RSA Netwitness - Cloud Computing, Data Storage, IT Security

RSA Netwitness
Total Network Knowledge
Przemysław Krejza, EnCE, ACE
KIM JESTEŚMY?
Jesteśmy liderem informatyki
śledczej w Polsce:

Dysponujemy największym w tej części
Europy
specjalistycznym
laboratorium
informatyki śledczej.

Naszymi
Klientami
są
największe
w Polsce firmy komercyjne oraz instytucje
publiczne.

Jesteśmy
autoryzowanym
wiodących
na
świecie
dostarczających rozwiązania IT.

Specjalizujemy
systemów
i
na
incydenty
informacji.

Posiadamy Świadectwo Bezpieczeństwa
Przemysłowego Drugiego Stopnia.
partnerem
korporacji
się
w
budowie
platform
reakcji
oraz
bezpieczeństwa
Ewolucja zagrożeń
1967 Access
control
1969 ARPANET
Sniffer
Network IDS
1983
CERT
1985
Forensics
Virus
1986
Firewall
1987
Antywirus
1991
Massive
Spam 1994
Host
IDS/IPS
IPS
SIM 1998
HIPS
IR & Forensic
Content
„control”
Współczesne zagrożenia:
 Trojan’a można zamówić od 980 – 5000 USD,
 0-day exploit kosztuje od 50 tyś do 500 tyś. za jeden,
 Informacja porusza się w sposób niekontrolowany,
 Skala i częstotliwość incydentów rośnie wykładniczo.
DZIŚ???
ZeuS
2010
oraz czynnik ludzki…
Źródło: Mediarecovery
Odpowiedź: systemy
 Firewall,
 Antywirus,
 IDS/IPS…,
Normalny dzień…
milion ataków dziennie spotyka firmy z listy top 1000
Nasz poziom bezpieczeństwa?
– 99%
5,000 - 10,000 ataków
– 99.9% 500 - 1000 ataków
– 99.99% 50 - 100 ataków
Next generation
IR&Forensic
Content control/filtering
IDS/IPS
Antywirus/Antyspyware
Kontrola dostępu, firewall
Total Network Knowledge
Restrykcje
„Rules based”
„Signature based”
Bezpieczeństwo podstawowe
NextGen- założenia
Aktywny monitoring 24 X 7,
Przejrzysta prezentacja,
Integracja ze źródłami alertów,
Odpowiedź na każde pytanie
związane z bezpieczeństwem,
 Gotowość na nieznane,
 Dostęp do ruchu sieciowego od 2
do 7 warstwy w dowolnym
okresie teraz i w przeszłosci,




