Sicherheitslösungen für die Kronjuwelen des Unternehmens

Transkript

1 Sicherheitslösungen für die Kronjuwelen des Unternehmens Helmut Deuter Channel Account Manager DACH 1

2 Imperva Überblick Umsatzentwicklung ($M) Unser Ziel Wir schützen Firmendaten und Applikationen Unser Marktsegment Firmensicherheit Über uns Gegründet 2002 (Shlomo Kramer) Weltweit tätig mit HQ in Redwood Shores, CA mehr als 600 Mitarbeiter Kunden in mehr als 60+Ländern Unsere Kunden 2,700+ direkt; tausende Cloud-basiert 8 der Top 10 global Telekom Anbieter 5 der Top 10 US kommerziellen Banken 3 der Top 5 Global consumer financial services firms 4 der Top 5 globalen Computer Hardware-Hersteller 150+ Behörden 2

3 Enterprise Security verändert sich Die wichtige dritte Säule: Data Center Security 1. Endpunkt Sicherheit Blockt Gefahren für die Endgeräte 2. Netzwerk Sicherheit Blockt Gefahren die auf Netzwerke zählen 3. Sicherheit für Rechenzentren Schützt die wichtigsten Unternehmensdaten direkt 3

4 Die Bedrohungslage im IT Umfeld Malicious Insiders Gemäß dem Verizon 2011 Data Breach Investigations - Report hat sich die Anzahl der Vorfälle bei denen Malicious Insiders ( boshafte Mitarbeiter ) beteiligt waren, verdoppelt. Compromised Insiders Automatisierte Attacken Betrug Nach Auskunft des Office of the Director of National Intelligence sind nahezu die Hälfte aller Computer in USA in irgendeiner Form kompromittiert und ca neue Malware Programme werden täglich identifiziert. Gemäß dem Verizon 2011 Data Breach Investigations Report sind Angriffe mittlerweile standardisiert, automatisiert und in hoher Frequenz wiederholbar, sodass anfällige Umgebungen mit geringem Aufwand häufiger angegriffen werden können. In 2011 gab der FFIEC bekannt, dass die Art und Weise von Angriffen immer hochentwickelter und auch effektiver wird; sodass wir bereits von schnell wachsenden organisierten Verbrechen speziell im Finanzbereich sprechen. 4

5 Ausgaben zur Gefahrenabwehr 5 Confidential

6 Firmen jagen die Mäuse und schützen nicht den Käse! 6 Confidential

7 Vorstellung der Darsteller: Mäuse Mäuse Potentielle Gefahr für den Käse Priviligierter Insider Ein Anwender der in der Nähe vom Käse arbeitet Malicious Insider Ein Anwender mit der Absicht, Probleme zu verursachen Kompromittierter Insider Ein unschuldiger Anwender, dessen Identität gestohlen wurde und die nun für schädliche Aktivitäten verwendet wird. 7 CONFIDENTIAL

8 Vorstellung der Darsteller: Katzen Katzen Bestehende Netzwerk und Endpunkt Sicherheitslösungen können mit erweiterten Angriffstechniken leicht umgangen werden und adressieren nicht das Problem des Datenmissbrauchs durch Mitarbeiter Antivirus (AV) Intrusion Protection System (IPS) / Next Generation Firewall (NG FW) Data Loss Prevention (DLP) 8 CONFIDENTIAL

9 Imperva schützt den Käse während andere die Mäuse jagen! 9 CONFIDENTIAL

10 Gefahrenpotential vs. Ausgaben zur Abwehr 100% 80% 60% 40% 20% 0% Gefahrenpotential Im Jahr 2011 waren bei 94% aller Angriffe in irgend einer Form Server beteiligt 1 1 Verizon 2012 Data Breach Investigations Report 2 Worldwide Security Products Forecast (IDC - February 2011) Ausgaben Weniger als 5% der über $27 Milliarden, die insgesamt für Security Produkte ausgegeben wurden, wurden für Datencentersicherheit ausgegeben 2 10

11 Anforderungen für Richtlinienkonformität wachsen Eine Vielzahl von Richtlinien SOX, J-SOX, Bill 198, Financial Security Law of France Italy s L262/2005, India s Clause 49,etc. BASEL II FISMA, NERC, ITAR, DISA STIG HIPAA, HITECH GLBA, NCUA 748 Monetary Authority of Singapore IB-TRM PCI-DSS CA 1386, MA 201 CMR 17, Canada PIPEDA EU Data Protection Directive Sicherheitsanforderungen Risikobewertung und Management User Rights Management Audit und Reporting Angriffsschutz Daten müssen geschützt werden, egal in welcher Form sie gespeichert sind - Applikation, Datenbank oder Datei 11 Confidential

12 Der Imperva Lösungsansatz Die aktuellen Sicherheitsprobleme von Unternehmen können nur dadurch gelöst werden, indem man einen engen Schutzwall um die Daten und Applikationen im Rechenzentrum erstellt. Tech. Attack Protection Logic Attack Protection Fraud Prevention Web Applikationen Dateien Usage Audit User Rights Management Access Control Externe Zugriffe Kunden, Partner, Hacker Datenbanken Interne Zugriffe Mitarbeiter, gehackte PC verärgerte Mitarbeiter Rechenzentrum Systeme und Administratoren Nur Imperva bietet eine umfassende Lösung an! 12

13 Der Imperva Lösungsansatz Die aktuellen Sicherheitsprobleme von Unternehmen können nur dadurch gelöst werden, in dem man einen engen Schutzwall um die Daten und Applikationen im Datencenter erstellt. Tech. Attack Protection Logic Attack Protection Fraud Prevention Web Applikationen Dateien Usage Audit User Rights Management Access Control Externe Zugriffe Kunden, Partner, Hacker Datenbanken Interne Zugriffe Mitarbeiter, gehackte PC verärgerte Mitarbeiter Datenzentrum Systeme und Administratoren Nur Imperva bietet eine komplette Lösung an! 13

14 Imperva Web Application Firewalls 14 Confidential

15 Imperva positioniert als Leader im Gartner Magic Quadrant Gartner Magic Quadrant for Web Application Firewalls by Jeremy D'Hoinne, Adam Hils, Greg Young, Joseph Feiman, 17 June This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from Imperva. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. 15 Confidential

16 Webseiten haben viele Schwachstellen 96% aller Web Applikationen haben Schwachstellen 96 % 61.5% Non-Human Traffic 1/2 davon ist bösartig! WEB APP Sources: Cenzic, Inc. Feb. 2014, Incapsula, Inc % Human Traffic Über 61% des Verkehrs auf Webseiten ist nicht menschlicher Natur.

17 DDoS Attack Landscape Trends Die Anzahl von DDoS Bots, getarnt als Besucher, hat sich um mehr als 240% in den letzten 12 Monaten erhöht. 240 % Einfach e Bots 69% Akzepti eren Cookies 30% Execute JavaScri pt 1% Die durchschnittliche DDoS Attacke ist um 42% grösser gegenüber dem Vorjahr. Source: Incapsula, Inc. 2014, 2014 Verizon Data Breach Investigation Report Bots werden intelligenter - 30% können nun Cookies akzeptieren.

18 Verteilte Denial of Service Angriffe (DDOS) DDoS Angriffe auf Netzwerkebene Verbrauchen die gesamte zur Verfügung stehende Bandbreite um legitimen Zugriff auf Webseiten zu verhindern Legitimer Verkehr DDoS Angriffe auf Applikationsebene Eine hohe Anzahl an Anfragen an die Webapplikationen überfordern den Webserver, dieser kann auf legitime Anfragen nicht antworten oder der Betrieb wird komplett eingestellt Die Webseite ist nicht mehr verfügbar. Web Server Anfragen an den Webserver 18 Confidential

