PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeństwa firmy Radware...
Transcript of PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeństwa firmy Radware...
March 11, 2015
Radware
Global Application & Network Security Report 2014-2015
Marek Karczewski
Metodologia i źródła informacji
Badanie ilościowe na rynku bezpieczeństwa
– 330 ankietowanych osób zajmujących się bezpieczeństwem w swojej organizacji.
– 39% dużych korporacji (roczne obroty powyżej 500M USD).
– 23 różne gałęzie przemysłu (w tym kiędzy innymi):
• Telekomunikacja/Internet/cdostawcy usług w “chmurze” (20.42%)
• Sektor usług finansowych (13.15%)
• Sektor wysokich technologii (Hi-Tech) –produkcja i usługi (12.11%), distribucja (6.57%)
– 40% ankietowanych organizacji prowadzi biznes międzynarodowy
Badanie reprezentatywne
– 11 menedżerów najwyższego szczebla odpowiedzialnych za bezpieczeństwo (różne sektory przemysłu)
– Ankiety przeprowadzone na wyskoim poziomie szczegółowości
Emergency Response Team (ERT) – informacje z zespołu technicznego firmy Radware
Metodologia i źródła informacji
Kluczowe Wnioski
Kluczowe wnioski
#1 Wzrost ataków o charakterze ciągłym
#2 Nikt nie jest bezpieczny – nieoczekiwane cele ataków
#3 Łącze do Internetu najbardziej wrażliwym punktem w sieci
#4 Ataki “Reflective” największymi atakami DDoS
#5 Ataki DDoS jednymi z największych zagrożeń
#6 Ochrona w modelu Hybrydowym staje się standardem
#7 Cloud, IoT i SDN wymuszają nowe podejście do metod ochrony
#8 Bezpieczeństwo staje się domeną top menedżerów
• 2014 był rokiem przełomowym w dziedzinie bezpieczeństwa.
• Ataki cybernetyczne osiągnęły punkt krytyczny pod względem ilości, złożoności oraz celów ataków.
• Sytuacja zaskoczyła nawet firmy, które posiadały “wzorcowe” systemy i mechanizmy ochrony
19% ataków w 2014 r. można określić jako ataki “ciągłe”
52% organizacji czuło się na siłach bronić się przed tego typu atakami jedynie przez jeden dzień lub krócej
#1 Wzrost ataków o charakterze ciągłym
Ataki stają się dłuższe, większe oraz bardziej skomplikowane. Następuje bardzo widzoczny wzrost ataków o charakterze ciągłym
Wzrost ryzyka dla nowych nieoczekiwanych celów takaków:
Służba Zdrowia, Edukacja
Prawdopodobieństwo ataków znacząco wzrasta również w
branży gier sieciowych, Hostingu oraz dostawców usług ISP
Jedynie branża Usług Finansowych zanotowała spadek
zagrożenia z “wysokiego” na “średni”. Powodem jest
zastosowanie dużo lepszych zabezpieczeń w odpowiedzi na
zagrożenia z lat poprzednich
#2 Nikt nie jest bezpieczny – nieoczekiwane cele ataków
Zagrożenia rozszerzają się na nowe branże, wielkość organizacji oraz nowe technologie stosowane w sieciach
Duże ataki wolumetryczne występują praktycznie codziennie
Ataki dotyczą wszystkich typów organizacji
Przyczyna: łatwiejszy dostęp do “skutecznych” narzędzi do ataków
#3 Łącze do internetu punktem krytycznym w 2014 r.
#4 Ataki “Reflective” sprawiają najwięcej problemów
W 2014 ataki cybernetyczne ponownie podzieliły się po
połowie na dwa podstawowe typy: Sieciowe i Aplikacyjne
Ataki na strony internetowe #1 w 2014 r. spośród
wszystkich ataków aplikacyjnych - w tym 75% to ataki na
HTTP a 25% na HTTPS
Nastąpił znaczący wzrost atakaów UDP (z 7% w 2013 do
16% w 2014) z uwagi na wzrost ataków “reflective”
Ataki odbiciowe (reflective) reprezentują w 2014 r.
największy pojedynczy wektor ataków. Wzrastają obawy
o tego typu ataki wraz ze wzrostem ich popularności i
dostępności narzędzi do ataków
Ataki DDoS były wskazywane jako
jedne z największych zagrożeń wśród
46% respondentów
41% respondentów wskazało na
zagrożenie związane z
nieautoryzowanym dostępem a 39%
na ATP (Advanced Persistent Threats)
#5 Ataki DDoS jednym z największych zagrożeń
Ataki DDoS przewodzą liście największych zagrożeń w 2014 r. Pozostałe typy ataków stanowią również wysoki poziom zagrożeń, których rozkład uzależniony jest od rodzaju organizacji oraz prowadzonego biznesu
Ponad 36% respondentów używa obecnie rozwiązań
hybrydowych – CPE zapewniające detekcję i łagodzenie ataków w
lokalizacji klienta oraz ochrona przed atakami “w chmurze”
Według ankietowanych w 2015 ponad 48% z nich zastosuje u
siebie rozwiązanie hybrydowe
Powody wdrożenia rozwiązania hybrydowego według
respondentów:
– Ochrona “w chmurze” dla dużych ataków wolumetrycznych
– CPE u klienta: dla ataków aplikacyjnych, Low/Slow oraz SSL -z uwagi na brak konieczności transferu certyfikatów SSL na zewnątrz (do “chumry”)
#6 Ochrona w modelu Hybrydowym staje się standardem
Bezpieczeństwo w modelu hybrydowym (Scrubbing Center + CPE) staje się powoli standardem
Opis wykresu: organizacje, które obecnie używają lub planują ochronę w modelu hybrydowym
Migracja w kierunku rozwiązań chmurowych, Internetu
Rzeczy (IoT) oraz sieci SDN (Software Defined Network)
stała się faktem.
