Vejen til en succesfuld APT-sikkerhed Jacob Herbst Søborg, 23. maj 2013
Erfaringer fra APT angreb Kilde: Cyber Espionage: Defending Your Enterprise Tim McKnight, Vice President & CISO, NORTHROP GRUMMAN
Ændret trusselsbillede Konventionelle angreb Advanced Persistent Threat Hvilke? Tilfældig hacker eller kriminel Målrettet og beslutsom angriber Hvad? Personlige data og kreditkortnumre Intellektuelle værdier Hvem? Organisationer med personfølsomme data Nøje udvalgte virksomheder og organisationer Hvorfor? Økonomisk gevinst Spionage eller konkurrencemæssige fordel Hvordan? Angreb via perimeteren Social Engineering og endpoints Metoder Simpel standard malware Specifik malware til den enkelte organisation Kundskab Tekniske Tekniske og organisatoriske Reaktion på forsvar Finder et andet mål Justerer angrebet og prøver igen
Hvorfor lykkes APT angreb? Angrebene anvender overbevisende social engineering metoder Udnytter eksempelvis information fra sociale netværk Mangelfuld Endpoint sikkerhed - værktøjer er ikke brugt effektivt Brugerne har for mange rettigheder APT angreb udnytter hullerne mellem sikkerhedsmekanismerne Manglende integration og intelligens på tværs af værktøjer APT trafik kan ligne normal netværkstrafik i forhold til overvågningsværktøjer
Tilgang til APT beskyttelse Forstå det nye trusselsbillede Erkende at beskyttelse kræver en ændring i den måde, vi arbejder på Hvordan opdager og efterforsker man hændelser? Hvordan laver man en politik og følger op på den? Hvordan håndterer vi brugerne? Hvordan kommunikerer vi med den øverste ledelse? Conventional vs. Advanced Approaches to Information Security Kilde: Security for Business Innovation Council Report
Risikobaseret tilgang Risikostyring er et værktøj til at sikre korrekt anvendelse af ressourcer Identificerer informationsaktiver, deres værdi og risiko Sikkerhed er altid et spørgsmål om prioritering Implementering af sikkerhed forbundet med udgifter Som regel begrænsede ressourcer Beslutninger baseres på en vurdering af risici Informationscenteret Viser de faktiske sårbarheder i en forretningsmæssige sammenhæng Risikobaseret Klar prioritering og baggrund for sikkerhedsinvesteringer Information Risiko Foranstaltninger Risikostyring er en løbende proces
It-sikkerhed der enabler forretningen Forøg værdien af forretningen Forbindelse med kunder Integration med samarbejdspartnere Myndiggør medarbejderne Understøtter dataintegritet og tilgængelighed Sikre dataintegritet Forbedre beslutningskvalitet Undgå civile / strafferetlige sanktioner Forbedring af brand / omdømme Optimer og beskyt værdien af informationsaktiver Administrer omkostninger ROI (Return On Investment) Forbundet Produktive Pålidelig Omkostningsbevidst Besparelser Omkostniger
Forretningsmæssig værdi Værdi: Risikostyring Værdi: Forretningsunderstøttelse Produktivitetstab - Indirekte konsekvenser (mistet salg, mistet konkurrenceevne, mistet troværdighed) Juridiske konsekvenser (manglende overholdelse af kontrakter, lovgivning m.m.) Udvidelse af forretningen Flere salgskanaler, kundeservice, fastholdelse af kunder Nye kundesegmenter og forøget omsætning, billigere leverance og konkurrencemæssige fordele Understøttelse af brand Hurtigere reaktionsevne SLA overholdelse til kunder og leverandører Interne compliancekrav Persondataloven Regulatorisk compliance PCI DSS EU Data Protection Act Konkurrencemæssige compliance Standarder - COBIT, ISO27002 Besparelser forbedring af forretningsprocesser Undgåede udgifter skalerbarhed Brug af eksisterende ressourcer Effektivitet behov for færre ressourcer, nye og forbedrede forretningsprocesser Værdi: Opretholde Compliance Værdi: Optimering af omkostninger
Valg af strategi Prioritering af indsatsen Vigtigt at de basale kontroller er på plads Se realiteterne i øjnene Ingen mirakelkur Starter og slutter ikke med en it-investering Forudsætter en løbende proces Fokuser din sikkerhedsorganisation på mennesker, processer og teknologi Strategies for Dealing With Advanced Targeted Threats Published: 5 August 2011 Figure 1. Realistic Approach to Neutralizing Advanced Targeted Threat Impact
Best practice Ikke nogen simpel løsning til beskyttelse mod APT angreb What Best Practices Must Be Adopted to Reduce the Threat of ATAs? Keep Up to Date With the Threat Landscape Thwart Social Engineering Techniques Through Eucation Best Practices That Apply to All Layers Upgrade Your Perimeter and Network- Based Security IPsec & SSL VPN Remote Access Connections Firewalls Intrusion Prevention Devices Advanced Threat Detection/Prevention Focus Your Strategy Toward Malicious Content Uplift Your Endpoint Security Controls and Detection Stance Improve Your Automated Monitoring, Correlation and Analysis Improve Your Incident Response Capabilities Best Practices for Mitigating Advanced Persistent Threats Published: 18 January 2012 Best-Practice Strategies Use a defense-in-depth approach; no