Simon János György technikai tanácsadó, CCSP. Biztonsági incidensek hatékony kezelése

Hasonló dokumentumok
Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

Tartalom. A biztonsági veszélyek monitorozása, analizálása és az erre adott válasz. Cisco Security-MARS. Ács György Konzultáns gacs@cisco.

Cisco Security MARS 4.2 verziója

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Az IBM megközelítése a végpont védelemhez

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

IT biztonság 2016/2017 tanév

Szolgáltatási szint és performancia menedzsment a PerformanceVisor alkalmazással. HOUG konferencia, 2007 április 19.

Tű a szénakazalban. RSA envision

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Felhasználó-központú biztonság

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci

Jogában áll belépni?!

VMware vsphere. Virtuális Hálózatok Biztonsága. Andrews IT Engineering Kft.

Fábián Zoltán Hálózatok elmélet

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

Témák. Betörés megelőző rendszerek. Mire használhatjuk az IDS-t? Mi az IDS? (Intruding Detection System)

Radware terhelés-megosztási megoldások a gyakorlatban

WLAN Biztonság és Megfelelőségi Irányelvek

Vírusmentesítés naplóelemző eszközökkel

Szolgáltat. gfelügyeleti gyeleti rendszer fejlesztése. NETWORKSHOP 2010 Sándor Tamás

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

HP Networking. Hálózat-menedzsment vegyes gyártói környezetben. Légrádi Attila HP Networking TC

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

IBM Tivoli Endpoint Manager

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

Cisco ISE megoldások. Balatonalmádi, február 27. Détári Gábor, senior rendszermérnök

Végpont védelem könnyen és praktikusan

CCNA Security a gyakorlatban

WorldSkills HU 2008 döntő Gyakorlati feladat

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

Hibrid Cloud az új Oracle Enterprise Manager Cloud Control 13c-vel

Hálózati hozzáférés vezérlés Cisco alapokon

DDoS támadások, detektálás, védekezés. Galajda József - Core Transport Network Planning Expert

Valós idejű információk megjelenítése web-alapú SCADA rendszerben Modbus TCP protokollon keresztül

EXTREME NETWORKS MEGOLDÁSOK ANALYTICS & SDN KRUPA ZSOLT ICT SMART SOLUTION SZAKMAI NAP

Áttekintés. Magyar Telekom gyakorlat. Hári Krisztián - ITB vezető - Magyar Telekom

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here>

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

InfoVista újdonságok. Sándor Tamás. fımérnök. SCI-Network Távközlési és Hálózatintegrációs zrt. T.: F.:

Oracle Enterprise Manager 12c Cloud Control és 11g Grid Control összehasonlítás

Összegezés az ajánlatok elbírálásáról. 1. Az ajánlatkérő neve és címe: Nemzeti Adó-és Vámhivatal Központi Hivatala 1054 Budapest, Széchenyi u. 2.

Foglalkozási napló. Informatikai rendszergazda 14. évfolyam

Nagybiztonságú, több telephelyes kommunikációs hálózatok

Mesterséges Intelligencia (Hasonlóságelemzés) alkalmazása az információvédelem területén. Csizmadia Attila CISA

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

Virtualizáció, adatvédelem, adatbiztonság EMC módra

Hálózati rendszerek adminisztrációja JunOS OS alapokon

HÁLÓZATBIZTONSÁG III. rész

Napló üzenetek menedzsmentje

Vállalati WIFI használata az OTP Banknál

Novell ZENworks Configuration Management. Néhrer János konzultáns Novell PSH Kft.

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió

RH/CentOS felügyelet SUSE Manager segítségével. Kovács Lajos Vezető konzultáns

A NETVISOR SZAKÉRTELME ADATKÖZPONTOK KIALAKÍTÁSÁHOZ

NetWare 6 technikai áttekintés 2. rész

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

McAfee Enterprise Security ismertető Felfedezni, reagálni, végrehajtani

TELJESÍTÉNYMÉRÉS FELHŐ ALAPÚ KÖRNYEZETBEN AZURE CLOUD ANALÍZIS

Symantec Firewall/VPN Appliance

Informatikai biztonság, IT infrastruktúra

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Vezeték nélküli hálózatok biztonsága október 8. Cziráky Zoltán ügyvezető igazgató vállalati hálózatok

Dunaújvárosi Főiskolán

Systemax SSC esettanulmány. Suba Attila Advisory Technology Consultant, NET54 Kft.

Kaspersky Anti-Vírus

PASS SCADA bemutatás PICK energiamonitoring és mérésadatgyűjtő rendszer

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

Informatikai eszközök sérülékenység vizsgálata McAfee Foundstone FS1000 eszközzel

IPv6 Elmélet és gyakorlat

Mérési útmutató a Secure Shell (SSH) controll és audit című méréshez

IT biztonság <~> GDPR

STANDARD DEVELOPMENT U.L. FACTORY SYSTEMS GROUP IT DEPARTMENT

Technológia az adatszivárgás ellen

Next Generation Cyber Security Platform. Pintér András YOUNG ENTERPRISE DAY Október 2.

