Môže sa to stať aj Vám - sofistikované cielené hrozby Ján Kvasnička

Transcription

1 Môže sa to stať aj Vám - sofistikované cielené hrozby Ján Kvasnička Territory Account Manager

2 Definícia cielených hrozieb Široký pojem pre charakterizovanie hrozieb, cielených na špecifické entity Často sú vytvorené a vykonané skryto, aby sa vyhli najmä tradičným bezpečnostným kontrolám Konečným cieľom je najčastejšie zachytiť a extrahovať informácie s vysokou hodnotou, poškodiť značku, alebo narušiť kritické systémy 2

3 Kampane cielených útokov y / kampaň Príjemca / kampaň % vs % vs 2012 Počet kampaní 165 Trvanie kampane 4 dni 3 dni 8.3 dňa 3

4 Ako zvyčajne prebieha útočná kampaň Séria ov, ktoré: jasne dokazujú, že ich cieľ a predmet bol vybraný zámerne obsahujú aspoň 3 alebo 4 silné korelácie s ostatnými ami tému, adresu odosielateľa, doménu príjemcu, zdrojovú IP adresu, MD5 prílohy, atď. boli poslané ten istý deň alebo počas niekoľkých málo dní

5 Pokročilé cielené hrozby (APT): Ako to celé funguje Prieskum Infiltrácia Zisťovanie Zachytenie Vývoz 5

6 Koncové body sú predmostie Väčšina cielených útokov je vedená prostredníctvom ov Ukrytie útoku nulového dňa do prílohy je populárna metóda Škodlivé a/alebo skrátené URL adresy Infiltrácia 6

7 Ochrana koncových bodov (SEP) poskytuje viacvrstvovú ochranu Firewall & intrusion prevention Sieť Antivirus Súbor Insight Reputácia Sonar Správanie aplikácií Power eraser Hĺbková oprava 7

8 Reputačná technológia detekuje cielené útoky Využíva reputáciu súborov na detekciu neznámych súborov Súbor A Súbor B Súbor C Zlá reputácia Dobrá reputácia Nikdy nevidený Cielené útoky využívajú špecifický škodlivý kód, ktorý sa môže vyhnúť tradičným ochranným technológiám Tieto škodlivé kódy neboli nikdy pozorované, objavili sa iba v cielených útokoch Reputačná technológia dokáže efektívne detekovať tieto neznáme alebo cielene vytvorené škodlivé kódy bez rizika falošných pozitív 8

9 Reputácia súborov W H O 120 M I L L I O N U S E R S W H AT 6.3 B I L L I O N F I L E S W H E R E 2 M I L L I O N W E B S I T E S Využíva mohutnú sieť, obsahujúcu virtuálne každý súbor na planéte na určenie reputácie toho-ktorého súboru 9

10 Zvýšená efektívnosť odhaľovania hrozieb Zdroje Rozpoznanie SEP-om Reputácia súboru Zoznam potenciálnych hrozieb Zoznam potenciálnych hrozieb Zoznam potenciálnych hrozieb SúborA Sieť SúborB 10

11 Rýchlejšie skenovanie Až 70% aktívnych aplikácií nemusí byť skenovaných! Tradičné skenovanie Musí prejsť každým súborom Reputácia optimalizovaný sken Dobré súbory sa neskenujú 11

12 Rýchle posúdenie pokročilých hrozieb Symantec Global Intelligence Network Network Adv. Threat Detection Miliardy súborov (20 miliónov každý týždeň) 150 mil. koncových bodov 240,000 senzorov v 200 krajinách Virt Exec INCIDENT Výsledok: Ochránený Fingerprint Threat behaviour (VX) Threat info (multi-source) File Reputation Origin Intelligence Mitigation guidance Symantec Endpoint Protection Symantec Managed Security Services 12

13 Zlepšená viditeľnosť a cielené nasmerovanie odpovede Symantec Global Intelligence Network Network Adv. Threat Detection Miliardy súborov (20 miliónov každý týždeň) 150 mil. koncových bodov 240,000 senzorov v 200 krajinách Virt Exec INCIDENT Symantec Endpoint Protection Symantec Managed Security Services Outcome: Not Protected ODPOVEĎ Fingerprint Threat behaviour (VX) Quarantine endpoint VÝSLEDOK Threat info (multi-source) Search for file hash File Reputation Search for IOCs Origin Intelligence Malware clean Mitigation guidance Network Výsledok: containment Ochránený Increased security policy based on specific IP/app/user 13 13

