Strategie und Herausforderung in der IT Security Patrick Ruch, Senior System Engineer Copyright Fortinet Inc. All rights reserved.
Evolution der IT Sicherheit Security ROI? Security Strategie! Threat Intelligence Überwachung & Steuerung Höhere Sicherheit Geschäftsrelevanz? Vernetzung Internet Hacking as a Challenge Prozessoptimierung Perimeter Sicherheit 07. Juni 2018 Copyright Fortinet Inc. All rights reserved. Integration & Automatisierung Proaktive Sicherheit Digitalisierung Hacking as a Service Hacking as a Business InformationsSicherheit
Evolution der IT Sicherheit Security ROI? Threat Intelligence Security Strategie! Überwachung & Steuerung Proaktive Sicherheit Vernetzung Integration & Automatisierung Perimeter Sicherheit 07. Juni 2018 Copyright Fortinet Inc. All rights reserved. InformationsSicherheit
Evolution der IT Sicherheit Security ROI? Threat Intelligence Security Strategie! Überwachung & Steuerung Proaktive Sicherheit Vernetzung Integration & Automatisierung Perimeter Sicherheit 07. Juni 2018 Copyright Fortinet Inc. All rights reserved. InformationsSicherheit
Evolution der IT Sicherheit Security ROI! Threat Intelligence Security Strategie! Überwachung & Steuerung Proaktive Sicherheit Vernetzung Integration & Automatisierung Perimeter Sicherheit 07. Juni 2018 Copyright Fortinet Inc. All rights reserved. InformationsSicherheit
Nur wer die Vergangenheit kennt, hat eine Zukunft! Wilhelm von Humboldt
Balance Geschäft Risiko
Corporate Overview Network Security Leader Fortinet is among the top 5 public cybersecurity companies in the world. Its broad portfolio of solutions spans Network, Infrastructure, Cloud, and IoT Security. $10B Mkt Cap $1.8B 2017 (billings) 350,000 + Customers 30% of Appliance Shipments Worldwide 10
Ist Ihr Security-RoI ausreichend? Bestandsaufnahme in vielen Unternehmen: Reaktiver Ansatz führte zu vielen Punktlösungen Hohe und historisch gewachsene Komplexität Unzureichendes Fachpersonal für die Pflege der Sicherheitsinfrastruktur Fehlende Integration der Sicherheitssysteme Unzureichender Return on Invest : Hohe Kosten aber noch immer unzureichender Schutz! ROI
Wie nachhaltig ist Ihre Sicherheitsstrategie? Gestalten Sie IT Sicherheit proaktiv oder reagieren Sie nur nach neuen Vorfällen? Welche Sicherheitsziele haben Sie und welche Risiken nehmen Sie bewusst in Kauf? Wie Überwachen Sie die Einhaltung Ihrer Sicherheitsvorgaben? Wer trägt die Verantwortung für Sicherheit? Beschaffen Sie Produkte oder unterhalten Sie strategische Partnerschaften mit Dienstleistern und Herstellern für den Aufbau integrierter und automatisierter Sicherheitsinfrastrukturen? Strategie
In welchem Umfang sind Ihre Sicherheitsabläufe heute bereits automatisiert? Welche Schnittstellen existieren zwischen Ihren Sicherheitssystemen? Wie viel Zeit vergeht, bis ein infizierter Client isoliert ist? Wie hoch ist Ihr Aufwand bei der Implementierung und dem Betrieb, um die unterschiedlichen Sicherheitssysteme zu integrieren? Automation
Wie Überwachen Sie Ihre IT Infrastruktur hinsichtlich potentieller Sicherheitsrisiken? Wie lange dauert es, bis Sie einen gezielten Angriff feststellen? Wie treffen Sie Entscheidungen hinsichtlich des Umgangs mit einem Angriff? Wie ermitteln Sie die geschäftliche Relevanz eines Angriffs und erforderlicher Abwehrmaßnahmen? Wie messen Sie den Erfolg Ihrer Sicherheitsinvestitionen? Welchen Aufwand haben Sie, um die Einhaltung von internen und externen Compliance Vorgaben nachzuweisen? Überwachung