Symantec Endpoint Protection

Allied Telesis. Szakmai nap 2017 Pásztor András

Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban

Információbiztonsági kihívások. Horváth Tamás & Dellei László

Informatikai biztonság, IT infrastruktúra

Web Security Seminar. Összefoglalás. Qualys InfoDay május 14.

Egy országos IP hálózat telepítésének tapasztalatai Szolgáltató születik

Kibervédelem aktualizálása a nemzetközi botnet alapú támadások, adatszivárgások alapján

Cisco Advanced Inspection and Prevention (AIP) biztonsági szolgáltatásmodul a Cisco ASA 5500 sorozatú adaptív biztonsági készülékekhez

2011. November 8. Boscolo New York Palace Budapest. Extrém teljesítmény Oracle Exadata és Oracle Exalogic rendszerekkel

Campus6 projekt megbeszélés Mohácsi János

Kategóriák szerinti web-szűrés, állományok titkosítása és NAC. Mindez mobilon. - Sophos Mobile Control 4.0

Tartalomjegyzék. Ajánlás v Tartalomjegyzék vii Köszönetnyilvánítás A szerzõrõl xv Bevezetés xvii

EBS nagyvállalati implementációja a performancia szemszögéből

2023 ban visszakeresné 2002 es leveleit? l Barracuda Message Archiver. Tóth Imre Kereskedelmi Igazgató Avisys Kft Barracuda Certified Diamond Partner

Non-stop hozzáférés az üzleti információkhoz bárhol, bármikor és bármilyen eszközzel

Never-ending fight - A soha véget nem érő harc a Black Hat-hackerekkel

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

IT szolgáltatás menedzsment bevezetés az IIER projektben

Tűzfalak. Database Access Management

Hálózati alapismeretek

Munkaállomás menedzsment: szolgáltatástervezés és -létrehozás a MÁV CARGO-ban

Folyamatok rugalmas irányítása. FourCorm Kft.

Átírás:

Simon János György technikai tanácsadó, CCSP Biztonsági incidensek hatékony kezelése

Tartalom Hálózatbiztonsági eszközök menedzsmentje, avagy a nagy kihívás ACisco MARS termék család CS-MARS Hogyan látszik asassera MARS-ról?

Hálózatbiztonsági eszközök menedzsmentje, avagy a nagy kihívás

Eszkalációs folyamat Hálózati folyamatok Biztonsági folyamatok A reakció lépései: 1. Riasztás 2. Felderítés 3. Elhárítás Tűzfal IDS/IPS Hálózati topológia felvázolása Tonnányi log-adat értelmezése... és mindez naponta 10K Win, 100s UNIX Anti-virus VPN Sebezhetőség vizsgálók AAA Router/Switch

Biztonsági kihívás üzleti dilemma vizsgálat, tűzoltás, javítás és patch-elés után szinte alig jut idő audit riportra Hálózati és biztonsági események kezelése riasztások, szakadások,vaklármák hálózati anomliák Támadások kivédése Security erőforrás hiány Költséges üzleti dilemma Lassú támadás azonosítás és reakció Szabályozások és jogszabályok (ISO, HIPAA, GLBA, FISMA, Basel II) Audit követelmények összetett, day zero támadások, férgek egyéb hálózati problémák

Komplex hálózat bonyolult védelem Megfertőzött kliens Log/Alert

MARS termékcsalád

Cisco Security Monitoring, Analysis, and Response System (CS-MARS) MEGLÉVŐ hálózati biztonsági infrastruktúra elemeiből átható biztonság A teljes vállalati eseményhalmaz korrelációja NIDS, tűzfalak, routerek, switchek, CSA Syslog, SNMP, RDEP, SDEE, NetFlow, Endpoint event logs, Multi-Vendor Támadások gyors lokalizálása és kivédése Főbb funkciók Biztonsági incidensek észlelése üzenetek, események éssessioninformációk alapján Incidensek topológiai megjelenítése és visszajátszása L2 és L3 védekezési mechanizmusok

MARS termékcsalád CS-MARS Model 20 50 100e 100 200 Global Controller Esemény/sec 500 1,000 3,000 5,000 10,000 N/A NetFlow folyam /Sec 15,000 25,000 75,000 150,000 300,000 N/A RAID Storage 120GB 120GB 750GB 750GB 1TB 1TB Rack Size 1 RU 1 RU 3 RU 3 RU 4 RU 4 RU Gyors telepítés Raid 1+0 Nem kell külön adatbázis licenc (Oracle adatbázis) Agent-nélküli esemény gyűjtés Layer 2/3 hálózati topológia és védekezés NetFlow

