be aware webinar - una mirada profunda a advance threat protection
Post on 14-Jan-2017
71 Views
Preview:
TRANSCRIPT
Una mirada profunda a Advance Threat Protection
Alejandro ZermeñoRogelio Salazar
Copyright © 2014 Symantec Corporation2
Acerca de Nuestros PresentadoresAlejandro ZermeñoSr. Systems Engineer
- 15+ años de experiencia en TI- 5+ años colaborando en Symantec- Especialista en soluciones de Seguridad- Experiencia en sectores de Telcom, Financieras e Industria
Rogelio SalazarSr. Systems Engineer
- 10+ años de experiencia en TI- 7+ años colaborando en Symantec- Especialista en soluciones de Seguridad- Amplia experiencia en Sector Público y Privado
Copyright © 2014 Symantec Corporation3
Seguridad Empresarial de Symantec | ESTRATEGIA DE PRODUCTO
Protección contra amenazas
SERVIDORES GATEWAYS
Protección de información
DATOS ACCESOENDPOINTS
Servicios de seguridad
administrados
Respuesta ante incidentes
Simulacro de seguridad
Inteligencia DeepSight
Servicios de Ciberseguridad
4
Agenda
1 ¿Como funciona una Amenazas Persistentes?
2 Symantec ATP
3 Demo
4 Q&A
5
¿Como funciona una Amenazas Persistentes?
6
312brechas de datos
difundidos
24Fueron
vulnerabilidades críticas
295Días fue el tiempo
promedio que tardaron en parchar
el TOP 5 de vulnerabilidades
Tecnológicamente¿Cuales son las consecuencias de APT?
7
¿Cuales son las consecuencias de APT?
Comercialmente
RecursosOpexCapexTiempoDinero
RoboPropiedad Intelectual
DineroDatos de Clientes y
Empleados
ReputaciónReputación de la marca puede ser
afectada
8
¿Incluso con las mejores tecnologías de prevención, se puede detener las amenazas persistentes avanzadas?
PREVENIR
Detener Ataquesentrantes
Mientras que la prevención sigue siendo muy importante ....
... es necesario prepararse en caso de ser vulnerada.
IDENTIFICAR
Entendiendo donde
están los datos importantes
DETECT
Descubrir Incursiones
RESPONDER
Contener & solucionarProblemas
RECUPERAR
RestaurarOperaciones
9
Si usted ha sido vulnerado… ¿Qué tan rápido puede usted detectar, responder y recuperarse?
IDENTIFICAR
Entendiendo donde
están los datos importantes
PREVENT
Detener Ataquesentrantes
DETECTAR
Descubrir Incursiones
RESPONDER
Contener & solucionarProblemas
RECUPERAR
RestaurarOperaciones
Symantec Advanced Threat Protection
10
Symantec ATP
11
Prevenir, detectar y responder través de los puntos de control
t
Email Security.cloud + Advanced Threat Protection: Email
Symantec GlobalIntelligence
Symantec Cynic Symantec Synapse
Remote / Roaming SEP
Endpoints Blacklist Vantage Insight AV Mobile Insight
BLACKLISTReal-time Inspection
SEP ManagerRemote /
Roaming SEP Endpoints
DESCUBRE PRIORIZA SOLUCIONADetonación física y virtual desde el Sandbox basado
en la Nube
Correlaciona en endpoint, red y
correo
Bloque, limpia, y
soluciona en tiempo real
SEP Endpoints
Symantec Advanced Threat Protection
12
SYMANTEC ADVANCED THREAT PROTECTION: ENDPOINT
Agregue las capacidades de detección y respuesta de punto final (EDR) a Symantec Endpoint Protection• No requiere agentes adicionales• Appliance físico y/o Virtual de ATP• Búsqueda de eventos sospechosos y las nuevas amenazas en
tiempo real• Búsqueda en los puntos finales de IoC• Responder y contener las amenazas de inmediato• Utilice Cynic Sandbox para detectar amenazas avanzadas.• Correlaciona automáticamente con ATP: Red e Email
Security.cloudINCLUYE PLATAFORMA CORE
SYMANTEC CYNIC™ SYMANTEC SYNAPSE™Nuevo servicio de sandbox basado en nube y detonación de amenazas
