Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

RedSeal - система визуализации и анализа рисков сетевой безопасности

DialogueScience
DialogueScience

Система визуализации и анализа рисков сетевой безопасности RedSeal, которая позволяет в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети компании и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации

1 of 27
Download to read offline
СИСТЕМА ВИЗУАЛИЗАЦИИ И АНАЛИЗА РИСКОВ СЕТЕВОЙ БЕЗОПАСНОСТИ REDSEAL Роман Ванерке Руководитель отдела технических решений ЗАО «ДиалогНаука»
Содержание •Обзор системы визуализации и анализа рисков RedSeal •Практическая демонстрация системы: –Демонстрация построения карты сети на примере распределенной сети –Демонстрация анализа рисков •Заключение 2
Актуальные вопросы 3 Получение актуальной топологии сетевой инфраструктуры Сложность в выявлении уязвимостей, связанных с архитектурой сети Сложность приоритезации выявленных уязвимостей без привязки к топологии сети и значимости информационных активов Отсутствие автоматизированного аудита конфигураций межсетевых экранов Сложность в расследовании инцидентов информационной безопасности
ОБЕСПЕЧЕНИЕ СЕТЕВОЙ БЕЗОПАСНОСТИ В 2014 4
Сетевая безопасность 5 Ваша сеть Вещи, которые вы знаете Вещи, которые вы не знаете Вещи, которые вы должны знать
Сетевая безопасность 2014 6 Вещи, которые вы знаете Нехватка квалифицированных кадров Частичное соответствие требованиям Ограничения бюджета Возрастающие требования регуляторов Больше возможностей для атак Сложность сети Непрекращающиеся атаки
Сетевая безопасность 2014 7 Вещи, которые вы не знаете Насколько эффективны применяемые СЗИ? Насколько точна оценка рисков? Какие изменения в доступе наиболее опасны? Степень соответствия требованиям? Какие уязвимости действительно опасны? Есть ли «темные» места в сети?
Сетевая безопасность 2014 8 Как устранить риск до атаки Как эффективно приоритезировать уязвимости Как быстро оценить последствия после атаки Как автоматизировать соответствие требованиям Какова реальная картина рисков сетевой безопасности? ВЕЩИ, КОТОРЫЕ НУЖНО ЗНАТЬ Какой появляется риск после внесения изменений
9 Вещи, которые вы знаете Вещи, которые вы не знаете ВЕЩИ, КОТОРЫЕ НУЖНО ЗНАТЬ We help large enterprises and government agencies master their network security risk
Возможности RedSeal 10 Firewall Critical Resources DMZ Firewall Finance Определение уязвимостей, доступных для эксплуатации Уменьшение возможностей атаки Leapfrog / Pivot Определение политики доступа мобильных устройств Приоритезация уязвимостей на узлах для устранения Определение степени компрометации при проведении расследований Минимизация доступа к критичным ресурсам Выполнение Device Best Practice Checks (BPC’s) Анализ правил межсетевых экранов «Темные» места в сети Контроль доступа DMZ IT Operations & Security Operations Center
Как это работает 11 1. Выполняется сбор конфигураций МЭ, роутеров, коммутаторов и балансировщиков, развернутых в сети, как непосредственно с устройства, так и через CMDB 2. Используя проприетарные алгоритмы выполняется анализ конфигурационных файлов для построения виртуальной модели сети 3. Выполняются проверки Best Practice Checks (BPC) к конфигурациям для выявления эксплуатационных уязвимостей 4. Также может быть загружена в систему информация об уязвимостях узлов сети, определение уязвимостей, эксплуатация которых возможна как непосредственно из недоверенной сети, так и требующих компрометацию промежуточных узлов 5. Симуляция атаки позволяет оценить, какие уязвимости могут быть про эксплуатированы при открытии доступа, позволяет администраторам приоритезировать задачи
Архитектура RedSeal Сетевые устройства (маршрутизаторы, межсетевые экраны, балансировщики) Платформа RedSeal Сканеры безопасности Системы управления Отчеты Оповещения Отправка событий об инцидентах в SIEM
Архитектура RedSeal 13 Платформа RedSeal 6 Сбор конфигураций устройств Библиотека угроз Механизмы корреляции конфигурации и рисков Карта топологии сети Анализ конфигурации устройств Моделирование угроз Управление изменениями Архитектура анализа и управления политиками Постоянный мониторинг Визуализация сети и рисков Метрики Правила и конфигурации МЭ Конфигурации маршрутизаторов Конфигурации баланс. нагрузки Конфигурации точек доступа Данные по уязвимостям узлов Интеграция SIEM Workflow GRC
Построение модели сети 14 •Построение топологии сети путем считывания конфигураций устройств •Считывание конфигураций из файлов или путем подключения к устройствам по сети •Выявление «невидимых» ранее сегментов корпоративной сети •Возможность экспорта карты сети в Visio и другие форматы
