Nowoczesne narzędzia do ochrony informacji Paweł Nogowicz
Agenda Charakterystyka Budowa Funkcjonalność Demo 2
Produkt etrust Network Forensics Kontrola dostępu do zasobów etrust Network Forensics Zarządzanie użytkownikami Manage Vulnerabilities and Content 3
etrust Network Forensics etrust Network Forensics, używane jest jako uzupełnienie do już posiadanych systemów bezpieczeństwa, Moduły Wykrywania (Discovery), Wizualizacji (Visualization) i Analizy (Analysis) służą jako rozszerzenie modułów bezpieczeństwa sieci i narzędzi do analizy dochodzeniowo śledczej. External Firewalls Intrusion Detection Internal Your Corporate Network Internet E-Commerce Finance Human Resources Intellectual Property TM 4
Główne moduły Data collection and visualization - Monitorowanie i analiza danych ze wszystkich siedmiu warstw modelu Open Systems Interconnection (OSI). - Relacyjne drzewo dla bazy wiedzy (knowledge base) - Binarny zrzut ruchu sieciowego zapisywany w formacie TCP dump, Pattern and content analysis - Wizualizacja nieprawidłowości (anomalii), z możliwością podglądania stanu sieci przed, w trakcie i po podejrzanym zdarzeniu. - Analiza n-gram niezależna od języka i formatu danych Forensic analysis and investigation - Graficzna reprezentacja danych zawierająca źródło, miejsce przeznaczenia, czas, typ, czas i zawartość (treść połączenia) 5
Główne moduły Analiza i wizualizacja ruchu sieciowego z wewnętrznych i zewnętrznych sieci. COLLECTOR ANALYZER 3D VISUALIZER Real-Time Post Event Traffic Analysis Knowledge Base Database Meta Data and Content Analysis Context Analyzer Data Visualization 6
Architektura Collector/Forwarder Loader Central Repository Analysis Station Other Security Data (etrust Audit) 7
Wdrożenie Enterprise WAN/LANs Collector Collector Collector Collector Collector Collector Collector Loader Loader DB SQL Analyzer, Context and Visualizer 8
etrust Network Forensics Analiza wszystkich elementów sieci pozwala na utrzymanie odpowiedniej dostępności, wydajności i poziomu bezpieczeństwa Systemu Informatycznego. Knowledge Base Firewall Internet 9
Network Forensics Collector Przykład: Baza wiedzy Szybkie kojarzenie danych o użytkownikach, protokołów, serwisów, serwerów, itp. Pozwala na identyfikacje 1550 protokołów i serwisów sieciowych. Baza protokołów może być modyfikowana i rozszerzana o nowe wpisy. 10
Data Collection and Visualization Monitorowanie ruchu sieciowego w czasie rzeczywistym Zbieranie i zapamiętywanie danych oraz charakterystycznych cech połączeń w bazie wiedzy z przeznaczeniem do dalszej analizy Import danych z innych systemów bezpieczeństwa (Internet Security Systems RealSecure, Firewall, NetScreen VPN) Budowanie i wizualizacja połączeń sieciowych w postaci mapy 11 Przykład: Wykrywanie nadużyć w sieci. - Zbieranie danych po godzinach o aktywności sieci, w strategicznych miejscach - Wizualizacja pokazuje bardzo duże natężenie ruchu w ramach badanego segmentu -Bliższe przyjrzenie się podejrzanej aktywności, wraz z analizą ruchu sieciowego.
Forensic Analysis and Investigation Odtworzenie momentu wystąpienia nadużycia Odtworzenie zdarzeń Stworzenie raportu i wizualizacji momentów w których nastąpiło nadużycie Raport z bezpieczeństwa systemu. Przykład: Wykrywanie włamań. - Podejrzane zdarzenie korelacja danych z różnych źródeł - Odtworzenie (odegranie) przebiegu wydarzeń i podjęcie kroków w celu wyeliminowania zagrożeń 12
etrust Network Forensics Analyzer Applications etrust Network Forensics Analyzer zawiera wizualizację 2D komunikacji sieciowej pomiędzy węzłami Wizualizacja pozwala na analizę ruchu sieciowego, wykrycie nieprawidłowości oraz niewspółmierne ilości nawiązywanych połączeń do oczekiwanych Węzeł i połączenie są interaktywne i mogą zostać wywołane aby obejrzeć szczegółowe informacje 13
etrust Network Forensics Analyzer: Data Propagation etrust Network Forensics Analyzer posiada algorytmy, które umożliwiają wizualizacje danych na różne sposoby Poniższa wizualizacja to hierarchiczne drzewo (relacje rodzic/dziecko) Węzły posiadają połączenia wychodzące (wskazania strzałek) wskazuje to na inicjowanie połączeń z węzłów 14
Firewall Data 15
Visualization of Firewall Data Quickly visualize and understand relationships in firewall data across time Source_IP # of occurrences Dest_IP 16
Source_IP versus Firewall Action Source_IP # of occurrences Firewall Action Green = Accept Red = Reject Blue = Drop 17
Checkpoint Firewall Log 18
etrust Network Forensics Analyzer Example: Event Correlation Blocked Firewall Traffic VPN Traffic Events Overlay Intrusion Detection System Alerts 19
20 Picture and Video Analysis
GSM - Basicdata Analysis (Non IT) 21
Pattern and Content Analysis Analiza danych na podstawie liczby wystąpień, źródła/adresu docelowego, ID użytkownika, zawartości i czasu Kojarzenie podobnych informacji, budowanie i wizualizacja grafów podobieństw Budowanie interaktywnych grafów Chronologiczne układanie ciągu zdarzeń Przykład: - Analiza wykazała ruch poczty, który nie powinien mieć miejsca - Analiza zawartości wykazała przesyłanie poufnych danych na prywatny adres email 22
etrust Network Forensics Analyzer: Context Analysis Budowanie grafów z użyciem statystycznego procesu zwanego analizą n-gram Zapewnia blind clustering and topic clustering niezależnie od formatu lub języka 23
Email traffic & information leackage 24
Podsumowanie Minimalizacja ryzyka - Kto, gdzie, co, kiedy i jak? -Znaleźć igłę w stogu siana: Nie wiedząc gdzie jest stóg Jakiego koloru jest igła Zgodność z Polityką Bezpieczeństwa Zbieranie danych i wizualizacja Analiza na podstawie wzorców i treści Analiza dochodzeniowo śledcza 25
Dziękuję za uwagę Paweł Nogowicz