matt pearson emea channel director · 2020-02-07 · the security intelligence company...

The Security Intelligence Company [email protected]

Matt Pearson

EMEA Channel Director

© 2016 Securonix


Das Unternehmen

Gegründet > in 2008, 200+ Mitarbeiter

Büros in > LA (HQ), Dallas (Dev), SFO, NYC, DC, Atlanta,

London, Pune, Bangalore

Management>Umfangreiche Erfahrung in Security & Analytics

Berater>Veteranen der Federal und Industry Security

Produkt>Big data Security Analytics Platform V5.0 release 4Q 2015

Schwerpunkt>Insider und Advance Cyber Threat Erkennung und Threat Response

Ansatz>Signaturlos, verhaltensgesteuert, in Echtzeit Analytik

Unternehmen> marktführend in Security Analytics und Intelligence

Identität zu Entitätskorrelation

Verhaltens Algorithmus

Skalierbare Architektur

Content-Enriched-Anomalie-Erkennung

Predictive Analytics und Bedrohungsmodellierung

(Threat Modeling)

Bedrohungsketten Ansammlungen von

Anomalien

2008

2012

2014

“Eine Ansammlung von Anomalien, die sich um dasselbe Unternehmen drehen, stellt eine Bedrohungskette dar "- Sachin Nayyar, CEO von Securonix


Securonix Experten Team

3© 2011 Securonix

Wir arbeiten eng zusammen mit Pionieren und Fachleuten auf dem Gebiet der Sicherheit:

Chris Inglis: Früherer Deputy Director NSA Rami Efrati: Ehemaliger Senior Head ofDivision, Israel National Cyber Bureau

Dawn Capelli: Insider Threat DirectorRockwell Automation und Co-founderInsider Threat Consortium

Mike McConnell: Ehemaliger Director NSA und NIA, derzeit Vice Chairman Booz Allen Hamilton

Patrick Gorman: früher CSO von Bridgewater und CISO of Bank of America

James Walcott: CISO Corelogic

Tim McKnight: Global CISO GE Ron Mehring: CISO Texas Health Resources

Matthew Chung: CIO Technology & Information Risk, Head of Cyber Sescurity Morgan Stanley

Larry Jarvis: Global CISO Biogen, vorher CISO Fidelity Investments

Steve Attias: CISO New York Life Chris Marquart: CISO Pfizer

Krishnan Srinivisan: Chief Security Architect Target

Bob Rose: Ehemaliger VP Thompson Reuters und Sr Advisor des CEO‘s Securonix

© 2015 Securonix


Eine Auswahl unserer Kunden

4© 2011 Securonix

© 2015 Securonix

The Security Intelligence Company [email protected]© 2015 Securonix 6

Das Technologie Öko System

Insider Threat


Überblick der Securonix Lösung-2

Policy Engine

Tiered Analytics

Risk Engine

Entity Correlation (Privacy) Data Exfiltration Analytics

High Privileged

Misuse

Access Intelligence

Cyber Threat Analytics

Cloud Analytics

Application Analytics

Continuous Risk

Monitoring

Insider Threat

Detection

POS Analytics

Trade Surveillance

Fraud/AMLMobile

Analytics

Dashboard Link Analysis

Contextual Data Other Data

User Performance

DataTravel

Physical Security

Case Management

SIEM

DLP

Endpoint

Apps

Cloud

Threat Intel

Net flow

Host

Identity (HR)

Access (IAM)

Asset (CMDB)

Lo

gs Machine Learning

Volume Spike

Event RarityPeer Group

Analysis

Amount Spike

Robotic Behavior

Threat Intel

Analytics Platform Analytics Apps

Big data warehouse


Securonix AppsSecuronix erstellt und aktualisiert kontinuierlich speziell entwickelte Apps,

die sich auf bestimmte Anwendungsfälle und Branchen beziehen.

Identity and Acess Analytics

Data-Mining- und Peer-Analyse basierend auf

Daten von IAM-Produkten und automatisierte

Identifizierung und Risikoeinstufung von Rogue

und High-Risk-Zugriff auf Anwendungen, Server,

Datenbanken und Mainframe-Systemen für

Zertifizierung und Bereinigung.

