Kybernetické útoky a podvody Inteligentní detekce a obrana

Rozměr: px

Začít zobrazení ze stránky:

Download "Kybernetické útoky a podvody Inteligentní detekce a obrana"

Karla Bednářová
před 8 lety
Počet zobrazení:

1 Kybernetické útoky a podvody Inteligentní detekce a obrana David Matějů Senior System Engineer RSA, The Security Divison of EMC david.mateju@rsa.com Copyright 2012 EMC Corporation. All rights reserved. 1

The Security Divison of EMC david.mateju@rsa.

2 Moderní kybernetické útoky a podvody Doba se změnila: základní bezpečnost nestačí Každý má firewall ale pokročilý útočník se stejně vždy dostane dovnitř Každý má antivir - ale zero-day malware stejně vždy projde Každý má systém detekce incidentů ale pokročilé průniky jsou většinou zcela nedetekovány (nebo pozdě) Nejen IDS, často i klasický SIEM Začíná to u uživatelů každý si říká: Já přeci poznám podvod, já jim nenaletím Copyright 2012 EMC Corporation. All rights reserved. 2

detekce incidentů ale pokročilé průniky jsou většinou zcela nedetekovány (nebo pozdě) Nejen IDS, často i klasický SIEM

3 Agenda Kybernetické útoky a podvody (fraudy) Aktuální příklady Trendy Jaké je řešení? Poznat a zastavit ŠMEJDY (inteligentní bezpečnost) Jak vám může pomoci RSA: Security Analytics, Silver Tail, ECAT Aveksa, Adaptivní Autentizace Anti-Fraud services: FraudAction, CyberCrime Intelligence Archer egrc Copyright 2012 EMC Corporation. All rights reserved. 3

Analytics, Silver Tail, ECAT Aveksa, Adaptivní Autentizace Anti-Fraud services:

9 Jak ty ŠMEJDY poznat? (útoky, fraudy, malware, ) Nikomu nemůžete věřit, kdo je kdo Útočníci jsou uvnitř Aktiva jsou venku (vaši zákazníci, zaměstnanci, data, ) Nejslabší článek: člověk Jak detekovat a zastavovat útoky venku v internetu? Phishing, Malware, trojani, falešné mobilní aplikace, Jak detekovat a zastavovat útoky a fraudy na vašem webu? Portál, E-banking, E-obchod, E-health, E-government, Jak detekovat a zastavovat útoky uvnitř ve firmě? Špionáž, hacking, DDoS, neoprávněné přístupy a změny, úniky dat, malware, botnety, spam, Copyright 2012 EMC Corporation. All rights reserved. 9

článek: člověk Jak detekovat a zastavovat útoky venku v internetu?

10 Řešením je Inteligentní bezpečnost Prioritizovat podle rizikovosti Je zbytečné prověřovat všechny podezřelé aktivity musíte si umět vybrat ty, které by vás nejvíce ohrozily Znát hodnotu chráněných aktiv, znát akceptovatelnou úroveň rizika, Sledovat chování, vidět všechny drobné detaily, poznat šmejdy Útočníci a podvodníci jsou velmi nenápadní (snaží se), ale chovají se jinak Sledovat chování všech uživatelů, rozumět kontextu (co je normální) a automaticky detekovat anomálie Vidět všechny drobné detaily pro případnou hloubkovou investigaci a automatizovat návazné reakce Flexibilní a adaptivní bezpečnostní opatření neotravovat slušné lidi (otevřít jim dveře), a přitom chytit šmejdy (zamknout před nimi) Spolupracovat s ostatními, znát kontext (interní i externí) Automatizovaně využívat maximum aktuálně dostupných znalostí Copyright 2012 EMC Corporation. All rights reserved. 10

všech uživatelů, rozumět kontextu (co je normální) a automaticky detekovat anomálie Vidět všechny drobné detaily pro případnou hloubkovou investigaci a automatizovat návazné reakce Flexibilní a

