co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / martin Škoda [flowmon...
TRANSCRIPT
![Page 1: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/1.jpg)
Martin Škoda, Product Manager
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby
![Page 2: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/2.jpg)
• Výrobce moderních řešení pro monitoring a zabezpečení počítačových sítí
• Fakta
Založeno v 2007 jako univerzitní spin-off
50+ zaměstnanců, 600+ zákazníků
Obrat > 200 mil. CZK
Vlastní výzkum a vývoj
• Úspěchy
Gartner MQ (NPMD) 2016
Deloitte CE Technology Fast 50 (3x)
Top 100 Czech ICT ranking
Co děláme?
![Page 3: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/3.jpg)
Bezpečnost na perimetru
Firewall
IDS/IPS
UTM
Application firewall
Web filter
E-mail security
SSH Access
PerimeterSecurity
![Page 4: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/4.jpg)
Bezpečnost koncových stanic
Antivir
Personální firewall
Antimalware
Antirootkit
Endpoint DLP
Bezpečnostna perimetru
Bezpečnost koncových stanic
![Page 5: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/5.jpg)
Co nám chybí?
Bezpečnostna perimetru
Bezpečnost koncových stanic
Viditelnost do sítě a bezpečnost
![Page 6: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/6.jpg)
Přístupy monitorování
• SNMP monitoring Velikost přenesených dat,
počet packetů, dostupnost služeb.
• Flow monitoring Detailní viditelnost do
síťového provozu a jeho struktury.
• Analýza paketů Získávání informací z
obsahu paketů pro forenzní účely a viditelnosti do vyšších vrstev.
Basic monitoring Next-generationmonitoring
![Page 7: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/7.jpg)
Princip flow monitoringu
![Page 8: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/8.jpg)
Flow vs. Analýza paketů
Silné stránky Slabé stránky
Flow data
• Pracuje na vysokorychlostních sítích• Odolná vůči šifrované komunikaci• Viditelnost do provozu a reporting• Analýza chování sítě
• Informace z vrstev L3/L4• Někdy chybí dostatek detailů• Samplování (routere, switche)
Analýza paketů
• Plný provoz na síti• Dostatek detailů• Forenzní analýza• Detekce na základě signatur
• Nepoužitelné pro šifrovaný provoz
• Příliš mnoho detailů• Náročné na zdroje
• Který přístup si vybrat? Nejlepší je kombinovat oba přístupy v jediném
řešení
Síťové sondy provádí paketovou analýzu a doplňují flow záznam o informace z obsahu paketů.
![Page 9: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/9.jpg)
Architektura
Monitorovánísíťového provozu
Sběr statistik o provozu
Vizualizace a detekceanomálií
Sondy
• samostatné pasivní zdroje statistik ze sítě - flow data
Kolektor
• úložiště, vizualizace a vyhodnocení síťových statistik
Softwarové moduly
• detekce anomálií, záznam provozu, monitorování výkonu aplikací …
![Page 10: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/10.jpg)
• Monitorování provozu v síti(flow data - NetFlow/IPFIX) Kompletní viditelnost do dění v síti Real-time a historická data pro LAN & WAN &
komunikaci do Internetu Optimalizace správy a provozu sítě Efektivní troubleshooting
• Bezpečnost datové sítě (NBA, NBAD) Založeno na behaviorální analýze, nikoliv
známých signaturách Detekce pokročilého malware, zero-day útoků,
podezřelých přenosů dat, změn chování a dalších incidentů
Z pohledu uživatele
![Page 11: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/11.jpg)
• Záznam provozu v plném rozsahu
Na vyžádání při řešení problémů a incidentů
Distribuovaná architektura
Podpora sítí až 100G
• Monitorování výkonu aplikací
Sledování uživatelských transakcí bez SW agentů
Rozlišení zpoždění aplikace/sítě, sledování SLA
Určeno pro HTTP/HTTPS aplikace a SQL databáze
• Ochrana před DDoS útoky
Detekce volumetrických útoků
Aktivní řízení směrování provozu a mitigace
Z pohledu uživatele
![Page 12: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/12.jpg)
Co se děje ve vaši síti, když se nedíváte?
![Page 13: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/13.jpg)
Přehled provozu, detekované anomálie
![Page 14: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/14.jpg)
Aktivita útočníka (port sken, útok na heslo)
![Page 15: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/15.jpg)
Oběť útoku, následně vykazuje anomálie
![Page 16: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/16.jpg)
Mapování cílů útoků útočníkem
Útok na autentizaci
SSH
Prolomení hesla
![Page 17: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/17.jpg)
Zakrátko začne infikovaná stanice komunikovat s
botnet C&C center
![Page 18: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/18.jpg)
Identifikace botnetu s využitím „Threat intelligence“
![Page 19: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/19.jpg)
Datové toky L2/L3/L4
![Page 20: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/20.jpg)
Včetně viditelnosti do aplikační vrstvy
![Page 21: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/21.jpg)
Záchyt komunikace v plném rozsahu (PCAP)
![Page 22: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/22.jpg)
Komunikace s botnetC&C center
![Page 23: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/23.jpg)
Pokyn k exfiltraci dat přes ICMP
![Page 24: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/24.jpg)
Pokyn ke zjištění serverů s RDP
![Page 25: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/25.jpg)
Podezřelý ICMP provoz s payloadem
![Page 26: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/26.jpg)
Opět PCAP k dispozici, co bylo odesláno?
![Page 27: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/27.jpg)
/etc/passwd soubor s uživatelskými účty
![Page 28: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/28.jpg)
Vyhledání Windows serverů s RDP
Útok na službu RDP
![Page 29: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/29.jpg)
Nelze chránit, co není vidět
Zdroj: Checkpoint Security Report 2015
Ochrana perimetru a koncových stanic na pokročilé kybernetické hrozby nestačí.
Analýzou chování lze odhalit i dosud neznámé hrozby.
Pro zajištění bezpečnosti je důležité vidět, co se odehrává v síťovém provozu.
![Page 30: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/30.jpg)
• Možnosti spolupráce při studiu Vedení bakalářských a diplomových prací Stáže a interim projekty Zapojení do výzkumných projektů
• Tvořte s námi unikátní produkty a technologie
• Jsme ryze česká společnost Nejsme pobočkou nadnárodní společnosti Sami si stanovujeme cíle i pracovní postupy
• Stabilně rosteme o více než 50 % za rok• Napojení na přední vědecká pracoviště• 600+ zákazníků ve 30+ krajinách světa
Možnosti spolupráce
![Page 31: Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://reader034.vdocuments.site/reader034/viewer/2022042722/58ab1f041a28abb5278b51a5/html5/thumbnails/31.jpg)
Flowmon Networks a.s. U Vodárny 2965/2616 00 Brno, Czech Republicwww.flowmon.com
High-Speed Networking Technology Partner
Děkuji za pozornost
Martin Š[email protected]