RSA Netwitness Total Network Knowledge. Przemysław Krejza, EnCE, ACE

Transkrypt

1 RSA Netwitness Total Network Knowledge Przemysław Krejza, EnCE, ACE

2 KIM JESTEŚMY? Jesteśmy liderem informatyki śledczej w Polsce: Dysponujemy największym w tej części Europy specjalistycznym laboratorium informatyki śledczej. Naszymi Klientami są największe w Polsce firmy komercyjne oraz instytucje publiczne. Jesteśmy autoryzowanym partnerem wiodących na świecie korporacji dostarczających rozwiązania IT. Specjalizujemy się w budowie systemów i platform reakcji na incydenty oraz bezpieczeństwa informacji. Posiadamy Świadectwo Bezpieczeństwa Przemysłowego Drugiego Stopnia.

3 Ewolucja zagrożeń 1967 Access control Network IDS 1983 Forensics Antywirus Massive 1991 IPS HIPS IR & Forensic Spam ARPANET Sniffer CERT Virus Firewall Host IDS/IPS SIM 1998 Content control ZeuS 2010 DZIŚ??? Współczesne zagrożenia: Trojan a można zamówić od USD, 0-day exploit kosztuje od 50 tyś do 500 tyś. za jeden, Informacja porusza się w sposób niekontrolowany, Skala i częstotliwość incydentów rośnie wykładniczo.

4 oraz czynnik ludzki Źródło: Mediarecovery

5 Odpowiedź: systemy Firewall, Antywirus, IDS/IPS,

6 Normalny dzień milion ataków dziennie spotyka firmy z listy top 1000 Nasz poziom bezpieczeństwa? 99% 5,000-10,000 ataków 99.9% ataków 99.99% ataków

7 Next generation IR&Forensic Total Network Knowledge Content control/filtering Restrykcje IDS/IPS Rules based Antywirus/Antyspyware Signature based Kontrola dostępu, firewall Bezpieczeństwo podstawowe

8 NextGen- założenia Aktywny monitoring 24 X 7, Przejrzysta prezentacja, Integracja ze źródłami alertów, Odpowiedź na każde pytanie związane z bezpieczeństwem, Gotowość na nieznane, Dostęp do ruchu sieciowego od 2 do 7 warstwy w dowolnym okresie teraz i w przeszłosci,

9 NetWitness wybrana przez RSA U.S. FEDERAL GOVERNMENT GOVERNMENTS HIGH TECH, HEALTHCARE, AND OTHER LARGE ENTERPRISE FINANCIAL SERVICES NetWitness :» Założona w 1998 roku» HQ w Herndon, VA, USA» Dwa amerykańskie patenty technologiczne» Zbudowana na doświadczeniu specjalistów» Przyłaczona do RSA w 2011 roku Ponad 45,000 ekspertów security w 5000 organizacji w 179 krajach

10 RSA NetWitness Rewolucyjne spojrzenie na monitoring sieci Pełne zrozumienie kontentu i zachowania Precyzyjne dochodzenia Wiem wszystko. Nie zmieniam nic.

11 RSA NetWitness składniki systemu Pełna skalowalność» Decoder (SENSOR): Gromadzenie pakietów, przetwarzanie sesji, storage, w/10g/any-g» Concentrator (DATABASE): Agregacja i indeksacja metadanych» Broker (QUERY BROKER): Pełny pogląd na ruch sieciowy w skali enterprise Modularność zapewniająca możliwość 100% wglądu w ruch sieciowy, Optymalna wydajność w czasie rzeczywistym Dynamiczność w każdej infrastrukturze

12 Architektura systemu RSA Netwitness

13 RSA NetWitness składniki systemu APLIKACJE Informer Wizualizacja, raportowanie, alerty, wykresy Investigator Enterprise - ineraktywne dochodzenia Live Integracja ze źródłami definicji zagrożeń Spectrum automatyczna analiza malware Panorama więcej niż SIEM SIEMLink współpraca z innymi aplikacjami SDK/API otwarta komunikacja

14 Infrastruktura RSA NetWitness Automatyczna analiza Malware Automatyczne raportowanie zagrożeń Wszechstronna analiza Pełna wizualizacja 14

15 Platforma monitorująca EMC Confidential 7

16 Investigator - dochodzenie w sieci Ruch przetworzony przez parsery do postaci umożliwiającej pełne odtworzenie sesji

17 Informer widzę wszystko

18 Visualise co tam Panie w sieci?

19 RSA Netwitness Visualise

20 Panorama więcej niż SIEM Dochodzenia w logach systemów Ta sama idea nowe spojrzenie, Skalowalność, jak dla sieci, SYLOGS DECODER SYSLOGS CONCENTRATOR APLIKACJE Zbieranie logów D C Zarządzane dane BROKER NETWORK DECODER NETWORK CONCENTRATOR Gromadzenie ruchu D C Wiele lokalizacji D D D C Dowolna skalowalnosć

21 Pakiety sieciowe Logs Ewolucja DLA KLIENTÓW EnVision envision LC envision LC LC envision D-SRV A-SRV Panorama NetWitness Infrastructure NetWitness Analytics

22 Dochodzenie w logach W czasie rzeczywistym Szczegóły logu

23 Wykresy i alerty SIEM

24 Urządzenia Portable Tactical Branch Fixed Capacity Data Center High Performance Service Provider Unlimited Scalability Incident Response Usługi Zdalne biura, mniejsze firmy Enterprise Wielcy operatorzy NWA1200/2400 Decoder NWA50 Eagle NWA200 Hybrid NWA1200/2400 Concentrator NWA100 Broker NWA100 Broker Features: Briefcase form-factor Encrypted/Removable Drives 2TB Retention Features: 1U form-factor Fixed capacity Distributed visibility 8TB Retention Features: 1U & 2U form-factors Bandwidth Scalable Distributed visibility 12 or 24TB Retention DAS & SAN Storage Available Features: 1U & 2U form-factors Bandwidth Scalable Distributed visibility 12 or 24TB Retention DAS & SAN Storage Available Throughput 100Mbps 250Mbps 1Gbps 10Gbps 40Gbps Saturated Storage 1TB/day 2.5TB/day 10TB/day 100TB/day 400TB/day

25 RSA NetWitness RSA NetWitness Wykrywanie zdarzeń wewnętrznych Reakcja na zagrożenia z zewnątrz Monitoring całej sieci Analiza działań personelu Ochrona przed wyciekiem informacji Oszacowani e skali zagrożenia Reakcja automatyczna Automatyczna ochrona sieci Wykrywani e aktywności programó w typu malware Analiza zapewnieni a procedur i regulacji

26 NetWitness SIEMLink System zarządzania informacją i zdarzeniami bezpieczeństwa kompatybilny z większością systemów wykrywania i zapobiegania włamań (IDS i IPS), systemami zarządzania bezpieczeństwem SIM, zaporami sieciowymi (Firewall), Snifferami, oraz wieloma innymi, gwarantuje natychmiastową reakcję na potencjalne zagrożenia, badanie zdarzeń w całej sieci oraz analizę kompletnej sesji. Konsola zdarzeń Zdarzenie: Przepełnienie Buforu IP: 11:32PM Używając NetWitness Investigator a w połączeniu z Infrastrukturą NextGen natychmiast zobaczysz Kontekst zdarzenia Ikona na pasku zadań

27 Przykładowa integracja RSA Netwitness+ EnCase Enterprise = Total Security wykrywanie i unicestwianie prób szpiegostwa na poziomie sieci i stacji roboczych, przeszukiwanie i zbieranie informacji z zasobów sieciowych z możliwością ich zdalnego usunięcia i likwidowania niepożądanych procesów i danych, analizowanie incydentów mających swoje źródło zarówno wewnątrz jak i na zewnątrz organizacji, natychmiastowa reakcja na zagrożenia systemu IT bez przestojów sieci, zebranie dowodów zgodnie z zasadami prawa, Zgodność ze standardami Incident Response ISO i innymi,

28 Dziękuję za uwagę Przemysław Krejza Dyrektor ds. Badań i Rozwoju Mediarecovery