Embed Size (px)
Citation preview
Wykrywanie i zarządzanie zainfekowanymi użytkownikami
COMP S.A. PION SYSTEMÓW SIECIOWYCH I BEZPIECZEŃSTWA
Author: Piotr Szczepanek
KOSZT UTRATY INFORMACJI 1/3
$2-$10 Credit Card Number
$200-$300? + PIN
$50-$100Certificate
$5PayPal Account with Login and Password
$30Driver’s License
$100 Insurance Card
$500-$1,000Trojan intercepting account information
Jeśli to sś moje informacje prywatne?
!!! BEZCENNE !!!
prowokacja (MEDIAFUN) ale ….13min – czas na od publikacji informacji na jej wykorzystanie21min – mbank – zadzwonił do blogerai załośył blokadś
09.05.2019 2
KOSZT UTRATY INFORMACJI 1/3
Czy umiemy wyliczyć koszty utraty danych? … przykład:
„… Jak podał miesiŃcznik „Parkiet” najmniej na zdobycie jednego klienta wydał ING OFE –niecałe czterysta złotych, najwiŃcej towarzystwo emerytalne AIG – ponad cztery tysiŃce. …”
„… Za znalezienie specjalisty niŃszego szczebla lub/i z mniejszym doŃwiadczeniem, który ma zarabiać 2,5 tyŃ. zł, pracodawca musi zapłacić 5 tyŃ. zł. JeŃli korzysta z usług mniejszej firmy, w małym mieŃcie, moŃe być to kwota około 4 tyŃ. zł. Za kierownika sklepu, którego pensja wynosi 5 tyŃ. zł, trzeba bŃdzie zapłacić co najmniej 10 tyŃ. zł. Z kolei za menedŃera wyŃszego szczebla (stanowisko dyrektorskie), który zarabia 20 tyŃ. zł miesiŃcznie, trzeba bŃdzie uiŃcić sumŃ od 40 do 60 tyŃ. zł. …”
„…Pomimo obowiŃzujŃcej niemal we wszystkich duŃych firmach polityki bezpieczeŃstwa danych, 61 proc. ich pracowników nadal naraŃa pracodawców na utratŃ kluczowych dokumentów - wynika z badaŃ przeprowadzonych przez ŃwiatowŃ firmŃ odzyskujŃcŃ utracone dane. - Ńródło: Gazeta.PL”
„… The Financial Services Authority (FSA) has fined three HSBC firms over £3 million for not having adequate systems and controls in place…. In April 2007, HSBC Actuaries lost an unencrypted floppy disk in the post, containing the personal information of 1,917 pension scheme members, including addresses, dates of birth and national insurance numbers…. in February 2008 HSBC Life lost an unencrypted CD containing the details of 180,000 policy holders in the post”
„… Przykład regulacji – Ustawa o sieci OSE: Ustawa o Ogólnopolskiej Sieci Edukacyjnej Art..5 pkt 3) świadczenie szkołom usług bezpiecześstwa teleinformatycznego, obejmujścych
w szczególności ochronś przed szkodliwym oprogramowaniem oraz monitorowanie zagrośeś i bezpiecześstwa sieciowego;
pkt 4) promowanie zasad bezpiecznego korzystania z technologii cyfrowych;
Media: Viruses, Worms, Malware, Spam, Phishing
Non-media:Lost Laptop, Disc, Employee Selling Data, Stupidity and Ignorance
!!! PER CLIENT !!!
09.05.2019 3
KOSZT UTRATY INFORMACJI 1/3
09.05.2019 4
OCHRONA KLIENTA LUB ŹRÓDŁO DOCHODU OPERATORA
„Cisco 2016 Midyear Cybersecurity Report” obecnie przyjmuje siŃ, Ńe Ńredni czasy wykrycia ataku (TTD) siŃga 100 do 200 dni(!)
Wszelkie dostŃpne obecnie narzŃdzia cechujŃ siŃ duŃym stopniem skutecznoŃci ale nie dajś 100% gwarancji ochrony Internauty przed wszelkimi moŃliwymi zagroŃeniami
Rynek telekomunikacyjny staje siŃ zrównowaŃony, spadajŃ przychody z usługi „cyfrowej rury”. Ńródłem dodatkowego dochodu a wrŃcz utrzymania klienta sŃ USŁUGI DODANE
Bezpiecześstwo z perspektywy Operatora
Bezpiecześstwo z perspektywy Klienta
09.05.2019 5
PROJEKT Treatnet – COMP S.A.
