O documento discute as ameaças modernas à segurança da informação e como o mercado está lidando com os desafios diários de segurança. Ele descreve como as ameaças evoluíram de ataques em massa para ataques direcionados e furtos de dados, e como as defesas tradicionais baseadas em assinaturas são menos eficazes contra essas novas ameaças. Também discute as estratégias necessárias para proteger contra ataques avançados, como análise de conteúdo em tempo real e proteção contra vazamento de dados
2. CARLOS BOMTEMPO
Sr. Account Territory Manager – Websense Brasil.
Formado em Tecnologia Elétrica (Univ. Mackenzie).
Pós Graduação em Processamento de Dados (FAAP).
25 anos atuando na área de vendas, IBM, Sun, Oracle e
Websense Brasil.
10. AFINAL QUAL A DEFINIÇÃO DE
SEGURANÇA?
A segurança é o grau de resistência
ou de proteção ao dano. Ela se aplica
a qualquer ativo vulnerável e valioso
como uma pessoa, habitação,
comunidade, nação ou organização.
14. QUANDO FALAMOS DE
SEGURANÇA DA INFORMAÇÃO
LEMBRAMOS DE....
Aparecimento do primeiro
virus de PC, Brain.Boot
Sector Virus.
13 Maio 1988. Ataque
massivo do virus Jerusalem.
Ficou conhecido como ‘Black
Friday’
Consolidação dos MS-DOS
virus. Infectavam .exe e .com
15. NOVAS AMEAÇAS REQUEREM
NOVAS DEFESAS
“Soluções baseadas em
assinaturas (Anti-virus,
firewalls, IPS) são efetivas
somente contra 30-50% das
ameaças de segurança atuais.
Além disso, espera-se que a
efetividade da segurança
baseada em assinaturas
continue em declínio
rapidamente.”
15
IDC Threat Intelligence Update, 14-Feb-2012
16. COMO FUNCIONAM AS
AMEAÇAS ATUAIS?
Ameaças Avançadas
Antes
Atualmente
Assinaturas,
reputação
Zero Day
Alto
Volume
Baixo
Volume
Distribuição
em massa
Conteúdo
direcionado,
esperado
17. COMO FUNCIONAM AS
AMEAÇAS ATUAIS?
Furto de dados
Antes
Atualmente
Objetivo:
Danos
Objetivo:
Ganhos
financeiros
Suficiente
proteção de
entrada
Pressupõe
brechas na
segurança
Facilmente
identificável
Oculto
18. COMO FUNCIONAM AS
AMEAÇAS ATUAIS?
Análise forense de
ataques e malwares
Antes
Atualmente
Hands-Off
Hands-on
Reativo
Proativo
Foco na
prevenção
de intrusão
Visão
holística,
abrangente
19. 4 RAZÕES PARA AS DEFESAS
ATUAIS FALHAREM
1
PRINCIPALMENTE COM BASE EM
ASSINATURA E REPUTAÇÃO
A história não é um indicador confiável do comportamento futuro.
Criação de assinatura não pode manter-se com a criação dinâmica de
ameaças
Security Labs http://securitylabs.websense.com
20. 4 RAZÕES PARA AS DEFESAS
ATUAIS FALHAREM
2
SEM ANÁLISE EM TEMPO REAL
ANÁLISE DE CONTEÚDO INLINE
Coletar amostras para análise em
laboratório, utilizando processos baseados
em outras ameaças conhecidas.
Produzindo novas assinaturas (rede de
arquivos /) e reputações (URL / arquivo)
Resultados
legítimos
misturados a
links que
levam a sites
infectados com
malwares
SEO (Search Engine Optimization) Poisoning
21. 4 RAZÕES PARA AS DEFESAS
ATUAIS FALHAREM
3
PROTEGER SOMENTE A ENTRADA.
SEM PROTEÇÃO CONTRA VAZAMENTO DE INFORMAÇÕES.
Sem o mínimo necessário de informações
para uma análise forense eficiente.
