Palestra cnasi 2013 s.video
-
Upload
andre-takegawa -
Category
Documents
-
view
72 -
download
3
Transcript of Palestra cnasi 2013 s.video
![Page 1: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/1.jpg)
Efeito "Snowden": seus negócios são afetados pela espionagem?
André Tsutomu – Security WebRicardo Marques – SourceFire
![Page 2: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/2.jpg)
Raio-X do Snowden• Nunca terminou o ensino médio• Aos 19 anos se alistou no exército para lutar contra o Iraq• Trabalhou como segurança na NSA (National Security Agency)• Na CIA, trabalhou no setor de segurança da tecnologia da informação
• "A responsabilidade pela manutenção da segurança de rede de computadores significava que ele tinha autorização para acessar uma vasta gama de documentos confidenciais". The Guardian
• Trabalhou para a Dell onde fez um treinamento de Hacker Ético• Contratado pela Booz Allen Hamilton
![Page 3: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/3.jpg)
Forma de ataques• APT´s – Advanced Persistent Threat
“O termo é comumente usado para se referir a ameaças cibernéticas, em particular a espionagem via internet por meio de uma variedade de técnicas de coleta de informações para acessar informações confidenciais , mas o termo aplica-se igualmente a outras ameaças como a de espionagem tradicional ou de ataque cibernético. Indivíduos isolados, como um hacker, não são considerados autores de um APT, pois raramente possuem, sozinhos, os recursos para executar um ataque avançado e persistente, mesmo quando eles possuem a intenção de acessar ou atacar um alvo específico”
![Page 4: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/4.jpg)
Baseado em uma historia real...
http://www.youtube.com/watch?v=fUv3VvOHEdI
![Page 5: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/5.jpg)
O Perfil de uma APT 1. Coleta de Informações Pesquisa dos alvos utilisando fontes públicas (LinkedIn, Facebook, etc) e preparação do ataque customizado.
2. Ponto de EntradaA entrada normalmente acontece através de zero-day malwares explorando engenharia social (email/IM ou drive by download). Uma backdoor e criada e a rede pode agora ser invadida. (De forma alternativa, explorar um website ou redirecionamento de rede podem ser empregados.)
3. Comunicação - Comando & ControlePossibilita que o atacante controle e mande comando para as máquinas comprometidas e utilize códigos maliciosos para todas as fases subsequentes.
4. Movimento LateralDentro da rede, o atacante compromete outras máquinas para coletar credenciais, escalar níveis de privilégio e manter um controle persistente.
5. Coleta de dados/recursos valiososAtravés de várias técnicas (ex. Port scanning) são usados para identificar os servidores dignos de atenção e serviços que armazenam dados de interesse.
6. Evasão de DadosAs informações sensíveis são coletadas, os dados são direcionados para um repositor interno então, fragmentados, comprimidos e até criptografados para transmissão para localidades externas.
![Page 6: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/6.jpg)
Tabela comparativaAPT Bot Malware
Distribuição Com planejamento Distribuição em massa Distribuição em massa
Interrompe Serviços? Não Não Sim
Padrão do Ataque Direcionado (pequenos grupos e organizações)
Não direcionado (abrangência global)
Não direcionado (abrangência global)
Alvo Organizações/EmpresasIndividual credentials including
online banking account information
Randômico
Frequência Muitas vezes Única Única
Armas- Exploit “Zero-day”- Baixa RAT integrado- Dropper ou Backdoor
Múltiplos “Exploits”,tudo em um
Dependentes do desenvolvimento do Malware
Taxa de detecção Menos que 10%, se a amostra for descoberta em menos de 1 mês
Aproximadamente 86%, se a amostra for descoberta em
menos de 1 mês
Aproximadamente 99%, se a amostra for descoberta em
menos de 1 mês
![Page 7: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/7.jpg)
- Como saber se a empresa é alvo de ataques que levam a perda de dados?
- Que tipo de reação a sua empresa consegue ter em caso de ser vítima de ataques? e somente ficar sabendo após um dia? Uma semana? Um mês? ou simplesmente meses depois?
- A empresa esta preparada para lidar com a exposição negativa na imprensa e meios online?
- O que a empresa pode fazer caso seus clientes e investidores sejam os alvos do ataque?
- A quem acudir? qual é o tempo de resposta?
Postura Corporativa...
![Page 8: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/8.jpg)
“Como posso ver o que aconteceu com a minha rede se perdi o evento quando aconteceu na primeira vez?”
“Como posso detectar a ameaça e evitar o problema antes que o dano aconteça?”
Não ter uma estratégia de segurança da informação deixou de ser uma opção.
![Page 9: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/9.jpg)
…Roadmap de Ações Corporativas...- O meu nível de aderência as normativas consegue atender ao nível de resposta esperada no tratamento destes incidentes?
- Qual é a realidade entre ter capacidade técnica vs status de certificado vs capacidade de defesa?
- Uma mudança de paradigma é necessária para estabelecer um caminho de controle e proatividade que estimulem novos negócios.
![Page 10: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/10.jpg)
A Utilização de um modelo que permita implementar Segurança com a Agilidade necessária para tratar
incidentes em tempo real.
![Page 11: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/11.jpg)
…que implementa um processo de prevenção contra ameaças abrangente, através de uma
tecnologia que permite uma atuação contínua, para responder às constantes mudanças no
ambiente.
