corero - ochrona przed atakami ddos

2013, EMS Partner Sp. z o. o., www.emspartner.pl

Wojciech [email protected]

EMS Partner Sp. z o. o.ul. Szyperska 14, 61-754 Poznań

Corerro – bezpieczeństwo sieciOchrona przed atakami DDoS


2

Firma EMS PartnerEMS Partner zostało powołane przez Grupę PBSG. Tworzą ją ludzie od lat zajmujący się dostarczaniem rozwiązań z zakresu zarządzania usługami informatycznymi, ciągłością działania, ryzykiem oraz bezpieczeństwem

EMS Partner jest resellerem w Polsce marki AirWatch. Jesteśmy liderem wdrożeń systemu AirWatch EMM w Polsce

Zajmujemy się również wdrożeniami całej gamy produktów związanych z zapewnieniem bezpieczeństwa danych również dla urządzeń mobilnych oraz w chmurze.


Informacje o Corero Network Security Centrala w USA, centrala EMEA HQ w Szwajcarii,

2000+ aktywnych klientów z różnych branż w NA, LATAM, EU, ASIA,

Opatentowana technologia ochrony przed DDoS:• Analiza behawioralna,

• Głeboka inspekcja pakietów,

• System zaufania i kredytu.

Aktualne produkty ochrony przed DDoS (firmy):• Wydajność od 1 Gbps do 10 Gbps,

• Zbudowane do pracy in-line.

Q2 14 SmartWall Product-TDS (Service Provider):• n x 10Gbps @ 30Mpps,

• Skalowalna architektura zorientowana na usługi.

Pakiet zarządzalnych usług bezpieczeństwa.

“Corero jest pierwszą linią obrony, która zatrzymuje niechciane pakiety zanim trafią do Twojej sieci”


Optymalny system bezpieczeństwa

Corero zatrzymuje więcej ataków DDoS niż konkurencyjne produkty

InternetIPS/APT

SLB/ADC

WAF

Router

IntelligenceCloud Security

ServiceSmartwall (TDS)

First Line of Defense

FirewallNGFW

IPS/APTSLB/WAF

ServiceAnalytics

ArcSightSplunk

Q1 Labs

WebrootMcAfee

SymantecKaspersky

NeustarProlexicAkamaiArbor

Corero

RadwareArbor

CheckpointPalo AltoFortinetJuniperCisco

SilverTailTrusteerAcertify

SourcefireFortinet

IBMHPF5

FireEye

SIEMBig Data

Corero

Corero

Znane ataki i ruch sieciowyNieznane ataki i ruch sieciowy

Cloud SecurityService

ProtectionCluster Overview.pptx

ProtectionCluster Overview.pptx


Corero – Pierwsza Linia ObronyKompletna oferta urządzeń i serwisów


Skalowalna linia produktów

600 Mbit/Sec

4.4 Gbit/Sec

300 Mbit/Sec

2.4 Gbit/Sec

8 Gbit/Sec

10+ Gbit/Sec

Pr

ze

pu

st

ow

oś

ć s

ie

ci

10 Gbit/Sec

Model 75EC – Single Site / Single Cage

Model 150EC/ES – Multi-Server/VM Sites

Model 500EC/ES – Smaller Data Centers

Model 1000EC/ES – Large 1GbE Data Centers

Model 2000ES – 10GbE Data Centers

Model 2400ES - High Utilization10GbE Data Centers

ProtectionCluster™ Scalable 1GbE / 10GbE Redundant Solution


Pierwsza Linia Obrony - platforma sprzętowa

Dostępny z interfejsem miedzianym i światłowodowym,

Zużycie energii poniżej 100 watów,

Wielkość 1U,

Podwójny moduł zasilania z hot-swape.

