Prevención APT Avanzada, Detección, y Forense
Cambio de monitoreo reactivo a proactivo
Previene el malware con defensa avanzada de amenazas
Detecta infecciones y mitiga el riesgo a la pérdida de datos
Responde a las brechas con herramientas de investigación
2. Las Brechas de Datos solo
van en Aumento
◼ Públicamente las brechas reveladas durante el primer cuarto
del 2014 superaron por 30% el promedio por cuarto del 2013
◼ Durante el primer cuarto del 2014 expusieron
4,466,289 registros
◼ El promedio de registros expuestos aumento el 49%
◼ El Hackeo es el método más común de las brechas – 32%
Source: Navigant Consulting: Information Data Breach Report, June 2014
3. Las Brechas de Datos son
Descubiertas Después de que
los Datos se han Fugado
◼ Snapchat: 30M de Usuarios
expuestos, descubierto dos semanas
después de la brecha
◼ Target Corp: 110M de registros
expuestos, descubierto 4 semanas
después de la brecha
◼ Spec’s Liquor Store Chain:
550K clientes, descubierto 18 meses
después de la brecha
4. ¿Porqué sus Datos Están en Riesgo?
Los ataques han cambiado de ser aleatorios a ser enfocados
8. Además de prevenir el malware, se requieren de
métodos avanzados para detectar las infecciones que
ya se encuentran en la red
9. La Anomalía de Datos - Baselining
Compare la linea de base normal contra la actual
Un día normal en la vida de
su servidor:
1,000 UDP paquetes out
1,000 UDP paquetes in
50,000 TCP paquetes out
200,000 TCP paquetes in
100 MB data in
500 MB data out
Un día, algo sale mal:
100,000 UDP paquetes out
1,000 UDP paquetes in
50,000 TCP paquetes out
200,000 TCP paquetes in
100 MB data in
500 MB data out
11. Investigación y forense de Infecciones
◼ Aumenta la visibilidad de
cuando el malware entra por
primera vez a la red
◼ Identifica los dispositivos
potencialmente
comprometidos
◼ Contiene los brotes
◼ Quién fue infectado
◼ Como se extendió la infección
12. FIRESPHERE por iboss
◼ Prevención APT Avanzada, Detección, y Forense
◼ Cambio de monitoreo reactivo a proactivo
◼ Previene el malware con defensa avanzada de amenazas
◼ Detecta infecciones y mitiga el
riesgo ante la pérdida de datos
◼ Responde a las brechas con
herramientas de investigación
13. FIRESPHERE Reportes Micro-SIEM
Monitoreo de Infecciones
Baselining
Cuarentena de Dispostivos
Sandboxing
Prevensión de Intrusos
AV Firmas/Heurístico
14. Seguridad Proactiva para Amenazas Modernas
• Fundada:
2003, producto liberado 2007
• Clientes:
4000+
• Patentes/Patentes Pendientes:
56
• Suite de Productos:
– FireSphere™ Defensa APT en capas
– Seguridad Web a través de todos los
flujos de la Web y los 131K canales de
datos
– Seguridad Móvil con MDM/EMM
integrado
Editor's Notes
Expand focus from simply detecting ‘bad’ traffic…
Traditional approach using Antivirus or IPS to block the bad traffic flowing into the network
They relied on a signature or model to identify what bad traffic looks like
Again, think of the shotgun analogy where you know its there and you just need to block it
Modern attacks are sophisticated and targeting on stealing data
They will mask themselves as ‘good’ traffic to circumvent traditional malware signatures or modeling
We need to expand our monitoring of both the ‘bad’ and ‘good’ traffic and detect for anomalies
Essentially, look for any deviations from normal to uncover malware masking itself ‘good’ traffic
Sandboxing
One method of detecting bad traffic disguised as good is data sandboxing
By running seemingly ‘good’ files through a virtual environment, we can detect for suspicious behavior
Sandboxing is a good tool to prevent malware from entering the network
In addition to preventing malware, we need to apply advanced methods for detecting infections already in our networks
A method to increase detection of APTs that circumvented defenses and lurking inside the network is Data Baselining and Anomaly detection
The way this works is essentially baselining normal traffic then compare current
An example, if we baseline a server then one day the server increases the number DNS request to a certain region and the size of the paquetes also increase by ‘x’ percent, that may be a concern
This is effective in detecting advanced threats masking C&C call backs
In addition to baselining, another technique to increase infection detection is through Continuous Infection Monitoring
This requires continuous monitoring of network connections to detect suspicious events such as call backs to Command and Control centers and detect infected devices
It allows us to minimize the ‘dwell time’ which is the time from infection to detection which reduces data loss exposure
In addition, we need the tools for effective infection investigation and forensics
Increases visibility into when the malware first entered the network
Identify other potentially compromised devices
Contain outbreaks
Who got infected
How infection spread
Effective continuous monitoring requires dynamic access to historical network information
FireSpheres integrated Micro SIEM is essential components :
Increases visibility into when the malware first entered the network
Identify other potentially compromised devices
Contain outbreaks
Who got infected
How infection spread
Modern Data Protection Requires that You Detect and Respond in Close to Real Time