RSA Netwitness Total Network Knowledge Przemysław Krejza, EnCE, ACE
KIM JESTEŚMY? Jesteśmy liderem informatyki śledczej w Polsce: Dysponujemy największym w tej części Europy specjalistycznym laboratorium informatyki śledczej. Naszymi Klientami są największe w Polsce firmy komercyjne oraz instytucje publiczne. Jesteśmy autoryzowanym partnerem wiodących na świecie korporacji dostarczających rozwiązania IT. Specjalizujemy się w budowie systemów i platform reakcji na incydenty oraz bezpieczeństwa informacji. Posiadamy Świadectwo Bezpieczeństwa Przemysłowego Drugiego Stopnia.
Ewolucja zagrożeń 1967 Access control Network IDS 1983 Forensics Antywirus Massive 1991 IPS HIPS IR & Forensic Spam 1994 1969 ARPANET Sniffer CERT Virus Firewall 1985 1986 1987 Host IDS/IPS SIM 1998 Content control ZeuS 2010 DZIŚ??? Współczesne zagrożenia: Trojan a można zamówić od 980 5000 USD, 0-day exploit kosztuje od 50 tyś do 500 tyś. za jeden, Informacja porusza się w sposób niekontrolowany, Skala i częstotliwość incydentów rośnie wykładniczo.
oraz czynnik ludzki Źródło: Mediarecovery
Odpowiedź: systemy Firewall, Antywirus, IDS/IPS,
Normalny dzień milion ataków dziennie spotyka firmy z listy top 1000 Nasz poziom bezpieczeństwa? 99% 5,000-10,000 ataków 99.9% 500-1000 ataków 99.99% 50-100 ataków
Next generation IR&Forensic Total Network Knowledge Content control/filtering Restrykcje IDS/IPS Rules based Antywirus/Antyspyware Signature based Kontrola dostępu, firewall Bezpieczeństwo podstawowe
NextGen- założenia Aktywny monitoring 24 X 7, Przejrzysta prezentacja, Integracja ze źródłami alertów, Odpowiedź na każde pytanie związane z bezpieczeństwem, Gotowość na nieznane, Dostęp do ruchu sieciowego od 2 do 7 warstwy w dowolnym okresie teraz i w przeszłosci,
NetWitness wybrana przez RSA U.S. FEDERAL GOVERNMENT GOVERNMENTS HIGH TECH, HEALTHCARE, AND OTHER LARGE ENTERPRISE FINANCIAL SERVICES NetWitness :» Założona w 1998 roku» HQ w Herndon, VA, USA» Dwa amerykańskie patenty technologiczne» Zbudowana na doświadczeniu specjalistów» Przyłaczona do RSA w 2011 roku Ponad 45,000 ekspertów security w 5000 organizacji w 179 krajach
RSA NetWitness Rewolucyjne spojrzenie na monitoring sieci Pełne zrozumienie kontentu i zachowania Precyzyjne dochodzenia Wiem wszystko. Nie zmieniam nic.
RSA NetWitness składniki systemu Pełna skalowalność» Decoder (SENSOR): Gromadzenie pakietów, przetwarzanie sesji, storage, w/10g/any-g» Concentrator (DATABASE): Agregacja i indeksacja metadanych» Broker (QUERY BROKER): Pełny pogląd na ruch sieciowy w skali enterprise Modularność zapewniająca możliwość 100% wglądu w ruch sieciowy, Optymalna wydajność w czasie rzeczywistym Dynamiczność w każdej infrastrukturze
Architektura systemu RSA Netwitness
RSA NetWitness składniki systemu APLIKACJE Informer Wizualizacja, raportowanie, alerty, wykresy Investigator Enterprise - ineraktywne dochodzenia Live Integracja ze źródłami definicji zagrożeń Spectrum automatyczna analiza malware Panorama więcej niż SIEM SIEMLink współpraca z innymi aplikacjami SDK/API otwarta komunikacja
Infrastruktura RSA NetWitness Automatyczna analiza Malware Automatyczne raportowanie zagrożeń Wszechstronna analiza Pełna wizualizacja 14
Platforma monitorująca EMC Confidential 7
Investigator - dochodzenie w sieci Ruch przetworzony przez parsery do postaci umożliwiającej pełne odtworzenie sesji
Informer widzę wszystko
Visualise co tam Panie w sieci?
