Malware vs host, ochrona stacji końcowych i serwerów aplikacji krytycznych rożne podejścia. Warszawa, 21 czerwca 2017 Konrad Antonowicz

Podobne dokumenty
Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Palo Alto firewall nowej generacji

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Anatomy of an attack.. Cel: firma Aupticon Branża: technologie, R&D, self-driving cars

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Webroot SecureAnywhere ROZWIĄZANIA DLA UŻYTKOWNIKÓW DOMOWYCH

4383: Tyle podatności wykryto w 2010 r. Przed iloma jesteś chroniony? 2010 IBM Corporation

Podstawy bezpieczeństwa

Adaptive Defense PROAKTYWNE PRZECIWDZIAŁANIE ZAGROŻENIOM

n6: otwarta wymiana danych

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Marzena Kanclerz. Microsoft Channel Executive. Zachowanie ciągłości procesów biznesowych. z Windows Server 2012R2

Zabezpieczanie systemu Windows Server 2016

Marek Krauze

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Bezpieczeństwo 2.0. Synchronizacja narzędzi bezpieczeństwa kluczem do skutecznej ochrony przed zagrożeniami dnia zerowego

Przestępcze scenariusze wykorzystania a sposoby zabezpieczeń Warszawa, 21 czerwca Tomasz Zawicki CISSP

Ataki w środowiskach produkcyjnych. (Energetic bear / Dragon Fly / Still mill furnace)

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki

Marek Pyka,PhD. Paulina Januszkiewicz

Produkty. F-Secure Produkty

Czy OMS Log Analytics potrafi mi pomóc?

Produkty. ca Produkty

Zdobywanie fortecy bez wyważania drzwi.

Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015

Wybierz właściwą edycję desktopową Windows 10. Wybierz sposób wdrażania nowych funkcjonalności. Wybierz najlepszą ofertę licencjonowania grupowego

Metody ochrony przed zaawansowanymi cyberatakami

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Produkty. ESET Produkty

Fujitsu World Tour 2018

Security Orchestration, Automation and Respons, czyli jak AI wspiera działy bezpieczeństwa.

Laboratorium - Konfiguracja ustawień przeglądarki w Windows 7

Laboratorium - Poznawanie FTP

Załącznik nr 1 I. Założenia ogólne:

Laboratorium - Konfiguracja ustawień przeglądarki w Windows Vista

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

Generacja paczki instalacyjnej F-Secure Client Security/Client Security Premium

Network Forensic Co mówią złapane pakiety?

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Enterprise SSO IBM Corporation

BitDefender Total Security - 10PC kontynuacja

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Check Point Endpoint Security

Norton Tablet Security: Jak to działa

Znak sprawy: KZp

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

BIO. Chat. Prezentacj a. Pomoc. Video. Pytania 1:1. LinkedI n

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

OPIS PRZEDMIOTU ZAMÓWIENIA

ArcaVir 2008 System Protection

Analiza malware Remote Administration Tool (RAT) DarkComet

OCHRONA PRZED RANSOMWARE

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

Rozwój zagrożeń i ich mitygacja. Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

Wykład 8. Temat: Hakerzy, wirusy i inne niebezpieczeństwa. Politechnika Gdańska, Inżynieria Biomedyczna. Przedmiot:

Platforma Office 2010

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Palo Alto TRAPS 4.0 Co nowego?

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

SMB protokół udostępniania plików i drukarek

Laboratorium - Obserwacja procesu tłumaczenia nazw DNS

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Jak bezpieczne są Twoje dane w Internecie?

Cel szkolenia. Konspekt

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Wektory ataków vs. systemy zabezpieczeń. Sebastian Krystyniecki Systems Engineer Poland Ukraine Belarus. April 4, 2014

Bezpieczeństwo jako fundament budowy Społeczeństwa Informacyjnego w JST Beata Haber IS Account Manager wbeata@cisco.

Metody zabezpieczania transmisji w sieci Ethernet

Szkolenie autoryzowane. MS Instalacja i konfiguracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Laboratorium - Monitorowanie i zarządzanie zasobami systemu Windows XP

Norton Sec.3.0 STD PL CARD 1U 1Dvc 1Y Model : Norton Sec.3.0 STD PL CARD 1U 1Dvc 1Y ram sp. j.

Czy 25 milionów USD to dużo? Ile jest warte konto uprzywilejowane? Michał Siemieniuk COMTEGRA Łukasz Kajdan VERACOMP

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Innowacja Technologii ICT vs Człowiek

Rozwiązanie Compuware Data Center - Real User Monitoring

Łowienie w morzu pakietów czyli jak ukrywają się serwery Comand and Control. Ireneusz Tarnowski czerwca 2017, WROCŁAW

Rozwiązanie Zadania egzaminacyjnego egzamin praktyczny z kwalifikacji e13 styczeń 2015

Architektura komunikacji

Krok 2 Podłącz zasilanie do routera bezprzewodowego. Uruchom komputer i zaloguj się jako administrator.

AppSense - wirtualizacja użytkownika

Bezpieczeństwo systemów SCADA oraz AMI

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Konfigurowanie Windows 8

Terminarz Szkoleń ACTION CE

INSTRUKCJA OBSŁUGI DLA SIECI

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

17-18 listopada, Warszawa

Włącz autopilota w zabezpieczeniach IT

Laboratorium - Konfiguracja routera bezprzewodowego w Windows 7

Robaki sieciowe. + systemy IDS/IPS

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Przełączanie i Trasowanie w Sieciach Komputerowych

SOC/NOC Efektywne zarządzanie organizacją

Ransomware w 15 minut czyli jak zarobić na advanced malwarze, nie mając o nim pojęcia

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

9:45 Powitanie. 12:30 13:00 Lunch

Transkrypt:

Malware vs host, ochrona stacji końcowych i serwerów aplikacji krytycznych rożne podejścia. Warszawa, 21 czerwca 2017 Konrad Antonowicz

Agenda Trendy na świecie AV vs EDR Ochrona stacji końcowej Pokaz na żywo Ochrona serwerów

Liczby Ransomwere 500000 400000 300000 200000 100000 0 2015 2016 Ransomwere Koszt na atak ~300$ ~1200$ Malware nowe warianty 2015 355 Milionów 2016 357 Milionów

Miliony Phishing Ransomwere DREAMBOT

Przykład kampanii malware Strona skompromitowana poprzez twórców np. kampanii EITest Wersja na Internet explorer( EU/Azja) Wersja na Internet explorer (US/UK) Wersja na Chrom a Wstrzyknięcie skryptu prowadzącego do Rig EK (Cerber ransomware) Wstrzyknięcie skryptu generującego SCAM MS tech support Wstrzyknięcie skryptu generującego Hoefler Text popup (Spora ransomware)

http://www.intothebluefishing.com/

MS tech support scam

Przekierowanie na gio.aquastring.bid HTTPS URL

Kolejna podstawiona strona udająca komunikat supportowy Microsoft

Skrypt kampanii Rig EK wstrzyknięty na skompromitowana stronę art.606kingsplace.com

Host zainfekowany cerber ransomwere

AV vs EDR VS

EDR kluczowe właśiwości Start/Stop procesów, wstrzyknięcia między procesami Połączenia sieciowe Modyfikacje plików Zmiany rejestru Binarne / wykonawcze / metadane aplikacji, pełna treść Zawartość pamięci operacyjnej Działania prewencyjne bez potrzeby dotarcia do stacji końcowej fizycznie Automatyczne powstrzymanie zagrożenia auto remediacja Izolowanie punktu końcowego z sieci Zabijanie groźnych procesów / aplikacji Usuwanie aplikacji, plików, kluczy rejestru, itp. Blokowanie konta użytkownika lub wymuszenie resetowania hasła Analiza statyczna i dynamiczna Przeszukiwanie znaczników zagrożenia na wszystkich stacjach objętych monitoringiem Workflow możliwość zbadania, oceny i zamknięcia alertu. Które zagrożenia są priorytetowe? Czas ich wystąpienia? Dotkliwość dla środowiska?

EDR Posiadane zabezpieczenia dla stacji końcowych nie zatrzymują coraz większej liczby zagrożeń wykierowanych w organizacje. Potrzebujesz lepszej widoczności w to co dzieje się w organizacji Chęć skrócenia czasu i kosztów śledzenia incydentów i odpowiedzi Zespół nie ma czsu, aby opracować rozwiązania potrzebne do identyfikacji i zatrzymania najnowszymi zagrożeniami Wymagania zgodności z przepisami nakładającymi wymóg monitorowania punktów końcowych Gartner i Forrester powiedzieli: że potrzebuję rozwiązania EDR... wszyscy inni to robią!

#wcry Some sources state the infection vector is EternalBlue, an exploit leaked by the Shadow Brokers group last month in April 2017 based on CVE-2017-0144 for Microsoft's SMB protocol. So far, I've been under the impression that EternalBlue is how the ransomware propagates itself after an initial infection. Once a Windows host is infected, it uses EternalBlue to spread throughout that organization's network, assuming the organization's Windows servers are not properly patched or up-to-date.

#wcry #wcry skierowany do firm nie do użytkowników domowych PC1 win7 PC2 win7 udostępnione foldery w homegroup (bez SMB) Infekujemy PC1 -> #wcry PC1 ma pełny dostęp do folderu na Pc2 PC1 zaszyfrowany, PC2 nietknięty

Rozwiązanie 1 Cynet 360

Zagrożenia i ataki dzisiaj USER FILE NETWORK MACHINE Internal user threat Viruses/Worms Port Scanning Memory Injection Stolen credentials Malware SMB Scanning DLL Injection Privilege escalation Ransomware DNS Tunnel Reflective DLL Off hours activity Trojans ARP Spoofing Rootkit Unusual downloads Key loggers ICMP Tunneling Exploitation Behavior 3rd party contractors Spyware Pass the Hash Data Theft Riskware/PUP C&C Credential Theft Bots MITM Unauthorized Connection Weaponized Doc Lateral Movement Unauthorized Access HTTP Tunneling 2016 Cynet. All rights reserved.

Jak Cynet może pomóc: automatycznie i ręcznie Kill Process, Delete, Quarantine Disable Users, Run Commands Shut Down or Restart Hosts Isolate or Block Traffic more Automated Response for Ransomware 2016 Cynet. All rights reserved.

Jak Cynet działa Endpoints Instalacja poniżej< 2 h, bezinwazyjny dla pracowników: VDI (dodatkowo) Tap Span COVERAGE MODES: Real Time (bez instalacji) Interval Scanning (bez instalacji) Lightweight Agent (Roaming Devices) SysLog 2016 Cynet. All rights reserved.

Demo na żywo stop ransomwere

Rozwiązanie 2 serwery krytyczne Symantec Data center security

Malware a serwery krytyczne Aplikacja na win 2003 server Patchowanie serwerów aplikacji krytycznych Środowiska produkcyjne Bankomaty itd

Data Center Security Server Advanced umożliwia monitorowania i ochronę środowisk fizycznych lub hybrydowych za pośrednictwem technologii wykrywania i przeciwdziałania włamaniom na stacjach końcowych: Sandboxing Izoluje aplikację i wymusza odpowiednie zachowanie aby chronić system przed nieznanymi zagrożeniami Protected Application Whitelisting Model zabezpieczeń wymuszający zachowanie zaufanej aplikacji i chronienie najważniejszych plików systemu Real-time File Integrity Monitoring Identyfikuj zmiany w plikach w czasie rzeczywistym, w kto ich dokonał i jaka to była zmiana

#Dziękuję za uwagę!:)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres