Una mirada profunda a Advance Threat Protection

Alejandro ZermeñoRogelio Salazar

Copyright © 2014 Symantec Corporation2

Acerca de Nuestros PresentadoresAlejandro ZermeñoSr. Systems Engineer

- 15+ años de experiencia en TI- 5+ años colaborando en Symantec- Especialista en soluciones de Seguridad- Experiencia en sectores de Telcom, Financieras e Industria

Rogelio SalazarSr. Systems Engineer

- 10+ años de experiencia en TI- 7+ años colaborando en Symantec- Especialista en soluciones de Seguridad- Amplia experiencia en Sector Público y Privado

Copyright © 2014 Symantec Corporation3

Seguridad Empresarial de Symantec | ESTRATEGIA DE PRODUCTO

Protección contra amenazas

SERVIDORES GATEWAYS

Protección de información

DATOS ACCESOENDPOINTS

Servicios de seguridad

administrados

Respuesta ante incidentes

Simulacro de seguridad

Inteligencia DeepSight

Servicios de Ciberseguridad

4

Agenda

1 ¿Como funciona una Amenazas Persistentes?

2 Symantec ATP

3 Demo

4 Q&A

5

¿Como funciona una Amenazas Persistentes?

6

312brechas de datos

difundidos

24Fueron

vulnerabilidades críticas

295Días fue el tiempo

promedio que tardaron en parchar

el TOP 5 de vulnerabilidades

Tecnológicamente¿Cuales son las consecuencias de APT?

7

¿Cuales son las consecuencias de APT?

Comercialmente

RecursosOpexCapexTiempoDinero

RoboPropiedad Intelectual

DineroDatos de Clientes y

Empleados

ReputaciónReputación de la marca puede ser

afectada

8

¿Incluso con las mejores tecnologías de prevención, se puede detener las amenazas persistentes avanzadas?

PREVENIR

Detener Ataquesentrantes

Mientras que la prevención sigue siendo muy importante ....

... es necesario prepararse en caso de ser vulnerada.

IDENTIFICAR

Entendiendo donde

están los datos importantes

DETECT

Descubrir Incursiones

RESPONDER

Contener & solucionarProblemas

RECUPERAR

RestaurarOperaciones

9

Si usted ha sido vulnerado… ¿Qué tan rápido puede usted detectar, responder y recuperarse?

IDENTIFICAR

Entendiendo donde

están los datos importantes

PREVENT

Detener Ataquesentrantes

DETECTAR

Descubrir Incursiones

RESPONDER

Contener & solucionarProblemas

RECUPERAR

RestaurarOperaciones

Symantec Advanced Threat Protection

10

Symantec ATP

11

Prevenir, detectar y responder través de los puntos de control

t

Email Security.cloud + Advanced Threat Protection: Email

Symantec GlobalIntelligence

Symantec Cynic Symantec Synapse

Remote / Roaming SEP

Endpoints Blacklist Vantage Insight AV Mobile Insight

BLACKLISTReal-time Inspection

SEP ManagerRemote /

Roaming SEP Endpoints

DESCUBRE PRIORIZA SOLUCIONADetonación física y virtual desde el Sandbox basado

en la Nube

Correlaciona en endpoint, red y

correo

Bloque, limpia, y

soluciona en tiempo real

SEP Endpoints

Symantec Advanced Threat Protection

12

SYMANTEC ADVANCED THREAT PROTECTION: ENDPOINT

Agregue las capacidades de detección y respuesta de punto final (EDR) a Symantec Endpoint Protection• No requiere agentes adicionales• Appliance físico y/o Virtual de ATP• Búsqueda de eventos sospechosos y las nuevas amenazas en

tiempo real• Búsqueda en los puntos finales de IoC• Responder y contener las amenazas de inmediato• Utilice Cynic Sandbox para detectar amenazas avanzadas.• Correlaciona automáticamente con ATP: Red e Email

Security.cloudINCLUYE PLATAFORMA CORE

SYMANTEC CYNIC™ SYMANTEC SYNAPSE™Nuevo servicio de sandbox basado en nube y detonación de amenazas