09.05.2019 6
• Ponad 27 lat obecnoŃci na polskim rynku IT
• Ponad 1000 wysoce wykwalifikowanych pracowników
• Ponad 500 mln zł przychodów, EBITDA,ponad 45 mln zł (dane za 2017 rok)
• Lider rynku fiskalnego (blisko 50% udziału)
• Grupa Kapitałowa złoŃona z 12 spółek, „zbalansowany” biznes segmentów Retail i IT
• Comp S.A. i Elzab S.A. notowane na GPW
• Certyfikat ISO 9001:2008, Koncesje MSWiA, Ńwiadectwo BezpieczeŃstwa Przemysłowego pierwszego stopnia
• Jedne z najlepiej rozpoznawalnych marek na polskim rynku IT oraz fiskalnym
• NajwiŃkszy kanał partnerski sprzedaŃy i dystrybucji dla produktów i usług w segmencie Retail
• Własne centra R&D oraz innowacji
• Specjalizacja w obszarze budowy systemów zapewnianiajŃcych cyberbezpieczeŃstwo,co jest jednym z priorytetów rzŃdu i duŃych przedsiŃbiorstw
• WiodŃcy producent rozwiŃzaŃ ochrony kryptograficznej dla przetwarzajŃcych informacje niejawne
• Grono stałych klientów instytucjonalnych, duŃa baza referencyjna
PROJEKT Treatnet – DOFINANSOWANY ZE ŚRODKÓW UE
• Spółka COMP S.A. złoŃyła wniosek oraz otrzymała dofinansowanie ze Ńrodków Unii Europejskiej na realizacjŃ projektu w zakresie:
• prac zwiŃzanych z badaniami przemysłowymi i pracami rozwojowymi nad zdarzeniami w postaci infekcji uŃytkowników sieci Internet przez złoŃliwe oprogramowanie
• opracowania metodyki oraz technologii wykrywania takich zdarzeŃ
• opracowania narzŃdzi dla dostawców usług dostŃpu do sieci Internet oraz duŃych przedsiŃbiorstw ograniczajŃcych skutki działania infekcji oraz jej ostatecznego usuwania
Tytuł projektu brzmi:
„ Innowacyjny system szybkiego i masowego wykrywania oraz neutralizacji cyberataków na użytkowników sieci Internet”
Robocza nazwa projektu: „TREATNET”
09.05.2019 7
PROJEKT Treatnet – DOFINANSOWANY ZE ŚRODKÓW UE
• Dofinansowanie na projekt Spółka COMP S.A. otrzymała z Programu Operacyjnego Inteligentny Rozwój 2014 - 2020
• Oś priorytetowa: Wsparcie prowadzenia prac B+R przez przedsiśbiorstwa
• Działanie: Projekty B+R przedsiśbiorstw
• Poddziałanie: Badania przemysłowe i prace rozwojowe realizowane przez przedsiśbiorstwa
• Kwota dofinansowania ze Ńrodków UE to: 7 499 313,34 zł
• Planowany czas zakoŃczenia prac zwiŃzanych z realizacjŃ projektu: paŃdziernik 2019 rok
09.05.2019 8
PROJEKT Treatnet – DOFINANSOWANY ZE ŚRODKÓW UE
CEL / REZULTAT PROJEKTU
„Opracowanie nowego produktu w postaci zespołu narzśdzi o budowie modułowej, tworzścego jednolity system monitorowania, wykrywania
i usuwania skutków zainfekowania uśytkowników sieci Internet złośliwym oprogramowaniem typu malware, poprzez analizś zdarześ systemowych
uśytkowników i wśzłów sieci, a nastśpnie poprzez usuwanie tych skutków.”
W wyniku realizacji projektu zostanie opracowane rozwiŃzanie składajŃce siŃ z modułów, którepozwolŃ na wykrywanie naruszeŃ bezpieczeŃstwa uŃytkowników korzystajŃcych z sieci Internet,bez naruszania poufnoŃci i prywatnoŃci transmisji uŃytkowników.
09.05.2019 9
POTRZEBA, POMYSŁ, JAK GO ZREALIZOWAĆ?