11 Intelligence-Driven Security Risk-based, contextual, and agile Risk Intelligence thorough understanding of risk to prioritize activity Advanced Analytics provide context and visibility to detect threats Adaptive Controls adjusted dynamically based on risk and threat level Information Sharing actionable intel from trusted sources and COIs Copyright 2012 EMC Corporation. All rights reserved. 11

detect threats Adaptive Controls adjusted dynamically based on risk and threat level Information

& Compliance Big Data Transforms Security

21 Security Analytics Enrichment Data Logs Packets DISTRIBUTED COLLECTION EUROPE NORTH AMERICA ASIA REAL-TIME WAREHOUSE THE ANALYTICS Reporting and Alerting Investigation Malware Analytics Administration Complex Event Processing Free Text Speech Correlation Metadata Tagging Incident Management Asset Criticality Compliance LONG-TERM LIVE INTELLIGENCE Threat Intelligence Rules Parsers Alerts Feeds Apps Directory Services Reports and Custom Actions EMC CONFIDENTIAL INTERNAL USE ONLY 21

29 Adaptive & Risk-Based Authentication Risk Engine High Risk Two- Factor Out Of Band Challenge Q User Action Step Up Authentication Proceed As Normal Device Profile Fraud Network User Behavior Profile Big Data Risk Repository Copyright 2012 EMC Corporation. All rights reserved. 29

30 Adaptive & Risk-Based Authentication User Action Risk Engine Private Cloud AUTHENTICATION MANAGER & SECURID Read Username & Password Download Sales Pipeline Additional Authentication Two- Factor Device Profile User Behavior Profile Fraud Network Big Data Risk Repository Public Cloud ADAPTIVE AUTHENTICATION Access Bank Account Username & Password Transfer Funds Additional Authentication Out Of Band Challenge Q Copyright 2012 EMC Corporation. All rights reserved. 30

32 Demo videa RSA Security Solutions (SOC Overview) Building Advanced SOC: RSA Security Analytics: monitoring, detekce a investigace (SIEM nové generace) RSA Silver Tail: detekce webových fraudů RSA ECAT: detekce malwaru uvnitř organizace RSA Aveksa: Identity & Access Management RSA Archer egrc: Governance, Risk & Compliance Governance Risk & Compliance: Archer egrc Platform: RSA FraudAction: zastavit Phishing, Trojany, falešné mobilní aplikace Copyright 2012 EMC Corporation. All rights reserved. 32

33 Shrnutí Pokročilé kybernetické útoky a šmejdy se starými nástroji ani neuvidíte (nepoznáte) Prevence je minulost (stejně jako perimetr) Je potřeba se více soustředit na detekci a reakci Umět vybírat nejcennější aktiva (prioritizovat) Detekci je nutné rozšířit i na fáze přípravy útoku Okamžité sdílení informací je nezbytné Copyright 2012 EMC Corporation. All rights reserved. 33

34 RSA Live RSA Intelligence Security RSA Archer Security Analytics + for RSA Analytics Security + RSA ECAT Analytics + RSA Archer for Security + RSA Data Discovery/RSA DLP Team & Shift Management Open/All Source Actor Attribution KPI Monitoring Attack Sensing & Warning Incident Queue Management Social Media Tier 1 Analyst Reporting & Business CLICK FOR DETAILS Impact High Value Target (HVT) Analysis Eyes-on-Glass Integration Reverse Malware Engineering Event Triage Content Host & Development Network Forensic Preliminary Investigation Reporting Cause & Origin Determination Incident Containment Alert Data and Exfiltration Rule Creation Evaluation 24x7 Coverage Threat Intelligence Analyst CLICK FOR DETAILS Tier 2 Analyst CLICK FOR DETAILS Analysis & Tools Support Analyst CLICK FOR DETAILS SOC Manager CLICK FOR DETAILS Copyright 2012 EMC Corporation. All rights reserved. 34