IT-Angriffe proaktiv erkennen und abwehren

Transkript

1 IT-Angriffe proaktiv erkennen und abwehren Peter Lange Presales Engineer CEMEA +49(0) threat protection compliance archiving & governance secure communication

2 Über Proofpoint Gründung: 2002 Security - Service Hauptsitz: Sunnyvale / Kalifornien Börsennotiert: NASDAQ: PFPT Weltweite Niederlassungen in Amerika / Europa / Asien Spezialisierter Anbieter für Sicherheitslösungen: On-Premise und SaaS

3 Proofpoint ist Marktführer für Security 2014 Gartner MQ für Secure Gateways

4 ist ein strategischer Engpass Eine effektive Sicherheit verringert die Wahrscheinlichkeit, dass andere interne Erkennungstechnologien zum Einsatz kommen müssen. End-point Firewall/Proxy IDS SIEM/SOC..durch das Erkennen und Filtern von Bedrohungen bereits am Eintrittspunkt

5 3 Stufen der Sicherheit Blockieren von bekannten Bedrohungen und ungewollten s (Anti Spam, Anti Virus, bekannter Phish, etc.) Blockieren von unbekannten Bedrohungen und advanced Malware, durch zielgerichtete Attacken via Phishing Mail Incident Response. Wie reagiert man richtig bei einer Infizierung und warum ist der aktuelle Zeitaufwand dafür zu hoch

6 Proofpoint Protection Sicherheit der nächsten Generation Die Bedrohungslandschaft threat protection compliance archiving & governance secure communication

7 Die Bedrohungslandschaft Spear Phishing Handgefertigt, social engineered, sehr geringes Volumen Zielgruppe besteht meist aus Personen mit Zugriff auf sensible Daten Bevorzugte Methode für staatliche Dienste Watering Hole Kompromittierte vertrauenswürdige Quellen Wird häufig als alternative zu Spear Phishing verwendet Aktuelle Erkennung in allen Bereichen der Industrie u. Wirtschaft Longlining Hohes Volumen, Zielgerichtete Phish Attacke mit Computergenerierten Inhalten Hohe Wiederherstellungskosten Verschiedene Verteilungsszenarien Multi-Variant Eine Kampagne verteilt zeitgleich Spam & Phish TDS variiert mit der Verteilung durch Faktoren wie Zeit, Gerät, Ort und anderen Angaben. Schwer zu unterscheiden

8 Bedrohungen: Exploit Technologien URL-Basiert Drive-by Downloads: Kompromittierte Seiten, Exploit Kits, Malware Credential Phish : falsche Seiten, Google Doc Formulare, Telefonnummern Betrug Anhang-Basiert.exes innerhalb von Archiven(.zips, rar etc.) Weaponized Dokumente (PDF, Office) URLs verweisen auf zip s

9 Der aktuelle Trend

10 Die aktuell entdeckten Komponenten eines Angriffes Phish 1 Botnet

11 Vereinfachte Darstellung mit TDS

12 Die Möglichkeiten der Angreifer Massiv skalierbar: Möglichkeit 100,000+ Nachrichten/Minute zu versenden von neuen IPs (meist kompromittiert) von Absendern 100+ kompromittierte Seiten URLs Ausgeklügelte Zustellung: Gelistete Hygiene Testen der Zustellung Social engineering / Content Erstellung Traffic Distribution Systeme (TDS) Advanced Malware: Multi-Vulnerability Exploit Pakete Benutzerdefiniert, Polymorphe Malware

13 Aktuelles Beispiel: Credential Phishing ANGRIFF DETAILS Von mehreren Unternehmen empfangen Valides SSL Zertifikat Credential Phishing Seiten sind perfekte Nachbildungen der orginal Seiten Base-64 string dekodiert Benutzernamen und öffnet automatisch ein Popup Sieht aus wie Spam; stiehlt jedoch IDs MALWARE DETAILS Credential Attacke Keine erkennbare Malware Sehr realistische Webmail Login Seiten Domain hosting Seiten werden kurzfristig erstellt TDS leitet den Nutzer automatisch auf Malwaredropper weiter

14 Aktuelles Beispiel: Multi-Variant ANGRIFF DETAILS von 200k+ Nachrichten IPs verwendet URLs auf kompromittierten Seiten Weiterleitung an: Spam + Malware + mobile Malware MALWARE DETAILS Abgespeckte Spam Seite (stiehlt unter anderem Kreditkarteninformationen) Sweet Orange exploit kit für PCs tmp_security.update apk Android malware

15

16 /onesourceprocess.com/ab3bp5r/index.html&s=ab eb44ac1/&k=cpgdz%... Click to follow link

17 Warum Menschen klicken? Optimierte Vorlagen Angreifer verbessern und ändern ihre Vorlagen

18 Neue Landschaft Neue Anforderungen Traditionell ANTI-SPAM Traditionelle Reputationsund Signatur-basierte Systeme Heutige Bedrohungen Auf Kunden zugeschnitten,botnets, zunehmend by-pass 99% Effektivität ist ausreichend Jede Nachricht ist entscheidend Black-box Echtzeit, end-to-end, unübersichtliches und umfangreiches Regelwerk

19 Proofpoint Targeted Attack Protection Die Lösung threat protection compliance archiving & governance secure communication

20 Proofpoint Security Suite BLOCKIEREN ERKENNEN Bekannt, Bereits bestehende Bedrohungen Proofpoint Enterprise Protection REAGIEREN Zielgerichtet, Aktuell noch unbekannte Bedrohungen Proofpoint Targeted Attack Protection

21 Kontrolle und Visibilität Hochentwickelte Klassifizierung Phish, Malware, Spam, Bulk, Suspect Umfangreiches Regelwerk Flexibel zu erstellen Separate, individuell konfigurierbare Quarantänebereiche Echtzeit Analyse SmartSearch ermöglicht ein schnelles Nachverfolgen und Auffinden von s

22 Proofpoint Targeted Attack Protection Architektur Next Gen. Detection Malicious URLs Verdächtige Anhänge End-to-End Insight Wer klickt?, auf was?, Welche Anhänge?, Wann?, etc. Anomalytics Service Predictive Analysis Dynamic Malware Analysis Threat Insight Service Attachment Defense Service URL Defense Service?OK Yes/No Follow-Me Protection Jeder Klick wird durch Proofpoint URL Defense geprüft Dynamic analysis Verdächtige Anhänge werden in Quarantäne Verschoben

23 Der Faktor Mensch: Jeder klickt

24 Erkennt aktuelle Bedrohungen Polymorph & Zero-Day Fortschrittliche, dynamische, cloudbasierte Sandboxtechnologie Full-attack chain detection: kompromittierte Seiten, TDS, pre-exploit, exploit, malicious payload ERKENNEN URLs und Anhänge URLs, URL Kampagnen, Malicious Ads Weaponized Dokumente (PDF, Office, Flash etc.) Malware und Credential-suchend Rich forensics and IoCs Screen-shots

25 Schützt beim Klick, egal ob auf Mobilen Endgeräten oder Remote Benutzern Click-time Defense Schützt den Nutzer nach der Zustellung Bietet umfangreiche Visibilität Follow-me Protection überall Auf jedem Gerät an jedem Ort: Unterwegs, Zuhause, Hotel oder am Flughafen (ios, Android, etc) KEINE Clientsoftware nötig Achtet auf bestehende Sicherheits Regeln KEIN Proxy, Anfragen durchlaufen alle Schichten der installierten Sicherheitsumgebung

26 End-to-End Einblicke Wer wurde angegriffen? User granulare Übersicht über Angriffs- und Kampagnen-Details Genaues Ermitteln ob es sich um eine breit gestreute oder zielgerichtete Attacke handelt REAGIEREN Wer ist gefährdet und weshalb? Wer Klickt? Wann? Worauf? Detaillierte forensiche Daten Echtzeit und bereits geschehenes Kontinuierliche Reklassifizierung Echtzeit Benachrichtigung Echtzeit Zusammenfassungen

27 Wann & ob eine Attacke stattgefunden hat Wann & ob eine Penetration stattgefunden hat Quelle

28 Wer ist wann gefährdet

29 Wodurch sind Sie gefährdet

30 Vorteile einer besseren Security Deutliche Reduzierung von gefährlichen Phishing Attacken Sichtbarkeit der Ziele und angewandten Methoden Signifikanter Reduzierung der Incident Response und Wiederherstellungskosten Weniger Lärm um das Thema Sicherheit bietet Raum um sich anderen Risiken zu widmen Höhere Produktivität der Nutzer

31 Vielen Dank für Ihre Aufmerksamkeit Peter Lange Presales Engineer CEMEA +49(0) threat protection compliance archiving & governance secure communication