be aware webinar symantec - ameaÇas avanÇadas: por que devo me preocupar?
Post on 14-Apr-2017
191 Views
Preview:
TRANSCRIPT
AMEAÇAS AVANÇADAS: POR QUE DEVO ME PREOCUPAR?
Wesly Alves
System Online Engineer
André Carrareto
Security Strategist
Sobre os Palestrantes
Copyright © 2015 Symantec Corporation
Andre Carraretto, CISSPSecurity Strategist
20 anos de experiência em TI 11 anos na Symantec Principal porta voz para assuntos relacionados à Segurança da
Informação Responsável por projetos de alta complexidade, cobertura na
América Latina
Wesly AlvesSOS Systems Engineer
4 anos de experiência em TI 2.5 anos na Symantec Especialista em soluções de segurança e conformidade Atua na equipe pré-vendas, para clientes PME
Segurança Corporativa| Estratégia de Produtos e Serviços
3
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle• Forense e Remediação embutida em cada ponto de controle• Proteção integrada para Workloads: On-Premise, Virtual e Cloud• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs e Telemetria
Gestão Unificadasde Incidentes e Customer Hub
Integrações com Terceitos e Inteligência
Benchmarking Regional e porSegmento
Análise Integradade Comportamentoe Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades• Cloud Security Broker para Apps Móveis e em Nuvem• Análise de comportamento dos usuários• Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data Center
Cyber Security ServicesMonitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários
Copyright © 2015 Symantec Corporation
Agenda
Copyright © 2014 Symantec Corporation4
1 O que é ATP
2 Qual a diferença de um APT e um Malware?
3 Como funciona uma Ameaça Avançada
4 Identificando arquivos suspeitos
5 Q&A
Perguntas do Chat
Copyright © 2015 Symantec Corporation5
SymantecMarketing_BR@symantec.com
6
Vamos começar
Copyright © 2014 Symantec Corporation7
Copyright © 2014 Symantec Corporation8
• A) Um Malware?
• B) É um virus?
• C) Não sei, o que faria Sun Tzu?Mas quem é Sun Tzu?
Copyright © 2014 Symantec Corporation9
https://www.sans.edu/student-files/projects/JWP-Binde-McRee-OConnor-slideswnote.pdf
Copyright © 2014 Symantec Corporation10
APT`s – Onde Surgiu
United States Air Force - 2006
Advanced Persistent Threat Ou Ameaça Avançada Persistente
Copyright © 2014 Symantec Corporation11
O que Significa APT
• Advanced (Avançado) – Familizarizado, Exploits, Coding.
• Persistent (Persistente) – Possuem um alvo, são motivados a fazer algo.
• Threat (Ameaça) – Organizado, motivado e financiado
[Bejtlich 2007]
Copyright © 2014 Symantec Corporation12
APT`s – Diferenças entre um APT e um Malware
Conhecimentosobre o Alvo
Grupo de pessoas motivadas
Como funciona uma Ameaça Avançada
13Copyright © 2014 Symantec Corporation
Copyright © 2014 Symantec Corporation
14
APT`s – STUXNET e um pouco de química
• Urânio = U235
• Centrífuga de Natanz , 1004 giros por Segundo para chegar no U235
• 40 % mais rápido por 10 ~15 minutos
http://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_tecnologia_virus_stuxnet
APT’s
15Copyright © 2014 Symantec Corporation
Nikos and Dimitris in “The Big four – What we did wrong in Advanced Persistent Threat Detection” 2013
Copyright © 2014 Symantec Corporation16
APT`s – Estão ficando cada dia mais comum
Copyright © 2014 Symantec Corporation17
APT`s – Técnica mais utilizada e Diferença
PHISHING SPEAR PHISHING
Qual é a probabilidade de ser um alvo
18%
31% 30%34%
32% 19%
31% 25%
50% 50% 39% 41%
2011 2012 2013 2014
1-250 251-2500 2501+Tamanho da organização
18Copyright © 2014 Symantec Corporation
Mesmo com as melhores tecnologias de prevenção, você pode parar as ameaças avançadas?
Copyright © 2015 Symantec Corporation
IDENTIFICAR
Entender onde os dados importantes
estão
PREVENIR
Bloquear ataques entrantes
DETECTAR
Encontrar Incursões
RESPONDER
Conter &Corrigir os problemas
RECUPERAR
Restaurar a operação
10
Enquanto a prevenção é o mais importante….
…você precisa se preparer para as brechas.
Se você estiver sendo atacado, o quão rápido você pode: Detectar, responder e se recuperar?
Copyright © 2015 Symantec Corporation10
IDENTIFICAR
Entender onde os dados importantes
estão
PREVENIR
Bloquear ataques entrantes
DETECTAR
Encontrar Incursões
RESPONDER
Conter &Corrigir os problemas
RECUPERAR
Restaurar a operação
Copyright © 2014 Symantec Corporation21
Identificando arquivos suspeitosATP Solution:
Symantec Advanced Threat Protection: Módulos
• Visibilidade dos Endpoint
• Contexto do Endpoint, eventos suspeitos e remediação
• Utiliza o SEP – sem a necessidade de agenteadicional
• Visibilidade de todos os dispositivos e protocolos.
