Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Analýza DAT Pro infosec

ZveřejnilNela Urbanová

Podobné prezentace

Prezentace na téma: "Analýza DAT Pro infosec"— Transkript prezentace:

1 Analýza DAT Pro infosec
Definition - What does Information Systems Security (INFOSEC) mean? Information systems security, more commonly referred to as INFOSEC, refers to the processes and methodologies involved with keeping information confidential, available, and assuring its integrity. It also refers to: Access controls, which prevent unauthorized personnel from entering or accessing a system. Protecting information no matter where that information is, i.e. in transit (such as in an ) or in a storage area. The detection and remediation of security breaches, as well as documenting those events. Techopedia explains Information Systems Security (INFOSEC) Information systems security does not just deal with computer information, but also protecting data and information in all of its forms, such as telephone conversations. Risk assessments must be performed to determine what information poses the biggest risk. For example, one system may have the most important information on it and therefore will need more security measures to maintain security. Business continuity planning and disaster recovery planning are other facets of an information systems security professional. This professional will plan for what could happen if a major business disruption occurs, but still allow business to continue as usual. The term is often used in the context of the U.S. Navy, who defines INFOSEC as: COMPUSEC + COMSEC + TEMPEST = INFOSEC Where COMPUSEC is computer systems security, COMSEC is communications security, and TEMPEST is compromising emanations. Luboš Musil Solution architect

2 Big Data, Analýza dat pro Infosec
Výzvy kybernetické bezpečnosti Kybernetické útoky rostou závratným tempem. Aktuální systémy a procesy obtížně drží krok. Limitovaná granularita a nízké samplovací frakvence ohrožují schopnost analyzovat data a reagovat Pomalé reakční doba na identifikaci nových neznámých událostí v síti snižuje schopnost učinné reakce. Hackeři neustále hledají nové způsoby, jak napadnout sítě, což vede k vysokým investicím do kontroly a zabezpečení sítí. Problémy kybernetické bezpečnosti Neschopnost rozpoznat a reagovat na předzvěsti DDoS (Distributed Denial of Service) a další škodlivé počítačové útoky, než dojde k nějakému poškození. Neschopnost zabránit narušení legitimního provozu v síti. Špatná informovanost o škodlivém provozu na siti oproti obvyklému provozu Stávající řešení se zaměřují buď na základní analýzu v reálném čase nebo na sběr dat pro pozdější forenzní analýzu. V době, kdy Bezpečnostní innženýr (SOC) nebo Síťový inženýr (NOC) zjistí, identifikuje, analyzuje, reaguje a blokuje kybernetický útok, je obvykle příliš pozdě. Cílem je zvýšit znalost a reakční čas Implementovat řešení, které poskytuje vysokorychlostní, detailní monitorování provozu sítě, korelaci událostí téměř v reálném čase a analýzy dat s cílem zlepšit povědomí o situaci Zkrátit dobu odezvy na události o provozu na síti Zvýšit účinnost kontrol Analyzovat a hodnotit příchozí a odchozí provoz „Co, kdo, jak, kdy téměř v reálném čase“ Aktivně reagovat na dosud neznámé riziko To vše jsou obvyklé výzvy pro řešení z oblasti „Big dat“

3 Analýza dat pro InfoSec
Jak problematiku řešit? Integrací bezpečnostních dat Tradiční přístup hiearchie vrstev v zabezpečení lze významně zefektivnit díky integraci a korelaci událostí síťových aktivit vznikajících ve stávajících bezpečnostních nástrojích, jako jsou např. firewally, IDS / IPS, proxy servery, routery a další nástroje nebo referenční zdroje dat. Integrací siťových dat (Big Data & Analytics Integration w/ Near-Real-Time Performance) Použití analýz velkých dat integrovaných s běžnými bezpečnostními produkty, široké zachycování paketů a jejich kontrola. Využitím prověřených řešení z oblasti BI/DWH Řešení poskytuje Jedno, komplexní a autorizované, prostředí integrující InfoSec a Cyber ​​Security datové infrastruktury. Analyzy a reporty, které poskytují nové pohledy na podporu zjednodušení procesů a zvýšení urovně zabezpečení. Podporu CISO výstupy datových analýz v Near-Real-Time rychlosti nad výše uvedenými integrovanými daty Lepší, rychlejší, žalovatelné bezpečnostní informace - zmenšující kritický čas od detekce po nápravu (sanaci) umožňující odborníkům aktivně bránit a chránit vaši síť v dnešní „kybernetické válce „ Data Volume (Raw, User Data) Schema Sophistication Query Freedom Complexity Concurrency Mixed Workload Query Data Volume Data Freshness Technologické požadavky Extrémní rozšiřitelnost Extrémní výkon Vysoká dostupnost Výkonný load dat a přístup k datům Mission Critical 7 x 24 Intrusion Prevention Systems (IPS,tj. systémy pro prevenci průniku), také známé jako Intrusion Detection and Prevention Systems (IDPS,tj. systémy pro detekci a prevenci průniku), jsou zařízení pro počítačovou bezpečnost, která monitorují síť a/nebo aktivity operačního systému na škodlivou činnost. Hlavní funkce IPS systémů jsou identifikace škodlivé činnosti, zaznamenávání informací o jejím průběhu, následném blokování této činnosti a také její nahlašování. IPS systémy jsou považovány za rozšíření IDS systémů, protože monitorují jak provoz na síti, tak i aktivity operačního systému, které by mohly vést k narušení bezpečnosti. Hlavní rozdíl oproti IDS systémům je, že systém IPS je zařazen přímo do síťové cesty (in-line), a tak může aktivně předcházet, případně blokovat detekovaný nežádoucí a nebezpečný provoz na síti. Konkrétněji, IPS může provádět takové akce jako vyvolání poplachu, filtrování škodlivých paketů, násilné resetování spojení a/nebo blokování provozu z podezřelé IP adresy. Všechny tyto úkony často provádí ve spolupráci s firewallem. IPS také umí opravit chybný cyklický redundantní součet (CRC), defragmentovat proudy paketů, předcházet problémům s řazením TCP paketů, a čistit nežádoucí přenos včetně nastavení síťové vrstvy.

