Martin Škoda, Product Manager
Co vše skrývá síťový provoz a jak detekovat
kybernetické hrozby
skoda@flowmon.com

• Výrobce moderních řešení pro monitoring a zabezpečení
počítačových sítí
• Fakta
 Založeno v 2007 jako univerzitní spin-off
 50+ zaměstnanců, 600+ zákazníků
 Obrat > 200 mil. CZK
 Vlastní výzkum a vývoj
• Úspěchy
 Gartner MQ (NPMD) 2016
 Deloitte CE Technology Fast 50 (3x)
 Top 100 Czech ICT ranking
Co děláme?

Bezpečnost na perimetru
Firewall
IDS/IPS
UTM
Application firewall
Web filter
E-mail security
SSH Access
Perimeter
Security

Bezpečnost koncových stanic
Antivir
Personální firewall
Antimalware
Antirootkit
Endpoint DLP
Bezpečnost
na perimetru
Bezpečnost
koncových stanic

Co nám chybí?
Bezpečnost
na perimetru
Bezpečnost
koncových stanic
Viditelnost do sítě a
bezpečnost

Přístupy monitorování
• SNMP monitoring
 Velikost přenesených dat,
počet packetů, dostupnost
služeb.
• Flow monitoring
 Detailní viditelnost do
síťového provozu a jeho
struktury.
• Analýza paketů
 Získávání informací z
obsahu paketů pro
forenzní účely a
viditelnosti do vyšších
vrstev.
Basic monitoring Next-generation
monitoring

Princip flow monitoringu

Flow vs. Analýza paketů
Silné stránky Slabé stránky
Flow data
• Pracuje na vysokorychlostních sítích
• Odolná vůči šifrované komunikaci
• Viditelnost do provozu a reporting
• Analýza chování sítě
• Informace z vrstev L3/L4
• Někdy chybí dostatek detailů
• Samplování (routere, switche)
Analýza
paketů
• Plný provoz na síti
• Dostatek detailů
• Forenzní analýza
• Detekce na základě signatur
• Nepoužitelné pro šifrovaný
provoz
• Příliš mnoho detailů
• Náročné na zdroje
• Který přístup si vybrat?
 Nejlepší je kombinovat oba přístupy v jediném
řešení
 Síťové sondy provádí paketovou analýzu a doplňují
flow záznam o informace z obsahu paketů.

Architektura
Monitorování
síťového provozu
Sběr statistik o
provozu
Vizualizace a detekce
anomálií
Sondy
• samostatné pasivní zdroje statistik
ze sítě - flow data
Kolektor
• úložiště, vizualizace a vyhodnocení
síťových statistik
Softwarové moduly
• detekce anomálií, záznam provozu,
monitorování výkonu aplikací …

• Monitorování provozu v síti
(flow data - NetFlow/IPFIX)
 Kompletní viditelnost do dění v síti
 Real-time a historická data pro LAN & WAN &
komunikaci do Internetu
 Optimalizace správy a provozu sítě
 Efektivní troubleshooting
• Bezpečnost datové sítě (NBA, NBAD)
 Založeno na behaviorální analýze, nikoliv
známých signaturách
 Detekce pokročilého malware, zero-day útoků,
podezřelých přenosů dat, změn chování a
dalších incidentů
Z pohledu uživatele

• Záznam provozu v plném rozsahu
 Na vyžádání při řešení problémů a incidentů
 Distribuovaná architektura
 Podpora sítí až 100G
• Monitorování výkonu aplikací
 Sledování uživatelských transakcí bez SW agentů
 Rozlišení zpoždění aplikace/sítě, sledování SLA
 Určeno pro HTTP/HTTPS aplikace a SQL databáze
• Ochrana před DDoS útoky
 Detekce volumetrických útoků
 Aktivní řízení směrování provozu a mitigace
Z pohledu uživatele

Co se děje ve vaši síti, když se
nedíváte?

Přehled provozu,
detekované anomálie

Aktivita útočníka (port
sken, útok na heslo)

Oběť útoku, následně
vykazuje anomálie

Mapování cílů
útoků útočníkem
Útok na
autentizaci
SSH
Prolomení hesla

Zakrátko začne infikovaná
stanice komunikovat s
botnet C&C center

Identifikace botnetu s využitím
„Threat intelligence“

Datové toky
L2/L3/L4

Včetně viditelnosti
do aplikační vrstvy

Záchyt komunikace v
plném rozsahu (PCAP)

Komunikace s botnet
C&C center

Pokyn k exfiltraci dat
přes ICMP

Pokyn ke zjištění
serverů s RDP

Podezřelý ICMP
provoz s payloadem

Opět PCAP k dispozici,
co bylo odesláno?

/etc/passwd soubor s
uživatelskými účty

Vyhledání Windows
serverů s RDP
Útok na službu RDP

Nelze chránit, co není vidět
Zdroj:
Checkpoint Security Report 2015
Ochrana perimetru a koncových stanic
na pokročilé kybernetické hrozby
nestačí.
Analýzou chování lze odhalit i dosud
neznámé hrozby.
Pro zajištění bezpečnosti je důležité
vidět, co se odehrává v síťovém
provozu.

• Možnosti spolupráce při studiu
 Vedení bakalářských a diplomových prací
 Stáže a interim projekty
 Zapojení do výzkumných projektů
• Tvořte s námi unikátní produkty a
technologie
• Jsme ryze česká společnost
 Nejsme pobočkou nadnárodní společnosti
 Sami si stanovujeme cíle i pracovní postupy
• Stabilně rosteme o více než 50 % za rok
• Napojení na přední vědecká pracoviště
• 600+ zákazníků ve 30+ krajinách světa
Možnosti spolupráce

Flowmon Networks a.s.
U Vodárny 2965/2
616 00 Brno, Czech Republic
www.flowmon.com
High-Speed Networking Technology Partner
Děkuji za pozornost
Martin Škoda
skoda@flowmon.com