Пример модели сети 15
Контроль доступа на уровне сети 16 •Определение доступности узлов -«К чему можно получить доступ из сети Интернет?» -«Кто может получить доступ к АБС?» •Проверка корректности разграничения доступа -“Можно ли из недоверенной сети получить доступ к сегменту с критичными серверами?”
Анализ конфигурационных файлов 17 Отсутствие правил фильтрации DNS Floodguard Disabled Наличие TELNET Наличие TELNET Пароль администратора по умолчанию Наличие сервиса HTTP Наличие доступа SNMP Write Отсутствие правила «Stealth Rule» Анализ правил фильтрации МЭ: •Выявление ненужных правил -Избыточные -Неработоспособные -Неактивные •Выявление неиспользуемых правил -Анализ времени последнего применения -Анализ частоты использования •Более 120+ проверок конфигураций устройств с целью выявления уязвимостей •Возможность создания собственных проверок
Визуализация возможных векторов атаки 18 Моделирование возможных векторов атаки на основе данных об уязвимостях и топологии сети Определение многошаговых угроз, для реализации которых требуется компрометация промежуточных узлов сети
Приоритезация уязвимостей •Ранжирование уязвимостей исходя из их достижимости для потенциального злоумышленника •Приоритезация на основе значимости ИТ-активов •Возможность импорта результатов сканирования –MaxPatrol (Xspider), Symantec, eEye, McAfee VME, Nessus, Rapid 7, Qualys, NMAP 19
Контроль соответствия заданным политикам 20 •Мониторинг политик разграничения доступа в сети •Наличие встроенных проверок для выполнения требований PCI DSS •Развитые средств для определения собственных политик (например, разграничение доступа между филиалом и головным офисом) •Реагирование на факты нарушения заданных политик: - Визуализация - Оповещения по email - Отчеты - Отправка событий в SIEM
Моделирование изменений в сети 21 •Автоматическое определение изменений, которые необходимо внести в конфигурацию сети для предоставления/блокирования доступа к сегментам сети -Все устройства в пути доступа -Устройства,блокирующие/разрешающие доступ -Правила/ACL, блокирующие /разрешающие доступ •Оценка рисков, связанных с вносимыми изменениями в конфигурацию сети -Информация о появляющихся уязвимостях -Отображение возможных векторов атак
Построение отчетов •Общие отчеты и показатели –Результаты работы системы –Выявление имеющихся нарушений политик безопасности –Ключевые риски сетевой безопасности •Отчеты для управления рисками ИБ –Контроль доступа и оценка соответствия –Управление уязвимостями –Конфигурации по лучшим практикам •Управление отчетами –Экспорт в PDF и другие форматы –Возможность создания собственных отчетов 22
Интеграция с SIEM-системами •Возможность автоматической отправки в систему мониторинга (SIEM) информации о выявленных инцидентах безопасности: –Нарушение политики разграничения доступа –Несанкционированные изменения в конфигурации сетевого оборудования и межсетевых экранов –Выявление уязвимостей в настройках сетевых устройств •Интеграциями с решениями HP ArcSight, Symantec, McAfee SIEM и Cisco Security Manager 23
Особенности поставки и эксплуатации •Возможна поставка в виде программного обеспечения, либо образа виртуальной машины VMware •Комплекс работает в пассивном режиме не влияя на работоспособность сети •Масштабируемость решения 24
Клиенты компании 25 Технологические компании Ритейл Финансовые организации Правительственные организации Телекоммуникации
Ключевые возможности •Автоматическое построение модели сети (сетевой топологии) •Оценка настроек сетевых устройств и межсетевых экранов с точки зрения соответствия лучшим практикам и стандартам информационной безопасности •Оценка эффективности используемых правил фильтрации межсетевых экранов (выявление неиспользуемых, избыточных или ошибочных правил) •Автоматическое построение векторов возможных атак на основе текущей сетевой топологии, имеющихся сетевых средств защиты и актуальных уязвимостях •Автоматическое выделение наиболее приоритетных уязвимостей, устранение которых приведёт к устранению наиболее опасных векторов атак •Отслеживания изменений в настройках сетевого оборудования и сетевых средств защиты •Выявление нарушений политики разграничения доступа на уровне сети 27
Вопросы? 117105, г. Москва, ул. Нагатинская, д.1, стр.1 Телефон: +7 (495) 980-67-76 доб. 162 Факс: +7 (495) 980-67-75 http://www.DialogNauka.ru e-mail: rv@DialogNauka.ru 28

