Upload
cisco-russia
View
121
Download
2
Embed Size (px)
Citation preview
Алексей ХолмовСистемный инженерArbor [email protected]
Обеспечение доступности инфраструктуры корпоративных сетей
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Современная инфраструктура
• Бесперебойное электропитание• Автоматическая система пожаротушения• Высоклассные и отказоустойчивые системы охлаждения• Современная высокопроизводительная сетевая
инфраструктура• Превосходное серверное оборудование• Получение сертификаций на обеспечение доступности,
например Uptime Institute Tier III/Tier II/Tier I
Но поможет ли это:• При Малозаметных атаках на
приложения (Application attack)?• При Атаках на инфраструктуру
сетевой безопасности?• При атака типа переполнения
канала связи?• Ответить на вопросы кто вас
атаковал, каков нанесенный ущерби как долго осуществлялись атаки?
DDoS атаки могут быть очень большими и долгими
Атаки уровня приложений
• 44% всех зафиксированных атак – это атаки транспортного уровня и выше
• 82% участника опроса зарегистрировали атаки на HTTP– 77% видели DNS атаки– Только 25% отметили SMTP
атаки• Значительно выросло количество
атак внутри HTTPS – до 54% с 37% в 2012 и 24% в 2011!!!
По данным Worldwide Infrastructure Security ReportДоступен на:http://www.arbornetworks.com/research/infrastructure-security-report
Россия: статистика атак за первое полугодие 2014
• Всего атак - 16630
• Максимальные размеры атак – 123,15 Gbps и 39,93 Mpps
• Средние размеры атак – 1,738 Gbps и 447,85 Kpps5
DDoS: что Arbor Networks знает об этом?
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 6
Arbor Networks – кто это?
100%Процент Tier 1 операторов, являющихся клиентами Arbor
#1Защищает крупнейший сети компании и наиболее значимые мировые события. Последнее событие мирового масштаба под защитой Arbor Networks –Олимпийский игры в Сочи 2014.
90 Тб/c Трафик, отслеживаемый системой ATLAS в данный момент –Это почти 45% всего Интернет трафика.
#1Позиция Arbor на рынке оборудования защиты от DDoS в сегментах Carrier, Enterprise, Mobile – 65% всего рынка [Infonetics Research декабрь 2013]
14 лет Arbor Networks поставляет инновационные продукты и технологии по обеспечению безопасности и мониторинга сетей с 2000 года
$18 Млрд Выручка компании Danaher в 2013 году - головной компании, обеспечивающей финансовую стабильность Arbor
7
Active Threat Level Analysis System (ATLAS)
Peakflow SP Peakflow SP
ISP Network DARKNET
ATLAS SENSORPeakflow SP Peakflow SP
ISP Network DARKNET
ATLAS SENSOR
Peakflow SP Peakflow SP
ISP Network DARKNET
ATLAS SENSOR
ATLAS DATA CENTER
ATLAS ANALYSIS SYSTEMS
Сенсоры систем ATLAS расположены в сети интернет для обнаружения и классификации атак
Информация отправляется в ATLAS central repository где объединяется с данными полученными от инсталляция Arbor Peakflow и другими данными
Команда ASERT анализирует данные и создаёт Fingerprint
12
3
Более 300 операторов мира предоставляют
данные для анализа
Команда ASERT – исследовательская деятельность компании
Honeypots &SPAM Traps
ATLASSecurity
Community
2.2M +samples
DDoSFamily
20,000+Вредоносных программ в день
“Песочница из виртуальных машин”запускает вредоносный код(ищет командный центр сети ботнет, отслеживает отклонения и закономерности сетевого поведения кода)
“Fingerprint”
Отчёт и PCAP файлы сохраняются в базе
Постоянная аналитика 24 часа в сутки для создания базы данных сигнатур
ATLAS and Google
http://www.digitalattackmap.com/ Визуализация
атак и привязка к новостной ленте
Clean Pipes: Cisco выбирает Arbor Networks
В 2010 Cisco анонсировала закрытие линеек Cisco Guard и Anomaly Detector. Cisco предложила своим заказчикам использовать решения Arbor Networks Peakflow SP Clean Pipes 2.0 – Cisco оттестировала и проверила решения Arbor. Компания Cisco также использует решения Arbor Networks для защиты своих сетей: http://www.cisco.com/web/about/ciscoitatwork/network_systems/network_data_monitoring_and_reporting_web.html
http://www.arbornetworks.com/cleanpipes
Комплексный подход к современным DDoS атакам
Операторы связи Корпоративные заказчики
Продукты серии:
Решения:Arbor Peakflow SPArbor Pravail APSArbor Pravail NSIArbor Pravail SAArbor Cloud
Pravail APS, NSI -> Идентификация:Определить аномальный трафик или подозрительную активность.
Pravail APS -> Действие:Заблокировать атаку на границе сети или в «облаке».
Pravail APS, NSI, SA -> Понимание:Проведение оперативных расследований и понимание в деталях атаки и причинённого ущерба.
