Ich sehe was, was Du nicht siehst Aufspüren von gezielten Angriffen mit der Symantec Unified Security Analytics Platform

Transkript

1 Ich sehe was, was Du nicht siehst Aufspüren von gezielten Angriffen mit der Symantec Unified Security Analytics Platform Alexander Peters CISSP, CCSK Manager Office of the CTO

2 WIR SEHEN, WAS ANDERE NICHT SEHEN 175M Endpunkte 57M Sensoren in 157 Ländern 182M Web angriffe blockiert in 1 Jahr 4Brd Reihen von Telemetrie-Daten 100 Mrd mehr/month 30% der Weltweiten Unternehmens- 1.8 Mrd Web Anfragen / Tag 9 Threat Response Centers 500+ Security Response Mitarbeiter Copyright 2015 Symantec Corporation 2

3 Symantec Internet Security Threat Report 20 Angreifer werden schneller Zero-Days Digitale Erpressung Malware wird schlauer M neue Malware Varianten =1M neue Schadcode s / Tag Top 5 blieben 295 Tage ungepatched 113% Anstieg bei Ransomware 45X mehr Geräte 28% von Malware ist Virtual Aware Diverse Zielgruppen >80% große Unternehmen Gesundheit + 37% Handel +11% Bildung+ 10% Regierung +8% Finanz +6% Source: Symantec Internet Security Threat Report

4 WETTRÜSTEN IN DER IT-SICHERHEIT Advanced Persistent Threats (APT) Korrelation Threat Intelligence Sandboxing Daten-Korrelation Komplexe Malware, Social Engineering, Ransomware, Spyware Erweiterte Technologien Datei Reputation Heuristiken Viren, Würmer, Schadcode Anti-Virus Signatur-basierter Schutz Black-Listing 4

5 ADVANCED PERSISTENT THREATS 1. AUFKLÄRUNG 3. ERKUNDEN 5. AUSSCHLEUSEN 2. EINDRINGEN 4. SAMMELN WEAPONIZATION DELIVERY EXPLOITATION C&C - ACTION 5

6 Je schneller man Angriffe erkennt, desto geringer der Schaden ERKUNDEN SAMMELN Kosten ( ) Daten-Verlust AUSSCHLEUSEN Kosten bei Daten- Verlust ~$3.5m schnelle Erkennung und Behebung zahlt sich hier aus! Zeit 6

7 Detect & Respond Fähigkeiten sind kritisch Üblicher Ansatz VORBEREITEN SCHUTZ AUFDECKEN HANDELN WIEDER- HERSTELLEN Vorfall Advanced Threat Protection 7

8 ADVANCED THREAT PROTECTION SANDBOX KORRELATION ANALYSE Physical & Virtual Detonation & Priorisierung Einmal erkannt, Überall finden HANDELN Blockieren, Bereinigen, Beheben Global Intelligence Exportierte Daten ENDPUNKT NETZWERK DRITT- HERSTELLER 8

9 Symantec Enterprise Security Copyright 2015 Symantec Corporation 9

10 Unified Security Analytics Indicators of Breach / IoCs URLs & file hashes Angriffs- Muster & Quellen Korrelation über Systeme Relevante Informationen & Daten T h r e a t I n t e l l i g e n c e Muster & Anomalien erkennen Kontext Anwenden U n t e r n e h m e n Korrelation & Priorisieren Endpunkt, Netwerk, Rechenzentrum G e r ä t e 10

11 Unified Security Analytics Unified Security Anwendungen Unified Security Dritt-Hersteller Managed Services ATP: ATP: ATP: TBD TBD TBD Endpoint Network Unified Security Platform PRESENTATION SERVICES LAYER DATA LAYER Kunden Portal Collection & Enrichment Services KUNDEN-DATEN Reports & Dashboards Analytics Dienste (Batch & Real-Time) Interaktive Visualisierung Unified Incident Hub Integration Services (Detect/Protect Engines) GLOBAL DATA Kollektoren & Kontroll-APIs Telemetrie & APIs CSPs Cloud security (z.b. für AWS) Symantec.cloud (z.b. , Web) Symantec Lösungen (z.b. SEP, DLP, DCS) Dritt-Hersteller (z.b. Firewalls) 11

12 Data Analytics Unified Security Analytics Platform Data Analytics & Anwendungs-Komponenten PRESENTATION LAYER APIs Dashboard Interactive Visualizations Reports Search Customer Portal / UI Framework / Application Executive Incident Investigation SERVICES LAYER Collection & Pre-processing Analytics Services (Batch & Real-Time) Entity Correlation Incident Manager 3 rd Party Apps DATA INFRASTRUCTURE LAYER Ingestion Gateways Post-processing Pseudonymization Big Data Processing Data Access Control Stream Processing APPLICATION MANAGEMENT LAYER Signaling Catalog Identity Reporting Alerts Assets Message Bus Command Config Events Anwendung DATA LAYER PII Data Data Stores Data Stores Non PII Data Global Catalog MDR/CMDB Events Reports/SQL Authoritative Data Lakes (HDFS) Application Data 12

13 Unified Security Analytics Anwendungen Risk Insight Incident Investigation Targeted Attack Detection ROI Analyse Risk Advisor & Benchmarking Attack-Chain Analyse Inicators of Compromise IT-Sicherheits Investitionen besser steuern 13

14 Ich sehe was, was Du nicht siehst Aufspüren von gezielten Angriffen mit der Symantec Unified Security Analytics Platform Alexander Peters CISSP, CCSK Manager Office of the CTO