Intelligent Cybersecurity for the Real World

Transkript

1 Intelligent Cybersecurity for the Real World Wolfram Schulze Januar 2015 V3.38

2 Inhalt dieser Präsentation: Aktuelle Bedrohungslage, Cisco Security Report: Dem Sicherheitsteam von Cisco zufolge war in 100 Prozent der untersuchten Netzwerke schädlicher Datenverkehr nachweisbar Cisco Security Strategie: Ende-zu-Ende Security, Korrelation von relevanten Daten, Reduzierung der Komplexität Herkömmliche NGFWs reichen nicht aus, sie sind nur auf Anwendungen ausgerichtet, Bedrohungen mit anderem Gefahrenpotenzial werden ignoriert

3 How would you do security differently if you knew you were going to be hacked? Cisco Confidential 3

4 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4

5 Cisco Confidential 5

6 The Reality: Organizations Are Under Attack 95% of large companies targeted by malicious traffic 100% of organizations interacted with websites hosting malware Source: 2014 Cisco Annual Security Report Cybercrime is lucrative, barrier to entry is low Hackers are smarter and have the resources to compromise your organization Malware is more sophisticated Organizations face tens of thousands of new malware samples per hour Phishing, Low Sophistication Hacking Becomes an Industry Sophisticated Attacks, Complex Landscape Viruses Worms Spyware and Rootkits 2005 Today APTs Cyberware Today + Cisco Confidential 6

7 Heutige Bedrohungslandschaft erfordert mehr als nur Anwendungskontrolle 60 % der Daten ist innerhalb weniger Stunden gestohlen 54 % der Sicherheitsverletzungen bleiben monatelang unbemerkt 100 % der Unternehmen greifen auf Domains zu, die schädliche Dateien oder Services hosten Cyberkriminelle sind gut organisiert. Bedrohungen lauern häufig dort, wo man sie nicht erwartet, sind gut verborgen und schlagen schnell zu. Cisco Confidential 7

8 Das Problem: Advanced Malware Keine isolierten Programme - sondern Ecosystems So kommt es immer wieder zu neuen Infizierungen! 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8

9 Thinking Beyond the Perimeter Advanced Persistent Threats and other Modern threats are consistently bypassing the security perimeter as they break the rules. X X X X O X X X O O Cisco Confidential 9

10 Aktuelle Bedrohungslage Intelligent Cybersecurity - Cisco s Integrated Security Solution Vorteile/Nachteile von NGWF Lösungen Cisco Confidential 10

11 Sandboxing Application Control Detect the Unknown IDS / IPS UTM NAC Captive portal Fix the Firewall FW/VP N Block or Allow AV PKI It matches the pattern No key, no access No false positives, no false negatives. Cisco focuses on the totality of defending against threats 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11

12 Attack Continuum BEFORE Control Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate BEFORE THE ATTACK: Man muss wissen was alles im Netzwerk existiert um es schützen zu können Geräte / Betriebssysteme / Services, Applikationen / Benutzer => Firesight Zugangskontrolle, Sicherheitspolicies, Applikationsmanagement und allgemeiner Zugriff auf Assets (FW, AV, VM, PM). Network Endpoint Mobile Virtual Cloud Die Angriffsfläche wird so zwar reduziert, aber es wird immer Löcher geben, die von Hackern ausgenutzt werden können. Point in time Continuous 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12

13 Attack Continuum BEFORE Control Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate Network Endpoint Mobile Virtual Cloud DURING THE ATTACK: Die effizienteste Malware-Erkennungslösung ist notwendig (NG IPS). Diese Lösung muss multi-dimensional arbeiten und korrelieren können. Sobald der Angriff Point erkannt in time wird, kann dieser Continuous geblockt werden und das Netzwerk dynamisch geschützt werden Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13

14 Attack Continuum BEFORE Control Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate Network Endpoint Mobile Virtual Cloud AFTER THE ATTACK: Nichts desto trotz werden bestimmte Angriffe erfolgreich sein und das Unternehmen muss dann in der Lage sein, das Ausmass des Schadens zu bewerten, Point den Grund in time für das Event Continuous zu erkennen, einen Remediation Prozess zu starten und den eigentlichen Betrieb wieder zu normalisieren. Die Lösung muss eine breite Palette and Angriffs-Vektoren adressieren können, da Malware sich überall manifestieren kann im Netzwerk, am Client, auf Mobilen Geräten, in virtuellen Umgebungen, inklusive der Cloud Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14

