Umfassender Schutz vor Advanced Threats

Transcrição

Umfassender Schutz vor Advanced Threats
nicht nur reagieren sondern proaktiv schützen
Peter Lange
Presales Engineer CEMEA
[email protected]
Agenda
Aktuelle Bedrohungslandschaft: Aktuelle Taktiken Cyberkrimineller
Der Faktor Mensch – wer klickt wann, warum und worauf?
Proaktive Erkennung und Abwehr sowie automatisierte Incident Response
Praxisbeispiel Automotive: Umfassender Schutz für 9.000 User dank
erfolgreichem Proof of Concept
Copyright © 2015 Proofpoint, Inc. All Rights Reserved.
2
Die Bedrohungslandschaft
Longlining
Spear Phishing
Handgefertigt, social engineered,
sehr geringes Volumen
Zielgruppe besteht meist aus
Personen mit Zugriff auf sensible
Daten
Bevorzugte Methode für
staatliche Dienste
Verschiedene Techniken
werden eingesetzt, um
Unternehmen & Nutzer
zielgerichtet zu attackieren
Hohes Volumen,
Zielgerichtete “Phish” Attacke
mit Computergenerierten
Inhalten
Hohe
Wiederherstellungskosten
Verschiedene
Verteilungsszenarien
Die Fragen:
Watering Hole
Kompromittierte
vertrauenswürdige Quellen
Wird häufig als alternative zu
Spear Phishing verwendet
Aktuelle Erkennung in allen
Bereichen der Industrie u.
Wirtschaft
Wie gehen Sie heute
damit um?
Können Sie Reports über
Phishing erstellen?
Multi-Variant
Eine Kampagne verteilt
zeitgleich Spam & Phish
TDS variiert mit der
Verteilung durch Faktoren
wie Zeit, Gerät, Ort und
anderen Angaben.
Schwer zu unterscheiden
3
Cyberkriminelle folgen dem Geld
Black Market Values of Personal and Consumer Data, 2005-20131
$70,00
$60,00
Credit Card with
security code
Price per record
$50,00
$40,00
Debit Card with
security code
$30,00
SSN with PII
("Fullz")
$20,00
$10,00
"Current hacker
underground markets […]
are booming with counterfeit
documents to further enable
fraud.”
Dell SecureWorks, “Underground Hacker
Market” (2014)”2
PHR with Health
Ins ID
$0,00
2005
2006
2007
2008
2009
2010
2011
2012
2013
4
Die Angriffskette
5
Beispiel
Deutsche & Französische Phish Kampagne
ATTACK DETAILS
Zielgerichtete Phishing Kampagne an deutsche
und Französische Unternehmen
Ursprung in Deutschland u. Frankreich
“Account notification” / Rechnungs Vorlage
Longline campaign: viele sende Adressen,
unterschiedliche Betreffzeilen sowie
verschiedene Anhänge
MALWARE DETAILS
12 verschiedene Word Dokumente als Anhang
Malicious Office macro – Nutzerinteraktion
startet den “content”, aktuell sehr populär
Dropped Andromeda (aka Gamarue)
Verschleierung des Macro Codes und geringes
Volumen < nur 10% Erkennung durch AV
engines
6
Der Faktor Mensch – einige Fakten
In jeder Firma wird “geklickt” –
durchschnittlich wird jede 25. infizierte Nachricht angeklickt
Auf welche Art von Nachrichten wird geklickt:
7
Wann werden diese Nachrichten angeklickt?
Beschreibt die Zeit bis
zum “Klick” nach Erhalt
einer Nachricht, die
Schadcode enthält
66% klicken am 1. Tag
8
Attachments sind auf der Überholspur (Januar 2014 – März 2015)
eine Steigerung um
Faktor 17 innerhalb
von 6 Monaten
Proofpoint TAP hat
eine Steigerung um
den Faktor 29
innerhalb weniger
Monate
9
Was macht Proofpoint?
1. Stoppt advanced threats bevor diese die Nutzer erreichen
Monitort Emails, Soziale Netzwerke und Mobile Apps.
2. Schützt die erstellten Informationen um das
Gefährdungspotential zu reduzieren.
Finden und Schützen von sensitiven Informationen in Emails, auf sozialen Plattformen und
in anderen Bereichen (mobile Apps).
3. Ermöglicht es auf Security Vorfälle viel schneller zu reagieren
Bietet die Intelligenz Incidents zu priorisieren und entsprechende Möglichkeiten die richtige
Reaktion umzusetzen
10
Wer wir sind?
Führender Hersteller im Bereich
advanced threat´s
Starker Focus auf Enterprise Kunden
darunter auch mehr als 50% der Fortune
100 sowie mehrere DAX Unternehmen
Innovativer IT Security Hersteller mit
klarem Focus
11
Unser einzigartiger Weg “Threats” zu
Stoppen – proaktive Erkennung
ACTION
INSIGHT
Sichtbarkeit
Be in the flow of the attack
