Analýza DAT Pro infosec Definition - What does Information Systems Security (INFOSEC) mean? Information systems security, more commonly referred to as INFOSEC, refers to the processes and methodologies involved with keeping information confidential, available, and assuring its integrity. It also refers to: Access controls, which prevent unauthorized personnel from entering or accessing a system. Protecting information no matter where that information is, i.e. in transit (such as in an email) or in a storage area. The detection and remediation of security breaches, as well as documenting those events. Techopedia explains Information Systems Security (INFOSEC) Information systems security does not just deal with computer information, but also protecting data and information in all of its forms, such as telephone conversations. Risk assessments must be performed to determine what information poses the biggest risk. For example, one system may have the most important information on it and therefore will need more security measures to maintain security. Business continuity planning and disaster recovery planning are other facets of an information systems security professional. This professional will plan for what could happen if a major business disruption occurs, but still allow business to continue as usual. The term is often used in the context of the U.S. Navy, who defines INFOSEC as: COMPUSEC + COMSEC + TEMPEST = INFOSEC Where COMPUSEC is computer systems security, COMSEC is communications security, and TEMPEST is compromising emanations. Luboš Musil Solution architect

Big Data, Analýza dat pro Infosec Výzvy kybernetické bezpečnosti Kybernetické útoky rostou závratným tempem. Aktuální systémy a procesy obtížně drží krok. Limitovaná granularita a nízké samplovací frakvence ohrožují schopnost analyzovat data a reagovat Pomalé reakční doba na identifikaci nových neznámých událostí v síti snižuje schopnost učinné reakce. Hackeři neustále hledají nové způsoby, jak napadnout sítě, což vede k vysokým investicím do kontroly a zabezpečení sítí. Problémy kybernetické bezpečnosti Neschopnost rozpoznat a reagovat na předzvěsti DDoS (Distributed Denial of Service) a další škodlivé počítačové útoky, než dojde k nějakému poškození. Neschopnost zabránit narušení legitimního provozu v síti. Špatná informovanost o škodlivém provozu na siti oproti obvyklému provozu Stávající řešení se zaměřují buď na základní analýzu v reálném čase nebo na sběr dat pro pozdější forenzní analýzu. V době, kdy Bezpečnostní innženýr (SOC) nebo Síťový inženýr (NOC) zjistí, identifikuje, analyzuje, reaguje a blokuje kybernetický útok, je obvykle příliš pozdě. Cílem je zvýšit znalost a reakční čas Implementovat řešení, které poskytuje vysokorychlostní, detailní monitorování provozu sítě, korelaci událostí téměř v reálném čase a analýzy dat s cílem zlepšit povědomí o situaci Zkrátit dobu odezvy na události o provozu na síti Zvýšit účinnost kontrol Analyzovat a hodnotit příchozí a odchozí provoz „Co, kdo, jak, kdy téměř v reálném čase“ Aktivně reagovat na dosud neznámé riziko To vše jsou obvyklé výzvy pro řešení z oblasti „Big dat“

