Your SlideShare is downloading. ×
0
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Palestra cnasi 2013 s.video

62

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
62
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Malware has become an epidemic and the onslaught of attacks shows no sign of abating. Networks, desktops, laptops, virtual environments and mobile devices are all under attack. Despite installing the latest protection software and the latest updates, advanced threats prevail. Companies struggle to find a solution that can effectively address the full lifecycle of the problem, providing protection and remediation against the latest threats across the full attack continuum – before, during and after an attack; across all attack vectors; and respond at any time, all the time, in real-time.And they must do this without over-burdening the budget or sacrificing operational efficiency. Blocking technologies may address part of the problem but no technology is 100% effective, which subsequently requires the use of specialized forensic and investigative tools to find, analyze and remediate compromised systems, a time intensive and costly operation. In addition, most blocking technologies lack contextual awareness of the environment to fully understand the relationship of a single or multiple detections to a potential outbreak or broader compromise and can only make determinations at a point-in-time versus a continuous capability. Finally, malware defense is an integrated process not a product, requiring a level of context, intelligence and integration across extended networks, endpoints and mobile devices that is simply not possible without the power of the cloud combined with large-scale data mining, analytics and visualization technologies.
  • Transcript

    • 1. Efeito "Snowden": seus negócios são afetados pela espionagem? André Tsutomu – Security Web Ricardo Marques – SourceFire
    • 2. Raio-X do Snowden • • • • Nunca terminou o ensino médio Aos 19 anos se alistou no exército para lutar contra o Iraq Trabalhou como segurança na NSA (National Security Agency) Na CIA, trabalhou no setor de segurança da tecnologia da informação • "A responsabilidade pela manutenção da segurança de rede de computadores significava que ele tinha autorização para acessar uma vasta gama de documentos confidenciais". The Guardian • Trabalhou para a Dell onde fez um treinamento de Hacker Ético • Contratado pela Booz Allen Hamilton
    • 3. Forma de ataques • APT´s – Advanced Persistent Threat “O termo é comumente usado para se referir a ameaças cibernéticas, em particular a espionagem via internet por meio de uma variedade de técnicas de coleta de informações para acessar informações confidenciais , mas o termo aplica-se igualmente a outras ameaças como a de espionagem tradicional ou de ataque cibernético. Indivíduos isolados, como um hacker, não são considerados autores de um APT, pois raramente possuem, sozinhos, os recursos para executar um ataque avançado e persistente, mesmo quando eles possuem a intenção de acessar ou atacar um alvo específico”
    • 4. Baseado em uma historia real... http://www.youtube.com/watch?v=fUv3VvOHEdI
    • 5. O Perfil de uma APT 1. Coleta de Informações Pesquisa dos alvos utilisando fontes públicas (LinkedIn, Facebook, etc) e preparação do ataque customizado. 2. Ponto de Entrada A entrada normalmente acontece através de zero-day malwares explorando engenharia social (email/IM ou drive by download). Uma backdoor e criada e a rede pode agora ser invadida. (De forma alternativa, explorar um website ou redirecionamento de rede podem ser empregados.) 3. Comunicação - Comando & Controle Possibilita que o atacante controle e mande comando para as máquinas comprometidas e utilize códigos maliciosos para todas as fases subsequentes. 4. Movimento Lateral Dentro da rede, o atacante compromete outras máquinas para coletar credenciais, escalar níveis de privilégio e manter um controle persistente. 5. Coleta de dados/recursos valiosos Através de várias técnicas (ex. Port scanning) são usados para identificar os servidores dignos de atenção e serviços que armazenam dados de interesse. 6. Evasão de Dados As informações sensíveis são coletadas, os dados são direcionados para um repositor interno então, fragmentados, comprimidos e até criptografados para transmissão para localidades externas.
    • 6. Tabela comparativa APT Bot Malware Distribuição Com planejamento Distribuição em massa Distribuição em massa Interrompe Serviços? Não Não Sim Padrão do Ataque Direcionado (pequenos grupos e organizações) Não direcionado (abrangência global) Não direcionado (abrangência global) Alvo Organizações/Empresas Individual credentials including online banking account information Randômico Frequência Muitas vezes Única Única Múltiplos “Exploits”, tudo em um Dependentes do desenvolvimento do Malware Aproximadamente 86%, se a amostra for descoberta em menos de 1 mês Aproximadamente 99%, se a amostra for descoberta em menos de 1 mês Armas Taxa de detecção - Exploit “Zero-day” - Baixa RAT integrado - Dropper ou Backdoor Menos que 10%, se a amostra for descoberta em menos de 1 mês
    • 7. Postura Corporativa... - Como saber se a empresa é alvo de ataques que levam a perda de dados? - Que tipo de reação a sua empresa consegue ter em caso de ser vítima de ataques? e somente ficar sabendo após um dia? Uma semana? Um mês? ou simplesmente meses depois? - A empresa esta preparada para lidar com a exposição negativa na imprensa e meios online? - O que a empresa pode fazer caso seus clientes e investidores sejam os alvos do ataque? - A quem acudir? qual é o tempo de resposta?
    • 8. “Como posso ver o que aconteceu com a minha rede se perdi o evento quando aconteceu na primeira vez?” “Como posso detectar a ameaça e evitar o problema antes que o dano aconteça?” Não ter uma estratégia de segurança da informação deixou de ser uma opção.
