Hyökkäysten havainnointi - teoriasta käytäntöön



Samankaltaiset tiedostot
Hyökkäysten havainnoinnin tulevaisuus?

Intrusion Detection Systems

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Tutkimus web-palveluista (1996)

Diplomityöseminaari

Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai Client-server, n-tier, web-sovellus

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

Tietoturvallisuuden ja tietoturvaammattilaisen

Poikkeavuuksien havainnointi (palvelinlokeista)

ISACA Finland OWASP The OWASP Foundation. Timo Meriläinen Antti Laulajainen.

Digitalisaatio ja kyberpuolustus

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Kokemuksia SIEM-järjestelmistä. Vesa Keinänen Senior Network Security Specialist, CISSP Insta DefSec

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Suorituskyvyn varmistaminen sovelluskehityksen eri vaiheissa Paavo Häkkinen, Presales Teamleader Compuware Finland

Verkkosovellusten tietoturvastrategia

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Vaivattomasti parasta tietoturvaa

Tinkimätöntä tietoturvaa kaikkiin virtuaaliympäristöihin

Liikenteen tietopalvelujen käyttäjäkeskeinen tuotekehitys

PKI AtBusiness. Kokonaisprojektit Konsultointi CP/CPS Sovelluskehitys Mobile PKI RSA, Baltimore, iplanet, W2K Hakemistot

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Turvallisuus ja turvallisuudenhallintajärjestelmä

Standardit tietoturvan arviointimenetelmät

Tietoturvakonsulttina työskentely KPMG:llä

Mobiiliturva Palvelun käyttöönotto

Auditoinnit ja sertifioinnit

Työasema- ja palvelinarkkitehtuurit IC Storage. Storage - trendit. 5 opintopistettä. Petri Nuutinen

Kattava tietoturva kerralla

Osaa käyttää työvälineohjelmia, tekstinkäsittelyä taulukkolaskentaa ja esitysgrafiikkaa monipuolisesti asiakasviestintään.

Sonera Hosted Mail -palvelun käyttöohje

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Kyberturva varmistaa käytettävyyden ja tiedon eheyden teollisuusautomaatiossa. Teemu Pajala Liiketoimintayksikön johtaja Teollisuuden palvelut

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Tunkeutumisen havaitseminen

atbusiness Tietoturvatorstai

Järjestelmäarkkitehtuuri (TK081702) Järjestelmäarkkitehtuuri. Järjestelmäarkkitehtuuri

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

TeliaSonera Identity and Access Management

HTML5 - Vieläkö. Antti Pirinen

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Käyttöjärjestelmät(CT50A2602)

Kiinteistöjen turvallisuuden paras suojakeino. EcoStruxure Security Expert. se.com/fi/ecostruxure-security-expert

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

Vain testaamalla voit voittaa! Markku Selin Kehitysjohtaja

AEO-turvallisuustietoa kuljetus- ja logistiikkayrityksille. AEOS-vaatimukset liikenteenharjoittajille ja varastonpitäjille käytännössä 12.3.

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

VALVO JA VARAUDU PAHIMPAAN

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä

ICT-ratkaisuja näkemyksellä

Backup Exec 3600 Appliance

Tietoturvapäivä. Tietoturva nyt ja tulevaisuudessa Mitä uusi tietosuoja-asetus tarkoittaa? Fiarone Oy

Sisällönkuvaukset Projektinhallinta 3 op. Sisältö. 2. Palvelinalustat 3 op

Jan Åkerholm TIETOTURVATYÖN SUUNNITTELU

Uusia tuulia Soneran verkkoratkaisuissa

Kyberturvallisuus käytännössä

Tiedon suojaaminen ja hallinta. Sytyke seminaari

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Sopimusten Verkkopankki

COBITilla tietohallinnon prosessien ja projektien tehokkuus kuntoon

Ulkoistustoimittajan valvontapalvelu. Ville Mannonen / DataCenter Finland

SMART BUSINESS ARCHITECTURE

Turvallinen etäkäyttö Aaltoyliopistossa

Moderni käyttäjähallinta oppilaitosympäristössä. Korkeakoulujen IT-päivät Petri Karppinen

Vesihuolto päivät #vesihuolto2018

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki

T Hypermediadokumentin laatiminen. Sisältö. Tavoitteet. Mitä on www-ohjelmointi? Arkkitehtuuri (yleisesti) Interaktiivisuuden keinot

Digitaalisen liiketoiminnan alusta ja mikropalveluratkais ut

Avoimen lähdekoodin kehitysmallit

KOULUTUSPOLKU - KOULUTTAUDU LUOKKAKURSSEILLA MEPCO-OSAAJAKSI

TIE Ohjelmistojen suunnittelu. Luento 2: protot sun muut

HP Networking. Martti Saramies, HP Networking, myynti

TOIMIJAREKISTERIN TOTEUTUKSEN JA YLLÄPIDON HANKINTA - HANKINNAN YKSI- LÖINTI HUOM!