Támogatott eszközök (MARS 4.1) Hálózat Cisco IOS 11.x and 12.x, Catalyst OS 6.x NetFlow v5/v7 NAC ACS 3.x Extreme Extremeware 6.x Tűzfal/VPN Cisco PIX 6.x, 7.x, ASA, IOS Firewall/IPS, FWSM 1.x, 2.3, VPN Concentrator 4.x CheckPoint Firewall-1 NG FPx, VPN-1 NetScreen Firewall 4.x, 5.x Nokia Firewall IDS/IPS Cisco NIDS 4.x, 5.x, IDSM 4.x, 5.x Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0 Snort NIDS 2.x McAfee Intrushield NIDS 1.x NetScreen IDP 2.x Symantec ManHunt 3.x Sérülékenységi kiértékelés eeye REM 1.x Foundstone FoundScan 3.x Qualys Guard Hoszt oldali védelem Cisco Security Agent (CSA) 4.x McAfee Entercept 2.5, 4.x ISS RealSecure Host Sensor 6.5, 7.0 Symantec AnitVirus 9.x Hoszt log Windows NT, 2000, 2003 (agent/agent-less) Solaris Linux Syslog Tetszőleges eszköz támogatás Alkalmazások Web servers (IIS, iplanet, Apache) Oracle 9i, 10i database audit logs Network Appliance NetCache

CS-MARS

CS-MARS A keletkezett, nagy mennyiségű biztonsági és hálózati események átalakítása értelmezhető és kezelhető támadási jelentésekként -hálózati-intelligenciával támogatott korreláció -incidens érvényesség ellenőrzés -támadás megjelenítés -autómatikus hálózat felderítés -beavatkozás támogatás -megfelelőség kezelés -nagy teljesítmény -hibajegy kezelés

MARS szolgáltatások Esemény korreláció a hálózati topológia ismeretében beépített hálózat felderítés (SNMP, Telnet, SSH, CPMI) konfiguráció, security policy letöltése,routing session azonosítás (NAT-on keresztül is) ellenlépés pontjának meghatározása (a támadóhoz legközelebb) támadási útvonal megjelenítése

Alapfogalmak Esemény (Event) Riportoló eszközöktől (tűzfal, IPS, router) kapott nyers formátumú üzenet Kapcsolat (Session) Korrelált esemény halmaz (NAT figyelembevételével) Incidens (Incident) Kapcsolatok korrelációs szabályok alapján azonosított sorozata

A MARS működése 1. Hálózati eszközökből új esemény érkezik 2. Esemény értelmezése 3. Normalizálás 4. Session kialakítás / NAT korreláció 5. Szabályok futtatása eldobási szabályok beépített/definiálható szabályok 6. Téves riasztások kiszűrése 7. Sérülékenység elemzés 8. Forgalom elemzés és statisztikai anomália detektálás

A MARS felszíne

Támadási útvonal meghatározás A támadás útvonalának pontos meghatározása Részletes vizsgálat Támadó Port Scan-t hajt végre Kliens1en, majd puffer túlcsordulásos támadást indít asérülékeny Kliens1 ellen, akit utasít, hogy jelszó támadást végezzen Célpont ellen

Riport csoportok beépített és testreszabható riportok

Alkalmazás Támogatás McAfeeePolicy Orchestrator Network Admission Controll

Global Controller AAA Wireless Inbound External FW / NAT Switch / NIDS VPN Remote Mail GW Outbound Router URL / AV Filter Switch Web Commerce Sw2 App CS-MARS CS-MARS passzív monitorozás hálózati topológia ismerete NAT kezelés, Netflow küszöbértékek beállítása Logok, riasztások, Netflow adatok korrelációja Valós indcidensek azonosítása ( téves riasztások kiszűrése) Valós idejű megjelenítés, visszajátszás, lekérdezé Részletekbe menő vizsgálat Konszolidálja és tárolja a helyi incidensek adatai DBMS NAS Archive Internal = Host IDS Log HIDS AV Internal Log HIDS AV Mgmt. Net CS-MARS GC CS-MARS Global Controller központi menedzsment hálózatba csatlakozik globális nézet, menedzsment és riport felület Titkosított kommunikáció a helyi MARS-ok felé Frissítések, riport sablokonés hozzáférési szabályok szétosztása AAA Tunnel CS-MARS CS-MARS távoli telephelyre kihelyezve, MARS GC felügyelet

Hogyan látszik a Sasser a MARS-ról?

Incidens megjelenítés

Támadás útvonala, Layer2 beavatkozás

Simon János technikai tanácsadó, CCSP Köszönöm figyelmüket! Várom kérdéseiket! simon.janos@synergon.hu http://www.cisco.com/go/mars http://www.synergon.hu