Angriffe erkennen und abwehren - Intrusion Protection im Einsatz

Florian TinnusKey Account Manager ftinnus@iss.net

Angriffe - extern

Angriffe - intern

Angriffe – neue Formen “Hybrid Threats”

• Scanning• email• Browsing• Network Shares

Reaktion “Security Inseln”

Risk Spectrum

Vir

uses

Worm

s

Back D

oors

Mali

cio

us

Cod

e

Un

au

thori

zed

Access

Mis

use

DD

oS

Web

Defa

cem

en

t

Exp

loit

s

Eine Lösung – Ein Protection System

RealSecure Protection System

Network, Server & Desktop Protection

• Brandschutzmauer nach außen – kein Schutz vor internen Angreifern

• Multiple Zugänge zum Internet (Modems, ISDN, Mobiles)

• Konfigurationsfehler in komplexen Netzwerkarchitekturen

• Remote Administration – Nutzeraccount auf der Firewall als Angriffspunkt

• Heute: Meistens statische Schutzmaßnahmen mit festem Regelwerk

• Überprüfung Datenstrom – nicht Inhalt

Herausforderung – Netzwerk Security

• Mehr als 70% der Attacken via Port 80 (http)

Netzwerk – „Angriffe“ erkennen und abwehren

ManagementNetwork SensorServer SensorDesktop Sensor

EMAILALERT/

LOG

ATTACKDETECTED

RECORDSESSION

SESSIONTERMINATED

RECONFIGUREFIREWALL/

ROUTER

ATTACKDETECTED

SESSIONLOGGED

EMAILALERT/

LOG

SESSIONTERMINATE

D

INTERNAL

3. Alerting und (aktive) Gegenmaßnahmen bei Angriffen und Policy Verstoß

(Firewall Re-Konfiguration, Identifikation IP Adresse, RS Kill, Pager Alarm, ...)

Lösung – Real Secure Network Protector

2. Regelmäßige Überprüfung von Konfiguration und Komponenten der Netzwerk Infrastruktur

1. Analyse der (kritischen) Netzaktivitäten in Echtzeit, Protokollierung wichtiger Informationen, Auswertung von Log-Dateien

Real Secure Network Protection - Testsieger

Resistance to evasion techniques 100% of attacks recognized (Fragroute, Whiskers, etc.)

Attack recognition ‚... excellent with default signature-test ...‘ TRONS-modul including SNORT-Signatures

Hybrid intrusion detection Protocol analysis & pattern matching for identify malicious code and full IP-packet de-fragment

Stateful Operation Tracking up to 1 Mio. parallel connections

Performance– Gigabit Network Support– Full Duplex 100BaseT (@200Mbps) supportVLAN (802.1q) Support, Full remote upgrades, Evidence Logging, FullPacket Logging, Strong RSA Crypto support, Per IP Event Filtering,Dropped Packet Notification

Herausforderung - Desktop Security

• Angestellte(r): „Ich habe nichts gemacht und nun geht der Rechner nicht mehr!?“

• Trojaner• Angestellte(r): „Hast du diese tolle Software /

Hardware schon gesehen? Soll ich Sie dir geben?“

• Security Policy auf dem Desktop ist nicht durchführbar

Desktop -„Gefahren“ erkennen und abwehren

• Angestellter darf nur Programme nutzen, die er zur Ausübung seiner Aufgaben braucht.

• Angestellter darf keine Software ohne Erlaubnis installieren oder verändern.

• Nur autorisierte Applikation darf kommunizieren• Desktop kann ohne Erlaubnis nicht umkonfiguriert

werden.• Desktop sollte nicht ausfallen.• Fremdhardware darf nicht installiert werden können.• Rechner darf nicht ausspioniert werden.• Desktop darf nicht zu Crackeraktivitäten fähig sein.

Lösung – Real Secure Desktop Protector

• Firewall und Intrusion Protection• Applikations- und Kommunikations-

überwachung• Dateiüberwachung• Anti-Virus• Zentral administrierbar• Zentrale automatisierte

Auswertung • Integration in unternehmensweites Security

Management• keine extra Hardware

Real Secure Desktop Protection –Marktführer

ISS leads the REPS market with a 37% market share

Cooperation with NAI gives space for further functionalities

REPS = Remote End-Point Security

Enterprise Security Management

Herausforderung –Enterprise Security Management

• Einheitliche Analyse und Management von Netzwerk, Server und Desktop Protection System

• Monitoring, Kontrolle und Analyse der Protection Systeme in einer Oberfläche mit reduzierten operativen Kosten

Lösung - Real Secure Site Protector

Real Secure Site Protector - Highlights

Skalierbarkeit - Architektur• Erweiterung der RealSecure 6.5 “Three tier

architecture”• Alle Sensoren unterstützt durch eine Plattform• Deployment Manager für SiteProtector und Sensoren• Flexibles Multi-user Environment • Remote, Secure, Roles-based User Interface• Zentrales “Command und Control” aller Sensoren

Real Secure Site Protector - Highlights

Skalierbarkeit - Betrieb• Asset orientation – fokussiert Security Resourcen

effizient – auf das wichtigste System • User-definierte hierarchische Gruppenstruktur• Event Aggregation und Korrelation• Customized Event filtering• Site Rules – automated incident and exception

handling• Security Fusion Modul – Automatische Event

Correlation

Beispiel: Site Protector Fusion ModulDas IDS meldet typische Angriffe ...

... aber das “Target” hat gar keine Schwachstellen !

Priorisierung durch Korrelation von Angriff & Schwachstellen auf dem Target

Ganzheitliche & dynamische Lösung - RealSecure Protection System

Marktführer - IDC’s IDnA Market Share

GTOC.iss.net – das “Internet Wetter”

Angriffe erkennen und abwehren - Intrusion Protection im Einsatz

Florian TinnusKey Account Manager ftinnus@iss.net