RSA Netwitness - Cloud Computing, Data Storage, IT Security
Transkrypt
RSA Netwitness - Cloud Computing, Data Storage, IT Security
RSA Netwitness Total Network Knowledge Przemysław Krejza, EnCE, ACE KIM JESTEŚMY? Jesteśmy liderem informatyki śledczej w Polsce: Dysponujemy największym w tej części Europy specjalistycznym laboratorium informatyki śledczej. Naszymi Klientami są największe w Polsce firmy komercyjne oraz instytucje publiczne. Jesteśmy autoryzowanym wiodących na świecie dostarczających rozwiązania IT. Specjalizujemy systemów i na incydenty informacji. Posiadamy Świadectwo Bezpieczeństwa Przemysłowego Drugiego Stopnia. partnerem korporacji się w budowie platform reakcji oraz bezpieczeństwa Ewolucja zagrożeń 1967 Access control 1969 ARPANET Sniffer Network IDS 1983 CERT 1985 Forensics Virus 1986 Firewall 1987 Antywirus 1991 Massive Spam 1994 Host IDS/IPS IPS SIM 1998 HIPS IR & Forensic Content „control” Współczesne zagrożenia: Trojan’a można zamówić od 980 – 5000 USD, 0-day exploit kosztuje od 50 tyś do 500 tyś. za jeden, Informacja porusza się w sposób niekontrolowany, Skala i częstotliwość incydentów rośnie wykładniczo. DZIŚ??? ZeuS 2010 oraz czynnik ludzki… Źródło: Mediarecovery Odpowiedź: systemy Firewall, Antywirus, IDS/IPS…, Normalny dzień… milion ataków dziennie spotyka firmy z listy top 1000 Nasz poziom bezpieczeństwa? – 99% 5,000 - 10,000 ataków – 99.9% 500 - 1000 ataków – 99.99% 50 - 100 ataków Next generation IR&Forensic Content control/filtering IDS/IPS Antywirus/Antyspyware Kontrola dostępu, firewall Total Network Knowledge Restrykcje „Rules based” „Signature based” Bezpieczeństwo podstawowe NextGen- założenia Aktywny monitoring 24 X 7, Przejrzysta prezentacja, Integracja ze źródłami alertów, Odpowiedź na każde pytanie związane z bezpieczeństwem, Gotowość na nieznane, Dostęp do ruchu sieciowego od 2 do 7 warstwy w dowolnym okresie teraz i w przeszłosci, NetWitness – wybrana przez RSA U.S. FEDERAL GOVERNMENT GOVERNMENTS HIGH TECH, HEALTHCARE, AND OTHER LARGE ENTERPRISE FINANCIAL SERVICES NetWitness : » Założona w 1998 roku » HQ w Herndon, VA, USA » Dwa amerykańskie patenty technologiczne » Zbudowana na doświadczeniu specjalistów » Przyłaczona do RSA w 2011 roku Ponad 45,000 ekspertów security w 5000 organizacji w 179 krajach RSA NetWitness Rewolucyjne spojrzenie na monitoring sieci Pełne zrozumienie kontentu i zachowania Precyzyjne dochodzenia Wiem wszystko. Nie zmieniam nic. RSA NetWitness składniki systemu • Pełna skalowalność » Decoder (SENSOR): ‣ Gromadzenie pakietów, przetwarzanie sesji, storage, w/10G/Any-G » Concentrator (DATABASE): ‣ Agregacja i indeksacja metadanych » Broker (QUERY BROKER): ‣ Pełny pogląd na ruch sieciowy w skali enterprise • Modularność zapewniająca możliwość 100% wglądu w ruch sieciowy, • Optymalna wydajność w czasie rzeczywistym • Dynamiczność w każdej infrastrukturze Architektura systemu RSA Netwitness RSA NetWitness składniki systemu APLIKACJE Informer – Wizualizacja, raportowanie, alerty, wykresy Investigator Enterprise - ineraktywne dochodzenia Live – Integracja ze źródłami definicji zagrożeń Spectrum – automatyczna analiza malware Panorama – więcej niż SIEM SIEMLink – współpraca z innymi aplikacjami SDK/API – otwarta komunikacja Infrastruktura RSA NetWitness Automatyczna analiza Malware Automatyczne