Analýza dat pro InfoSec Jak problematiku řešit? Integrací bezpečnostních dat Tradiční přístup hiearchie vrstev v zabezpečení lze významně zefektivnit díky integraci a korelaci událostí síťových aktivit vznikajících ve stávajících bezpečnostních nástrojích, jako jsou např. firewally, IDS / IPS, proxy servery, routery a další nástroje nebo referenční zdroje dat. Integrací siťových dat (Big Data & Analytics Integration w/ Near-Real-Time Performance) Použití analýz velkých dat integrovaných s běžnými bezpečnostními produkty, široké zachycování paketů a jejich kontrola. Využitím prověřených řešení z oblasti BI/DWH Řešení poskytuje Jedno, komplexní a autorizované, prostředí integrující InfoSec a Cyber ​​Security datové infrastruktury. Analyzy a reporty, které poskytují nové pohledy na podporu zjednodušení procesů a zvýšení urovně zabezpečení. Podporu CISO výstupy datových analýz v Near-Real-Time rychlosti nad výše uvedenými integrovanými daty Lepší, rychlejší, žalovatelné bezpečnostní informace - zmenšující kritický čas od detekce po nápravu (sanaci) umožňující odborníkům aktivně bránit a chránit vaši síť v dnešní „kybernetické válce „ Data Volume (Raw, User Data) Schema Sophistication Query Freedom Complexity Concurrency Mixed Workload Query Data Volume Data Freshness Technologické požadavky Extrémní rozšiřitelnost Extrémní výkon Vysoká dostupnost Výkonný load dat a přístup k datům Mission Critical 7 x 24 Intrusion Prevention Systems (IPS,tj. systémy pro prevenci průniku), také známé jako Intrusion Detection and Prevention Systems (IDPS,tj. systémy pro detekci a prevenci průniku), jsou zařízení pro počítačovou bezpečnost, která monitorují síť a/nebo aktivity operačního systému na škodlivou činnost. Hlavní funkce IPS systémů jsou identifikace škodlivé činnosti, zaznamenávání informací o jejím průběhu, následném blokování této činnosti a také její nahlašování. IPS systémy jsou považovány za rozšíření IDS systémů, protože monitorují jak provoz na síti, tak i aktivity operačního systému, které by mohly vést k narušení bezpečnosti. Hlavní rozdíl oproti IDS systémům je, že systém IPS je zařazen přímo do síťové cesty (in-line), a tak může aktivně předcházet, případně blokovat detekovaný nežádoucí a nebezpečný provoz na síti. Konkrétněji, IPS může provádět takové akce jako vyvolání poplachu, filtrování škodlivých paketů, násilné resetování spojení a/nebo blokování provozu z podezřelé IP adresy. Všechny tyto úkony často provádí ve spolupráci s firewallem. IPS také umí opravit chybný cyklický redundantní součet (CRC), defragmentovat proudy paketů, předcházet problémům s řazením TCP paketů, a čistit nežádoucí přenos včetně nastavení síťové vrstvy.

Koncepce přítupu: Session, Vector Každá jednotlivá Session má n Vectorů Příklad: Start a End Session Vector pro jednu SMTP Session Start . End 421029792443108623|172.33.0.51|0|ndsta1|1169099420|01-18-2007|5|50|-300|0|EST|EDT|10.88.69.211|10.88.69.216|SMTP|START|1489|25|88|173|0|85|2|2|0|0|0|0||4268602930|0|TCP 421029792443108623|172.33.0.51|0|ndsta1|1169099421|01-18-2007|5|50|-300|0|EST|EDT|10.88.69.211|10.88.69.216|SMTP|END|1489|25|1692|935|1244|407|11|13|0|0|1|0||243385948|0|TCP Tabular View of same Session Vectors (START of Session) (END of Session) SessionID 421029792443108000 AnalyzerIP 172.33.0.51 AnalyzerID PopNm ndsta1 TimeStamp 1169099420 1169099421 TimeStampFrac 4268602930 243385948 Date 1/18/2007 Hour 5 Minute 50 TzOfstMins -300 TzDst TzNm EST TzDstNm EDT ClientIP 10.1.69.211 ServerIP 10.2.69.216 Protocol SMTP EventNm START END ClientPort 1489 ServerPort 25 BytesSent 88 1692 BytesRecv 173 935 DataSent 1244 DataRecv 85 407 PktsSent 2 11 PktsRecv 13 DataRtrSent DataRtrRecv ConnectTime 1 EndStatus Layer2Info EndFlags L4Proto TCP What a SMTP NarusVector looks like. Tabular and ordered, perfectly tailored to be places in a datawarehouse. Fixed fields, perfect for doing data analysis.

Koncepce přítupu shromažďování dat ITA ---- Inteligince traffic analyzer

Aktuální stav InfoSec architektury Security Engineers (SOC) Data Scientists Network Engineers (NOC) CISO Fraud Analysts Legal / Compliance Forensic Analysts Executives Languages Math & stats Data Mining BUSINESS INTELLIGENCE applications Koncoví uživatelé používají preferované vizualizací nástroje, programovací jazyky, skripty, reporty a statistické balíčky k analýze a reakci na bezpečnostní síťové událostí Netflow/IPFIX, Firewall, IDS/IPS, Router & Uživatelské aktivity log data, Referenční & produční data z vícero zdrojů, aplikací a zařízení CISO - chief information security officer E-mail Gateways SIEM data APT data URL Filtering data Sys logs Deep Packet Inspection Internet Gateway data Sniffer tools