Nueva priorización de eventosy correlación

13

Destapa y da prioridad a ataques avanzados que entran en la organización a través de HTTP, FTP y otros protocolos de red comunes• Implementación en puerto TAP/SPAN del Switch principal• Supervisa el tráfico de Internet entrante y saliente interno• Visibilidad de la red en todos los dispositivos y todos los

protocolos• Sandbox con Symantec ™ Cynic• Correlaciona automáticamente con Symantec Endpoint

Protection y eventos de correo Email Security.cloud

SYMANTEC ADVANCED THREAT PROTECTION: NETWORK

INCLUYE PLATAFORMA CORESYMANTEC CYNIC™ SYMANTEC SYNAPSE™Nuevo servicio de sandbox basado en nube y detonación de amenazas

Nueva priorización de eventosy correlación

14

Mejorar Symantec Email Security.cloud con tecnologías avanzadas de detección y generación de informes• No requiere instalación adicional• Sandbox de Cynic detecta amenazas avanzadas en archivos

adjuntos• Identificar los ataques dirigidos contra una organización o

usuario específico• Los niveles de informes detallados y de gravedad para el

establecimiento de prioridades• Fácil manejo a través del portal de gestión

Symantec.cloud• Correlaciona automáticamente de ATP con Symantec Endpoint

Protection y Red

SYMANTEC ADVANCED THREAT PROTECTION: EMAIL

INCLUYE PLATAFORMA CORESYMANTEC CYNIC™ SYMANTEC SYNAPSE™Nuevo servicio de sandbox basado en nube y detonación de amenazas

Nueva priorización de eventosy correlación

Copyright © 2014 Symantec Corporation15

Identificando Archivos Sospechosos

Copyright © 2014 Symantec Corporation16

Symantec Advanced Threat Protection: Cynic

ATP: ENDPOINT

ATP: NETWORK

ATP: EMAIL

Sanbox Virtual

Cynic

Motores de Detección Sanbox Físico

Copyright © 2014 Symantec Corporation17

Cynic – Tipos de Archivos

• Binarios de Windows: EXE, DLL, SYS (drivers), OCX (ActiveX controls), SCR (Screen Savers)

• Documentos de Office: Word, Excel, PowerPoint

• Java applets

• Archivos Compresos (rar, zip, 7z, etc)

• Adobe Acrobat

Copyright © 2014 Symantec Corporation18

Skeptic: Ejemplo de Ecuación de Análisis Heurístico

+ Origen Cuestionable+ Adjunto Sospechoso+ Código Sospechoso en el Adjunto(+ Evidencia de Ofuscación)(+ Cifrado No Esperado) ______

Mal código detectado heurísticamente

* Not all suspicious elements required for conviction

Copyright © 2014 Symantec Corporation19

SONAR

• Análisis Dinámico

• No hace que las detecciones en el tipo de aplicación, sino en cómo se comporta un proceso.

• Si se comporta malintencionadamente, independientemente de su tipo, se disparará una detección

Copyright © 2014 Symantec Corporation20

Virtual Execution

• Ejecución Virtual con el comportamiento mimetizado del usuario final • Múltiples Sistema Operativo y aplicaciones• Múltiples ambientes virtuales con ejecución del sistema operativo y aplicaciones• Análisis de la comunicaciones en la virtual

Virtual Machines

OSAPPS

OSAPPS

OSAPPS

OSAPPS

Apps

Virtual Machines

OSAPPS

OSAPPS

OSAPPS

OSAPPS

Virtual Machines

OSAPPS

OSAPPS

OSAPPS

OSAPPS

Copyright © 2014 Symantec Corporation21

Physical Execution

• Hardware Físico• Ejecución Bare metal

– No Virtualization• Mismas acciones que en virtuales

22

Buscar Indicadores de Compromiso (IoC)

23

Caza de los indicadores de compromiso en el punto final

1. El analista de seguridad inicia una búsqueda en la consola Symantec Advanced Threat Protection y solicita una limpieza del cliente.