Wie binden Sie globales Wissen ( Threat Intelligence ) in Ihre täglichen Sicherheitsabläufe ein? Wie nutzen Sie globales Wissen in Ihren operativen Entscheidungen? Wie tauschen Sie sich mit anderen Unternehmen über die aktuelle Gefahrenlage aus? Welche Dienstleistungen nutzen Sie, um Ad- Hoc über neue Risiken informiert zu werden? Wie regelmäßig stellen Ihnen Ihre IT Sicherheitspartner System- und Signaturupdates bereit? Threat Intelligence
Fortinet Vernetzung 2 1 1 2 3 4 5 FortiGate FortiExtender FortiSwitch FortiADC FortiAP / FortiWLC 4 3 5 16
Fortinet Wireless Lösungen Infrastructure (Dedizierter Controller) Integrated (Integrierter Controller) Cloud (Cloud Management) FortiGate WLAN Management FortiGate + WLAN Management Cloud Switch AP Switch AP Switch AP Hohe Clientdichte Viel Mobilität Hoher Bandbreitenbedarf Schwierige Umgebungen z.b. Hotels, Messen, Lager, Schulen, Universitäten, Produktionsumgebungen Ideale Ergänzung für bestehende Fortigate Kunden Normalen, nicht unternehmenskritischen Umgebungen z.b. Office Viele Niederlassungen ohne Infrastruktur Vorort Geringe Anzahl an Clients und APs Vorort z.b. Baumarkt, Drogeriemarkt 17
Fortinet Firewalls Ein zentrales Management Globale & lokale Sicherheitsupdates Ein einheitliches Betriebssystem Gerät Zugang Netzwerk Cloud Endpunkt WLAN / LAN Rugged Verteilte Unternehmen Segmentierung, Edge, Niederlassungen Data Center Carrier Class SDN Provisioned Private Cloud IaaS/SaaS Public Cloud Device >1G Appliance >5G Appliance >30G Appliance >300G Chassis >Terabit Distributed NSF Virtual Machine SDN/NFV Virtual Machine On Demand Client Embedded System on a Chips Packet and Content Processor SPU Flow Based SPU Hardware Dependent 18
Fortinet Informationssicherheit 1 4 2 3 5 1 2 3 4 5 FortiWeb AV, Web Security FortiMail AV, DLP FortiGate AV, DLP, IPS, AC FortiClient / User Sensibilisierung FortiProxy AV, DLP, URL 4 19
Typischer Ablauf eines zielgerichteten Angriffs Sowohl Gateway-AV als auch Client- AV schlagen nicht an, da es sich um einen Zero-Day Exploit handelt vermeintlich saubere Email mit Anhang oder aktivem Inhalt bösartiger Link in Email / Aufrufen einer bösartigen Webseite Zero-day Exploit unbekannte Datei durchläuft AV-Filter Anti-Spam / Anti-Virus Web Filtering Intrusion Prevention Gateway-Anti-Virus Exploit Malware bösartige Webseite Command & Control Center Abfluss von Daten via Botnet oder versteckter Email App Control/ IP Reputation verschlüsselte Kommunikation durchläuft Filter, wenn keine SSL-Interception aktiviert ist 20
Malware Goodware I don t know Ware AV-Engines AV-Engines Known Good Probably Good Might be Good Completely Unknown Somewhat Suspicious Very Suspicious Known Bad Whitelists Reputation: App Signatures Digitally signed files Heuristics Reputation: App, Email Generic Signatures Blacklists Signatures 21
Malware Goodware I don t know Ware Was ist Sandboxing? Verhaltensanalyse VIRTUELLE END-USER UMGEBUNG Code/File wird in einer virtuellen Umgebung ausgeführt Ziel ist es eine Workstation zu emulieren Verhalten in dieser Umgebung wird analysiert Tracer-Engine ist für das Rating verantwortlich Nachladen von Files wie Viren / Exploits Registry Veränderungen Ausgehende Verbindung zu Malicious IPs Änderungen an Prozessen Veränderungen am Dateisystem (löschen / ändern von Files ) Unsafe action, escape attempt X Controlled communication inspection 22
Typischer Ablauf eines zielgerichteten Angriffs Sowohl Gateway-AV als auch Client- AV schlagen nicht an, da es sich um einen Zero-Day Exploit handelt vermeintlich saubere Email mit Anhang oder aktivem Inhalt bösartiger Link in Email / Aufrufen einer bösartigen Webseite Zero-day Exploit unbekannte Datei durchläuft AV-Filter Anti-Spam / Anti-Virus Web Filtering Intrusion Prevention Gateway-Anti-Virus Exploit Malware bösartige Webseite Command & Control Center Abfluss von Daten via Botnet oder versteckter Email App Control/ IP Reputation verschlüsselte Kommunikation durchläuft Filter, wenn keine SSL-Interception aktiviert ist 23