More Related Content

RedSeal - система визуализации и анализа рисков сетевой безопасности

  • 1. СИСТЕМА ВИЗУАЛИЗАЦИИ И АНАЛИЗА РИСКОВ СЕТЕВОЙ БЕЗОПАСНОСТИ REDSEAL Роман Ванерке Руководитель отдела технических решений ЗАО «ДиалогНаука»
  • 2. Содержание •Обзор системы визуализации и анализа рисков RedSeal •Практическая демонстрация системы: –Демонстрация построения карты сети на примере распределенной сети –Демонстрация анализа рисков •Заключение 2
  • 3. Актуальные вопросы 3 Получение актуальной топологии сетевой инфраструктуры Сложность в выявлении уязвимостей, связанных с архитектурой сети Сложность приоритезации выявленных уязвимостей без привязки к топологии сети и значимости информационных активов Отсутствие автоматизированного аудита конфигураций межсетевых экранов Сложность в расследовании инцидентов информационной безопасности
  • 5. Сетевая безопасность 5 Ваша сеть Вещи, которые вы знаете Вещи, которые вы не знаете Вещи, которые вы должны знать
  • 6. Сетевая безопасность 2014 6 Вещи, которые вы знаете Нехватка квалифицированных кадров Частичное соответствие требованиям Ограничения бюджета Возрастающие требования регуляторов Больше возможностей для атак Сложность сети Непрекращающиеся атаки
  • 7. Сетевая безопасность 2014 7 Вещи, которые вы не знаете Насколько эффективны применяемые СЗИ? Насколько точна оценка рисков? Какие изменения в доступе наиболее опасны? Степень соответствия требованиям? Какие уязвимости действительно опасны? Есть ли «темные» места в сети?
  • 8. Сетевая безопасность 2014 8 Как устранить риск до атаки Как эффективно приоритезировать уязвимости Как быстро оценить последствия после атаки Как автоматизировать соответствие требованиям Какова реальная картина рисков сетевой безопасности? ВЕЩИ, КОТОРЫЕ НУЖНО ЗНАТЬ Какой появляется риск после внесения изменений
  • 9. 9 Вещи, которые вы знаете Вещи, которые вы не знаете ВЕЩИ, КОТОРЫЕ НУЖНО ЗНАТЬ We help large enterprises and government agencies master their network security risk
  • 10. Возможности RedSeal 10 Firewall Critical Resources DMZ Firewall Finance Определение уязвимостей, доступных для эксплуатации Уменьшение возможностей атаки Leapfrog / Pivot Определение политики доступа мобильных устройств Приоритезация уязвимостей на узлах для устранения Определение степени компрометации при проведении расследований Минимизация доступа к критичным ресурсам Выполнение Device Best Practice Checks (BPC’s) Анализ правил межсетевых экранов «Темные» места в сети Контроль доступа DMZ IT Operations & Security Operations Center
  • 11. Как это работает 11 1. Выполняется сбор конфигураций МЭ, роутеров, коммутаторов и балансировщиков, развернутых в сети, как непосредственно с устройства, так и через CMDB 2. Используя проприетарные алгоритмы выполняется анализ конфигурационных файлов для построения виртуальной модели сети 3. Выполняются проверки Best Practice Checks (BPC) к конфигурациям для выявления эксплуатационных уязвимостей 4. Также может быть загружена в систему информация об уязвимостях узлов сети, определение уязвимостей, эксплуатация которых возможна как непосредственно из недоверенной сети, так и требующих компрометацию промежуточных узлов 5. Симуляция атаки позволяет оценить, какие уязвимости могут быть про эксплуатированы при открытии доступа, позволяет администраторам приоритезировать задачи
  • 12. Архитектура RedSeal Сетевые устройства (маршрутизаторы, межсетевые экраны, балансировщики) Платформа RedSeal Сканеры безопасности Системы управления Отчеты Оповещения Отправка событий об инцидентах в SIEM
  • 13. Архитектура RedSeal 13 Платформа RedSeal 6 Сбор конфигураций устройств Библиотека угроз Механизмы корреляции конфигурации и рисков Карта топологии сети Анализ конфигурации устройств Моделирование угроз Управление изменениями Архитектура анализа и управления политиками Постоянный мониторинг Визуализация сети и рисков Метрики Правила и конфигурации МЭ Конфигурации маршрутизаторов Конфигурации баланс. нагрузки Конфигурации точек доступа Данные по уязвимостям узлов Интеграция SIEM Workflow GRC
  • 14. Построение модели сети 14 •Построение топологии сети путем считывания конфигураций устройств •Считывание конфигураций из файлов или путем подключения к устройствам по сети •Выявление «невидимых» ранее сегментов корпоративной сети •Возможность экспорта карты сети в Visio и другие форматы
