ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

Transkript

1 Pro zveřejnění

2 ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi Ivan Svoboda Business Development Manager, ANECT

3 Souhrn Stávající přístupy k prevenci a detekci útoků NESTAČÍ (BEFORE a DURING) Měli bychom počítat s tím, že ÚTOČNÍK UŽ JE UVNITŘ Je potřeba posílit nástroje typu Breach Detection (AFTER) Řešení: CISCO Cognitive Threat Analytics (CTA) + Služby SOCA Poznatky z praxe? Pro zveřejnění

4 Popis kontextu

5 The Cyber Kill Chain* Timeline Hours to Months Seconds Months 6 Command & Control 4 Exploitation 2 Weaponization 7 Action and Objectives 5 Installation 3 Delivery 1 Reconnaissance Preparation Pre-Infection Intrusion Pre-Infection Active Breach Post-Infection *Based on Lockheed Martin s Cyber Kill Chain

6 Fáze kybernetického útoku vs. dopady Dopady Preparation Phase Intrusion Phase Active Breach Phase Breach Detection & Incident Response Recon Weaponize Deliver Exploit Install Command & Control Act Pro zveřejnění

7 Fáze kybernetického útoku vs. obrana BEFORE Discover Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate Preparation Phase Intrusion Phase Active Breach Phase Breach Detection & Incident Response Recon Weaponize Deliver Exploit Install Command & Control Act Pro zveřejnění

8 Fáze kybernetického útoku vs. obrana 99 % 99 % IPS AV URL filter AntiSpam Endpoint hardening User awareness Malware Detection Preparation Phase Intrusion Phase Active Breach Phase Breach Detection & Incident Response Recon Weaponize Deliver Exploit Install Command & Control Act Pro zveřejnění

9 Jak jste na tom VY? Kdo z vás úspěšně blokuje 0-Day Malware? Kolik procent?

10 Breach Detection Preparation Phase Intrusion Phase Active Breach Phase Breach Detection & Incident Response Recon Weaponize Deliver Exploit Install Command & Control Act Pro zveřejnění

11 Breach Detection cíl a úspory Dopady Preparation Phase Intrusion Phase Active Breach Phase Breach Detection & Incident Response Recon Weaponize Deliver Exploit Install Command & Control Act Pro zveřejnění

12 Breach Detection metody Anti-Bot CISCO CTA Web GW SIEM Endpoint Anomaly Detection Network Behavior Analysis Preparation Phase Intrusion Phase Active Breach Phase Breach Detection & Incident Response Recon Weaponize Deliver Exploit Install Command & Control Act Pro zveřejnění

13 CISCO Cognitive Threat Analytics (CTA)

14 There s a new cyber-threat reality Your environment will get breached You ll most likely be infected via Hackers will likely command and control your environment via web

15 CTA Talos CTA on Cisco Web Security (CWS / WSA) Web Filtering Web Reputation Application Visibility & Control Webpage Anti- Malware File Reputation Outbreak Intelligence After Dynamic Malware Analysis File Retrospection Cognitive Threat Analytics Admin Management Reporting STIX / TAXII (APIs) Allow Warn Block Partial Block

16 CTA CTA CTA Cognitive Threat Analytics For CWS, WSA, and External Telemetry Web Access Logs (input telemetry) Cisco Cognitive Threat Analytics (CTA) Cloud Web Security Gateways Cisco CWS (Cloud Web Security) CTA a-la-carte ATD bundle = CTA & AMP WSP bundle = CWS & ATD Breach Detection & Advanced Threat Visibility HQ Web Security Gateways Cisco WSA (Web Security Appliance) CTA a-la-carte HQ Incident Response Confirmed Threats Detected Threats STIX / TAXII API External Telemetry (BlueCoat Sec. GW) CTA a-la-carte Threat Alerts SIEMs: Splunk, ArcSight, Q1 Radar...

17 Pomůžu vám s bezpečností vaší ICT infrastruktury Pro zveřejnění

18 popis služeb Pro zveřejnění

19 SOCA služby: 4 fáze REAKCE mám to pod kontrolou DETEKCE vidím PREVENCE doufám PREDIKCE vím co mi hrozí Pro zveřejnění

20 SOCA služby: 4 fáze REAKCE DETEKCE PREDIKCE PREVENCE PREVENCE REAKCE DETEKCE PREDIKCE Pro zveřejnění

21 SOCA služby: 4 fáze SOCA Scany Konfigurace Analýzy rizik PREDIKCE PREVENCE Blokace Karanténa REAKCE DETEKCE Monitoring Náprava Analýza incidentů Pro zveřejnění

22 scany

23 SOCA Scany - přehled Pro zveřejnění

24 CTA + SOCA Cisco CTA Web Access Logs SOCA Breach Detection SOCA Web Security Gateways (web proxy) Threat Alerts Immediate Response Who? What? Quarantine Block Full Response Forensics Change Recovery Pro zveřejnění

25 Jak úspěšně blokujete pokusy o průnik? Kdo z vás úspěšně blokuje 0-Day Malware? Jak rychle zjistíte, že něco prošlo?

26 Kolik nakažených počítačů je ve Vaší síti? Nabídka č.1: SOCA Scan: Měření 0-Day Malware Nabídka č. 2: SOCA + CTA: Breach Detection Vyplňte dotazník, přijďte na stánek

27 Potřebujete pomoc s kybernetickou bezpečností?? Chcete zjistit, co konkrétně vám hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?

28 Pro zveřejnění