Muuttuvat tietoturvauhkat

Muuttuvat tietoturvauhkat Miikka Kanto Solution Executive & Trusted Advisor Guarded

Tietomurrot ja motiivit muuttuvat The virtual era requires we Kuuluisuus Rahanteko Strategiset hyökkäykset Tulevaisuus Kuuluisuus Yksittäiset toimijat Haitanteko Haktivismi Bisnes siinä kuin muukin bisnes SOME ja virtualisointi auttavana trendinä Koordinoidut, resurssoidut ja motivoidut päämäärän saavuttava APT? Tietämättömät käyttäjät Mahdollistajat Epärehelliset sisäpiiriläiset

4

Java 0-day Vulnerability (CVE-2012-4681) Pääsynhallinnan haavoittuvuus, joka mahdollista hyökkääjän ajamaan haluamiaan exploitteja uhrin työasemassa käyttöjärjestelmäriippumaton Ohittaa Anti-virus ohjelmat (ei korruptoi muistia) Indikaattorit osoittavat haavoittuvuuden käytöstä suunnatuissa hyökkäyksissä (APT) Lisättiin Metasploitiin Lisättiin Blackhole Exploit Kitiin Malware IDS Indicators Vulnerability Goes Public (0-day)

Millions Kyber vs. perinteinen rikollisuus $100 $90 $80 $70 $60 $50 $40 $30 $20 $10 $0 Bank Robbery, etc. ZeuS Group A Recovered Net Loss

CryptoLocker Ransomware

Blackhole Exploit Kit vuosilisenssi: $1500 Vuokraa serveri: viikko: $200 2 viikkoa: $300 3 viikkoa: $400 4 viikkoa: $500 24-tunnin testi: $50 Trade Service: nnnnnn- Legacy (from 10:00 to 18:00 on MSK) Programming Engineer: ICQ: nnnnnnn ; JabberID: paunch@domain.tld

Case Paunch Path and name: %temp%\bracket-discuss_truly.jar Size: 29253 MD5: 3478966161745cf3401b2a534523a4bc Type: EK_Java_Exploit Exploit URL: http://downtimeskip. biz/labels/bracketdiscuss_truly.php?b1ab1010aa=bab000a0abb&1abbb1a01bb010bb1=aba1baa0abba 111a0 IP address:173.254.250.214 Date: 2013-10-03-22-52-21

Haittaohjelmien akviivisuus Helmikuu 2013 Syyskuu 2013 Marraskuu2013

Spearphishing

Watering Hole

Kyberturvallisuus käytännössä

Passiivisuus on pahasta, miksi juuri me? Mutta mehän ollaan niin pieniä? Ei meillä ole mitään varastettavaa tai kiinnostavaa Meillä on palomuurit ja anti-virus Ollaan ulkoistettu kaikki, homma on kunnossa! Riittämättömät/helpot kontrollit Haittaohjelmien testaus ja hyökkäysten tekijät tarvitsevat hiekkalaatikon, mikä tahansa kohde käy jos ovi on auki Ei kaikki rikolliset valitse kohteitaan Lopulliseen kohteeseen kuljetaan usean pisteen kautta Yhteistyökumppaninne voi olla varsinainen kohde Suomalaisten yritysten tiedot ovat timanttia!

Dell Security

Dellin tietoturvaratkaisut ovat kaikenkattavia Data - Dell Data Protection Encryption & Dell KACE Data Encryption & Configuration & Patch Management Identity - Dell QUEST Identity & Access Management Network Dell Networking Force10 datacenter switching & Powerconnect Network - Dell SonicWALL Next-generation Firewall & UTM Security Services- Dell SecureWorks CTU Threat Intelligence Services Managed Security Services & Security/Risk Consulting Incident Response Pilvi Konesali Käyttäjät Dell - Restricted - Confidential

Dellin ratkaisujen sijoittuminen Gartner Magic Quadrants 2012-2013 Haastajat Johtajat Identity and Access Governance Managed Security Service Unified Threat Management User Administration and Provisioning Security Solutions Pienet pelurit Visionäärit Enterprise Network Firewalls Secure Email Gateways Mobile Data Protection Enterprise Backup/Recovery Software Dell - Restricted - Confidential

Dell SecureWorks Operations Centers Edinburgh, Scotland Bucharest, Romania Chicago, IL Plano, TX Providence, RI Myrtle Beach, SC Atlanta, GA Noida, India Hyderabad, India Security Operations Center (SOC) SOC and Data Center Global Services

50/30/20 sääntö? Dell SecureWorks näkee yli 70 miljardia eventtiä päivässä 50% nähdään palomuureissa 30% nähdään IPS/IDS järjestelmissä 20% serverit, applikaatiot routerit ja switchit

Real-Time Monitoring and Analysis Technology People & Process 26 Firewalls 10 IDS / IPS 271 Servers / Other Negative Filter 506,813,197 CTP CTA and CTA Agent 510,618,423 events Remaining Events of Interest Event Consolidation Positive Filter Anomaly Filter 3,803,598 1628 3,805,226 207,499 Multi-Purpose Logic Engine 5633 Event Handling Process: Aggregate, Correlate, Categorize, Assess Threat, and Respond Security Event Benign 5532 Events Incident is logged for future correlation and reporting, but no further action required. Low Threat Security Event Worm - Client Not Vulnerable 1 Incident (21 Events) Security Event Suspicious Activity 3 Incidents (32 Events) Incident requires near term intervention by SecureWorks and/or the client to prevent availability or security issue. Medium Threat Security Event System / Application 1 Incident (48 Events) Incident requires immediate intervention by SecureWorks and the client to prevent and/or remediate availability or security issue in progress. High Threat Information from Intelligence, Scanning, Trending & Auditing

Reaktiivisuus <-> Proaktiivisuus Koko henkilöstön tulee ymmärtää ja toimia tietoturvallisesti Tietoturva on tärkeä osa DR/BC suunnitelmaa Dokumentoi, varaudu, testaa ja kehitä Panosta tietoturvaan ja kontrolleihin palomuuri ja AV ei riitä Mahdollista BYOD/CYOD, etätyöskentely, IdM/IAM Ylläpidä, monitoroi ja logita niin paljon kuin mahdollista Harkitse Managed Security Services-palveluntarjoajaa 24/7 monitorointi Resurssit/tieto/taito/kehitys löytää neula heinäsuovasta (APT) Teknologia ja ymmärrys tietoturvauhkien havaitsemiseen ja estämiseen ja kontrollien käyttöönottoon. Tehokkuus ja matala TCO. Osa sinun organisaatiotasi Become Predictive!

.kiitos miikka_kanto@dell.com