1
2
3
Комплексный подход к современным DDoS атакам
13
Политики ATLAS Intelligence Feed (AIF)
Подписка доступна только от Arbor Networks и базируется на совокупных знаниях команды Arbor SERT и системы ATLAS
Политики непрерывно обновляются данными об активности бот сетей
Сигнатуры для трафика уровня приложений включают в себя уровень угрозы и оценку доверия
Команда ASERT отслеживает активность сотен различных бот сетей по всеми миру и сотрудничает с организациями CERT более чем 100 стран
Используют знания Arbor ATLAS для своевременной блокировки DDoS-угроз от Bot-
сетей
14
Политики AIF Standard поддерживают
DDoS ThreatsIP Geo-Location
Web Crawler IdentificationCommand and Control
Malware
Политики AIF Advanced поддерживают
Location-Based ThreatsEmail Threats
Targeted AttacksMobile
STANDARD FEED ADVANCED FEED
Политики ATLAS Intelligence Feed (AIF)
Борьба с современными угрозами для входящего и исходящего трафикаПредотвращение попадания зловредного кода в корпоративную сеть и
взаимодействия с внешними компонентами зомби сетейДетальная отчетность о ходе и результатах подавления зловредной активностиОбнаружение DNS запросов к вредоносным доменам
Политики AIF StandardКатегория Подкатегория угрозы
DDoS ThreatsОпределяет источники и цели DDoS атак на основе информации из ATLASHTTP Flooder
IP Geo-Location Идентифицирует источник или получателя трафика по странам
Web Crawler Identification Идентифицирует активность известных поисковых систем
Command andControl
Peer to PeerHTTPIRC
Malware
WebshellRansomwareRATFake Anti VirusBankingVirtual CurrencySpywareDrive BySocial Network
DDoS BotDropperAd FraudWormCredential TheftBackdoorOtherExploit KitPoint of Sale16
Политики AIF Advanced
Категория Подкатегория угрозы
Location BasedThreats
Traffic Anonimization ServicesTORProxySinkholesScannerOther
Email Threats SpamPhishing
Targeted Attacks
APTHacktivismRATWatering HoleRootkit
MobileMobile C&CSpywareMalicious App
Атаки блокируются на основе уровня доверия.
Уровень доверия является динамической составляющей, зависящей от текущей активности объектов наблюдения.
17
Индекс Доверия ASERT
• Индекс доверия характеризует участников глобальной сети Интернет в привязке к IPадресам, доменным именам и используется для формирования политик безопасности
• Вероятность блокировки различных объектов в Интернет может изменяться со временем
• Уровень доверия зависит от зловредной активности хостов
• Детальный уровень отчетности
• Категории AIF для четкого понимания природы угроз
• Быстрый поиск в журнале блокированных хостов по типам угроз
Advanced Threat Protection: исходящие угрозы
Встроенный модуль SSL дешифрации
Производительность:APS 2100-series: дешифрация 5 GbpsAPS 2000-series: дешифрация 750 MbpsБезопасность:Хранение сертификатов на локальном устройствеСтатистика о трафике HTTPS: По часто используемым URL По заблокированным хостам и причинам блокировки
Защита от HTTP-атак внутри SSL/TLS
20
Где можно посмотреть наши решения?О DDOS атаках
The Evolution of DDoS Attacks http://www.youtube.com/watch?v=Q7deVOUXPFk Различные материалы о DDOS http://www.arbornetworks.com/resources/media-library Записанные вебинары: http://www.arbornetworks.com/resources/media-library/enterprise-webinars
Система ATLAS DDoS Attack Protection: Arbor Network's ATLAS http://www.youtube.com/watch?v=0U68W6gTkP8 Atlas Dashboard http://atlas.arbor.net
О нашей команде ASERT Arbor Networks: Researching DDoS and Advanced Threats http://www.youtube.com/watch?v=T3oBpvcBxD4 Worldwide Infrastructure Security report http://www.youtube.com/watch?v=-83m82sEpNI DDoS and the Evolving Advanced Threat Landscape http://www.youtube.com/watch?v=92p_MbPbewk Asert blog http://www.arbornetworks.com/asert/
Решения Arbor Networks (Peakflow, Pravail APS, Pravail NSI, Pravail SA, Arbor Cloud) Comprehensive DDoS Protection Solutions http://www.youtube.com/watch?v=JP299b-IG6g Video about Pravail family solutions:http://www.youtube.com/watch?v=Qznv913qVzw&list=PLu8eXm-IEjEC-
kbMOSsQKPJGoc1V75fnw Pravail NSI Product Tour http://www.youtube.com/watch?v=2Fn_b4g1Tqw Cloud-Based DDoS Protection from Arbor Networks http://www.youtube.com/watch?v=kPJ-wjyhyoM Pravail SA: http://vimeo.com/user6890858/videos
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом #CiscoConnectRu
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
СпасибоContacts:NamePhoneE-mail
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.