Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Angriffe erkennen und abwehren - Intrusion Protection im Einsatz

Veröffentlicht von:Hildebrand Wolski Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Angriffe erkennen und abwehren - Intrusion Protection im Einsatz"—  Präsentation transkript:

1 Angriffe erkennen und abwehren - Intrusion Protection im Einsatz
Florian Tinnus Key Account Manager

2 Angriffe - extern

3 Angriffe - intern

4 Angriffe – neue Formen “Hybrid Threats”
Scanning Browsing Network Shares

5 Reaktion “Security Inseln”
Risk Spectrum Viruses Worms Back Doors Malicious Code Unauthorized Access Misuse DDoS Web Defacement Exploits

6 Eine Lösung – Ein Protection System

7 RealSecure Protection System

8 Network, Server & Desktop Protection

9 Herausforderung – Netzwerk Security
Mehr als 70% der Attacken via Port 80 (http) Multiple Zugänge zum Internet (Modems, ISDN, Mobiles) Konfigurationsfehler in komplexen Netzwerkarchitekturen Heute: Meistens statische Schutzmaßnahmen mit festem Regelwerk Remote Administration – Nutzeraccount auf der Firewall als Angriffspunkt Brandschutzmauer nach außen – kein Schutz vor internen Angreifern Überprüfung Datenstrom – nicht Inhalt

10 Netzwerk – „Angriffe“ erkennen und abwehren
Management Network Sensor Server Sensor Desktop Sensor ALERT/ LOG ALERT/ LOG SESSION TERMINATED ATTACK DETECTED SESSION LOGGED RECONFIGURE FIREWALL/ ROUTER INTERNAL SESSION TERMINATED ATTACK DETECTED RECORD SESSION

11 Real Secure Network Protector
Lösung – Real Secure Network Protector 1. Analyse der (kritischen) Netzaktivitäten in Echtzeit, Protokollierung wichtiger Informationen, Auswertung von Log-Dateien 2. Regelmäßige Überprüfung von Konfiguration und Komponenten der Netzwerk Infrastruktur 3. Alerting und (aktive) Gegenmaßnahmen bei Angriffen und Policy Verstoß (Firewall Re-Konfiguration, Identifikation IP Adresse, RS Kill, Pager Alarm, ...)

12 Real Secure Network Protection - Testsieger
Resistance to evasion techniques 100% of attacks recognized (Fragroute, Whiskers, etc.) Attack recognition ‚... excellent with default signature-test ...‘ TRONS-modul including SNORT-Signatures Hybrid intrusion detection Protocol analysis & pattern matching for identify malicious code and full IP-packet de-fragment Stateful Operation Tracking up to 1 Mio. parallel connections Performance Gigabit Network Support Full Duplex 100BaseT support VLAN (802.1q) Support, Full remote upgrades, Evidence Logging, Full Packet Logging, Strong RSA Crypto support, Per IP Event Filtering, Dropped Packet Notification 1.      Vorbereitung: Während dieser Phase werden die Informationen vom Kunden gesammelt und zur Verfügung gestellt, damit ein detaillierter Assessment-Plan erstellt werden kann. In diesem werden der Umfang, die Struktur und die Einschränkungen der Untersuchungen definiert. - Abschliessende Analyse und Kundeneinweisung Während des gesamten Assessments wird der Kunde über jeden durchgeführten Schritt informiert. Besonders bei den High-Risk Schwachstellentests wird der Kunde darauf hingewiesen, dass evtl. kritische Ausfälle auftreten können. Generell werden die Schwachstellen von ISS in folgende 3 Kategorien eingeteilt: ·        High Risk: Diese Schwachstellen sind die kritischsten. Bei diesen Schwachstellen muss sofort gehandelt werden. Die betreffenden Netzwerke, Systeme oder Daten sollten sofort gesichert werden. ·        Medium Risk: Diese Schwachstellen können eine potentielle Gefahr für das Netzwerk, die Systeme oder die Daten darstellen. Diese Schwachstellen sollten in absehbarer Zeit behoben werden. ·        Low Risk: Diese Schwachstellen sollten protokolliert werden und zu einem späteren Zeitpunkt behandelt werden. Diese stellen i.d.R. keine potentielle Gefahr für das Netzwerk dar, sollten aber weiterhin beobachtet und ggf. beseitigt werden. Nach dem Assessment werden die gesamten Daten, die während den einzelnen Phasen gesammelt wurden, zusammengeführt. Diese Daten werden analysiert und abgeglichen. Ein abschliessender Report mit allen erkannten Schwachstellen, Risiken und Empfehlungen wird erstellt und dem Kunden üblicherweise eine Woche nach der Durchführung des Assessments zugesandt. Ferner kann der Kunde auf alle Daten, die während des Assessments gewonnen wurden, zurückgreifen. Nach der Beendigung stehen die ISS Consultants für weitere Fragen zur Verfügung, auf Wunsch kann auch eine abschliessende Präsentation der Ergebnisse durchgeführt werden. Aufgrund der gewonnenen Ergebnisse können die Consultants mit Ihrem tiefen Wissen und Ihrer Erfahrung im Security Bereich den Kunden bei der Planung und Implementierung von Sicherheitslösungen unterstützen. ISS unterstützt eine grosse Anzahl von Kunden bei der Einführung von Schwachstellen-Assessment und Intrusion Detection Systemen.

