečnostních nástrojů chová zcela normálně.
- Nejdůležitějším přínosem NSM je schopnost rozeznávat anomálie. Jde totiž o opačný přístup k hrozbám. Jak jsme viděli, používané nástroje fungují na principu: co není zakázáno, je povoleno. Anomaly Detection Systémy vychází z principu: co se děje jinak, než obvykle, je podezřelé.
- Systém si postupně buduje profil typického chování jednotlivých domů – kdo do něj chodí, kolik lidí ho typicky navštěvuje a kdy, kdy je rozsvíceno apod. Díky tomu dokáže systém rozpoznat, kdy se začne dít něco podezřelého. Například když se standardní obytný domek změní v zařízení zcela jiného charakteru.
- Máme za sebou prohlídku sítě jako města. Pojďme si shrnout to podstatné.
- Jaké jsou hlavní principy našeho řešení? Detekce signatur kontroluje přenášená data podobně jako rentgen zavazadel na letišti. Naše řešení sleduje chování všech zařízení na síti ve vzájemných souvislostech a o konkrétní obsah komunikace se nestará. Naše řešení pracuje na úrovni sítě, je tedy maximálně škálovatelné. Na koncové stanice není třeba nic instalovat ani konfigurovat. Všechny zařízení v síti jsou automaticky dohledována, aniž by měla možnost se tomu vyhnout nebo to vůbec zjistit.
- Zapojení do stávající infrastruktury je maximálně jednoduché a neinvazivní. Na základě sledování provozu generujeme události, které jsou dostupné prostřednictvím webové aplikace sloužící k průzkumu událostí nebo mohou být odesílány do systémů třetích stan, např. helpdesku.
- Hlavím důvodem nasazení jakéhokoliv řešení jsou samozřejmě přínosy. Network security monitoring sebou přináší jak efektivní procesy rutinní údržby a správy sítě, zejména včasné odhalování problémů, tak i zvýšení bezpečnosti IT infrastruktury.
- Z ekonomického hlediska je klíčová úspora nákladů. Z našich zjištění vyplývá, že ve středně velké organizaci o cca 250 počítačích lze snížit roční náklady na správu infrastruktury až o půl milionu korun. Network security monitoring poskytuje rovněž podklady pro kontrolu dodržování SLA dodavateli, třeba propustnost datové linky. V některých případech se škoda těžko kvantifikuje, zkuste se zamyslet, co byl znamenala nemožnost odesílání e-mailů z vaší sítě po jeden den? Dalším efektem nasazení typický bývá zvýšení produktivity práce zaměstnanců. Dle nezávislých studií tráví zaměstnanci až 20 % pracovní doby soukromými aktivitami. Ukazuje se však, že monitoring jako prostředek ochrany funguje. Zmiňme ještě odhalování zpoždění na síti nebo konfiguračních problémů, které může šetřit čas a tím samozřejmě i prostředky. ---------------------------------------------- Poznámky: Výše uvedené sumy se týkají firem o 50-250 PC – což je /nen í Váš případ, případ Vaší pobočky apod. Úspora nákladů – sem patří produktivita práce IT pracovníků (ať už při reinstalacích, rekonfiguracích, čas strávený na peer-to-peer sítích nebo nemožnosti pracovat při zpoždění a zahlcení sítě), ročně až 521 000 Kč. U SLA dohod to není velká položka, nicméně 25 000 Kč ročně stojí dohlížet právě nad SLA. optimalizace nákladů na licence činní cca 30 000 Kč, avšak počítáme, že pouze z 25% je za potřebí, tudíž možná úspora pak činí 7 500 Kč. náklady na odstranění infikovaných PC včetně např. vyšších nákladů na připojení z důsledků zvýšené komunikace zavirovaných PC se světem apod. může dosahovat do výše 380 000 Kč, nicméně zde nejsou zahrnuty ztráty nejpodstatnější, a to ztráta informací, sociální inženýrství, ztráta dobrého jména z důvodu zapsání firmy dočasně do spamlistů apod. právě těmto problémům dokážeme předcházet, popř. na ně včasně upozorňovat…. celkem tedy cca 1 milión korun jako úspora ročně (936 000 Kč) Co se zvýšení produktivity týče: Zaměstnanci nemohou pracovat z důvodu zpoždění, peer to peer sítí, popř. se jejich práce může „ztratit“ – celkem ročně přes 485 000 Kč. Zpoždění na síti stojí firmu v průměru 57 000 Kč a konfigurační problémy ať už špatně+ nastaveného zálohování či updatovaní programů a aplikací stojí i přes milion korun ročně. Celkem, co se zde vyjmenovaných problémů týče, to může dělat až 2 590 000 Kč, nicméně máme vyčísleno na základě našich zkušeností z firem a ve spolupráci se správci sítí (např. z XXXXX – reference dělají dobře), že naše řešení, které dokáže dále zamezit instalacím nelegálního softwaru, odhalit netradiční chování na síti a upozornit na něj (tudíž odhalit různé sociální inženýrství o kterém zaměstnavatel doposud neměl tušení) a samozřejmě zjednodušení a zpřehlednění správy IT infrastruktury dokáže ročně ušetřit okolo 9 miliónů korun (9 109 980 Kč) (nevyčísleny ztráty ze soc. inženýrství jelikož jsou vysoce individuální, stejně jako nevyčísleny ztráty při nefunkčnosti sítě vzhledem k vysoké závislosti na odvětví).
- Naše portfolio zahrnuje produkty pro sítě všech velikostí. Řešíme jak detekci nežádoucího chování a anomálií na síti, tak i správu a dokumentaci incidentů.