22. 4 RAZÕES PARA AS DEFESAS
ATUAIS FALHAREM
4
MAIS DO MESMO EM
NOVAS OPÇÕES DE IMPLEMENTAÇÃO
UTMs, NGFWs, IDSs, Network Threat
Monitors
SSL severely impacts performance,
or blind to it
23. MUDANÇA NOS MÉTODOS DOS
ATAQUES
Low Volume
Data Theft
APTs
PASSADO
Alto volume
Vida curta
Abrangente
Infecção
Publicidade
Social
Engineering
Vulnerability
Analysis
Lures
Low
Impact
PRESENTE
Baixo volume
Persistente
Alvos
Roubo de Informação
Lucro
Spear-Phishing
Targeted Attacks
Zero-Day Vulnerability
High
Impact
Hacktivism
Social Circles
SEO
SPAM
RogueAV
Virus
Worm
SQL & iFrame
Injections
Denial-of-Service (DoS)
Botnets
Exploit Kits
Malware
25. O GRAU DE RISCO ENVOLVIDO
Números de emails
recebidos por dia:
400 à 450
26. O GRAU DE RISCO ENVOLVIDO
Números de emails
recebidos por dia:
400 à 450
Spams 95% (427)
27. O GRAU DE RISCO ENVOLVIDO
Números de emails
recebidos por dia:
400 à 450
Spams 95% (427)
Spear-fishing 1,5% (6,5
emails)
28. O GRAU DE RISCO ENVOLVIDO
Números de emails
recebidos por dia:
400 à 450
Spams 95% (427)
Spear-fishing 1,5% (6,5
emails)
Empresa de 1500 users =
9.750 decisões por dia!
29. EMAIL SECURITY EVASION
Isca para phishing técnica
Link da web embutido no e-mail isca
Infecção de malware algum tempo após o recebimento pelo Gateway
Segurança de e-mail vê uma conexão limpa
Sunday
Monday
Target
Web Site
Email
Security
OK
Web
Target Site
Infected 4am
Web
30. EXEMPLO – SPEAR PHISHING
Notificação financeira
Parece enviada pelo RH
Com débito em conta
Transação Online
31. SETE ESTÁGIOS DAS AMEAÇAS
AVANÇADAS
Recon
Isca
Conscientização
Redirec Exploit Arquivo Call
Kit
Dropper Home
Análise em Tempo
Real
Defesas inline
34. EXEMPLO - SOCIAL MEDIA
34
- Se espalha através de
mensagens diretas com "vídeo
escondido" como isca
- Rouba credenciais de conta
- Mensagem "Falta Adobe"
- Taxa de detecção de 23% em
motores AV
- Cliente com análise em tempo
real estavam protegidos.
35. PRIMEIRA BARREIRA: CONTEÚDO
Acesso restrito a alguns
sites (bancos, portais de
noticias, operadoras, sites
voltados ao trabalho)
Redes Sociais
Redes Sociais com
classificação de
conteúdo
Posts, Like/Comments,
Aplicativos, Chat,
Photo/Video upload
Conteúdo
dinâmico,
interatividade
restrita
Redes Sociais com
classificação de conteúdo
Like/Comments
Posts, Games,
Aplicativos, Chat
Photo/Video upload
Conteúdo
dinâmico,
interatividade e
comunicação
permitidas
Redes Sociais com
classificação de conteúdo
Posts, Like/Comments
Photo/Video upload
Informações confidenciais,
Conteúdo ofensivo ,
Games, Aplicativos, Chat
Acesso Restrito
Conteúdo
dinâmico, sem
interatividade
35
37. SETE ESTÁGIOS DAS AMEAÇAS
AVANÇADAS
Recon
Isca
Conscientização
Redirec Exploit Arquivo Call Furto de
Kit
Dropper Home Dados
Análise em Tempo
Real
Defesas inline
Proteção
38. SLOW DATA LEAKS
Voô abaixo do radar.
