Eső után köpönyeg? avagy Hogyan védekezzek az újfajta kártékony kódok ellen?

Hasonló dokumentumok
2015 Cisco Éves Biztonsági Jelentés

Next Generation IPS. SourceFire alapokon. Kis-Szabó András IT Biztonsági tanácsadó, CISA, CRISC, ISO27001LA április 22.

A fenyegetéselhárítás új módszerei

Cisco + Sourcefire = Next Generation Security

Hetet egy csapásra. Máriás Zoltán TMSI Kft. CISA, CSM, CNE, CASE antidotum 2015

Végpont védelem könnyen és praktikusan

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

SOPHOS simple + secure. A dobozba rejtett biztonság UTM 9. Kókai Gábor - Sophos Advanced Engineer Balogh Viktor - Sophos Architect SOPHOS

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci

Az adathalászat trendjei

Using the CW-Net in a user defined IP network

Next Generation Cyber Security Platform. Pintér András YOUNG ENTERPRISE DAY Október 2.

Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network

Jogában áll belépni?!

FELHASZNÁLÓI KÉZIKÖNYV 1.sz. melléklet

Az IT biztonság kihívásai

Prémium WordPress havi jelentés

IT biztonság 2016/2017 tanév

10. Gyakorlat: Alkalmazások publikálása Remote Desktop Szervízen keresztül

Cloud computing. Cloud computing. Dr. Bakonyi Péter.

Eladni könnyedén? Oracle Sales Cloud. Horváth Tünde Principal Sales Consultant március 23.

MKB. Mobil NetBANKár. Mobil eszköz és böngészı beállítások

Hálózati hozzáférés vezérlés Cisco alapokon

Hasznos és kártevő rovarok monitorozása innovatív szenzorokkal (LIFE13 ENV/HU/001092)

Márkaépítés a YouTube-on

Cisco ISE megoldások. Balatonalmádi, február 27. Détári Gábor, senior rendszermérnök

FELHASZNÁLÓI KÉZIKÖNYV 1.sz. melléklet

1. Ismerkedés a Hyper-V-vel, virtuális gépek telepítése és konfigurálása

Cloud computing Dr. Bakonyi Péter.

Generációváltás az Alcatel-Lucent OmniPCX Connect termékvonalon. Mészáros tamás Műszaki fejlesztési vezető

Az IBM megközelítése a végpont védelemhez

IT trendek és lehetőségek. Puskás Norbert

(NGB_TA024_1) MÉRÉSI JEGYZŐKÖNYV

Ethernet/IP címzés - gyakorlat

Angol Középfokú Nyelvvizsgázók Bibliája: Nyelvtani összefoglalás, 30 kidolgozott szóbeli tétel, esszé és minta levelek + rendhagyó igék jelentéssel

Prémium WordPress havi jelentés

11. Gyakorlat: Certificate Authority (CA), FTP site-ok

SAS Enterprise BI Server

A hibrid DB cloud biztonsági eszköztára. Kóródi Ferenc Budapest,

EN United in diversity EN A8-0206/419. Amendment

COMPUTERLINKS Magyarország. Porkoláb Dániel Termék felelős

IP/09/473. Brüsszel, március 25

Oracle adatbázis biztonság a gyakorlatban és 12c újdonságok

EEA, Eionet and Country visits. Bernt Röndell - SES

EXTREME NETWORKS MEGOLDÁSOK ANALYTICS & SDN KRUPA ZSOLT ICT SMART SOLUTION SZAKMAI NAP

Teszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW3 SW2. Kuris Ferenc - [HUN] Cisco Blog -

4. Gyakorlat: Csoportházirend beállítások

Kategóriák szerinti web-szűrés, állományok titkosítása és NAC. Mindez mobilon. - Sophos Mobile Control 4.0

Intelligens közlekedés: a járműipar és járműirányítás IKT igényei, a VehicleICT projekt. Lengyel László lengyel@aut.bme.hu

Felhasználóbarát eszközök és élmények. Üzleti szintű megoldások

Intézményi IKI Gazdasági Nyelvi Vizsga

Elektronikus információbiztonsági oktatási koncepció

IBM Váltsunk stratégiát! Budapest, 2012 november 14. V7000

Felhasználó-központú biztonság

Hova tart a cross platform mérés?

