Kybernetické útoky a podvody Inteligentní detekce a obrana

Transkript

Kybernetické útoky a podvody
Inteligentní detekce a obrana
David Matějů
Senior System Engineer
RSA, The Security Divison of EMC
[email protected]
© Copyright 2012 EMC Corporation. All rights reserved.
1
Moderní kybernetické útoky a podvody
Doba se změnila: základní bezpečnost nestačí
• Každý má firewall – ale pokročilý útočník se stejně vždy
dostane dovnitř
• Každý má antivir - ale zero-day malware stejně vždy projde
• Každý má systém detekce incidentů – ale pokročilé
průniky jsou většinou zcela nedetekovány (nebo pozdě)
• Nejen IDS, často i „klasický“ SIEM
Začíná to u uživatelů – každý si říká:
• „Já přeci poznám podvod, já jim nenaletím …“
2
Agenda
Kybernetické útoky a podvody (fraudy)
• Aktuální příklady
• Trendy
Jaké je řešení?
• Poznat a zastavit „ŠMEJDY“ (inteligentní bezpečnost)
Jak vám může pomoci RSA:
•
•
•
•
Security Analytics, Silver Tail, ECAT
Aveksa, Adaptivní Autentizace
Anti-Fraud services: FraudAction, CyberCrime Intelligence
Archer eGRC
3
4
5
6
7
8
Jak ty ŠMEJDY poznat? (útoky, fraudy,
malware, …)
Nikomu nemůžete věřit, kdo je kdo
• Útočníci jsou „uvnitř“ …
• Aktiva jsou „venku“ (vaši zákazníci, zaměstnanci, data, …)
• Nejslabší článek: člověk …
Jak detekovat a zastavovat útoky „venku v internetu“?
• Phishing, Malware, trojani, falešné mobilní aplikace, …
Jak detekovat a zastavovat útoky a fraudy na vašem webu?
• Portál, E-banking, E-obchod, E-health, E-government, …
Jak detekovat a zastavovat útoky uvnitř ve firmě?
• Špionáž, hacking, DDoS, neoprávněné přístupy a změny,
úniky dat, malware, botnety, spam, …
9
Řešením je „Inteligentní bezpečnost“
Prioritizovat podle rizikovosti
• Je zbytečné prověřovat všechny „podezřelé aktivity“ – musíte si umět vybrat ty, které by
vás nejvíce ohrozily
• Znát hodnotu chráněných aktiv, znát akceptovatelnou úroveň rizika, …
Sledovat chování, vidět všechny drobné detaily, poznat „šmejdy“
• Útočníci a podvodníci jsou velmi nenápadní (snaží se), ale chovají se jinak
• Sledovat chování všech uživatelů, rozumět kontextu (co je normální) a automaticky
detekovat anomálie
• Vidět všechny drobné detaily pro případnou hloubkovou investigaci a automatizovat
návazné reakce
Flexibilní a adaptivní bezpečnostní opatření
• „neotravovat slušné lidi“ (otevřít jim dveře), a přitom chytit „šmejdy“ (zamknout před
nimi)
• Spolupracovat s ostatními, znát kontext (interní i externí)
• Automatizovaně využívat maximum aktuálně dostupných znalostí
10
Intelligence-Driven Security
Risk-based, contextual, and agile
Risk Intelligence
thorough understanding
of risk to prioritize activity
Advanced Analytics
provide context and
visibility to detect threats
Adaptive Controls
adjusted dynamically based
on risk and threat level
Information Sharing
actionable intel from trusted sources and COIs
11
Security Management
Identity and Access
Management
Fraud Prevention
Governance, Risk &
Compliance
Big Data
Transforms Security
12
13
14
15
16
17
Šmejdi se chovají jinak než my ...
•
•
•
•
Velocity
Page Sequence
Origin
Contextual Information
18
... a RSA SilverTail to moc dobře vidí 
19
20
Security Analytics
Enrichment Data
Logs
Packets
DISTRIBUTED COLLECTION
EUROPE
THE ANALYTICS
NORTH AMERICA
REAL-TIME
ASIA
Reporting and
Alerting
Complex Event
Processing
Investigation
Free Text
Speech
Malware
Analytics
Correlation
Administration
Metadata
