café empresarial sucesu minas e websense -11/02/2014 | ameaças modernas e cybersegurança
TRANSCRIPT
AMEAÇAS MODERNAS E CYBERSEGURANÇA
COMO O MERCADO ESTÁ ENFRENTANDO O DIA A DIA DA SEGURANÇA DA INFORMAÇÃO
CARLOS BOMTEMPO
Sr. Account Territory Manager – Websense Brasil.
Formado em Tecnologia Elétrica (Univ. Mackenzie).
Pós Graduação em Processamento de Dados (FAAP).
25 anos atuando na área de vendas, IBM, Sun, Oracle e Websense Brasil.
AFINAL QUAL A DEFINIÇÃO DE SEGURANÇA?
A segurança é o grau de resistência ou de proteção ao dano. Ela se aplica a qualquer ativo vulnerável e valioso como uma pessoa, habitação, comunidade, nação ou organização.
QUANDO FALAMOS DE SEGURANÇA DA INFORMAÇÃO LEMBRAMOS DE....
Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para Prova de Conceito.
Filtro de Pacotes
1990
G2
1988
G1
Pelo fato de o principal
protocolo de transporte TCP
orientar-se por uma tabela de estado nas
conexões, os filtros de pacotes
não eram suficientemente
efetivos se não observassem estas características.
Firewall de Circuito
Foi nesta geração
que se lançou o
primeiro produto
comercial em 13 de
Junho de 1991—o
SEAL da DEC.
Proxy Firewall
1991
G3
2000
G4
Statefull Inspection.Deep Packet Inspection.Personal firewall.
Firewall de Aplicação
QUANDO FALAMOS DE SEGURANÇA DA INFORMAÇÃO LEMBRAMOS DE....
Proteger minhasmáquinas
Aparecimento do primeiro virus de PC, Brain.Boot Sector Virus. 1986
Consolidação dos MS-DOS virus. Infectavam .exe e .com 1990
13 Maio 1988. Ataque massivo do virus Jerusalem. Ficou conhecido como ‘Black Friday’
1988
15
NOVAS AMEAÇAS REQUEREM NOVAS DEFESAS
“Soluções baseadas em assinaturas (Anti-virus, firewalls, IPS) são efetivas somente contra 30-50% das ameaças de segurança atuais. Além disso, espera-se que a efetividade da segurança baseada em assinaturas continue em declínio rapidamente.”
IDC Threat Intelligence Update, 14-Feb-2012
COMO FUNCIONAM AS AMEAÇAS ATUAIS?
Ameaças Avançadas
Assinaturas, reputação
Alto Volume
Distribuição em massa
Zero Day
Baixo Volume
Conteúdo direcionado,
esperado
Antes Atualmente
Furto de dados
Objetivo: Danos
Suficienteproteção de
entrada
Facilmente identificável
Objetivo:Ganhos
financeiros
Pressupõe brechas na segurança
Oculto
Antes Atualmente
COMO FUNCIONAM AS AMEAÇAS ATUAIS?
Análise forense de ataques e malwares
Hands-Off
Reativo
Foco na prevenção de intrusão
Hands-on
Proativo
Visão holística,
abrangente
Antes Atualmente
COMO FUNCIONAM AS AMEAÇAS ATUAIS?
4 RAZÕES PARA AS DEFESAS ATUAIS FALHAREM
1 PRINCIPALMENTE COM BASE EMASSINATURA E REPUTAÇÃOA história não é um indicador confiável do comportamento futuro.Criação de assinatura não pode manter-se com a criação dinâmica de ameaças
Security Labs - http://securitylabs.websense.com
2 SEM ANÁLISE EM TEMPO REALANÁLISE DE CONTEÚDO INLINEColetar amostras para análise em laboratório, utilizando processos baseados em outras ameaças conhecidas.Produzindo novas assinaturas (rede de arquivos /) e reputações (URL / arquivo)
4 RAZÕES PARA AS DEFESAS ATUAIS FALHAREM
Resultados legítimos
misturados a links que
levam a sites infectados com
malwares
SEO (Search Engine Optimization) Poisoning
4 RAZÕES PARA AS DEFESAS ATUAIS FALHAREM
3 PROTEGER SOMENTE A ENTRADA.SEM PROTEÇÃO CONTRA VAZAMENTO DE INFORMAÇÕES.
Sem o mínimo necessário de informações para uma análise forense eficiente.
