Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Teradata Confidential 1 ANALÝZA DAT PRO INFOSEC Luboš Musil Solution architect.

Podobné prezentace


Prezentace na téma: "Teradata Confidential 1 ANALÝZA DAT PRO INFOSEC Luboš Musil Solution architect."— Transkript prezentace:

1 Teradata Confidential 1 ANALÝZA DAT PRO INFOSEC Luboš Musil Solution architect

2 Teradata Confidential 2 Big Data, Analýza dat pro Infosec Výzvy kybernetické bezpečnosti o Kybernetické útoky rostou závratným tempem. Aktuální systémy a procesy obtížně drží krok. o Limitovaná granularita a nízké samplovací frakvence ohrožují schopnost analyzovat data a reagovat o Pomalé reakční doba na identifikaci nových neznámých událostí v síti snižuje schopnost učinné reakce. o Hackeři neustále hledají nové způsoby, jak napadnout sítě, což vede k vysokým investicím do kontroly a zabezpečení sítí. Problémy kybernetické bezpečnosti o Neschopnost rozpoznat a reagovat na předzvěsti DDoS (Distributed Denial of Service) a další škodlivé počítačové útoky, než dojde k nějakému poškození. o Neschopnost zabránit narušení legitimního provozu v síti. o Špatná informovanost o škodlivém provozu na siti oproti obvyklému provozu o Stávající řešení se zaměřují buď na základní analýzu v reálném čase nebo na sběr dat pro pozdější forenzní analýzu. o V době, kdy Bezpečnostní innženýr (SOC) nebo Síťový inženýr (NOC) zjistí, identifikuje, analyzuje, reaguje a blokuje kybernetický útok, je obvykle příliš pozdě. Cílem je zvýšit znalost a reakční čas o Implementovat řešení, které poskytuje vysokorychlostní, detailní monitorování provozu sítě, korelaci událostí téměř v reálném čase a analýzy dat s cílem zlepšit povědomí o situaci o Zkrátit dobu odezvy na události o provozu na síti o Zvýšit účinnost kontrol o Analyzovat a hodnotit příchozí a odchozí provoz „Co, kdo, jak, kdy téměř v reálném čase“ o Aktivně reagovat na dosud neznámé riziko To vše jsou obvyklé výzvy pro řešení z oblasti „Big dat“

3 Teradata Confidential 3 Analýza dat pro InfoSec Jak problematiku řešit? o Integrací bezpečnostních dat Tradiční přístup hiearchie vrstev v zabezpečení lze významně zefektivnit díky integraci a korelaci událostí síťových aktivit vznikajících ve stávajících bezpečnostních nástrojích, jako jsou např. firewally, IDS / IPS, proxy servery, routery a další nástroje nebo referenční zdroje dat. o Integrací siťových dat (Big Data & Analytics Integration w/ Near-Real-Time Performance) Použití analýz velkých dat integrovaných s běžnými bezpečnostními produkty, široké zachycování paketů a jejich kontrola. o Využitím prověřených řešení z oblasti BI/DWH Řešení poskytuje o Jedno, komplexní a autorizované, prostředí integrující InfoSec a Cyber ​​ Security datové infrastruktury. Analyzy a reporty, které poskytují nové pohledy na podporu zjednodušení procesů a zvýšení urovně zabezpečení. o Podporu CISO výstupy datových analýz v Near-Real-Time rychlosti nad výše uvedenými integrovanými daty o Lepší, rychlejší, žalovatelné bezpečnostní informace - zmenšující kritický čas od detekce po nápravu (sanaci) umožňující odborníkům aktivně bránit a chránit vaši síť v dnešní „kybernetické válce „ Technologické požadavky • Extrémní rozšiřitelnost • Extrémní výkon • Vysoká dostupnost • Výkonný load dat a přístup k datům Mission Critical 7 x 24 Data Volume (Raw, User Data) Schema Sophistication Query Freedom Query Complexity Query Concurrency Mixed Workload Query Data Volume Data Freshness

4 Teradata Confidential 4 Koncepce přítupu: Session, Vector | |0|ndsta1| | |5|50|- 300|0|EST|EDT| | |SMTP|START|1489|25|88|173|0|85|2|2|0|0|0|0|| |0|TCP | |0|ndsta1| | |5|50|- 300|0|EST|EDT| | |SMTP|END|1489|25|1692|935|1244|407|11|13|0|0|1|0|| |0|TCP (START of Session)(END of Session) SessionID AnalyzerIP AnalyzerID 00 PopNm ndsta1 TimeStamp TimeStampFrac Date 1/18/2007 Hour 55 Minute 50 TzOfstMins -300 TzDst 00 TzNm EST TzDstNm EDT ClientIP ServerIP Protocol SMTP EventNm STARTEND ClientPort 1489 ServerPort 25 BytesSent BytesRecv DataSent DataRecv PktsSent 211 PktsRecv 213 DataRtrSent 00 DataRtrRecv 00 ConnectTime 01 EndStatus 00 Layer2Info EndFlags 00 L4Proto TCP Příklad: Start a End Session Vector pro jednu SMTP Session Tabular View of same Session Vectors Start. End Každá jednotlivá Session má n Vectorů

5 Teradata Confidential 5 Koncepce přítupu shromažďování dat

6 Teradata Confidential 6 LANGUAGESMATH & STATSDATA MININGBUSINESS INTELLIGENCEAPPLICATIONS Security Engineers (SOC) Data ScientistsNetwork Engineers (NOC)CISOFraud Analysts Legal / ComplianceForensic AnalystsExecutives Aktuální stav InfoSec architektury GATEWAYS SIEM DATAAPT DATA URL FILTERING DATA SYS LOGSDEEP PACKET INSPECTION INTERNET GATEWAY DATA SNIFFER TOOLS Netflow/IPFIX, Firewall, IDS/IPS, Router & Uživatelské aktivity log data, Referenční & produční data z vícero zdrojů, aplikací a zařízení Koncoví uživatelé používají preferované vizualizací nástroje, programovací jazyky, skripty, reporty a statistické balíčky k analýze a reakci na bezpečnostní síťové událostí

7 Teradata Confidential 7 DISCOVERY PLATFORM CAPTURE | STORE | REFINE LANGUAGESMATH & STATSDATA MININGBUSINESS INTELLIGENCEAPPLICATIONS GATEWAYS SIEM DATAAPT DATA URL FILTERING DATA SYS LOGSDEEP PACKET INSPECTION INTERNET GATEWAY DATA SNIFFER TOOLS Internet Gateway Router Internal Network INTEGRATED DATA ANALYTICS Security Engineers (SOC) Data ScientistsNetwork Engineers (NOC)CISOFraud Analysts Legal / ComplianceForensic AnalystsExecutives Nové prvky InfoSec architektury Discovery platforma •Specializovaná platforma na bázi MapReduce s MapReduce SQL rozhraním •Vlastní databáze, opuštění HDFS •Anylýzy časových řad jedním průchodem •Předdefinované analitycké funkce nPath,Graph analyses Integrovaná data •Masivně parallení databázová platforma •Linearně skálovatelná ve všech dimenzích •Indusrty data modely a IDW business model •Mixovaná workload, Garantovaný výkon •Vysoká dostupnst (HA) Hadoop •Uložení velkého objemu dat za nízké náklady na 1 TB v HDFS •Výkonný batch load •Není – plnohodnotné SQL, interaktivni session, konkurenční workload, HA

8 Teradata Confidential 8 DISCOVERY PLATFORM CAPTURE | STORE | REFINE LANGUAGESMATH & STATSDATA MININGBUSINESS INTELLIGENCEAPPLICATIONS Analýza Infosec GATEWAYS SIEM DATAAPT DATA URL FILTERING DATA SYS LOGSDEEP PACKET INSPECTION INTERNET GATEWAY DATA SNIFFER TOOLS Internet Gateway Router Ukládání packet & Inspekce a analýza s partnerskými produkty (Narus, SAS,Aster,...) Interní Síť INTEGRATED DATA ANALYTICS Security Engineers (SOC) Data ScientistsNetwork Engineers (NOC)CISOFraud Analysts Legal / ComplianceForensic AnalystsExecutives Krok 2: •Užití Discovery Platformy s konektory do Integrovaných dat nebo Hadoop pro extrakci podmnožiny dat vzorů chování síťových aktivit v Discovery platformě •Používá „Path“ analýzu pro identifikaci vzoru útoku na vector „malicious codu“ a jeho šíření; •Použítí Graf analýzy k forensní identifikaci infikovaných systémů v rámci sítě Krok 3: •Přesun zjištění discovery platformy do integrovaných dat •Kombinuje pohled na síťové aktivity v Integrovaném datovém engine s daty jiných bezpečnostních aktivit jako jsou SIEM, SysLog a compliance řešení společně se statickými daty jako jsou konfigurace, prvky sítě, různé metriky atd.. •Vytvoření síťových benchmarků a ‘normal’ limitů (threshold) založených na historických trendech (ročních a sezonních) •„Cold” data uložena v Hadoop •Data čištěna a předzpracována pro analýzu posloupností •Použitelná pro budoucí forensní analýzy a dlouhodobé vyšetřování možných narušení Krok 1: •Uložení TAP/PCAP, Netflow, log files, sensors, nebo jiné vysoko objemové, měnící se síťová data v Hadoop

9 Teradata Confidential 9 Shrnutí koncepce Integrace Bezpečnostních & Síťových dat: •Identity & Authentication •Firewall •Anti-virus/Anti-Malware •Anti-DoS/DDoS •SIEM •IDS/IPS •Endpoint Security System •Mobile Device Management •Data Loss Prevention •Secure Network Gateway •Zachycení Packet & Inspekce •…Toto není kompletní list Integrace Big Dat & Analýz •MapReduce o Sessionization o Path Analysis o Graph / Network Analysis •Stat nástroje o SAS & R •Programovací Scripty o Java, C/C++, Python o SQL o BI (BOBJ, Tableau, etc.) o Visualization Tools •…To není kompletní list Integrace dat umožňuje odpovědět kdo, co, kde, kdy, jak a proč dělá v probíhajícím provozu na síti v Near-Real-Time módu Monitoring a chápání kybernetických útoků – Zkracuje čas na nápravu (sanaci) Co se děje v mé síti? Kdo komunikuje s kým a o čem je komunikace? Jaké údaje „unikají“ ze sítě? Jsou mé stávající bezpečnostní opatření účinná? Jsem v soludu s standardy? Kolik proxy, DNS, SMTP a web serverů běží dnes?....