one single technology will stop advanced targeted attacks. Ongoing integration and sharing of security intelligence among your security controls should be a stated security program goal. Context-aware security controls (see "The Future of Information Security is Context-Aware and Adaptive") should be a key requirement when evaluating the next generation of security protection platforms (network, endpoint, edge and so on) Review all security technologies and existing controls and, if necessary, update or uplift them, and utilize advanced features in the latest products or services to keep up with changes in the threat landscape. Acknowledge that technology alone won't stop ATAs. Review the best practices below, but do so with the mind-set of unifying the security processes between each technology so that effective management of threats is possible and reduction of breach events is the more likely result. Staff appropriately to ensure you can operate all the latest technologies and, if necessary, engage third parties to manage or operate more commodity security controls
Løsninger - Security in depth Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Supplerer den indbyggede sikkerhed Overvåger intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler There is no silver bullet to mitigate APTs. A defense-indepth strategy must be used across network, edge, endpoint and data security Gartner, Best Practices for Mitigating Advanced Persistent Threats Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere
Beskyttelse mod sårbarheder - eksempel Advanced Threat Protection Metoder til at detektere dag-0 angreb Emulering af ukendte filers opførsel i et sandbox-miljø Blokerer for indgåede dag-0 angreb via web og mail Blokering af callback funktioner Karantæne af mistænkelige filer og e-mail Detaljeret rapportering om mistænkelige hændelser IPS - Intrusion Prevention System Signaturbaseret overvågning af trafik til netværk og klienter Mulighed for at blokere for trafik i realtid Beskyttelse af systemer med manglende opdateringer virtuel patching - inddæmning af et udbrud/angreb, mens det sker IDS/IPS leverandører frigiver mønstre der kan detekterer og blokerer for sårbarheder samtidig med patchen TID Dag-0 sårbarhed Ukendt Opdagelse Offentliggørelse Patch tilgængelig IPS Signatur frigives Patch Management Patchen fjerner den grundlæggende root cause sårbarhed Sikring af patches installeres på alle systemer Sikrer opdatering af operativsystem, applikationer og alle plug-ins Understøttelse for alle anvendte applikationer Rapportering af compliance og patchniveau Patch installeret
Advanced Threat Protection Generisk beskyttelse mod ukendte sårbarheder og malware Målrettede angreb anvender unik malware Miljø til virtuel afvikling af mistænkelige filer Forskellige operativ systemer, programmer og versioner Opsamling af information om kommunikation så efterfølgende angreb kan genkendes Kontrol af alle kommunikationskanaler Web Mail Filer Blokering af mistænkelig kommunikation Rapportering Information om mistænkelig filer Information om inficerede maskiner
360 it-sikkerhed Dubex tilbyder: Analyse af behov Sikkerheds- og risikoanalyser Rådgivning og analyse af sikkerhedsløsninger Specifikation og design af sikkerhedsløsning og system Sikkerhedsløsninger Support, projekt- & konsulentydelser Overvågning Drift & vedligeholdelse Security as a Service
Konsulentbistand & projektledelse DUBEX PROJEKTFORLØB
Dubex & APT beskyttelse Hvilke ressourcer investerer Dubex i APT-beskyttelse? Løbende opfølgning på det aktuelle trusselsbillede Løbende research af sikkerhedsmarkedet Studier af Gartner rapporter, Forrester m.fl. Interne test og benchmarking af markedsførende løsninger Feedback fra vores kunder Brede kompetencer der dækker alle aspekter i forhold til APT beskyttelse Netværk, gateway, malware, sandbox, endpoint, patch, SIEM m.m. Træning af teknisk personale - deltagelse i produktkurser og særlig træning kombineret med 15 års erfaring med it-sikkerhed
Trend Micro Trend Micro Platinum Partner Dubex har arbejdet med Trend Micro siden 1999 Den største eller næststørste danske forhandler Cloud and Datacenter specialization Trend Micro xsp Service Provider Partner Trend Micro Endpoint and Mobility Security Specialist Den forhandler med størst kompetencer/flest certificeringer i Europa Trend Micro Certified Security Master (flere forskellige) Dubex er Danmarks største Trend Micro kompetencecenter Vores Trend Micro uddannede konsulenter besidder tilsammen over 30 tekniske Trend Micro certificeringer
Samarbejde Sådan kan et stærkt samarbejde begynde 1. Vi afstemmer behov, ønsker og udviklingsmuligheder på et indledende møde 2. Dubex løsningsspecialister tager udgangspunkt i specifikke behov 3. Gennemførelse af PoC der giver overblik og synlighed 4. Workshop med lederteamet i din virksomhed
TAK! For mere information kontakt jhe@dubex.dk