Mds dejan spasic-vidljivost dogadjaja na mrezi-kladovo_maj2015

Vidljivost događaja na mreži kao osnova sistema zaštite

Dejan Spasić, B.Sc.E.E.IT Security Department Executive ManagerCCIE #15476 Service Provider [email protected]

ICT Security – Kladovo, maj 2015

222MDS Informatički inženjering ICT Securiity Kladovo 2015

Cyber kriminal – globalni fenomen

333MDS Informatički inženjering ICT Securiity Kladovo 2015

Ko su napadači?

• Hacktivists– Onemogućavanje servisa – DDoS

– Promena izgleda Web stranica

• Hackers/Cyber Criminals: – Sofisticirani Phishing napadi

– APT (Advanced Persisstent Threat)

– Promena izgleda Web stranica

• Aktivnosti na nacionalnom nivou?

444MDS Informatički inženjering ICT Securiity Kladovo 2015

Tehnike napada

• Web bazirani napadi

• Maliciozni softver – distribucija preko Mail i Web servisa

• DDoS – distribuirani DoS napadi

• Interne pretnje

• Krađa

555MDS Informatički inženjering ICT Securiity Kladovo 2015

Trendovi

• Prosečno vreme otkrivanja napada 205 dana

• 69% incidenata otkriveno od strane eksternih partnera

• Javno objavljeni slučajevi velikih incidenata (Target – podaci o 40 miliona kreditnih kartica, Cryptolocker, Sony – Playstation network, krađa podataka)

Izvor: M-Trends® 2015: A VIEW FROM THE FRONT LINES

666MDS Informatički inženjering ICT Securiity Kladovo 2015

Statistika

777MDS Informatički inženjering ICT Securiity Kladovo 2015

Integracija SourceFire tehnologije

• CONTEXT IS EVERYTHING – kompletna analitika događaja i mrežnog saobraćaja

Cisco LIVE: Martin Roesch – Cisco and Sourcefire: A Threat-Centric Security Approach (BRKSEC-2761)

“Context gives me the ability to discriminate my security events, to select easily from the thousands of events I get to the ten events that actually matter.”

Sourcefire NGIPS customer

“Context enables me to set access controls that make sense. I can select which users can access which public resources based on their job function.”

Sourcefire NGFW customer

888MDS Informatički inženjering ICT Securiity Kladovo 2015

Cisco FirePower - Koncept

OS & version identifikovano

Serverske aplikacije i verzije

Klijentski softver

Koji host

Verzije klijenta

Aplikacija

999MDS Informatički inženjering ICT Securiity Kladovo 2015

Arhitektura sistema• Managemant centar

– Centralno upravljanje– Definicija polisa– Analiza događaja, korelacija– Mapa mreže (korisnici, uređaji,

hostovi, aplikacije)– Paneli - Dashboard vs Context Explorer

Hardware– Cisco ASA sa FirePower servisima– Cisco FirePower (SourceFire uređaji)

Servisi– IPS – dinamička primena polisa– Web Security– AMP (Advanced Malware Protection) – Cisco TALOS Security Intelligence and

Research Group

Obrada događaja

FirePower Managemant Centar

Generisanje događaja– IPS– Malware– File– Access Control– Inteligence– Discovery– Flow

FirePower uređaji

101010MDS Informatički inženjering ICT Securiity Kladovo 2015

Indication of Compromise

Reconnaissance Weaponization Delivery Exploatation C2Lateral Movement

• Ciklus napada

Izvor: Intrusion Along the Kill Chain, SANS Digital Forensic

• Korelacija događaja, indikacija kompromitovanja hosta

Exfiltration

111111MDS Informatički inženjering ICT Securiity Kladovo 2015

Advanced Malware ProtectionZaštita u realnom vremenu (Point-in-Time Protection) Kontinualna analiza (Retrospective Security)

Podrška za razne sisteme

121212MDS Informatički inženjering ICT Securiity Kladovo 2015

Arhitektura sistema zaštite

131313MDS Informatički inženjering ICT Securiity Kladovo 2015

Rekapitulacija

• Kontekst - Vidljivost saobraćaja i događaja

• IPS dinamičko podešavanje, AMP, IoC

• Nova security arhitektura bazirana na fazama Cyber napada – Before, During, After

• NSS Labs – FirePower na vrhu po efikasnosti i TCO

Vidljivost događaja na mreži kao osnova sistema zaštite

Hvala na pažnji !!!

ICT Security – Kladovo, maj 2015