14 Mobilné zariadenia Mobily a tablety 14

15 Nebezpečné mobily a tablety Prechod na mobilnú platformu Aplikácie a zdroje aplikácií Snaha o opakovanné použitie toho, čo im fungovalo vo svete PC, napr. trojany, falošné AV, ransomware, phishing, atď. Množstvo aplikačných marketov poskytuje nevídané možnosti distribúcie škodlivých aplikácií aj s monitorovaním trendov. Podkladový materiál útokov Rozloženie v regiónoch Heterogénnosť zariadení, OS Android, možstvo výrobcov HW a SW Typy útokov sa môžu meniť v závislosti na regiónoch, v ktorých sa útočí

16 Prečo je Android náchylný na mškodlivé kódy? Pretože je atraktívnou platformou Podstata OS a jeho ekosystému Otvorená platforma a viaceré aplikačné markety Ftragmentácia a závislosť záplat Škálovateľný a lukratívny obchod 300+ miliónov zariadení od r Jednoducho zarobiteľné peniaze (>22 mil. CZK) 16

17 Dokonalá viditeľnosť MILIÓNOV androidových aplikácií v našej databáze 25,000 NOVÝCH APLIKÁCIÍ spracovaných každých 24 hodín 200+ APP MARKETOV neustále skenovaných 700,000 APPS * s vysokou spotrebou batérie a dát 1.5 MILIÓNA ŠKODLIVÝCH aplikácií identifikovaných 7 MILIÓNOV s greyware alebo potenciálnym ohrozením súkromia *Android dáta z júla

18 Poskytujeme pokročilú mobilnú ochranu Ako funguje Mobilní klienti Metadata od Norton mobilných klientov Prehľadávač Android marketov APKs z 200+ Android app stores 1 Systém analýzy mobilných aplikácií 2 3 APK data Pokročilá dátová analýza extrakcia Statická a dynamická analýza kódu Performa Heuristika Security Privacy Trust nce Resource usage App profily Reputačné systémyain 3 Zdroje 3tích strán Výmena vzoriek Súborová reputácia Trusted signer database (DB) IP/network reputation Symantec Mobility Threat Protection 18

19 Bezpečná a komplexná ochrana Proti rizikovým aplikáciám, škodlivým a podvodným webovým stránkam Identifikácia rizikových aplikácií proti úniku dát a obsahu identifiácia priveľkej záťaže batérie príliš veľké nároky na šírku pásma dáva používateľovi možnosť aplikácie Anti-malware rýchle a efektívne skenovanie ochrana proti najnovším hrozbám s integráciou LiveUpdate implementácia pravidiel zhody Ochrana webu detekcia a blokovanie phishing webov umožňuje bezpečné mobilné prehliadanie 19

20 Ako dokáže pomôcť Symantec

21 Symantec pokročilá ochrana proti hrozbám (ATP) Pripravenosť Ochrana Detekcia Odpoveď 100+ dedikovaných analytikov 256 mld. útokov 350,000 bezpečnostných udalostí 3,000 incidentov Managed Adversary Service Secure App Service Security Simulation Insight, SONAR, Threat injection protection Disarm, Link following, Skeptic Advanced Threat Protection Solution Cynic Synapse Synapse MSS-ATP Incident Response Service 21

22 Symantec JE Big Data bezpečnostná analýza DeepSight Global Threat Intelligence Agent zberu logov Bezpečnostní analytici Zákaznícke prostredie Dátový sklad Symantec SOC Zákaznícky portál 22

23 Symantec JE bezpečnostná inteligencia 7 miliárd klasifikácií súborov, URL & IP adries 1+ miliarda chránených zariadení 2.5 trilióna riadkov bezpečnostnej telemetrie Zachytenie predtým nevidených hrozieb a útočných metód Lepšia viditeľnosť naprieč zariadeniami vytvára lepšiu predstavu o kontexte a umožňuje hlbšie porozumenie Poskytnutie big data analýzy každému individuálnemu zákazníkovi 2+ mld. udalostí logovaných denne Monitory v 157+ krajinách > bezpečnostných výstrah generovaných ročne 14 dátových centier celosvetovo spracovaných nových vzoriek kódu denne 550 bezpečnostných analytikov 23

24 Q& A Copyright 2014 Symantec Corporation 24

25 Ďakujem za pozornosť Ján Kvasnička Copyright 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.