![Page 12: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/12.jpg)
Rápidamente entrega Informação dos Ativos em uso
Endereços IP, MACSistemas Operacionais, Serviços, Aplicações e Vulnerabilidades
Correlacione a Informação de Usuários aos ativos
Usuário <-> AtivoEntregue todas as Informações sobre comunicações
Origens, destinos e volume dos flows
Contextualização e Mapeamento de Atividades na Rede Monitorada
![Page 13: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/13.jpg)
Contextualização
• Com dashboards que apresentam dados em tempo real.• Toda a informação deve estar em um único lugar.• Superioridade da Informação.
![Page 14: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/14.jpg)
Que permita uma visão Contínua sobre os Riscos e Vulnerabilidades
• Análise de Vulnerabilidades passiva – Tempo real, nada de ciclos– Zero impacto– Difícil de evadir– Permite integrar resultados de ferramentas
de scan ativo
![Page 15: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/15.jpg)
Com capacidade de Análise de Impacto Automática
Priorização, In-sight, Automatização, Inteligência
![Page 16: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/16.jpg)
Que permita a Monitoração da Rede e Detecção Comportamental
• Network Behavior Detection– Desvios de padrões normalmente indicam problemas de segurança e
configuração.– Detecção por Anômalias é um sistema baseado em detecção comportamental
O que causou os picos?
![Page 17: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/17.jpg)
Que permite aprender sobre o ambiente monitorado…
![Page 18: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/18.jpg)
Que permita controlar o que é usado e como na sua rede.
Um compliance white list é um grupo de critérios que permite você definir que sistemas operacionais e aplicações são permitidas na sua rede. Um evento de “violação de whitelist" é gerado caso ocorra quebra do acesso definido.
![Page 19: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/19.jpg)
Que permita Implementar Inteligência através de Correlação
3 benefícios diretos:•Automatização de análise de eventos de segurança.•Aplicação de políticas em tempo real.•Automatização de respostas para violações de uso e conformidade.
![Page 20: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/20.jpg)
Permitindo a corporação modelar o seu próprio critério técnico sobre conformidade durante a
operação.
Utilizando dados de diversos contextos:
• Quando um evento IPS ocorre.• Quando um evento de Flow/Comunicação ocorre.• Quando um evento de rede ocorre em tempo real.• Quando um evento de Usuário ocorre em tempo real.• Quando mudanças de tráfego acontecem.
![Page 21: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/21.jpg)
Inclusive interpretar as diferenças no Perfil de Tráfego da empresa.
![Page 22: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/22.jpg)
Que ofereça conteúdo de Segurança de Qualidade e
permita também a total customização pelo administrador.
![Page 23: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/23.jpg)
Podendo inclusive adaptar-se automáticamente, recomendando regras para ambiente monitorado em função dos sistemas, riscos e aplicações sendo utilizado no momento.
![Page 24: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/24.jpg)
Que permita a Detecção e Controle Rate-Based
![Page 25: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/25.jpg)
Que Implemente Controles e Capacidades Next-Generation de Verdade!
• Regras que controlem o acesso a: • arquivos,• Aplicações• URL’s• detecção e bloqueio de malwares avançados, • controle de acesso de rede• controle de fluxo de inspeção na política
![Page 26: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/26.jpg)
Que permita visualizar toda a trajetória de malwares e o uso de arquivos na rede e dispositivos em um
único lugar
![Page 27: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/27.jpg)
Root Cause Other Threats of Interest What it’s Doing
Com um nível de detalhe sem precedentes!
![Page 28: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/28.jpg)
Consolidando assim Capacidades e Inovações de Prevenção Next-Generation para Redes e Advanced
Malware Prevention Análise Contextual em Tempo Real Análise Comportamental e Detecção de Anômalias de Rede Controle granular de Aplicações por Usuários/Grupos, IP, Vlan,
Zona. Filtros granulares por Reputação, para URL, Usuarios,/Grupos, IP,
Vlan, Zona. Monitoração e correlação com Baseline e Análise Comportamental
para Compliance Detecção de Vulnerabilidades Análise de Impacto Automática Proteção contra Malwares Avançados Detecção e Controle de Tipos de Arquivos inteligência cloud
![Page 29: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/29.jpg)
Permitindo mecanismos para monitorar SSL /TLS com distindos modos de Operação
– Conhecimento do Server Key (known server key)• Quando o tráfego tem como destino servidores na rede privada.
– Re-assinar o Certificado (Certificate Re-signing )• Quando o tráfego tem como destino servidores na internet ou rede de
um parceiro de negócios.
![Page 30: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/30.jpg)
Um sistema que permita responder aproveitando a infraestrutura existente…
• Bloqueios• Mecanismos Dinámicos de Quarentena• Syslog• SNMP• E-mail• Integração utilizando API’s, • Mecanismos inteligêntes de Remediação• Capacidade de Automação
![Page 31: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/31.jpg)
Que se adapte ao novo modelo de segurança necessário…
A T T A C K C O N T I N U U M
Antes Durante DepoisVer,
ControlarInteligência e
ContextualizaçãoRemediação e
Forense
Network | Endpoint | Mobile | Virtual
Point-in-Time Continuous
![Page 32: Palestra cnasi 2013 s.video](https://reader036.fdocument.pub/reader036/viewer/2022081514/557283bbd8b42a661e8b4c2a/html5/thumbnails/32.jpg)
Conclusões- O uso de tecnologias Next-Generation IPS, NGFW e
AMP são algumas das principais ferramentas para fazer o trabalho.
- Sabemos que continuaremos a ter ataques contra novas tecnologias e mecanismos de negócios online.
- Então o estabelecimento de novos modelos pedem novas ações.
- As Mudanças na nossa capacidade de resposta e o nível de cobrança devem ser promovidas.
- Permitindo que a transformação exista e de modele o caminho para continuar a realizar negócios via internet de forma cada vez mais segura e integra.