Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
ComSource
Efektivní ochrana
kritických infrastruktur
22. 3. 2016
IT Security Workshop 2016
Jaroslav Cihelka
O čem dnes uslyšíte
• Novinky ComSource
• Kritická infrastruktura / kde a co
to hlavně je
• Řešení ComSource - Scrubbing
Center
ComSource s.r.o.
• Nové pobočky: Ostrava, Písek
• 30 zaměstnanců
• Scrubbing centrum – čištění DDoS od konce roku 2014. – Od ½ roku 2015 vývoj/výstavba Scrubbing centra II.
• vysoká kompetence u nabízených technologií / ustálený team 25 zaměstnanců a 5 externích pracovníků
• Nové dohledové centrum 24x7
• Akvizice společnosti Abratica
• Dne 11. 3. 2016 byl oficiálně zaregistrován bezpečnostní tým společnosti ComSource s.r.o. v rámci mezinárodní důvěryhodné páteře "Trusted Introducer", která zastřešuje spolupráci bezpečnostních teamů typu CERT/CSIRT - jejichž primární náplní je řešení incidentů v oblasti kybernetické bezpečnosti.
ComSource – partnerství a kompetence
• Základní partnerství
• Další partnersví
– DELL (Networking - Force10, PowerConnect, SonicWall )
– Citrix (Networking - ADC, WAF, MDM, BYOD,…)
– Infinera (DWDM)
– TrustWave (Security – web filtering, Database security, ….)
– Novicom (IPAM, DDI, NAC, aktivní bezpečnost sítě, ...)
– Aruba networks / Ruckus
• Lab / Demo – Testování, troubleshooting (externí / interní / virtuální), atd.
– Juniper Routing, Switching, Security, WiFi
– Cisco, Citrix, Radware, Aruba
– SDN Lab včetně Serverů/Storage
• 24x7: – ServisDesk – LanDesk SD
– Dohled a Monitoring (nové dohledové a monitorovací centrum)
– Měřící technika: 2x10G Spirent Avalanche C2, 1G FTB-200 Compact Platform
• Ostatní – Vlastní Security Center (DDoS, WAF, LB, …)
• RACK v CE COLO (Sitel) – Přímé spojení na optice
– Členství v CZ.NIC, NIX
– Možnost virtuálního prostředí na testy ComSource nebo Cloud TCP
– Školící místnost
ComSource Zázemí
EFEKTIVNÍ OCHRANA
KRITICKÝCH INFRASTRUKTUR
ComSource s.r.o.
Kde se nachází kritická infrastruktura
On Cloud
www servery
Eshop
DB eshop
Portálové služby
On Premise
CRM/ERP
Výrobní systémy
SCADA 7
Efektivní ochrana kritických infrastruktur
• ???
– Co to je Kritická infrastruktura ?
– Jaká je efektivní ochrana ?
• Konkrétní zákazník
– Např. společnost XYZ, s.r.o.
– Činnost: prodej spodního prádla „prsenkář“ • Průměrná objednávka 1 150,- Kč
• Průměrný počet objednávek denně 1200
• 24 h výpadek 1 380 000,- Kč (55 200 USD)
• 1h výpadek 57 500,- Kč (2 300 USD)
Top hrozby 2015
39%
41%
46%
15%
21%
31%
37%
37%
38%
% 10% 20% 30% 40% 50%
Criminal SPAM
Corp./Geo-political Sabotage
Fraud
Worm/Virus
Phishing
Intellectual Theft
Advanced Persistent Threat
Unauthorized Access
DDoS
Top hrozby 2015
DDoS v roce 2016 / CZ
• Kontinuální útoky na vzestupu
• Neočekávané cíle útoků - nikdo není imunní -
• Od roku 2014 je „Bod zranitelnosti“ internetová trubka
• Reflexivní útoky – největší bolest – „rychle a zběsile“
• Ne toliko DDoS středem zájmu útočníků
• Hybridní ochrana nabývá na významu
• Postupující migrace do Cloud mění pravidla boje
Trochu čísel
50 USD / 1 250 Kč = průměrná cena DDoS útoku na 1 den
46 USD / 1 150 Kč = průměrná objednávka eshopu
32 USD / 800 Kč = průměrná cena thajské masáže na 1h
Service Name Service Pricing (USD)
Xakepy.cc
1 hour starts at $5
24 hours starts at $30
1 week starts at $200
1 month starts at $800
World DDoS Service 1 day starts at $50
1 week starts at $300
1 month starts at $1,200
King’s DDoS Services
1 hour starts at $5
12 hours starts at $25
24 hours starts at $50
1 week starts at $500
1 month starts at $1,500
MAD DDoS Service 1 night starts at $35
1 week starts at $180
1 month starts at $500
Gwapo’s Professional DDoS Service
1-4 hours at $2 per hour
5-24 hours at $4 per hour
24-72 hours at $5 per hour
1 month at $1,000 fixed
PsyCho DDoS Service
1 hour for $6
1 night for $60
1 week for $380
1 month for $900
DDoS Service 911 1 night for $50
Blaiz DDoS Service 1 day for $70
1 week starts at $450
Critical DDoS Service 1 day starts at $50
1 week starts at $300
1 month starts at $900
No. 1* DDoS_SERVICE 1 day starts at $50
1 week starts at $300
1 month starts at $1,000
Čištění provozu v Cloudu
• Čištění provozu na
hranici Internetu, jen
tak jsme schopni
efektivně čelit
útokům na Cloud
infrastrukturu.