Mérési útmutató a Secure Shell (SSH) controll és audit című méréshez

Új generációs GSM-R vasútüzemi kommunikáció

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Radware terhelés-megosztási megoldások a gyakorlatban

Excel ODBC-ADO API. Tevékenységpontok: - DBMS telepítés. - ODBC driver telepítése. - DSN létrehozatala. -Excel-ben ADO bevonása

Lexington Public Schools 146 Maple Street Lexington, Massachusetts 02420

Hálózati trendek, újdonságok

További lehetőségek. Nighthawk X6 AC3200 Tri-Band WiFi-router. R8000-as modell

Hálózati betekint ő program telepítése mobil telefonra. Symbian. alarm shop. Windows mobile Android IPhone Blackberry

Samsung Integrált Megoldások Android fejlesztői környezetben. Bánhegyi László Corporate Sales, B2B

*#Discount~ Kaspersky Internet Security - multidevice 2015 best software to buy for mac ]

Kiterjesztett valóság az iparban

Regisztráció a Researcher ID adatbázisban

Correlation & Linear Regression in SPSS

Ellenőrző lista. 2. Hálózati útvonal beállítások, kapcsolatok, névfeloldások ellenőrzése: WebEC és BKPR URL-k kliensről történő ellenőrzése.

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Adatbázis-kezelés ODBC driverrel

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

Védekezés kártevők C&C forgalma ellen

Cashback 2015 Deposit Promotion teljes szabályzat

Szakmai továbbképzési nap akadémiai oktatóknak december 14. HISZK, Hódmezővásárhely / Webex

A Veeam kritikus szerepe az adatkezelési és védelmi stratégiákban, biztosítva a GDPR megfelelést és az Always On Enterprise rendelkezésre állást.

Website review acci.hu

Információs Rendszerek Szakirány

Érettségi tétel az IT vizsgán: Felhő

Excel vagy Given-When-Then? Vagy mindkettő?

DIGITALIZÁCIÓ KINEK MI? AVAGY A KIKERÜLHETETLEN ÖSVÉNY A SIKERES VERSENYKÉPESSÉG ÉRDEKÉBEN.

Utasítások. Üzembe helyezés

Cluster Analysis. Potyó László

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

Android Pie újdonságai

Veeam Agent for Windows and Linux

Mobil webszerverek. Márton Gábor Nokia Research Center. W3C Mobilweb Műhelykonferencia, Budapest október 18.

Cisco Alkalmazásközpontú Application Centric Infrastructure

Tenant szeparáció Exadata platformon Koncepció

Széchenyi István Egyetem

CCNA Security a gyakorlatban

Phenotype. Genotype. It is like any other experiment! What is a bioinformatics experiment? Remember the Goal. Infectious Disease Paradigm

Mobil eszközökön tárolt adatok biztonsága

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

IT Biztonságtechnika - antidotum Mint egy Ferrari: gyors, szép. WatchGuard

E Q U I C O M M é r é s t e c h n i k a i K f t. H B u d a p e s t, M á t y á s k i r á l y u T. : F.

A T-Systems felhő koncepciója Frigó József

9. Gyakorlat: Network Load Balancing (NLB)

Átírás:

Eső után köpönyeg? avagy Hogyan védekezzek az újfajta kártékony kódok ellen? Ács György IT biztonsági konzultáns, EMEAR CEE 2014. április 22.

Tartalom A veszélyekről Védelemi módszerek és az új Cisco biztonsági stratégiája Advanced Malware Protection, FireAMP szolgáltatás Demonstráció Architektúra elemek Kérdések és válaszok Cisco Public 2

A veszélyekről Cisco Public 3

Nincs tökéletes technológia FW/VPN AV PKI IDS / IPS UTM It matches the pattern Block or Allow NAC No key, no access Application Control Self Defending Network No false positives, no false negatives. Fix the Firewall Cisco Public 4

És mégis ott van: Malware az eszközön eső után köpönyeg? Perimeter Defense Network Defense Endpoint Defense Device A mélységi védelem ellenére Cisco Public 5

