Opdag avancerede angreb hurtigt så du kan agere på dem. Henrik Larsson, Senior Security Consultant, Dubex Vejlefjord den 21.

Størrelse: px

Starte visningen fra side:

Download "Opdag avancerede angreb hurtigt så du kan agere på dem. Henrik Larsson, Senior Security Consultant, Dubex Vejlefjord den 21."

Kaare Bjerre
8 år siden
Visninger:

1 Opdag avancerede angreb hurtigt så du kan agere på dem Henrik Larsson, Senior Security Consultant, Dubex Vejlefjord den 21. maj 2015 DUBEX SECURITY & RISK MANAGEMENT UPDATE 2015

2 Opfølgning på praktiske anbefalinger Antivirus er ikke nok: Antivirus fanger stadig mange angreb, men vi oplever også mange angreb med unik malware og udnyttelse af dag-0 sårbarheder, som kræver andre værktøjer Incident Response: Planlæg efter at der vil ske hændelser - følg løbende op på hvordan, og hvor hurtigt, incidents opdages og håndteres, så reaktionen løbende kan forbedres Overvågning: Mange organisationer opdager først brud på sikkerheden, når de får et opkald fra politiet eller en kunde.

Malware - udviklingsproces Sløring og kvalitetstestning Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeterforsvar og anden beskyttelse Original malware Permutationer

3 Malware - udviklingsproces Sløring og kvalitetstestning Malware er vidt udbredt og kan fremstilles så det omgår det traditionelle perimeterforsvar og anden beskyttelse Original malware Permutationer Kvalitetstest Deployering Afvist hvis detekteret af antivirus software Mange forskellige varianter af samme malware fremstilles automatisk forud for et angreb Kun varianter, der kommer igennem kvalitetstesten bruges i selve angrebet De nye varianter frigives med jævne mellemrum for konstant at være foran antivirusmønsteropdateringerne

Malware er unikt YOU RE ABSOLUTELY UNIQUE JUST LIKE EVERYONE ELSE Consistent with some other recent vendor reports, we found that 70 to 90% (depending on the source and organization) of malware

4 Malware er unikt YOU RE ABSOLUTELY UNIQUE JUST LIKE EVERYONE ELSE Consistent with some other recent vendor reports, we found that 70 to 90% (depending on the source and organization) of malware samples are unique to a single organization. There s another lesson here worth stating: Receiving a never-before-seen piece of malware doesn t mean it was an advanced or targeted attack. It s kinda cool to think they handcrafted a highly custom program just for you, but it s just not true. Get over it and get ready for it. Special snowflakes fall on every backyard.

Malware er brug og smid væk A quick look at the types of malware being used shows they are overwhelmingly opportunistic and relatively short-lived.

5 Malware er brug og smid væk A quick look at the types of malware being used shows they are overwhelmingly opportunistic and relatively short-lived. Even though we looked at data over just a six-month period, 95% of the malware types showed up for less than a month, while four out of five didn t last beyond a week.

6 Kort tid om at kompromittere, lang tid om at opdage

7 Angreb opdages langsomt og tilfældigt Opdagelse af angreb - hastighed Opdagelse af angreb - hvordan 82% 66% af alle organisationer var flere måneder eller år om at opdage det initiale indbrud af alle hændelser blev opdaget af eksterne 12% af alle hændelser blev tilfældigt opdaget internt Percent of breaches that remain undiscovered for months or more Kun 6% af alle hændelser blev aktivt opdaget internt så det normale er, at der efter nogle måneder kommer nogle eksterne og fortæller, at I er blevet hacket

8 Sager i medierne Ransomware - Manglende patching førte til ransomware - Tre måneder efter hackerangrebet er der stadig eftervirkninger af det digitale indbrud og ekstraarbejde i bogholderiet. - Løsesummen lød på omkring kroner, hvilket var tilpas lavt, men kommunikationen med hackerne trak i langdrag. De endte med at trække stikket på hele det gamle itsetup i stedet. - Nu handler det derfor også om at forberede sig på nye trusler. -»Man tror jo ikke, at det sker for en selv. Men tro ikke, at det ikke sker for dig. Nu er det ikke længere et spørgsmål om, hvem der bliver hacket, men hvornår man bliver det.«

9 Sager i medierne Målrettet

10 Sager i medierne Falske opdateringer

- Typisk trafik til og fra Internettet, men det er også muligt at inspicere overførsler mellem interne netværk

11 Hvordan indsamler vi data i netværket? - Enhed i netværket holder øje med filer, protokoller og netværksforespørgsler - inline eller via en SPAN port. - Typisk trafik til og fra Internettet, men det er også muligt at inspicere overførsler mellem interne netværk - Gateway, groupware samt endpoints vil også kunne indsamle filer som produkterne hver især ser. - Der kigges på protokoller som: - SMTP (mail) - HTTP (web) - SMB (windows file share)

12 Malware fundet via signatur

13 Kendte botnet, exploits eller C&C servere

14 Sandbox Win 7 Office10 Adobe 11 Win XP Office07 Adobe 10 Virtual Analysis Windows Server - De indsamlede data kan afprøves i en sandbox for at verificere om de er skadelige. - Vil afsløre exploits, download af yderligere malware og call back. - Mistænkelig adfærd eller trafik bliver synlig. 14

15 Operationer registreres i sandbox

16 Analyse af filer på netværket

17 Indblik i analyserede filer

18 Indblik i analyserede filer Blue Coat Web Windows Protection Update Windows Microsoft Service Security Malware Windows Center Protection Defender

19 Indblik i analyserede filer

20 Informationer fra netværk og sandbox deles Lokal deling Deling i enterprise Global deling

21 Information om trusler

22 Integration med endpoint 3 Virtual Analysis WAN / LAN 1 Network TAP/SPAN Network Inspector 2 Win 7 Office10 Custom Win XP Office07 Custom Custom... 5 Custom block lists Web Reputation File Reputation 4 Updates Endpoint Server 22

23 Integration med firewall WAN / LAN Threat Emulation Signature and policy-based analysis 1 4 Win 7 Office10 Custom Virtual Analysis Win XP Office07 Custom Custom... Custom reputation database 2 Updates Suspicious or specific content type analysis 3 5 Risk Rating 23

24 Integration med Secure Web Gateway Web Web Gateway scanning Signature and policy-based analysis 1 4 Win 7 Office10 Custom Virtual Analysis Win XP Office07 Custom Custom... ICAP Custom reputation database 2 Updates Suspicious or specific content type analysis 3 5 Risk Rating 24

Integration med Mail Gateway Signature and policy-based analysis Email Gateway 1 Suspicious quarantine 2 Win 7

25 Integration med Mail Gateway Signature and policy-based analysis Gateway 1 Suspicious quarantine 2 Win 7 Office10 Custom Virtual Analysis Win XP Office07 Custom Custom... Deliver? (Risk + policy) 3 Risk Rating 25 Safe

26 Dubex Threat Intelligence analyse og rapport Rapport med anbefalinger vedr. fundne trusler Overblik over infektionskilder, der eksisterer i netværket Hvilke computere, der tilgår trusler på Internettet, f.eks. inficerede hjemmesider eller botnet - C&C servere Sammenfatning af malware og mistænkelig kommunikation fundet i netværket Teknisk beskrivelse af malware på baggrund af sandbox-analyse

27 Dubex kompetencer Hjælpe med at udvælge løsning baseret på ønsket funktionalitet og eksisterende produktportefølje Bidrage med teknisk kompetence under installation, konfiguration og opdatering af løsningen Overvågning af hændelser og reaktion også når jeres it-afdeling ikke er bemandet Incident Response når skaden er sket

28 Tak For flere informationer kan du kontakte Henrik Larsson

Relaterede dokumenter

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.