15 Attack Continuum BEFORE Control Enforce Harden DURING Detect Block Defend AFTER Scope Contain Remediate NG Firewall Detaillierte Anwendungskontrolle VPN NGIPS Security Intelligence, Reputation Web Security Advanced Malware Protection Retrospective Security AutomatisierteReaktion auf Zwischenfälle Transparenz und Automatisierung 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15

16 Aktuelle Bedrohungslage Intelligent Cybersecurity - Cisco s Integrated Security Solution Vorteile/Nachteile von NGWF Lösungen Cisco Confidential 16

17 Neue Umstände erfordern neue Maßnahmen NGFWs include the typical functions of traditional firewalls such as packet filtering, [2] network- and port-address Translation (NAT), stateful inspection, and virtual private network (VPN) support. [3] The goal of next generation firewalls is to include more layers of the OSI model to improve filtering of network traffic dependent on the packet contents (Quelle: Wikipedia) Cisco Confidential 17

18 (NG) Security Funktionen NGIPS AVC (App Control) / NGFW Advanced Malware Protection URL Filtering Clustering ACL Next Generation Services Firewall VPN Termination NAT Cisco Confidential 18

19 Das Problem herkömmlicher Firewalls der nächsten Generation Fokus auf Anwendungen Die Bedrohung wird außer Acht gelassen Herkömmliche NGFWs können die Angriffsfläche verkleinern, moderne Malware gelangt jedoch häufig durch die Sicherheitskontrollen. Cisco Confidential 19

20 Das Problem herkömmlicher Firewalls der nächsten Generation Focus auf Anwendungen die Bedrohung wird außer Acht gelassen Herkömmliche NGFWs können die Angriffsfläche verkleinern, moderne Malware gelangt jedoch häufig durch die Sicherheitskontrollen Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20

21 Thinking Beyond the Perimeter Advanced Persistent Threats and other Modern threats are consistently bypassing the security perimeter as they break the rules. X X X X O X X X O O Cisco Confidential 21

22 Continuous Protection when advanced malware evades point-in-time detection Antivirus Point-in-time Detection Sandboxing Analysis Stops Not 100% Sleep Techniques Unknown Protocols Encryption Initial Disposition = Clean Actual Disposition = Bad = Too Late!! AMP Retrospective Detection, Analysis Continues Initial Disposition = Clean Actual Disposition = Bad = Blocked Cisco Confidential 22

23 Threat-Focused Next-Generation Firewall Anwendungs kontrolle Firewall IPS VPN ASA X Identität / TrustSec AMP Advanced Maleware Protection 2013 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. 23

24 New Adaptive, Threat-Focused Next-Generation Firewall Cisco Collective Security Intelligence Enabled WWW Clustering and High Availability Intrusion Prevention (Subscription) Cisco FireSIGHT Management Center Analytics and Automation Advanced Malware Protection (Subscription) URL Filtering (Subscription) Network Firewall Routing Switching Application Visibility and Control Built-in Network Profiling Identity-Policy Control and VPN Cisco ASA Cisco Confidential 24

25 Analyse der Auswirkungen IMPACT FLAG MASSNAHMEN DES ADMINISTRATORS GRUND 1 Sofortige Maßnahmen; Angreifbar Ereignis deckt sich mit dem Host zugeordneten Schwachstellen 2 Untersuchen; Potentiell angreifbar Entsprechender Port offen oder Protokoll in Verwendung, aber keine Schwachstelle erkannt 3 Wissenswert; Derzeit nicht angreifbar Entsprechender Port nicht offen oder Protokoll nicht in Verwendung 4 Wissenswert; Ziel unbekannt Überwachtes Netzwerk, aber Host unbekannt Korreliert alle Zugriffsversuchs-Ereignisse mit Auswirkungen auf das Ziel 0 Wissenswert; Netzwerk unbekannt Nicht überwachtes Netzwerk Cisco Confidential 25

26 Cisco Confidential 27

27 Zusammenfassung Cisco s Strategie ist dem Kunden eine Ende-zu-Ende Security Lösung anzubieten Ein wichtiges Ziel ist die hohe Transparenz über die Kommunikation Das Netzwerk spielt bei der Umsetzung der Security Strategie eine maßgebliche Rolle (TrustSec) Das neue Security Model Before, During, After passt sich an die aktuellen Herausforderungen an FRAGEN? Cisco Confidential 28

28 Thank you.