Gond: A válaszra eddig kevés figyelmet fordítottunk Prevention megelőzés Eddigi fókusz Based on a forensic analysis going back months, it appears hackers broke into The Times computers on Sept. 13. NY Times, Jan 30, 2013 According to US Cert, the average time from breach to discover is 486 days and normally the person breached finds out from a 3 rd party US CERT Incident Response Több figyelem kell. Cisco Public 6

Védelemi módszerek és az új Cisco biztonsági stratégiája Cisco Public 7

Ki az a Sourcefire? 2001-ben Martin Roesch alapította, Columbia, MD Új biztonsági megoldások piacvezető (NG) IPS új belépő a NGFW piacra új megközelítésű Advanced Malware Protection megoldás Innovatív 52+ szabadalom IPS, kontextus alapú biztonság, advanced malware Biztonsági kutatás Open Source security projektek : Snort, ClamAV, Razorback 2013. október 7. : A Cisco befejezte a Sourcefire akvizícióját, 2.7 milliárd USD befektetés Cisco Public 8

Az új biztonsági stratégia Támadási momentum ELŐTT Control Enforce Harden ALATT Detect Block Defend UTÁN Scope Contain Remediate Network Endpoint Mobile Virtual Cloud Point in time Continuous Cisco Public 9

Cisco and Sourcefire Better Together Támadási momentum ELŐTT Control Enforce Harden ALATT Detect Block Defend UTÁN Scope Contain Remediate Firewall VPN NGIPS Advanced Malware Protection NGFW UTM Web Security Network Behavior Analysis NAC + Identity Services Email Security Retrospective Services Visibility and Context Cisco Public 10

Mit szeretnénk tudni betörés esetén? Valóban betörés volt? Melyik gépet fertőzte meg elsőként? Mennyire volt kiterjedt a betörés? Mit csinált pontosan? Hogyan tudom helyreállítani? Hogyan tudom megelőzni, hogy más gépeket megfertőzzön? Cisco Public 11

Advanced Malware Protection, FireAMP - Áttekintés UTÁN Cisco Public 12

Sourcefire Advanced Malware Protection with Retrospective Security Átfogó Folytonos elemzés Integrált válasz Big Data analízis Control & Remediation Collective Security Intelligence Cisco Public 13

A mi megközelítésünk az Advanced Malware Protection-ra Hálózat alapú AMP Retrospective Security Continuous File Analytics Reputation Determination Defense Center Sourcefire Sensor # # SaaS Manager Host alapú AMP AMP Malware license Nincs szükség kliens programra Kis kód (printer driver méretű) host, virtual és mobil eszközök Másolást, végrehajtást, mozgatást figyel Traps fingerprint & attributes Queries cloud for file deposition

File Retrospection file visszatekintés Az esemény horizonton túl Antivirus Point-in-time Detection Sandboxing Analysis Stops Not 100% Sleep Techniques Unknown Protocols Encryption Polymorphism Blind to scope of compromise Initial Disposition = Clean Actual Disposition = Bad = Too Late!! AMP Retrospective Detection, Analysis Continues Turns back time Visibility and Control are Key Initial Disposition = Clean Actual Disposition = Bad = Blocked Cisco Public 15

Retrospective Security visszatekintő elemzés Mindig figyel nem felejt időben visszatekint Folytonos elemzés az esemény horizonton túli malware elemzés Nyomkövetés (Trajectory) Determine scope by tracking malware in motion and activity File Trajectory File alapú nyomkövetés : a szervezeten belüli vizibilitás Device Trajectory Az adott rendszeren mély file aktivitás elemzés és vizibilitás Cisco Public 16

Outbreak Control kitörés megelőzés Többféle lehetőség veszélyelhárításra és root cause megelőzésre Egyszerű és specifikus szabályzások (tiltások/engedélyezések) vagy Kontextus specifikus szignatúrák (snort-szerű nyelv) Simple Custom Detections Advanced Custom Signatures Application Blocking Lists Custom White Lists Device Flow Correlation / IP Blacklists Cloud & Client Based Fast & Specific Families Of Malware Group Policy Control Trusted Apps & Images Stop Connections to Bad Sites Cisco Public 17

A kliens program ~30MB! Akár XP-re is File Operations End Point Connector Capture File Operation Generate Fingerprint(SHA256) Management Operations Host Name Query Cloud for Disposition Send SHA256+Fuzzy Hash to Cloud If Malicious Block Host IP Address Heartbeat Login Name (Opt) Network Operations Capture Network Traffic Send TCP+UDP to Cloud If Malicious Block Cisco Public 18