Ochrana proti DDoS formou služby
Jak jsme na tom u nás v ČR ?
Kam DDoS směřují #1
• Každý zákazník je něčím specifický
14
Z 30 Mb/s na 2,7 Gb/s pod sekundu
10 Gb/s pod 30 sekund
Reflection/Amplification stále nejoblíbenější
Útočí se neustále…
• Počet a intenzita útoků vzrůstá a doba se
zkracuje
Co se dělo včera?
• Paralelní útoky
• Krátké útoky
Co se dělo včera?
• Paralelní útoky
• Krátké útoky
SCRUBBING CENTER
ComSource s.r.o.
FLOWGUARD - PRAČKA V CLOUDU
Hlavní myšlenka ochrany před DDoS
• Čištění provozu na hranici Internetu, jen
tak jsme schopni čelit útokům na cloud
infrastrukturu.
• Hlavní důvod:
– účinný antiDDoS na úrovni Internetu
– LoadBalancing, Aplication Delivery Controler
– WebAplicationFirewall
Scrubbing center –pračka v Cloudu
Jak na DDoS útoky??
Hybridní DDoS řešení nabízí spojení dvou variant nasazení u koncového uživatele („CPE“) a Cloudu do jediného integrovaného řešení. Hybridní řešení podle typu útoků a jejich objemu zvolí, jestli přesměruje čištění do Cloudu DDoS nebo provede čištění přímo u zákazníka tak, aby byl optimálně chráněn. Součástí je také výměna informací o útoku mezi CPE a Cloudem, to umožňuje okamžitou reakci bez nutnosti znovu se učit strukturu útoku.
Výhody:
• Možnost operativního navýšení množství čištěných dat
• Minimální nároky na know-how Vašeho IT oddělení
• Nízké celkové náklady vlastnictví • Pokrytí všech vektorů útoku • Rychlá reakce na útok • Pro DDoS Provoz je směrován jen blok
podezřelého provozu • Integrovaný reporting • Zaměřeno na volumetrické útoky DDoS
a ochranu WEB Aplikací před škodlivým kódem.
Možnosti služby 1
• Využití CPE u zákazníka – Hybridní DDoS
Cloud
Internet CPEServer/PC/Web app
PC
Cloud security center
Detekce a signalizace útoku
Signalizace přesměrování provozu
Možnosti služby 2
• Always-on služba
– U ochrany před DDoS je to možnost
– U ochrany web alikací nutnost
Cloud
Internet
WAF služba
Příchozí provoz k WEB aplikaci obsahující škodlivý provoz
Čistý provoz směrován do WEB aplikace
Web aplikace
PC
Cloud security center
ComSource řešení DDoS útoků
Schopnost CPE – DDoS
u koncového uživatele
DDoS Cloud
Hybrid Always-
on
Pokrývá útoky
UDP / ICMP network floods Ano Ano Ano Ano
Útok na zahlcení Internetové linky
Ne Ano Ano Ano
SSL based attacks Ano Ne Ano Ano
Útok HTTP GET / POST Ano Ne Ano Ano
Low & slow attacks Ano Ne Ano Ano
Čištění provozu Doba reakce na útok Ihned Pomalé - nejméně 15 minut
Ihned Ihned
Spouštění automaticky Ano Ne Ano Ano
Přesměrování provozu
Přesměrování provozu pomocí BGP nebo DNS
Ne Pro každý útok
Jen pokud by útok zahltil Internetovou linku
stálé přesměrování
Přesměrování provozu
• Přesměrování pomocí BGP je preferováno
• Zákazník musí mít přiděleny IP adresy a vlastní autonomní systém
• Při útoku dojde k propagaci bloku IP adres přímo ze strany DDoS Cloud
• Je zajištěno přesměrování provozu na blok IP adres do DDoS Cloud
• Tento typ přesměrování uchrání také konektivitu, nikoli jen serverové zdroje
• Zpět je provoz posílán pomocí GRE tunelu přímo do směrovače zákazníka nebo přes NIX.CZ (privátní VLAN) nebo přímým propojením na CE COLO nebo GTS.