Malware Goodware I don t know Ware AV-Engines FortiSandbox AV-Engines Known Good Probably Good Might be Good Completely Unknown Somewhat Suspicious Very Suspicious Known Bad Whitelists Reputation: App Signatures Digitally signed files Sandboxing Heuristics Reputation: App, Email Generic Signatures Blacklists Signatures 24
FortiSandbox Optionen flexible Lösung Cloud VM-based - Appliances / Cluster FortiSandbox 3500D FortiSandbox 3000E FortiSandbox 2000E FortiSandbox VM FortiSandbox 1000D VMs bis zu 8 8 8-24 8-56 36-60 25
Fortinet Security Fabric A Security Architecture that provides: BROAD Visibility & Protection of the Digital Attack Surface INTEGRATED Detection of Advanced Threats AUTOMATED Response & Continuous Trust Assessment Delivered as: Appliance Virtual Machine Hosted Cloud Software 26
SECURITY FABRIC VISIBILITY 27
SECURITY FABRIC AUTOMATION System Status Threat Events IOC Detection Config Change Notification Quarantine API Call TRIGGERS AUTOMATION ENGINE ACTIONS Automated workflows (Stitches) using triggers to deliver appropriate actions» Easy creation using wizards» Covers components within a security fabric 28
Fabric-Ready Ecosystem Partners MANAGEMENT ENDPOINT CLOUD/NFV/SDN FABRIC API VULNERABILITY/SIEM TECHNOLOGY IOT/OT/NAC/IDENTITY FABRIC CONNECTORS 29
SIEM - Hintergründe WARUM SIEM Regulierungen zwingen Unternehmen zur Logdaten-Speicherung. PCI/DSS 1 Jahr, ISO 27001 / BS 7799-2 (BSI) 6 Monate Echtzeitkorrelation mehrerer Events verschiedener Geräte um ungewöhnliches Verhalten zu identifizieren. Hacking, Malware, Insiderverhalten. Steigern der Sichtbarkeit von Vorfällen über das Unternehmen. Verringern der Reaktionszeit auf Vorfälle. ANWENDUNG Fehlererkennung bei der Bereinigung von Clients Warnung vor möglichen Brute Force Attacken Erkennung interner Bedrohungen Protokollieren von Account Missbräuchen Erkennen verdächtiger Server & Geräte Erkennen von Log-Daten Manipulation Überwachung der Service Verfügbarkeit Zugangsversuche außerhalb der Geschäftszeiten Compliance Prüfung Forensische Untersuchungen Erkennen von Export großer Datenmengen 30
FortiSIEM Funktionalitäten - Überblick Performance Verfügbarkeit Sicherheit System Application Storage Baselines and custom metrics Up / down Synthetic transaction BGP/OSPF/EIGRP status change Log aggregation Analytics Threat intelligence Compliance reports 31
FortiSIEM Key Features und Funktionalitäten Single Pane of Glass Only NOC & SOC Analytics Rapid & Flexible Integrations Infrastructure Multi-Tenant Architecture Policy Secure Devices Sandboxing Rapid Scale Architecture Real-Time Asset/Config. Discovery Gartner SIEM Criteria Real-Time Analytics (patented) Secure WLAN Network Secure LAN Analytics Application Log Analysis Behavior Profiling Data & User Monitoring Deployment/Support Simplicity Log Management Real-Time Monitoring Threat Intelligence FortiSIEM Threat Intelligence Partner Integrations Email Security Access Secure Cloud Access Security Fabric Web Security 32
FortiSIEM Hunderte vorgefertigte Berichte Compliance Berichte PCI HIPAA FERPA SOX, NERC, COBIT, ITIL, ISO, GLBA, GPG13 SANS Critical Controls 2.000+ editierbare Felder 33
Fortinet Threat Intelligence 34
Wer ist Fortinet FOUNDED IN 2000 BY KEN XIE 100+ OFFICES ACROSS THE GLOBE IN EXCESS OF $1bn REVENUE $1.5bn IN CASH 3.4m SHIPPED SECURITY DEVICES 350K CUSTOMERS 5,000+ HEADQUARTERED IN SUNNYVALE CALIFORNIA EMPLOYEES WORLDWIDE GROWTH YEAR ON YEAR PATENTS ISSUED 263 IN PROCESS 36