Indicators of Compromise Megfertőzött gépek megtalálása Automated compromise analysis Prioritized list generation Quick links for root cause analysis and remediation Cisco Public 19

AMP Context Threat Root Cause Cisco Public 20

Mit is ad a sandboxing? Cisco Public 21

Cisco Public 22

Cisco Public 23

Demonstráció Cisco Public 24

Advanced Malware Protection architektúra Gateway Network Endpoint Private Cloud Public Cloud Cloud Driven Differentiators: Email Security Appliance Web Security Appliance Cloud Web Security Dedicated AMP Appliance AMP for Networks Windows Mac s Mobile Virtual ü ü ü ü Collective Intelligence Continuous Analytics Retrospection Control Cisco Public 25

Private Cloud ha lokális döntés szükséges (VM) Capability Private Cloud Public Cloud File/Device Trajectory Threat Root Cause IOC and alerting Simple and Custom detection Cloud Lookups/ Retrospective Alerting File Analysis - Cisco Public 26

Advanced Malware Protection Network UTÁN Cisco Public 27

Új Advanced Malware Protection dedikált eszközök More memory, storage, and CPU capacity for dedicated AMP processing 500 Mbps of Adv. Malware Protection 120G storage AC power only 4 Fixed Copper (Configurable Bypass) 8 Non-bypass SFP ports 2 Gbps of Adv. Malware Protection 400G storage AC and DC power options 3 x Netmod Slots No stacking AMP7150 AMP8150 Cisco Public 28

AMP konfiguráció a FirePOWER-ben Cisco Public 29

Network File Trajectory nyomkövetés Belépési idő Fertőzött rendszerek Cisco Public 30

Network File Trajectory Introduc)on Sent by mail (thunderbird) Cisco Public 31

Network File Trajectory Click! View the progression and propagation of advanced malware throughout the environment Cisco Public 32

Advanced Malware Protection Mobile UTÁN Cisco Public 33

100% 80% Android : a támadók célpontja A Cisco Éves Biztonsági Riportjából 60% 40% 20% Mobil eszközök, mint áldozatok (99% Android) 0 50% Android iphone ipad BlackBerry Nokia Symbian ipod Huawei Windows Phone Motorola Playstation Nook Zune WP Kindle Windows CE 40% 30% 20% A legelterjedtebb mobil rosszindulatú kódok 10% 0 Andr/Qdplugin-A Andr/NewyearL-B Andr/SmsSpy-J Andr/SMSSend-B Andr/Spy-AAH Trojan.AndroidOS. Plangton.a Andr/DroidRt-A Andr/Gmaster-E AndroidOS. Wooboo.a Trojan-SMS.AndroidOS. Agent.ao Andr/DroidRt-C Cisco Cloud Web Security reports Cisco Public 34

Android veszélyek <iframe style Sokkal gyanúsabb lehet, mint a PC Sok lehetőség a banki támadásra Két-faktoros azonosítás gyakran mobilon megy Egyszerűbb személyes adatokat keresni, mint PC-n A felhasználók gyakran default alkalmazásokat használnak, mint :"Contacts és "Gallery személyes adatokkal Személyes információt gyakran nem egyszerű változtani Gmail email cím a Google Play-hez kötődik Eszköz azonosító (telefonszám, MAC cím, IMEI, IMSI) Sok ingyenes alkalmazás Google Play-ből vagy máshonnan Cisco Public 35

FireAMP Mobile : Vizibilitás és vezérlés FireAMP Mobile a mobil veszélyek ellen : Detektálja és törli a malware-t Alkalmazás történet cloud recall lehetősége Alkalmazás blacklisting - szűrése policy végrehajtása A veszélyek és trendek megértése : Veszélyes felhasználók kiszűrése Top malwares Policy violations Minimális hatás : Hálózati forgalom, akkumulátor Supports Android 2.1+ Cisco Public 36

