Contenu connexe Similaire à Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e resposta à ameaças avançadas -20151007 (20) Plus de Symantec Brasil (19) Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e resposta à ameaças avançadas -201510072. André Carraretto
Security Strategist,
LAMC
APRESENTAÇÃO
2
ADVANCING SECURITY.
Profissional com mais de 15 anos de experiência
de mercado, é Estrategista em Segurança da
Informação na Symantec desde Abril de 2012,
sendo responsável por disseminar a visão
estratégica da empresa no mercado e para os
principais clientes na América Latina. Possui MBA
em Gestão Empresarial pela Business School São
Paulo. Possui diversas Certificações de mercado,
entre elas o ISC2 CISSP, CCSK e PCI-P
3. Como proteger sua informação no desaparecimento do Perímetro
30 de Setembro de 2015
Luis Souza – Channel SE
Leonardo Nassif – Solutions SE
https://goo.gl/IS7gNp
Copyright © 2015 Symantec Corporation
ADVANCING SECURITY.
3
4. Com o cenário atual de ameaças, Organizações devem mudar de
uma estratégia defensiva para uma posição ofensiva. Como
provedor líder de soluções para a proteção contra ameaças, a
Symantec está numa posição privilegiada para reescrever o "Livro
de Regras" e ajudá-los a adotar uma nova postura de segurança.
QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS,
WE MEAN BUSINESS.
Copyright © 2015 Symantec Corporation
ADVANCING SECURITY.
3
NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
5. NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
ADVANCING SECURITY.
REGRA #1
PENSE EM
‘QUANDO’ E NÃO
EM ‘SE’
OS CIBERCRIMISOS TEM EMPREGADO
MÉTODOS FURTIVOS E PERSISTENTES PARA
BULAR A SEGURANÇA. VOCÊ PRECISA
MUDAR DE UMA POSTURA DEFENSIVA PARA
UMA ESTRATÉGIA OFENSIVA.
QUANDO SE TRATA DE PROTEÇÃO CONTRA
AMEAÇAS, WE MEAN BUSINESS.
Copyright © 2015 Symantec Corporation 4
6. • Proteção baseada em
assinaturas
• Blacklisting
• Reputação de Arquivos
• Heurísticas
• Análise de Comportamento
• Threat Intelligence
• Execução Virtual (Sandboxing)
• Correlacionamento de Dados
A CRESCENDE ONDA DAS AMEAÇAS
5
ADVANCING SECURITY.
VIRUS,
WORMS, MALWARE
ANTI-VIRUS
MALWARE AVANÇADO,
ATAQUES DE
ENGENHARIA SOCIAL,
RANSOMWARE,
SPYWARE
ADVANCED PERSISTENT
THREATS (APT)
DEFESAS
AVANÇADAS
DEFESA
CORRELACIO-
NADA
Copyright © 2015 Symantec Corporation
7. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
LEVAMOS MUITO TEMPO PARA
PROTEGER OS SISTEMAS E DETECTAR
FALHAS
Os atacantes estão correndo para explorar esses atrasos
229 DIAS PARA DETECTAR
UMA INVASÃO…
…E FREQUENTEMENTE POR
UMA ENTIDADE EXTERNA!
VULNERABILIDADE
HEARTBLEED
EXPLORADA EM
MENOS DE 4 HORAS
APÓS TER SIDO
PUBLICADA
VULNERABILIDADES
ZERO-DAY EM 2014
24
recorde
Top 5 sem
patches por
295 dias
24
No total, as top 5 zero-days de 2014
foram ativamente exploradas pelos
atacantes por 295 dias até que fossem
disponibilidados patches
2013
2014 295
59
19
4 • Média de Dias para fornecimento de patches pelos Vendors
• Total de dias expostos para as Top 5 Zero-Days
8. O QUE É UMA VIOLAÇÃO AVANÇADA?
8
Violações costumavam ser coisas
simples, contando com fácil acesso
aos sistemas e um perímetro de
segurança fraco.
Essas violações básicas podem ser evitadas utilizando
tecnologias de ‘prevenção’, incluindo Firewalls, Anti-Virus e
Web-Gateways.
Primeiro, um pouco de história
Único
Vetor
para
Violação
Senhas Fracas
Ataques no
Browser
Ataques de
Phishing
Bug em Software
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
9. O QUE É UMA VIOLAÇÃO AVANÇADA?
9
• PESSOAS
Senhas roubadas que permitem acesso aos
sistemas, suborno, treinamento em segurança fraco
• PROCESSOS
Pontos fracos na cadeia de suprimentos, aprovações
de negócios ausentes, privilégios históricos e tóxicos
aos sistemas
• TECNOLOGIA
Alertas excessivos, falta de tempo, falta de
conhecimento, vulnerabilidade em software, erros de
configuração
Múltiplos vetores, um único alvo
Violações contam com
múltiplos vetores, e
software inteligente;não
com a tecnologia.
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
PESSOAS
PROCESSOS
TECNOLOGIA
10. EXEMPLO DE VIOLAÇÃO AVANÇADA
MULTI VETOR: REGIN (2014)
10
Overview do malware
PERSISTENTE & FURTIVO
MAIORIA DO CÓDIGO ESTÁ
ESCONDIDO
CRIPTOGRAFIA COMPLEXA
MULTIPLOS ESTÁGIOS
& MODULAR
MUITOS COMPONENTES
CUSTOMIZÁVEL
DIFÍCIL DE ANALIZAR
ESPECIALIZADO
CUSTOMIZADO PARA
CADA TAREFA
REQUER ALTA
ESPECIALIZAÇÃO
C2C ROBUSTO
MULTIPLOS CANAIS
ALTAMENTE CIFRADO
P2P
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
11. EXEMPLO DE VIOLAÇÃO AVANÇADA
MULTI VETOR: REGIN (2014)
11
Processo de infecção
STAGE 4
User Framework
STAGE 4
Kernel Module 1
STAGE 4
Kernel Module N…
STAGE 3
Kernel Framework
ESTÁGIO 1
Loader
ESTÁGIO 2
Loader
DROPPER
STAGE 5
Payload Module 1
STAGE 5
Payload Module 2
STAGE 5
Payload Module N…
DECIFRA & EXECUTA O PRÓXIMO ESTÁGIO
DECIFRA & EXECUTA O PRÓXIMO ESTÁGIO
ENTRADA
CONTAINER
CIFRADO
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
12. ADVANCING
SECURITY.
Copyright © 2015 Symantec Corporation
NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
REGRA #2
NÃO BASTA
CONHECER O QUE
VOCÊ TEM, MAS
COMO VOCÊ USA
NOSSA ABORDAGEM GARANTE VISIBILIDADE EM
TODOS OS PONTOS DE CONTROLE, AJUDANDO
NA DETECÇÃO E RESPOSTA À AMEAÇAS,
CONFORME ELAS SURGEM.
QUANDO SE TRATA DE PROTEÇÃO CONTRA
AMEAÇAS, WE MEAN BUSINESS.
13. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
AS AMEAÇAS ENTÃO ROMPENDO AS
MÚLTIPAS CAMADAS DE PROTEÇÃO
A maioria dos “ataques avançados” objetivam vulnerabilidades básicas
Rootkits, Worms,
Bots, Spyware,
Virus &Trojans
Eradica ameaças
conhecidas
(assinaturas)
Programas
desconhecidos
que parecem/se
comportam
como ameaças
Malware mutante,
ameaças zero-day,
ataques direcionados
Detecção pós-
infecção,
vulnetabilidades
não corrigidas
Drive-by
downloads,
engenharia social
Programas não
licenciados,
aplicativos
legítimos
indesejados
Acesso dos
usuários,
localidade,
enforcement,
mídia removível,
Mudanças não
autorizadas,
validações de
conformidade
ANTIVIRUS
REPUTAÇÃO&
COMPORTAMENTO
IPS&FIREWALL
CONTROLEDEAPLICAÇÕES&
INTEGRRIDADEDOHOST
14. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
PARA DERROTAR ESSES ATAQUES EM
EVOLUÇÃO, PRECISAMOS OLHAR PARA
O CICLO COMPLETO DA PROTEÇÃO
CONTRA AMEAÇAS
De prevenção para detecção e resposta
PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER
Entender onde dos dados
importantes estão
Bloquear ataques Encontrar incursões Conter & Remediar
problemas
Restaurar
operações
Mentalidade atual
para proteção
15. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
COMO USAR O TEMPO PARA VIRAR A
MESA EM UM ATAQUE
5 estágios de um ciberataque
Tempo
RECONHECIMENTO
INCURSÃO
DESCOBERTA
CAPTURA
EXFILTRAÇÃO
Prevenção Perda de Dados
Sua janela para
detectar e remediar
para minimizar o
impacto
“Low
and
Slow”
DESCOBERTA
Com acesso à rede, os atacantes se mantêm ‘low and slow’ para evitar detecção.
A partir daí, mapeiam as defesas da organização a partir de dentro e criam um
plano de batalha para obter as informações que são seus alvos.
16. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
QUANTO MAIS CEDO VOCÊ DETECTAR E
CORRIGIR, MENOR SERÁ O CUSTO
Por que ainda temos tempo depois que o malware entra no sistema
CustodaViolação
(US$)
DESCOBERTA
CAPTURA
EXFILTRAÇÃO
Rápida detecção e remediação
“paga dividendos”
Perda de
Dados
Violações que
envolvem perda
de dados podem
custar $3.5m
Tempo
17. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
O QUE MAIS PODE SER FEITO PARA
REDUZIR O PREJUÍZO CAUSADO POR
UMA VIOLAÇÃO?
PREPARAÇÃO
• Se antecipar ao ataque – inteligência
• Identificar e proteger ativos chave de informação
• Garantir o acesso mínimo e necessário a
privilégios
• Planejamento para recuperação de desastres
• Treinamento e capacitação
“By failing to prepare, you are preparing to fail”
Benjamin Franklin
18. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
CENÁRIO: COMO AQUELA
VIOLAÇÃO ACONTECEU…
Tudo começou quando você recebeu aquele email…
• Spear phishing enviado a você e a engenharia social
garantiu que você o abriria
• Imagine que o arquivo é desconhecido, mas
considerado seguro. Como é desconhecido não seria
melhor ver o que ele realmente faz em um ambiente
seguro? Para evitar a interrupção dos negócios,
vamos fazer isso em paralelo, em nossa nuvem.
• Arquivo chegou no Endpoint e inicia a ‘descoberta’.
Também foi distribuído por email e pela rede para 5
novos endpoints
• E agora, o quê?
19. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
COMO VAMOS DETECTAR A VIOLAÇÃO?
Tudo começou quando você recebeu aquele email…
Malware avançado é mais difícil de ser detectado. Por quê?
…então você precisa de detecção avançada
para ser mais esperto que o malware
Next generation
sandbox da Symantec
é executado em
ambientes físicos e
virtuais para garantir
uma melhor detecção.
Imita a interação
humana para ‘de-
cloak’ malwares
avançados. Suportado
pela conhecimento
existente em nossa
rede de inteligência
Com quase 1 milhão de novos
artefatos maliciosos por dia em 2014,
a detecção por assinaturas não
consegue acompanhar!
28% dos malwares são virtual
machine aware, e ficarão quietos para
evadir a detecção
1M de novas
ameaças por
dia
28% dos
malwares são
virtual machine
aware
20. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
VAMOS VOLTAR PARA A NOSSA
NARRATIVA…
Agora sabemos que aquele arquivo era malicioso
• Nesse meio tempo, nós condenamos o arquivo
• Todos os agentes recebem o comando de “busca & apreensão”.
Uma vez que o escopo é conhecido, as ações de remediação
podem ser determinadas
Não seria ótimo se você tivesse acesso à remoção de malware
avançado, ao mesmo tempo?
21. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
COMO O QUE FAZEMOS DURANTE A
VIOLAÇÃO REDUZ O PREJUÍZO
DURANTE O EVENTO
• Tenha visibilidade completa da abrangência da infecção
• Saiba que problema você precisa resolver!
• Rapidamente contenha a infecção
– Neutralize o malware
– Interrompa a propagação (email, rede)
• Rápida resposta a incidentes
– Você tem um plano?
22. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
Copyright © 2015 Symantec Corporation
NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
REGRA #3
ENFRENTE A
AMEAÇA DE
CABEÇA EM PÉATAQUES CADA VEZ MAIS SOFISTICADOS
REQUEREM UMA ABORDAGEM MAIS REFINADA
PARA PROTEÇÃO. A SYMANTEC PROVÊ A
INTELIGÊNCIA E INSIGHTS QUE VOCÊ PRECISA
PARA IDENTIFICAR, AGIR E PREVENIR
VIOLAÇÕES.
QUANDO SE TRATA DE PROTEÇÃO CONTRA
AMEAÇAS, WE MEAN BUSINESS.
23. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
ETAPAS NO GERENCIAMENTO DE
UMA VIOLAÇÃO POR MALWARE
1.
Iden?ficar
a
violação
2.
Escopo
da
violação
(escala,
severidade)
3.
Contenção
(ficar
seguro)
4.
Entender
o
dano
e
limpeza
5.
Recuperação
24. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
ESCOPO E CONTENÇÃO
Como?
• Você precisa saber o que está procurando
• Garanta que cada instância foi encontrada. Precisa
encontrar malware ativo e dormente. Trilha forense
pode fornecer o foco inicial
• Rapidamente coloque os arquivos em quarentena.
Pare as execuções e evite novas transmissões.
• Ter controles estabelecidos nos endpoints, email e
gateways de rede permitem uma ação mais rápida
Objetivo: Tornar o sistema seguro, ex: evitar novas infecções
25. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
LIMPEZA
• Limpeza não é a mesma coisa que remoção.
• Por quê?
• O malware identificado por ser um dropper de outros arquivos
• Pode ter feito modificações no sistema para evadir a detecção
• Pode ter removido / alterado outros arquivos
• Pode ter instalado componentes de comunicação
• Use a inteligência adquirida para tomar uma decisão fundamentada.
Não se esqueça que você pode precisar de ferramentas para remoção
de malware avançado (ex Power Eraser)
Objetivo: Entender o dano, para então determinar a correta
estratégia de limpeza baseada nos rastros encontrados
26. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
• Para garantir o retorno à normalidade
operacional, precisa ter os sistemas totalmente
liberados para execução
• Garanta que os sistemas foram restaurados,
configurações revertidas e dados substituídos
• Precisa reintroduzir, com confiança, os
sistemas afetados de volta à rede
• Monitore de perto para garantir que não
ocorram reinfecções / nada foi esquecido
• Restaurar de um backup pode ser uma solução
prática
RECUPERAÇÃO
Agora podemos finalmente colocar as últimas peças do quebra-cabeça no lugar
27. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
ETAPAS NO GERENCIAMENTO DE UMA
VIOLAÇÃO POR MALWARE
1.
Iden?ficar
a
violação
2.
Escopo
da
violação
(escala,
severidade)
3.
Contenção
(ficar
seguro)
4.
Entender
o
dano
e
limpeza
5.
Recuperação
A
P
R
E
N
D
I
Z
A
D
O
Esquecemos de alguma etapa?
28. Copyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
ADVANCING
SECURITY.
COMO CAPTURAR APRENDIZAGENS
PARA AUMENTAR A ROBUSTEZ
Objetivo: Para se tornar mais forte do que antes da violação
Utilizar o After Action Review Process
1. O que era para acontecer? O que aconteceu? Por que houve
uma diferença?
2. O que funcionou? O que não funcionou?
3. O que você faria diferente da próxima vez? Por quê?
Pessoas Eduque usuários e o time de segurança
Processos Reveja seus processos (detecção, contenção, recuperação)
Tecnologia Reveja os controles existentes, e as recomendações
29. Copyright © 2015 Symantec Corporation
DADO TODO ESSE CONTEXTO,
COMO VOCÊ PODE SE PREPARAR?
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
SUMÁRIO
30. Copyright © 2015 Symantec Corporation
COMO VOCÊ PODE ESTAR MELHOR PREPARADO?
30
PASSO #1
AUMENTE O FOCO EM ‘DETECTAR E
RESPONDER’, E NÃO EM ‘PROTEGER’
Flexibilidade em Responder às Ameaças
Entendimento da Ameaça
INCIDENTE
INTELIGÊNCIA
Violação Descoberta
Média de 229 dias
PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
31. Copyright © 2015 Symantec Corporation 31
• Entre ‘Detectar’ e ‘Responder’ existe um
lapso temporal. É nesse período que os
dados estão em risco.
• Tecnologias para manter os dados
importantes salvos, incluem:
• Autenticação de Multiplos Fatores
• Data Loss Prevention
• Criptografia
DADOS ACESSOS
IDENTIDADE
Usuários
Apps
Dados
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
COMO VOCÊ PODE ESTAR MELHOR PREPARADO?
PASSO #2
CERTIFIQUE-SE EM PROTEGER O QUE
ESTÁ DO LADO DE DENTRO
32. Copyright © 2015 Symantec Corporation 32
Simplesmente adicionar mais produtos, mais soluções não é a resposta
MAIS TECNOLOGIA NÃO SIGNIFICA MELHOR PROTEÇÃO
COMO POSSO TER
VISIBILIDADE EFETIVA
ATRAVÉS DO MEU NEGÓCIO?
O seu Sistema de Segurança
está balanceado?
PREVENÇÃO:
KEEPS ‘BAD STUFF’ OUT
Soluções são necessárias
para detectar ‘bad stuff’ que
passou pelos métodos de
proteção tradicionais
MSS Traditional
/Firewall/
Antivirus
(Assinaturas)
RÁPIDA Detecção
e Resposta
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
COMO VOCÊ PODE ESTAR MELHOR PREPARADO?
PASSO #3
REVEJA O MODELO DE INVESTIMENTO EM
SEGURANÇA PARA O SEU NEGÓCIO
33. Copyright © 2015 Symantec Corporation
VISÃO DA SYMANTEC:
ADVANCED THREAT PROTECTION
33
CORRELAÇÃO E
PRIORIZAÇÃO
INTELIGENTE DAS
AMEAÇAS
MAIOR REDE
CIVIL DE
INTELIGÊNCIA
.
TM
GLOBAL
INTELLIGENCE
DADOS
EXPORTADOS
Cloud
Sandbox
Correlação
Inves?gação
ENDPOINT
REDE
EMAIL
3RD
PARTY
Remediação
PLATAFORMA ÚNICA
DE PROTEÇÃO
ATRAVÉS DE
VÁRIOS PONTOS DE
CONTROLE
NEXT
GENERATION
SANDBOXING
ADVANCING SECURITY.
Copyright © 2015 Symantec Corporation
34. Copyright © 2015 Symantec CorporationCopyright © 2015 Symantec Corporation
ADVANCING
SECURITY.
NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
REGRA FINAL
AS REGRAS VÃO
MUDAR... J
QUANDO SE TRATA DE PROTEÇÃO
CONTRA AMEAÇAS, WE MEAN BUSINESS.
35. Copyright © 2015 Symantec Corporation
Windows 2003 sem suporte: por que você deveria se preocupar?
14 de Outubro de 2015
Bruno Nazareth – Sr Solutions SE
Anderson Rios – Sr Technical Acct Mgr
Wesly Alves – Solutions SE
https://symc.webex.com/symc/k2/j.php?MTID=t1f980171f25d8273b62be9f59a2c76fc
Copyright © 2015 Symantec Corporation
ADVANCING SECURITY.
3