以網路可視化平台(Network Visibility Platform)為樞紐之網路安全設備佈署策略 Tony Wang CTO, PacketX http://www.packetx.biz

網路安全機制 與 網路可視化 http://www.packetx.biz

網路安全機制三部曲 網安設備 網安 1 網安 2 網安 3 行 動 行 動 行 動 行 動 分 析 分 析 分 析 分 析 資料擷取 行 動 行 動 行 動 行 動 分 析 分 析 分 析 分 析 資料擷取 資料擷取 資料擷取 資料擷取 http://www.packetx.biz 原始資料(流量) Metadata

進化後的資料擷取機制 網路可視化平台 網安 1 網安 2 網安 3 行 動 行 動 行 動 分 析 分 析 分 析 進化後的資料擷取機制 網路可視化平台 網安 1 網安 2 網安 3 行 動 行 動 行 動 分 析 分 析 分 析 網路可視化(Visibility)平台 http://www.packetx.biz

當今網路可視化的挑戰 1. 流量持續成長 2. 傳輸與資訊技術的創新: ex. SDN, 虛擬化環境, 雲端與邊緣運算,IoT… 1. 流量持續成長 2. 傳輸與資訊技術的創新: ex. SDN, 虛擬化環境, 雲端與邊緣運算,IoT… 層出不窮的威脅需要多種安全設備協同運作 網路可視化(資料擷取)之複雜度於焉遽昇。輕忽可視化的企業，安全機制之可靠性與效能恐將大打折扣。

資安設備太弱 vs. 可視化不足 WannaCry這堂課的教訓 http://www.packetx.biz

WannaCry 太厲害 公司員工中了WannaCry 難道公司沒有Firewall/IPS 難道電腦上沒有防毒軟體 IT或網管人員在惡意程式散播期間 竟沒有嗅到任何一絲不對勁?! Wannacry 單一防禦不全然有效 Source : Wikipedia http://www.packetx.biz

建置於Internet出口端的網路安全設備很難阻擋進階滲透(https download) 當惡意程式(ex. WannaCry)成功滲透至底層端點(實體或虛擬)後，因此區域無資安機制佈署，橫向散播暢行無阻 完全阻隔惡意軟體於Internet出口已不可能；如何提早發現異狀， 迅速反應減輕損害 才是關鍵 IPS

NetFlow 網路可視化不足的遺憾 如果access switch能送出NetFlow IPS 網路可視化不足的遺憾 如果access switch能送出NetFlow 或有設備能替access switch產生NetFlow 即使尚無該惡意軟體的特徵碼… IT人員仍有機會提早發現如掃port(尋找漏洞)或異常存取等可疑現象!! http://www.packetx.biz

偵測對外連線 偵測底層活動 偵測終端(含VM) 全面可視化! http://www.packetx.biz

網際網路流量成長 與 網路安全支出 http://www.packetx.biz

網路流量成長趨勢 petabyte Media（深藍色） 為大宗 Source : Cisco http://www.packetx.biz

多媒體流量是成長主力 1.99x 2020 2017 1.4x 2x 2017 – 2020 整體 成長1.99倍 Video 成長2倍 整體 成長1.99倍 Video 成長2倍 其他 成長1.4倍 2017 1.4x 2x http://www.packetx.biz

網路安全支出估算 K 為一常數 網路安全支出 = K * * 威脅特徵數量 輸入流量 http://www.packetx.biz

打造高效益且高可靠度的 網路安全機制 http://www.packetx.biz

CIO/CSO的策略性觀點 0. 網路安全設備僅需取得與其任務相關的流量 1. 低風險流量豁免進入網路安全設備 (a) L2-L7過濾達成精準分流 (b)重複封包去除 1. 低風險流量豁免進入網路安全設備 YouTube/NetFlix/企業VoIP….列白名單 2. 已知威脅(聯防情資 & 成熟攻擊型態)阻斷 (a)第一線防禦先阻隔情資所載之威脅與部份傳統攻擊(特徵明確) (b)讓網路安全設備專心處理最複雜最隱晦的攻擊 3. 全網可視化 從WAN到LAN，含括實體與虛擬環境，資安零死角! 4. 經濟原則 資源有限而資安威脅無窮… http://www.packetx.biz

應用服務流量旁路 In-line 流量辨識與選擇性旁路 Others 低風險之應用服務 Traffc 30% 70% Others 低風險之應用服務 In-line 流量辨識與選擇性旁路 部分應用服務流量(如YouTube、Google Search、Facebook)不具安全威脅, 可豁免其進入IPS(或其他In-line資安設備) 使用者可自訂豁免條件: L2-L7 保留分析資源對付真正有威脅性的流量 1G 1G 1G 1G IPS 1G 1G 1G 1G http://www.packetx.biz

黑名單(已知威脅)阻斷 In-line 流量辨識及時阻斷 Others 低風險之應用服務 黑名單：IP / Domain / URL Traffc 30% 70% Others 低風險之應用服務 In-line 流量辨識及時阻斷 黑名單：IP / Domain / URL 192.168.1.2 1G 1G 1G Blacklist 139.2.14.88 36.240.1.39 1G IPS 36.240.1.39 140.12.44.9 1G 139.2.14.88 36.240.1.39 x982uhie.cn 1G 1G Blacklist 1G No Yes DROP http://www.packetx.biz

虛擬化環境監測 1 跨主機VM連接 2 物理機內VM連接 解決方法 VM VM A B C D http://www.packetx.biz 兩台實體機器間有VxLAN通道，一般資安設備無法正確處理 B C 2 無法監測分析 1 VM VM GRISM -VM VM A VM B GRISM -VM VM C VM D 2 物理機內VM連接 - 流量無法納入監控 vSwitch Tunnel vSwitch Tunnel A B GRISM -VM 解決方法 P1 P2 GRISM -VM 接收內部mirror流量 X-tunnel 封裝送出 APT IDS DLP http://www.packetx.biz

全網可視化 http://www.packetx.biz IPS IDS Netflow Analyzer APT DLP Load Balance Aggregate Filter Service Bypass Deduplication Netflow VM-Tunnel Blocklist Optical Bypass Switch Netflow Analyzer Netflow APT DLP VM GRISM -VM VM GRISM -VM OVS vSwitch http://www.packetx.biz

= K * * 網路安全支出優化 K 為一常數 網路安全支出 威脅特徵數量 輸入流量 降低支出 ! In-line 黑名單流量辨識及時阻斷 流量辨識與選擇性旁路 減少 威脅特徵數量 減少 網路流量 特徵數量減少 (轉移至可視化平台) 多媒體 流量減少 http://www.packetx.biz

整體資安建置費用下降 現在 建置後 http://www.packetx.biz YouTube 處理量 處理量 處理量 處理量 處理量 黑名單 白名單 YouTube 非 80 非443 處理量 處理量 處理量 處理量 處理量 處理量 處理量 處理量 IPS DLP APT Web Filter IPS DLP APT Web Filter http://www.packetx.biz

以NPB先行篩選配送封包提升網管資安設備效率 虛擬平台流量可視化 電信級網路補足最後一哩　 2017臺灣資安大會 新聞台專訪 – PacketX / 王騰嶽 APNIC44 - SDN-based Security Mechanisms – Tony Wang 旁路交換器助陣，利用網路可視性 (Network Visibility) 平台打造多層資安防禦機制 Thank You. Define a Brave New Network © 2016 PacketX Technology Inc. All Rights Reserved. 貿協帶13家新創廠商 組台灣隊到MWC拼場