Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems
Czy jestem atakowany?
Charakterystyka ataku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?cmp=dmc-smb_z_zz_zz_z_tv_n_z038
Faza I uzyskać dostęp do zasobów
Wybór wektora ataku Infekcja stacji roboczej poza środowiskiem Infekcja urządzenia mobilnego Atak z użyciem podatności Atak ze wsparciem z wewnątrz instytucji
Złośliwe oprogramowanie jest wszędzie
Dedykowane oprogramowanie złośliwe
Urządzenia mobilne łatwy cel Zapytany dlaczego rabował banki, odpowiedział: Ponieważ tam są pieniądze "Because that's where the money is. Willie Sutton mobile devices Arnie Leven http://www.condenaststore.com/-sp/i-steal-from-computers-cause-that-s-where-themoney-is-cartoon-prints_i8638625_.htm
Łatwy cel Podwójna korzyść, dostęp do danych prywatnych i firmowych Dostęp nigdy nie był łatwiejszy - 45 miliardów pobranych aplikacji w 2012. 2x 45 Billion
Złośliwe oprogramowanie (Android) Source: Juniper Mobile Threat Report, 2/12
Złośliwe oprogramowanie (Android) http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-3q-2012-security-roundup-android-under-siegepopularity-comes-at-a-price.pdf
Złośliwe oprogramowanie Source: Arxan State of Security in the App Economy 2012
Złośliwe oprogramowanie
Typy aplikacji mobilnych Aplikacje webowe Aplikacje natywne Aplikacje hybrydowe
Każdy sposób jest dobry Który QR jest OK? QR zawiera URL do złośliwego oprogramowania Złośliwe oprogramowanie infekuje środowisko korporacyjne
Kompleksowa analiza zdarzeń
Ochrona infrastruktury na każdym etapie A global provider of high-value, next-generation SIEM, Log Management, Jakie są wewnętrzne i Jaki jest aktualny stan Network Activity Monitoring Czy jesteśmy and bezpieczni? Risk Management technologies Jaki zewnętrzne zagrożenia? - built był wpływ? bezpieczeństwa? on the industry s leading Security Intelligence platform Vulnerability Exploit Remediation Pre-Exploit Post-Exploit Ocena podatności oraz zapobieganie Risk Management, Compliance Management, Vulnerability Management, Configuration Management, Cloud Intelligence, Scorecards Reakcja oraz akcje naprawcze SIEM, Network Anomaly Detection, Log Management, Data Leak Prevention, Packet Forensics, Remediation, Dashboards
QRadar Zbieranie logów bezpośrednio z aplikacji i systemów Kolekcja i analiza danych warstwy aplikacyjnej Wielowarstwowe przeglądanie danych (drill down, data mining) Korelacja zdarzeń i podnoszenie alarmów na podstawie reguł, polityk, progów, analizy zachowań i anomalii.
Detekcja ataków typu zero-day QRadar Monitoring polityk bezpieczeństwa Pełen audyt połączeń podejrzanych Pasywna analiza ruchu sieciowego umożliwia automatyczne klasyfikowanie obiektów znajdujących się w infrastrukturze Informacja o stanie sieci w czasie rzeczywistym
QRadar Jaki atak? Kto? Ile zdarzeń? Jakie zagrożenie? Ile obiektów ataku? Jak istotne są obiekty dla biznesu? Czy któryś jest podatny? Gdzie są dowody?
QRadar Skomplikowany atak Skąd to wiemy? Gdzie są dowody? Skanowanie Sieci Wykryte przez Qflow Przepełnienie bufora Próba wykorzystania podatności wykryta przez Snort Wskazany host podatny na atak Wykryte przez Nessus
QRadar Wykryty potencjalny Botnet? Tyle jest w stanie stwierdzić tradycyjny SIEM. IRC na 80 porcie? QFlow umożliwia wykrycie kanału transmisji. Wykrycie komunikacji Dane warstwy 7 zawierają komendy i instrukcje kontrolne dla botnet-a
QRadar Błędy Uwierzytelniania Być może użytkownik zapomniał swojego hasła? Atak typu brute-force Duża ilość błędnych uwierzytelnień względem różnych kont Host skompromitowany Po dużej ilości zdarzeń błędnego uwierzytelniania, mamy uwierzytelnienie zakończone powodzeniem.
QRadar Naruszenie wymagań regulacji PCI? Uproszczony compliance Wsparcie dla wszystkich kluczowych regulacji prawnych oraz standardów. Nieszyfrowane połączenie: QFlow wykrył nieszyfrowaną komunikację na serwerze podlegającym pod PCI PCI - Wymaganie nr. 4: Konieczne jest zapewnienie szyfrowanej komunikacji dla danych związanych z kartami płatniczymi w przypadku dostępu do danych po przez sieci publiczne