2. La solicitud de limpieza está en cola para los latidos del corazón y se entrega al cliente en el siguiente latido. Por defecto, este es un máximo de 5 minutos.

3. SEPM inicia la búsqueda en cada punto final con un cliente de la SEP, y puede escanear en busca de los siguientes elementos (ya sea de escaneo rápido o escaneo completo):

• Archivos de Hash (SHA256, SHA1 y MD5) o el nombre• IP externa o sitio web• Las llaves de registro

4. Los resultados del análisis se devuelven a SEPM en tiempo real.5. Los datos están disponibles en la consola de Symantec

Advanced Threat Protection6. El archivo (s) se puede recuperar desde cualquier punto final

para su posterior análisis.

1

2

3

4

5

Copyright © 2014 Symantec Corporation24

Detectar amenazas en todos los protocolos en la capa de red

Archivos sospechosos son enviados a la plataforma de Cynic para un análisis mas

profundo

Cynic ejecuta y analiza el contexto del archivo en

múltiples Sandbox VM, como en equipos físicos HW para

detectar Malware VM-aware.El comportamiento del archivo se evalúa con Symantec Data Intelligence y correlacionada

con eventos de correo electrónico, punto final via

Synapse Se proporciona un informe de

acciones concretas y detalladas de lo observado por Cynic, un

evento / tarea priorizada adecuadamente contra

cualquier evento de seguridad existentes.

Network Traffic

EndpointsThreat data and actionable intelligence

Symantec Cynic™

Internet

Blacklist Vantage Insight AV Mobile Insight

BLACKLIST

Real-time Inspection

ATP: Network

Men

os d

e 7

min

utos

Symantec Synapse ™

Copyright © 2014 Symantec Corporation25

Identificación de ataques dirigidos en el correo

Customer Dashboard and Detailed Report updated

correos electrónicos limpios entregados al destinatario

correos electrónicos maliciosos bloqueados

Identificación de Ataques Dirigidos

STAR analysts examina correos

maliciosos

Busca malware de día cero y

contenido dirigido

Ataques categorizados en base a su nivel de amenaza

Email Security.cloud

Los correos electrónicos enviados para su posterior análisis

Cynic detecta después de haber sido entregado

26

Demo ATP

Copyright © 2014 Symantec Corporation27

GET ADDITIONAL SUPPORT AND TRAININGWITH SYMANTEC SERVICES

Business Critical Services

Educación

Essential Support

Remote Product Specialist

Acceso personalizado a un ingeniero designado con experiencia técnica en una familia de productos específicos, que también está familiarizado con su entorno

•aprendizaje en línea 24/7/365 en cualquier parte

Dentro de la clase o educación virtual dirigida por un instructor

Proceso de dar un título

Premier• Su propio experto designado

de servicios• Respuesta rápida para la

resolución de problemas • Planificación preventiva y

gestión de riesgos• Incluido el acceso a la

educación técnica de Symantec

• Asistencia de soporte en sitio

• 24/7 acceso a los ingenieros de soporte técnico

• actualizaciones de productos, incluidas las actualizaciones de las funciones y parches de versión

• actualizaciones de contenido de seguridad, incluidas las definiciones de virus y las reglas de spam

El conocimiento y la experiencia a lo largo del ciclo de vida de software para ayudar a alcanzar sus objetivos de negocio

Consultoría

Copyright © 2014 Symantec Corporation28

Preguntas del Chat

David_FernandezCasi@symantec.com

Copyright © 2014 Symantec Corporation29

BE AWARE Webinar – Miércoles 27 de Mayo del 2016

09:00 amCosta Rica, El Salvador, Guatemala, Honduras y

Nicaragua

10:00 am México, Colombia, Ecuador, Panamá y Perú

10:30 am Venezuela

11:00 am Puerto Rico y República Dominicana

12:00 pm Argentina, Chiley Uruguay

Para mas información

@SymantecLatam

Symantec Latam

David_FernandezCasi@symantec.com

Thank you!

Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Alejandro ZermeñoRogelio Salazar

30