Ulkoiset mediakortit Käyttöopas

Forte Netservices Oy. Forte Client Security Services

SataSali Yrityksen konesali

IT-palvelusopimuskuvaus 2018

Tietojärjestelmien itsepuolustus Reaktiivisuudesta ennakointiin

F-SECURE SAFE. Toukokuu 2017

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Yritysturvallisuuden perusteet

TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Moniviestin. Monimediaisen verkkosisällön tuotantojärjestelmä. Rikupekka Oksanen Jyväskylän yliopisto

Koira testissä vai Racci tuotannossa O10G/IAS10 Linuxilla

Innovaatiivinen hallinta Saimaan ja Atlantin rannalla. Case: I-SSHP & Walter Reed Army Medical Center

Tips & Tricks for TestStand development NI Days 2013

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

Juha Viinikka, Senior Manager, Corporate Security, Kesko

Standardien PCI DSS 3.0 ja Katakri II vertailu

Mark Summary Form. Tulospalvelu. Competitor No Competitor Name Member

Tietokone.ja.verkko. Web$sisällönhallinta. Tietokone. Tietokone:.Historia.pikakelauksena.

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

Hankintariskit haltuun virtualisoinnilla

Transkriptio:

Hyökkäysten havainnointi teoriasta käytäntöön AtBusiness Jari.Pirhonen@atbusiness.com Senior Security Consultant, CISSP, CISA AtBusiness Communications Oyj www.atbusiness.com Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 1

Scanners are out there Joulukuussa 2001 avattiin testimielessä Cluokan testiverkko (netmask 255.255.255.0) ei nimipalvelua ei verkkoliikennettä ulos ei mitään mainostusta ko. verkon olemassaolosta kaikkien IPosoitteiden kaikkia portteja monitoroitiin Tulokset ensimmäisten 24tunnin aikana 1702 eri osoitteesta yritettiin vähintään yhtä TCPyhteyttä 1026 näistä osoitteista yritti useampaa yhteyttä 335 koetti useampaa kuin 20 yhteyttä 71 osoitteesta skannattiin koko aliverkko SANS June 2002 Webcast, Tom Liston Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 2

Hallittu hyökkäys 1. Verkkotopologian selvittäminen 2. Haavoittuvan kohdan hakeminen 3. Tunkeutuminen järjestelmään 4. Järjestelmän haltuunotto 5. Levittäytyminen, jälkien peittäminen 6. Toteutetaan hyökkäyksen päämäärä 7. Järjestelmän käyttäminen jatkohyökkäyksiin 8. Julkistus keskusteluryhmissä, iltapäivälehdissä, Missä vaiheessa hyökkäys huomataan? Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 3

Tietoturvaaskeleet 1. Halu tehdä turvallinen järjestelmä 2. Järjestelmän suunnittelu turvalliseksi 3. Turvaratkaisujen käyttöönotto 4. Turvallisuuden tarkastaminen 5. Järjestelmän monitorointi 6. Rikkomuksiin ja ongelmiin reagointi Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 4

Miten monitoroida? Haavoittuvuustestaus [nmap, Nessus, Whisker, SARA, ISS, Qualys] Lokien tarkkailu [Swatch, LogSentry, NTLast] Eheystarkistukset [Tripwire, Intact, Aide] Tietoturvatiedon hallintajärjestelmät (SIM) [esentinel, netforensics, eaudit] Hyökkäysten havainnointijärjestelmät (IDS) Työasemassa [ZoneAlarm, Tiny Personal Firewall] Palvelimessa järjestelmä (HIDS) [NFR, RealSecure, SELM] Palvelimessa verkkoliikenne (NNIDS) [NFR, RealSecure] Verkossa (NIDS) [Snort, Shadow, Secure IDS, RealSecure] Sovelluksessa Ansat (honeypots, honeytokens) [honeyd, Specter,ManTrap] Hyökkäyksen estojärjestelmä (IPS) [TopLayer, Hogwash, AppShield, Kavado] Ulkoistettu valvontapalvelu (MSS) [Symantec] Ulkoistettu monitorointi (MSM) [Counterpane, Defcom] Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 5

Hälytykset perustuvat Kiellettyihin tapahtumiin Sormenjälkiin Toistuviin virhetilanteisiin Poikkeaviin/epänormaaleihin tapahtumiin käyttöprofiilit tilastot protokollat Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 6

IPS vs. IDS IPS pyrkii estämään hyökkäyksen, IDS hälyttää IPS yleensä tarkemmin kohdistettu: laite, protokolla, sovellus IPStarkkuuden täytyy lähennellä 100% laillista liikennettä ei saa estää IPS voi mahdollistaa DoShyökkäyksen IPS ja IDS eivät ole toisiaan poissulkevia Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 7