Nové prvky InfoSec architektury Discovery platform Capture | Store | Refine Languages Math & stats Data Mining BUSINESS INTELLIGENCE applications E-mail Gateways SIEM data APT data URL Filtering data Sys logs Deep Packet Inspection Internet Gateway data Sniffer tools Internet Gateway Router Internal Network Integrated Data Analytics Security Engineers (SOC) Data Scientists Network Engineers (NOC) CISO Fraud Analysts Legal / Compliance Forensic Analysts Executives Discovery platforma Specializovaná platforma na bázi MapReduce s MapReduce SQL rozhraním Vlastní databáze, opuštění HDFS Anylýzy časových řad jedním průchodem Předdefinované analitycké funkce nPath,Graph analyses Integrovaná data Masivně parallení databázová platforma Linearně skálovatelná ve všech dimenzích Indusrty data modely a IDW business model Mixovaná workload, Garantovaný výkon Vysoká dostupnst (HA) Hadoop Uložení velkého objemu dat za nízké náklady na 1 TB v HDFS Výkonný batch load Není – plnohodnotné SQL, interaktivni session, konkurenční workload, HA

Security Engineers (SOC) Network Engineers (NOC) Analýza Infosec Security Engineers (SOC) Data Scientists Network Engineers (NOC) CISO Fraud Analysts Legal / Compliance Forensic Analysts Executives Languages Math & stats Data Mining BUSINESS INTELLIGENCE applications Internet Gateway Router Ukládání packet & Inspekce a analýza s partnerskými produkty (Narus, SAS,Aster,...) Interní Síť Discovery platform Krok 2: Užití Discovery Platformy s konektory do Integrovaných dat nebo Hadoop pro extrakci podmnožiny dat vzorů chování síťových aktivit v Discovery platformě Používá „Path“ analýzu pro identifikaci vzoru útoku na vector „malicious codu“ a jeho šíření; Použítí Graf analýzy k forensní identifikaci infikovaných systémů v rámci sítě Krok 3: Přesun zjištění discovery platformy do integrovaných dat Kombinuje pohled na síťové aktivity v Integrovaném datovém engine s daty jiných bezpečnostních aktivit jako jsou SIEM, SysLog a compliance řešení společně se statickými daty jako jsou konfigurace, prvky sítě, různé metriky atd.. Vytvoření síťových benchmarků a ‘normal’ limitů (threshold) založených na historických trendech (ročních a sezonních) Integrated Data Analytics Capture | Store | Refine Krok 1: Uložení TAP/PCAP, Netflow,  log files, sensors, nebo jiné vysoko objemové, měnící se síťová data v Hadoop „Cold” data uložena v Hadoop Data čištěna a předzpracována pro analýzu posloupností Použitelná pro budoucí forensní analýzy a dlouhodobé vyšetřování možných narušení E-mail Gateways SIEM data APT data URL Filtering data Sys logs Deep Packet Inspection Internet Gateway data Sniffer tools

Shrnutí koncepce Integrace dat umožňuje odpovědět kdo, co, kde, kdy, jak a proč dělá v probíhajícím provozu na síti v Near-Real-Time módu Integrace Bezpečnostních & Síťových dat: Identity & Authentication Firewall Anti-virus/Anti-Malware Anti-DoS/DDoS SIEM IDS/IPS Endpoint Security System Mobile Device Management Data Loss Prevention Secure Network Gateway Zachycení Packet & Inspekce …Toto není kompletní list Integrace Big Dat & Analýz MapReduce Sessionization Path Analysis Graph / Network Analysis Stat nástroje SAS & R Programovací Scripty Java, C/C++, Python SQL BI (BOBJ, Tableau, etc.) Visualization Tools …To není kompletní list Co se děje v mé síti? Kdo komunikuje s kým a o čem je komunikace? Jaké údaje „unikají“ ze sítě? Jsou mé stávající bezpečnostní opatření účinná? Jsem v soludu s standardy? Kolik proxy, DNS, SMTP a web serverů běží dnes? .... Monitoring a chápání kybernetických útoků – Zkracuje čas na nápravu (sanaci)

