Corero - ochrona przed atakami DDoS
-
Upload
glaxosmithkline -
Category
Internet
-
view
335 -
download
5
description
Transcript of Corero - ochrona przed atakami DDoS
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Wojciech [email protected]
EMS Partner Sp. z o. o.ul. Szyperska 14, 61-754 Poznań
Corerro – bezpieczeństwo sieciOchrona przed atakami DDoS
2013, EMS Partner Sp. z o. o., www.emspartner.pl
2
Firma EMS PartnerEMS Partner zostało powołane przez Grupę PBSG. Tworzą ją ludzie od lat zajmujący się dostarczaniem rozwiązań z zakresu zarządzania usługami informatycznymi, ciągłością działania, ryzykiem oraz bezpieczeństwem
EMS Partner jest resellerem w Polsce marki AirWatch. Jesteśmy liderem wdrożeń systemu AirWatch EMM w Polsce
Zajmujemy się również wdrożeniami całej gamy produktów związanych z zapewnieniem bezpieczeństwa danych również dla urządzeń mobilnych oraz w chmurze.
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Informacje o Corero Network Security Centrala w USA, centrala EMEA HQ w Szwajcarii,
2000+ aktywnych klientów z różnych branż w NA, LATAM, EU, ASIA,
Opatentowana technologia ochrony przed DDoS:• Analiza behawioralna,
• Głeboka inspekcja pakietów,
• System zaufania i kredytu.
Aktualne produkty ochrony przed DDoS (firmy):• Wydajność od 1 Gbps do 10 Gbps,
• Zbudowane do pracy in-line.
Q2 14 SmartWall Product-TDS (Service Provider):• n x 10Gbps @ 30Mpps,
• Skalowalna architektura zorientowana na usługi.
Pakiet zarządzalnych usług bezpieczeństwa.
“Corero jest pierwszą linią obrony, która zatrzymuje niechciane pakiety zanim trafią do Twojej sieci”
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Optymalny system bezpieczeństwa
Corero zatrzymuje więcej ataków DDoS niż konkurencyjne produkty
InternetIPS/APT
SLB/ADC
WAF
Router
IntelligenceCloud Security
ServiceSmartwall (TDS)
First Line of Defense
FirewallNGFW
IPS/APTSLB/WAF
ServiceAnalytics
ArcSightSplunk
Q1 Labs
WebrootMcAfee
SymantecKaspersky
NeustarProlexicAkamaiArbor
Corero
RadwareArbor
CheckpointPalo AltoFortinetJuniperCisco
SilverTailTrusteerAcertify
SourcefireFortinet
IBMHPF5
FireEye
SIEMBig Data
Corero
Corero
Znane ataki i ruch sieciowyNieznane ataki i ruch sieciowy
Cloud SecurityService
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Corero – Pierwsza Linia ObronyKompletna oferta urządzeń i serwisów
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Skalowalna linia produktów
600 Mbit/Sec
4.4 Gbit/Sec
300 Mbit/Sec
2.4 Gbit/Sec
8 Gbit/Sec
10+ Gbit/Sec
Pr
ze
pu
st
ow
oś
ć s
ie
ci
10 Gbit/Sec
Model 75EC – Single Site / Single Cage
Model 150EC/ES – Multi-Server/VM Sites
Model 500EC/ES – Smaller Data Centers
Model 1000EC/ES – Large 1GbE Data Centers
Model 2000ES – 10GbE Data Centers
Model 2400ES - High Utilization10GbE Data Centers
ProtectionCluster™ Scalable 1GbE / 10GbE Redundant Solution
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Pierwsza Linia Obrony - platforma sprzętowa
Dostępny z interfejsem miedzianym i światłowodowym,
Zużycie energii poniżej 100 watów,
Wielkość 1U,
Podwójny moduł zasilania z hot-swape.