Tagging
WAREHOUSE
Incident
Management
Asset
Criticality
Compliance
LONG-TERM
LIVE INTELLIGENCE
Threat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions
EMC CONFIDENTIAL—INTERNAL USE ONLY
21
Security Analytics – Alerts Dashboard
22
23
24
25
26
RSA Aveksa řeší věčný problém s se
správou uživatelských oprávnění
27
28
Adaptive & Risk-Based Authentication
High
Risk
Risk
Engine
TwoFactor
Out Of
Band
Challenge
Q
Step Up Authentication
User
Action
Proceed As Normal
Fraud
Network
Device
Profile
User Behavior
Profile
Big Data
Risk Repository
29
Adaptive & Risk-Based Authentication
Risk
Engine
Private
Cloud
User
Action
User Behavior
Profile
Big Data
Risk Repository
Read
Email
Download
Sales Pipeline
Username &
Password
Additional
Authentication
Out Of
Band
ADAPTIVE
AUTHENTICATION
Fraud
Network
Device
Profile
TwoAUTHENTICATIONFactor
MANAGER & SECURID
Public Cloud
Access Bank
Account
Transfer
Funds
Username &
Password
Additional
Authentication
Challenge
Q
30
RSA Archer eGRC Ecosystem
31
Demo videa
RSA Security Solutions (SOC Overview)
• Building Advanced SOC: http://youtu.be/OH_ezYXQ7w4
RSA Security Analytics: monitoring, detekce a investigace (SIEM nové generace)
• http://youtu.be/RzscmZ-UtCY
RSA Silver Tail: detekce webových fraudů
• http://youtu.be/6tbVqAgIjhA
RSA ECAT: detekce malwaru uvnitř organizace
• http://youtu.be/EskpKgu_4Kk
RSA Aveksa: Identity & Access Management
• http://youtu.be/Fq5TYR8C50k
RSA Archer eGRC: Governance, Risk & Compliance
• Governance Risk & Compliance: http://youtu.be/kmXeF-Upt1I
• Archer eGRC Platform: http://youtu.be/O02FqqvnoFI
RSA FraudAction: zastavit Phishing, Trojany, falešné mobilní aplikace
• http://youtu.be/M16brUhzJ6o
32
Shrnutí
• Pokročilé kybernetické útoky a šmejdy se starými nástroji ani
neuvidíte (nepoznáte)
• Prevence je minulost (stejně jako perimetr)
• Je potřeba se více soustředit na detekci a reakci
• Umět vybírat nejcennější aktiva (prioritizovat)
• Detekci je nutné rozšířit i na fáze přípravy útoku
• Okamžité sdílení informací je nezbytné
33
RSA Archer
Security
Analytics
RSAIntelligence
Security
Analytics
+ RSA ECAT
RSA Live
+for
RSA
Security
Analytics
RSA
Security
+ RSA Archer for Security
RSA
Data Discovery/RSA DLP
 Team & +
Shift
Management
 Open/All Source Actor Attribution
 KPI Monitoring
Tier 2 Analyst
 Attack Sensing & Warning
CLICK FOR DETAILS
 Incident Queue Management
 Social Media
Tier 1 Analyst
 Reporting & Business
Impact
CLICK FOR DETAILS
 High Value Target (HVT)
Analysis
 Eyes-on-Glass
Reverse Malware Engineering
 Integration
 Event Triage
Host & Development
Network Forensic
 Content
 Preliminary Investigation
Threat Intelligence Analyst
Cause & Origin Determination
CLICK FOR DETAILS
 Reporting
 Incident Containment
Dataand
Exfiltration
Evaluation
 Alert
Rule Creation
 24x7 Coverage
Analysis & Tools
Support Analyst
CLICK FOR DETAILS
SOC Manager
CLICK FOR DETAILS
34

Kybernetické útoky a podvody Inteligentní detekce a obrana

Transkript

Podobné dokumenty

Náš Zlín 07/2013

1 - Talk 2 Cisco

Newsletter DUBEN 2013 CZ - Real

program kolegia sbk

satelitního lokátoru GUARDYS PGT1020+ Návod k obsluze

Bezpečnost IT

5 - Arrow ECS

zde - CZ-IALE

Stáhnout časopis do PDF

Intenzivní kurzy

Cisco ASA 5500 Series Nebojte se jí

profesní životopis ke stažení

Lednové vydaní - FARAON reality, s.r.o.

workshop-vystupy-12-05-30

Ceník LeoVince 2010

leo vince 2007