Integrierter Bedrohungsschutz: Gezielte Angriffe frühzeitig erkennen und automatisiert bekämpfen. Torsten Jüngling, Director

Transkript

1 Integrierter Bedrohungsschutz: Gezielte Angriffe frühzeitig erkennen und automatisiert bekämpfen Torsten Jüngling, Director

2 Agenda IT-Security Lagebild Bedrohungsprognosen für 2016 Lösungsstrategien für reale IT-Bedrohungen Intel Security-Technologien als wirksamer Schutz 2

3 Lagebild und Erfahrungswerte 3

4 Sie benötigen ca. 10 Sekunden, um diesen Text zu lesen. In dieser Zeit sind 50 neue Bedrohungen im Internet aufgetaucht. Das sind 5 Bedrohungen in der Sekunde. Vielleicht auch eine in Ihrem Netzwerk!? Standard-Sicherheitsprodukte können hier nicht mithalten. Source: Labs 4

5 Der endlose Anstieg der Malware- Varianten setzt sich fort. Wir erwarten, dass die 500-Millionen- Marke Ende 2015 erreicht wird. Source: Labs

6 IT-Security Lagebild Erfahrungswerte & Ergebnisse aus umfangreichen Untersuchungen Schlechte Erkennungsraten bei gezielten Angriffen und Zero Days Langsame Reaktionszeiten im Falle eines Ereignisses Bedrohungsintelligenzen verteilt auf viele Lösungen Austausch von Bedrohungsinformationen eingeschränkt/nicht möglich Zunehmende Komplexität in der Verwaltung Wenig Standards für die Kommunikation und den Austausch von Bedrohungsinformationen SSL-Verkehr Phishing Sources: Verizon 2013 Data Breach Investigations Report. Securosis Malware Analysis Quant Metrics Model

7 Bedrohungsprognosen für

8 Angriffsfläche für Internetangriffe Mehr Angriffsfläche durch... mehr Benutzer mehr Geräte mehr Verbindungen Mangel an Sicherheitsexperten Möglicher Ausweg... mehr Automatisierung maschinelles Lernen vernetzte Kooperation vereinfachte Konfiguration

9 Entwicklung unterschiedlicher Gerätetypen Bis 2020 > 200 Milliarden vernetzte Geräte Wenig Zeit und Ressourcen für Sicherheit Smartphones und Tablets werden immer mehr zu Datensammelstellen Permanent aktive Geräte mit Cloud- Anbindung

10 Blick auf die nächsten fünf Jahre Bedrohungsprognose von Labs für 2016 Schwer erkennbare Angriffe Ransomware Schwachstellen Weitere Themenfelder: Zahlungssysteme Angriffe über Mitarbeitersysteme Cloud-Dienste Wearables, Fahrzeuge Internetspionage Hacktivismus Kritische Infrastrukturen Source: Labs

11 Herausforderungen Zielgerichtete, fortschrittliche Angriffe Komplexe, sich ändernde Umgebungen Informationsmangel Untersuchungen/ Wiederherstellung von Systemen nicht bzw. eingeschränkt möglich Multi Vendor- Strategien können die Leistung und Effizienz von Security-Lösungen ausbremsen 11

12 Lösungsstrategien für reale IT-Bedrohungen > Protect. Detect. Correct. < 12

13 Lösungsstrategien für reale IT-Bedrohungen Kontinuierlicher Abwehr von Bedrohungen durch > Protect. Detect. Correct. < Schnellere Reaktion Hoher Automatisierungsgrad Kostenreduktion Risikominimierung 13

14 Die ANGREIFER sind MITTEN unter uns Mehr SCHUTZ-Produkte allein sind nicht ausreichend wir müssen uns stärker um die ERKENNUNG und KORREKTUR kümmern. 14

15 Historisch gewachsene Sicherheit in Silos Der Kauf von Technologien ohne Integration erzeugt ein Sicherheits Chaos Endpoint Protection Firewall Gateway Network IPS Compliance Datenschutz Mobile SIEM KANN WIE? TIME. 15

16 Sicherheit in Silos Erzeugt einen falschen Eindruck des Unternehmensschutz Gesamt - kosten Sicherheitslage Einzelne Produkte Schichtweiser Ansatz Verfehlt ein Produkt schützt das nächste Reakt iv ZEIT Optimiert

17 Warum die Industrie umdenken muss Keine Integration und Standardisierung Hersteller-übergreifend Gezielte Angriffe Versuchs- und Irrtums- Methode Confiker ZEUS Angreifer hinterlassen Spuren - Informationen liegen nur in Silos vor WIE können wir diese Silos integrieren, um das große Ganze zu ermitteln X X X X X Schichtweises Sicherheitskonzept Integriertes Sicherheitskonzept

18 Sicherheit in Silos Nur ein integriertes Sicherheitskonzept bietet den nötigen Schutz Gesamt - kosten Sicherheitslage Einzelne Produkte Schichtweiser Ansatz Verfehlt ein Produkt schützt das nächste Integriertes Sicherheitskonzept Reakt iv ZEIT Optimiert

19 Der Bedarf für Kontext & Integration Nachträgliche proprietäre Integration erzeug Abhängigkeiten und Fehlerquellen Web Gateway Database Security Identity Management IPS Encryption Produkt zu Produkt Integrationen: n x (n-1) App & Change Control Network Firewall Mail Gateway Anti-Malware Wenn SECURITY MANAGEMENT Vulnerability 10Management Systeme miteinander kommunizieren wollen, benötigt man 90 API s Access Control Data Protection Für 30 Systeme braucht man schon 870 API s HIPS Mobile Security Virtualization Threat Analysis

20 Produkte Asset Data Exchange Layer Ein innovativer, in Echtzeit agierender und bi-direktionaler Kommunikationsbus für standardisierte und vereinfachte Produktintegration. Sicherheitskomponenten agieren als Eins um relevante Daten in Echtzeit zwischen Entgeräten, Gateways und anderen Sicherheitsprodukten auszutauschen. Risiko Aktivität Identität Bedrohungen Lokation Daten INTEL SECURITY CONNECTED FRAMEWORK ADAPTIVE SICHERHEITSARCHITEKTUR

21 Threat Intelligence Exchange-Konzept Integrierte Intelligenz in Echzeit Globale Intelligenz Intel Security Threat Intelligence Exchange Server EXTERNAL INTELLIGENCE VirusTotal GLOBAL THREAT INTELLIGENCE Intel Security COMPANY SPECIFIC INTELLIGENCE Kunden-Netzwerk HUMAN ORGANIZATIONAL INTELLIGENCE Kunden-CERT Unternehmensintelligenz

22 Die Frage aller Fragen! Was sind die internen Schritte, wenn Sie eine neue auffällige Datei entdeckt haben und wie lange dauert es vom Finden bis zum ganzheitlichen Schutz?

23 TraditionelleAblauf bei Vorfällen die Realität Zeit für die Kompromittierung Zeit für die Entdeckung Zeit für die Wiederherstellung Minuten Jahre - Monate Monate-Wochen Minimaler Aufwand für den Gegner Überforderte Sicherheits-Teams $$$ Katastrophale Auswirkungen $$$ 23

24 Für Geschäft und Sicherheit optimierter Ablauf Zeit für die Kompromittierung Zeit für die Entdeckung Zeit für die Wiederherstellung Monate Hours Stunden Minuten Signifikanter Aufwand für den Gegner Optimierte Sicherheits-Teams $ Minimale Auswirkungen $ 24

25 Der Unterschied Zeit für die Kompromittierung Zeit für die Entdeckung Zeit für die Wiederherstellung Minuten Jahre - Monate Monate-Wochen Monate Zeit für die Kompromittierung Hours Stunden Zeit für die Entdeckung Minuten Zeit für die Wiederherstellung 25

26 Intel Security-Technologien 26

27 Schutz for zielgerichteten Angriffen in der Praxis Global Threat Intelligence Data Exchange Layer TIE Server ATD Updated file information is shared instantly to all Unknown connected files are sent solutions, to ATD ATD determines for providing static and real-time dynamic file to be analysis malicious protection NSP Web Gateway 3 rd Party Solutions epo ESM MOVE TIE Endpoint Module TIE Endpoint Module DLP Endpoint Application Control

28 Threats Uncovered on Network Provide Local Threat Protection From Detect to Protect in Milliseconds TIE Server ATD NSP Web Gateway 3 rd Party Solutions Global Threat Intelligence Data Exchange Layer Intelligence shared to all connected solutions, providing real-time protection epo ESM MOVE TIE Endpoint Module TIE Endpoint Module

29 Web Gateway as a Source of Local Threat Intelligence. Global Threat Intelligence Data Exchange Layer TIE Server ATD Endpoints and other sensors are updated by TIE immediately, Gateway providing Web Protection reputation Anti-Malware for publishes zero-day the malware engine before new malware a detects new DAT is zero-day published reputation malware to TIE NSP Web Gateway 3 rd Party Solutions epo ESM MOVE TIE Endpoint Module TIE Endpoint Module DLP Endpoint Application Control

30 Application Control with Threat Intelligence Exchange Protects IaaS. TIE Server ATD NSP Web Gateway 3 rd Party Solutions Global Threat Intelligence Data Exchange Layer Request for information sent to TIE for lookup epo ESM MOVE TIE Endpoint Module TIE Endpoint Module DLP Endpoint Application Control Application Unknown Control process prevents is malicious discovered process on from Cloud running Server

31 Data Loss Prevention and TIE Preventing Possible Breach TIE Server NSP Web Gateway 3 rd Party Solutions Global Threat Intelligence Data Exchange Layer File: Possibly Malicious epo ESM MOVE TIE Endpoint Module TIE Endpoint Module DLP Endpoint Application Control Trust Level: Medium Action: DLP Monitors for Data Loss

32 Den Lebenszyklus von Bedrohungen im Griff Kontinuierlicher Abwehr von Bedrohungen durch Protect. Detect. Correct Schützen Bekannte und unbekannte Bedrohungen wirksam abwehren und ihre Verbreitung verhindern. Erkennen Herausfiltern von unauffälligen/versteckten Bedrohungen durch hochentwickelte Analysemöglichkeiten. Korrigieren Gezieltes Korrigieren von Problemen durch Priorisierung als Teil einer kontinuierlichen Recherche. Lernen/ Anpassen Erkenntnisse unmittelbar umsetzen durch integrierte Sicherheit. 32

33 Security Connected Platform Die Macht des Wissens vollständig nutzen? Weitere Datenquellen Teilw. Zukunft Organisatorische Intelligenz Security Administratoren Threat Intelligence Exchange Server Global Threat Intelligence Third-Party Feeds Globale Bedrohungs- Intelligenz Lokal verfügbares Bedrohungs Know-How Enterprise Security Manager Web Gateway Next Generation Firewall Gateway Advanced Threat Defense Endpoint Security Network Security Platform Threat Intelligence Sammeln, Überschreiben, Erweitern und Anpassen von Bedrohungs- Informationen aus unterschiedlichen Quellen. 33

34 Lösungsstrategien für reale IT-Bedrohungen > Protect. Detect. Correct. <

35 Vielen Dank für Ihre Aufmerksamkeit 35