Privileged Account Analytics

Kontinuierliche Identifizierung und Überwachung

privilegierter Konten für bekannten und

unbekannten Missbrauch und anomales

Hochrisikoverhalten mithilfe von Verhaltens- und

Peer-Group-Analysen.

Data Security Analytics

Automatische und proaktive Identifizierung des

Datenexfiltrationsrisikos von innerhalb und

außerhalb der Organisation vor, während und

nach einem Angriff.

Fraud Analytics

Kontinuierliche Überwachung von Bank-,

Versicherungs- und Einzelhandelstransaktionen,

um verdächtige Aktivitäten wie unauffällige und

langsame Transaktionen und abnormale

Transaktionsvolumen zu erkennen.

Trade Surveillance Analytics

Automatisierte Erkennung und Verhinderung von

Insiderhandel und Überwachung verdächtiger

Aktivitäten wie abnormaler Handelsgeschäfte vor

Handelsschluss.

Cyber Security Analytics

Echtzeit-Verhaltensanalysen für Sicherheits-,

Netzwerk- und Endpunkt-Ereignisse zur

automatischen Erkennung von Angriffen auf

Geräte-, Netzwerk- und Endpunkt-Ebene bei

gleichzeitiger Durchführung von umfassenden

Kontext-Monitoring-, Risiko-Ranking- und Link-

Analyse-Untersuchungen.

Enterprise Application Analytics

Überwachung von Bedrohungen und Risiken für

unternehmenskritische Anwendungen und die darin

enthaltenen Daten.

Cloud Application Analytics

Identifizierung und Überwachung von Cloud-

Plattformen und -Anwendungen mit hohem Risiko

für unangemessene und risikoreiche Nutzung zu

proaktiven Massnahmen auf Datenexfiltration und

andere Angriffe.


Anwendungsfall – Data Exfiltration

Flight Risk User

“Datenschnüffelei”

User mit ungewöhnlichem download Verhalten vom Sharepoint

Cross Channel Daten Austritt

Hohe Anzahl an Emails an private Email Addressen

Wachsendes Risiko

Geringes Risiko

Hohes Risiko

Über einen bestimmtenZeitraum.

Job Websites:jobserve.comMonsterjobs.co.ukEtc.

File download:BudgetPlan.docFinanceReport.pdfEtc. (Peer Group Analysis)

File download:Daily threshold -Base frequency: 52Frequency spike: 627

USB Write:Blocked –BudgetPlan.docFinanceReport.pdf

Email an persönliche Emailadresse BudgetPlan.doc, FinanceReport.pdfDaily threshold – Base frequency: 16 Frequency spike: 97Destinations – [email protected], [email protected]

Take Action!

1 2 3 4 5ThreatChain

Flight Risk User Kritische Daten Frequency Spike Daten Austritt Daten Verlust

1

2

3

4

5

5:13 AM 5:15 AM 5:17 AM 5:18 AM 5:19 AM


Anwendungsfall – Malware

Eingehende Emails von ungewöhnlichen Domains

Zugriff auf MalwareInfizierte Website

Bösartige Programmdateibeim Host entdeckt

Hohe Anzahl vonICMP Requests

Roboter Verhaltenerkannt

Wachsendes Risiko

Geringes Risiko

Hohes Risiko

Über einen bestimmtenZeitraum.

Email Sender:[email protected].

Destination Address:http://sourcefeed.alEtc.

Source System:CS-BobbyHall$Malware:pricemeter.exeAction:Web Download

Daily threshold -Base frequency: 2Frequency spike: 17

Source System: CS-BobbyHall$Destination Address: http://www.ahmedashiBytes In: 1000 Bytes Out: 2000

Take Action!


Eingehende Email:Rare Domain

Malware Website Bösartige Programmdatei

High ICMP Malware aktiv

1

2

3

4

5

4:52 PM 6:27 PM 6:42 PM 7:53 PM 8:11 PM


Anwendungsfall – Missbrauch bei hohem Zugriffsrecht

Verdächtiger Account

Jump Server Verletzung

Rare Database Event erkannt

Verdächtige Befehle

Große MengeDatenaustritt

Risiko steigt

GeringesRiskiko

Hohes Risiko

Über einen bestimmtenZeitraum

Event Rarity:Account,das Aktivitätenam Server durchführt,die zuvohr noch nie ausgeführt wurden.