4 MAIS DO MESMO EMNOVAS OPÇÕES DE IMPLEMENTAÇÃOUTMs, NGFWs, IDSs, Network Threat MonitorsSSL severely impacts performance, or blind to it
4 RAZÕES PARA AS DEFESAS ATUAIS FALHAREM
firewall
AV
IDSURLF
cache
SSL
UTM
nidadeudoal feito
HighImpact
LowImpact
Low Volume
APTs
Spear-Phishing
Denial-of-Service (DoS)
Hacktivism
SQL & iFrameInjections
RogueAV
Targeted Attacks
Virus
Worm
Zero-Day Vulnerability
Data Theft
SocialEngineering
Malware
Exploit Kits
SEO
SPAM
Lures
Botnets
VulnerabilityAnalysis
PASSADOAlto volumeVida curtaAbrangenteInfecçãoPublicidade
PRESENTEBaixo volumePersistenteAlvosRoubo de InformaçãoLucro
Social Circles
MUDANÇA NOS MÉTODOS DOS ATAQUES
Números de emails recebidos por dia:
400 à 450
Spams 95% (427)
O GRAU DE RISCO ENVOLVIDO
Med
ido
r d
e R
isco
Números de emails recebidos por dia:
400 à 450
Spams 95% (427)
Spear-fishing 1,5% (6,5 emails)
O GRAU DE RISCO ENVOLVIDO
Med
ido
r d
e R
isco
Números de emails recebidos por dia:
400 à 450
Spams 95% (427)
Spear-fishing 1,5% (6,5 emails)
Empresa de 1500 users = 9.750 decisões por dia!
O GRAU DE RISCO ENVOLVIDO
Med
ido
r d
e R
isco
Isca para phishing técnicaLink da web embutido no e-mail iscaInfecção de malware algum tempo após o recebimento pelo GatewaySegurança de e-mail vê uma conexão limpa
EMAIL SECURITY EVASION
Sunday Monday
WebEmailSecurity
TargetWeb Site
OK Web
Target SiteInfected 4am
Notificação financeira
Parece enviada pelo RH
Com débito em conta
Transação Online
EXEMPLO – SPEAR PHISHING
Isca Redirec ExploitKit
ArquivoDropper
CallHome
SETE ESTÁGIOS DAS AMEAÇAS AVANÇADAS
Recon
ConscientizaçãoAnálise em Tempo
RealDefesas inline
32
REDES SOCIAIS: PERMITIR OU BLOQUEAR?
Como permitir o acesso a Redes Sociais sem comprometer a produtividade e a
segurança?
34
- Se espalha através de mensagens diretas com "vídeo escondido" como isca- Rouba credenciais de conta- Mensagem "Falta Adobe"- Taxa de detecção de 23% em motores AV- Cliente com análise em tempo real estavam protegidos.
EXEMPLO - SOCIAL MEDIA
PRIMEIRA BARREIRA: CONTEÚDO
35
Acesso Restrito
Conteúdo dinâmico, sem interatividade
Conteúdo dinâmico, interatividade restrita
Conteúdo dinâmico, interatividade e
comunicação permitidas
Redes Sociais com classificação de conteúdo
Posts, Like/Comments, Aplicativos, Chat, Photo/Video upload
Redes Sociais com classificação de conteúdo Like/Comments
Posts, Games, Aplicativos, ChatPhoto/Video upload
Informações confidenciais,Conteúdo ofensivo , Games, Aplicativos, Chat
Redes Sociais com classificação de conteúdo Posts, Like/CommentsPhoto/Video upload
Acesso restrito a alguns sites (bancos, portais de noticias, operadoras, sites voltados ao trabalho)
Redes Sociais
Entender as necessidades de cada Departamento e permitir o acesso de acordo com as necessidades de negócio
Isca Redirec ExploitKit
ArquivoDropper
CallHome
Furto deDados
SETE ESTÁGIOS DAS AMEAÇAS AVANÇADAS
Recon
ConscientizaçãoAnálise em Tempo
RealDefesas inline Proteção
Voô abaixo do radar.Contagem baixa por solicitação / incidenteRouba dados em pequenas quantidadesPersistência e paciência
SLOW DATA LEAKS
Web
One datarecord
One datarecord
120+ Pesquisadores
DEFESAS CONTRA AMEAÇAS AVANÇADAS
• Análise de conteúdo dinâmico e detecção de ameaças em tempo real (ACE)
• Defesas contra furto e perda de dados • DLP integrado• Dashboard & Relatórios de análise forense• Análise Sandbox de Malware• Controles de Video e Redes Sociais• Console unificada TRITON
3-5 Bilhões requisições/dia
10.000 Analíticos
DATACENTERS WEBSENSE
Overview– 15 global data centers– Fully redundant w/ fail-over– 99.999% availability SLA– 99+% spam detection SLA– Unlimited scalability– ISO 27001 Certified
Physical security– 24x7x365 onsite security– Intrusion detection systems– Close circuit monitoring– Biometric access control