Opóźnienie< 50 µSec
Ilość jednoczesnych sesji
• do 2 milionów
Dostępne moduły od 300 Mbps do 10 Gbps
Hardware Niezawodność
20-30 lat MTBF,
Zero-Power Bypass Built-in (copper only)
High availability, load balancing, and scalability using ProtectionCluster
TM
Wydajność
ProtectionCluster
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Przegląd zagrożeń
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Kategorie ataków i niechcianego ruchu sieciowego
Reflective DDoS
Attacks
Stateful Flow Awareness
DefenseBi-Directional
Flood Detection
Outbound DDoS
Attacks
Defense
Application Layer DDoS
Attacks
Behavior Analysis
Defense
Specially Crafted Packet Attacks
Protocol Analysis
Defense
Pre-Attack Recon (Scans)
Scan Obfuscation
Defense
Advanced Evasion
Techniques (AET)
Advanced Evasion Detect
Defense
Other Unwanted
Traffic
Deep Packet Inspection
Defense
Network Level DDoS
Attacks
DefenseIP Threat-
Level Assessment
Niepożądany ruch pochodzi z różnych źródeł
Cloud Volumetric anti-DDoS Services
Cloud Clean-Pipe anti-DDoS Services
Corero – pierwsza linia obrony
GARTNER25% ataków DDoS
pochodzi od aplikacji
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Ataki DDoS w zależności od przepustowościFrom Neustar Inc. 2012 Annual DDoS Attack and Impact Survey
85% ataków ma miejsce przy przepustowości poniżej 1Gbps
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Czy warto chronić przed DDoS
BranżaKoszt
przestojuDDOS
Telekomunikacja € 976K
eCommerce € 806K
Finanse € 773K
Sektor publiczny € 531K
Media € 597K
Edukacja € 592K
20% przestojów centrów danych spowodowane atakami DDoSŚredni czas przestoju spowodowany atakiem DDoS attacks to 86 minut
Średni koszt przestoju to € 8K na minutęŚredni koszt ataku DDoS to € 700K
Źródło: Network Computing/Ponemon Institute
Utracone korzyści, mniejsza produktywność, utrata marki
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Potrzebne są nowe rozwiązania
“Firewalls don't cut it anymore as the first line of defense”
IT Best Practices Alert
By Linda Musthaler, Network World October 19, 2012
“Don't count on a firewall to prevent or stop a DDoS attack. The first step is to
recognize that your firewall is insufficient protection against the types of DDoS attacks that are increasingly common today. Even a next-generation firewall that claims to have DDoS protection built-in cannot deal with all types of attacks. The best protection against DDoS attacks is a purpose-built device or service that scrutinizes inbound traffic before it can hit your firewall or other components of the IT infrastructure.”
By Linda Musthaler, Network World -January, 2013
Among the key barriers impacting banks' ability to deal with DDoS attacks, 50% cited insufficient personnel and expertise and a lack of effective security technology as the most serious concerns, followed by insufficient budget resources.
A Study of Retail Banks & DDoS Attacks - Ponemon Institute January, 2013
Distributed Denial of service (DDos) attacks: evolution, impact & solutions - VeriSign
While network security devices have matured and are extremely capable of thwarting certain attacks, they are insufficient when it comes to mitigating DDoS attacks.
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Ochrona przed DDoS
Uwaga: Wiele urządzeń deklaruje ochronę przed atakami DDoS,
Większość ma tylko jedną funkcję DDoS On / DDoS Off,
Upewnij się iż twój system DDoS:• Zapewnia granulowane polityki DDoS,
• Chroni przed znanymi atakami DDoS,
• Obsługuje ruch sieciowy w trakcie ataku DDoS,
• Nie ulega sam atakowi DDoS,
• Ma zapewnione wsparcie serwisu w trybie 24x7.
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Corero – technologie i funkcjonalności
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Ochrona przed zagrożeniami
Niechciany ruch
Niepożądani użytkownicy
i serwisy
Ataki DDoSi nadużycia
konkurencyjne
Nadużycia protokołów
i AET
Ukierunkowane ataki na serwery
Zapewnij WGLĄD w niepożądany ruch
Zabraniaj dostępu
Zezwalaj tylko na SPODZIEWANY ruchBlokuj złośliwe adresy IP oraz niechciane lokalizacje
Pozwalaj na określone porty i serwisy
Oceń ILOŚĆ ruchuOgranicz nadmierne żądania i połączenia
Egzekwuj POPRAWNOSCI ruchuZatrzymanie nadużyć protokołów i niezgodności z RFCZapobieganie AET (zaawansowane techniki unikania)
Analizuj INTEGRALNOŚĆ ruchuSprawdzaj ruch, blokuj włamania, przepełnienia buforów,
iniekcje kodu oraz explojty
Limitowanie szybkości
Egzekwow.protokołów
Zapobieganie włamaniom
Increase VisibilityKto atakuje, jaka jest intensywność ataku, jakie wektory ataku są użyte?