NetWitness – wybrana przez RSA
U.S. FEDERAL GOVERNMENT
GOVERNMENTS
HIGH TECH, HEALTHCARE,
AND OTHER LARGE ENTERPRISE
FINANCIAL SERVICES
NetWitness :
» Założona w 1998 roku
» HQ w Herndon, VA, USA
» Dwa amerykańskie patenty technologiczne
» Zbudowana na doświadczeniu specjalistów
» Przyłaczona do RSA w 2011 roku
Ponad 45,000 ekspertów security w 5000
organizacji w 179 krajach
RSA NetWitness
Rewolucyjne
spojrzenie na
monitoring sieci
Pełne zrozumienie
kontentu i zachowania
Precyzyjne
dochodzenia
Wiem wszystko. Nie zmieniam nic.
RSA NetWitness składniki systemu
• Pełna skalowalność
» Decoder (SENSOR):
‣ Gromadzenie pakietów,
przetwarzanie sesji, storage,
w/10G/Any-G
» Concentrator (DATABASE):
‣ Agregacja i indeksacja metadanych
» Broker (QUERY BROKER):
‣ Pełny pogląd na ruch sieciowy w
skali enterprise
• Modularność zapewniająca
możliwość 100% wglądu w ruch
sieciowy,
• Optymalna wydajność w czasie
rzeczywistym
• Dynamiczność w każdej
infrastrukturze
Architektura systemu RSA Netwitness
RSA NetWitness składniki systemu
APLIKACJE
Informer – Wizualizacja, raportowanie,
alerty, wykresy
Investigator Enterprise
- ineraktywne
dochodzenia
Live – Integracja ze źródłami definicji
zagrożeń
Spectrum – automatyczna analiza malware
Panorama – więcej niż SIEM
SIEMLink
–
współpraca
z
innymi
aplikacjami
SDK/API – otwarta komunikacja
Infrastruktura RSA NetWitness
Automatyczna analiza
Malware
Automatyczne
raportowanie zagrożeń
Wszechstronna analiza
Pełna wizualizacja
14
Platforma monitorująca
EMC Confidential
7
Investigator - dochodzenie w sieci
Ruch przetworzony przez parsery
do postaci umożliwiającej pełne
odtworzenie sesji
Informer – widzę wszystko
Visualise – „co tam Panie w sieci?”
RSA Netwitness Visualise
Panorama – więcej niż SIEM
Dochodzenia w logach systemów
• Ta sama idea – nowe spojrzenie,
• Skalowalność, jak dla sieci,
SYLOGS DECODER
Zbieranie logów
SYSLOGS CONCENTRATOR
C
D
APLIKACJE
Zarządzane
dane
BROKER
NETWORK DECODER
Gromadzenie
ruchu
Wiele lokalizacji
D
D
NETWORK CONCENTRATOR
C
Dowolna
skalowalnosć
D
D
C
Ewolucja DLA KLIENTÓW EnVision
LC
enVision
LC
LC
enVision
D-SRV
A-SRV
Panorama
Pakiety
sieciowe
Logs
enVision
NetWitness
Infrastructure
NetWitness
Analytics
………
Dochodzenie w logach
W czasie
rzeczywistym
Szczegóły logu
Wykresy i alerty SIEM
Urządzenia
Portable
Branch
Data Center
Service Provider
Tactical
Fixed Capacity
High Performance
Unlimited Scalability
Incident Response
Zdalne biura, mniejsze
firmy
Enterprise
Wielcy operatorzy
Usługi
NWA1200/2400 Decoder
NWA50 “Eagle”
NWA200 Hybrid
NWA1200/2400 Concentrator
NWA100 Broker
NWA100 Broker
Features:
•Briefcase form-factor
•Encrypted/Removable Drives
•2TB Retention
Throughput
Saturated Storage
100Mbps
1TB/day
Features:
•1U form-factor
•Fixed capacity
•Distributed visibility
•8TB Retention
250Mbps
2.5TB/day
Features:
•1U & 2U form-factors
•Bandwidth Scalable
•Distributed visibility
•12 or 24TB Retention
•DAS & SAN Storage Available
1Gbps
10TB/day
Features:
•1U & 2U form-factors
•Bandwidth Scalable
•Distributed visibility
•12 or 24TB Retention
•DAS & SAN Storage Available
10Gbps
100TB/day
40Gbps
400TB/day
RSA NetWitness
RSA NetWitness
Wykrywanie
zdarzeń
wewnętrznych
Analiza
działań
personelu
Ochrona
przed
wyciekiem
informacji
Reakcja na
zagrożenia z
zewnątrz
Reakcja
automatyczna
Oszacowani
e skali
zagrożenia
Monitoring całej sieci
Automatyczna
ochrona
sieci
Wykrywani
e
aktywności
programó
w typu
malware
Analiza
zapewnieni
a procedur
i regulacji
NetWitness SIEMLink™
System zarządzania informacją i zdarzeniami bezpieczeństwa
kompatybilny z większością systemów wykrywania i zapobiegania
włamań (IDS i IPS), systemami zarządzania bezpieczeństwem SIM,
zaporami sieciowymi (Firewall), Snifferami, oraz wieloma innymi,
gwarantuje natychmiastową reakcję na potencjalne zagrożenia,
badanie zdarzeń w całej sieci oraz analizę kompletnej sesji.
Konsola zdarzeń
Używając NetWitness Investigator’a w
połączeniu z Infrastrukturą NextGen
natychmiast zobaczysz Kontekst zdarzenia
Zdarzenie:
Przepełnienie
Buforu
IP: 212.2.3.2 @
11:32PM
Ikona na pasku zadań
Przykładowa integracja
RSA Netwitness+ EnCase Enterprise = Total Security
• wykrywanie i unicestwianie prób szpiegostwa na poziomie sieci i
stacji roboczych,
• przeszukiwanie i zbieranie informacji z zasobów sieciowych z
możliwością ich zdalnego usunięcia i likwidowania niepożądanych
procesów i danych,
• analizowanie incydentów mających swoje źródło zarówno wewnątrz
jak i na zewnątrz organizacji,
• natychmiastowa reakcja na zagrożenia systemu IT bez przestojów
sieci,
• zebranie dowodów zgodnie z zasadami prawa,
• Zgodność ze standardami Incident Response ISO 27001 i innymi,
Dziękuję za uwagę
Przemysław Krejza
Dyrektor ds. Badań i Rozwoju Mediarecovery
www.mediarecovery.pl