    • 9. …Roadmap de Ações Corporativas... - O meu nível de aderência as normativas consegue atender ao nível de resposta esperada no tratamento destes incidentes? - Qual é a realidade entre ter capacidade técnica vs status de certificado vs capacidade de defesa? - Uma mudança de paradigma é necessária para estabelecer um caminho de controle e proatividade que estimulem novos negócios.
    • 10. A Utilização de um modelo que permita implementar Segurança com a Agilidade necessária para tratar incidentes em tempo real.
    • 11. …que implementa um processo de prevenção contra ameaças abrangente, através de uma tecnologia que permite uma atuação contínua, para responder às constantes mudanças no ambiente.
    • 12. Contextualização e Mapeamento de Atividades na Rede Monitorada • Rápidamente entrega Informação dos Ativos em uso – Endereços IP, MAC – Sistemas Operacionais, Serviços, Aplicações e Vulnerabilidades • Correlacione a Informação de Usuários aos ativos – Usuário <-> Ativo • Entregue todas as Informações sobre comunicações – Origens, destinos e volume dos flows
    • 13. Contextualização • Com dashboards que apresentam dados em tempo real. • Toda a informação deve estar em um único lugar. • Superioridade da Informação.
    • 14. Que permita uma visão Contínua sobre os Riscos e Vulnerabilidades • Análise de Vulnerabilidades passiva – – – – Tempo real, nada de ciclos Zero impacto Difícil de evadir Permite integrar resultados de ferramentas de scan ativo
    • 15. Prueba de Concepto Com capacidade de Análise de Impacto Automática Priorização, In-sight, Automatização, Inteligência impacto 4.1.5. Configuración de alertas de las banderas de Sourcefire proporciona la capacidad para alertar las banderas de impacto a través del Syslog, Email o SNMP, esto se puede configurar Policy & Response - -> Responses - -> Impact Flag Alerts. (es necesario la creación de una alerta) Seleccione las alertas que desea recibir a través de cada método y haga click en Save.
    • 16. Que permita a Monitoração da Rede e Detecção Comportamental • Network Behavior Detection – – Desvios de padrões normalmente indicam problemas de segurança e configuração. Detecção por Anômalias é um sistema baseado em detecção comportamental O que causou os picos?
    • 17. Que permite aprender sobre o ambiente monitorado…
    • 18. Que permita controlar o que é usado e como na sua rede. Um compliance white list é um grupo de critérios que permite você definir que sistemas operacionais e aplicações são permitidas na sua rede. Um evento de “violação de whitelist" é gerado caso ocorra quebra do acesso definido.
    • 19. Que permita Implementar Inteligência através de Correlação 3 benefícios diretos: •Automatização de análise de eventos de segurança. •Aplicação de políticas em tempo real. •Automatização de respostas para violações de uso e conformidade.
    • 20. Permitindo a corporação modelar o seu próprio critério técnico sobre conformidade durante a operação. Utilizando dados de diversos contextos: • Quando um evento IPS ocorre. • Quando um evento de Flow/Comunicação ocorre. • Quando um evento de rede ocorre em tempo real. • Quando um evento de Usuário ocorre em tempo real. • Quando mudanças de tráfego acontecem.
    • 21. Inclusive interpretar as diferenças no Perfil de Tráfego da empresa.
    • 22. Que ofereça conteúdo de Segurança de Qualidade e permita também a total customização pelo administrador.
    • 23. Podendo inclusive adaptar-se automáticamente, recomendando regras para ambiente monitorado em função dos sistemas, riscos e aplicações sendo utilizado no momento.
    • 24. Que permita a Detecção e Controle Rate-Based
    • 25. Que Implemente Controles e Capacidades Next-Generation de Verdade! • Regras que controlem o acesso a: • arquivos, • Aplicações • URL’s • detecção e bloqueio de malwares avançados, • controle de acesso de rede • controle de fluxo de inspeção na política
    • 26. Que permita visualizar toda a trajetória de malwares e o uso de arquivos na rede e dispositivos em um único lugar
    • 27. Com um nível de detalhe sem precedentes!
    • 28. Consolidando assim Capacidades e Inovações de Prevenção Next-Generation para Redes e Advanced Malware Prevention           Análise Contextual em Tempo Real Análise Comportamental e Detecção de Anômalias de Rede Controle granular de Aplicações por Usuários/Grupos, IP, Vlan, Zona. Filtros granulares por Reputação, para URL, Usuarios,/Grupos, IP, Vlan, Zona. Monitoração e correlação com Baseline e Análise Comportamental para Compliance Detecção de Vulnerabilidades Análise de Impacto Automática Proteção contra Malwares Avançados Detecção e Controle de Tipos de Arquivos inteligência cloud
    • 29. Permitindo mecanismos para monitorar SSL /TLS com distindos modos de Operação – Conhecimento do Server Key (known server key) • Quando o tráfego tem como destino servidores na rede privada. – Re-assinar o Certificado (Certificate Re-signing ) • Quando o tráfego tem como destino servidores na internet ou rede de um parceiro de negócios.
    • 30. Um sistema que permita responder aproveitando a infraestrutura existente… • • • • • • • • Bloqueios Mecanismos Dinámicos de Quarentena Syslog SNMP E-mail Integração utilizando API’s, Mecanismos inteligêntes de Remediação Capacidade de Automação
    • 31. Que se adapte ao novo modelo de segurança necessário… A T T A C K Antes C O N T I N U U M Durante Ver, Controlar Inteligência e Contextualização Depois Remediação e Forense Network | Endpoint | Mobile | Virtual Point-in-Time Continuous
    • 32. Conclusões - - - O uso de tecnologias Next-Generation IPS, NGFW e AMP são algumas das principais ferramentas para fazer o trabalho. Sabemos que continuaremos a ter ataques contra novas tecnologias e mecanismos de negócios online. Então o estabelecimento de novos modelos pedem novas ações. As Mudanças na nossa capacidade de resposta e o nível de cobrança devem ser promovidas. Permitindo que a transformação exista e de modele o caminho para continuar a realizar negócios via internet de forma cada vez mais segura e integra.

    ×