Przykład sieci operatorskiej dla 6 mln użytkowników?BUDUJEMY NOWĄ SIEĆ OPERATORSKĄ W POLSCE = OGÓLNOPOLSKA SIEĆ EDUKACYJNA –OSE NASK
385Gbps
1 058Gbps
INTERNET
OSE NASK = NAJWIĘKSZA NA ŚWIECIE SIEĆ DPI, 5,5mln Uczniów, 0,6mln Nauczycieli, używana:180dni w roku10h na dobę (7.00-17.00)
PIONIER = AMS-IX, DE-CIX, LINK, PLIX ORANGE POLAND = 423,5Gbps (TPIX/12-01-2019)
LOGS (RADIUS-ACCT, SYSLOG)300.000EPS
Protocol Pasmo %
http 10% https 80% Others 9% dns 1%
Protocol Pakiety %
http 5% https 65% Others 5% dns 25%
09.05.2019 10
OSE - SKALOWALNOŚĆ
LOGI RETENCJI DANYCH w godzinach szczytu (7.00 – 17.00)▪ CPE NAT 1:1 i n:1, CPE DHCP
▪ 1:1 5 mln user = 5 mln terminali, lease-time = 8h = 5 mln Event/24h = 200EPS▪ N:1 = do 200.000EPS (?)
▪ Captive Portal▪ 600tys nauczycieli = 1 uwierzytelnienie/24h = 0,6mln Event/8h = 50EPS
▪ CG-NAT PBA▪ Szkoła x1.500: 50 abonentów▪ L web-req per sek per szkoła = 5▪ L.web-req Polska (1500 szkół) = 7.500EPS▪ Szkoła x30.000: 50 abonentów▪ L web-req per sek per szkoła = 5▪ L.web-req Polska (30.000 szkół) = 150.000EPS, PBA=150.000/100▪ 2TB data per Day
LOGI AKTYWNOŃĆI UŃYTKOWNIKÓW▪ http/https, URL, Adresy IP, MAC/UserID, Czas, Klasyfikacja, Szkoła
Systemy DNS (30% web-req) = 50.000EPS Proxy (url filtering) = 150.000EPS Firewall = ? 2TB data per Day
LOGI MNITOROWANIA URZŃDZEŃ▪ Adresy IP, Opis Zdarzenia
09.05.2019 11
CZYM JEST Tre@tnet?
Treatnet jest odpowiedziŃ na trzy omawiane poprzednio problemy:
zbyt długi TTD = Treatnet skraca go do kilku/kilkunastu godzin brak narzŃdzi 100% pewnoŃci ochrony = operuje na juś zainfekowanych klientach usługi dodane = bezpiecześstwo jako „+1USD” per klient i śródło dochodu
Treatnet jest rozwiśzaniem software’owym. Gromadzi i operuje szeroko rozumiane LOGi.
Treatnet jest narzŃdziem majŃcym na celu przypisanie zagrośenia (incydentu) do klienta w Ńrodowisku duŃych sieci w tym sieci operatorów telekomunikacyjnych
Treatnet jest natywnie skonstruowane pobierania informacji o uśytkownikach z róśnych systemów i technologii jak: RADIUS/RADIUS-COA, LDAP, DHCP, Usługi Katalogowe
Treatnet jest natywnie skonstruowane do odbierania informacji o zagrośeniach z narzśdzi ochrony i logowania jak Firewall, IPS, ATP, SIEM etc.
Treatnet jest narzśdziem dla zespołów CERT/CSIRT/SoC ale teŃ udostŃpnia Portal Klienta
Treatnet poprzez mechanizm CaptivePortal, Netconf, RADIUS-COA proaktywnie działa na sieć
09.05.2019 12
Treatnet ARCHITEKTURA
Kompletne rozwiŃzanie składa siŃ z kilku elementów zawsze indywidualnie dobrane do operatora lub duŃego klienta :
Security tools – według indywidualnych preferencji klienta jak systemy Firewall, IPS, Skanery podatnoŃci, APT, SIEM
Log/Session collection tools – systemy operatora stanowiŃce ekosystem jego Ńrodowiska sieciowego, np. serwery RADIUS
Treatnet – Tre@tNet: oprogramowanie dostarczane jest w postaci modułów kolekcji danych o uŃytkownikach, narzŃdzia przypisania zagroŃeŃ do uŃytkowników, narzŃdzia wykrywania włamaŃ (sinkhole i honeypot), moduły komunikacji z klientami SMS, email, Captive Portal i API.
