Nowoczesne narzędzia do ochrony informacji
Transkrypt
Nowoczesne narzędzia do ochrony informacji
Nowoczesne narzędzia do ochrony informacji Paweł Nogowicz Agenda Charakterystyka Budowa Funkcjonalność Demo 2 Produkt eTrust™ Network Forensics Kontrola dostępu do zasobów Zarządzanie użytkownikami 3 eTrust Network Forensics Manage Vulnerabilities and Content eTrust Network Forensics • eTrust Network Forensics, używane jest jako uzupełnienie do już posiadanych systemów bezpieczeństwa, • Moduły Wykrywania (Discovery), Wizualizacji (Visualization) i Analizy (Analysis) służą jako rozszerzenie modułów bezpieczeństwa sieci i narzędzi do analizy dochodzeniowo śledczej. External Firewalls Internet Internal Intrusion Detection Your Corporate Network E-Commerce Human Resources 4 Finance Intellectual Property TM Główne moduły Data collection and visualization - Monitorowanie i analiza danych ze wszystkich siedmiu warstw modelu Open Systems Interconnection (OSI). - Relacyjne drzewo dla bazy wiedzy (knowledge base) - Binarny zrzut ruchu sieciowego zapisywany w formacie TCP dump, Pattern and content analysis - Wizualizacja nieprawidłowości (anomalii), z możliwością podglądania stanu sieci przed, w trakcie i po podejrzanym zdarzeniu. - Analiza n-gram niezależna od języka i formatu danych Forensic analysis and investigation - Graficzna reprezentacja danych zawierająca źródło, miejsce przeznaczenia, czas, typ, czas i zawartość (treść połączenia) 5 Główne moduły Analiza i wizualizacja ruchu sieciowego z wewnętrznych i zewnętrznych sieci. COLLECTOR ANALYZER Real-Time Traffic Analysis 6 Knowledge Knowledge Base Base 3D VISUALIZER Post Event Database Meta Data and Content Analysis Context Context Analyzer Analyzer Data Visualization Architektura Collector/Forwarder Loader Central Repository Analysis Station 7 Other Security Data (eTrust™ Audit) Wdrożenie Enterprise WAN/LANs Collector Collector Collector Collector Collector Loader Collector Collector Loader DB SQL Analyzer, Context and Visualizer 8 eTrust Network Forensics Analiza wszystkich elementów sieci pozwala na utrzymanie odpowiedniej dostępności, wydajności i poziomu bezpieczeństwa Systemu Informatycznego. Firewall Firewall Knowledge Knowledge Base Base 9 Internet Internet Network Forensics Collector Przykład: Baza wiedzy Szybkie kojarzenie danych o użytkownikach, protokołów, serwisów, serwerów, itp. Pozwala na identyfikacje 1550 protokołów i serwisów sieciowych. Baza protokołów może być modyfikowana i rozszerzana o nowe wpisy. 10 Data Collection and Visualization Monitorowanie ruchu sieciowego w czasie rzeczywistym Zbieranie i zapamiętywanie danych oraz charakterystycznych cech połączeń w bazie wiedzy z przeznaczeniem do dalszej analizy Import danych z innych systemów bezpieczeństwa (Internet Security Systems RealSecure, Firewall, NetScreen VPN) Budowanie i wizualizacja połączeń sieciowych w postaci mapy Przykład: Wykrywanie nadużyć w sieci. - Zbieranie danych „po godzinach” o aktywności sieci, w strategicznych miejscach - Wizualizacja pokazuje bardzo duże natężenie ruchu w ramach badanego segmentu - Bliższe przyjrzenie się podejrzanej aktywności, wraz z analizą ruchu sieciowego. 11 Forensic Analysis and Investigation Odtworzenie momentu wystąpienia nadużycia Odtworzenie zdarzeń Stworzenie raportu i wizualizacji momentów w których nastąpiło nadużycie Raport z bezpieczeństwa systemu. Przykład: Wykrywanie włamań. - Podejrzane zdarzenie – korelacja danych z różnych źródeł - Odtworzenie (odegranie) przebiegu wydarzeń i podjęcie kroków w celu wyeliminowania zagrożeń 12 eTrust™ Network Forensics Analyzer Applications eTrust Network Forensics Analyzer zawiera wizualizację 2D komunikacji sieciowej pomiędzy węzłami Wizualizacja pozwala na analizę ruchu sieciowego, wykrycie nieprawidłowości oraz niewspółmierne ilości nawiązywanych połączeń do oczekiwanych Węzeł i połączenie są interaktywne i mogą zostać wywołane aby obejrzeć szczegółowe informacje 13 eTrust Network Forensics Analyzer: Data Propagation eTrust Network Forensics Analyzer posiada algorytmy, które umożliwiają wizualizacje danych na różne sposoby Poniższa wizualizacja to – hierarchiczne drzewo (relacje rodzic/dziecko) Węzły posiadają połączenia wychodzące (wskazania strzałek) – wskazuje to na inicjowanie połączeń z węzłów 14 Firewall Data 15 Visualization of Firewall Data • Quickly visualize and understand relationships in firewall data across time • Source_IP ——— # of occurrences ——— Dest_IP 16 Source_IP versus Firewall Action • Source_IP ——— # of occurrences ——— Firewall Action • Green = Accept 17 Red = Reject Blue = Drop Checkpoint Firewall Log 18 eTrust Network Forensics Analyzer Example: Event Correlation Blocked Firewall Traffic VPN Traffic Events Overlay Intrusion Detection System Alerts 19 Picture and Video Analysis 20 GSM - Basicdata Analysis (Non IT) 21 Pattern and Content Analysis Analiza danych na podstawie liczby wystąpień, źródła/adresu docelowego, ID użytkownika, zawartości i czasu Kojarzenie podobnych informacji, budowanie i wizualizacja grafów podobieństw Budowanie interaktywnych grafów Chronologiczne układanie ciągu zdarzeń Przykład: - Analiza wykazała ruch poczty, który nie powinien mieć miejsca - Analiza zawartości wykazała przesyłanie poufnych danych na prywatny adres email 22 eTrust Network Forensics Analyzer: Context Analysis Budowanie grafów z użyciem statystycznego procesu zwanego – analizą n-Gram Zapewnia „blind clustering and topic clustering” niezależnie od formatu lub języka 23 Email traffic & information leackage 24 Podsumowanie Minimalizacja ryzyka - Kto, gdzie, co, kiedy i jak? - Znaleźć igłę w stogu siana: Nie wiedząc gdzie jest stóg Jakiego koloru jest igła Zgodność z Polityką Bezpieczeństwa Zbieranie danych i wizualizacja Analiza na podstawie wzorców i treści Analiza dochodzeniowo śledcza 25 Dziękuję za uwagę Paweł Nogowicz