Kohdistettujen hyökkäysten havainnointi ja estäminen FINLAND. Jon Estlander Technology Consultant. RSA, the Security Division of EMC FINLAND

Transkriptio

1 Kohdistettujen hyökkäysten havainnointi ja estäminen Jon Estlander Technology Consultant RSA, the Security Division of EMC 1

2 Agenda Mikä on kohdistettu hyökkäys Miten RSA-hyökkäys tehtiin ja miksi Kohdistettujen hyökkäysten havainnointi ja estäminen RSA Netwitness 2

3 Kohdistettu hyökkäys APT, Advanced Persistent Threat Hyökkääjällä on selkeä tavoite Kohteita voi olla useita Käytettävissä on tarvittava määrä resursseja Aikaa, rahaa ja osaamista Hyökkääjä ei anna periksi Käyttää montaa eri menetelmää Tiedon keruu, social engineering, spear phishing, haittaohjelma, etäkäyttö, tiedon salaus ja siirto Hyökkääjät eivät ole vain teknisesti taitavia 3

4 Esimerkki hyökkäyksestä: RSA, The Security Division of EMC Sosiaalisen median kautta haettiin sopivia kohteita Pienelle ryhmälle lähetettiin sähköpostia otsikolla 2011 recruitment plan Yksi työntekijä kaivoi meilin junk mail kansiosta ja avasi liitteenä olleen 2011 recruitment plan.xls tiedoston Tiedosto suoritti koodin, joka käytti hyväkseen flash playerin 0-päivä haavoittuvuutta (CVE ) Koneeseen asennettiin Poison Ivy etäkäyttöohjelmisto reverse-connect moodissa 4

5 APT:t herättävät kysymyksiä Voidaanko tunkeutumisyritykset löytää? Mistä niitä kannattaa etsiä? Kuinka todennäköisesti tunkeutumisyritykset voidaan estää? Onko nykyisin käytettävissä olevat resurssit riittäviä tunkeutumisyritysten löytämiseksi? Onko myös Suomalaisten organisaatioiden ongelma? Saanko etsiä tunkeutumisyrityksiä? 5

6 Miten estää ja havaita kohdistettu hyökkäys Pöytäkoneet ja kannettavat ovat haavoittuvia Käyttöjärjestelmä, varusohjelmistot pätsäys ei riitä Kannettavia käytetään useissa eri verkoissa - infektiot Virustorjunta on välttämätön mutta ei riittävä Käyttäjien kouluttaminen ei anna 100% suojaa = > Suojautuminen hankalaa Työaseman saastumisen havaitseminen mahdotonta Virustorjunta ei huomaa 0-päivä haavoittuvuudet Sisäverkossa tapahtuva tunkeilijan liikenne voidaan havaita Tieto siitä miten hyökkäys tehtiin ja mitä mahdollisesti varastettiin on arvokasta 6

7 Tilanne tänään APT Verkon tietoturva tänään Verkkokerros verkon reunan suojaaminen Riippuvainen sormenjäljistä, staattisista metodeista, tunnetuista hyökkäystavoista jne Suuri määrä false positive -tapahtumia Tämän päivän uhat Kehittyvät jatkuvasti nopeammin kuin ehkäisykeinot Eri tekiöitä: Insider, rikollinen, valtio, hacktivistit Useita vektoreita: sovelluskerros, APT, 0-päivä, kohdistettu haittaohjelma, fraud, vakoilu, data leakage Yritykset ja valtionhallinto kaipaavat parempia ratkaisuja Näiden kuilujen piententämiseksi Saada työkalut joilla voidaan halllita tulevaisuuden muutokset IT-ympäristöissä ja uudet uhat 7

8 NetWitness on Uusi lähestyminen verkon monitorointiin Alusta kaikenkattavaan näkyvyyteen verkon tapahtumiin Tarjoaa täsmällistä ja hyödynnettävää informaatiota Know Everything. Answer Anything. 8

9 NetWitness - verkon monitorointialusta Automatisoitu haittaohjelmien analysointi Uhkien raportointi, hälytykset Verkkoliikenteen vapaamuotoinen analysointi Työkalu verkon sisällön nopeaan visualisointiin 9

10 Informer: Automatisoitu analysointi, raportointi ja hälytykset Informer Joustava mittaristo, kuvaajat ja yhteenveto näyttävät yleiskuvan uhista Automaattisia vastauksia kysymyksiin joihin liittyy: Verkon tietoturva Tietoturva / HR Lakiasiat / R&D / Compliance I/T Operaatiot Raportteja eri muodossa: HTML, CSV ja PDF Voi lähettää hälytyksiä edelleen muihin järjestelmiin: CEF, SNMP, syslog, smtp ja SIEM-järjestelmät 10

