Tým HPE Aruba Networking otestoval GREYCORTEX Mendel na živém útoku. Mendel dokázal detekovat a automaticky zablokovat útok do dvou minut.

Na YouTube kanálu Airheads Broadcasting se nedávno objevila podrobná technická ukázka spolupráce GREYCORTEX Mendel a HPE CX10000. Video vychází z reálného útočného scénáře: Mendel přijímá telemetrická data ze switche HPE CX10000, rozpozná probíhající port scan a automaticky vloží blokovací pravidlo do bezpečnostní politiky zařízení. Vše proběhne v reálném čase, bez zásahu bezpečnostního týmu.

O kanálu Airheads Broadcasting

Airheads Broadcasting je oficiální YouTube kanál HPE Aruba Networking určený síťovým inženýrům, IT architektům a bezpečnostním profesionálům po celém světě. Publikuje praktické návody, vysvětlení technologií a ukázky konfigurace zaměřené na portfolio HPE a Aruba Networking. Vzhledem k odbornosti publika nás těší, že naše řešení našlo prostor právě zde.

Útok na síť v reálném čase

Demonstrace je postavena na útočném scénáři, ve kterém jeden počítač v síti spustí Nmap port scan proti druhému zařízení ve stejném síťovém segmentu. Jde o klasickou průzkumnou techniku, kterou útočníci používají k mapování otevřených portů a dostupných služeb před samotným útokem. Základní otázka zní: jak rychle Mendel takovou aktivitu rozpozná a jak na ni zareaguje?

Aby měl Mendel data k analýze, je potřeba nejprve nastavit export síťových toků ze switche. HPE CX10000 odesílá telemetrická data ve formátu IPFIX každých 60 sekund, přičemž každý tok obsahuje až 40 informačních prvků. Analytik v nástroji vytvoří detekční filtr zaměřený na signaturu interního skenování, nakonfiguruje Python plugin s přístupovými údaji k systému správy switche a nastaví automatické spouštění v případě shody.

Jakmile Mendel rozpozná vzorec typický pro port scan, skript se automaticky připojí k systému správy HPE CX10000 a vloží blokovací pravidlo do aktivní bezpečnostní politiky. Celý proces proběhne přibližně do dvou minut, bez manuálního zásahu. Vedle automatické reakce lze stejnou akci spustit také ručně, přímým výběrem útočníka a napadeného zařízení v rozhraní nástroje.

Podívejte se sami

Nejlepší představu o celé integraci získáte přímo z videa. Ukazuje jednotlivé kroky v nástroje Mendel, průběh útoku i moment, kdy se blokovací pravidlo automaticky propíše do politiky CX10000.
 

Kategorie