• Sandbox automatizada, utilizando máquinasfísicas e virtuais
• Utilização por appliancefísico ou virtual.
• Visibilidade no fluxo da mensagens
• Análise do tipo de email
• Funciona com o Email Security.Cloud
22Copyright © 2014 Symantec Corporation
Symantec Advanced Threat Protection: Cynic
23
ATP: ENDPOINT
ATP: NETWORK
ATP: EMAIL
Virtual sandbox
Cynic
Mecanismo de detecção
Sandbox emHardware Físico
Copyright © 2014 Symantec Corporation
Execução em máquinas Físicas
•Hardware Físico
•Bare metal
–Não é virtualizado
24Copyright © 2014 Symantec Corporation
Cynic – Tipos de Arquivo• Binários Windows: EXE, DLL, SYS (drivers), OCX (Controles ActiveX), SCR (Screen Savers)
• Documentos Office: Word, Excel, PowerPoint
• Java applets
• Arquivos comprimidos files (rar, zip, 7z)
• Adobe Acrobat
25
Skeptic: Análise Heuristica
Copyright © 2014 Symantec Corporation26
+ Questiona quem enviou
+ Anexo Suspeito
+ Código suspeito no anexo
(+ Evidência de ofuscação)
(+ Criptografia inesperada) ______
Ameaça heuristicamentedetectada
Nem todos os elementos são necessários para o veredito!
Symantec Advanced Threat Protection
27
ATP: ENDPOINT
ATP: NETWORK
ATP: EMAIL
Correlação e Priorização
Virtual sandbox
Remediação
Cynic
Reporte e Investigação
Mecanismo de detecção
Sandbox emHardware Físico
Synapse
Copyright © 2014 Symantec Corporation
28
29
30
31
32
Ações de Remediação
Copyright © 2014 Symantec Corporation33
26%higher malware protection than
FireEye and
18% higher
than Cisco
Identified
95%More advanced evasive threats
than competitors
”The most accurate appliance was
Symantec ATP”
Dennis Technology
Labs, 18th Dec 2015
“Symantec was observedto have the
highest detection rate for
every categoryof malware ”
Product tested Detection Score
Symantec ATP
100%
Palo Alto Networks
90%
Cisco Snort 72%
Fortinet 69%
Product tested
False Positives
Symantec ATP 0%
Trend Deep Discovery
4.9%
Fortinet 3.3%
“ICSA was
impressed with Symantec ATP”
ICSA Labs, 8th Dec 2015 Miercom Labs, 18th Dec 2015
Nome do Próximo
Copyright © 2014 Symantec Corporation34
Nombre do ProximoWebinar
Para mais informação
@SymantecBR
https://www.facebook.com/SymantecBrasil
SymantecMarketing_BR@symantec.com
Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Obrigado!
Apendice
Por que Symantec Consulting Services?
Melhores práticas e conhecimento de
segurança
Entregamos nossos serviços apoiando as
nossas soluções
Equipe de consultores especializados e
parceiros estratégicos
Integramos as gestão de segurança com a
operação da tecnologia
Empresa No. 1 em Segurança no mundo
Casos de sucesso em todo mundo
Redução do risco da Tecnologia contra ameaças de segurança
Aumento no desempenho e no aproveitamento da
utilização das soluções
Como BCS Atua no ambiente de SEP do cliente
Proteção de Ameaças
ENDPOINTS DATA CENTER GATEWAYS
• Resposta mais rápidas a incidentes
• Ponto único de contato
• Configuration Review• SEP Assurance
• Transferência de Informações (TOI)
• Treinamentos
• Relatórios de casos, de maneira a tratar situações que possam ser evitadas
Un modelo de servicio proactivo
Symantec Business Critical Services Premier incluye:
Simplifique el soporte, maximice el retorno y proteja su infraestructura.
Un experto enservicios desingadopara su negocio
Rápida respuestapara resolución de problemas
Planeación proactivay administración de riesgos
Acceso incluído ala educacióntécnica Symantec
1 2
3 4
SimplicidadUn experto en servicios nombrado para ayudarlo a manejar suexperiencia de soporte.
VelocidadRespuesta rápida y prioritaria de nuestros expertos, en sitio de sernecesario.
EstabilidadTécnicos experimentados que le ayudarán a afinar su tecologíaSymantec.
ConocimientoAcceso a entrenamiento con instructor y una amplia librería de recursos en línea.
PazExpertos trabajando con usted para prevenir problemas y a su ladopara ayudarlo si suceden.
ValorTodas las ventajas de nuestros productos aprovechadas para optimizar su inversión en tecnología.
Business CriticalServicesPremier
Una oferta de serviciorigurosa y proactivapara la gran empresa
top related