19 Ein neuer Ansatz im Bereich Sicherheit wird benötigt Traditionelle Firewalls erkennen nur Netzwerkangriffe Inspizieren nur IP Adresse, Port / Service Nummer IPS und NG Firewalls erkennen nur bekannte Signaturen Verstehen kaum Applikation; hohe false positive -Gefahr Limitiertes User/Session Tracking; geringer Schutz bei SSL verschlüsseltem Verkehr Nur Web Application Firewalls erkennen Applikationsangriffe und können die Daten interpretieren Application Schicht Application (Layer 7) Transport Schicht Protocols (OSI Layer 4 6) Netzwerk Schicht Network Access (OSI Layer 1 3) 19

20 Web Application Security: Anwendungsfälle Compliance und rechtliche Aspekte Schutz der Web Applikationen IT Betrieb Virtuelles Patching DDoS Protection Geschäftsfeldinteressen Site Scraping Prevention Fraud Prevention Legacy Application Security Hosted Application Protection 20

21 Warum müssen Webapplikationen geschützt werden? 96% aller Webapplikationen haben Schwachstellen 1 75% aller Internetangriffe zielen auf Applikationen 2 Die Angriffe werden immer Anspruchsvoller Starke Zuwächse durch Automatisierung, Google-Hacking Wachsende Gefahren: L7 DDoS, CSRF, Botnets, massive SQL Injections, Site-Scraping 1 White Hat - statistic for initial examination; 2 Gartner Research 21

22 Web Application Angriff: Praxisbeispiel Secure Sphere konnte alle Phasen dieses Angriffs blocken! Phase I Technischer Angriff Phase III Angriff auf die Business Logik Scanner wie z.b. Nikto Phase II Technischer Angriff Havij SQL Injection Tool LOIC Applikation 22

23 Phase I: Imperva Application Defense Center (ADC) Das Imperva ADC analysiert neue Gefahren die rund um die Welt gemeldet werden. Das ADC analysiert ständig realen Webverkehr & führt Penetrationstests durch, um bisher unveröffentlichte Schwachstellen zu finden Interne Anwender Webserver SecureSphere Imperva Application Defense Center 23 INTERNET Neue Abwehrmechanismen werden automatisch an die SecureSphere Appliances übermittelt

24 Phase II: SecureSphere stoppt SQL Injection, XSS Blockt definitive Übereinstimmungen, sendet verdächtige Anfragen an die SQL Injection Engine SQL Injection Engine blockt angepasste Angriffe /login.php?id=5 or 1=1 Hacker SQL Injection SecureSphere WAF Signatur, Protokollabweichungen SQL Injektion Engine mit Profil Analyse Web Server Die erweiterte Analyse reduziert ganz erheblich die Gefahr von False Positives und Negatives 24

25 Phase III: Wie SecureSphere Application DDoS blockiert Low-Orbit Ion Cannon (LOIC) DDoS Tool Öffnet 200 Anfragen pro Sekunde über ein Browser Fenster Spezielle DDoS Policy erkennt die hohe Anzahl an Anfragen in einem Zeitraum, modifiziertes URL oder unbekannte HTTP Methoden 25

26 Site Scraping - Anwendungsbeispiel Herausforderung einer Firma im Finanzsektor: Site Scraper kopieren und veröffentlichen Aktienkurse auf anderen Webseiten Spammer injizieren Werbung in Foren Bestehendes IPS hat nur mehr Arbeit gemacht Kommentar-Spam in Foren SecureSphere WAF SecureSphere Blockt Scraping und Spam in Kommentaren Blockt zuverlässig Angriffe auf Webseiten Site Scraper stehlen Daten 26

27 Korrelierte Angriffsprüfung Wie können Webapplikationen geschützt werden? Signaturen HTTP Protokoll Überprüfung Cookie Schutz } Technischer Angriffsschutz IP Reputation Dynamic Profiling Anti-Scraping Policies Bot Mitigation Policies IP Geolocation Web Fraud Detection } Business Logic Attack Protection Schutz vor Betrug 27

28 Imperva SecureSphere Web Application Firewall Anerkannter Marktführer Die am weitesten verbreitete WAF der Welt Setzt immer wieder neue Standards im Bereich Websicherheit Web Server Internet SecureSphere WAF Zuverlässiger Angriffsschutz Einfach zu installieren und zu verwalten 28

29 Virtuelles Patching durch Schwachstellen-Scanner Integration Erstellen von Regeln basierend auf den Resultaten eines automatisierten Scans Monitoring von Versuchen, Schwachstellen auszunutzen Automatisches Beheben von Schwachstellen Customer Site Scanner finden Schwachstellen Maßgeschneiderter Schutz der Web Applikation SecureSphere importiert Scan Resultat 29

30 Schnelles und kostengünstiges Absichern von Applikationen 116 Tage: durchschnittliche Zeit um eine Verwundbarkeit zu beheben 1 Schwachstelle gefunden Programmierfehler behoben System geschützt Mit den SecureSphere Standard Security Policies und virtual patching reduziert sich dieses Fenster von 116 Tagen auf 0-5 Tage Schwachstelle gefunden Virtueller Patch System geschützt SecureSphere kann auch Schwachstellen beheben, die nicht durch Scanner gefunden wurden. 1 WhiteHat Website Security Statistics Report, Winter

31 PROFIL ÄNDERUNGEN Dynamic Dynamic Profiling Profiling über einen Over Time Zeitraum Verkürzt die Implementationszeit von Monaten auf Tage Macht ständige manuelle Anpassungen durch den Administrator überflüssig 5-15 Änderungen pro Woche und nicht 5-30 Arbeitsstunden für Konfiguration Versteht die Applikation und Ihre Anwendung Adaptiert automatisch Änderungen in der Applikation Jun 06. Jun 11. Jun 16. Jun 21. Jun 26. Jun 31

32 Zugriff aus bestimmten Ländern kann eingeschränkt werden Mit dem Feature IP Geolocation ist es möglich, Zugriffe aus definierten Ländern zu blocken oder zu überwachen Kann mit Bot Rules kombiniert werden um granulare Kontrolle zu ermöglichen Reduziert unerwünschten Verkehr auf die Webseiten Kann für Compliance-Zwecke verwendet werden (EAR, OFAC) z.b. verhindern, dass Banken Geld in bestimmte Länder überweisen Regeln im Bereich Geolocation Geolocation Daten in den Security Alarmen 32

33 Wie ThreatRadar Reputation arbeitet 1. Globale Quell-Überwachung von Angriffen ThreatRadar Servers Web Servers 2. Verteilung der Informationen an die Web Applikation-Firewalls Phishing Sites Anonymous Proxy & TOR Malicious IPs 3. Blockt bösartige Quellen 33

34 Integration in das Firmennetzwerk Imperva Incapsula WAF & DDoS Protection Enterprise Branch Offices File Activity Monitoring Imperva Agent Network Monitoring Imperva Agent SecureSphere for SharePoint Database Activity Monitoring Network Monitoring Native Audit Web Application Firewall INTERNET Internal Users Management Server (MX) 34 Confidential

35 Imperva SecureSphere WAF Umfassende Lösung für Web Applikationen Ausgereiftes System, seit vielen Jahren auf dem Markt - marktführend Einfach zu installieren, geringer Administrationsaufwand im Betrieb Vielfältige Installations- und Integrationsmöglichkeiten Selbstlernend durch dynamic Profiling Correlation Policies: veringern die Gefahr von False Positives Integration von zusätzlichen externen Quellen Threat Radar Imperva SecureSphere Die Komplettlösung für die dritte Säule der IT-Sicherheit 35

36 36

37 Incapsula Cloud 37

38 Wie es funktioniert Bots DDoS Performance DDoS Mitigation Load Balancing Legitimate Traffic Incapsula Network WAF Your Servers Spammers Hackers Durch eine Umleitung des Datenverkehrs der Internetpräsenz werden ungewollte Anfragen geblockt und nur legitime Anfragen weitergeleitet 38

39 2 Optionen zum Umleiten des Verkehrs DNS Umleitung BGP Routing (Kunde muss eigenes Class C Netzwerk besitzen) 39 Confidential

40 Das globale Incapsula Netzwerk 30 Point of Presence (POP) weltweit 1.5Tbps Kapazität Kunden 41 Confidential

41 Vielen Dank für Ihre Aufmerksamkeit! 42