NETWORK AS A SENSOR AND ENFORCER. Christian Besselmann, Brühl,

Größe: px

Ab Seite anzeigen:

Download "NETWORK AS A SENSOR AND ENFORCER. Christian Besselmann, Brühl,"

Benjamin Günther
vor 7 Jahren
Abrufe

1 NETWORK AS A SENSOR AND ENFORCER Christian Besselmann, Brühl,

2 AXIANS EINE MARKE VON VINCI ENERGIES 1,7 Mrd. Umsatz (2015) 200 Business Units Mitarbeiter Vertreten in 15 Ländern Deutschland Österreich Belgien Dänemark Spanien Frankreich (mit Übersee) Marokko Norwegen Polen Portugal Niederlande Rumänien Vereinigtes Königreich Schweden Schweiz 2

3 UNSER UMFASSENDES KNOW-HOW MIT DEM KUNDEN IM FOKUS UNTERNEHMEN MOBILNETZBETREIBER UND SERVICE PROVIDER ÖFFENTLICHER SEKTOR 3

4 Das Netzwerk als Sensor Der logische nächste Schritt in der Cyber Security Dennis Wilsmann Global Security Account Manager

5 Herausforderungen denen sich Unternehmen stellen müssen IPS Auswirkungen FW IDS James Comey, FBI Director: Es gibt zwei Arten von Großunternehmen in den USA. Die, die gehackt wurden und die, die noch nicht wissen, dass sie gehackt wurden. 209 Tage bevor Angriffe entdeckt werden $3.5M sind die durchschnittlichen Kosten eines Einbruchs Extern Intern

6 Sie können nur schützen, was Sie auch sehen Das Netzwerk liefert tiefe und breite Sichtbarkeit Video

7 StealthWatch für Sichtbarkeit, Kontext und Kontrolle Ihr Netzwerk ist der Sensor WER WAS WO WANN WIE Endgeräte Internes Netzwerk Kontext Identity Proxy Server Firewall Netzwerkdaten zur Erweiterung der Sichtbarkeit bis ins Accesslayer. Anreichern der Netflowdaten mit Identitäts-, Event-, Proxy- und Anwendungsdaten, für Kontextinformationen Router und Switches Schnellere Erkennung, Inspektion und Response.

8 StealthWatch für Transparenz, Kontext und Kontrolle Ihr Netzwerk ist Ihr Sensor. WER WAS WO WANN WIE Geräte Internes Netzwerk Kontext Identität Proxyserver Firewall Nutzen Sie die Netzwerkdaten, um die Sichtbarkeit auf den Access-Layer zu erweitern. Erzeugen Sie mit Identitäten, Ereignissen, Proxys und Anwendungen Kontext für den Datenfluss. Router und Switches Schnellere Erkennung, Untersuchung und Reaktion

9 Angreifer nutzen Point Solutions mit steigender Geschwindigkeit aus VPN Antivirus NGFW IAM IDS Firewall Malware Sandbox NGIPS Data 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

Ransomware Now targeting data NGFW Domain

mutations identified first half 2015 IAM Email

Firewall Malware Sandbox NGIPS Malvertising

Constantly upgrading and innovating Time to

10 Angreifer nutzen Point Solutions mit steigender Geschwindigkeit aus SPAM VPN Antivirus Ransomware Now targeting data NGFW Domain Shadowing On the rise Dridex 850 unique mutations identified first half 2015 IAM Rombertik Evolves to evade and destroy IDS Firewall Malware Sandbox NGIPS Malvertising Mutating to avoid detection Data Angler Constantly upgrading and innovating Time to detection: 200 Tage 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

11 Nur eine integrierte Threat Defense kann mithalten tex t 46 Stunden ence Con Systemic Response Time to detection: In nur e l l ig t ro Con Int l V is ty ib i l i Data 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

Ausspähaktivitäten 10 001 01 101 1 110 Entdecken von Dataloss &

12 Eine Schlüsselkomponente der Cisco s Cyber Threat Defense Lösung Entdecken von intern ausbreitender Malware Aufdecken von Ausspähaktivitäten Entdecken von Dataloss & Exfiltration Identifizieren von Botnetzen Command & Control Aktivitäten

13 USE CASES 13

14 WIE FUNKTIONIERT NETFLOW? eth0/1 eth0/ port port 80 Start Time Interface Src IP Src Port Dst IP Dst Port Proto Pkts Sent Bytes Sent SGT DGT TCP Flags 10:23: eth0/ TCP SYN,ACK,PSH 10:23:10:763 eth0/ TCP SYN,ACK,FIN Network as a Sensor and Enforcer 22/09/

15 DATA CENTER Network as a Sensor and Enforcer 22/09/

16 VERBINDUNGEN ZU COMMAND-AND-CONTROL SERVERN ERKENNEN Infektion ( , USB-Stick...) C&C Kanal (http, https, ftp, ssh ) Schadcode wird nachgeladen Network as a Sensor and Enforcer 22/09/2016 Quelle: Cisco Systems Inc. 16

INTERNER SCHUTZ Infektion (E-Mail, USB-Stick.

Anzahl an Flows Hohe Client-Byte-Ratio One-way oder unbeantwortete Flows

17 INTERNER SCHUTZ Infektion ( , USB-Stick...) Patient null sucht infizierbare Hosts Malware breitet sich aus Hohe Anzahl an Flows Hohe Client-Byte-Ratio One-way oder unbeantwortete Flows Einweg- oder Unbeantwortete Flows Network as a Sensor and Enforcer 22/09/2016 Quelle: Cisco Systems Inc. 17

DATA LEAKAGE Kosten eines Datenlecks ~ 3,5 Mio. USD fc1028116e5a3e7b9ced67206f79d5.thief.com 3193c58c893cf4047bcb523934c901.thief.com abecaa8dc122f70cfb5e5410dd95c5.thief.com 9cc445248f677062d904b590a97943.

18 DATA LEAKAGE Kosten eines Datenlecks ~ 3,5 Mio. USD fc e5a3e7b9ced67206f79d5.thief.com 3193c58c893cf4047bcb523934c901.thief.com abecaa8dc122f70cfb5e5410dd95c5.thief.com 9cc445248f677062d904b590a97943.thief.com DNS Data Exfiltration Unternehmens DNS-Server fc e5a3e7b9ced67206f79d5.thief.com 3193c58c893cf4047bcb523934c901.thief.com abecaa8dc122f70cfb5e5410dd95c5.thief.com 9cc445248f677062d904b590a97943.thief.com Server kontrolliert durch Hacker Kosten eines Datellecks ~ 3,5 Mio. USD DNS Data Exfiltration Network as a Sensor and Enforcer 22/09/

19 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! 19

Ähnliche Dokumente

Moderne APT-Erkennung: Die Tricks der Angreifer

Moderne APT-Erkennung: Die Tricks der Angreifer CeBIT 2016, 16.03.2016 Ihr Referent: Dominique Petersen petersen [at] finally-safe.com Halle 6, Stand G30 Agenda Wer ist finally safe? Advanced Persistent