Příklad vizualizace síťových dat 10

Bezpečnostní scenař: HTTP únik dat Obvykle HTTP komunikace je mnohem větší ve směru Server  Client HTTP je často užit pro přenos dat pomocí webmail nebo file-sending utilit (jako je yousendit.com) Detekční algoritmus hledá HTTP kde Send-Receive poměr zatížení je 100:1 v směru Client  Server 11

Bezpečnostní scenař: HTTP únik dat Následně je zkoumáno HTTP URL pro odvození chování 12

Příklady bezpečnostních scénářů Firma Associate ve snaze zjednodušení práce, dokončuje nezabezpečené nastavení bezdrátového přístupového bodu k připojení do podnikové sítě. Nezabezpečený bezdrátový přístupový bod (WAP) je nastaven bez hesla a vysílá identifikátor SID. Hloubková inspekce paketů společně s analýzou dat, umožňuje síťovým a bezpečnostním inženýrům rychle identifikovat nezabezpečený WAP, izolovat a vypnout WAP téměř v reálném čase. Také je schopna prokázat, zda datové pakety byly buď příchozí nebo odchozí. Tím je snazší rozpoznat, zda nezabezpečený WAP byl použit k download dat nebo k proniknutí do dat. Hacker připojený do firemní sítě se pokouší zpřístupnit řídící command line serveru umístěného na internetu. SNMP trap z bezpečnostních zařízení, jako jsou specilizované zařízení, firewally, IPS, antiviry detekují a upozorní na tyto pokusy a případně blokují IP. Integrované bezpečnostní data s hloubkovou inspekci paketů a analýzou dat umožňuje síťovému a bezpečnostnímu týmu rychle identifikovat systémy v síti zapojené do nebezpečné komunikace, dát je do karantény a udělat nápravu v téměř reálném čase.

Přínosy Nový daty akcelerovaný pohled na kybernetické útoky Analýzy a nápravu (sanaci) v reálném čase Redukce nákladů Zvýšení efektivity Akcelerace hodnoty odvozené z integrovaných dat (Firewall, ID/IPS, Anti-Virus, Cyber Analytics, atd.) Jeden pohled na všechny exitující prvky infrastruktury a bezpečnostní nástroje Vylepšení Risk Profilu Demonstrace zvýšení schopnosti řídit bezpečnostní audit Redukce ekonomických a reputačních rizik Potenciál pro redukci pojištění proti kybernetickým útokům Kybernetické analytické nástroje dovolují bezpečnostním inženýrům, sítovým inženýrům a analytikům sítě snadněji rozpoznat a reagovat na vzory aktivit reprezentující síťové útoky.

Pro další informace kontaktujte Luboše Musila Děkuji! Pro další informace kontaktujte Luboše Musila Luboš Musil Solution Architect Teradata Corporation +420 602 227899 Mobile Lubos.musil@teradata.com

Big Data Analytics + Cyber Defense = Stronger Cyber Security Posture Greatest areas of cyber security risk are attributed to lack of visibility, multiple global interconnected network systems and mobility. Cyber-attacks are getting worse – however, only 20 percent state their organizations are more effective at stopping them. Big Data Analytics in Cyber Defense Report by Ponemon is available..

Reference - NCDOC The Navy Cyber Defense Operations Command (NCDOC) coordinates, monitors, and oversees the defense of the Navy’s computer networks and systems.  NCDOC provides Computer Network Defense (CND) services to protect, monitor, analyze, detect and defensively respond to unauthorized activities against and within the Navy’s numerous information systems and computer networks. Teradata is at the heart of the NCDOC project as a “system of systems” that receives, aggregates, processes, correlates, and fuses real-time and near-real-time information from multiple network sources to provide network domain awareness (NDA).  Data is collected from hundreds of sensors on the Navy’s networks, intrusion protection systems, compliance reporting databases, and all types of network logging. When Teradata initially implemented a pilot project at NCDOC late in 2010, the customer called Teradata’s performance "simply blazing.”  Load times were reduced from 24+ hours to updates every 5 minutes.  Queries that ran in hours took less than a second on Teradata.