Contagem baixa por solicitação / incidente
Rouba dados em pequenas quantidades
Persistência e paciência
One data
record
One data
record
Web
39. DEFESAS CONTRA AMEAÇAS AVANÇADAS
120+ Pesquisadores
10.000 Analíticos
3-5 Bilhões requisições/dia
•
•
•
•
•
•
•
Análise de conteúdo dinâmico e detecção
de ameaças em tempo real (ACE)
Defesas contra furto e perda de dados
DLP integrado
Dashboard & Relatórios de análise forense
Análise Sandbox de Malware
Controles de Video e Redes Sociais
Console unificada TRITON
40. DATACENTERS WEBSENSE
Overview
– 15 global data centers
– Fully redundant w/ fail-over
– 99.999% availability SLA
– 99+% spam detection SLA
– Unlimited scalability
– ISO 27001 Certified
Physical security
– 24x7x365 onsite security
– Intrusion detection systems
– Close circuit monitoring
– Biometric access control
Reconnaisance & Lure Web & Email,Facebook, Blogs, TweetsSpear-phishingTrusted entryTargetedDynamicTimedCLICKThis is where AWARENESS becomes key in combating the threats.CLICKPhases 3 and 4 are Redirect & Exploit KitsBrowser code & active scriptsLink analysisExploit analysisComposite scoring/ratingsPredictive CLICKThis is where Real-Time Analysis becomes crucialCLICKThe next two stages includes Dropper File & Call HomeApp analysisMalicious PDFsMultiple AVsFile compress.Dynamic DNSBotnet & CnCcommsCLICKThis is where Inline Defenses become important to intercept communication attemptsCLICKFinally we have the actual stage of Data TheftData theft defensesEmbedded DLPData captureGeo-locationForensic details & reportingAlerts/severityCLICKContainment becomes crucial in this stage
Reconnaisance & Lure Web & Email,Facebook, Blogs, TweetsSpear-phishingTrusted entryTargetedDynamicTimedCLICKThis is where AWARENESS becomes key in combating the threats.CLICKPhases 3 and 4 are Redirect & Exploit KitsBrowser code & active scriptsLink analysisExploit analysisComposite scoring/ratingsPredictive CLICKThis is where Real-Time Analysis becomes crucialCLICKThe next two stages includes Dropper File & Call HomeApp analysisMalicious PDFsMultiple AVsFile compress.Dynamic DNSBotnet & CnCcommsCLICKThis is where Inline Defenses become important to intercept communication attemptsCLICKFinally we have the actual stage of Data TheftData theft defensesEmbedded DLPData captureGeo-locationForensic details & reportingAlerts/severityCLICKContainment becomes crucial in this stage
Let me give you a concrete example of how cyber criminals use Social Media these days. You can find more about this or many similar threats in the Websense Threat Report 2012. This example is called the “Hidden Camera Video Lure”. CLICKThe facebook user receives a personal message LURING him or her into clicking a shortened bit.ly URL promising a video taken of him or her with a hidden camera.CLICKThe shortened video link gives no indication of the website it is pointing to. So it utilizes an obfuscation technique.CLICKOnce on the website, the system steals account credentials of the facebook user.CLICKIt will also show a “Missing Adobe Player Update” message. Once the user clicks on this message, a dropper file gets installed on the computer.CLICKThe Lure only had a 23% detection rate among AV enginesCLICKWebsense customers were protected.
Reconnaisance & Lure Web & Email,Facebook, Blogs, TweetsSpear-phishingTrusted entryTargetedDynamicTimedCLICKThis is where AWARENESS becomes key in combating the threats.CLICKPhases 3 and 4 are Redirect & Exploit KitsBrowser code & active scriptsLink analysisExploit analysisComposite scoring/ratingsPredictive CLICKThis is where Real-Time Analysis becomes crucialCLICKThe next two stages includes Dropper File & Call HomeApp analysisMalicious PDFsMultiple AVsFile compress.Dynamic DNSBotnet & CnCcommsCLICKThis is where Inline Defenses become important to intercept communication attemptsCLICKFinally we have the actual stage of Data TheftData theft defensesEmbedded DLPData captureGeo-locationForensic details & reportingAlerts/severityCLICKContainment becomes crucial in this stage
WEB: The most effective anti-malware protection from advanced threats and data theft.EMAIL: The most advanced email defenses against blended and targeted attacks (APTs)DATA: Enterprise DLP with proven rist reduction in 5-6 weeks with user and destination awareness.MOBILE: Uniquely effective protection for mobile data from theft, loss, malicious apps, and malware.