Tiedätkö, mitä ja ketä verkossasi liikkuu? Verkko 6etää. Janne Tägtström Technology Solu5on Architect

Mobiliteetti Työ on liikkuvaa Sisäiset vs Ulkoiset yhteydet Työ ei ole paikaan sidottua Lokaatio ei tärkeää, palvelut ja data kyllä Heterogeeniset laitteet & käyttöjärjestelmät Päätelaitehallinta vaikeaa / mahdotonta Kuluttajistuminen (BYOD) EI IT:n hallitsema laite Oikea BYOD (Internet Of Things) Verkkojen konvergensio Todella Nopea Muutos 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

Kollaboraatio Kollaboraatio hämärtää verkkojen / organisaatioiden rajoja Ei Suljettuja Verkkoja, vaan yhteistyötä tekeviä tahoja Uusia hyökkäysvektoreita, yhteistyöorganisaatioiden kautta Tietoturva toissijaista Tapa tehdä työtä nyt ja tulevaisuudessa 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3

Pilvet Datan hallinnan menettäminen Missä informaatio säilytetään? Kuinka informaatio on turvattu? Tietoturva vasta kehittymässä Standardien puute Nopeasti kehittynyt toimiala Identiteettien lukumääräinen kasvu Läpinäkyvyyden puute Hallinnan menettäminen Teknologia kehittynyt nopeammin, kuin tietoturva New Generation Of Users & Devics, Using Collaborative Tools From the Cloud 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4

Mobiliteetti Kollaboraatio Pilvi Uuden sukupolven työntekijät ja päätelaitteet käyttävät kollaboratiivisia työkaluja jotka ovat saatavilla Pilvestä. HyödyntäenTietoturva- (ja Verkko) Arkkitehtuuria 90-luvulta... 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5

Verkkotelemetria osana tietoturvaarkkitehtuuria Verkkotelemetria tarjoaa kattavan ja hyödyllisen työkalun ei vain verkonkapasiteettisuunnitteluun, mutta myös arvokkaan lisän käytettäväksi tietoturva-arkkitehtuuriissa Liikenteen (hyvän ja huonon) tulee kulkea verkossa, joten tämä tarjoaa mahdollisuuden kerätä käyttökelpoista informaatiota organisaatioiden hyödynnettäväksi Useat ominaisuuksista ovat jo olemassa, usein näiden hyödyntäminen ei vaadi investointeja vaan jo olemassa olevan teknologian hyödyntämistä Analysointiin, keräämiseen ja raportointiin on olemassa olevia kaupallisia sovelluksia kuin avoimeen lähdekoodiin perustuvia ratkaisuja 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

Verkot ja niihin liitetyt laitteet generoivat jatkuvasti liikennettä. Nämä liikennevirrat tarjoavat erinomaisen lisän verkkotietoturvaan Näiden liikennevirtojen avulla voimme luoda perusmallin, jonka poikkeamat on syytä tutkia Liikennevirtojen keräämiseksi on monia tapoja, mutta ehkä käytetyin on Netflow. Netflown käyttö on nykyisin lähinnä kapasiteettisuunnittelussa, ei osana tietoturva-arkkitehtuuria. 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

Netflow menetelmien eroavaisuudet Otosperustainen Vain osa liikenteestä, useasti vähemmän kuin 5%, Tarjoaa kuvan juuri tuon hetken verkkoliikenteestä Vähän kuin selailisit kirjasta (hyvästä sellaisesta) joka 20:n sivun Pakettiperustainen Kaikki liikenne kerätään Tarjoaa kattavan näkymän verkkoliikenteeseen Luetaan kirja kokonaisuudessaan Otosperusainen Netflow on riittävä kapasiteettisuunnittelussa, mutta ei riittävä tietoturva-arkkitehuurissa 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

Muita hyviä logitietoja Lähde Mitä DHCP palvelin IP-osoite, MAC-osoite VPN Gateway IP-osoite, WAN-osoite Palomuuri IP Käännökset RFC 1918 osoitteisiin 802.1x auth IP-osoite, MAC osoite Servereiden Syslog Autentikointi/autorisointi Konfigurointi muutokset Security events Web proxy Haittaohjelmien lattamiset, Botnet traffic Spam filtteri (ESA,) Haitalliset URL:t, Haitalliset ohjelta Palomuuri, Web Aplikaatio Palomuuri Hyväksytyt/Blokatut yhteydet Web Palvelimet Pääsy logit, Virhelogit 2011 Cisco and/or its affiliates. All rights reserved. Cisco 14 Public 14

