Rede - semanatic
Transcrição
Rede - semanatic
Segregação Criptográficas de Redes Inovando sua estratégia de Cyber Security Italo Cocentino Diretor de Programas Estratégicos Quem se preocupa com Cybersecurity? 2 World's Biggest Data Breaches Roubos superiores a 30,000 registros http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks 3 World's Biggest Data Breaches Roubos superiores a 30,000 registros http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks 4 Deveríamos nos Preocupar? 5 Security Monitoring Model – SIEM Current countermeasures Portal Network Security Services Asset Inventory and Vulnerability Scanning Portal Security Incident Management Dashboard & Reports Assets and Vulnerabilities Intrusion Detection & Prevention Network Firewall & VPN Web Content Security Vulnerability Mgmt. Threat & Vulnerablity Alerting Endpoint Security Customer Ticketing System Event Correlation Engine Incidents Portal Threat Pattern Database Event Database Response and Remediation Portal Normalization of Element-specific log file data Secure Remote Access Web Application Security Portal Reporting Security Event Monitoring Email Scanning Portal Threat and Vulnerability Alerting Application Security Services Scanner Portal Elementspecific Agents Elementspecific Agents Elementspecific Agents Security Infrastructure; Network Devices; OS, Application and Data Logs 3rd Party Monitored or Managed Security Elements Customer Managed Security Elements 6 Security Monitoring Model – SIEM *Firewall / Ips 43.053.118 36.97% TB em disco 2.3 Online 2.4 archive 4000 eps com picos de 15000 eps ~10% dos eventos correlacionados representam alertas. Windows 53.551.415 49.34% Unix 214.258 0.20% 108 millones 1,225 Antivirus 11.708.051 10.79% Eventos gerados Eventos correlacionados 90 Alertas de segurança 1 Incidentes de segurança ~1% são incidentes 7 Contexto de utilização de redes segregadas Como surgiu? Múltiplas Redes • Complexo • Difícil de Administrar • Custo elevado Top Secret WAN 1 DC 1 Secret DC 2 WAN 2 DC 3 Non Classifed WAN 3 Data Center GIG LAN Infrastructures Users 8 Contexto de infreaestrutura de redes utilizando “universos criptográficos” DC 1 DC 2 LAN / WAN /Wireless DC 3 Stealth Network Appliance External Network Rede Consolidada • Simplificação • Redução de Custos • Agilidade • Contexto de Segurança baseados em usuários ou estações 9 Princípios por trás das iniciativas de “Network Segmentation Gateway” Criptográficos Uma inovação em Cybersecurity com nível de segurança militar (FIPS140-2 e EAL4+), Implementado de forma incremental e sem disrupção de serviços, que tornando computadores invisíveis, evitando exposição de vulnerabilidades a ataques de hackers e vírus NIAP Common Criteria NIST National Institute of Standard Technology You Can’t Hack What you can’t see 10 Vulnerabilidades IPSec Fonte: National Vulnerability Database www.nvd.nist.gov – 21/05/2015 11 Vulnerabilidades SSL(Secure Socket Layer) Fonte: National Vulnerability Database www.nvd.nist.gov – 21/05/2015 12 Vulnerabilidades HTTPS Fonte: National Vulnerability Database www.nvd.nist.gov – 21/05/2015 13 Utilização da abordagem de segregação criptográfica em contexto militares e governamentais : FIPS 140-2, EAL 4+ Network Risk Assessment CWID 05 DIACAP MAC-1 Certification AF Comm Agency JFCOM National Center for Counter-terrorism and Cybercrime SOCOM CWID 05 USAF CWID 10 JFCOM JIL IV&V 2005 DIACAP MAC-1 Certification 2006 Combined Endeavour Export License Dept of Commerce 2007 Testbed IO Range FIPS 140-2 Certification NIST SOCOM Commercial & Pub Sector R&D Prototype 2008 2009 2010 CWID 08 CWID 09 CWID 10 DISA DISA SOCOM 2011 “Large Integrator” Tests and fails to break Stealth EUCOM DIACAP – DoD Information Assurance Certification and Accreditation Process MAC – Mission Assurance Category (Level 1 is Highest) DISA – Defense Systems Information Agency EUCOM – European Command SOCOM – Special Operations Command JFCOM – JOINT Forces Command JIL – Joint Intelligence Laboratory NSA EAL4+ Certification NIAP JUICE 09 GTRI Private Lab CECOM DJC2 PMO SPAWAR SSVT Validation: Failed to compromise 2012 Emerald Warrior ‘12 SIPRNet IATT CWID – Coalition Warrior Interoperability Demonstration JUICE – Joint User Interoperability Communications Exercise CECOM – Communications Electronics Command (US Army) GTRI – Georgia Tech Research Institute DJC2 – Deployable Joint Command and Control NIST – National Institute of Standards and Technology NIAP – National Information Assurance Partnership 2013 Independent Test Client-hired 3rd party: Failed to compromise And again… Different client, different tester: Failed to compromise And again… 14 MLSTP – Multi Level Security Tunneling Protocol (x253) Dado Original … 100 … … 00 … … 111 … … G(01000111) … Stealth … S(01010011) … NIC Dado Criptografado (AES-256) Enviado por caminhos distintos C B Parsed Intranet Distribuido en slices … 100 … … 00 … NIC A … 111 … Recuperado pelo usuário final com as credenciais corretas 15 “ Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. ” Edward Snowden Interview with Guardian readers, June 2013 16 Beneficios da Segregação Criptogárica de Redes Segurança diferenciada, simplicidade de gestão, e Instalação não disruptiva. Data in Motion Cryptographic Service Module Info Dispersal Algorithm and Data Reconstitution “Dark” Endpoints Virtual Communities of Interest (COI) Executes Low in the Protocol Stack 7. Application AES 256 Encryption 6. Presentation 5. Session 4. Transport 3. Network Stealth Shim 2. Link 1. Physical NIC You can’t hack what you can’t see… 17 Casos de Uso Stealth Secure Remote Access Stealth Data Center Segmentation Enterprise External Network Corporate Site VM VM Amazon/Azurre VM Windows Client Stealth Backbone Cryptography SSVT VM Unprotected Server Protected App Server Protected Protected App Database Server Server Internet Stealth for Cloud Mobile Access “Safe” Site A Virtual Web Server B Virtual Web Server “Risky” Site Internet A Virtual App Server B Virtual App Server A Virtual DB Server B Virtual DB Server NERC, ISA/IEC-62443, PCI-DSS, HIPAA, FIPS-199, ISO27001, GLBA/FFIEC 18 Segregação de Redes Rede 01 Rede 02 Rede 03 Web App DB Rede 05 Rede 04 Rede 06 Regras de Firewall Admin user User/password 19 Como controlar o acesso sem conhecer a origem? Rede 01 Rede 02 DB Rede 03 Web App Rede ?? Admin Rede 04 Rede ?? user 20 Isolamento criptográfico Rede 01 Rede 02 DB Rede 03 Web App Rede ?? Admin Rede 04 Rede ?? user Ldap 21 Isolamento criptográfico Rede 04 Web Rede ?? Admin Rede ?? user Ldap 22 Empresas com Elevados Custos de Conectividade “Aumente a Segurança e Reduza Custos” Cenário 01 Inflexible Topology Multiple technologies “Average” Security ROI Em menos de 1 Ano Cenário 02 • Simplicity & Ease of change • Consistent Technology • “Military-grade” Security Repensando a estratégia de proteção dos PABs de suas agências, um Banco Brasilieiro reduzirá 85% de suas despesas mensais, com melhoria substancial na segurança e qualidade na transmissão de dados. 23 Ocultando usuários e protegendo acessos remotos Keylogger Botnets Remote Control ePortal Internet Stealth VPN Internet 24 Protegendo Windows XP ou Windows 2003 • Sem reconfiguração de rede, ou criação de Vlans • Sem impactos nos aplicativos XP Internet XP • Simples instalação de XP software • Ambientes com XP são segregados e ocultos • Impede que sistemas com XP se transformem em possíveis ataques internos Unprotected App Server Core IT Services Protected Database Server Protected Database Server 25 Infraestrutura de Missão Crítica • • • • • • ICS – Industrial Control System SCADA – Supervisory Control and Data Acquisition PLC – Programmable Logic Controller HMI – Human-Machine Interface DLC – Discrete Logic Controller RTU – Remote Telemetry Unit Internet RTU EPA Database ERP Alarm Aggregation Corporate Firewall Enterprise Network Domain Controller OPC Server Historian Plant Firewall CCTV Server Plant Bus HM I Control Firewall HM I EWS Terminal Bus Application Server Control Bus PLC Hardwired Instrumentation PLC Field Bus to Instrumentation PLC PLC Hardwired Instrumentation 26 Ponemon Research: 68% of 599 IT critical infrastructure executive respondents say that their organizations have been compromised within the past 12 months This research is a wake-up call for the critical infrastructure community; Stealth can help 27 Protegendo Usuários Chaves Isolamento físico de Rede Rede Diretoria Diretoria Rede Usuários Diretoria user Diretoria user Ldap 28 Protegendo Usuários Chaves Isolamento Criptográfico Rede Diretoria Hacker Diretoria Rede Usuários Diretoria user Diretoria user Ldap 29 Email Seguro e sem Spams – Confidencialidade VoiP Instituição B Diretoria Diretoria Diretoria Internet Diretoria Diretoria Instituição A Diretoria 30 Mantendo os serviços durante um ataque DDoS (Distributed Denial of Service) Stealth Appliances 31 Protegendo contra Ataques a ambientes Mobile Como Funciona… Stealth for Mobile Software (Audit, IDS) Stealth Network Broker DMZ Internet Stealth Authorization Service Enterprise Identity Store Stealth Appliance VPN Server Wrapped applications Finance Legal 32 Estratégias de CyberSecurity Wade Wilson Thomas A. Anderson © 2015 Unisys Corporation. All rights reserved. 33 Obrigado!! [email protected] © 2013 Unisys Corporation. All rights reserved. 34