Corporate Overview Network Security Leader Fortinet is among the top 5 public cybersecurity companies in the world. Its broad portfolio of solutions spans Network, Infrastructure, Cloud, and IoT Security. $10B Mkt Cap $1.8B 2017 (billings) 350,000 + Customers 30% of Appliance Shipments Worldwide 37
Fortinet verbessert Ihren Security Return on Invest! Fabric Integration Reduzierter Aufwand bei der Integration und Inbetriebnahme Geringerer Pflegeaufwand schont Ressourcen Hohe Automation erhöht das Sicherheitsniveau Technologieführerschaft und R&D Fokus Investitionsschutz Finanzielle Stabilität: Cash-Reserven und Profitabel Langfristige Partnerschaft und bedarfsgerechte Anpassung Ihrer Sicherheitsarchitektur Hohe Durchsatzraten + attraktive Konditionen marktführendes Preis- Leistungsverhältnis 38
GDPR - Hintergründe PFLICHTEN Ernennung eines Datenschutzbeauftragten Recht auf vergessen werden Strenge Anforderungen im Bezug auf Verwendung benutzerbezogener Daten Meldung von Datenschutzverletzungen unverzüglich, jedoch nicht später als 72 Stunden nach Bekanntwerden SANKTIONEN Strafen bis zu EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes Abhängig von: der Art, Schwere und Dauer des Verstoßes wer hat den Schaden gemeldet technische und organisatorische Maßnahmen hinsichtlich Prävention von Verstößen Einhaltung bestehender Datenschutzverordnungen (Privacy by Design) Eventuell Schadensersatzansprüche betroffener Nutzer 40
GDPR Herausforderungen Kosten Vielzahl an Produktschulungen für IT-Mitarbeiter Vielzahl an Supportverträgen Einkauf/Wartungsverlängerung Mangel an Sicherheitsexperten Sicherheitsstandard/Incident Reporting Durch Knowledge Gaps entstehende Schwachstellen/Risiken Isolierte Funktionalitäten Integration/Überwachung Effektivität oftmals schwierig Kein einheitlicher Sicherheitsstandard, da mangels Vernetzung kein Informationsaustausch möglich ist Mangelnde Visibilität und dadurch erschwertes Incident Handling/Reporting Komplexität Für jedes Problem eine weitere Lösung unübersichtliches Konstrukt an Lösungen/Funktionalitäten Aufnahmefähigkeit der Mitarbeiter begrenzt Aktueller Stand verschiedener Lösungen nur schwer überprüfbar und zu gewährleisten 41
GDPR Fortinet Lösungsansätze Überwachung Systeme mit personenbezogenen Daten FortiSIEM, FortiManager, FortiAnalyzer Automatisierung Automatische Abwehr von Angriffen auf personenbezogene Daten Fortinet Security Fabric Zusammenarbeit Unternehmensübergreifender Wissensaustausch FortiGuard Wichtige Fragen: Auf welchen Systemen werden heute personenbezogene Daten gespeichert und verarbeitet? Wer darf auf diese Systeme zugreifen? Wie sind die Systeme aktuell geschützt bzw. wie werden diese Systeme überwacht? 42
IoT - Hintergründe Energy: Smart meters, production and distribution telemetry, smart appliances, smart grids / supply and demand optimization Manufacturing: RFID & supply chain optimization, field service, logistics, mining, fleet management Oil & Gas: land survey, extraction & environmental telemetry, supply & distribution automation, pipeline safety, real-time market arbitrage. Estimates are 1.5 TB / day of data Government: Emergency management, drones, smart cities, device, optimizing private & public transportation networks, unmanned vehicles (air, land and sea) Healthcare: patient medical devices, hospital monitoring, remote care, medical alerts Retail: Consumer insights, personalized shopping, smart signage, enhance customer service & workflow, loss prevention, omni channel sales, smart shelves & inventory, supply chain visibility, JIT promotion. 44
IoT - Herausforderungen Kunden mit Interesse an IoT Security Services In 1-2 Jahren: 28.6% In 2-3 Jahren: 21.4% Die Verwendung von IoT nimmt zu Wie viele vernetzte Geräte nutzen sie in ihrem Unternehmen? 35% 32% 85% der globalen Unternehmen planen, evaluieren oder haben bereits eine IoT Strategie. The Risks Frühestens in 3 Jahren: 7.1% 5% Innerhalb 12 Monaten: 19.4% Dringender Bedarf: 23.5% 1% 20% 8% Keine Weniger als 100 100-999 1,000-4,999 5,000+ Weiß ich nicht 10% der Unternehmen sind zuversichtlich, dass ihre verbundenen Geräte sicher sind. 45
IoT Fortinet Lösungsansätze Managed IOT Tolerated IOT Rogue IOT LERNEN Die Kommunikation aller Geräte wird in der FortiGuard Geräte-DB, FortiSIEM-DB und anderen externen Gerätebeständen zusammengeführt um ein Echtzeitprofil zu erstellen. Die Profile werden in Echtzeit hinzugefügt, gelöscht und modifiziert The Risks got IoT? Managed Assets Critical Assets SEGMENTIEREN IoT Geräte werden abhängig von ihrem Risikoprofil durch die Security Fabric segmentiert. Zusätzliche Richtlinien können angewendet werden um die Kommunikation mit bestimmten Benutzern, Applikationen und Netzwerken einzuschränken Abhängig vom Typ des IoT Gerätes können zusätzliche Authentisierungsregeln definiert werden um den Zugang zum Netzwerk zu kontrollieren. 46
Ransomware - Hintergründe GRÜNDE Erpressung Manipulation (Aktienkurse,...) Herbeiführen von Reputationsschäden Datendiebstahl Herausforderung Wettbewerbsvorteile URSACHEN Unzureichend gepatchte Systeme Unzureichende Passwort-Richtlinien Nichtvorhandene Schutzmaßnahmen Unzureichende Sensibilisierung der Mitarbeiter Veraltete Systeme/Technologie Informationsgewinnung 48
Ransomware Beispiel Kryptotrojaner In Q1 2016 fand statistisch gesehen alle 2 Minuten ein Ransomwareangriff statt in Q3 alle 40 Sekunden. 2015 enthielten nur 0,6% der Spammails Ransomware 2016 waren es hingegen 40% Deutschlandweit ist jedes dritte Unternehmen betroffen 10% der betroffenen Unternehmen in Deutschland verlieren ihre Daten dauerhaft 20% der Erpressten erhalten ihre Daten trotz Lösegeldzahlung nicht wieder Quellen: Ostermann Research, BSI, Wirtschafts Woche 49
Ransomware - Herausforderungen STRATEGIE Aktualisierungen und Backups überprüfen OS neu installieren statt wiederherstellen AV Scan Kurzfristig SMB deaktivieren wenn nicht verwendet Prüfung auf Schwachstellen (Sicherheitsstrategie?) Langfristig Netzwerksegmentierung / -Isolation Sicherer Umgang mit Adminaccounts Sandboxing (0day) Testen der Sicherheitsstrategie Mitarbeiterschulung Verwendung von Threat Intelligence 50
Ransomware Fortinet Lösungsansätze Use case 1: Ransomware via Emails» Abwehr bekannter Bedrohungen» Weiterleitung verdächtiger Anhänge/Mails an Sandbox Reptuation- und Verhaltens- basierte Analyse der eingehenden Emails. Verdächtige und potentiell schadhafte Inhalte werden an die FortiSandbox zur weiteren Überprüfung weitergeleitet Geprüfte Emails werden and den Mailserver weitergeleitet Internet Network Traffic FortiGate FortiMail Überprüfte Emails Geprüfte Downloads werden an den Arbeitsplatz weitergeleitet Use case 2: Ransomware via Downloads» Abwehr bekannter Bedrohungen» Weiterleitung verdächtiger Downloads an Sandbox Downloads 2 Email Verkehr 1 Feedback an FortiGuard Sandbox Überprüfung Use Case 3: Ransomware Endpoint» Erkennt und blockiert verdächtige Emails/Anhänge» Sandbox verteilt Updates an FortiClient um proaktiv verdächtige Inhalte zu am Endpoint zu blockieren Vollständige Überprüfung von Downloads. Verdächtige und potentiell schadhafte Inhalte werden and die FortiSandbox weitergeleitet Mobile Mitarbeiter FortiCliente/VPN FortiSandbox filtert, überprüfüt und analysiert Inhalte und leitet das Scan Ergebnis an alle verbundenen Funktionalitäten weiter,. 51