4 Koncepce přítupu: Session, Vector
Každá jednotlivá Session má n Vectorů Příklad: Start a End Session Vector pro jednu SMTP Session Start . End | |0|ndsta1| | |5|50|-300|0|EST|EDT| | |SMTP|START|1489|25|88|173|0|85|2|2|0|0|0|0|| |0|TCP | |0|ndsta1| | |5|50|-300|0|EST|EDT| | |SMTP|END|1489|25|1692|935|1244|407|11|13|0|0|1|0|| |0|TCP Tabular View of same Session Vectors (START of Session) (END of Session) SessionID AnalyzerIP AnalyzerID PopNm ndsta1 TimeStamp TimeStampFrac Date 1/18/2007 Hour 5 Minute 50 TzOfstMins -300 TzDst TzNm EST TzDstNm EDT ClientIP ServerIP Protocol SMTP EventNm START END ClientPort 1489 ServerPort 25 BytesSent 88 1692 BytesRecv 173 935 DataSent 1244 DataRecv 85 407 PktsSent 2 11 PktsRecv 13 DataRtrSent DataRtrRecv ConnectTime 1 EndStatus Layer2Info EndFlags L4Proto TCP What a SMTP NarusVector looks like. Tabular and ordered, perfectly tailored to be places in a datawarehouse. Fixed fields, perfect for doing data analysis.

5 Koncepce přítupu shromažďování dat
ITA Inteligince traffic analyzer

6 Aktuální stav InfoSec architektury
Security Engineers (SOC) Data Scientists Network Engineers (NOC) CISO Fraud Analysts Legal / Compliance Forensic Analysts Executives Languages Math & stats Data Mining BUSINESS INTELLIGENCE applications Koncoví uživatelé používají preferované vizualizací nástroje, programovací jazyky, skripty, reporty a statistické balíčky k analýze a reakci na bezpečnostní síťové událostí Netflow/IPFIX, Firewall, IDS/IPS, Router & Uživatelské aktivity log data, Referenční & produční data z vícero zdrojů, aplikací a zařízení CISO - chief information security officer Gateways SIEM data APT data URL Filtering data Sys logs Deep Packet Inspection Internet Gateway data Sniffer tools

7 Nové prvky InfoSec architektury
Discovery platform Capture | Store | Refine Languages Math & stats Data Mining BUSINESS INTELLIGENCE applications Gateways SIEM data APT data URL Filtering data Sys logs Deep Packet Inspection Internet Gateway data Sniffer tools Internet Gateway Router Internal Network Integrated Data Analytics Security Engineers (SOC) Data Scientists Network Engineers (NOC) CISO Fraud Analysts Legal / Compliance Forensic Analysts Executives Discovery platforma Specializovaná platforma na bázi MapReduce s MapReduce SQL rozhraním Vlastní databáze, opuštění HDFS Anylýzy časových řad jedním průchodem Předdefinované analitycké funkce nPath,Graph analyses Integrovaná data Masivně parallení databázová platforma Linearně skálovatelná ve všech dimenzích Indusrty data modely a IDW business model Mixovaná workload, Garantovaný výkon Vysoká dostupnst (HA) Hadoop Uložení velkého objemu dat za nízké náklady na 1 TB v HDFS Výkonný batch load Není – plnohodnotné SQL, interaktivni session, konkurenční workload, HA

