Kybernetické útoky a podvody Inteligentní detekce a obrana

Kybernetické útoky a podvody Inteligentní detekce a obrana David Matějů Senior System Engineer RSA, The Security Divison of EMC david.mateju@rsa.com Copyright 2012 EMC Corporation. All rights reserved. 1

Moderní kybernetické útoky a podvody Doba se změnila: základní bezpečnost nestačí Každý má firewall ale pokročilý útočník se stejně vždy dostane dovnitř Každý má antivir - ale zero-day malware stejně vždy projde Každý má systém detekce incidentů ale pokročilé průniky jsou většinou zcela nedetekovány (nebo pozdě) Nejen IDS, často i klasický SIEM Začíná to u uživatelů každý si říká: Já přeci poznám podvod, já jim nenaletím Copyright 2012 EMC Corporation. All rights reserved. 2

Agenda Kybernetické útoky a podvody (fraudy) Aktuální příklady Trendy Jaké je řešení? Poznat a zastavit ŠMEJDY (inteligentní bezpečnost) Jak vám může pomoci RSA: Security Analytics, Silver Tail, ECAT Aveksa, Adaptivní Autentizace Anti-Fraud services: FraudAction, CyberCrime Intelligence Archer egrc Copyright 2012 EMC Corporation. All rights reserved. 3

Copyright 2012 EMC Corporation. All rights reserved. 4

Copyright 2012 EMC Corporation. All rights reserved. 5

Copyright 2012 EMC Corporation. All rights reserved. 6

Copyright 2012 EMC Corporation. All rights reserved. 7

Copyright 2012 EMC Corporation. All rights reserved. 8

Jak ty ŠMEJDY poznat? (útoky, fraudy, malware, ) Nikomu nemůžete věřit, kdo je kdo Útočníci jsou uvnitř Aktiva jsou venku (vaši zákazníci, zaměstnanci, data, ) Nejslabší článek: člověk Jak detekovat a zastavovat útoky venku v internetu? Phishing, Malware, trojani, falešné mobilní aplikace, Jak detekovat a zastavovat útoky a fraudy na vašem webu? Portál, E-banking, E-obchod, E-health, E-government, Jak detekovat a zastavovat útoky uvnitř ve firmě? Špionáž, hacking, DDoS, neoprávněné přístupy a změny, úniky dat, malware, botnety, spam, Copyright 2012 EMC Corporation. All rights reserved. 9

Řešením je Inteligentní bezpečnost Prioritizovat podle rizikovosti Je zbytečné prověřovat všechny podezřelé aktivity musíte si umět vybrat ty, které by vás nejvíce ohrozily Znát hodnotu chráněných aktiv, znát akceptovatelnou úroveň rizika, Sledovat chování, vidět všechny drobné detaily, poznat šmejdy Útočníci a podvodníci jsou velmi nenápadní (snaží se), ale chovají se jinak Sledovat chování všech uživatelů, rozumět kontextu (co je normální) a automaticky detekovat anomálie Vidět všechny drobné detaily pro případnou hloubkovou investigaci a automatizovat návazné reakce Flexibilní a adaptivní bezpečnostní opatření neotravovat slušné lidi (otevřít jim dveře), a přitom chytit šmejdy (zamknout před nimi) Spolupracovat s ostatními, znát kontext (interní i externí) Automatizovaně využívat maximum aktuálně dostupných znalostí Copyright 2012 EMC Corporation. All rights reserved. 10

Intelligence-Driven Security Risk-based, contextual, and agile Risk Intelligence thorough understanding of risk to prioritize activity Advanced Analytics provide context and visibility to detect threats Adaptive Controls adjusted dynamically based on risk and threat level Information Sharing actionable intel from trusted sources and COIs Copyright 2012 EMC Corporation. All rights reserved. 11

Security Management Identity and Access Management Fraud Prevention Governance, Risk & Compliance Big Data Transforms Security Copyright 2012 EMC Corporation. All rights reserved. 12

Copyright 2012 EMC Corporation. All rights reserved. 13

Copyright 2012 EMC Corporation. All rights reserved. 14

Copyright 2012 EMC Corporation. All rights reserved. 15

Copyright 2012 EMC Corporation. All rights reserved. 16

Copyright 2012 EMC Corporation. All rights reserved. 17

Šmejdi se chovají jinak než my... Velocity Page Sequence Origin Contextual Information Copyright 2012 EMC Corporation. All rights reserved. 18

... a RSA SilverTail to moc dobře vidí Copyright 2012 EMC Corporation. All rights reserved. 19

Copyright 2012 EMC Corporation. All rights reserved. 20

Security Analytics Enrichment Data Logs Packets DISTRIBUTED COLLECTION EUROPE NORTH AMERICA ASIA REAL-TIME WAREHOUSE THE ANALYTICS Reporting and Alerting Investigation Malware Analytics Administration Complex Event Processing Free Text Speech Correlation Metadata Tagging Incident Management Asset Criticality Compliance LONG-TERM LIVE INTELLIGENCE Threat Intelligence Rules Parsers Alerts Feeds Apps Directory Services Reports and Custom Actions EMC CONFIDENTIAL INTERNAL USE ONLY 21

Security Analytics Alerts Dashboard Copyright 2012 EMC Corporation. All rights reserved. 22

Copyright 2012 EMC Corporation. All rights reserved. 23

Copyright 2012 EMC Corporation. All rights reserved. 24

Copyright 2012 EMC Corporation. All rights reserved. 25

Copyright 2012 EMC Corporation. All rights reserved. 26

RSA Aveksa řeší věčný problém s se správou uživatelských oprávnění Copyright 2012 EMC Corporation. All rights reserved. 27

Copyright 2012 EMC Corporation. All rights reserved. 28

Adaptive & Risk-Based Authentication Risk Engine High Risk Two- Factor Out Of Band Challenge Q User Action Step Up Authentication Proceed As Normal Device Profile Fraud Network User Behavior Profile Big Data Risk Repository Copyright 2012 EMC Corporation. All rights reserved. 29

Adaptive & Risk-Based Authentication User Action Risk Engine Private Cloud AUTHENTICATION MANAGER & SECURID Read Email Username & Password Download Sales Pipeline Additional Authentication Two- Factor Device Profile User Behavior Profile Fraud Network Big Data Risk Repository Public Cloud ADAPTIVE AUTHENTICATION Access Bank Account Username & Password Transfer Funds Additional Authentication Out Of Band Challenge Q Copyright 2012 EMC Corporation. All rights reserved. 30

RSA Archer egrc Ecosystem Copyright 2012 EMC Corporation. All rights reserved. 31

Demo videa RSA Security Solutions (SOC Overview) Building Advanced SOC: http://youtu.be/oh_ezyxq7w4 RSA Security Analytics: monitoring, detekce a investigace (SIEM nové generace) http://youtu.be/rzscmz-utcy RSA Silver Tail: detekce webových fraudů http://youtu.be/6tbvqagijha RSA ECAT: detekce malwaru uvnitř organizace http://youtu.be/eskpkgu_4kk RSA Aveksa: Identity & Access Management http://youtu.be/fq5tyr8c50k RSA Archer egrc: Governance, Risk & Compliance Governance Risk & Compliance: http://youtu.be/kmxef-upt1i Archer egrc Platform: http://youtu.be/o02fqqvnofi RSA FraudAction: zastavit Phishing, Trojany, falešné mobilní aplikace http://youtu.be/m16bruhzj6o Copyright 2012 EMC Corporation. All rights reserved. 32

Shrnutí Pokročilé kybernetické útoky a šmejdy se starými nástroji ani neuvidíte (nepoznáte) Prevence je minulost (stejně jako perimetr) Je potřeba se více soustředit na detekci a reakci Umět vybírat nejcennější aktiva (prioritizovat) Detekci je nutné rozšířit i na fáze přípravy útoku Okamžité sdílení informací je nezbytné Copyright 2012 EMC Corporation. All rights reserved. 33

RSA Live RSA Intelligence Security RSA Archer Security Analytics + for RSA Analytics Security + RSA ECAT Analytics + RSA Archer for Security + RSA Data Discovery/RSA DLP Team & Shift Management Open/All Source Actor Attribution KPI Monitoring Attack Sensing & Warning Incident Queue Management Social Media Tier 1 Analyst Reporting & Business CLICK FOR DETAILS Impact High Value Target (HVT) Analysis Eyes-on-Glass Integration Reverse Malware Engineering Event Triage Content Host & Development Network Forensic Preliminary Investigation Reporting Cause & Origin Determination Incident Containment Alert Data and Exfiltration Rule Creation Evaluation 24x7 Coverage Threat Intelligence Analyst CLICK FOR DETAILS Tier 2 Analyst CLICK FOR DETAILS Analysis & Tools Support Analyst CLICK FOR DETAILS SOC Manager CLICK FOR DETAILS Copyright 2012 EMC Corporation. All rights reserved. 34