Cloud - Hintergründe Mehr und mehr Unternehmen denken über Cloud als Bestandteil der Business Strategie nach oder sind bereits in der Migration zur Public- oder Hybrid Cloud. 75% 50% $141B der Unternehmen implementieren oder denken über Public Cloud nach. der Workload von Großunternehmen werden bis 2018 in die Public Cloud migriert. an Investitionen im Bereich Cloud sind bis 2019 bereits geplant. Quellen: IDC, Forbes 53
Cloud - Herausforderungen CLOUD SECURITY Multidimensional/Borderless - klassische Security Szenarien können nicht mehr angewendet werden Multi-tenancy Sicherheit auf virtuellen Systemen/East-West Traffic Segmentation Sicherheit innerhalb der Cloud / Host to Host Security Seperation of Dutys Zuständigkeiten Meldung von Sicherheitsvorfällen innerhalb der gesetzlichen Fristen Steigende Performance Ansprüche und Verfügbarkeit Data Privacy Ende zu Ende Kommunikation/Verschlüsselung Compliance/Haftungsabtretung an Cloud Provider 54
Cloud Fortinet Lösungsansätze Virtualization Private Cloud Hybrid Hybrid Public Cloud Hypervisor Port SDN - Orchestration Integration On-Demand East-West North-South IaaS Cloud Hypervisor NGFW WAF Management Reporting APT Connector API Flow SaaS Cloud Proxy CASI Broker API 55
FortiCASB Copyright Fortinet Inc. All rights reserved.
Extend Security & Control to Data Stored in the Cloud FortiCASB Cloud Access Security Broker SaaS Application Visibility and control for data stored in cloud services Enforce IT policies and provide compliance tools Prevent threats that propagate from cloud services 58
FortiCASB Deployed via Hosted API-based Service Admin FortiCASB SaaS App Remote Users On Premise Users FortiGate 59
FortiCASB SaaS Apps as of 2/15/2018 SaaS Provider API ACCESS DLP TOOLS USER MONITORING COMPLIANCE TOOLS AV AND SANDBOX BEHAVIOR/GEO ANALYTICS Office 365 OneDrive Salesforce.com Box Dropbox Google Drive AWS 60
FortiCASB GUI Web-based management portal Controls for each supported SaaS Application Dashboards help quickly identify risks Advanced reporting and metrics Simplified, up in minutes implementation 61
Advanced SaaS and Shadow IT Reporting Imports and aggregates FortiAnalyzer and FortiGate Sanctioned and Unsanctioned SaaS data with FortiCASB Consolidated FortiCASB dashboard with advanced analysis tools and reports Complete Shadow IT Report with risk overview and dashboard Expands FortiAnalyzer tools by adding extensive application database in FortiCASB On demand or automatic data feeds from FortiAnalyzer and FortiGate 62
FortiCASB experience SFDC Example Admin FortiCASB API Admin sets up users using Master SFDC Account via FortiCASB Users log in to SFDC directly FortiCASB enforces security and scans existing stored data On-premise Users Remote Users 63
FortiCASB and the Security Fabric MANAGEMENT-ANALYTICS Broad Expands Fabric to SaaS FortiSandbox/AV integration FortiGate Integrated FortiSandbox/AV integration FortiGate correlation/logging* FortiAnalyzer reporting Automated Central management Automatic/assisted mitigation Advanced policy tools NETWORK MULTI-CLOUD * Available in future update at no extra cost ADVANCED THREAT PROTECTION 64
FortiCASB Summary Visibility and Control for Data Stored in the Cloud Manage Data in SaaS Applications» Discover data stored outside organization» Control access and enforce policies» Compliance tools Prevents Threats to the Network» AV and anti-malware for cloud data» Prevents infected files from syncing with network» Minimizes threat propagation 65