8 Security Engineers (SOC) Network Engineers (NOC)
Analýza Infosec Security Engineers (SOC) Data Scientists Network Engineers (NOC) CISO Fraud Analysts Legal / Compliance Forensic Analysts Executives Languages Math & stats Data Mining BUSINESS INTELLIGENCE applications Internet Gateway Router Ukládání packet & Inspekce a analýza s partnerskými produkty (Narus, SAS,Aster,...) Interní Síť Discovery platform Krok 2: Užití Discovery Platformy s konektory do Integrovaných dat nebo Hadoop pro extrakci podmnožiny dat vzorů chování síťových aktivit v Discovery platformě Používá „Path“ analýzu pro identifikaci vzoru útoku na vector „malicious codu“ a jeho šíření; Použítí Graf analýzy k forensní identifikaci infikovaných systémů v rámci sítě Krok 3: Přesun zjištění discovery platformy do integrovaných dat Kombinuje pohled na síťové aktivity v Integrovaném datovém engine s daty jiných bezpečnostních aktivit jako jsou SIEM, SysLog a compliance řešení společně se statickými daty jako jsou konfigurace, prvky sítě, různé metriky atd.. Vytvoření síťových benchmarků a ‘normal’ limitů (threshold) založených na historických trendech (ročních a sezonních) Integrated Data Analytics Capture | Store | Refine Krok 1: Uložení TAP/PCAP, Netflow,  log files, sensors, nebo jiné vysoko objemové, měnící se síťová data v Hadoop „Cold” data uložena v Hadoop Data čištěna a předzpracována pro analýzu posloupností Použitelná pro budoucí forensní analýzy a dlouhodobé vyšetřování možných narušení Gateways SIEM data APT data URL Filtering data Sys logs Deep Packet Inspection Internet Gateway data Sniffer tools

9 Shrnutí koncepce Integrace dat umožňuje odpovědět kdo, co, kde, kdy, jak a proč dělá v probíhajícím provozu na síti v Near-Real-Time módu Integrace Bezpečnostních & Síťových dat: Identity & Authentication Firewall Anti-virus/Anti-Malware Anti-DoS/DDoS SIEM IDS/IPS Endpoint Security System Mobile Device Management Data Loss Prevention Secure Network Gateway Zachycení Packet & Inspekce …Toto není kompletní list Integrace Big Dat & Analýz MapReduce Sessionization Path Analysis Graph / Network Analysis Stat nástroje SAS & R Programovací Scripty Java, C/C++, Python SQL BI (BOBJ, Tableau, etc.) Visualization Tools …To není kompletní list Co se děje v mé síti? Kdo komunikuje s kým a o čem je komunikace? Jaké údaje „unikají“ ze sítě? Jsou mé stávající bezpečnostní opatření účinná? Jsem v soludu s standardy? Kolik proxy, DNS, SMTP a web serverů běží dnes? .... Monitoring a chápání kybernetických útoků – Zkracuje čas na nápravu (sanaci)

10 Příklad vizualizace síťových dat
10

11 Bezpečnostní scenař: HTTP únik dat
Obvykle HTTP komunikace je mnohem větší ve směru Server  Client HTTP je často užit pro přenos dat pomocí webmail nebo file-sending utilit (jako je yousendit.com) Detekční algoritmus hledá HTTP kde Send-Receive poměr zatížení je 100:1 v směru Client  Server 11

12 Bezpečnostní scenař: HTTP únik dat
Následně je zkoumáno HTTP URL pro odvození chování 12

13 Příklady bezpečnostních scénářů
Firma Associate ve snaze zjednodušení práce, dokončuje nezabezpečené nastavení bezdrátového přístupového bodu k připojení do podnikové sítě. Nezabezpečený bezdrátový přístupový bod (WAP) je nastaven bez hesla a vysílá identifikátor SID. Hloubková inspekce paketů společně s analýzou dat, umožňuje síťovým a bezpečnostním inženýrům rychle identifikovat nezabezpečený WAP, izolovat a vypnout WAP téměř v reálném čase. Také je schopna prokázat, zda datové pakety byly buď příchozí nebo odchozí. Tím je snazší rozpoznat, zda nezabezpečený WAP byl použit k download dat nebo k proniknutí do dat. Hacker připojený do firemní sítě se pokouší zpřístupnit řídící command line serveru umístěného na internetu. SNMP trap z bezpečnostních zařízení, jako jsou specilizované zařízení, firewally, IPS, antiviry detekují a upozorní na tyto pokusy a případně blokují IP. Integrované bezpečnostní data s hloubkovou inspekci paketů a analýzou dat umožňuje síťovému a bezpečnostnímu týmu rychle identifikovat systémy v síti zapojené do nebezpečné komunikace, dát je do karantény a udělat nápravu v téměř reálném čase.

