Angriffe erkennen und abwehren - Intrusion Protection im Einsatz
Florian TinnusKey Account Manager [email protected]
Angriffe - extern
Angriffe - intern
Angriffe – neue Formen “Hybrid Threats”
• Scanning• email• Browsing• Network Shares
Reaktion “Security Inseln”
Risk Spectrum
Vir
uses
Worm
s
Back D
oors
Mali
cio
us
Cod
e
Un
au
thori
zed
Access
Mis
use
DD
oS
Web
Defa
cem
en
t
Exp
loit
s
Eine Lösung – Ein Protection System
RealSecure Protection System
Network, Server & Desktop Protection
• Brandschutzmauer nach außen – kein Schutz vor internen Angreifern
• Multiple Zugänge zum Internet (Modems, ISDN, Mobiles)
• Konfigurationsfehler in komplexen Netzwerkarchitekturen
• Remote Administration – Nutzeraccount auf der Firewall als Angriffspunkt
• Heute: Meistens statische Schutzmaßnahmen mit festem Regelwerk
• Überprüfung Datenstrom – nicht Inhalt
Herausforderung – Netzwerk Security
• Mehr als 70% der Attacken via Port 80 (http)
Netzwerk – „Angriffe“ erkennen und abwehren
ManagementNetwork SensorServer SensorDesktop Sensor
EMAILALERT/
LOG
ATTACKDETECTED
RECORDSESSION
SESSIONTERMINATED
RECONFIGUREFIREWALL/
ROUTER
ATTACKDETECTED
SESSIONLOGGED
EMAILALERT/
LOG
SESSIONTERMINATE
D
INTERNAL
3. Alerting und (aktive) Gegenmaßnahmen bei Angriffen und Policy Verstoß
(Firewall Re-Konfiguration, Identifikation IP Adresse, RS Kill, Pager Alarm, ...)
Lösung – Real Secure Network Protector
2. Regelmäßige Überprüfung von Konfiguration und Komponenten der Netzwerk Infrastruktur
1. Analyse der (kritischen) Netzaktivitäten in Echtzeit, Protokollierung wichtiger Informationen, Auswertung von Log-Dateien
Real Secure Network Protection - Testsieger
Resistance to evasion techniques 100% of attacks recognized (Fragroute, Whiskers, etc.)
Attack recognition ‚... excellent with default signature-test ...‘ TRONS-modul including SNORT-Signatures
Hybrid intrusion detection Protocol analysis & pattern matching for identify malicious code and full IP-packet de-fragment
Stateful Operation Tracking up to 1 Mio. parallel connections
Performance– Gigabit Network Support– Full Duplex 100BaseT (@200Mbps) supportVLAN (802.1q) Support, Full remote upgrades, Evidence Logging, FullPacket Logging, Strong RSA Crypto support, Per IP Event Filtering,Dropped Packet Notification
Herausforderung - Desktop Security
• Angestellte(r): „Ich habe nichts gemacht und nun geht der Rechner nicht mehr!?“
• Trojaner• Angestellte(r): „Hast du diese tolle Software /
Hardware schon gesehen? Soll ich Sie dir geben?“
• Security Policy auf dem Desktop ist nicht durchführbar
Desktop -„Gefahren“ erkennen und abwehren
• Angestellter darf nur Programme nutzen, die er zur Ausübung seiner Aufgaben braucht.
• Angestellter darf keine Software ohne Erlaubnis installieren oder verändern.
• Nur autorisierte Applikation darf kommunizieren• Desktop kann ohne Erlaubnis nicht umkonfiguriert
werden.• Desktop sollte nicht ausfallen.• Fremdhardware darf nicht installiert werden können.• Rechner darf nicht ausspioniert werden.• Desktop darf nicht zu Crackeraktivitäten fähig sein.
Lösung – Real Secure Desktop Protector
• Firewall und Intrusion Protection• Applikations- und Kommunikations-
überwachung• Dateiüberwachung• Anti-Virus• Zentral administrierbar• Zentrale automatisierte
Auswertung • Integration in unternehmensweites Security
Management• keine extra Hardware
Real Secure Desktop Protection –Marktführer
ISS leads the REPS market with a 37% market share
Cooperation with NAI gives space for further functionalities
REPS = Remote End-Point Security
Enterprise Security Management
Herausforderung –Enterprise Security Management
• Einheitliche Analyse und Management von Netzwerk, Server und Desktop Protection System
• Monitoring, Kontrolle und Analyse der Protection Systeme in einer Oberfläche mit reduzierten operativen Kosten
Lösung - Real Secure Site Protector
Real Secure Site Protector - Highlights
Skalierbarkeit - Architektur• Erweiterung der RealSecure 6.5 “Three tier
architecture”• Alle Sensoren unterstützt durch eine Plattform• Deployment Manager für SiteProtector und Sensoren• Flexibles Multi-user Environment • Remote, Secure, Roles-based User Interface• Zentrales “Command und Control” aller Sensoren
Real Secure Site Protector - Highlights
Skalierbarkeit - Betrieb• Asset orientation – fokussiert Security Resourcen
effizient – auf das wichtigste System • User-definierte hierarchische Gruppenstruktur• Event Aggregation und Korrelation• Customized Event filtering• Site Rules – automated incident and exception
handling• Security Fusion Modul – Automatische Event
Correlation
Beispiel: Site Protector Fusion ModulDas IDS meldet typische Angriffe ...
... aber das “Target” hat gar keine Schwachstellen !
Priorisierung durch Korrelation von Angriff & Schwachstellen auf dem Target
Ganzheitliche & dynamische Lösung - RealSecure Protection System
Marktführer - IDC’s IDnA Market Share
GTOC.iss.net – das “Internet Wetter”
Angriffe erkennen und abwehren - Intrusion Protection im Einsatz
Florian TinnusKey Account Manager [email protected]