Dalibor Kačmář 21. 9. 2015
200+ 75%+ $500B $3.5M Průměrný počet dní, které útočník stráví v síti oběti, než je detekován všech průniků do sítí se stalo díky úniku přihlašovacích údajů celková odhadovaná škoda způsobená kybernetickým zločinem na globální ekonomiku průměrná hodnota uniklých dat z firmy
Současné kybernetické útoky : Využívají zcizených uživatelských přihlašovacích údajů Používání legitimních IT nástrojů více než malware obtížnější detekovat Zůstanou v síti v průměru 8 měsíců než jsou detekování Způsobují významné finanční ztráty, dopad na reputaci značky, ztrátu citlivých dat, výměnu vedoucích pracovníků,
Today s cyber attackers are: Využívají zcizených uživatelských přihlašovacích údajů Používání legitimních IT nástrojů více než malware obtížnější detekovat Zůstanou v síti v průměru 8 měsíců než jsou detekování Způsobují významné finanční ztráty, dopad na reputaci značky, ztrátu citlivých dat, výměnu vedoucích pracovníků,
Today s cyber attackers are: Využívají zcizených uživatelských přihlašovacích údajů Používání legitimních IT nástrojů více než malware obtížnější detekovat Zůstanou v síti v průměru 8 měsíců než jsou detekování Způsobují významné finanční ztráty, dopad na reputaci značky, ztrátu citlivých dat, výměnu vedoucích pracovníků,
Today s cyber attackers are: Využívají zcizených uživatelských přihlašovacích údajů Používání legitimních IT nástrojů více než malware obtížnější detekovat Zůstanou v síti v průměru 8 měsíců než jsou detekování Způsobují významné finanční ztráty, dopad na reputaci značky, ztrátu citlivých dat, výměnu vedoucích pracovníků,
Tradiční IT security řešení jsou typicky: Komplexní Skon k falešně pozitivnímu Navrženy k ochraně perimetru Počáteční nastavení, vyladění, vytvoření pravidel a thresholds/baselines může trvat dlouhou dobu. Obdržíte příliš mnoho reportů během dne s řadou falešně pozitivních identifikací, které vyžadují dlouhou dobu k prozkoumání. Jakmile uživatelské údaje zcizeny a útočník je v síti, současná ochrana poskytuje omezené možnosti.
Lokální řešení pro identifikaci pokročilých bezpečnostních útoků dříve než způsobí velké škody Analogie: Microsoft Advanced Threat Analytics přináší tento přístup od IT a k uživatelům organizací. Společnosti vydávající kreditní karty monitorují chování držitelů karet. Pokud detekují abnormální aktivitu, informují držitele karty nebo chtějí potvrzení.
Lokální řešení pro identifikaci pokročilých bezpečnostních útoků dříve než způsobí velké škody Analytika chování Detekce známých útoků a problémů Advanced Threat Detection
Rychle detekujte ohrožení analýzou chování Přizpůsobujte se tak rychle jako vaši nepřátelé Zaměřte se na nutné kroky pomocí časové osy útoku Redukujte vysílení při zkoumání falešně pozitivního Není nutné vytvářet pravidla a politiky, nasazovat agenty nebo monitorovat záplavu bezpečnostních reportů. Inteligence je připravena pro analýzu a průběžné učení. ATA se průběžně učí jak se chovají entity (uživatelé, zařízení a zdroje) v organizaci a přizpůsobuje se tak, aby reflektovala změny v rychle měnících se organizacích. Časová osa útoku je jasným, efektivním a výhodným zdrojem, který poskytuje jasné informace v čase a dává perspektivu kdo-co-kdy-jak. Také dává návody jak dále postupovat. Alert nastane pouze tehdy, když se podezřelé aktivity dají do kontextu, nikoli pouze porovnáním chováním entity v čase, ale i s profilem a chováním dalších entit a jejich interakcí v čase.
Proč Microsoft Advanced Threat Analytics? Je rychlý Učí se a přizpůsobuje Poskytuje jasnou informaci Vyhlašování skutečných ohrožení
Key features Podpora mobility Integrovaný se SIEM Snadné nasazení Monitoruje všechna přihlášení a autorizace k organizačním zdrojům uvnitř firemního perimetru nebo na mobilních zařízeních Analyzuje události ze SIEM pro obohacení časové osy útoku Funguje nezávisle na SIEM Dává možnost zasílání bezpečnostních alertů zpět do SIEM nebo formou e-mailů definovaným lidem Software běží na hardware nebo virtuálně Používá port mirroring pro jednoduché nasazení společně s AD Neintruzivní, nemá vliv na existující síťovou topologii
1 Analýza Po instalaci: Jednoduchý neintruzivní port mirroring konfigurace kopíruje všechen provoz na Active Directory Zůstává skrytý před útočníky Analyzuje veškerý síťový provoz Active Directory Shromažďuje relevantní události ze SIEM a informace z Active Directory
2 Učení ATA: Automaticky začne s učením s profilováním chování entit Identifikuje normální chování entit Průběžně se obnovuje vzory chování uživatelů, zařízení a zdrojů Co je entita? Entita reprezentuje uživatele, zařízení nebo zdroj
3 Detekce Microsoft Advanced Threat Analytics: Hledá neobvyklé chování a identifikuje podezřelé aktivity Reaguje pouze tehdy, pokud dávají neobvyklé aktivity kontextuálně smysl Využívá bezpečnostní výzkum pro detekci bezpečnostních rizik a úroků v téměř reálném čase na základě Taktik, Technik a Procedur (TTP) útočníků. ATA neporovnává chování entit pouze se sebou samými, ale i s chováním ostatních entit během doby.
4 Poplach ATA reportuje všechny podezřelé aktivity ona jednoduché, funkční a akční časové lince ATA identifikuje Kdo? Co? Kdy? Jak? Pro každou podezřelou aktivitu ATA poskytuje doporučení pro další zkoumání a nápravu
Bezpečnostní problému a rizika Porušená důvěra Slabé protokoly Známé zranitelnosti protokolů Úmyslné útoky Pass-the-Ticket (PtT) Pass-the-Hash (PtH) Overpass-the-Hash Forged PAC (MS14-068) Golden Ticket Skeleton key malware Reconnaissance BruteForce Neobvyklé chování Neobvyklé přihlášení Vzdálené spuštění Podezřelé aktivity Neznámá ohrožení Sdílení hesel Lateral movement
Topologie
www.microsoft.com/ata www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics
dalibor.kacmar@microsoft.com