Nueva priorización de eventosy correlación
13
Destapa y da prioridad a ataques avanzados que entran en la organización a través de HTTP, FTP y otros protocolos de red comunes• Implementación en puerto TAP/SPAN del Switch principal• Supervisa el tráfico de Internet entrante y saliente interno• Visibilidad de la red en todos los dispositivos y todos los
protocolos• Sandbox con Symantec ™ Cynic• Correlaciona automáticamente con Symantec Endpoint
Protection y eventos de correo Email Security.cloud
SYMANTEC ADVANCED THREAT PROTECTION: NETWORK
INCLUYE PLATAFORMA CORESYMANTEC CYNIC™ SYMANTEC SYNAPSE™Nuevo servicio de sandbox basado en nube y detonación de amenazas
Nueva priorización de eventosy correlación
14
Mejorar Symantec Email Security.cloud con tecnologías avanzadas de detección y generación de informes• No requiere instalación adicional• Sandbox de Cynic detecta amenazas avanzadas en archivos
adjuntos• Identificar los ataques dirigidos contra una organización o
usuario específico• Los niveles de informes detallados y de gravedad para el
establecimiento de prioridades• Fácil manejo a través del portal de gestión
Symantec.cloud• Correlaciona automáticamente de ATP con Symantec Endpoint
Protection y Red
SYMANTEC ADVANCED THREAT PROTECTION: EMAIL
INCLUYE PLATAFORMA CORESYMANTEC CYNIC™ SYMANTEC SYNAPSE™Nuevo servicio de sandbox basado en nube y detonación de amenazas
Nueva priorización de eventosy correlación
Copyright © 2014 Symantec Corporation15
Identificando Archivos Sospechosos
Copyright © 2014 Symantec Corporation16
Symantec Advanced Threat Protection: Cynic
ATP: ENDPOINT
ATP: NETWORK
ATP: EMAIL
Sanbox Virtual
Cynic
Motores de Detección Sanbox Físico
Copyright © 2014 Symantec Corporation17
Cynic – Tipos de Archivos
• Binarios de Windows: EXE, DLL, SYS (drivers), OCX (ActiveX controls), SCR (Screen Savers)
• Documentos de Office: Word, Excel, PowerPoint
• Java applets
• Archivos Compresos (rar, zip, 7z, etc)
• Adobe Acrobat
Copyright © 2014 Symantec Corporation18
Skeptic: Ejemplo de Ecuación de Análisis Heurístico
+ Origen Cuestionable+ Adjunto Sospechoso+ Código Sospechoso en el Adjunto(+ Evidencia de Ofuscación)(+ Cifrado No Esperado) ______
Mal código detectado heurísticamente
* Not all suspicious elements required for conviction
Copyright © 2014 Symantec Corporation19
SONAR
• Análisis Dinámico
• No hace que las detecciones en el tipo de aplicación, sino en cómo se comporta un proceso.
• Si se comporta malintencionadamente, independientemente de su tipo, se disparará una detección
Copyright © 2014 Symantec Corporation20
Virtual Execution
• Ejecución Virtual con el comportamiento mimetizado del usuario final • Múltiples Sistema Operativo y aplicaciones• Múltiples ambientes virtuales con ejecución del sistema operativo y aplicaciones• Análisis de la comunicaciones en la virtual
Virtual Machines
OSAPPS
OSAPPS
OSAPPS
OSAPPS
Apps
Virtual Machines
OSAPPS
OSAPPS
OSAPPS
OSAPPS
Virtual Machines
OSAPPS
OSAPPS
OSAPPS
OSAPPS
Copyright © 2014 Symantec Corporation21
Physical Execution
• Hardware Físico• Ejecución Bare metal
– No Virtualization• Mismas acciones que en virtuales
22
Buscar Indicadores de Compromiso (IoC)
23
Caza de los indicadores de compromiso en el punto final
1. El analista de seguridad inicia una búsqueda en la consola Symantec Advanced Threat Protection y solicita una limpieza del cliente.