Event Rarity:Benutzer verursachtJump Server Verletzung. Passwort für Verdächtigen account angenommen.

Guardium Event Rarity:Statement Event ausFinanzdatenbankausgewählt

Verdächtige Befehle:useradd, chown, chmod nicht erlaubt für diesenaccount.

Frequency Spike: Baseline – 4400. Spike – 500000Palo alto internal firewall.

Take Action!


VerdächtigesKonto

Jump Server Verletzung

Rare DatabaseEvent

VerdächtigerBefehl

Daten Verlust

1

2

3

4

5

1:16 PM 1:19 PM 2:05 PM 2:20 PM 5:16 PM


Surveillance 360 – Technischer Überblick

Policy Engine

Tiered Analytics

Risk Engine

Entity Correlation

TreuhänderischePflicht

MarktFehlverhalten

KonfliktManagement

Insider Handel

Überwachung

New Issue Purchase

Compliance

Regulatory checks

Dashboard Link Analysis

Reference Data Other Data

Case Management

Lo

gs Machine Learning

Volume Spike

Event RarityPeer Group

Analysis

Amount Spike

Robotic Behavior

Predictive

Analytics Platform Trade Surveillance Focus Areas

News Feeds

Pricing/valuation

OMS

Positions

Transactions

Performance

Trading volumes

Other Market Data

Know your Client

HRTrading

AccountsInstruments CRM IM Email

Information Security


Kunden PortfolioSecuronix für Finanzdiestleister

Cigna Insurance

Insider Threat Detection

High Privileged Account

Monitoring

Data Exfiltration Analytics

Cyber Threat Detection

Access Intelligence

Cloud Analytics

Application Monitoring

FraudTrade

Surveillance

Threat Exchange

Threat Exchange

Threat Exchange

Gemeinsame Herausforderungen

Securonix- Analytical Apps

American Express

BB&T Bank


• Der Admin-Benutzer (Contingent Worker)

meldet sich über einen funktionalen

Account bei einem kritischen Server an.

Missbrauch eines Kontos

• Gibt "Verlauf" während der privilegierten

Account-Sitzung an. Rare Event - kein Peer

hat dies jemals getan.

• Erstellt die Datei db2.sql und ändert die

Berechtigung (Stellt über ein Dienstkonto

eine Verbindung zur Datenbank her -

ungewöhnliche Aktivität)

• Der Benutzer umgeht CyberArc-Protokolle

mit dem Konto "_svc". (Unautorisierte

Kontoaktivität. Securonix führt IP-

Attributionen durch, um festzustellen, wer

der Benutzer wirklich ist.

• Vertrag wurde gekündigt und rechtliche

Schritte eingeleitet

• Ironport sieht: E-Mail mit dem Betreff "HR-Verletzung gegen Mr. XXX". Benutzer ist ein Investmentbanker

• Proxy-Weiterleitung zu "outlookscansafe.net"

• Seltener Prozess, der durch den Titanium-Endpunkt identifiziert wird. Die ausführbare Datei wurde durch Peer Group Analyse und Event Rarity entdeckt

• Eine Woche später wurde verdächtiger Datenverkehr zur algorithmisch erzeugten Domäne gefunden

• Bei der Durchsuchung des MD5 durch das IR-Team hatte die Malware insgesamt 0 Treffer.

• Angriffs- und Analyseteam kehren den Code durch reverse engineering um und identifizierten ihn als gezielte 0-day Bedrohung

• Ein chinesischer Ingenieur, der Geschäftsgeheimnisse im Wert von 100 bis 200 Millionen Dollar gestohlen hat, während er in einer GE Healthcare-Niederlassung in Waukesha arbeitete, wurde zu zwei Jahren Bewährung verurteilt

• GE-Beamte entdeckten im Juni, dass Xie etwa 2,4 Millionen Dateien - etwa 1,4 TB Daten -abgerufen und kopiert hatte - Quelle www.jsonline.com

• Securonix hat diesen Benutzer mithilfe von Peer-Group-Analysen und Verhaltensanomalien erkannt.