Feed SoC/CERT/CSRIT – definicja incydentu jest wkładem zespołu CERT/CSRIT. Realizacja przez własny zespół lub usługa (np. ComCert, Orange CERT etc)
Architektura oprogramowania podzielona na duŃŃ liczbŃ modułów umoŃliwiajŃcych równoległe przetwarzania bardzo duŃych iloŃci danych (C/C++, python, postgresql, redis)
Budowa umoŃliwia wykorzystanie w ekosystemie VMWare, OpenStack i Ganeti
NarzŃdzia automatyzacji procesów ansible
09.05.2019 13
Treatnet – NETWORK SESSION COLLECTOR
Treatnet - NETWORK SESSION COLLECTOR jeden z głównych modułów Treatnet
Unikalny produkt na rynku, wiŃcej niŃ SIEM, gromadzi SESJE bazujŃc na danych z Radius/Syslog
Odpowiedzialna za gromadzenie danych nt. abonentów z róŃnych rozproszonych systemów
Odpowiedzialnym za zgromadzenie i przetworzenie napływajŃcych danych z systemów logujŃcych (np. RADIUS) a nastŃpnie zapisanie ich znormalizowanej formie w bazie danych
Musi on sprostać skali napływajŃcych komunikatów do ok. 250tys/sek (wytestowana w warunkach RZECZYWISTYCH wartoŃć)
Utrudnieniem jest to, Ńe w róŃnych usługach sŃ róŃne technologie w tym IPv i IPv6, zmienne adresy IP (np. usługa Orange Neostrada co max. 24h), DS-Lite etc..
Wykorzystywane przez operatorów (CG-NAT) lub przedsiŃbiorstwa (NAT) techniki translacji adresów wielu-prywatnych-IP w jeden-publiczny-IP wymagajŃ synchronizacji i analizy sesji UDP/TCP.
MoŃe stanowić takŃe samodzielny produkt, pełniŃc funkcje archiwizatora odwołaŃuŃytkowników do sieci Internet
09.05.2019 14
Treatnet – NETWORK SESSION COLLECTOR
Treatnet - NETWORK SESSION COLLECTOR (NSC)
NSC kolekcjonuje trzy podstawowe typu informacji: UserID i jego Adres IP w danym momencie czasowym Logi Syslog, Radius, etc. dowolnie formatowane dane poprzez odpowiednie wtyczki Sesje uŃytkowników (dla CG-NAT/NAT)
NSC – NIE SKANUJE RUCHU IP / Wszystkie dane nt. logów i sesji pochodzŃ z systemów logowania Radius Accounting, Wspiera technologie Port Block Allocation (PBA) CG-NAT, NAT, Firewall (Juniper, Checkpoint, Palo Alto, Fortinet, Cisco) Microsoft AD, LDAP *) Checkpoint ID Awarnes, Palo Alto Identity Agent, Juniper Integrated User Firewall/JIMS,
XFF *) NAC Pulse Secure, Aruba ClearPass, Cisco ISE *) NetFlow (Elastic Beats) *)
09.05.2019 15
Treatnet – NETWORK SESSION COLLECTOR – obraz sesji w sieci
LRANMPLS Ring
LRANMPLS Ring
HRANIP/VPN Mesh
COREIP/MPLS
RAN / CORE Demarcation
RNC
RNC
BSC
LRAN VLAN Tree
Leased Lines
LRAN VLAN Tree
LRAN VLAN Tree
LRANMPLS Ring
~ 21 RNC locationsRural ~ up to 60 NB (3G) (Dense) Urban ~10-15 NB (3G)
per router
~200-400 Nodes for all
LRAN AS
~50 -100 Nodes HRAN
AS
~ 300 locations for LL connectivity
~ xxx (future)small cell extensions
Trusted area
3G (IP)
LTE
3G (ATM)2G (TDM)
~4-10 Nodes per HRAN Ring
(Dense) Urban ~10-15 eNB~9.000 eNB eoy 2017
19M Subscribers
LTE (future)
3G (ATM)2G (TDM)
ASxy
ASxa
ASxb
ASxc
ASxz
ATM to SDH
Small Cells
piotr@srx320adsl> show security flow sessionSession ID: 39854, Policy name: self-traffic-policy/1, Timeout: 46, Valid
In: 192.168.1.3/67 --> 192.168.1.46/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 188, Bytes: 61288,Out: 192.168.1.46/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 187, Bytes: 64328,
Session ID: 41996, Policy name: self-traffic-policy/1, Timeout: 40, ValidIn: 192.168.1.3/67 --> 192.168.1.44/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 173, Bytes: 56398,Out: 192.168.1.44/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 172, Bytes: 56416,
piotr@srx320adsl> show security flow sessionSession ID: 39854, Policy name: self-traffic-policy/1, Timeout: 46, Valid
In: 192.168.1.3/67 --> 192.168.1.46/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 188, Bytes: 61288,Out: 192.168.1.46/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 187, Bytes: 64328,
Session ID: 41996, Policy name: self-traffic-policy/1, Timeout: 40, ValidIn: 192.168.1.3/67 --> 192.168.1.44/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 173, Bytes: 56398,Out: 192.168.1.44/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 172, Bytes: 56416,
piotr@srx320adsl> show security flow sessionSession ID: 39854, Policy name: self-traffic-policy/1, Timeout: 46, Valid
In: 192.168.1.3/67 --> 192.168.1.46/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 188, Bytes: 61288,Out: 192.168.1.46/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 187, Bytes: 64328,
Session ID: 41996, Policy name: self-traffic-policy/1, Timeout: 40, ValidIn: 192.168.1.3/67 --> 192.168.1.44/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 173, Bytes: 56398,Out: 192.168.1.44/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 172, Bytes: 56416,
Co to jest Pakiet? Czy się różni UDP/TCP? Co to jest sesja?
09.05.2019 16
Treatnet – NETWORK SESSION COLLECTOR – obraz sesji w sieci
LRANMPLS Ring
LRANMPLS Ring
HRANIP/VPN Mesh
COREIP/MPLS
RAN / CORE Demarcation
RNC
RNC
BSC
LRAN VLAN Tree
Leased Lines
LRAN VLAN Tree
LRAN VLAN Tree
LRANMPLS Ring
~ 21 RNC locationsRural ~ up to 60 NB (3G) (Dense) Urban ~10-15 NB (3G)
per router
~200-400 Nodes for all
LRAN AS
~50 -100 Nodes HRAN
AS
~ 300 locations for LL connectivity
~ xxx (future)small cell extensions
Trusted area
3G (IP)
LTE
3G (ATM)2G (TDM)
~4-10 Nodes per HRAN Ring
(Dense) Urban ~10-15 eNB~9.000 eNB eoy 2017
19M Subscribers
LTE (future)
3G (ATM)2G (TDM)
ASxy
ASxa
ASxb
ASxc
ASxz
ATM to SDH
Small Cells
piotr@srx320adsl> show security flow sessionSession ID: 39854, Policy name: self-traffic-policy/1, Timeout: 46, Valid
In: 192.168.1.3/67 --> 192.168.1.46/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 188, Bytes: 61288,Out: 192.168.1.46/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 187, Bytes: 64328,
Session ID: 41996, Policy name: self-traffic-policy/1, Timeout: 40, ValidIn: 192.168.1.3/67 --> 192.168.1.44/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 173, Bytes: 56398,Out: 192.168.1.44/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 172, Bytes: 56416,
piotr@srx320adsl> show security flow sessionSession ID: 39854, Policy name: self-traffic-policy/1, Timeout: 46, Valid
In: 192.168.1.3/67 --> 192.168.1.46/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 188, Bytes: 61288,Out: 192.168.1.46/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 187, Bytes: 64328,
Session ID: 41996, Policy name: self-traffic-policy/1, Timeout: 40, ValidIn: 192.168.1.3/67 --> 192.168.1.44/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 173, Bytes: 56398,Out: 192.168.1.44/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 172, Bytes: 56416,
piotr@srx320adsl> show security flow sessionSession ID: 39854, Policy name: self-traffic-policy/1, Timeout: 46, Valid
In: 192.168.1.3/67 --> 192.168.1.46/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 188, Bytes: 61288,Out: 192.168.1.46/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 187, Bytes: 64328,
Session ID: 41996, Policy name: self-traffic-policy/1, Timeout: 40, ValidIn: 192.168.1.3/67 --> 192.168.1.44/68;udp, Conn Tag: 0x0, If: .local..0, Pkts: 173, Bytes: 56398,Out: 192.168.1.44/68 --> 192.168.1.3/67;udp, Conn Tag: 0x0, If: irb.3, Pkts: 172, Bytes: 56416,
Co to jest Pakiet? Czy się różni UDP/TCP? Co to jest sesja?
09.05.2019 17
Treatnet – NETWORK SESSION COLLECTOR
Treatnet - NETWORK SESSION COLLECTOR przykład operator miejskie sieci bezprzewodowej 120xAP
UserID User Session InfoLog Source
ServiceStation InfoMAC or IP
09.05.2019 18
Treatnet – NETWORK SESSION COLLECTOR
Treatnet - NETWORK SESSION COLLECTOR - Direct Access and Administration
09.05.2019 19
Treatnet – NETWORK SESSION COLLECTOR
Treatnet - NETWORK SESSION COLLECTOR (NSC) – śródła danych i wymagania
NSC jest elastyczne, wspiera pozyskanie danych z róŃnych Ńródeł, np.. Syslog Radius Pliki wsadowe, txt, dane RIPE (zakres IP dla firm)
WaŃny element = Ńródło danych – preferowany Radius Accounting – dlaczego?