Přesměrování pomocí BGP
Přesměrování provozu
• Použití především u serverů
• Dlouhá doba propagace cca Hodiny
• Je zde využito ADC v roli reverzní proxy umístěné v DDoS Cloud
• Nutnost zajistit ochranu autoritativních DNS serverů
• Zamezení přímé komunikace z internetu na servery mimo DDoS Cloud
Přesměrování pomocí DNS
… takové to “domácí zařízení”
CPE INVEA-TECH FlowMon DDoS Defender
RADWARE DefensePro
Juniper DDoS Secure
Umístěno v infrastruktuře zákazníka
Spolupracuje s DDoS Cloud
Zajišťuje detekci/vyhodnocení útoků v síti zákazníka
Čistí útoky, které nejsou volumetrické
Případně iniciuje potřebu přesměrování provozu
Synchronizace signatur útoku s DDoS Cloud
DDoS Cloud Technologie
MITIGACE&IPS RADWARE
DefensePro
ROUTING Juniper MX
ADC / LB / WAF
Citrix NetScaler
FIREWALL Juniper SRX
PROTOKOL
FlowSpec
Cloud konektivita
Celková současná kapacita 480G do zahraničí
Poskytovatelé
TTI + Cogent + TeliaSonera +
Hibernia + Kaia
Připojení
10G do NIX.CZ
Varianty FlowGuard
• měsíční platba za předem stanovenou garantovanou kapacitu očištěného provozu z DDoS. Jedná se o trvalé přesměrování
Always On
• měsíční platba za předem stanovenou a garantovanou kapacitu očištěného provozu z DDoS Cloud zpět ke klientovi
za legitimní kapacitu
• jednorázová platba v případě útoku za garantovanou kapacitu očištěného provozu z DDoS Cloud zpět ke klientovi
za útok za legitimní kapacitu
Klíčové vlastnosti služby
Možnost operativního
zvýšení množství čištěných dat
Minimální nároky na know-how u
zákazníka
Nízké celkové náklady vlastnictví
Pokrytí všech vektorů útoku
Rychlá reakce na útok
Provoz je přesměrován až
jako poslední možnost
Služba je technicky zabezpečena a
provozována z ČR
Integrovaný reporting
Profesionální podpora 24x7
Q1
20
16
Infra
• New RDWR
Scrubbing
•FRS 1.0
Q2
20
16
Infra
•QFX5200
ADC 1.0
LB, HealtCheck
WAF 1.0
•OWASP T10
Scrubbing 2.0
•DDoS Defender Integration
•Customer W/B lists
•Customer Mitigation Method Setup
•FlowSpec PoC
•BGP RR for customers
SecCloud RoadMap Fu
ture
HSM integration
Anycast DNS
Service Instant activation
PCI DSS
Automatic Abuse Reporting
Raw log access
Frontend optimization
Futu
re CDN
Caching
Siem Integration
Customized setup and branding
Q3
20
16
Infra
• Site redundancy
• PPS Limit (J16.1)
• BGP Origin Protect
Scrubbing 2.0
• Customer Signatures
• Connection provisioning
• FlowSpec offload
ADC 2.0
• IPv6 NAT
• HTTP/2
• TCP Multiplexing
• DNSSec
• Keyless SSL
WAF 2.0
• Customer rules
Q4
20
16
CPE DDoS
Scrubbing 2.0
• GEOIP Blacklists
• Service 24h activation
• Reputation Management
DNS
• DNS management
WAF
• Two-factor authentication
Aby byl zákazník spokojený, musí mít
individuální nastavení a přístup.
Magická krabička neexistuje!
ComSource s.r.o. Nad Vršovskou horou
1423/10, Praha 10,101 00
www.comsource.cz
Děkuji