Advanced Malware Protection Content Security Appliances UTÁN Cisco Public 39

Advanced Malware Protection - mindenhol NGIPS / NGFW a FirePOWER-ben 2012. október Mobil 2012. június PC 2012. január Virtuális gép 2012. augusztus Önálló eszköz 2013. február 2014. április Új területek: Web és Email Security Appliances SaaS Cloud Web Security és Hosted Email Note: Immunet entered AMP market in 2008. Cisco Public 40

AMP szolgáltatások a Content Security megoldásokban File Reputation Ismert és ismeretlen malware file blokkolása Reputáció döntés a felhőből File Sandboxing Nem ismert file viselkedés elemzése Gyanús viselkedés keresése File Retrospection A gateway-en átmenő file folytonos analízise Retrospektív riasztás (email), ha károsnak ítélte az AMP felhő Cisco Public 41

Cisco Public 42

Cisco Public 43

Cisco Public 44

Cisco Public 45

Cisco Public 46

Cisco Public 47

Breach Detection: NSS Labs Report Cisco Public 48

NSS Labs Report Comparative Testing on Breach Detection Systems Who is NSS Labs? What was measured? What Cisco-Sourcefire products were tested? What competitor products were evaluated? NSS Labs, one of the best and most thorough independent testing bodies in the industry, performed comparative testing on Breach Detection Systems. Security Effectiveness of Breach Detection Systems HTTP/Email Malware, Exploits, Evasions, and False Positive Rate Total Cost of Ownership per protected Mbps AMP Everywhere AMP for Networks and AMP for Endpoints (TCO calculations include this set of FireAMP connectors) FirePOWER 8120 (with AMP subscription)* FireEye, AhnLab, Fortinet, TrendMicro, Fidelis BDS Methodology v1.5 [The methodology] utilizes real threats and attack methods that exist in the wild and are actually being used by cyber-criminals and other threat actors. This is the real thing, not facsimile; systems under test (SUT) are real stacks connected to a live internet feed. --NSS Labs *Dedicated AMP Appliances (AMP8150/AP7150) were not shipping at the time of the test, otherwise one would have been used Cisco Public 49

Az eredmény Cisco AMP is a Leader in Security Effectiveness and TCO and offers Best Protection Value NSS Labs Security Value Map (SVM) for Breach Detection Systems Cisco Advanced Malware Protection Best Protection Value 99.0% Breach Detection Rating Security Effectiveness Lowest TCO per Protected-Mbps TCO per Protected-Mbps Cisco Public 50

Összefoglaló A bűnözők elszántak és végtelen erőforrással bírnak Malware mégis bejut Point-in-time döntés nem elég Incident Response fókuszt igényel Eső után köpönyeg? Új megoldás az új kártékony kódok ellen Válaszok ad a feltett kérdésekre Visszatekintő (retrospektív) elemzés Minden hálózatra és végponti elemre kiterjedő szolgáltatás: AMP architektúra Cisco Public 51

Kérdés? Cisco Public 52

Köszönöm.

FireAMP Demo Cisco Public 54

Demo Outline Architecture [Connector & Cloud] IOC Drill down Trajectory paths File Trajectory to answer prevalence Device Trajectory to determine ancestry and progeny Trajectory Use Cases Trajectory as a workflow Threat Root Cause Realtime & Scheduled report File Analysis Cisco Public 55

ZBOT This attack scenario replicates an in the wild infection of ZBot. In addition to being a banking Trojan, ZBot (aka ZeuS, Gameover) has also recently been modified to incorporate a P2P botnet. ZBot is often installed on computers via drive-by download, often from websites that have been compromised with an exploit toolkit. These toolkits attempt to exploit several browser vulnerabilities when a user visits the compromised website. In this scenario we will use FireAMP to discover the malicious activity and find all associated secondary infections. IMPORTANT! In the following scenario the policy for the FireAMP Connector was set to auditonly mode to show the full range of actions malicious files could take and how each action is recorded and displayed by FireAMP. Cisco Public 56

Architecture Cisco Public 57

IOC Drill down Cisco Public 58

Device Trajectory Cisco Public 59

File Trajectory Cisco Public 60

Device Trajectory Cisco Public 61

Trajectory Use Cases: Trajectory as a workflow Cisco Public 62

Threat Root Cause Actionable report data Cisco Public 63

Threat Root Cause Actionable report data Cisco Public 64

File Analysis Cisco Public 65

Device Trajectory Cisco Public 66

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés