• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Evento Xenesys - Security Conference
 

Evento Xenesys - Security Conference

on

  • 658 views

Le ultime frontiere del cybercrime e le best practice per proteggersi dagli attacchi informatici: ne abbiamo parlato l'11 giugno a Firenze con esperti e docenti internazionali di sicurezza IT.

Le ultime frontiere del cybercrime e le best practice per proteggersi dagli attacchi informatici: ne abbiamo parlato l'11 giugno a Firenze con esperti e docenti internazionali di sicurezza IT.

Statistics

Views

Total Views
658
Views on SlideShare
388
Embed Views
270

Actions

Likes
0
Downloads
14
Comments
0

2 Embeds 270

http://www.xenesys.it 269
http://it.paperblog.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Evento Xenesys - Security Conference Evento Xenesys - Security Conference Presentation Transcript

    •      
    • Lo scenario è cambiato: ledimensioni del cybercrimeGianandrea Daverio | Security Expert di Xenesys
    • La «temperatura» del pianeta3
    • Le aree “sotto attacco”4
    • Il Cybercrime in Italia5
    • Il giro d’affari mondiale del cybercrime nel 2012supera i 100 miliardi di dollariIn Italia oltre 200 attacchi registrati verso enti,aziende e associazioniHacktivismo, sottrazione di denaro e spionaggio: leprincipali motivazioniIl Cybercrime in Italia6Fonte: rapporto Clusit sul cybercrime in Italia
    • February 26, 2012 June 5, 2011March 17, 2011June 1, 2011January 25, 2007February 08, 2000 January 25, 2007February 10, 2012 February 3, 2012November 8, 2012November 15, 2012June 21, 2012 October 11, 2009November 28, 2010Janueary 20, 212!!! HACKED !!!7I casi eclatanti
    • Le tecniche di attacco8
    • Phishing & Online FraudsATTACKER   USER  1 23459Un Attacker sfrutta le tecniche diattacco basate su SQL Injection perinserire un contenuto malevoloall’interno del sito targetUn utente legittimo accedenormalmente alla home page delsito attaccatoIl sito risponde alla richiestadell’utente e, in poche eimpercettibili frazioni di secondo,lo reindirizza verso un sitomalevolo con il medesimo «look &feel» del sito originale,appositamente predispostoL’utente, ignaro di operareall’interno del sito malevolo,inserisce le proprie credenzialiche vengono salvateL’Attacker, amministratore del sitomalevolo, raccoglie le credenzialiottenute illegalmente dagli ignariutenti del servizio sotto attacco12354
    • SQL Code InjectionATTACKER  USER  DB  html  response  h�p  requests  h�ps://sito.it/disponibilita.php?itemid=2  union  all  select  customer.username,customer.password,3,4,5  h�ps://sito.it/disponibilita.php?itemid=2  1210Un utente del servizio effettua una richiesta regolare per verificare la disponibilità di uno deglioggetti presenti nel catalogo proposto dal sito.Un Attacker altera con ulteriori istruzioni SQL la richiesta regolare richiedendo la disponibilitàdi uno degli oggetti presenti nel catalogo proposto dal sito, ma anche l’elenco delle utenze edelle password, ottenendo in questo modo accesso ai privilegi di utenti autorizzati eamministratori del sistema.  12
    • Denial of Service11§  All’interno del mercato illegale un«Attacker» può «noleggiare» leinfrastrutture necessarieall’esecuzione di attacchi mirati,dai siti di Command & Control conBotnet di migliaia di computer ai sitiche mettono a disposizione i codicidegli «exploit» necessariall’esecuzione dell’attacco§  Migliaia di computer «dormienti»appartenenti a utenti inconsapevolieffettuano contemporaneamenteattività – lecite e non - neiconfronti del siti o delle reti«target» dell’ «Attacker»§  Sottoposto a tale quantità ditraffico, le risorse di sistema, direte e di connettività vengonoportate a esaurimento con uneffetto di Denial of ServiceATTACKER  C&C  SITE  1  C&C  SITE  2  C&C  SITE  3  EXPLOIT  DB  TARGET  SITE  ZOMBIE  NET  $$$  
    • Advanced Persistent ThreatsATTACKER   USER  1 23412Un Attacker sfrutta le tecniche diattacco basate su SQL Injectionper inserire un contenutomalevolo all’interno del sito targetUn utente legittimo accedenormalmente alla home page delsito attaccatoIl sito risponde alla richiestadell’utente trasmettendo la paginaweb richiesta e i relativi oggetti,compreso il codice malevoloiniettato dall’Attacker che siinstallata a bordo del computerremotoL’Attacker sfrutta il codicemalevolo installato sul sistemadell’utente per ottenere accessonon autorizzato a dati,applicazioni e per inviare comandial sistema infetto e utilizzarlo perpropagare codice malevoloall’interno della rete locale1234
    • Malicious AppsATTACKER  123USERS  4513L’Attacker preleva una applicazione(tipicamente un gioco) da un App Storeufficiale (es. Google Play)L’Attacker ripacchettizza l’applicazioneincludendo un codice malevolo checonsente il controllo remoto delle attivitàsvolte dal dispositivoL’Attacker pubblica l’applicazione su AppStore alternativi di terze parti, che spessoeffettuano un controllo meno capillaredelle app prima di pubblicarleL’Attacker pubblicizza la nuova Apptramite «spam» attraverso canali qualiposta elettronica, siti web e social mediaL’utente che preleva la nuovaapplicazione dal App Store alternativo stain realtà installando oltreall’applicazione anche il codice malevoloche trasmetterà periodicamenteinformazioni all’Attacker12345
    • Mobile Exploitsh�p://xenesys.badsite.hk  14§  All’interno dei siti Mobile (attraversol’utilizzo di tecniche di SQL Injectionper ottenere accesso amministrativonon autorizzato al sistema)§  All’interno di banner promozionaliappositamente creati e diffusi in rete§  Addirittura sulle locandinepubblicitarie in metropolitanavengono sostituiti i QR Code originalicon codici contraffatti cheindirizzano l’ignaro utente a sitialternativi indirizzati alladistribuzione di codice malevolo oalla cattura delle credenziali degliutenti
    • Approfondimento“I  am  a  Lecturer  in  the  School  of  Computer  Science  at  the  University  of  Birmingham,  UK.  I  completed  my  Ph.D.  degree  in  Computer  Science  at  the  University  of  California,  Santa  Barbara”    “My  research  interests  include  most  aspects  of  computer  security,  with  an  emphasis  on  web  security,  vulnerability  analysis,  electronic  vo�ng  security,  and  intrusion  detec�on”  Le  nuove  fron�ere  del  Malware  e  dei  sistemi  di  difesa  15
    • Lastline16
    • Radware17
    • Blue Coat18
    • RSA|EMC19
    • Malware  Oggi:  Le  Nuove  Fron�ere  del  Malware  e  dei  Sistemi  di  Difesa  Marco  Cova  
    • ©  Copyright  –  Lastline,  Inc.  Tu�  i  diri�  riserva�        Ogni  diri�o  sui  contenu�  della  presentazione  è  riservato  ai  sensi  della  norma�va  vigente.  La  riproduzione,  la  pubblicazione  e  la  distribuzione,  totale   o   parziale,   di   tu�o   il   materiale   originale   contenuto   in   questa  presentazione  (tra  cui,  a  �tolo  esemplifica�vo  e  non  esaus�vo,  i  tes�,    le   immagini,   le   elaborazioni   grafiche)   sono   espressamente   vietate   in  assenza  di  autorizzazione  scri�a.  Copyright  
    • Marco  Cova                      Interessi  di  ricerca:  rilevamento  e  analisi  di  malware,  sicurezza  web  e  analisi  delle  vulnerabilità    Ha  pubblicato  oltre  25  lavori  sul  tema  della  computer  security  in  conferenze  e  riviste  internazionali    m.cova@cs.bham.ac.uk                                                marco@lastline.com  Docente  presso  la  School  of  Computer  Science,  Università  di  Birmingham,  UK.  Membro  fondatore  di  Lastline,  Inc.  
    • Targeted  A�acks  e  Cyberwar  !!!  Tempo  Danni  genera�  in  €    Milioni  Cen�naia  di  migliaia  Migliaia  Cen�naia  Miliardi  Cybercrime  $$$  Cybervandalism  #@!  Cybera�ack  (R)Evolu�on  
    • A�acchi  ai  Media  
    • A�acchi  a  Fornitori  per  la  Difesa  
    • A�acchi  a  Security  Companies  
    • A�acchi  a  Compagnie  di  Manufacturing    
    • A�acchi  ai  Singoli  Individui  
    • GLI  ATTACCANTI  
    • C’era  una  volta..    h�p://www.ted.com/talks/mikko_hypponen_figh�ng_viruses_defending_the_net.html  
    • Oggi    Proliferazione  del  cybercrime  per  profi�o  finanziario  –  ZeuS    A�acchi  mira�  (“targeted  a�acks”)  –  Aurora  (Google  e  altri)    –  RSA  SecureID    Sviluppo  della  cyber  warfare  –  Stuxnet  –  Flame  “Rubare  qualsiasi  informazione  abbia  valore”  
    • A�acchi,  Exploit  e  Botnet  Fase  1.  Infe�are  la  vi�ma  con  malware    Usare  un  exploit  (codice)  che  sfru�a  una  vulnerabilità  nota  (se  l’utente  non  ha  tu�  gli  ul�mi    aggiornamen�  sul  sistema)    Lanciare  uno  “zero-­‐day  exploit,”  che  sfru�a  una  vulnerabilità  non  nota  al  momento  dell’a�acco    Lanciare  un  a�acco  di  social  engineering  
    • A�acchi,  Exploit  e  Botnet  Fase  2.  Far  filtrare  all’’esterno  da�  sensibili    La  macchina  dell’utente  è  adesso  un  “bot”,  completamente  so�o  il  controllo  dell’a�accante      Il  malware  raccoglie  da�  “interessan�”  e  li  manda  al  server  di  “Command  &  Control”  (C&C)  Numeri  di  carte  di  credito  Nomi  utente  e  password  Documen�  sensibili  
    • A�acchi,  Exploit  e  Botnet  Fase  3.  Ricevere  istruzioni  dal      botmaster    Cominciare  ad  inviare    spam    Lanciare  un  a�acco  di  denial  of  service    Cancellare  tu�  i  file  sul  disco      …  Istruzioni  di  a�acco  
    • Trovare  gli  A�accan�:  Una  Volta  
    • Trovare  gli  A�accan�:  Oggi  h�p://intelreport.mandiant.com/Mandiant_APT1_Report.pdf  
    • GLI  ATTACCHI  
    • Capire  gli  A�acchi    Mol�  ve�ori  diversi,  ta�che,  e  specifici  trucchi    Due  domande  fondamentali  da  tenere  in  mente:  – Come  entrano  gli  a�accan�?  – Come  raccolgono  e  portano  fuori  le  informazioni  di  valore?  
    • A�acchi  Drive-­‐by-­‐download    Gli  a�accan�  preparano  un  sito  web  malevolo  e  vi  a�rano  traffico    Quando  un  utente  visita  il  sito  web,  riceve  pagine  che  contengono  codice  malevolo  (�picamente  codice  JavaScript)    Il  codice  malevolo  prova  a  lanciare  degli  exploit  contro  il  browser  o  i  suoi  plugin.    Se  ha  successo,  l’a�accante  può  eseguire  del  codice  di  suo  piacimento  sulla  macchina  della  vi�ma  (�picamente,  inizia  il  download  e  l’installazione  di  malware)  
    • A�acchi  Drive-­‐by-­‐download  .jsdocument.writeln(unescape(”%3c%49%46%52%41%4d%45%20%6e%61%6d%65%3d%63%38%33%33%36%35%65%35%64%37%61%61%20%73%72%63%3d%27%”);ca�vo.js  GET  /  <iframe>  
    • Codice  Malevolo  
    • Exploit  
    • A�rare  le  Vi�me:  Social  Engineering  
    • A�rare  le  Vi�me:  SEO    h�p://cseweb.ucsd.edu/users/voelker/pubs/juice-­‐ndss13.pdf  h�p://faculty.cs.tamu.edu/guofei/paper/PoisonAmplifier-­‐RAID12.pdf  
    • A�rare  le  Vi�me:  A�acco  Watering  Hole    A  volte  è  difficile  colpire  l’obie�vo  di  un  a�acco  dire�amente  –  Una  alterna�va  è  comprome�ere  un  sito  terzo  che  si  ipo�zza  venga  visitato              dall’obie�vo    Council  on  foreign  rela�ons    →  Ufficiali  governa�vi      Si�  di  news  cinesi  non  allinea�  al  regime    →  Dissiden�  cinesi    Sito  di  sviluppo  per  iPhone    →  Sviluppatori  di  Apple,  Facebook,  Twi�er,  etc.    Sito  web  della  rivista  Na�on  Journal    →  Poli�ci  di  Washington  
    • A�rare  le  Vi�me:  Spear  Phishing  From:  abudhabi@mofa.gov.sy  To:  tehran@mofa.gov.sy  Date:  Monday  February  6,  2012  05:51:24  A�achment:  23  �rcs.pdf    ‫ﺍاﻝلﺭرﻡمﻭوﺯز‬ ‫ﻡمﻙكﺕتﺏب‬ ‫ﻑفﻱي‬ ‫ﺍاﻝلﺯزﻡمﻝلﺍاء‬ ‫  ﺍاﻝلﺱسﺍاﺩدﺓة‬  23  ‫ﻡم‬‫ﺭرﻕق‬ ‫ﺍاﻝلﺥخﺍاﺹصﺓة‬ ‫ﺍاﻝلﺏبﺭرﻕقﻱيﺓة‬ ‫ﺍاﺱسﺕتﻝلﺍاﻡم‬ ‫ﻉعﻥن‬ ‫ﺍاﻉعﻝلﺍاﻡمﻥنﺍا‬ ‫ﻱيﺭرﺝجﻯى‬  ‫ﺭر‬‫ﺍاﻝلﺵشﻙك‬ ‫ﻡمﻉع‬  ‫ﻱي‬‫ﻅظﺏب‬ ‫  ﺃأﺏبﻭو‬/  ‫ﺓة‬‫ﺍاﻝلﺱسﻑفﺍاﺭر‬-­‐-­‐-­‐-­‐  Msg  sent  via  @Mail  -­‐  h�p://atmail.com/  Colleghi  dell’ufficio  codici,    Per  cortesia,  confermate  la  ricezione  del  telegramma  No.  23  che  trovate  in  allegato    Grazie,  Ambasciata  /  Abu  Dhabi  
    • Dopo  l’Infezione  Case  Study  di  una  Botnet  h�p://cs.bham.ac.uk/~covam/data/papers/ccs09_torpig.pdf  
    • Hijacking  di  una  Botnet    Abbiamo  analizzato  il  Domain  Genera�on  Algorithm    (DGA)  usato  in  Torpig  ed  il  protocollo  usato  dal  Command  &  Control    –  I  domini  genera�  dal  25/1/2009  al  15/2/2009  non  erano  registra�  –  Li  abbiamo  quindi  registra�  noi    Di  conseguenza,  abbiamo  preso  controllo  della  botnet  per  10  giorni  –  Visibilità  unica  del  comportamento  della  botnet  –  8.7  GB  di  log  di  Apache  –  69  GB  di  traffico  di  rete  ca�urato  contenente  le  informazioni  rubate  
    • Dimensione  di  una  Botnet    S�ma  del  numero  delle  infezioni  –  Talvolta  basata  sul  numero  di  indirizzi  IP  univoci  –  Problema�ca:  effe�  del  DHCP  e  del  NAT  (vediamo  1.2M  di  IP  unici)    –  Il  nostro  conteggio  si  basa  sulle  informazione  nell’header:  vis�  circa  ~180K  hosts  
    • Minacce    Credenziali  per  8310  account  univoci  su  410  is�tuzioni  finanziarie  –  Top  5:      PayPal  (1770),  Poste  Italiane,  Capital  One,  E*Trade,  Chase  –  38%  delle  credenziali  rubate  dai  password  manager  dei  browser    1660  carte  di  credito  –  Top  3:  Visa  (1056),  Mastercard,  American  Express,  Maestro,  Discover  –  US  (49%),  Italy  (12%),  Spain  (8%)    –  Tipicamente  una  carta  di  credito  per  ciascuna  vi�ma,  ma  ci  sono  eccezioni…    
    • 32  Valore  delle  Informazioni  Finanziarie    Symantec  [2008]  s�ma  –  Valore  di  una  carta  di  credito  tra  $.10  e  $25.00  –  Valore  di  un  account  bancario    tra  $10.00  e  $1,000.00    Secondo  le  s�me  di  Symantec,  10  giorni    di  da�  raccol�  da    Torpig  “valgono”  tra  gli  83  mila  e  gli    8.3  milioni  di  dollari    020040060080010001200140001-21 01-23 01-25 01-27 01-29 01-31 02-02 02-04 02-06101001000100001000001e+061e+07Newbankaccountsandcreditcards(#)Value($)DateNew bank accounts and credit cardsMax valueMin value
    • Banking  Trojans  h�p://edetools.blogspot.it/2012/01/phishing-­‐unicredit-­‐11-­‐gennaio.html  
    • Bypassare  mTAN  –    a  la  Eurograbber  https://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
    • 35  Costo  per  le  Vi�me  (Oltre  al  Danno)    Ponemon  Ins�tute  -­‐  s�ma  2011  –     Costo  di  ogni  record  perduto    78  €  in  Italia  (h�p://www.ponemon.org/local/upload/file/2011_IT_CODB_Final_5.pdf)    194  $  in  US  (h�p://www.ponemon.org/local/upload/file/2011_US_CODB_FINAL_5.pdf)  
    • LA  DIFESA  
    • In  un  Mondo  Ideale  Codice  Sicuro    Il  So�ware  che  usiamo  non  con�ene  vulnerabilità    Le  vulnerabilità  sono  mi�gate  applicando  principi  di  sicurezza  e  corre�a  ingegnerizzazione  (minimi  privilegi,  contenimento,  etc.)  Sfortunatamente,  a�ualmente  ci  sono  pochissimi  “programmi  sicuri”  e  spesso  in  se�ori  specializza�  (regolamentazione  vs.  innovazione)  Sensibilizzazione  dell’utente    Gli  uten�  sono  consci  delle  minacce  alla  sicurezza  a  cui  si  espongono      Prendono  sempre  la  “giusta”  decisione  Sfortunatamente,  esperimen�  dimostrano  che  gli  uten�  non  sono  assolutamente  accor�  nel  prendere  decisioni  legate  alla  sicurezza  (social  engineering  vs.  usabilità)  
    • Soluzioni  Legali  h�p://www.zdnet.com/blog/bo�/who-­‐killed-­‐the-­‐fake-­‐an�virus-­‐business/3832  Le  autorità  russe  arrestano  il  cofondatore  di    ChronoPay,  il  più  grande  provider  di  pagamen�  online  
    • Soluzioni  di  Buon  Senso    Mantenere  il  so�ware  aggiornato    Sfortunatamente,  inu�le  contro  gli  a�acchi  0-­‐day  
    • Soluzioni  di  Buon  Senso    Non  aprire  link/allega�  da  fon�  sconosciute    Sfortunatamente,  inu�le  contro  a�acchi    social/targeted  
    • Soluzioni  di  Buon  Senso    Limitare  l’accesso  web  a  si�  fida�  o  con  buona  reputazione    Sfortunatamente,  inu�le  contro  a�acchi  “waterhole”  e  si�  web  compromessi  
    •   Accesso  ai  servizi  sensibili  (e.g.,  online  banking)  da  macchine  dedicate    Sfortunatamente,  poco  pra�co  Soluzioni  di  Buon  Senso  
    • Le    Soluzioni  A�uali  non  Sono  Adeguate    
    • Cara�eris�che  del  Malware  Avanzato    Evasione  “sta�ca”:  offuscazione  e  poliformismo  Fonte:  Binary-­‐Code    Obfusca�ons  in  Prevalent  Packer  Tools,  Tech  Report,  University  of  Wisconsin,  2012  Number  of  �mes  a  hash  is  seen  >  93%  dei  campioni  malware  sono  unici  Immuni  agli  an�virus    signature-­‐based  
    • Cara�eris�che  del  Malware  Avanzato    Evasione  a  run-­‐�me  –  controlli  sull’ambiente  d’esecuzione  Invisibile  alle  sandbox  e  alle    virtual  machines  
    • Cara�eris�che  del  Malware  Avanzato      Evasione  a  run-­‐�me  –  stalling  loops  Invisibile  alle  sandbox  e    alle  virtual  machines  
    • Idee  per  una  Miglior  Difesa    Analisi  degli  artefa�  in  entrata  nella  rete  –  Web  download,  allega�  email    Analisi  del  traffico  in  uscita  –  Dove  è  dire�o?  Cosa  esce?  Come  è  inviato?    Mappatura  dell’infrastru�ura  malware  a  livello  globale    Mappatura  delle  cara�eris�che  locali  per  individuare  anomalie  e  pa�ern  sospe�    Techniche  di  analisi  di  nuova  generazione  contro  il  malware  evasivo  
    • Lezioni  Imparate    Gli  a�acchi  sono  sempre  più  di  �po  mirato    “Gli  a�accan�  non  puntano  al  firewall.  Puntano  agli  individui”    Gli  a�accan�  sono  tenaci  e  pazien�    Necessario  un  approccio  di  difesa  che  preveda  un  monitoraggio  costante    Gli  a�accan�  sviluppano    tool  ad  hoc  e  a�accano  dopo  che  hanno  o�enuto  l’accesso  al  target    Una  visione  globale  è  ancora  importante,  ma…    È  fondamentale  la  costruzione  di  difese  specifiche,  in  base  alle  cara�eris�che  ed  alle  a�vità  del  target    Malware  Evasivi    Necessari  strumen�  di  prossima  generazione  
    • DOMANDE?    marco@lastline.com  
    • Security  Conference  Xenesys    Firenze  11  Giugno  2013    Davide  Carlesi  Lastline,  Inc.  -­‐  Country  Manager  Italia,  Grecia,  Cipro  e  Malta    carlesi@lastline.com  –  335.82.64.362  Protection Against Advanced Malware
    • Copyright  ©  Copyright  –  Lastline,  Inc.  Tu�  i  diri�  riserva�        Ogni  diri�o  sui  contenu�  della  presentazione  è  riservato  ai  sensi  della  norma�va  vigente.  La  riproduzione,  la  pubblicazione  e  la  distribuzione,  totale   o   parziale,   di   tu�o   il   materiale   originale   contenuto   in   questa  presentazione  (tra  cui,  a  �tolo  esemplifica�vo  e  non  esaus�vo,  i  tes�,    le   immagini,   le   elaborazioni   grafiche)   sono   espressamente   vietate   in  assenza  di  autorizzazione  scri�a.  
    • “The  Problem”  Simple ThreatsOpportunisticAttacksAAPPTTSSoolluuttiioonnssAAnnttiivviirruussSSoolluuttiioonnssCurrent solutions fail to protectorganizations from sophisticated,targeted attacks.SSeeccuurriittyy GGaappTargetedAttacksPackingSophisticated ThreatsPlainVirusPoly-morphicC&CFluxingPersistentThreatsEvasiveThreats
    • Queste  cose  succedono  agli  altri…  
    • “The  Solu�on”  Protection Against Advanced Malware
    • Presentazione  Azienda  La  soluzione  più  avanzata  per  rilevare,  analizzare  e  mi�gare  APTs,  a�acchi  mira�  (targeted  a�acks),  e  0-­‐day  threats    Fondata    da    un      team    di    ricercatori  della  Università    di      California      Santa  Barbara  (UCSB),  Technical  University  di  Vienna,  e  Northeastern  University  –  Accademici  di  fama  mondiale  –  Tecnologia  basata  su  oltre  8  anni  di  ricerca  su  APT  e  minacce  avanzate  –  Lo  stesso  team  che  ha  sviluppato  Anubis  &  Wepawet  
    • Accademici  di  fama  mondiale  L’h-­‐index  è  una  metrica  che  misura  sia  la  produ�vità  che  l’impa�o  delle  pubblicazioni  effe�uate  da  un  ricercatore.  Christopher  Kruegel  (CSO  Lastline)  è  il  più  prolifico  ricercatore  degli  ul�mi  10  anni  per  l’ambito  di  Security  and  Privacy.  Giovanni  Vigna  (CTO)  occupa  la  posizone  12  e  Engin  Kirda  (Chief  Architect)  il  numero  28  all’interno  della  stessa  graduatoria.  
    • Leadership  Tecnologica  
    • Anubis  /  Wepawet    Anubis  =  Malware  sandbox    h�p://anubis.cs.ucsb.edu    Wepawet  =  Drive-­‐by  exploit  detector    h�p://wepawet.cs.ucsb.edu    Strumen�  “Open  Universitari”  u�lizza�  ogni  giorno  da  decine   di   migliaia   di   uten�   (incluse   società  appartenen�  alle  Fortune  500,  is�tuzioni  pubbliche  e  governa�ve,  aziende  appartenen�  al  mercato  finance,  e  vendor/produ�ori  di  soluzioni  di  sicurezza)  
    • Lastline  :  Misure  contro  gli  Advanced  Malware    Analisi  degli  artefa�  in  ingresso  (cosa  entra)  – Web  downloads  e  allega�  eMail  (Windows  PE,  MS/Open  Office,  PDF,  Flash,  archivi  Zip,  Java  e  Apk)    Analisi  e  blocco  del  traffico  in  uscita  (cosa  esce)  – Traffico  DNS,  traffico  web  (e  tu�o  il  TCP)    Cosa  esce    Dove  va  (anche  se  cifrato)    Come  viene  inviato      Uso  della  correlazione  per  presentare  un  quadro  completo  al  system  administrator    Iden�ficazione  dei  client  infe�  
    • Componen�  tecnologiche  Lastline  Ac�ve  threat  discovery  per  iden�ficare  i  si�  &  endpoint  malevoli  con  la  massima  ampiezza  e  completezza  di  visione  possibile  Strumen�  di  analisi  malware  ad  alta  risoluzione,  in  grado  di  capire  il  comportamento    del  malware  senza  cadere  nelle  tecniche  di  evasione  Analisi  big  data  del  traffico  di  rete,  per  iden�ficare  le  anomalie  ed  i  pa�ern  di  da�  sospe�  scambia�  come  traffico  interno  
    •    Analisi  del  malware  ad  elevata  risoluzione  Monitoraggio  del  traffico  (DNS  e  Ne�low)  Discovery  Proa�vo  delle  Minacce  Emulazione   del   codice  macchina  del  malware  Monitoraggio   passivo  del  traffico  DNS  e  analisi  de i   flussi   Ne�low  ““arricchi�””  B r o w s e r   s i n t e � c i  scansionano   Internet  alla   scoperta   delle  minacce  emergen�  Lastline   consente   di  rilevare   malware   con  elevate  capacità  di  evadere  le  tecnologie  tradizionali  Lastline   Consente   di  rilevare   in   modo   euris�co  domini   di   comando   e  controllo   sconosciu�   o  dinamici  (Fast-­‐Flux/DGA)  Lastline   consente   di  rilevare   le   minacce   prima  che   queste   si   diffondano.  Le   altre   tecnologie   hanno  un  approccio  «rea�vo».  Correla�on  &  Incident  Management  Overview  Tecnologico  
    • High  Resolu�on  Malware  Analysis    Dynamic  analysis  in  Lastline  Next  Genera�on  Sandbox  –  runs  binaries,  accesses  web  pages,  opens  documents  –  monitors  and  classifies  observed  behaviors  (ac�vi�es)      Code  emula�on  instead  of  virtual  machine  (VM)  or  bare  metal  –  we  can  see  every  instruc�on  that  malware  executes,    not  just  the  opera�ng  system  calls  that  it  invokes  –  in  other  words,  we  can  look  inside  the  malware  execu�on  –  provides  vastly  increased  visibility  
    • Lastline  High-­‐Resolu�on  Malware  Analysis  Visibility  without  code  emula�on  (tradi�onal  sandboxing  technology)  Important behaviors andevasion happens hereVisibility  with  code  emula�on  Lastline  technology    Engine sees every instruction that the malware executes
    • High  Resolu�on  Malware  Analysis  Lastline  -­‐  Importance  of  increased  visibility      More  behaviors  can  be  revealed  –  data  flows  and  data  leakage  –  malware  checks  for  specific  keywords  (targeted  a�ack  behavior)  –  automated  detec�on  of  command  and  control  (C&C)  connec�ons    Strong  resistance  to  evasion  –  bypass  triggers  –  accelerate  stalling  code  
    • Lastline  0-­‐day  Detec�on  Capabili�es  Opera�on  Aurora      Targeted  a�ack  that  compromised  Google  and  other  US  companies    Used  0-­‐day  exploit  against  Internet  Explorer  6  Our  system  successfully  analyzed  the  a�ack  before  it  became  public    
    • Lastline  Ac�ve  Threat  Discovery    Iden�fica�on  of  threats  and  automated  genera�on  of  detec�on  models  before  customer  is  exposed    Cloud-­‐based  crawling  and  analysis  engines  –  comprehensive  coverage  for  both  malware  threats  and  distribu�on    vectors  (drive-­‐by  exploits)  –  precise  models  through  aggressive  cleaning  of  data  (to  avoid  false  posi�ves)  I get stuff from my customers, but Iam blind related to data from non-customers, so [Lastline] data is greatto complement mine  -­‐  An�virus  Vendor  I like the data. Everything Ilooked at was very likely aninfection point … 57% were newinfected domains.-­‐  UTM  Vendor  
    • Lastline  Ac�ve  Threat  Discovery    Comprehensive  coverage  –  we  use  a  broad  range  of  input  vectors  –  we  ac�vely  search  the  web  for  drive-­‐by  download  exploits    and  download  the  distributed  malware  –  we  perform  targeted  web  crawling  and  search  for  bad    neighborhoods  on  the  Internet    Precise  models  –  check  reputa�on  of  des�na�ons  of  suspicious  connec�ons  –  con�nuously  monitor  up�me  of  malicious  loca�ons    
    • Lastline  Enterprise  Traffic  Monitoring    Checking  for  anomalous  network  traffic  that  reveals  presence  of  malware-­‐infected  machines    Analysis  of  (passive)  DNS  and  NetFlow  data  to  detect  –  use  of  domain  name  genera�on  algorithms  –  IP  fast-­‐flux  ac�vity  –  suspicious,  periodic  (command  and  control)  traffic      Advanced  Internal  Enterprise  Traffic  Monitoring  Features  for  Advanced  Targeted  A�ack  –  specific  a�acks  evade  the  An�-­‐APT  Solu�ons    
    • Soluzioni  di  Advanced  Malware  Defence    PREVICT™  Web  -­‐  Hosted  –  Next  Genera�on  Advanced  Malware  Protec�on  (Web  &  Binary  Analysis)    PREVICT™  Mail    -­‐  Hosted  –  Next  Genera�on  Advanced  E-­‐Mail  Malware  Protec�on  (Binary  &  URL  Analysis)    PREVICT™  Web  &  Mail  -­‐  On  Premise  –  Lastline  Customer’s  Private    Cloud    PREVICT™  Analyst  PRO  –  Next  Genera�on  Sandbox  (Binary/DOCS  &  URL  Analysis)  via  Web  Interface    GUARDIA™    –  Web  Malware  Scanning  &  Protec�on  Cloud  Service  
    • Soluzione  Lastline  -­‐  Hosted  Sen�nel  fa  uno  scan  del    traffico  alla  ricerca  di  segni  ed  anomalie  che  rivelano  connessioni  di  C&C  ed  infezioni  Lastline  proa�vamente  fa  scou�ng  su  Internet  alla  ricerca  di  minacce  e  genera  update  per  la  base  di  conoscenza  del  Sen�nel   Il  Manager  riceve  e  correla  gli    alert  e  produce  informazioni  per  sucessive  azioni  Il  Sen�nel  invia    gli  artefa�    sconosciu�    (programmi  e  documen�)  per  l’analisi      ad  alta  risoluzione  
    • Soluzione  Lastline  -­‐  On  Premise  Lastline  proa�vamente  fa  scou�ng  su  Internet  alla  ricerca  di  minacce  e  genera  updates  per  la  base  di  conoscenza  del  Sen�nel  Il  Sen�nel  invia    gli  artefa�    sconosciu�    (programmi  e  documen�)  per  l’analisi      ad  alta  risoluzione  Il  Manager  riceve  e  correla  gli    alerts  e  produce  informazioni  per  sucessive  azioni  Sen�nel  fa  uno  scan  del    traffico  alla  ricerca  di  segni  ed  anomalie  che  rivelano  connessioni  di  C&C  ed  infezioni  
    • Corrella�on  &  Incident  Management  
    • C&C  Site  Exploit  Site  Lastline  Hosted  Infrastructure  Heterogeneous  Clients  and    Mobile  Devices  External  DNS  Internal  DNS  M a n a g e m e n t  Interface   used   to  get   updates   and  send   the   logs   to  the  cloud  SPAN/Mirror   Port  listens  to  traffic  and  DNS   queries   from  clients  Deployment  Scenario  –  Porte  Span  
    • C&C  Site  Exploit  Site  Lastline  Hosted  Infrastructure  Heterogeneous  Clients  and    Mobile  Devices  External  DNS  Internal  DNS  Management   Interface  used   to   get   updates  and   send   the   logs   to  the  cloud  Deployment  Scenario  -­‐  Inline  
    • Deployment  Scenario  -­‐  Proxy  C&C  Site  Exploit  Site  Lastline  Hosted  Infrastructure  DMZ  Firewall  Heterogeneous  Clients  and    Mobile  Devices  External  DNS  Internal  DNS  Web  Proxy  SPAN/Mirror   Port   listens   to  internal   traffic   and   DNS  queries  from  clients  SPAN/Mirror   Port   listens   to  Outgoing  traffic  from  Proxy    and  DNS  queries  
    • M a n a g e m e n t  Interface   used   to  get   updates   and  send   the   logs   to  the  cloud  C&C  Site  Exploit  Site  Lastline  Hosted  Infrastructure  Heterogeneous  Clients  and    Mobile  Devices  External  DNS  Email  Server  The   Mail   Server/Mail  R el a y   m u s t   b e  configured   so   that   the  incoming   emails   that  must   be   analyzed   are  BCC’ed   to   a   Service  Mailbox  PREVICT™  Mail  -­‐  Deployment  Scenario  The   Previct   Sen�nel   is  configured   to   poll   the  service   mailbox   via    IMAP   or   POP3   and   to  download  the  email  via  a n   e n c r y p t e d  connec�on.  The  emai  is  sent  to  the  cloud  to  be  analyzed  1  2  The  same  sensor  is  able  to  scan  inbound  h�p  and  email  traffic  (provided  the  needed  license  is  purchased).  The  load  of  the  email  scan  can  be  shared  among  different  sensors.  POP3  or  IMAP  Email  a�achments  are  sent  to  the  cloud  (Hosted  or  On-­‐Premise  –  do�ed  line)  to  be  analyzed  Customer  On-­‐Premise  Infrastructure  
    • Previct  Analyst  Previct  Manager  Previct  Sen�nel  Previct  Sen�nel   Lastline  Hosted  Solu�on  PREVICT™  Analyst  Deployment  Scenario  Ac�ve  Threat  Intelligence  Alerts  &  Ar�facts  Customer    On-­‐Premise  Solu�on  
    • Guardia  ™  :  Web  Malware  Scanning  &  Protec�on  Cloud  Service    
    • Considerazioni  Rela�ve  alla  Privacy  •  Il   sensore   Lastline   PREVICT™   Sen�nel   monitorizza   il   traffico   di   rete   per   rilevare   e  bloccare  tenta�vi  di  a�acco  contro  endpoint  interni  allorganizzazione.    •  Per  la  massima  accuratezza,  il  sensore  invia  al  Data  Center  alcune  informazioni  rela�ve  al  traffico  malevolo  rilevato.  Le  informazioni  inviate  non  hanno  impa�o  su  privacy  e  profilatura  uten�.        •  In  de�aglio  le  informazioni  inviate  al  backend  in  modalità  cifrata  sono  le  seguen�:  -­‐  Informazioni  rela�ve  agli  allarmi  -­‐  I  nomi  dei  domini  risol�  -­‐  Il  contenuto  delle  connessioni  malevole:  Una  parte  del  contenuto  delle  connessioni  malevole  viene  inviato  per  verificare  la  consistenza  e  l’impa�o  dellallarme  -­‐  Programmi  eseguibili  e  documen�  scarica�  da  Internet:  Gli  eseguibili  scarica�  da  Internet          (e  quindi  pubblici)  sono  analizza�  all’interno  della  Sandbox  evoluta  di  Lastline  -­‐  Allega�  Email:  Gli  allega�  sono  analizza�  all’interno  della  sandbox  da  processi  automa�ci  ed  elimina�  una  volta  analizza�  Tu�  i  documen�  sono  elimina�  una  volta  analizza�  
    • Malware  (R)evolu�on  Minacce sempliciAttacchiopportunisticiSoluzioni  APT  Soluzioni  An�virus  AttacchiTargetedPacking  Minacce sofisticatePlain    Virus  Poly-­‐  morphic  C&C  Fluxing  Persistent  Threats  Evasive  Threats  
    • Lezioni  Imparate    Gli  a�acchi  sono  sempre  più  di  �po  mirato    “Gli  a�accan�  non  puntano  alle  difese  perimetrali.  Puntano  agli  individui”    Gli  a�accan�  sono  tenaci  e  pazien�    Necessario  un  approccio  di  difesa  che  preveda  un  monitoraggio  costante  ed  evoluto,  in  grado  di  correlare  le  informazioni  a�raverso  Big  Data  Analysis    Gli  a�accan�  sviluppano  tool  ad  hoc  e  a�accano  dopo  che  hanno  o�enuto  l’accesso  al  target    Una  visione  globale  è  ancora  importante,  ma…    È  fondamentale  la  costruzione  di  difese  specifiche,  in  base  alle  cara�eris�che  ed  alle  a�vità  del  target    Malware  Evasivi    Necessari  strumen�  di  prossima  generazione    Lastline  è  la  soluzione  più  completa  e  flessibile  
    • GRAZIE    DOMANDE?      carlesi@lastline.com  
    • Slide 1
    • Over 10,000 CustomersGlobal Technology PartnersCompany GrowthRecognized Security Vendor5  14  38   43   44  55  68  78   81  89  95  109  144  167  189  1998  1999  2000  2001  2002  2003  2004  2005  2006  2007  2008  2009  2010  2011  2012  2
    • Financial Services Retail ServicesGovernment, Healthcare & Education Carrier & Technology Services3
    • Information Security Triangle4
    • �   Set of patented technologies designed to detect and mitigate today’savailability based threats�   Deployed on-premise, in the cloud and hybrid�   AMS mission is to provide the industry’s best solution for DDoS attacks�   Detect where we can, mitigate where we should5
    • 6NBA Prevent applicationresource misuse Prevent zero-minutemalware spreadDoS Protection Prevent all type ofnetwork DDoS attacksIPS Prevent applicationvulnerability exploitsWAF Mitigating Webapplication attacks PCI complianceReputationEngine Financial fraudprotection Anti Trojan & Phishing
    • 7Detect    Patented  behavioral  detec�on    Network  floods    Applica�on  a�acks:  SSL,  HTTP  GET  /  POST,  Low  &  Slow      Intrusions    Web  applica�on  threats:  SQL  injec�ons,  XSS  Mi�gate    Immediate,  Automa�c,  no  need  to  divert  traffic    Generates  real-­‐�me  signature      Dis�nguish  between  a�ackers  and  legi�mate  users    Best  quality  of  experience  even  under  a�ack    Powerful  using  dedicated  hardware  up  to  25M  PPS  Report    Real  �me  correlated  report    Historical  reports    Forensics    Trend  analysis    compliance  
    • �   24x7 Service to customers under attack�   Neutralize attacks and malware outbreaks�   Release ERT Threats Alerts�   Research Lab diagnoses all known attack tools�   Provides weekly and emergency signature updates8
    • AppWallü  Appliance & VAü  Web Application Firewall (WAF)DefenseProü OnDemand throughput scalability 200Mbps –40Gbpsü Anti-DoS, NBA, IPS, Rep. EngineAPSolute Visionü  Appliance & VAü  Security Event Management (SEM)9
    • �   On-premise AMS is the best solution for attack mitigation–  Widest security coverage  SSL based attacks, Application level attacks, Low & slow attacks, Network floodattacks, Known vulnerabilities, Egress traffic attacks–  Mitigation starts immediately and automatically–  No need to divert traffic–  Detailed real-time and forensic reports�   However, 15% of DDoS attacks that are handled by ERT saturate theInternet pipe�   Internet pipe saturation protection must be offered from the Cloud�   Hybrid solution is required to fight today’s threats10
    • �   DefensePipe is a Cloud based service that protectsorganizations against Internet pipe saturation�   DefensePipe is a Cloud extension of DefensePro and itcomplements the on-premise DefensePro capabilities�   DefensePipe is activated only when the attack threatensto saturate the Internet pipe�   On-premise AMS and AMS in the cloud share essentialinformation on the attacks�   On-premise AMS and DefensePipe creates the industryfirst integrated hybrid solution11
    • On-­‐premise  AMS  mi�gates  the  a�ack  Protected OnlineServicesProtected OrganizationDefense MessagingISPVolumetric DDoS attack thatblocks the Internet pipeERT  and  the  customer  decide  to  divert  the  traffic  Clean trafficSharing essentialinformation forattack mitigationDefenseProAppWallDefensePros12
    • 13
    • Slide 14BusinessLarge volume network flood attacksApplication flood attack (Slowloris,Port 443 data flood,…)Large volume SYN floodLow & Slow connection DoS attacks70%  of  last  year  a�acks  had  3  or  more  a�ack  vectors  
    • Slide 15�   Radware can mitigate the most of attacks on CE (customer edge)providing protection against SSL attack�   DefensePipe can cover the pipe saturation attack using trafficdiversion, according to attack condition on CE�   Radware AMS can be deployed in few hours and is able to mitigateattacks immediately.�   Radware customers can invoke ERT during attacks to tune, ifneeded the configuration and mitigate new attacks.�   Radware can guarantee service availabilty without any SLA breach
    • 1Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.LA MOBILITÀ E SICUREZZA:NUOVE SFIDE EDOPPORTUNITÀALBERTO DOSSENATerritory Sales Manager Italy, Greece, Malta & CyprusE: alberto.dossena@bluecoat.comM: +39 348 1580030
    • 2Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 2Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.  15 Years of TechnologyLeadership  Approx. $550M inRevenue  1,000+ Employees in 32Countries  15K Customers WW  44% Market Share inSecure Web Gateway  More than 200 PatentsBLUE COAT SYSTEMS:COMPANY OVERVIEW
    • 3Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.BLUE COAT SYSTEMS:EVOLUTION1996 1997 1998 1999 2000 2001 2002Incorporatedas CacheflowInitial PublicOfferingEnteraAcquisitionCacheflow becamesBlue Coat Systems2003 2004 2005 2006 2007 2008 2009 2010 2011OsitisAcquisitionCerberianAcquisitionNetCacheAcquisitionPermeoAcquisitionPacketeerAcquisitionS7 softwareAcquisitionBlue Coat becames aprivately held company2012 2013CrossbeamAcquisitionNetronomeAcquisitionSoleraAcquisition
    • 4Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.MARKET EVOLUTION:NEW OPPORTUNITIES
    • 5Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.SECURITY MARKETS: IDC 1999
    • 6Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.SECURITY MARKETS: IDC 2013
    • 7Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.THE WEB FRONT AND CENTRE
    • 8Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.SO HOW SHOULD IT WORK?
    • 9Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.WHAT’S YOUR APPROACH?BLOCK.REACT.EXCEPT.
    • 10Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.WHAT’S YOUR APPROACH?SEE.THINK.DO.
    • 11Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.EVOLUTION OF THE ENTERPRISEMultiple DevicesOwned by EmployeeSingle DeviceOwned by ITEnterprise AppsSanctioned by ITEnterprise &Recreational AppsMandated by UsersPrivate WAN withSecure PerimeterInternet ConnectedExtends PerimeterAlways OnAt the OfficeBackhauledover InternalInfrastructureDirect Internet forWeb & Cloud-delivered AppsDevicesApplicationsNetworkAccessAccessDelivery
    • 12Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.FOLLOWING THE USERUserContextEmployee Devices(Remote & Mobile)Uncontrolled External DevicesCorporate Devices(Remote & Mobile)Uncontrolled External NetworksCorporate Devices(At Office)Controlled Corporate Environment
    • 13Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.KEY CHALLENGES IN BYOD  Governance & ComplianceBYOD could cause you to violate rules, regulations, trust, intellectualproperty and other critical business obligations.  Mobile Device ManagementYou need to manage growing workforce expectations around mobility.Your employees use many devices and they expect to use any device orapplication anytime, anywhere.  SecurityIf left unmanaged, BYOD can lead to loss of control, impact your networkavailability, and cause data loss. You need the right network accessstrategies and policies in place to secure your environment.
    • 14Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.TAMING THE BYOD PHENOMENON
    • 15Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 15BYOD CAUSES NETWORK PAINSWITH……OS Updates/UpgradesApp DownloadsPhoto/video (creation)Upload/DownloadBack-up (Cloud /Employer-issued laptop/desktop)Facetime / Skype Audio/Video CommunicationRecreational Video‘Guest’ Wireless
    • 16Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.5GB10GBBYOD OSUpdates 2.0GB iPad iOS 767.5 iPhone iOS 454.7 iTunes iOSApp Downloadsand Updates 2 x 30 App Updates 30 App Downloads@ 20MB/appContentUploads 100 x 2.7MB/photo 10 x 1 min video@ 230 MB/videoContentDownloads 300 x 2.7MB/photo 30 x 1 min video @230 MB/videoCloud-basedBackup iCloud Google Drive 5GB FreeHow TheyStack Up20GB15GB2.7AvgiPhone 4sphotoMB30AvgDownloadsPer User inOne YearAPPS15XBYODadoptionincreasesince 20091.02BYODDevicesProjectedby endof 2012BILLION2.57GBContent Uploads4.71GBContentDownloads5GBCloud-basedBackup2GBBYOD OSUpdates1.2GBApp Downloadsand UpdatesWHERE DID THE BANDWIDTH GO?BYOD BANDWIDTH CONSUMPTION—JUNE 2011 TO JUNE 2012
    • 17Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.RECREATIONAL TRAFFIC – IMPACT ONBUSINESS§ Recreational Video is here to stay  Pulled by laptops / desktops / BYOD– Sporting events– World news– Viral Videos
    • 18Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.RECREATIONAL VIDEO – IMPACT ONBUSINESSVIDEO – TYPICAL DESKTOP/LAPTOP ACCESS# of people in remoteoffice accessingvideoVideo Size(Average Resolution)Bandwidth Used% of T1 Connection(1.544Mbps)% of 6MbpsConnection1Desktop PC’s /Laptops640 x 360(500 Kbps)500 Kbps 33% 8%2 1000 Kbps 66% 16%3 1500 Kbps 100% 25%4 2000 Kbps 33%5 2500 Kbps 341%6 3000 Kbps 50%7 3500 Kbps 58%8 4000 Kbps 66%10 4500 Kbps 75%12 5000 Kbps 83%15 7500 Kbps 100%+
    • 19Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.# of people in remoteoffice accessingvideoVideo Size(Average Resolution)Bandwidth Used% of T1 Connection(1.544Mbps)% of 6MbpsConnection1Mobile Devices(iPhone/iPad)360 x 240(200 Kbps)200 Kbps 13% 3%2 400 Kbps 26% 6%3 600 Kbps 40% 10%4 800 Kbps 53% 13%5 1000 Kbps 66% 16%6 1200 Kbps 80% 20%7 1400 Kbps 93% 23%8 1600 Kbps 26%10 2000 Kbps 33%12 2400 Kbps 40%15 3000 Kbps 50%Recreational Video – Impact on BusinessVideo – Mobile Devices
    • 20Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.BUSINESS ASSURANCE TECHNOLOGY
    • 21Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.MOVE BEYOND PREVENTION. CONSIDERNEW POSSIBILITIES§  These solutions will protect you against web and network-basedthreats, prevent data loss, and give you flexible businesspolicy control across enterprise, web, social and mobilenetworks.Security & PolicyEnforcement§  With Mobility Empowerment Center you can secure all of thedevices and applications used for business-regardless of whoowns and uses them or where and how they connect to yournetwork. So you can embrace BYOD rather than fight itMobilityEmpowerment§  The number and diversity of applications out there is staggering:business apps, web-based apps, mobile apps, consumer apps.With Trusted Application Center, your enterprise can safelydeploy and consume all apps.TrustedApplications
    • 22Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.FEED THEIR NEED FOR A MORE SATISFYINGEXPERIENCE.§  With the Blue Coat products, you can assess risk managementtradeoffs, enforce compliance-related policies, and close theoperations feedback loop by integrating retrospective analytics,problem resolution, and continuous learning into your securityPerformance§  Businesses are turning to Performance Center to get visibilityinto performance, decide how best to allocate bandwidth, andoptimize performance via caching..Resolution
    • 23Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
    • 1© Copyright 2012 EMC Corporation. All rights reserved.Security AnalyticsFabrizio Banfi – Senior Channel Manager ItalyFirenze - June 2013
    • 2© Copyright 2012 EMC Corporation. All rights reserved.AgendaŸ  RSA & Security ManagementŸ  Market and trend – Business & SecurityŸ  RSA view and approach – Security AnalyticsŸ  High level architecture - LogicalŸ  Q & A
    • 3© Copyright 2012 EMC Corporation. All rights reserved.Our Journey To The Cloud/Big DataEMC Cumulative 8 YearTechnology InvestmentR&D $10.5BM&A $14B2003AND BEFORE200520072009ENTERPRISESTORAGEINFORMATIONLIFECYCLEMANAGEMENTINFORMATION& VIRTUALINFRASTRUCTUREJOURNEYTO THECLOUD2011CLOUD &BIG DATA
    • 4© Copyright 2012 EMC Corporation. All rights reserved.What’s Different about RSALeaderAuthenticationLeaderData LossPreventionLeaderWeb FraudDetectionLeaderSIEMLeaderGRCLeaderNetworkAnalysis &Forensics
    • 5© Copyright 2012 EMC Corporation. All rights reserved.RSA Security ManagementGOVERNANCE  INTELLIGENT  CONTROLS  ADVANCED  VISIBILITY  AND  ANALYTICS  Cloud MobilityNetworkRapid Response and ContainmentCollect, Retain and Analyze Internaland External Intelligence  Manage Business Risk,Policies and Workflows
    • 6© Copyright 2012 EMC Corporation. All rights reserved.RSA Security ManagementGOVERNANCE  INTELLIGENT  CONTROLS  ADVANCED  VISIBILITY  AND  ANALYTICS  Cloud MobilityNetwork  RSA ArchereGRC Suite  RSA Security Analytics  RSA NetWitness  RSA enVision  RSA DLP Suite  RSA FraudAction  RSA CCI  RSA eFraud Network  RSA NetWitness Live  RSA AdaptiveAuthentication  RSA Access Manager  RSA SecurID  RSA TransactionMonitoring  RSA Federated IdentityManager  RSA Data Protection  RSA DLP Suite  RSA BSAFE
    • 7© Copyright 2012 EMC Corporation. All rights reserved.Market DisruptorsInfrastructureTransformationMobile CloudLess control over accessdevice and back-endinfrastructureThreat LandscapeTransformationAPTsSophisticatedFraudFundamentallydifferent tactics, moreformidable than everBusinessTransformationMore hyper-extended,more digitalExtendedWorkforceNetworkedValueChainsBigData
    • 8© Copyright 2012 EMC Corporation. All rights reserved.Traditional Security Is Not WorkingSource: Verizon 2012 Data Breach Investigations Report99% of breaches led tocompromise within “days” or lesswith 85% leading to dataexfiltration in the same time85% of breaches took“weeks” or more todiscover
    • 9© Copyright 2012 EMC Corporation. All rights reserved.SpeedResponse Time2DecreaseDwell Time1TIMEAttack Identified ResponseSystemIntrusionAttackBeginsCover-UpCompleteAdvanced Threats Are DifferentCover-Up DiscoveryLeap Frog Attacks1TARGETEDSPECIFIC OBJECTIVESTEALTHYLOW AND SLOW2 3INTERACTIVEHUMAN INVOLVEMENTDwell Time Response Time
    • 10© Copyright 2012 EMC Corporation. All rights reserved.SIEM Needs To EvolveŸ  Many SIEMs were originally bought for compliance–  80% of SIEM customers consider compliance reporting to be veryimportant (Forrester 2011)Ÿ  Many organizations are looking to get more out of their SIEMimplementations–  Threat management is of growing in importance for SIEM drivers(Gartner 2012)Ÿ  SIEMs need to evolve to encompass growing scale and diversityof use cases–  Scale upwards and outwards, but minimize TCO–  Continue best-in-class collection, retention, reporting–  Augment with new ways to access and transform data to supportSecurity Operations use cases
    • 11© Copyright 2012 EMC Corporation. All rights reserved.New Security ModelŸ  Perimeter basedŸ  Static/Signature basedŸ  SiloedReactive Intelligence DrivenŸ  Risk-basedŸ  Dynamic/agileŸ  Leveragable/Contextual
    • 12© Copyright 2012 EMC Corporation. All rights reserved.Adaptive Controlsadjusted dynamically basedon risk and threat levelAdvanced Analyticsprovide context andvisibility to detect threatsIntelligence-Driven SecurityRisk-based, contextual, and agileInformation Sharingactionable intel from trusted sources and COIsRisk Intelligencethorough understandingof risk to prioritize activity
    • 13© Copyright 2012 EMC Corporation. All rights reserved.Shift In Focus. Shift In SpendMATURITYIT RiskControl ComplianceBusinessRiskPrevention80%Monitoring15%Response5%Prevention34%Monitoring33%Response33%$
    • 14© Copyright 2012 EMC Corporation. All rights reserved.Resource Shift: Budgets and PeopleToday’sPrioritiesPrevention80%Monitoring15%Response5%Prevention80%Monitoring15%Response5%Prevention33%Intelligence-DrivenSecurityMonitoring33%Response33%
    • 15© Copyright 2012 EMC Corporation. All rights reserved.ComprehensiveVisibility“See everythinghappening in myenvironment andnormalize it”High PoweredAnalytics“Give me the speed andsmarts to discover andinvestigate potentialthreats in near real time”Big DataInfrastructure“Need a fast and scalableinfrastructure to conductshort term and long termanalysis”IntegratedIntelligence“Help me understand whatto look for and what othershave discovered”Today’s Security Requirements
    • 16© Copyright 2012 EMC Corporation. All rights reserved.RSA Security Analytics: Changing TheSecurity Management Status QuoUnified platform for security monitoring, incident investigationsand compliance reportingSIEMCompliance ReportsDevice XMLsLog ParsingNetworkSecurityMonitoringHigh Powered AnalyticsBig Data InfrastructureIntegrated IntelligenceRSA SecurityAnalyticsFast & PowerfulAnalyticsLogs & PacketsUnified InterfaceAnalytics WarehouseSEE DATA YOU DIDN’T SEE BEFORE,UNDERSTAND DATA YOU DIDN’T EVEN CONSIDER BEFORE
    • 17© Copyright 2012 EMC Corporation. All rights reserved.What is RSA Security Analytics?Ÿ  Unified platform for:–  Security monitoring–  Incident investigations–  Compliance reportingŸ  Brings together SIEM, NetworkSecurity Monitoring, Big DataManagement & AnalyticsŸ  RSA Security Analytics is a newapproach to combating advanced threats
    • 18© Copyright 2012 EMC Corporation. All rights reserved.RSA Security Analytics High Level Architecture
    • 19© Copyright 2012 EMC Corporation. All rights reserved.What Makes Security Analytics Different?Ÿ  Big Data Infrastructure–  Fast and scalable–  Security data warehouse plus proven NetWitness infrastructureŸ  Comprehensive Visibility–  See everything happening in an environment–  Normalizes diverse data including logs, packets and intelligenceŸ  High Powered Analytics–  Speed and smarts to detect and investigate advanced threats–  Provides short term and long term analytics plus compliance–  Removes the hay versus digging for needlesŸ  Integrated Intelligence–  Operationalize intelligence by fusing it with your data–  Understand what to look for and what others have found
    • 20© Copyright 2012 EMC Corporation. All rights reserved.ResultsŸ  Reduce risk from advanced threats–  Reduces the threat analysis time from days to minutes–  Compress attacker free timeŸ  Elevate the security team to another level ofeffectiveness–  Increase teams’ collective skill by gaining analytical firepower–  Investigate more rapidly, centralize information, automatealerts and reportsŸ  Implement an intelligence driven security strategy–  Operationalize intelligence to defend with confidence–  Adopt a more risk-aware, agile and contextual security modelŸ  Meet compliance reporting requirements
    • 21© Copyright 2012 EMC Corporation. All rights reserved.Q & AFabrizio Banfi – fabrizio.banfi@rsa.com – 340/48.08.660