Pakiet Start:09:54:06.798336 IP (tos 0x0, ttl 64, id 43554, offset 0, flags [DF], proto UDP (17), length 280) [120/181]
10.234.137.240.41190 > 10.234.137.225.radius-acct: [bad udp cksum 0x2abb -> 0x9b92!] RADIUS, length: 252NAS-IP-Address Attribute (4), length: 6, Value: 52.176.202.194NAS-Port-Type Attribute (61), length: 6, Value: Async 0x0000: 0000 0000Called-Station-Id Attribute (30), length: 32, Value: ec-97-ca-18-3f-69:test.ssid.plCalling-Station-Id Attribute (31), length: 19, Value: 9b-47-bd-6e-5f-99
Pakiet Stop:10:00:52.874989 IP (tos 0x0, ttl 64, id 42282, offset 0, flags [DF], proto UDP (17), length 310) [71/181]
10.234.137.240.41190 > 10.234.137.225.radius-acct: [bad udp cksum 0x2ad9 -> 0x71b1!] RADIUS, length: 282Accounting-Request (4), id: 0xca, Authenticator: b11213fd68311f44253cf4f6ee733949NAS-Identifier Attribute (32), length: 18, Value: packet-generatorUser-Name Attribute (1), length: 19, Value: [email protected] Attribute (4), length: 6, Value: 52.176.202.194Acct-Session-Id Attribute (44), length: 43, Value: SESS-94e67546-9de9-4a31-a061-f1aef18aae20Acct-Session-Time Attribute (46), length: 6, Value: 56:14 minAcct-Input-Packets Attribute (47), length: 6, Value: 22Acct-Output-Packets Attribute (48), length: 6, Value: 42Acct-Multi-Session-Id Attribute (50), length: 43, Value: SESS-94e67546-9de9-4a31-a061-f1aef18aae20Event-Timestamp Attribute (55), length: 6, Value: Fri Jun 22 10:00:52 2018Vendor-Specific Attribute (26), length: 8, Value: Vendor: Unknown (1449487972)Vendor Attribute: 111, Length: 114 (bogus, goes past end of vendor-specific attribute)NAS-Port-Type Attribute (61), length: 6, Value: AsyncCalled-Station-Id Attribute (30), length: 32, Value: ec-97-ca-18-3f-69:test.ssid.plCalling-Station-Id Attribute (31), length: 19, Value: 9b-47-bd-6e-5f-99
09.05.2019 20
Treatnet – NETWORK SESSION COLLECTORH
Treatnet - NETWORK SESSION COLLECTOR (NSC) – Skalowanie – wersja XL
NSC XL jest oparte o Dwa podstawowe Ńródła logów: Radius Accounting i CG-NAT Syslog
Przykład – operator telekomunikacyjnych, liczba EPS przekracza 250.000 Usługi DSL – ponad 2 mln abonentów, mobile ponad 10mln, ponad 200tys firm CGN: Logstash+Elastic 250.000 EPS/14+14+3=31 maszyn wirtualnych na 7+3=10
serwerów fizycznych 7 fizycznych serwerów, kaŃdy 4 hosty wirtualne (2*host dyski SSD, 2*host dyski HDD) 3 wirtualne maszyny (na serwerach fizycznych) pełniŃce funkcjŃ mastera
Radius Accountingu: InputBridge (sprowadza do wspólnego formatu), umieszcza w kolejce RabbitMQ
i dalej przetwarza w Network Session Collector NSC 2 maszyny wirtualne/160 GB RAM
NSC
RabbitMQInputBridge
Logstash ElasticSearch
Radius/SyslogAccounting
CG-NATSyslog
09.05.2019 21
Treatnet – TRE@TNET CONSOLE
Treatnet – Tre@tNet Console jest jednym z głównych modułów Treatnet
Odpowiedzialny za procesowanie logiki narzŃdzia Treatnet
Odpowiedzialny za pozyskanie z zewnśtrznych śródeł informacji nt. zagrośeś oraz przetworzenie ich i dowiŃzanie do abonenta (uŃytkownika) na podstawie danych zgromadzonych przez moduł NETWORK SESSION COLLECTOR.
Wbudowany edytor zdarzeŃ typu WYSIWYG pozwalajŃcy bezpoŃrednio tworzyć, edytować i publikowane informacje o zagroŃeniach
ZarzŃdza budowaniem form zaplanowanych operacji zbiorowych (kampanii),
Decyduje o logice wyboru jak komunikować siś z uśytkownikami np. sposobem powiadomienia uŃytkownika korzystajŃcego z łŃczy stałych jest mechanizm CaptivePrortal i Kwarantanna natomiast uŃytkowników mobilnych wystanie komunikatu SMS. DostŃpne kanały komunikacyjne sŃ opisane w module Treatnet-COMMUNICATOR
Automatyzacja procesu naprawczego poprzez wykorzystanie modułu Treatnet-EXECUTOR
09.05.2019 22
Treatnet – TRE@TNET CONSOLE
Treatnet – Tre@tNet Console vs Network Session Collector
NSC gromadzi dane z róŃnych Ńródeł do poziomu sesji uŃytkownika
TNC pozwala na wykorzystanie tych danych w celu ochrony uŃytkownika, jak? TNC pozwala na definiowanie ZAGROśENIA (INCIDENT) rozumianego jako opis
pojedynczego rodzaju malware pozwalajŃcy zidentyfikować zainfekowanego nim uŃytkownika
TNC tworzy listś zainfekowanych uśytkowników: przeszukuje bazŃ danych sesji NSC za zadany okres w celu wyszukania zainfekowanych uŃytkowników i przypisuje im zagroŃenia
TNC zarzśdza SINKHOLE w celu „wyłapania” zainfekowanych uŃytkowników TNC pozwala na tworzenie strategii masowego „oczyszczania” uŃytkowników
z malware tworzŃc tzw. KAMPANIE
TNC jest konsolŃ zarzŃdzania systemu TreatNet - wszystkich jego aspektów
TNC stanowi pojedynczy punkt realizacji polityki ochrony uŃytkowników m.in. realizuje zewnŃtrzne wymagania ustawowe np. Ustawa Antyhazardowa Ministerstwo Finansów, ABW
TNC jest takŃe narzŃdziem dla zespołów SoC/CERT/CSIRT
09.05.2019 23
Treatnet – TRE@TNET MONITOR
Treatnet – Tre@tNet Monitor jest zbiorem narzśdzi do monitorowania
Klasyczne narzŃdzia monitorowania jak np. SNMP nie odzwierciedlajŃ pełnego i realnego stanu systemu i ew. Ńródeł problemów
Inciga – system monitorowania opensource najczŃŃciej uŃywany (albo nagios, opennms, zabbix lub narzŃdzia komercyjne)
Telegraf – zbieranie statystyk systemów (CPU, pamiŃć, sieć) i gromadzenie ich w InfluxDB
InfluxDB – platforma stworzona specjalnie do kolekcji danych zwiŃzanych z monitorowanie w czasie jak logi, metryki itp..
Grafana – narzŃdzie opensource do monitorowania i ilustracji danych, głównie statystych zaleŃnych czasowo
Kibana – narzŃdzie bŃdŃce czŃŃciŃ pakietu elasticsearchdo wizualizacji danych
09.05.2019 24
Treatnet – COMMUNICATOR – EXECUTOR
COMMUNICATOR and EXECUTOR sś odpowiedzialne za interakcjś z klientem w ramach narzśdzi Treatnet
Mechanizm email (SMTP) – naleŃy liczyć siŃ z iloŃciŃ kilkunastu do kilkudziesiŃciu tysiŃcy abonentów w pojedynczej zaplanowanej operacji zbiorowej (funkcjonalnoŃć masowego emailingu)
Mechanizm SMS - naleŃy liczyć siŃ z bardzo duŃymi iloŃciami SMS, przygotowany w postaci podmodułu zdolnego do łŃczenia siŃ z bramami SMS operatorów mobilnych przez udostŃpniane przez nich API
Mechanizm Kwarantanny i Captive Portal jest skuteczny dla odbiorów łŃcz stałych zwłaszcza typu xDSL i FTTH.
Otwarte API –czŃŃć odbiorców integruje własne aplikacje na urzŃdzenia mobilne
Idea działania modułu Treatnet-EXECUTOR polega na uruchomieniu jednego z dostŃpnych mechanizmów naprawy aktualnego stanu abonenta np. wymuszeniu na infrastrukturze sieciowej przesuniŃcie abonenta do kwarantanny
09.05.2019 25
Treatnet – SINKHOLE – HONEYPOT
SINKHOLE i HONEYPOT sś jednym z mechanizmów odpowiedzialnych za identyfikacje zagrośeś
Mechanizmy identyfikacji i pozyskania informacji o zagroŃeniach i zainfekowanych klientach sŃ wewnŃtrzne i zewnŃtrzne w narzŃdziu Treatnet.