2. La solicitud de limpieza está en cola para los latidos del corazón y se entrega al cliente en el siguiente latido. Por defecto, este es un máximo de 5 minutos.
3. SEPM inicia la búsqueda en cada punto final con un cliente de la SEP, y puede escanear en busca de los siguientes elementos (ya sea de escaneo rápido o escaneo completo):
• Archivos de Hash (SHA256, SHA1 y MD5) o el nombre• IP externa o sitio web• Las llaves de registro
4. Los resultados del análisis se devuelven a SEPM en tiempo real.5. Los datos están disponibles en la consola de Symantec
Advanced Threat Protection6. El archivo (s) se puede recuperar desde cualquier punto final
para su posterior análisis.
1
2
3
4
5
Copyright © 2014 Symantec Corporation24
Detectar amenazas en todos los protocolos en la capa de red
Archivos sospechosos son enviados a la plataforma de Cynic para un análisis mas
profundo
Cynic ejecuta y analiza el contexto del archivo en
múltiples Sandbox VM, como en equipos físicos HW para
detectar Malware VM-aware.El comportamiento del archivo se evalúa con Symantec Data Intelligence y correlacionada
con eventos de correo electrónico, punto final via
Synapse Se proporciona un informe de
acciones concretas y detalladas de lo observado por Cynic, un
evento / tarea priorizada adecuadamente contra
cualquier evento de seguridad existentes.
Network Traffic
EndpointsThreat data and actionable intelligence
Symantec Cynic™
Internet
Blacklist Vantage Insight AV Mobile Insight
BLACKLIST
Real-time Inspection
ATP: Network
Men
os d
e 7
min
utos
Symantec Synapse ™
Copyright © 2014 Symantec Corporation25
Identificación de ataques dirigidos en el correo
Customer Dashboard and Detailed Report updated
correos electrónicos limpios entregados al destinatario
correos electrónicos maliciosos bloqueados
Identificación de Ataques Dirigidos
STAR analysts examina correos
maliciosos
Busca malware de día cero y
contenido dirigido
Ataques categorizados en base a su nivel de amenaza
Email Security.cloud
Los correos electrónicos enviados para su posterior análisis
Cynic detecta después de haber sido entregado
26
Demo ATP
Copyright © 2014 Symantec Corporation27
GET ADDITIONAL SUPPORT AND TRAININGWITH SYMANTEC SERVICES
Business Critical Services
Educación
Essential Support
Remote Product Specialist
Acceso personalizado a un ingeniero designado con experiencia técnica en una familia de productos específicos, que también está familiarizado con su entorno
•aprendizaje en línea 24/7/365 en cualquier parte
Dentro de la clase o educación virtual dirigida por un instructor
Proceso de dar un título
Premier• Su propio experto designado
de servicios• Respuesta rápida para la
resolución de problemas • Planificación preventiva y
gestión de riesgos• Incluido el acceso a la
educación técnica de Symantec
• Asistencia de soporte en sitio
• 24/7 acceso a los ingenieros de soporte técnico
• actualizaciones de productos, incluidas las actualizaciones de las funciones y parches de versión
• actualizaciones de contenido de seguridad, incluidas las definiciones de virus y las reglas de spam
El conocimiento y la experiencia a lo largo del ciclo de vida de software para ayudar a alcanzar sus objetivos de negocio
Consultoría
Copyright © 2014 Symantec Corporation28
Preguntas del Chat
David_FernandezCasi@symantec.com
Copyright © 2014 Symantec Corporation29
BE AWARE Webinar – Miércoles 27 de Mayo del 2016
09:00 amCosta Rica, El Salvador, Guatemala, Honduras y
Nicaragua
10:00 am México, Colombia, Ecuador, Panamá y Perú
10:30 am Venezuela
11:00 am Puerto Rico y República Dominicana
12:00 pm Argentina, Chiley Uruguay
Para mas información
@SymantecLatam
Symantec Latam
David_FernandezCasi@symantec.com
Thank you!
Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Alejandro ZermeñoRogelio Salazar
30
top related