raportowanie zagrożeń Wszechstronna analiza Pełna wizualizacja 14 Platforma monitorująca EMC Confidential 7 Investigator - dochodzenie w sieci Ruch przetworzony przez parsery do postaci umożliwiającej pełne odtworzenie sesji Informer – widzę wszystko Visualise – „co tam Panie w sieci?” RSA Netwitness Visualise Panorama – więcej niż SIEM Dochodzenia w logach systemów • Ta sama idea – nowe spojrzenie, • Skalowalność, jak dla sieci, SYLOGS DECODER Zbieranie logów SYSLOGS CONCENTRATOR C D APLIKACJE Zarządzane dane BROKER NETWORK DECODER Gromadzenie ruchu Wiele lokalizacji D D NETWORK CONCENTRATOR C Dowolna skalowalnosć D D C Ewolucja DLA KLIENTÓW EnVision LC enVision LC LC enVision D-SRV A-SRV Panorama Pakiety sieciowe Logs enVision NetWitness Infrastructure NetWitness Analytics ……… Dochodzenie w logach W czasie rzeczywistym Szczegóły logu Wykresy i alerty SIEM Urządzenia Portable Branch Data Center Service Provider Tactical Fixed Capacity High Performance Unlimited Scalability Incident Response Zdalne biura, mniejsze firmy Enterprise Wielcy operatorzy Usługi NWA1200/2400 Decoder NWA50 “Eagle” NWA200 Hybrid NWA1200/2400 Concentrator NWA100 Broker NWA100 Broker Features: •Briefcase form-factor •Encrypted/Removable Drives •2TB Retention Throughput Saturated Storage 100Mbps 1TB/day Features: •1U form-factor •Fixed capacity •Distributed visibility •8TB Retention 250Mbps 2.5TB/day Features: •1U & 2U form-factors •Bandwidth Scalable •Distributed visibility •12 or 24TB Retention •DAS & SAN Storage Available 1Gbps 10TB/day Features: •1U & 2U form-factors •Bandwidth Scalable •Distributed visibility •12 or 24TB Retention •DAS & SAN Storage Available 10Gbps 100TB/day 40Gbps 400TB/day RSA NetWitness RSA NetWitness Wykrywanie zdarzeń wewnętrznych Analiza działań personelu Ochrona przed wyciekiem informacji Reakcja na zagrożenia z zewnątrz Reakcja automatyczna Oszacowani e skali zagrożenia Monitoring całej sieci Automatyczna ochrona sieci Wykrywani e aktywności programó w typu malware Analiza zapewnieni a procedur i regulacji NetWitness SIEMLink™ System zarządzania informacją i zdarzeniami bezpieczeństwa kompatybilny z większością systemów wykrywania i zapobiegania włamań (IDS i IPS), systemami zarządzania bezpieczeństwem SIM, zaporami sieciowymi (Firewall), Snifferami, oraz wieloma innymi, gwarantuje natychmiastową reakcję na potencjalne zagrożenia, badanie zdarzeń w całej sieci oraz analizę kompletnej sesji. Konsola zdarzeń Używając NetWitness Investigator’a w połączeniu z Infrastrukturą NextGen natychmiast zobaczysz Kontekst zdarzenia Zdarzenie: Przepełnienie Buforu IP: 212.2.3.2 @ 11:32PM Ikona na pasku zadań Przykładowa integracja RSA Netwitness+ EnCase Enterprise = Total Security • wykrywanie i unicestwianie prób szpiegostwa na poziomie sieci i stacji roboczych, • przeszukiwanie i zbieranie informacji z zasobów sieciowych z możliwością ich zdalnego usunięcia i likwidowania niepożądanych procesów i danych, • analizowanie incydentów mających swoje źródło zarówno wewnątrz jak i na zewnątrz organizacji, • natychmiastowa reakcja na zagrożenia systemu IT bez przestojów sieci, • zebranie dowodów zgodnie z zasadami prawa, • Zgodność ze standardami Incident Response ISO 27001 i innymi, Dziękuję za uwagę Przemysław Krejza Dyrektor ds. Badań i Rozwoju Mediarecovery www.mediarecovery.pl