trend micro - kohdennetut hyökkäykset
DESCRIPTION
Presentation from the Information Security Summit! 2013 seminar 18 Nov 2013 in HelsinkiTRANSCRIPT
Kohdennettu suojaus kohdennettuja hyökkäyksiä vastaan – kuinka suojautua tehokkaasti nyt ja tulevaisuudessa? Kimmo Vesajoki
Regional Account Manager, Trend Micro
18.11.2013
Copyright 2013 Trend Micro Inc.
Project 2020
• International Cyber Security Protection Alliancen (ICSPA) keskustelunavaus tulevaisuuden kyberuhkien torjumiseksi
• Yhteistyössä Europolin kyberrikollisuuskeskus EC3 (European Cybercrime Centre) ja ICSPA-jäsenorganisaatio Trend Micro Inc.
Copyright 2013 Trend Micro Inc.
Copyright 2013 Trend Micro Inc.
Copyright 2013 Trend Micro Inc.
Kohdennetut hyökkäykset
Copyright 2013 Trend Micro Inc.
Lähde: Verizon 2013 data breach investigation report
Kohdennetun hyökkäyksen anatomia
Copyright 2013 Trend Micro Inc.
Verkkorikollinen
Liikkuu koneelta toiselle etsien rahanarvoista tietoa
Yhteyden muodostaminen Command & Control palvelimeen
Varastaa tiedot huomaamatta
€€€€€€
Tiedonkeruu organisaatiosta ja sen työntekijöistä
Organisaation työntekijälle kohdennettu tietojenkalastelu
Työntekijä
Tehokkaan puolustuksen haasteita
• Tuntemattomien haittaohjelmien havainta tunnisteiden perusteella mahdotonta:
“The defining aspect of an APT is that it has advanced beyond existing controls and is not detectable using traditional signature-based security protection mechanisms.”
- Neil MacDonald, VP and Gartner Fellow, Gartner, Inc.
• Nollapäivähaavoittuvuuksien hallittu paikkaaminen mahdotonta:– Kuinka testata korjauspäivitykset kattavasti ja jaella päivitykset
hallitusti kun haavoittuvuudet on tilkittävä heti?
• Puolustus rajoittuu verkon reunalle ja päätelaitteille – Näkyvyys tietoverkon sisäiseen liikenteeseen parhaimmillaankin
hyvin rajoittunutta
Copyright 2013 Trend Micro Inc.
Kuinka suojautua kohdennetuilta hyökkäyksiltä?
• Gartnerin suositukset:1. “Tarkista sähköpostisuojaus ja varmista että
pystyt estämään aktiivisesti tietojenkalasteluyritykset”
2. “Ota käyttöön teknologiaratkaisut päätelaitteille murtautumisen havaitsemiseksi ja monitoroi tiedostojen eheyttä suojataksesi luottamuksellista tietoa ja havaitaksesi haitalliset muutokset”
3. “Aloita paikkaamalla yleisimmät haavoittuvuudet joita verkkorikolliset hyödyntävät kohdennetuissa hyökkäyksissä”
Copyright 2013 Trend Micro Inc.
Kohdennettu puolustus kohdennettuja uhkia vastaan
“"We must assume we will be compromised and must have better detection capabilities in place that provide visibility as to when this type of breach occurs.“
- Neil MacDonald, VP and Gartner Fellow, Gartner, Inc.
Copyright 2013 Trend Micro Inc.
Havainta – Analyysi – Sopeutus – Vastaus
Havainta – parempi näkyvyys sisäverkkoon
Copyright 2013 Trend Micro Inc.
Malicious content• Embedded doc exploits• Drive-by downloads• Zero-day • Malware
Suspicious communication
• C&C access• Data stealing• Worms• Backdoor activity…
Attack behavior• Propagation & dropper• Vuln. scan & bruteforce• Data exfiltration…
HTTP
SMTP
TCP
...
SMB
DNS
FTP
P2P
80+protocols
Network Content Inspection Engine
Advanced ThreatSecurity Engine
IP & URL reputation
Customizable Sandbox
Network Content Correlation Engine
Trend Micro Deep Discovery
Analyysi – fyysiset, virtuaaliset ja pilvipalvelimet
• Potentiaalisten uhkien reaaliaikainen analysointi ja raportointi– Uhkien testaus sisäverkosta eristetyssä
hiekkalaatikossa– Paikallisen ja globaalin uhkatiedon
yhdistäminen
Copyright 2013 Trend Micro Inc.
Sopeutus – suojausten päivitys havaittuja uhkia vastaan
Copyright 2013 Trend Micro Inc.
• IP/Domain blacklist updates• Signature updates – Coming Soon• SIEM Integration
Endpoint Security
Messaging Security
Web Security(Gateway)
Server Security
Deep Discovery
ThreatAnalyzer
Threat Intelligence
Center
Security Update Server
Network
“Suspicious”
feedback feedback
www/IP
feed
back
feedback
www/IP
Sopeutus – fyysiset, virtuaaliset ja pilvipalvelimet
Copyright 2013 Trend Micro Inc.
Virtual Patching
IDS / IPSWeb App.Protection
ApplicationControl
FirewallIntegrity
MonitoringAnti-
Malware Log
Inspection
Virtual CloudPhysical
TREND MICRO DEEP SECURITY
Vastaus – mainetietojen hyödyntäminen
Copyright 2013 Trend Micro Inc. 04/10/2023
Confidential | Copyright 2012 Trend Micro Inc. 14
“Review your current intrusion prevention implementation and, if available, implement blocking capabilities that include reputation-based or real-time block list threat feeds provided by your technology vendor.”
CLOUD-BASED THREAT INTELLIGENCE
Collects
Protects
Identifies
BIGDATA
ANALYTICS(Data Mining,
Machine Learning, Modeling, Correlation)
DAILY STATS:• 7.2 TB data
correlated• 1B IP addresses• 90K malicious
threats identified • 100+M good files
Vastaus – toimenpiteisiin ryhtyminen
• Lisää turvatoimia ja käynnistä vastatoimenpiteet yhteistyössä tietoturva-ammattilaisten kanssa
Copyright 2013 Trend Micro Inc.
System CleanupBreach Investigation
Custom Signature SLO
Critical System Assessment
Network Assessment
Monitoring & Alert
Monthly Advisory
Custom Defense Service Menu
Thank You