14 Přínosy Nový daty akcelerovaný pohled na kybernetické útoky
Analýzy a nápravu (sanaci) v reálném čase Redukce nákladů Zvýšení efektivity Akcelerace hodnoty odvozené z integrovaných dat (Firewall, ID/IPS, Anti-Virus, Cyber Analytics, atd.) Jeden pohled na všechny exitující prvky infrastruktury a bezpečnostní nástroje Vylepšení Risk Profilu Demonstrace zvýšení schopnosti řídit bezpečnostní audit Redukce ekonomických a reputačních rizik Potenciál pro redukci pojištění proti kybernetickým útokům Kybernetické analytické nástroje dovolují bezpečnostním inženýrům, sítovým inženýrům a analytikům sítě snadněji rozpoznat a reagovat na vzory aktivit reprezentující síťové útoky.

15 Pro další informace kontaktujte Luboše Musila
Děkuji! Pro další informace kontaktujte Luboše Musila Luboš Musil Solution Architect Teradata Corporation Mobile

16 Big Data Analytics + Cyber Defense = Stronger Cyber Security Posture
Greatest areas of cyber security risk are attributed to lack of visibility, multiple global interconnected network systems and mobility. Cyber-attacks are getting worse – however, only 20 percent state their organizations are more effective at stopping them. Big Data Analytics in Cyber Defense Report by Ponemon is available..

17 Reference - NCDOC The Navy Cyber Defense Operations Command (NCDOC) coordinates, monitors, and oversees the defense of the Navy’s computer networks and systems.  NCDOC provides Computer Network Defense (CND) services to protect, monitor, analyze, detect and defensively respond to unauthorized activities against and within the Navy’s numerous information systems and computer networks. Teradata is at the heart of the NCDOC project as a “system of systems” that receives, aggregates, processes, correlates, and fuses real-time and near-real-time information from multiple network sources to provide network domain awareness (NDA).  Data is collected from hundreds of sensors on the Navy’s networks, intrusion protection systems, compliance reporting databases, and all types of network logging. When Teradata initially implemented a pilot project at NCDOC late in 2010, the customer called Teradata’s performance "simply blazing.”  Load times were reduced from 24+ hours to updates every 5 minutes.  Queries that ran in hours took less than a second on Teradata. 

Stáhnout ppt "Analýza DAT Pro infosec"

Podobné prezentace

© 2000 VEMA počítače a projektování spol. s r. o..

© 2000 VEMA počítače a projektování spol. s r. o..
Poznejte jak je skvělé Mít to pod Kontrolou a máte svou infrastrukturu pod kontrolou Michal Hroch Produktový manažer Microsoft ČR.

Poznejte jak je skvělé Mít to pod Kontrolou a máte svou infrastrukturu pod kontrolou Michal Hroch Produktový manažer Microsoft ČR.
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
ARBES FEIS [BI] ARBES Technologies, s.r.o.

ARBES FEIS [BI] ARBES Technologies, s.r.o.
Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.

Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.
Brána firewall a její využití

Brána firewall a její využití
Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.

Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
Správa IT infrastruktury: lépe, snadněji, bezpečněji a levněji

Správa IT infrastruktury: lépe, snadněji, bezpečněji a levněji
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.

1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
Modelování procesů pomocí workflow

Modelování procesů pomocí workflow
1. 3 Business priorita Scénář Řešení Produkty Rozvoj a podpora Partneři.

1. 3 Business priorita Scénář Řešení Produkty Rozvoj a podpora Partneři.
Computer Incident Response Capability

Computer Incident Response Capability
METODOLOGIE PROJEKTOVÁNÍ NÁVRH IS PRO TECH. PROCESY Roman Danel VŠB – TU Ostrava HGF Institut ekonomiky a systémů řízení.

METODOLOGIE PROJEKTOVÁNÍ NÁVRH IS PRO TECH. PROCESY Roman Danel VŠB – TU Ostrava HGF Institut ekonomiky a systémů řízení.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc +420 723 064 701 Microsoft, s.r.o. Solution.

Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
2003-07-07© 2003 FSS, spol. s r.o. Všechna práva vyhrazena.1 e - Insurance Management System Financial Support Services Struktura systému.

© 2003 FSS, spol. s r.o. Všechna práva vyhrazena.1 e - Insurance Management System Financial Support Services Struktura systému.
Analýza síťového provozu

Analýza síťového provozu
Softwarové zabezpečení serveru

Softwarové zabezpečení serveru
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.

Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.

1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.

Podobné prezentace

Reklamy Google