Vsebina predavanj

Vsebina predavanj tematske delavnice – SINOG 5.1
Prepoznavanje in odzivanje na anomalije v omrežju
4. april 2019

Bojan Zajc – Sodobna požarna pregrada in Layer 7 – ko potrebujemo več, kot le prepoznavo aplikacije

Kaj so požarne pregrade, danes bolj ali manj vsakdo ve. Razmeroma malokdo pa ve, da so nekatere nekoliko bolj ‘dlakocepske’, kakor druge.
V bistvu je poznavanje različnih vrst požarnih pregrad in principov njihovega delovanja / razlik med njimi na izredno nizkem nivoju in vedno znova naletim na presenečenje, ko nekomu razlagam, kaj WatchGuard požarne pregrade zmorejo.
Preko predstavitve principa dinamičnega blokiranja, se izredno lepo demonstrira, da L7 na požarnih pregradah ne pomeni le prepoznavo aplikacij, temveč nam omogoča zaznavanje odstopanj od zadane politike in takojšen odziv nanj.
Tzv. ‘Enterprise’ požarne pregrade se s tem ne ukvarjajo, saj predvidevajo, da bomo to reševali z drugimi specializiranimi rešitvami.
WatchGuard, ki je specialist za SME in močno distribuirana Enterprise okolja, pa je ravno na tem področju izredno močan.
Pri odkrivanju anomalij, pa gre dinamično blokiranje z roko v roki z Dimension (u:demo p:visibility) – njihovim brezplačnim log&report strežnikom, kjer v Security dashboard-u potem lepo vidimo rekapitulacije najbolj pogosto blokiranih naslovov, protokolov, aplikacij, uporabnikov,….
Ko tu neke številke bistveno odstopajo od povprečja, hitro vemo, kaj moramo preveriti.
Inšpekcija prometa na L7 z aplikacijsko logiko je tu ključnega pomena, saj ravno ona generira tiste zadetke, kateri na koncu v Dimension statistiki ‘ven skačejo’ in pritegnejo našo pozornost.
 
Vladimir Ban – Umetna inteligenca oz. kako zaznati napade, ki jih nihče ne zazna?
Anomalije v omrežju so lahko že same po sebi idealne za zaznavanje groženj in napadov. Pravi izziv ni kako narediti povezavo iz zaznane anomalije in neke konkretne varnostne grožnje. Pravi izziv je, kako anomalijo sploh zaznati. Nekatere anomalije lahko zaznamo na preprost način in s preprostimi orodji, nekatere pa so “navadnim” očem skrite.
 
Kdaj je sploh anomalija koristna ali celo potrebna za zaznavanje varnostnih groženj in na kakšen način lahko zaznavamo kompleksne anomalije, si bomo v teoriji in praksi pogledali v tem predavanju
 

Vedran Franjić – Behaviour and anomaly detection

Look into how Network Telemetry and Cisco Stealthwatch work together to illuminate fundamental security gaps deep within a network. Learn how you can leverage your deployed network as a vast, enterprise-wide automated sensor grid to protect against advance zero-day threats, detect anomaly changes in host behaviour, segmentation violations within your network and much more.