Verkon aktiivilaitteiden tai yleisemmin verkossa olevien resurssien ylikuormittamista. Netflown ja verkon avulla voidaan saada näkyvyys hyökkäyksiin Rajoitetusti voidaan torjua omassa Verkossa, kattavat ratkaisut vaativat yleensä yhteistyötä operaattoreiden kanssa Palomuurit, IPS:t yms. tilatietoiset laitteet eivät ole parhaimpia ratkaisuja DDoS-hyökkäyksiin Attacker 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

Aplikaatiotietoisuus Verkossa App BW Transacti on Time SAP 3M 150 ms NFv9/ IPFIX Sharepo int 10M 500 ms Hig h Me d Low Aplikaatioiden Tunnistaminen Tiedon Keruu Hallinta Rajoittaminen Aplikaatioiden tunnistaminen L2-L7 Tehokas ja joustava tiedon keruu eri aktiivilaitteista Raportointi, politiikka, ylläpito ja konfigurointi QoS, salliminen/ estäminen/ rajoittaminen sekä älykäs reittitäminen, 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

Mitä on verkossani? Vieraat Internet VPN 00:01:B4:02:01:37 00:01:B4:02:01:37 Langaton Campus Verkko 00:01:B4:02:00 00:01:B4:02:00 00:01:B4:02:00 Verkko 2 00:01:B4:02:01:37 Käyttäjät Lanka 00:01:B4:02:01:37 00:01:B4:02:01:37 00:01:B4:02:01:37 00:01:B4:02:01:37 00:01:B4:02:00 00:01:B4:02:01:37 00:01:B4:02:00 00:01:B4:02:01:3B Verkko 1 00:01:B4:02:01:37 Rajoitetut palvelut 00:01:B4:02:01:37 Palvelut Keskitetty Identiteetinhallinta Janne IT Admin 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

Yhteinen Verkko Tietää Pääsynhallintapolitiikka Internet Vieraat Merja Jukka VPN Langaton Campus Cloud Verkko 1 Saastunut Käyttäjät Lanka Verkko 2 Rajoitetut Palvelut Palvelut Keskitetty Hallinta Janne IT Admin 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

Security Intelligence Operations (SIO) Yli 500-henkilöä SIO GLOBAL INTELLIGENCE 700K + Sensoria sekä Globaalit Sensorit 20:ntä Tietoturvakeskusta Automaattipäivitykset eri tietoturvatuotteisiin Yhdessä Enemmän! 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

Product Security Incident Response Team (PSIRT) Global Team Managing the Investigation and Reporting of Vulnerability Information for Cisco Products IntelliShield Up-to-the-Minute Actionable Intelligence, Vulnerability Analysis, and Threat Validation Computer Security Incident Response Team (CSIRT) Threat Assessment, Incident Detection and Response, and Incident Trending and Analysis IPS Signature Team Vulnerability Research and IPS Signature-Writing Experts for Cisco IPS Detection Capabilities Remote Management Services for Security Security Technologies Assessment Team (STAT) Actively Evaluate Cisco Products for Vulnerabilities and Drive Security Best Practices Security Research and Operations Experts with Deep Security Knowledge Deliver Threat Mitigation Procedures for Cisco Products SensorBase Real-Time Tracking of Email and Web Threat Activity Providing Protection for Fighting Spam, Viruses, and Blended Threats 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 23

Verkko voi auttaa meitä Identifioi ja Valtuuta Mitä on Verkossani? Onko Verkossani luvattomia laitteita Onko palvelut tai päätelaitteet vaarantuneet hyökkäyksen / huolimattomuuden seurauksena Kuinka voin rajoittaa pääsyä eri resursseihin ja palveluihin Verkkovaltuutus osana operointia Yksi Politiikka Secure Network Fabric Vastaa ja Toivu Kuinka estän haitallisen toiminnan verkossani Kuinka voin varmistaa kriittiset toiminnot myös poikkeustilanteessa? Estä ja Havaitse Kuinka estän hyökkäyksiä? Kuinka monitoroin verkkoa ja havaitsen mahdolliset hyökkäykset Raportoitavuus ja Selvitettävyys 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 26