Обеспечение доступности инфраструктуры корпоративных сетей

Алексей ХолмовСистемный инженерArbor [email protected]

Обеспечение доступности инфраструктуры корпоративных сетей

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Современная инфраструктура

• Бесперебойное электропитание• Автоматическая система пожаротушения• Высоклассные и отказоустойчивые системы охлаждения• Современная высокопроизводительная сетевая

инфраструктура• Превосходное серверное оборудование• Получение сертификаций на обеспечение доступности,

например Uptime Institute Tier III/Tier II/Tier I

Но поможет ли это:• При Малозаметных атаках на

приложения (Application attack)?• При Атаках на инфраструктуру

сетевой безопасности?• При атака типа переполнения

канала связи?• Ответить на вопросы кто вас

атаковал, каков нанесенный ущерби как долго осуществлялись атаки?

DDoS атаки могут быть очень большими и долгими

Атаки уровня приложений

• 44% всех зафиксированных атак – это атаки транспортного уровня и выше

• 82% участника опроса зарегистрировали атаки на HTTP– 77% видели DNS атаки– Только 25% отметили SMTP

атаки• Значительно выросло количество

атак внутри HTTPS – до 54% с 37% в 2012 и 24% в 2011!!!

По данным Worldwide Infrastructure Security ReportДоступен на:http://www.arbornetworks.com/research/infrastructure-security-report

http://www.arbornetworks.com/research/infrastructure-security-report

Россия: статистика атак за первое полугодие 2014

• Всего атак - 16630

• Максимальные размеры атак – 123,15 Gbps и 39,93 Mpps

• Средние размеры атак – 1,738 Gbps и 447,85 Kpps5

DDoS: что Arbor Networks знает об этом?

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 6

Arbor Networks – кто это?

100%Процент Tier 1 операторов, являющихся клиентами Arbor

#1Защищает крупнейший сети компании и наиболее значимые мировые события. Последнее событие мирового масштаба под защитой Arbor Networks –Олимпийский игры в Сочи 2014.

90 Тб/c Трафик, отслеживаемый системой ATLAS в данный момент –Это почти 45% всего Интернет трафика.

#1Позиция Arbor на рынке оборудования защиты от DDoS в сегментах Carrier, Enterprise, Mobile – 65% всего рынка [Infonetics Research декабрь 2013]

14 лет Arbor Networks поставляет инновационные продукты и технологии по обеспечению безопасности и мониторинга сетей с 2000 года

$18 Млрд Выручка компании Danaher в 2013 году - головной компании, обеспечивающей финансовую стабильность Arbor

7

Active Threat Level Analysis System (ATLAS)

Peakflow SP Peakflow SP

ISP Network DARKNET

ATLAS SENSORPeakflow SP Peakflow SP

ISP Network DARKNET

ATLAS SENSOR

Peakflow SP Peakflow SP

ISP Network DARKNET

ATLAS SENSOR

ATLAS DATA CENTER

ATLAS ANALYSIS SYSTEMS

Сенсоры систем ATLAS расположены в сети интернет для обнаружения и классификации атак

Информация отправляется в ATLAS central repository где объединяется с данными полученными от инсталляция Arbor Peakflow и другими данными

Команда ASERT анализирует данные и создаёт Fingerprint

12

3

Более 300 операторов мира предоставляют

данные для анализа

Команда ASERT – исследовательская деятельность компании

Honeypots &SPAM Traps

ATLASSecurity

Community

2.2M +samples

DDoSFamily

20,000+Вредоносных программ в день

“Песочница из виртуальных машин”запускает вредоносный код(ищет командный центр сети ботнет, отслеживает отклонения и закономерности сетевого поведения кода)

“Fingerprint”

Отчёт и PCAP файлы сохраняются в базе

Постоянная аналитика 24 часа в сутки для создания базы данных сигнатур

ATLAS and Google

http://www.digitalattackmap.com/ Визуализация

атак и привязка к новостной ленте

Clean Pipes: Cisco выбирает Arbor Networks

В 2010 Cisco анонсировала закрытие линеек Cisco Guard и Anomaly Detector. Cisco предложила своим заказчикам использовать решения Arbor Networks Peakflow SP Clean Pipes 2.0 – Cisco оттестировала и проверила решения Arbor. Компания Cisco также использует решения Arbor Networks для защиты своих сетей: http://www.cisco.com/web/about/ciscoitatwork/network_systems/network_data_monitoring_and_reporting_web.html

http://www.arbornetworks.com/cleanpipes

http://www.arbornetworks.com/cleanpipes

Комплексный подход к современным DDoS атакам

Операторы связи Корпоративные заказчики

Продукты серии:

Решения:Arbor Peakflow SPArbor Pravail APSArbor Pravail NSIArbor Pravail SAArbor Cloud

Pravail APS, NSI -> Идентификация:Определить аномальный трафик или подозрительную активность.

Pravail APS -> Действие:Заблокировать атаку на границе сети или в «облаке».

Pravail APS, NSI, SA -> Понимание:Проведение оперативных расследований и понимание в деталях атаки и причинённого ущерба.