Opóźnienie< 50 µSec

Ilość jednoczesnych sesji

• do 2 milionów

Dostępne moduły od 300 Mbps do 10 Gbps

Hardware Niezawodność

20-30 lat MTBF,

Zero-Power Bypass Built-in (copper only)

High availability, load balancing, and scalability using ProtectionCluster

TM

Wydajność

ProtectionCluster


Przegląd zagrożeń


Kategorie ataków i niechcianego ruchu sieciowego

Reflective DDoS

Attacks

Stateful Flow Awareness

DefenseBi-Directional

Flood Detection

Outbound DDoS

Attacks

Defense

Application Layer DDoS

Attacks

Behavior Analysis

Defense

Specially Crafted Packet Attacks

Protocol Analysis

Defense

Pre-Attack Recon (Scans)

Scan Obfuscation

Defense

Advanced Evasion

Techniques (AET)

Advanced Evasion Detect

Defense

Other Unwanted

Traffic

Deep Packet Inspection

Defense

Network Level DDoS

Attacks

DefenseIP Threat-

Level Assessment

Niepożądany ruch pochodzi z różnych źródeł

Cloud Volumetric anti-DDoS Services

Cloud Clean-Pipe anti-DDoS Services

Corero – pierwsza linia obrony

GARTNER25% ataków DDoS

pochodzi od aplikacji


Ataki DDoS w zależności od przepustowościFrom Neustar Inc. 2012 Annual DDoS Attack and Impact Survey

85% ataków ma miejsce przy przepustowości poniżej 1Gbps


Czy warto chronić przed DDoS

BranżaKoszt

przestojuDDOS

Telekomunikacja € 976K

eCommerce € 806K

Finanse € 773K

Sektor publiczny € 531K

Media € 597K

Edukacja € 592K

20% przestojów centrów danych spowodowane atakami DDoSŚredni czas przestoju spowodowany atakiem DDoS attacks to 86 minut

Średni koszt przestoju to € 8K na minutęŚredni koszt ataku DDoS to € 700K

Źródło: Network Computing/Ponemon Institute

Utracone korzyści, mniejsza produktywność, utrata marki

http://www.networkcomputing.com/next-generation-data-center/news/servers/ddos-attacks-wreak-havoc-on-data-centers/240164503


Potrzebne są nowe rozwiązania

“Firewalls don't cut it anymore as the first line of defense”

IT Best Practices Alert

By Linda Musthaler, Network World October 19, 2012

“Don't count on a firewall to prevent or stop a DDoS attack. The first step is to

recognize that your firewall is insufficient protection against the types of DDoS attacks that are increasingly common today. Even a next-generation firewall that claims to have DDoS protection built-in cannot deal with all types of attacks. The best protection against DDoS attacks is a purpose-built device or service that scrutinizes inbound traffic before it can hit your firewall or other components of the IT infrastructure.”

By Linda Musthaler, Network World -January, 2013

Among the key barriers impacting banks' ability to deal with DDoS attacks, 50% cited insufficient personnel and expertise and a lack of effective security technology as the most serious concerns, followed by insufficient budget resources.

A Study of Retail Banks & DDoS Attacks - Ponemon Institute January, 2013

Distributed Denial of service (DDos) attacks: evolution, impact & solutions - VeriSign

While network security devices have matured and are extremely capable of thwarting certain attacks, they are insufficient when it comes to mitigating DDoS attacks.


Ochrona przed DDoS

Uwaga: Wiele urządzeń deklaruje ochronę przed atakami DDoS,

Większość ma tylko jedną funkcję DDoS On / DDoS Off,

Upewnij się iż twój system DDoS:• Zapewnia granulowane polityki DDoS,

• Chroni przed znanymi atakami DDoS,

• Obsługuje ruch sieciowy w trakcie ataku DDoS,

• Nie ulega sam atakowi DDoS,

• Ma zapewnione wsparcie serwisu w trybie 24x7.


Corero – technologie i funkcjonalności


Ochrona przed zagrożeniami

Niechciany ruch

Niepożądani użytkownicy

i serwisy

Ataki DDoSi nadużycia

konkurencyjne

Nadużycia protokołów

i AET

Ukierunkowane ataki na serwery

Zapewnij WGLĄD w niepożądany ruch

Zabraniaj dostępu

Zezwalaj tylko na SPODZIEWANY ruchBlokuj złośliwe adresy IP oraz niechciane lokalizacje

Pozwalaj na określone porty i serwisy

Oceń ILOŚĆ ruchuOgranicz nadmierne żądania i połączenia

Egzekwuj POPRAWNOSCI ruchuZatrzymanie nadużyć protokołów i niezgodności z RFCZapobieganie AET (zaawansowane techniki unikania)

Analizuj INTEGRALNOŚĆ ruchuSprawdzaj ruch, blokuj włamania, przepełnienia buforów,

iniekcje kodu oraz explojty

Limitowanie szybkości

Egzekwow.protokołów

Zapobieganie włamaniom

Increase VisibilityKto atakuje, jaka jest intensywność ataku, jakie wektory ataku są użyte?

Kluczowe sposoby ochrony


Pierwsza Linia Obrony - wytyczne

1. Blokować niechciane adresy IP na podstawie ich reputacji.

2. Blokować ruch z geo-lokalizacji, które nie są obszarem twojej działalności.

3. Dynamicznie oceniać zgrożenia ze wszystkich nieznanych adresów IP.

4. Blokować podejrzane aplikacji na podstawie analizy zachowań.

5. Zamykać wszystkie niepotrzebne porty.

6. Wymuszać prawidłowe wykorzystanie protokołów zgodnie z RFC i standardami branżowymi.

7. Wykrywać techniki omijania blokad niechcianego ruchu.

8. Blokować dedykowane ataki malware twojej infrastruktury.

9. Wykrywać i mitygować sieciowe ataki DDoS.

10. Być wdrożone on-premise dla ochrony twojej poczty, DNS i serwerów.

Rozwiązanie Pierwszej Linii Obrony powinno:


SecureWatch – opis możliwościPełna widoczność


Securewatch

Szacowanie

Wdrożenie

Optymalizacja

MonitorowanieOdpowiedź

Wybór i wdrożenie bezpiecznych rozwiązań

Zoptymalizuj do twoich wymogów biznesowych

SecureWatch firmy CoreroUmożliwia wdrożenie optymalnych zabezpieczeń

Przestrzeganie aktualnych warunków

Monitorowanie bezpieczeństwa i dostępności usług

Zamknięcie ataku i wykorzystanie do ochrony przed przyszłymi atakami

No Protection Full Protection


1 - SzacowanieOkreślenie „operacyjnej”

wydajności

2 - MonitorowanieŚledzenie odchyleń

w ruchu, uaktualnienie i

zarządzanie

3 - OdpowiedźMitygowanie ataków i ponowne

szacowanie

Chroniona sieć

SecureWatch – trzy krokiSzacowanie, Monitorowanie i Odpowiedź

Administrator IT klienta

Centrum Operacyjne Corero

BotnetsAnonymous

Clients

Denial of Service


Serwis SecureWatch PLUSZarządzenie ochroną przed atakami DDoS oraz szkodliwym ruchem

1 – OszacowanieUstalenie linii bazowej

2 - MonitorowanieRaportowanie Nietypowego ruchu

3 – OdpowiadanieMitygacja ataków, udoskonalanie konfiguracji

Corero SOC(Security Operations Center)


Serwisy SecureWatch® i SecureWatch® PLUS

• Monitorowaniedostępności,

• Aktualizacja oprogramowania,

• Tygodniowe raporty.

SecureWatch8x5

SecureWatch PLUS24x7

• Tworzenie i zarządzanie raportami audytowymi,

• Stałe monitorowanie i optymalizacja konfiguracji zabezpieczeń,

• Ostrzeżenie przed atakiem oraz odpowiedź na atak

Customer Support24x7

Tech

nic

al A

cco

un

tM

anag

em

en

t

• Dostęp 24x7,• Rozwiązywanie

problemów S/W i H/W,• Śledzenie incydentów,• Portal wsparcia,• Usługa aktualizacji

ochrony przed zagrożeniami.

Odpowiedź na ataki w czasie rzeczywistym

Instalacja serwisów pod klucz

Optymalizacja procesów bezpieczeństwa


Dodatkowe informacje

EMS Partnerul. Szyperska 14, 61-754 Poznańt: 61 624 85 89 | f: 61 845 15 [email protected]