11 Informer: Keskitetty mittaristo 11

12 Spectrum: Automaattinen haittaohjelmien analysointi, priorisointi ja työnkulku, joka ei perustu sormenjälkiin Spectrum Matkii haittaohjelma-analyytikon tekniikoita tekemällä tuhansia kysymyksiä vaatimatta sormenjälkiä Hyödyntää NetWitness Live -syötettä yhdistämällä tietoa eri threat intelligence lähteistä Käyttää NetWitnessin kattavia verkon monitorointiominaisuuksia tarjoakseen näkyvyyttä kaikkiin protokolliin ja sovelluksiin Haittaohjelma voidaan ajaa turvallisessa ympäristössä ja tarkastella sen käyttäytymistä suorittamisen aikana 12

13 Spectrum: Automatisoitu haittaohjelmien analysointi 13

14 Spectrum: Neljä mekanismia tiedostojen analysointiin 14

15 Investigator: Miten saan vastaukset vaikeimpiin kysymyksiin Investigator Interaktiivinen, dataan perustuva analysointi verkkokerrosten 2-7 sisältöön Palkittu, patentoitu ja porttiriippumaton sessioiden analysointi Vapaat analysointipolut joissa analyysipisteet voidaan tallentaa Informaatio voidaan esitettää niin kuin käyttäjä sen koki (web, ääni, tiedosto, sähköposti, chat jne) Tukee isoja datamääriä Salamannopea anaylsointi teratavauista dataa Analyysit jotka ennen veivät päiviä voidaan nyt tehdä minuuteissa Ilmaisversio on yli tietoturvaammattilaisen käytössä 15

16 Investigator: Suoraviivaista tapahtumien selvittämistä 16

17 Visualize: Uusi tapa tarkastella informaatiota Visualize Mullistava visuaalinen käyttöliittymä verkon sisältöön Esittää interaktiivisesti kuvat, tiedostot, objektit, äänen ja puhelut analyysia varten Multi-touch selailu ja zoom Sisällön nopea esikatselu ja analysointi 17

18 Visualize: sessioiden visualisointi 18

19 NetWitness NextGen arkkitehtuuri»decoder (SENSOR)»Concentrator (DATABASE)»Broker (QUERY BROKER) Dynaaminen ja vankka tietokantaalusta joka skaalautuu organisaation tarpeiden mukaan Yhdistää konsepteja luotetuista teknologioista Peer-peer tyyppinen alusta Asynkrooninen reaaliaikainen kommunikointi Web-tyyppisiä protokollia Tiedostopohjainen FIFO tietokanta Modulaarinen skaalautuvuus Minimoi resurssien pullonkaulat Ohjelmistojen joustavuus eri alustoille (appliance, pilvi, virtuaalikone jne 19

20 Understand NextGen Appliances Portable Tactical Branch Fixed Capacity Data Center High Performance Service Provider Unlimited Scalability Usage: Incident Response Tactical Operations Usage: Remote Office Managed Services Small Security teams Usage: Enterprise Monitoring SOC Operations NWA1200/2400 Decoder Usage: National Monitoring Large SOC Operations Indefinite retention NWA50 Eagle NWA200 Hybrid NWA100 Broker NWA1200/2400 Concentrator NWA100 Broker Features: Briefcase form-factor Encrypted/Removable Drives 2TB Retention Throughput Saturated Storage 100Mbps 1TB/day Features: 1U form-factor Fixed capacity Distributed visibility 8TB Retention 250Mbps 2.5TB/day Features: 1U & 2U form-factors Bandwidth Scalable Distributed visibility 12 or 24TB Retention DAS & SAN Storage Available 1Gbps 10TB/day 10Gbps 100TB/day Features: 1U & 2U form-factors Bandwidth Scalable Distributed visibility 12 or 24TB Retention DAS & SAN Storage Available 40Gbps 400TB/day 20

21 Yhteenveto Kohdistetut hyökkäykset saavat enemmän näkyvyyttä Näitä hyökkäyksiä vastaan ei perinteiset tietoturvamekanismit pure Organisaatiot eivät ole varautuneet, eikä riittäviä resursseja ole käytettävissä Työkaluja on saatavilla auttamaan hyökkäysten havainnoinnissa 21

22 KIITOS!