1

2

3

Комплексный подход к современным DDoS атакам

13

Политики ATLAS Intelligence Feed (AIF)

Подписка доступна только от Arbor Networks и базируется на совокупных знаниях команды Arbor SERT и системы ATLAS

Политики непрерывно обновляются данными об активности бот сетей

Сигнатуры для трафика уровня приложений включают в себя уровень угрозы и оценку доверия

Команда ASERT отслеживает активность сотен различных бот сетей по всеми миру и сотрудничает с организациями CERT более чем 100 стран

Используют знания Arbor ATLAS для своевременной блокировки DDoS-угроз от Bot-

сетей

14

Политики AIF Standard поддерживают

DDoS ThreatsIP Geo-Location

Web Crawler IdentificationCommand and Control

Malware

Политики AIF Advanced поддерживают

Location-Based ThreatsEmail Threats

Targeted AttacksMobile

STANDARD FEED ADVANCED FEED

Политики ATLAS Intelligence Feed (AIF)

Борьба с современными угрозами для входящего и исходящего трафикаПредотвращение попадания зловредного кода в корпоративную сеть и

взаимодействия с внешними компонентами зомби сетейДетальная отчетность о ходе и результатах подавления зловредной активностиОбнаружение DNS запросов к вредоносным доменам

Политики AIF StandardКатегория Подкатегория угрозы

DDoS ThreatsОпределяет источники и цели DDoS атак на основе информации из ATLASHTTP Flooder

IP Geo-Location Идентифицирует источник или получателя трафика по странам

Web Crawler Identification Идентифицирует активность известных поисковых систем

Command andControl

Peer to PeerHTTPIRC

Malware

WebshellRansomwareRATFake Anti VirusBankingVirtual CurrencySpywareDrive BySocial Network

DDoS BotDropperAd FraudWormCredential TheftBackdoorOtherExploit KitPoint of Sale16

Политики AIF Advanced

Категория Подкатегория угрозы

Location BasedThreats

Traffic Anonimization ServicesTORProxySinkholesScannerOther

Email Threats SpamPhishing

Targeted Attacks

APTHacktivismRATWatering HoleRootkit

MobileMobile C&CSpywareMalicious App

Атаки блокируются на основе уровня доверия.

Уровень доверия является динамической составляющей, зависящей от текущей активности объектов наблюдения.

17

Индекс Доверия ASERT

• Индекс доверия характеризует участников глобальной сети Интернет в привязке к IPадресам, доменным именам и используется для формирования политик безопасности

• Вероятность блокировки различных объектов в Интернет может изменяться со временем

• Уровень доверия зависит от зловредной активности хостов

• Детальный уровень отчетности

• Категории AIF для четкого понимания природы угроз

• Быстрый поиск в журнале блокированных хостов по типам угроз

Advanced Threat Protection: исходящие угрозы

Встроенный модуль SSL дешифрации

Производительность:APS 2100-series: дешифрация 5 GbpsAPS 2000-series: дешифрация 750 MbpsБезопасность:Хранение сертификатов на локальном устройствеСтатистика о трафике HTTPS: По часто используемым URL По заблокированным хостам и причинам блокировки

Защита от HTTP-атак внутри SSL/TLS

20

Где можно посмотреть наши решения?О DDOS атаках

The Evolution of DDoS Attacks http://www.youtube.com/watch?v=Q7deVOUXPFk Различные материалы о DDOS http://www.arbornetworks.com/resources/media-library Записанные вебинары: http://www.arbornetworks.com/resources/media-library/enterprise-webinars

Система ATLAS DDoS Attack Protection: Arbor Network's ATLAS http://www.youtube.com/watch?v=0U68W6gTkP8 Atlas Dashboard http://atlas.arbor.net

О нашей команде ASERT Arbor Networks: Researching DDoS and Advanced Threats http://www.youtube.com/watch?v=T3oBpvcBxD4 Worldwide Infrastructure Security report http://www.youtube.com/watch?v=-83m82sEpNI DDoS and the Evolving Advanced Threat Landscape http://www.youtube.com/watch?v=92p_MbPbewk Asert blog http://www.arbornetworks.com/asert/

Решения Arbor Networks (Peakflow, Pravail APS, Pravail NSI, Pravail SA, Arbor Cloud) Comprehensive DDoS Protection Solutions http://www.youtube.com/watch?v=JP299b-IG6g Video about Pravail family solutions:http://www.youtube.com/watch?v=Qznv913qVzw&list=PLu8eXm-IEjEC-

kbMOSsQKPJGoc1V75fnw Pravail NSI Product Tour http://www.youtube.com/watch?v=2Fn_b4g1Tqw Cloud-Based DDoS Protection from Arbor Networks http://www.youtube.com/watch?v=kPJ-wjyhyoM Pravail SA: http://vimeo.com/user6890858/videos

http://www.youtube.com/watch?v=Q7deVOUXPFk

http://www.arbornetworks.com/resources/media-library

http://www.arbornetworks.com/resources/media-library/enterprise-webinars

http://www.youtube.com/watch?v=0U68W6gTkP8

http://atlas.arbor.net

http://www.youtube.com/watch?v=T3oBpvcBxD4

http://www.youtube.com/watch?v=-83m82sEpNI

http://www.youtube.com/watch?v=92p_MbPbewk

http://www.arbornetworks.com/asert/

http://www.youtube.com/watch?v=JP299b-IG6g

http://www.youtube.com/watch?v=Qznv913qVzw&list=PLu8eXm-IEjEC-kbMOSsQKPJGoc1V75fnw

http://www.youtube.com/watch?v=2Fn_b4g1Tqw

http://www.youtube.com/watch?v=kPJ-wjyhyoM

http://vimeo.com/user6890858/videos

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом #CiscoConnectRu

Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.

СпасибоContacts:NamePhoneE-mail

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Technology

Обеспечение доступности инфраструктуры корпоративных сетей