Internet Rzeczy (IoT) stwarza szerokie możliwości dla
zupełnie nowych zagrożeń (58% respondentów).
Sieci SDN radykalnie zmieniają sposób myślenia o
skutecznych mechanizmach ochrony. Główne zagrożenie
respondenci upatrują w kontrolerze sieci (48%) oraz w
niedojrzałości systemu (49%)
#7 Cloud, IoT i SDN – nowe wymuszone podejście do ochrony
Ignorowanie trendów zachodzących na rynku oraz ich skutków może stanowić ogromne wyzwanie w późniejszym zapewnieniu odpowiedniego poziomu bezpieczeństwa we własnej korporacji
Prawie 75% menedżerów powiedziało, że zagadnienia dotyczące bezpieczeństwa angażują bezpośrednio
najwyższą kadrę kierowniczą (Prezes lub nawet członek zarządu) z następujących powodów:
– Negatywny wizerunek firmy w mediach
– Potencjalnie groźny wpływ na prowadzony biznes
– Zwiększone nakłady finansowe na bezpieczeństwo wymagające zgody zarządu
– Zwiększająca się odpowiedzialność społeczna i prawna związana z atakami i innymi zagrożeniami
30% respondentów jako przyczynę wskazało konieczność migracji w kierunku rozwiązań chmurowych i
rosnące z tym zagrożenie dla organizacji.
Ponad 25% respondentów wskazało na IoT a prawie 20% na SDN
#8 Bezpieczeństwo staje się domeną top menedżerów
Nasze badania przeprowadzone wśród kadry kierowniczej najwyższego szczebla (CIO, CISO, VP) dla różnych gałęzi przemysłu wykazały jednoznacznie, że zagadnienia bezpieczeństwa, które były do tej pory domeną działów IT stały się również przedmiotem zainteresowania kadry kierowniczej
Czym zajmuje się firma Radware ?
Kompleksowe zapewnienie SLA aplikacji
Zapewnienie SLA aplikacji dla wszystkich możliwych stanów funkcjonalnych
Zapewnienie ciągłościpracy aplikacji
Optymalizacjapodczas normalnej
pracy
Ochrona przedobniżeniem jakości
usług
15
Dostarczanie aplikacji oraz zapewnienie ich bezpieczeństwaw sposób holistyczny /całościowy - (z gr. hólos 'cały‘)
16
Kompleksowe zapewnienie SLA aplikacji
W jaki sposób to realizujemy?
Radware Holistic Solution
Normal Degradation OutageSecurity
Application Delivery
Radware Holistic Solution
Application Delivery
Security
Normal Degradation Outage
2020
Alteon NG – Next Generation ADC
sssasddas
Virtual ServerApplianceCloud
Dat
a C
ente
r/C
lou
d E
cosy
stem
s
HypervisorWirtualne maszynyKompletna separacja logiczna i fizyczna
Platformy od 1 Mbps do 160 Gbps
21
Alteon NG – Next Generation ADC
Alteon VA1 Mbps – 6 Gbps
Alteon NG 52245 - 16 Gbps
1 - 24 vADCs
Alteon NG 642020 - 80 Gbps1 - 48 vADCs
Alteon NG 52086 - 26 Gbps
1 - 24 vADCs
Alteon NG 8420100 - 160 Gbps1 - 100 vADCs
Alteon NFV40 - 160
Gbps
Najbardziej kompletna platforma ADC – Zapewnia pełne SLA aplikacji
Enterprise Data Centers High-End Data Centers / Carrier Core Networks
Radware Holistic Solution
Security
Application Delivery
Normal Degradation Outage
Radware Holistic Solution
Security
Application Delivery
Normal Degradation Outage
Attack Mitigation System (AMS)
APSolute Vision
AppWall
DefensePro
24
Attack Mitigation System (AMS)
Chroni przed wszelkimi atakami sieciowymi (L3-L4) oraz aplikacyjnymi (L7) we wszystkich punktach krytycznych sieci
IPS/IDS
“Low & Slow” DoS attacks (e.g.Sockstress)
Large volume network flood attacks
Syn Floods
Network Scan
HTTP Floods
SSL Floods App Misuse
Brute Force
Cloud DDoS protection DoS protection Behavioral analysis IPS WAF SSL protection
Internet Pipe Firewall Load Balancer/ADC Server Under Attack SQL Server
25
Application Delivery
Security
Normal Degradation Outage
Application Delivery
Security
Normal Degradation Outage
Radware Holistic Solution
Architektura Rozproszona / Defense Messaging
Wszystkie moduły bezpieczeństwa oraz ADC wymieniają między sobą informacje (Defense Messaging) dotyczące statystyki ruchu (Traffic Baseline), sygnalizacji
kontrolnej oraz sygnatur dynamicznych wykrytych ataków
28
Defense Messaging Defense Messaging
Security Application Delivery
**
Zapobiega przeniknięciu atakujących do wnętrza sieci
WAN Perimeter LAN
Defense Messaging
29
Architektura Rozproszona / Defense Messaging
*
Architektura Rozproszona / Defense Messaging
WAN Perimeter LAN
Zapobiega wysyceniu łącza podczas ataków wolumetrycznych DDoS
Defense Messaging
31
Architektura Rozproszona / Defense Messaging
*