IDSprojekti 1. Tee selväksi tavoiteltavat hyödyt 2. Tee vaatimusmäärittely 3. Suunnittele seurantapisteet ja käytettävät tekniikat arkkitehtuuri tarvittavat verkkomuutokset, liitynnät verkonvalvontaan hallinta ja valvonta, vastuuhenkilöt raportointi, hälytykset hälytyksiin reagointi, sisäinen CERT/CIRT toiminta 4. Tuotevalinta 5. Koulutus 6. Käyttöönotto 7. Tiedotus 8. Hälytysten viritys 36 kk Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 8

Haasteita IDSprojektille Piilokustannukset : koulutus, prosessit, valvonta, Tuotteiden kirjo, erilaiset tekniikat, monimutkaisuus, hype Tuotteet ovat toisaalta kehittyneitä (IDES ~1983, NFR ~1996, Snort ~1998), mutta toisaalta kypsymättömiä Syvällisen verkkoosaamisen tarve Hyökkäysten erottaminen kohinasta Tiedonlouhinta, raportointi, analysointi Nopeat/kuormitetut verkot Kytkimet Salattu verkkoliikenne Muutosten hallinta Tietosuojasta huolehtiminen Hälytyksestä työ vasta alkaa Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 9

Edut yritykselle 1/2 Tietoturvarikkomusten aikainen huomaaminen ja vaikutusten minimointi Todellisten vahinkojen kartoittaminen Historiatietojen ja todistusaineiston kerääminen Suojaavien tietoturvaratkaisujen tehokkuuden parantaminen Muiden tietoturvaratkaisujen toimivuuden todentaminen Tietoturvaohjeistuksen ja käytäntöjen noudattamisen seuranta Yritykseen kohdistuvien uhkien monitorointi, mittaaminen ja trendiseuranta Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 10

Edut yritykselle 2/2 Asiakkaiden ja kumppaneiden vakuuttaminen yrityksen vakavasta suhtautumisesta tietoturvaan Asiakas ja kumppanisovellusten riskitason pienentäminen Yrityksestä ulospäin suuntautuvien rikkomusten huomaaminen Lakien noudattamisen varmistaminen Lisäpuolustuslinja Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 11

Oma vai ulkoistettu IDS? Työmäärä Osaamistarve Kustannukset Joustavuus Valvonta, tuki Käyttöönoton nopeus Kontrolli Luottamus Integrointi Oma Ulkoistettu Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 12

Kuumia aiheita IPS Palvelu/protokollakohtainen IDS/IPS Honeypots Poikkeamien tunnistaminen (anomaly detection) Tiedonlouhinta Gigabittuki IDS kytkimessä Snort tietoturvaaukot Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 13

AtBusiness IDS tekniikka PClaitteet tehokas CPU ja verkkokortti paljon levyä riittävästi muistia Open Source IDSohjelmisto Snort Tietokanta MySQL Kovennettu Linux BastilleLinux, Tripwire Sääntöhallinta IDS Policy Manager, OpenSSH Seuranta/analysointi ACID, PureSecure ($) Webpalvelin Apache Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 14

AtBusiness IDS miksi Snort Open Source paljon apuohjelmia, innovaatiot Laaja kehittäjäjoukko freshmeat.net: 51 Snortprojektia Laajasti käytössä Standardi PCympäristö helppo päivittää ja lisätä toiminnallisuutta Pärjää täysin kaupallisille tuotteille AtBusiness oma evaluointi (Snort vs. NFR vs. RealSecure) NSS Network Testing Laboratories IDS Group test Gartner Myös muiden valinta SiliconDefense, PureSecure, PacketAlarm, NitroGuard Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 15

Snort vs. kaupallinen IDS Hinta Tuki Suorituskyky Päivitykset Ominaisuudet Monipuolisuus Innovatiivisuus Ylläpito Jatkuvuus Käyttöliittymä Raportit Joustavuus/muokattavuus Snort / kaupallinen IDS Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 16

Hyvän tuotteen ominaisuuksia Huomaamattomuus, vähäinen resurssitarve Vikasietoisuus, luotettavuus Helposti muokattavissa yrityksen tarpeisiin Mukautuu muutoksiin, skaalautuvuus Vaikeasti hämättävissä Huomaa poikkeavuudet normaalista Helppokäyttöinen, keskitetty hallinta Monipuolinen raportointi, analysointi Kattava sormenjälkitietokanta Integroitavissa verkonvalvontaan Tukeutuu standardeihin Yhteensopivuus muiden tuotteiden kanssa Copyright 2003 AtBusiness Communications Oyj / Jari Pirhonen 7.5.2003 Page: 17

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute