Benutzerbezogene Visualisierung zur Darstellung von Risiken und Angriffen - und nun? Achim Kraus Senior Consultant Palo Alto Networks Inc.

Größe: px

Ab Seite anzeigen:

Download "Benutzerbezogene Visualisierung zur Darstellung von Risiken und Angriffen - und nun? Achim Kraus Senior Consultant Palo Alto Networks Inc."

Eike Franke
vor 8 Jahren
Abrufe

1 Benutzerbezogene Visualisierung zur Darstellung von Risiken und Angriffen - und nun? Achim Kraus Senior Consultant Palo Alto Networks Inc.

2 Agenda Leistungsfähige und umfassende Erhebung und Visualisierung - Nutzung von Anwendungen - Transportieren von Inhalten Übergreifende Darstellung unterschiedlicher Anwendungen - Perimeter - Datacenter Konsolidierung von Informationen - Anwendungen - Benutzern - Inhalten Wie werden Stand heute die gewonnen Erkenntnisse durch eine Next Generation Firewall umgesetzt? Page Palo Alto Networks. Proprietary and Confidential.

Datacenter Konsolidierung von Informationen - Anwendungen - Benutzern - Inhalten Wie werden Stand heute die

Warum gleiche Security-Technologie @ Perimeter UND Datacenter?

Das Unternehmen Infektion "Command & Control" Eskalation

3 Warum gleiche Perimeter UND Datacenter? Moderne Malware/APT: Mehrstufige Einbrüche Organisiertes Verbrechen Das Unternehmen Infektion "Command & Control" Eskalation Ausschleusung Ausschleusung Page Palo Alto Networks. Proprietary and Confidential.

4 Visualisierung am Perimeter & im Datacenter: Leistungsfähigkeit, Inhaltsanalyse und vor allem Reporting Page Palo Alto Networks. Proprietary and Confidential.

Palo Alto Networks: Wildfire Ausweichtechniken in aktueller Malware (APT) Neu entdeckte Malware in Live Netzwerken (April 2012) - Nutzung nicht-standardisierter Ports, Dynamic DNS, Proxies und

5 Palo Alto Networks: Wildfire Ausweichtechniken in aktueller Malware (APT) Neu entdeckte Malware in Live Netzwerken (April 2012) - Nutzung nicht-standardisierter Ports, Dynamic DNS, Proxies und proprietärer Netzwerkkommunikation waren die am verbreitesten Techniken neu entdeckte Malware Samples 66% 80% 59% Unerkannt von traditionellen AV-Herstellern Samples erzeugten Internet- Kommunikationen dieser Samples erzeugten Kommunikationen mit Ausweichtechniken

6 Welche Anwendungen im Rechenzentrum? Datacenter Anwendungen - kommerziell - individuell Management Anwendungen - SSH, RDP, - Verdächtige Anwendungen - - Unknown UDP/TCP Palo Alto Networks' App-ID um herauszufinden und darzustellen welche Anwendungen stattfinden Regelkonform oder auch nicht : Phase 1 Lernen Identifiziere Anwendungen Kategorisiere unbekannten Netzwerkverkehr Schreibe individuelle App-ID TM Kategorien für interne Anwendungen Phase 2 Analysieren Analysiere Logging- Informationen und Berichte Bestimme Angriffsvektor duch unbekannte Anwendungen intern, kommerziell, Angriffe Phase 3 Kontrollieren Anwendung angepasster Kontroll- Mechanismen Page Palo Alto Networks. Proprietary and Confidential.

und darzustellen welche Anwendungen stattfinden Regelkonform oder auch nicht : Phase 1 Lernen Identifiziere Anwendungen Kategorisiere unbekannten Netzwerkverkehr Schreibe

7 Baselining Page Palo Alto Networks. Proprietary and Confidential.

8 Inhalte, Benutzer, Anwendungen Page Palo Alto Networks. Proprietary and Confidential.

9 Trojaner ( ): Visualisierung auf NGFW Wiederholte Muster von DNS, HTTP und unbekanntem Verkehr Das 'Unbekannte' ('Unknown-TCP') zeigte den interessanten Inhalt Das Unbekannte ist was wirklich interessiert

PAN-OS App-ID Visualisierung & Kontrolle App-ID Single Security Policy Re-Evaluation Payload In Hardware Flexible Anwendungsnutzung: mehr als nur ALLOW oder DENY!

10 PAN-OS App-ID Visualisierung & Kontrolle App-ID Single Security Policy Re-Evaluation Payload In Hardware Flexible Anwendungsnutzung: mehr als nur ALLOW oder DENY! Erlauben ohne Einschränkungen aber Anwendungs-funktionen kontrollieren und nach Angriffen/Inhalten scannen aber Anwendungsnutzer einschränken aber entschlüsseln Erlauben aber beschränke Zugriffszeit aber beschränke Bandbreite (QoS) aber nur für interne Anwendung Blocke alle P2P Anwendungen Page Palo Alto Networks. Proprietary and Confidential.

Erlauben ohne Einschränkungen aber Anwendungs-funktionen kontrollieren und nach Angriffen/Inhalten scannen aber Anwendungsnutzer

.. Architektur Performance Betrieb und Administration Sicherheit? Performance ODER Sicherheit?

11 Es wird zunehmend schwieriger Sicherheits- Anforderungen im Datacenter & Perimeter zu erfüllen Historischer Kompromiss: Netzwerk <> Betrieb <> Sicherheit <>... Architektur Performance Betrieb und Administration Sicherheit? Performance ODER Sicherheit? Einfachheit ODER Funktionalität? Effektivität ODER Übersichtlichkeit Datenbanken Anwendungen WWW Seite Palo Alto Networks. Proprietary and Confidential.

12 Traditionell: mehr Sicherheit = geringe Performance Maximale Performance Firewall Traditionelle Security Jede separate Sicherheitslösung oder 'Blade' reduziert die Gesamt- Performance Moderne Threat-Prevention Technologien Führt oft zu klassischen Unstimmigkeit zwischen Netzwerk und Sicherheit IPS Anti-Malware Page Palo Alto Networks. Proprietary and Confidential.

Performance Moderne Threat-Prevention Technologien Führt oft zu klassischen Unstimmigkeit

13 Flexible Implementierung: Netzwerk-Security Device PAN-OS Visualisierung (TAP) Transparent (Inline) Zentrale Firewall (L2, L3) Seite Palo Alto Networks. Proprietary and Confidential.

(Inline) Zentrale Firewall (L2, L3) Seite 13

14 NGFW Security Policy: 'Safe Enablement' Benutzer / -gruppe Durchsetzen Standard Port Auswahl Applikation, / -funktion, Liste, Filter DPI: Inhaltsprofile Page Palo Alto Networks. Proprietary and Confidential.

15 Security Policy: Host Information Profil (HIP) Page Palo Alto Networks. Proprietary and Confidential.

Ähnliche Dokumente

Visualisierung & Kontrolle aktueller Angriffe im Datacenter & am Perimeter mit einer Firewall. Achim Kraus Senior Consultant Palo Alto Networks Inc.

Visualisierung & Kontrolle aktueller Angriffe im Datacenter & am Perimeter mit einer Firewall Achim Kraus Senior Consultant Palo Alto Networks Inc. Agenda Flexible Netzwerkintegration in bestehende Netzwerk-Infrastrukturen