RSA Netwitness Visualise
Panorama więcej niż SIEM Dochodzenia w logach systemów Ta sama idea nowe spojrzenie, Skalowalność, jak dla sieci, SYLOGS DECODER SYSLOGS CONCENTRATOR APLIKACJE Zbieranie logów D C Zarządzane dane BROKER NETWORK DECODER NETWORK CONCENTRATOR Gromadzenie ruchu D C Wiele lokalizacji D D D C Dowolna skalowalnosć
Pakiety sieciowe Logs Ewolucja DLA KLIENTÓW EnVision envision LC envision LC LC envision D-SRV A-SRV Panorama NetWitness Infrastructure NetWitness Analytics
Dochodzenie w logach W czasie rzeczywistym Szczegóły logu
Wykresy i alerty SIEM
Urządzenia Portable Tactical Branch Fixed Capacity Data Center High Performance Service Provider Unlimited Scalability Incident Response Usługi Zdalne biura, mniejsze firmy Enterprise Wielcy operatorzy NWA1200/2400 Decoder NWA50 Eagle NWA200 Hybrid NWA1200/2400 Concentrator NWA100 Broker NWA100 Broker Features: Briefcase form-factor Encrypted/Removable Drives 2TB Retention Features: 1U form-factor Fixed capacity Distributed visibility 8TB Retention Features: 1U & 2U form-factors Bandwidth Scalable Distributed visibility 12 or 24TB Retention DAS & SAN Storage Available Features: 1U & 2U form-factors Bandwidth Scalable Distributed visibility 12 or 24TB Retention DAS & SAN Storage Available Throughput 100Mbps 250Mbps 1Gbps 10Gbps 40Gbps Saturated Storage 1TB/day 2.5TB/day 10TB/day 100TB/day 400TB/day
RSA NetWitness RSA NetWitness Wykrywanie zdarzeń wewnętrznych Reakcja na zagrożenia z zewnątrz Monitoring całej sieci Analiza działań personelu Ochrona przed wyciekiem informacji Oszacowani e skali zagrożenia Reakcja automatyczna Automatyczna ochrona sieci Wykrywani e aktywności programó w typu malware Analiza zapewnieni a procedur i regulacji
NetWitness SIEMLink System zarządzania informacją i zdarzeniami bezpieczeństwa kompatybilny z większością systemów wykrywania i zapobiegania włamań (IDS i IPS), systemami zarządzania bezpieczeństwem SIM, zaporami sieciowymi (Firewall), Snifferami, oraz wieloma innymi, gwarantuje natychmiastową reakcję na potencjalne zagrożenia, badanie zdarzeń w całej sieci oraz analizę kompletnej sesji. Konsola zdarzeń Zdarzenie: Przepełnienie Buforu IP: 212.2.3.2 @ 11:32PM Używając NetWitness Investigator a w połączeniu z Infrastrukturą NextGen natychmiast zobaczysz Kontekst zdarzenia Ikona na pasku zadań
Przykładowa integracja RSA Netwitness+ EnCase Enterprise = Total Security wykrywanie i unicestwianie prób szpiegostwa na poziomie sieci i stacji roboczych, przeszukiwanie i zbieranie informacji z zasobów sieciowych z możliwością ich zdalnego usunięcia i likwidowania niepożądanych procesów i danych, analizowanie incydentów mających swoje źródło zarówno wewnątrz jak i na zewnątrz organizacji, natychmiastowa reakcja na zagrożenia systemu IT bez przestojów sieci, zebranie dowodów zgodnie z zasadami prawa, Zgodność ze standardami Incident Response ISO 27001 i innymi,
Dziękuję za uwagę Przemysław Krejza Dyrektor ds. Badań i Rozwoju Mediarecovery www.mediarecovery.pl