Mechanizm Sinkhole polegajŃcy na przekierowaniu wszystkich wychodzŃcy z własnej sieci pakietów a skierowanych do adresów w sieci Internet, które sŃ znane jako adresy centrów zarzŃdzania botnet (C&C Command and Control) do własnego serwera rejestrujŃcego Sinkhole i pozostawienie ich bez odpowiedzi.
Modułem Treatnet-SINKHOLE umoŃliwia propagacjŃ docelowych adresów do infrastruktury routerów (SINKHOLE-BGP), lub url:// (SINKHOLE-DNS), które muszŃ podlegać mechanizmowy sinkhole
Honeypot Manager mechanizmy dynamicznego zarzŃdzania farmŃ Honeypot dla implementacji Honeypot wysokiej i niskiej interakcji.
JAK UśYĆ ZGROMADZONE DANE (BIG DATA) DO WYSZUKANIA ZDARZEś ? … MACHINE LEARNING
09.05.2019 26
Treatnet – ZARZĄDZANIE INCYDENTAMI – ROLA SoC/CERT/CSRIT
Treatnet gromadzi i zarzśdza danymi, procesuje obsługś zainfekowanych uśytkowników
TreatNet Console jest narzŃdziem zarzŃdzajŃcym systemem Treatnet ale teŃ …
… w czŃŃci klienckiej pozwala na podglŃd listy otrzymywanych definicji zagroŃeŃ oraz zainfekowanych uŃytkowników, procesowanie Kampanii
… w czŃŃci API/FEED pozwana na konfiguracjŃ (np definicje zagroŃeŃ, reguły do sinkholeowania) pozyskanych jako usługa
Procesowanie ZAGROŃEŃ i zwiŃzane z tym np. umieszczenie uŃytkownika w KWARANTANNIE jest procesem DECYZYJNYM – wymaga uprawnieŃ administratora bezpieczeŃstwa firmy.
Treatnet Console umoŃliwia pracŃ z zespołem SoC/CERT/CSRIT istniejŃcym w ramach organizacji lub dla firm nie dysponujŃcych takim zespołem pozyskanie FEED jako usługi (np. ComCERT, Orange CERT) etc…
09.05.2019 27
R & D ( R O Z W Ó J ) . T r e a t n e t - P O D S U M O W A N I E
5. „NAJSZYBSZY” SYSTEM LOGOWANIA NA śWIECIE – TEORETYCZNIE MLN EPS
4. „NEUTRALNY” DLA KOMUNIKACJI UśYTKOWNIKA Z INTERNETEM
3. „JEDYNY” ZNANY, KTÓRY WIDZI SESJE W CAŁEJ SIECI
2. „ODPORNY NA SZYFROWANIE (90%) RUCHU” UśYTKOWNIK DO INTERNET
1. „NOWOCZESNY” OD SINKHOLE DO MACHINE LEARNING
09.05.2019 28
Treatnet – NETWORK SESSION COLLECTOR i TREATNET CONSOLE
Treatnet - NETWORK SESSION COLLECTOR (NSC) i TREATNET CONSOLE (TNC) -Skalowanie
NSC jest przeznaczone dla Firm jak i dla Operatorów Telekomunikacyjnych S jak Small Pakiet narzŃdzi All-in-One, 1xAppliance
Networks Session Collector Treatnet Console (TNC) Sinkhole Up to 100EPS
M jak Medium pakiet dla duŃych firm, nxAppliance Networks Session Collector Treatnet Console (TNC) Sinkhole Up to 2000EPS
L jak Large pakiet dla bardzo duŃych przedsiŃbiorstw operujŃcych własne SoC/CERT Networks Session Collector, Elastic Engine Treatnet Console (TNC) Sinkhole NarzŃdzia komunikacji: Mass mailing, SMS Gateway API, CERT/SoC API Up to 10.000 EPS
XL jak ExtraLarge system przeznaczony dla Operatorów Telekomunikacyjnych Networks Session Collector, Elastic Engine Treatnet Console (TNC) Sinkhole DNS, BGP Egzekutor NarzŃdzia komunikacji: Mass mailing, SMS Gateway API, HelpDesk API,
CERT/SoC API, Kafka API Non limited EPS, Performance limited by amount of appliances
Tre@tNet S
09.05.2019 29