10 Teradata Confidential 10 Příklad vizualizace síťových dat 10

11 Teradata Confidential 11 Bezpečnostní scenař: HTTP únik dat 11 • Obvykle HTTP komunikace je mnohem větší ve směru Server  Client • HTTP je často užit pro přenos dat pomocí webmail nebo file-sending utilit (jako je yousendit.com) • Detekční algoritmus hledá HTTP kde Send-Receive poměr zatížení je 100:1 v směru Client  Server

12 Teradata Confidential 12 Bezpečnostní scenař: HTTP únik dat 12 Následně je zkoumáno HTTP URL pro odvození chování

13 Teradata Confidential 13 Příklady bezpečnostních scénářů • Firma Associate ve snaze zjednodušení práce, dokončuje nezabezpečené nastavení bezdrátového přístupového bodu k připojení do podnikové sítě. Nezabezpečený bezdrátový přístupový bod (WAP) je nastaven bez hesla a vysílá identifikátor SID. Hloubková inspekce paketů společně s analýzou dat, umožňuje síťovým a bezpečnostním inženýrům rychle identifikovat nezabezpečený WAP, izolovat a vypnout WAP téměř v reálném čase. Také je schopna prokázat, zda datové pakety byly buď příchozí nebo odchozí. Tím je snazší rozpoznat, zda nezabezpečený WAP byl použit k download dat nebo k proniknutí do dat. • Hacker připojený do firemní sítě se pokouší zpřístupnit řídící command line serveru umístěného na internetu. SNMP trap z bezpečnostních zařízení, jako jsou specilizované zařízení, firewally, IPS, antiviry detekují a upozorní na tyto pokusy a případně blokují IP. Integrované bezpečnostní data s hloubkovou inspekci paketů a analýzou dat umožňuje síťovému a bezpečnostnímu týmu rychle identifikovat systémy v síti zapojené do nebezpečné komunikace, dát je do karantény a udělat nápravu v téměř reálném čase.

14 Teradata Confidential 14 Přínosy • Nový daty akcelerovaný pohled na kybernetické útoky • Analýzy a nápravu (sanaci) v reálném čase • Redukce nákladů • Zvýšení efektivity  Akcelerace hodnoty odvozené z integrovaných dat (Firewall, ID/IPS, Anti-Virus, Cyber Analytics, atd.)  Jeden pohled na všechny exitující prvky infrastruktury a bezpečnostní nástroje • Vylepšení Risk Profilu  Demonstrace zvýšení schopnosti řídit bezpečnostní audit  Redukce ekonomických a reputačních rizik  Potenciál pro redukci pojištění proti kybernetickým útokům Kybernetické analytické nástroje dovolují bezpečnostním inženýrům, sítovým inženýrům a analytikům sítě snadněji rozpoznat a reagovat na vzory aktivit reprezentující síťové útoky.

15 Teradata Confidential 15 DĚKUJI! Pro další informace kontaktujte Luboše Musila Luboš Musil Solution Architect Teradata Corporation Mobile

16 Teradata Confidential 16 Big Data Analytics + Cyber Defense = Stronger Cyber Security Posture • Greatest areas of cyber security risk are attributed to lack of visibility, multiple global interconnected network systems and mobility. • Cyber-attacks are getting worse – however, only 20 percent state their organizations are more effective at stopping them. Big Data Analytics in Cyber Defense Report by Ponemon is available..

17 Teradata Confidential 17 Reference - NCDOC • The Navy Cyber Defense Operations Command (NCDOC) coordinates, monitors, and oversees the defense of the Navy’s computer networks and systems. NCDOC provides Computer Network Defense (CND) services to protect, monitor, analyze, detect and defensively respond to unauthorized activities against and within the Navy’s numerous information systems and computer networks. Teradata is at the heart of the NCDOC project as a “system of systems” that receives, aggregates, processes, correlates, and fuses real-time and near-real-time information from multiple network sources to provide network domain awareness (NDA). Data is collected from hundreds of sensors on the Navy’s networks, intrusion protection systems, compliance reporting databases, and all types of network logging. • When Teradata initially implemented a pilot project at NCDOC late in 2010, the customer called Teradata’s performance "simply blazing.” Load times were reduced from 24+ hours to updates every 5 minutes. Queries that ran in hours took less than a second on Teradata.


Stáhnout ppt "Teradata Confidential 1 ANALÝZA DAT PRO INFOSEC Luboš Musil Solution architect."

Podobné prezentace


Reklamy Google