Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Transkrypt

1 Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

2 Czy jestem atakowany?

3 Charakterystyka ataku

4 Faza I uzyskać dostęp do zasobów

5 Wybór wektora ataku Infekcja stacji roboczej poza środowiskiem Infekcja urządzenia mobilnego Atak z użyciem podatności Atak ze wsparciem z wewnątrz instytucji

6 Złośliwe oprogramowanie jest wszędzie

7 Dedykowane oprogramowanie złośliwe

8 Urządzenia mobilne łatwy cel Zapytany dlaczego rabował banki, odpowiedział: Ponieważ tam są pieniądze "Because that's where the money is. Willie Sutton mobile devices Arnie Leven

9 Łatwy cel Podwójna korzyść, dostęp do danych prywatnych i firmowych Dostęp nigdy nie był łatwiejszy - 45 miliardów pobranych aplikacji w x 45 Billion

10 Złośliwe oprogramowanie (Android) Source: Juniper Mobile Threat Report, 2/12

11 Złośliwe oprogramowanie (Android)

12 Złośliwe oprogramowanie Source: Arxan State of Security in the App Economy 2012

13 Złośliwe oprogramowanie

14 Typy aplikacji mobilnych Aplikacje webowe Aplikacje natywne Aplikacje hybrydowe

15 Każdy sposób jest dobry Który QR jest OK? QR zawiera URL do złośliwego oprogramowania Złośliwe oprogramowanie infekuje środowisko korporacyjne

16 Kompleksowa analiza zdarzeń

17 Ochrona infrastruktury na każdym etapie A global provider of high-value, next-generation SIEM, Log Management, Jakie są wewnętrzne i Jaki jest aktualny stan Network Activity Monitoring Czy jesteśmy and bezpieczni? Risk Management technologies Jaki zewnętrzne zagrożenia? - built był wpływ? bezpieczeństwa? on the industry s leading Security Intelligence platform Vulnerability Exploit Remediation Pre-Exploit Post-Exploit Ocena podatności oraz zapobieganie Risk Management, Compliance Management, Vulnerability Management, Configuration Management, Cloud Intelligence, Scorecards Reakcja oraz akcje naprawcze SIEM, Network Anomaly Detection, Log Management, Data Leak Prevention, Packet Forensics, Remediation, Dashboards

18 QRadar Zbieranie logów bezpośrednio z aplikacji i systemów Kolekcja i analiza danych warstwy aplikacyjnej Wielowarstwowe przeglądanie danych (drill down, data mining) Korelacja zdarzeń i podnoszenie alarmów na podstawie reguł, polityk, progów, analizy zachowań i anomalii.

19 Detekcja ataków typu zero-day QRadar Monitoring polityk bezpieczeństwa Pełen audyt połączeń podejrzanych Pasywna analiza ruchu sieciowego umożliwia automatyczne klasyfikowanie obiektów znajdujących się w infrastrukturze Informacja o stanie sieci w czasie rzeczywistym

20 QRadar Jaki atak? Kto? Ile zdarzeń? Jakie zagrożenie? Ile obiektów ataku? Jak istotne są obiekty dla biznesu? Czy któryś jest podatny? Gdzie są dowody?

21 QRadar Skomplikowany atak Skąd to wiemy? Gdzie są dowody? Skanowanie Sieci Wykryte przez Qflow Przepełnienie bufora Próba wykorzystania podatności wykryta przez Snort Wskazany host podatny na atak Wykryte przez Nessus

22 QRadar Wykryty potencjalny Botnet? Tyle jest w stanie stwierdzić tradycyjny SIEM. IRC na 80 porcie? QFlow umożliwia wykrycie kanału transmisji. Wykrycie komunikacji Dane warstwy 7 zawierają komendy i instrukcje kontrolne dla botnet-a

23 QRadar Błędy Uwierzytelniania Być może użytkownik zapomniał swojego hasła? Atak typu brute-force Duża ilość błędnych uwierzytelnień względem różnych kont Host skompromitowany Po dużej ilości zdarzeń błędnego uwierzytelniania, mamy uwierzytelnienie zakończone powodzeniem.

24 QRadar Naruszenie wymagań regulacji PCI? Uproszczony compliance Wsparcie dla wszystkich kluczowych regulacji prawnych oraz standardów. Nieszyfrowane połączenie: QFlow wykrył nieszyfrowaną komunikację na serwerze podlegającym pod PCI PCI - Wymaganie nr. 4: Konieczne jest zapewnienie szyfrowanej komunikacji dla danych związanych z kartami płatniczymi w przypadku dostępu do danych po przez sieci publiczne