13 Herausforderung - Desktop Security
Angestellte(r): „Ich habe nichts gemacht und nun geht der Rechner nicht mehr!?“ Trojaner Angestellte(r): „Hast du diese tolle Software / Hardware schon gesehen? Soll ich Sie dir geben?“ Security Policy auf dem Desktop ist nicht durchführbar

14 Desktop - „Gefahren“ erkennen und abwehren
Angestellter darf nur Programme nutzen, die er zur Ausübung seiner Aufgaben braucht. Angestellter darf keine Software ohne Erlaubnis installieren oder verändern. Nur autorisierte Applikation darf kommunizieren Desktop kann ohne Erlaubnis nicht umkonfiguriert werden. Desktop sollte nicht ausfallen. Fremdhardware darf nicht installiert werden können. Rechner darf nicht ausspioniert werden. Desktop darf nicht zu Crackeraktivitäten fähig sein.

15 Lösung – Real Secure Desktop Protector
Firewall und Intrusion Protection Applikations- und Kommunikations- überwachung Dateiüberwachung Anti-Virus Zentral administrierbar Zentrale automatisierte Auswertung Integration in unternehmensweites Security Management keine extra Hardware

16 Real Secure Desktop Protection – Marktführer
ISS leads the REPS market with a 37% market share REPS = Remote End-Point Security Cooperation with NAI gives space for further functionalities

17 Enterprise Security Management

18 Herausforderung – Enterprise Security Management
Einheitliche Analyse und Management von Netzwerk, Server und Desktop Protection System Monitoring, Kontrolle und Analyse der Protection Systeme in einer Oberfläche mit reduzierten operativen Kosten ISS Strategy Discussion: Moving forward ISS will deliver security information as components of an integrated system. Each sensing and scanning technology will be delivered in the context of a - desktop protection system - server protection system - network protection system Or combinations of the above. Why? -It forces our development efforts and our customers to put the main focus of the system on the element of protection rather than on the parts of the system. ensures the components all fit and work together Reduces cost of ownership as functionality within the system is not replicated Reduces and automates the “manual” tasks normal performed by the cognitive abilities of the operator: Given fusion example. End result is better protection ***** Application Protection- databases, Web server protection, etc. are “located” in the Server space for this discussion. This graphic is meant to simply the discussion of security, but doesn’t mean that we are continuing to enhance and develop products such as Database Scanner, or come out with new application specific protection packages around web servers, and other critical server based applications.

19 Lösung - Real Secure Site Protector
ISS Management Roadmap RealSecure SiteProtector is ISS’s strategic security management platform going forward to support all Network, Server, and Desktop sensors. Over the next months it will coexist with all current ISS consoles, but it will eventually replace them over time Current customers of RealSecure, BlackICE, and SAFEsuite Decisions as of 1/31/02 can automatically upgrade to SiteProtector SiteProtector 1.0 fully supports all RealSecure 6.0 sensors as well as Internet Scanner Subsequent SiteProtector 1.x releases will support the following capabilities in approximately this order within 2002: - Integration of ICEcap Manager events integrated into SiteProtector for a single point of Event Management for all Network, Server, and Desktop protection systems - Integration of System Scanner results from the System Scanner console - Integration of Security alerts from 3rd party Security devices including competitive IDS products, (Firewalls, Routers), and other critical applications and computing platforms Replacement of SAFEsuite Decisions analysis and reporting capabilities delivered via SiteProtector Integration of Database Scanner information SiteProtector 1.x releases will support all aspects of security management to replace existing RealSecure Workgroup Manager, ICEcap Manager, and SAFEsuite Decisions. Ultimately over time these consoles, along with System Scanner will be replaced by SiteProtector based solutions Internet Scanner and Database Scanner will integration into SiteProtector, but will also continue on as a stand-alone audit based product for use by mobile auditors and security professionals

20 Real Secure Site Protector - Highlights
Skalierbarkeit - Architektur Erweiterung der RealSecure 6.5 “Three tier architecture” Alle Sensoren unterstützt durch eine Plattform Deployment Manager für SiteProtector und Sensoren Flexibles Multi-user Environment Remote, Secure, Roles-based User Interface Zentrales “Command und Control” aller Sensoren

21 Real Secure Site Protector - Highlights
Skalierbarkeit - Betrieb Asset orientation – fokussiert Security Resourcen effizient – auf das wichtigste System User-definierte hierarchische Gruppenstruktur Event Aggregation und Korrelation Customized Event filtering Site Rules – automated incident and exception handling Security Fusion Modul – Automatische Event Correlation

22 Beispiel: Site Protector Fusion Modul Das IDS meldet typische Angriffe ...
Instructor note: The next 3 slides build on this one. Here’s an example of analysis without fusion. The operator has no indication of the impact of each attack. The operator must spend valuable time and energy MANUALLY investigating EACH INCIDENT!!! This is a very time-consuming task.

