Angriffe erkennen und abwehren - Intrusion Protection im Einsatz

1. Angriffe erkennen und abwehren - Intrusion Protection im Einsatz Florian Tinnus Key Account Manager ftinnus@iss.net

2. Angriffe - extern

3. Angriffe - intern

4. Angriffe – neue Formen “Hybrid Threats” • Scanning • email • Browsing • Network Shares

5. Risk Spectrum DDoS Misuse Malicious Code Worms Viruses Exploits Web Defacement Unauthorized Access Back Doors Reaktion “Security Inseln”

6. Eine Lösung – Ein Protection System

7. RealSecure Protection System

8. Network, Server & Desktop Protection

9. Herausforderung – Netzwerk Security • Mehr als 70% der Attacken via Port 80 (http) • Multiple Zugänge zum Internet (Modems, ISDN, Mobiles) • Konfigurationsfehler in komplexen Netzwerkarchitekturen • Heute: Meistens statische Schutzmaßnahmen mit • festem Regelwerk • Remote Administration – Nutzeraccount auf der • Firewall als Angriffspunkt • Brandschutzmauer nach außen – kein Schutz vor • internen Angreifern • Überprüfung Datenstrom – nicht Inhalt

10. INTERNAL Netzwerk – „Angriffe“ erkennen und abwehren Management Network Sensor Server Sensor Desktop Sensor EMAIL ALERT/ LOG EMAIL ALERT/ LOG SESSION TERMINATED SESSION LOGGED ATTACK DETECTED RECONFIGURE FIREWALL/ ROUTER SESSION TERMINATED ATTACK DETECTED RECORD SESSION

11. Lösung – Real Secure Network Protector 1. Analyse der (kritischen) Netzaktivitäten in Echtzeit, Protokollierung wichtiger Informationen, Auswertung von Log-Dateien 2. Regelmäßige Überprüfung von Konfiguration und Komponenten der Netzwerk Infrastruktur 3. Alerting und (aktive) Gegenmaßnahmen bei Angriffen und Policy Verstoß (Firewall Re-Konfiguration, Identifikation IP Adresse, RS Kill, Pager Alarm, ...)

12. Real Secure Network Protection - Testsieger • Resistance to evasion techniques • 100% of attacks recognized (Fragroute, Whiskers, etc.) • Attack recognition • ‚... excellent with default signature-test ...‘ • TRONS-modul including SNORT-Signatures • Hybrid intrusion detection • Protocol analysis & pattern matching for identify malicious code and full IP-packet de-fragment • Stateful Operation • Tracking up to 1 Mio. parallel connections • Performance • Gigabit Network Support • Full Duplex 100BaseT (@200Mbps) support VLAN (802.1q) Support, Full remote upgrades, Evidence Logging, Full Packet Logging, Strong RSA Crypto support, Per IP Event Filtering, Dropped Packet Notification

13. Herausforderung - Desktop Security • Angestellte(r): „Ich habe nichts gemacht und nun geht der Rechner nicht mehr!?“ • Trojaner • Angestellte(r): „Hast du diese tolle Software / Hardware schon gesehen? Soll ich Sie dir geben?“ • Security Policy auf dem Desktop ist nicht durchführbar

14. Desktop -„Gefahren“ erkennen und abwehren • Angestellter darf nur Programme nutzen, die er zur Ausübung seiner Aufgaben braucht. • Angestellter darf keine Software ohne Erlaubnis installieren oder verändern. • Nur autorisierte Applikation darf kommunizieren • Desktop kann ohne Erlaubnis nicht umkonfiguriert werden. • Desktop sollte nicht ausfallen. • Fremdhardware darf nicht installiert werden können. • Rechner darf nicht ausspioniert werden. • Desktop darf nicht zu Crackeraktivitäten fähig sein.

15. Lösung – Real Secure Desktop Protector • Firewall und Intrusion Protection • Applikations- und Kommunikations- überwachung • Dateiüberwachung • Anti-Virus • Zentral administrierbar • Zentrale automatisierte Auswertung • Integration in unternehmensweites Security Management • keine extra Hardware

16. Real Secure Desktop Protection –Marktführer ISS leads the REPS market with a 37% market share REPS = Remote End-Point Security Cooperation with NAI gives space for further functionalities

17. Enterprise Security Management

18. Herausforderung –Enterprise Security Management • Einheitliche Analyse und Management von Netzwerk, Server und Desktop • Protection System • Monitoring, Kontrolle und Analyse der Protection Systeme • in einer Oberfläche mit reduzierten operativen Kosten

19. Lösung - Real Secure Site Protector

20. Real Secure Site Protector - Highlights Skalierbarkeit - Architektur • Erweiterung der RealSecure 6.5 “Three tier architecture” • Alle Sensoren unterstützt durch eine Plattform • Deployment Manager für SiteProtector und Sensoren • Flexibles Multi-user Environment • Remote, Secure, Roles-based User Interface • Zentrales “Command und Control” aller Sensoren

21. Real Secure Site Protector - Highlights Skalierbarkeit - Betrieb • Asset orientation – fokussiert Security Resourcen effizient – auf das wichtigste System • User-definierte hierarchische Gruppenstruktur • Event Aggregation und Korrelation • Customized Event filtering • Site Rules – automated incident and exception handling • Security Fusion Modul – Automatische Event Correlation

22. Beispiel: Site Protector Fusion ModulDas IDS meldet typische Angriffe ...

23. ... aber das “Target” hat gar keine Schwachstellen !

24. Priorisierung durch Korrelation von Angriff & Schwachstellen auf dem Target

25. Ganzheitliche & dynamische Lösung - RealSecure Protection System

26. Marktführer - IDC’s IDnA Market Share

27. GTOC.iss.net – das “Internet Wetter”

28. Angriffe erkennen und abwehren - Intrusion Protection im Einsatz Florian Tinnus Key Account Manager ftinnus@iss.net