• Der Benutzer lädt Millionen von Dokumenten in einen gemeinsamen Ordner

• Ex-filtert Daten langsam und unauffällig

• Der Nutzer wies auch ein Fluchtrisiko auf, da er www.1000plan.org/ besuchte.

Insider Threat erkannt von SecuronixO-Day Malware erkannt von

SecuronixInsider Threat erkannt

von Securonix

Erfolgsgeschichten


Securonix- Einhaltung von

Datenschutzgesetzen

The Netherlands Personal Data Protection Act

United Kingdom Data Protection Act

Poland Law on the Protection on Personal Data Protection

Sweden Personal Data Act 1998

Slovenia Personal Data Protection Laws

Estonia Personal Data Protection Act

German Federal Data Protection Act

Luxembourg Protection of Persons with Data Law

Ireland Data Protection ActsSlovakia Protection of Personal Data Act

Czech Republic Act on Personal Data Protection

Hungary Data Protection Act

France Data Protection Act

Norway Personal Data ActItaly Decree on Minimum Security Measures for Data Protection

Israel Protection of Privacy Law

Sweden Personal Data Act 1998

Portugal data protection law


Securonix & Verschlüsselung – wir bieten eine zweifache Verschlüsselung

• Die Verschlüsselungsfunktion in Securonix bietet die Möglichkeit, die Daten in der Benutzerschnittstelle zu verschlüsseln, sodass die Benutzer (Analysten, Administratoren usw.) der Anwendung die realen Benutzerinformationen nicht einsehen können.

• Die Verschlüsselungsfunktion von Securonix bietet einerseits die Möglichkeit, die Daten zu verschlüsseln, wodurch die Daten in der Benutzeroberfläche verdeckt werden. Zusätzlich gilt die Verschlüsselung auch für die Datenbankebene von Securonix, in der die Daten auch verschlüsselt sind.


Securonix Architektur

Zentralisierte Masterkonsole

Identity Data40K+ Users 40k+ assetsHA

Virtual URL

SSL

F5

Distributed Database System

Automated Switch over

Child Nodes – Run time Analyzer

FWVPN

Netflow/Asset

discovery

Routerswitches

Cloud DLP Proxy HOSTDB

Physical –non network

IDS/IPS APPS Threat Intel Access SampleCustom

Data Sources

Node1 Node2 Node3 Standby Node

SIEM Big Data Syslogs AppsCloud

ConnectorsSplunk

Long Term Analytics

Map-Reduce

BatchEvent Ingest

Name Node/ Job Tracker

HiveRest API

Behavior Profiles and link analysisBehavior Profiles and link analysis

Hadoop / HDFS


Securonix Architektur- Überblick

• Securonix ist das einzige Produkt, das in Echtzeit verhaltensbasierte, kontextfähige Analysen bietet.

Securonix bietet das Beste aus Echtzeit + Big Data / historische Analyse.

• Securonix unterstützt eine horizontal skalierbare Architektur.

© 2014 Securonix 19

Hadoop: Security Warehouse, Big Data / Historical Analysis

Solr Indexing: Real Time Analytics and Link Analysis

RDBMS: Incident and Case Management and Behavior Model Mgt.


Beispiel Securonix - Cloudera OpportunitySpital mit 30,000 Mitarbeitern

• Käufer: Information Security Director berichtet an CISO

• Haupteinflussfaktoren: SOC und IT Infrastructure

• Technologie Profil: LogRhythm log aggregator, Palo Alto, 1 Cloudera cluster (nicht in Sicherheit), EPIC for Enterprise Medical Records (EMR), FairWarning für compliance in EPIC, kauf von DLP

• Geschäftsanforderungen: UEBA, erfüllen zusätzliche Compliance-Anforderungen

• Sales Process: Cloudera beauftragte Securonix für Übersicht und Demo, anschliessend Deep Dive Workshop, wollte POC aber Zeitrahmen war nicht ausreichend, Referenzanrufe, weitere Architekturprüfung, Entscheidung

• Verkaufszyklus: 4 Monate (Abschluss Anfang Q3)

• Zielverkaufspreis: $810,000 phase 1

• Cloudera Nodes: 10 nodes phase 1, Wachstum bis zu 52 nodes als Next Generation SIEM20

matt pearson emea channel director · 2020-02-07 · the security intelligence company...

Documents