23 ... aber das “Target” hat gar keine Schwachstellen !
Analysts can click the status column to sort the events by status. Sorting the events shows the targets that were protected. Analysts can highlight these events and clear them from their view so that they can focus on the most important attacks (attacks against vulnerable targets, highlighted in the next slide).

24 Priorisierung durch Korrelation von Angriff & Schwachstellen auf dem Target
This slide highlights the most important events (attacks against vulnerable targets). Sorting events by the status column also helps the user identify likely successful attacks. Imagine an entire list of hundreds of events, where only seven of the events were vulnerable to the attack! In that example you reduce investigation time by 93%. This simple example shows how dramatically fusion can reduce TCO.

25 Ganzheitliche & dynamische Lösung - RealSecure Protection System

26 Marktführer - IDC’s IDnA Market Share

27 GTOC.iss.net – das “Internet Wetter”
1.      Vorbereitung: Während dieser Phase werden die Informationen vom Kunden gesammelt und zur Verfügung gestellt, damit ein detaillierter Assessment-Plan erstellt werden kann. In diesem werden der Umfang, die Struktur und die Einschränkungen der Untersuchungen definiert. - Abschliessende Analyse und Kundeneinweisung Während des gesamten Assessments wird der Kunde über jeden durchgeführten Schritt informiert. Besonders bei den High-Risk Schwachstellentests wird der Kunde darauf hingewiesen, dass evtl. kritische Ausfälle auftreten können. Generell werden die Schwachstellen von ISS in folgende 3 Kategorien eingeteilt: ·        High Risk: Diese Schwachstellen sind die kritischsten. Bei diesen Schwachstellen muss sofort gehandelt werden. Die betreffenden Netzwerke, Systeme oder Daten sollten sofort gesichert werden. ·        Medium Risk: Diese Schwachstellen können eine potentielle Gefahr für das Netzwerk, die Systeme oder die Daten darstellen. Diese Schwachstellen sollten in absehbarer Zeit behoben werden. ·        Low Risk: Diese Schwachstellen sollten protokolliert werden und zu einem späteren Zeitpunkt behandelt werden. Diese stellen i.d.R. keine potentielle Gefahr für das Netzwerk dar, sollten aber weiterhin beobachtet und ggf. beseitigt werden. Nach dem Assessment werden die gesamten Daten, die während den einzelnen Phasen gesammelt wurden, zusammengeführt. Diese Daten werden analysiert und abgeglichen. Ein abschliessender Report mit allen erkannten Schwachstellen, Risiken und Empfehlungen wird erstellt und dem Kunden üblicherweise eine Woche nach der Durchführung des Assessments zugesandt. Ferner kann der Kunde auf alle Daten, die während des Assessments gewonnen wurden, zurückgreifen. Nach der Beendigung stehen die ISS Consultants für weitere Fragen zur Verfügung, auf Wunsch kann auch eine abschliessende Präsentation der Ergebnisse durchgeführt werden. Aufgrund der gewonnenen Ergebnisse können die Consultants mit Ihrem tiefen Wissen und Ihrer Erfahrung im Security Bereich den Kunden bei der Planung und Implementierung von Sicherheitslösungen unterstützen. ISS unterstützt eine grosse Anzahl von Kunden bei der Einführung von Schwachstellen-Assessment und Intrusion Detection Systemen.

28 Angriffe erkennen und abwehren - Intrusion Protection im Einsatz
Florian Tinnus Key Account Manager

Herunterladen ppt "Angriffe erkennen und abwehren - Intrusion Protection im Einsatz"

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Rechnernetze und verteilte Systeme (BSRvS II)

Rechnernetze und verteilte Systeme (BSRvS II)
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.

Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.

Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
1 06.02.2003 21:33 Internet Applikationen – Hard und Softwareplattform Copyright ©2003, 2004 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.

:33 Internet Applikationen – Hard und Softwareplattform Copyright ©2003, 2004 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.
Webhosting unter Windows bei S+P AG 1. Vorstellung und Programm 2. Tarife mit ASP.NET bei der Schlund + Partner AG 3. Unterschiede / Features der Angebote.

Webhosting unter Windows bei S+P AG 1. Vorstellung und Programm 2. Tarife mit ASP.NET bei der Schlund + Partner AG 3. Unterschiede / Features der Angebote.
<<Presentation Title>>

<<Presentation Title>>
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Neuerungen in PalmOS® 5 Florian Schulze (SS 2003).

Neuerungen in PalmOS® 5 Florian Schulze (SS 2003).
7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin
Gefährdung durch Viren

Gefährdung durch Viren
Framework für ein Intrusion Detection System

Framework für ein Intrusion Detection System
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
n4 Streaming Media System

n4 Streaming Media System
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.

Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
10 Standorte in Deutschland

10 Standorte in Deutschland

Ähnliche Präsentationen

Google-Anzeigen