channels* to provide
comprehensive protection.
Alles Korrelieren
Know bad actors and tools across
the attack chain, updating the
defenses continuously.
Überall Schützen
Stop attacks everywhere people
use the target channel, on
network or off, on any device.
*email gateways, social platforms,
mobile app stores
12
Proofpoint Lösungen auf die heutigen
Anforderungen anwenden
Blockieren von
Advanced Attacks
Reduzierung der
Angriffsmöglichkeiten
Reaktion auf
Angriffe
[Breach Prevention]
[Breach Containment]
[Breach Remediation]
Email Protection
Secure email gateway
Targeted Attack Protection
Advanced threat detection for email,
social platforms, and mobile apps
Information Protection
Security operations dashboard
Information Archive
Emerging Threats
Retain, filter, and delete emails and
social posts for compliance
Proofpoint Lösungen
Threat Response
Sensitive data discovery, DLP, and
encryption for email and data at rest
Threat intelligence data
13
Kundenbeispiel / 9.000 Mailboxen
04.15 / Volumen ca. 1 Mio. Nachrichten
Erfolgskriterien für PoC:
Erhöhung der signaturbasierten Erkennungsrate für AntiSpam
Umfangreiches und performantes Message Tracking
Erstellen verschiedener Quarantänebereiche (Phish, Bulk, Spam, Suspicious, Adult, Malware)
Erkennung und Blockieren von Advanced Malware und polymorphem Schadcode durch
Sandbox Technologie
Erkennen von schadhaften Email Anhängen
14
Kundenbeispiel
Deutscher Email
Security Anbieter
Proofpoint PPS
Exchange
Kombinierter PoC
Regel
Proofpoint Enterprise Protection
Spam
3,3%
176669
17,8%
1867
0,2%
18099
1,8%
73
0,0%
Not Spam
764871
76,9%
Total
994800
100%
Phish
Suspect (verdächtige)
eingesetzt hinter aktueller Lösung
Prozent
33221
Bulk (Newsletter)
Proofpoint Targeted Attack Protection
Total
Adult
15
Kundenbeispiel – TAP Ergebnisse
364 Nachrichten erkannt und geblockt
28 Zugriffe auf Phish geblockt (keine Infizierung)
15 Zugriffe nachträglich als Schadhaft aufgezeigt
16
Kundenbeispiel – Angriff auf
Geschäftsführung
Apple iCloud Phish
Zielgerichtet an beide aktuelle GF
sowie 4 vorherige
Social Engineering Hintergrund
Ziel war es die Apple Credentials zu
phishen um iCloud Backup
wiederherzustellen
Proofpoint TAP konnte den Zugriff
direkt blockieren
17
Proofpoint Threat Response
Welche Art von
Attacke ist es?
Wer wurde
attackiert?
Security Teams sind aktuell
damit überfordert
Informationen welche von
Systemen generiert werden
nach Relevanz und
Wichtigkeit zu sortieren und
darauf zu reagieren
Security
Operations
Woher kommt
die Attacke?
Security Alerts
18
1
Untersuchen
•
•
•
2
Verifizieren
•
•
Einloggen auf unterschiedliche
Systeme
Zusammenfassen von Alarmen
Umwandeln von Events in Incidents
•
•
3
4
Priorisieren
•
•
•
“Score” incidents
Priorisierung der Incidents
Eskalation an die nächst höhere
Ebene von Analysten
Zugriff auf das infizierte System
Suche nach Indikatoren einer
Infizierung (IOC)
Bestätigen von Prozess- und
Registrierungsveränderungen
Systemveränderungen
Beheben
•
•
•
Desktop Ticket: AD
Gruppenmitgliedschaft ändern
NOC ticket: Update firewalls und
proxies verschiedenster Hersteller
und Lokationen, Zeitzonen etc.
Warten auf Abschluss des Prozesses
Incident für Incident….
…oder ingorieren aufgrund mangelnder Resourcen
19
Correlate
& Confirm
AUTOMATED
Assess
Prioritize
response
uvm...
CONSISTENT
Contain
Contain &
Quarantine
Automatische Priorisierung
INSTANT
Direkte Reaktion
Einfache 3rd Party
Integration
20
Fragen?
threat protection | compliance | archiving & governance | secure communication
21

Umfassender Schutz vor Advanced Threats

Transcrição

Documentos relacionados

Notationsprogramme

Checkliste zum 2. Videokurs - Malen lernen mit Acryl

sparen! - Lichtburg Essen

Wir suchen Dich! Azubi zum Industriemechaniker (m/w)

Urolift Praesentation

PicKit 3 - Digital

No image - MOTOCROSS-SHOP

Detailkarte

Willkommen - PhPepperShop

Datenqualität für Kapital- und Liquiditätssteuerung sicherstellen