  • 16. Контроль доступа на уровне сети 16 •Определение доступности узлов -«К чему можно получить доступ из сети Интернет?» -«Кто может получить доступ к АБС?» •Проверка корректности разграничения доступа -“Можно ли из недоверенной сети получить доступ к сегменту с критичными серверами?”
  • 17. Анализ конфигурационных файлов 17 Отсутствие правил фильтрации DNS Floodguard Disabled Наличие TELNET Наличие TELNET Пароль администратора по умолчанию Наличие сервиса HTTP Наличие доступа SNMP Write Отсутствие правила «Stealth Rule» Анализ правил фильтрации МЭ: •Выявление ненужных правил -Избыточные -Неработоспособные -Неактивные •Выявление неиспользуемых правил -Анализ времени последнего применения -Анализ частоты использования •Более 120+ проверок конфигураций устройств с целью выявления уязвимостей •Возможность создания собственных проверок
  • 18. Визуализация возможных векторов атаки 18 Моделирование возможных векторов атаки на основе данных об уязвимостях и топологии сети Определение многошаговых угроз, для реализации которых требуется компрометация промежуточных узлов сети
  • 19. Приоритезация уязвимостей •Ранжирование уязвимостей исходя из их достижимости для потенциального злоумышленника •Приоритезация на основе значимости ИТ-активов •Возможность импорта результатов сканирования –MaxPatrol (Xspider), Symantec, eEye, McAfee VME, Nessus, Rapid 7, Qualys, NMAP 19
  • 20. Контроль соответствия заданным политикам 20 •Мониторинг политик разграничения доступа в сети •Наличие встроенных проверок для выполнения требований PCI DSS •Развитые средств для определения собственных политик (например, разграничение доступа между филиалом и головным офисом) •Реагирование на факты нарушения заданных политик: - Визуализация - Оповещения по email - Отчеты - Отправка событий в SIEM
  • 21. Моделирование изменений в сети 21 •Автоматическое определение изменений, которые необходимо внести в конфигурацию сети для предоставления/блокирования доступа к сегментам сети -Все устройства в пути доступа -Устройства,блокирующие/разрешающие доступ -Правила/ACL, блокирующие /разрешающие доступ •Оценка рисков, связанных с вносимыми изменениями в конфигурацию сети -Информация о появляющихся уязвимостях -Отображение возможных векторов атак
  • 22. Построение отчетов •Общие отчеты и показатели –Результаты работы системы –Выявление имеющихся нарушений политик безопасности –Ключевые риски сетевой безопасности •Отчеты для управления рисками ИБ –Контроль доступа и оценка соответствия –Управление уязвимостями –Конфигурации по лучшим практикам •Управление отчетами –Экспорт в PDF и другие форматы –Возможность создания собственных отчетов 22
  • 23. Интеграция с SIEM-системами •Возможность автоматической отправки в систему мониторинга (SIEM) информации о выявленных инцидентах безопасности: –Нарушение политики разграничения доступа –Несанкционированные изменения в конфигурации сетевого оборудования и межсетевых экранов –Выявление уязвимостей в настройках сетевых устройств •Интеграциями с решениями HP ArcSight, Symantec, McAfee SIEM и Cisco Security Manager 23
  • 24. Особенности поставки и эксплуатации •Возможна поставка в виде программного обеспечения, либо образа виртуальной машины VMware •Комплекс работает в пассивном режиме не влияя на работоспособность сети •Масштабируемость решения 24
  • 25. Клиенты компании 25 Технологические компании Ритейл Финансовые организации Правительственные организации Телекоммуникации
  • 26. Ключевые возможности •Автоматическое построение модели сети (сетевой топологии) •Оценка настроек сетевых устройств и межсетевых экранов с точки зрения соответствия лучшим практикам и стандартам информационной безопасности •Оценка эффективности используемых правил фильтрации межсетевых экранов (выявление неиспользуемых, избыточных или ошибочных правил) •Автоматическое построение векторов возможных атак на основе текущей сетевой топологии, имеющихся сетевых средств защиты и актуальных уязвимостях •Автоматическое выделение наиболее приоритетных уязвимостей, устранение которых приведёт к устранению наиболее опасных векторов атак •Отслеживания изменений в настройках сетевого оборудования и сетевых средств защиты •Выявление нарушений политики разграничения доступа на уровне сети 27
  • 27. Вопросы? 117105, г. Москва, ул. Нагатинская, д.1, стр.1 Телефон: +7 (495) 980-67-76 доб. 162 Факс: +7 (495) 980-67-75 http://www.DialogNauka.ru e-mail: rv@DialogNauka.ru 28