Kluczowe sposoby ochrony
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Pierwsza Linia Obrony - wytyczne
1. Blokować niechciane adresy IP na podstawie ich reputacji.
2. Blokować ruch z geo-lokalizacji, które nie są obszarem twojej działalności.
3. Dynamicznie oceniać zgrożenia ze wszystkich nieznanych adresów IP.
4. Blokować podejrzane aplikacji na podstawie analizy zachowań.
5. Zamykać wszystkie niepotrzebne porty.
6. Wymuszać prawidłowe wykorzystanie protokołów zgodnie z RFC i standardami branżowymi.
7. Wykrywać techniki omijania blokad niechcianego ruchu.
8. Blokować dedykowane ataki malware twojej infrastruktury.
9. Wykrywać i mitygować sieciowe ataki DDoS.
10. Być wdrożone on-premise dla ochrony twojej poczty, DNS i serwerów.
Rozwiązanie Pierwszej Linii Obrony powinno:
2013, EMS Partner Sp. z o. o., www.emspartner.pl
SecureWatch – opis możliwościPełna widoczność
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Securewatch
Szacowanie
Wdrożenie
Optymalizacja
MonitorowanieOdpowiedź
Wybór i wdrożenie bezpiecznych rozwiązań
Zoptymalizuj do twoich wymogów biznesowych
SecureWatch firmy CoreroUmożliwia wdrożenie optymalnych zabezpieczeń
Przestrzeganie aktualnych warunków
Monitorowanie bezpieczeństwa i dostępności usług
Zamknięcie ataku i wykorzystanie do ochrony przed przyszłymi atakami
No Protection Full Protection
2013, EMS Partner Sp. z o. o., www.emspartner.pl
1 - SzacowanieOkreślenie „operacyjnej”
wydajności
2 - MonitorowanieŚledzenie odchyleń
w ruchu, uaktualnienie i
zarządzanie
3 - OdpowiedźMitygowanie ataków i ponowne
szacowanie
Chroniona sieć
SecureWatch – trzy krokiSzacowanie, Monitorowanie i Odpowiedź
Administrator IT klienta
Centrum Operacyjne Corero
BotnetsAnonymous
Clients
Denial of Service
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Serwis SecureWatch PLUSZarządzenie ochroną przed atakami DDoS oraz szkodliwym ruchem
1 – OszacowanieUstalenie linii bazowej
2 - MonitorowanieRaportowanie Nietypowego ruchu
3 – OdpowiadanieMitygacja ataków, udoskonalanie konfiguracji
Corero SOC(Security Operations Center)
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Serwisy SecureWatch® i SecureWatch® PLUS
• Monitorowaniedostępności,
• Aktualizacja oprogramowania,
• Tygodniowe raporty.
SecureWatch8x5
SecureWatch PLUS24x7
• Tworzenie i zarządzanie raportami audytowymi,
• Stałe monitorowanie i optymalizacja konfiguracji zabezpieczeń,
• Ostrzeżenie przed atakiem oraz odpowiedź na atak
Customer Support24x7
Tech
nic
al A
cco
un
tM
anag
em
en
t
• Dostęp 24x7,• Rozwiązywanie
problemów S/W i H/W,• Śledzenie incydentów,• Portal wsparcia,• Usługa aktualizacji
ochrony przed zagrożeniami.
Odpowiedź na ataki w czasie rzeczywistym
Instalacja serwisów pod klucz
Optymalizacja procesów bezpieczeństwa
2013, EMS Partner Sp. z o. o., www.emspartner.pl
Dodatkowe informacje
EMS Partnerul. Szyperska 14, 61-754 Poznańt: 61 624 85 89 | f: 61 845 15 [email protected]