BẢO MẬT MẠNG LƯỚI HƯỚNG ỨNG DỤNG VÀ NGƯỜI DÙNG Hoang Tran – Solution Consultant hoang.tran@f5.com Agenda • Các mối hiểm họa và tấn công • Chiến lược phòng thủ • Tổng kết Mỗi doanh nghiệp đều có những lỗ hổng an ninh “8 out of 10 websites vulnerable to attack” - WhiteHat “security report ” “97% of websites at immediate risk of being hacked due to vulnerabilities! 69% of vulnerabilities are client side-attacks” - Web Application Security Consortium “75 percent of hacks happen at the application.” - Gartner “Security at the Application Level” “64 percent of developers are not confident in their ability to write secure applications.” - Microsoft Developer Research Tình trạng các mối đe dọa “It is no secret that attackers are moving up the stack and targeting the application layer. Why don’t our defenses follow suit?” -Verizon 2011 Data Breach Report ““As in previous years, Verizon has found that most cyberattacks were avoidable if network managers followed best practices for information security. Verizon said that 96% of attacks were “not highly difficult,” and 97% of attacks were avoidable through “simple or intermediate controls.” -Verizon 2012 Data Breach Report Tổng quan một số tấn công lớp 7 Attack (L7) Slowloris XerXes DoS LOIC/ HOIC Slow POST HTTP (RUDY) #RefRef DoS Apache Killer SSL BEAST SSL THC DoS Active (Since) Jun 2009 Feb 2010 Nov 2010 Nov 2010 Jul 2011 Aug 2011 Sep 2011 Oct 2011 Threat /Flaw HTTP Get Request, Partial Header Flood TCP (8 times increase, 48 threads) TCP/UDP/ HTTP Get floods HTTP web form field, Slow 1byte send Exploit SQLi for recursive SQL ops Overlapping HTTP ranges SSL/TLS 1.0 “plain text“ attack Aggressive SSL secure renegotiation within single TCP Impact Attack can be launched remotely, Denial of Services (DOS), Resource Exhaustion, tools and script publicly available IBM Xforce threat report 2011 Quản lí bảo mật một cách hiệu quả? Vấn đề lớn nhất: Chính chúng ta! ENTERPRISE DATA CENTER DATA CENTER/ PRIVATE CLOUD CUSTOMER HACKER PARTNERS, SUPPLIERS INTERNET DATA CENTER CLOUD ENTERPRISE HEADQUARTERS ENTERPRISE REMOTE OFFICE MOBILE USER BYOD: Multiple devices Partner | Vendor access Application diversity The cloud Customer access Global access Remote access Ai là người chịu trách nhiệm cho việc bảo mật? Trước khi tìm kiếm các giải pháp ứng dụng nâng cao… [...]... RỘNG KÉM) DNS Servers Proxy Web Servers Email Servers Web/Email Access Management CHIẾN LƯỢC PHÒNG THỦ Hướng người dùng và ngữ cảnh • Tích hợp với quản lí truy cập Web • Bảo vệ chứng thực web • Bảo vệ khỏi tấn công Brute Force và khai thác dữ liệu Chiến lược để đạt được sự thông minh Bảo Mật Mạng Lưới Hướng Ngữ Cảnh Attacker IPv4, IPv6, TCP, UDP, HTTP, SSL, SIP, DNS, SMTP, IPv4, IPv6, TCP, FTP, Diameter,... unprecedented speed, scale as needed, and support thousands of users easily and cost-effectively Full Proxy Service fluent Orchestration BROKER ENFORCER Holistic Security Policy-driven Services BẢO MẬT MẠNG LƯỚI HƯỚNG NGỮ CẢNH (DEFENSE IN BREADTH) (Prepare + Prevent) Full Proxy Service fluent Orchestration User Identity Location Application Server State Network Condition BROKER (DEFENSE IN DEPTH) (Protect... (Context) Protocol Protocol Self Help Portal Suy nghĩ về kiến trúc bảo mật Application Application SMTP VOIP SIP VDI - ICA/PCoIP TCP/UDP L2-L7 L2-L4 Protocol Visibility • • • • Defense In-Depth (Control) Hardened (Default Deny) Platform, Multi-stack Architected OS Purpose built HW for High Performance Stateful failover redundancy KIẾN TRÚC BẢO MẬT HỢP NHẤT False sense of security by deploying various FW,AV,... %27%2f%2a%63%6f%6d%6d%65%6e%74%2a%2f% 20%6f%72%2f%2a%63%6f%6d%6d%65%6e%74%2 a%2f%20%31%3d%31%2f%2a%63%6f%6d%6d%65 %6e%74%2a%2f%20%6f%72%2f%2a%63%6f%6d% 6d%65%6e%74%2a%2f%20%27 Mô hình bảo mật trung tâm dữ liệu truyền thống bị phá vỡ Thiểu tính bảo mật do triển k hai quá nhiều thiết bị khác nhau FW, NGFW/UTM, AV, Thiếu tầm nhìn IDS/IPS (MẤT KHẢ NĂNG HIỂU NGỮ CẢNH) (PHÒNG THỦ KHÔNG HIỆU QUẢ)) Network DDoS Application . BẢO MẬT MẠNG LƯỚI HƯỚNG ỨNG DỤNG VÀ NGƯỜI DÙNG Hoang Tran – Solution Consultant hoang.tran@f5.com Agenda • Các mối hiểm họa và tấn công • Chiến lược phòng thủ •. Servers Proxy CHIẾN LƯỢC PHÒNG THỦ Hướng người dùng và ngữ cảnh • Tích hợp với quản lí truy cập Web • Bảo vệ chứng thực web • Bảo vệ khỏi tấn công Brute Force và khai thác dữ liệu Chiến lược để. In-Breadth (Context) L2-L4 Protocol Visibility Defense Thru Diversity Attacker Bảo Mật Mạng Lưới Hướng Ngữ Cảnh Suy nghĩ về kiến trúc bảo mật IPv4, IPv6, TCP, UDP, HTTP L2-L7 Protocol Visibility IPv4,