Le ultime frontiere del cybercrime e le best practice per proteggersi dagli attacchi informatici: ne abbiamo parlato l'11 giugno a Firenze con esperti e docenti internazionali di sicurezza IT.

2. Lo scenario è cambiato: le
dimensioni del cybercrime
Gianandrea Daverio | Security Expert di Xenesys

3. La «temperatura» del pianeta
3

4. Le aree “sotto attacco”
4

5. Il Cybercrime in Italia
5

6. Il giro d’affari mondiale del cybercrime nel 2012
supera i 100 miliardi di dollari
In Italia oltre 200 attacchi registrati verso enti,
aziende e associazioni
Hacktivismo, sottrazione di denaro e spionaggio: le
principali motivazioni
Il Cybercrime in Italia
6
Fonte: rapporto Clusit sul cybercrime in Italia

7. February 26, 2012 June 5, 2011
March 17, 2011
June 1, 2011
January 25, 2007
February 08, 2000 January 25, 2007
February 10, 2012 February 3, 2012
November 8, 2012
November 15, 2012
June 21, 2012 October 11, 2009
November 28, 2010
Janueary 20, 212
!!! HACKED !!!
7
I casi eclatanti

8. Le tecniche di attacco
8

9. Phishing & Online Frauds
ATTACKER
USER
1 2
3
4
5
9
Un Attacker sfrutta le tecniche di
attacco basate su SQL Injection per
inserire un contenuto malevolo
all’interno del sito target
Un utente legittimo accede
normalmente alla home page del
sito attaccato
Il sito risponde alla richiesta
dell’utente e, in poche e
impercettibili frazioni di secondo,
lo reindirizza verso un sito
malevolo con il medesimo «look &
feel» del sito originale,
appositamente predisposto
L’utente, ignaro di operare
all’interno del sito malevolo,
inserisce le proprie credenziali
che vengono salvate
L’Attacker, amministratore del sito
malevolo, raccoglie le credenziali
ottenute illegalmente dagli ignari
utenti del servizio sotto attacco
1
2
3
5
4

10. SQL Code Injection
ATTACKER
USER
DB
html
response
h�p
requests
h�ps://sito.it/disponibilita.php?itemid=2
union
all
select
customer.username,customer.password,3,4,5
h�ps://sito.it/disponibilita.php?itemid=2
1
2
10
Un utente del servizio effettua una richiesta regolare per verificare la disponibilità di uno degli
oggetti presenti nel catalogo proposto dal sito.
Un Attacker altera con ulteriori istruzioni SQL la richiesta regolare richiedendo la disponibilità
di uno degli oggetti presenti nel catalogo proposto dal sito, ma anche l’elenco delle utenze e
delle password, ottenendo in questo modo accesso ai privilegi di utenti autorizzati e
amministratori del sistema.
1
2

11. Denial of Service
11
§ All’interno del mercato illegale un
«Attacker» può «noleggiare» le
infrastrutture necessarie
all’esecuzione di attacchi mirati,
dai siti di Command & Control con
Botnet di migliaia di computer ai siti
che mettono a disposizione i codici
degli «exploit» necessari
all’esecuzione dell’attacco
§ Migliaia di computer «dormienti»
appartenenti a utenti inconsapevoli
effettuano contemporaneamente
attività – lecite e non - nei
confronti del siti o delle reti
«target» dell’ «Attacker»
§ Sottoposto a tale quantità di
traffico, le risorse di sistema, di
rete e di connettività vengono
portate a esaurimento con un
effetto di Denial of Service
ATTACKER
C&C
SITE
1
C&C
SITE
2
C&C
SITE
3
EXPLOIT
DB
TARGET
SITE
ZOMBIE
NET
$$$

12. Advanced Persistent Threats
ATTACKER
USER
1 2
3
4
12
Un Attacker sfrutta le tecniche di
attacco basate su SQL Injection
per inserire un contenuto
malevolo all’interno del sito target
Un utente legittimo accede
normalmente alla home page del
sito attaccato
Il sito risponde alla richiesta
dell’utente trasmettendo la pagina
web richiesta e i relativi oggetti,
compreso il codice malevolo
iniettato dall’Attacker che si
installata a bordo del computer
remoto
L’Attacker sfrutta il codice
malevolo installato sul sistema
dell’utente per ottenere accesso
non autorizzato a dati,
applicazioni e per inviare comandi
al sistema infetto e utilizzarlo per
propagare codice malevolo
all’interno della rete locale
1
2
3
4

13. Malicious Apps
ATTACKER
1
2
3
USERS
4
5
13
L’Attacker preleva una applicazione
(tipicamente un gioco) da un App Store
ufficiale (es. Google Play)
L’Attacker ripacchettizza l’applicazione
includendo un codice malevolo che
consente il controllo remoto delle attività
svolte dal dispositivo
L’Attacker pubblica l’applicazione su App
Store alternativi di terze parti, che spesso
effettuano un controllo meno capillare
delle app prima di pubblicarle
L’Attacker pubblicizza la nuova App
tramite «spam» attraverso canali quali
posta elettronica, siti web e social media
L’utente che preleva la nuova
applicazione dal App Store alternativo sta
in realtà installando oltre
all’applicazione anche il codice malevolo
che trasmetterà periodicamente
informazioni all’Attacker
1
2
3
4
5

14. Mobile Exploits
h�p://xenesys.badsite.hk
14
§ All’interno dei siti Mobile (attraverso
l’utilizzo di tecniche di SQL Injection
per ottenere accesso amministrativo
non autorizzato al sistema)
§ All’interno di banner promozionali
appositamente creati e diffusi in rete
§ Addirittura sulle locandine
pubblicitarie in metropolitana
vengono sostituiti i QR Code originali
con codici contraffatti che
indirizzano l’ignaro utente a siti
alternativi indirizzati alla
distribuzione di codice malevolo o
alla cattura delle credenziali degli
utenti

15. Approfondimento
“I
am
a
Lecturer
in
the
School
of
Computer
Science
at
the
University
of
Birmingham,
UK.
I
completed
my
Ph.D.
degree
in
Computer
Science
at
the
University
of
California,
Santa
Barbara”
“My
research
interests
include
most
aspects
of
computer
security,
with
an
emphasis
on
web
security,
vulnerability
analysis,
electronic
vo�ng
security,
and
intrusion
detec�on”
Le
nuove
fron�ere
del
Malware
e
dei
sistemi
di
difesa
15

16. Lastline
16

17. Radware
17

18. Blue Coat
18

19. RSA|EMC
19

20. Malware
Oggi:
Le
Nuove
Fron�ere
del
Malware
e
dei
Sistemi
di
Difesa
Marco
Cova

21. ©
Copyright
–
Lastline,
Inc.
Tu�
i
diri�
riserva�
Ogni
diri�o
sui
contenu�
della
presentazione
è
riservato
ai
sensi
della
norma�va
vigente.
La
riproduzione,
la
pubblicazione
e
la
distribuzione,
totale
o
parziale,
di
tu�o
il
materiale
originale
contenuto
in
questa
presentazione
(tra
cui,
a
�tolo
esemplifica�vo
e
non
esaus�vo,
i
tes�,
le
immagini,
le
elaborazioni
grafiche)
sono
espressamente
vietate
in
assenza
di
autorizzazione
scri�a.
Copyright

22. Marco
Cova
Interessi
di
ricerca:
rilevamento
e
analisi
di
malware,
sicurezza
web
e
analisi
delle
vulnerabilità
Ha
pubblicato
oltre
25
lavori
sul
tema
della
computer
security
in
conferenze
e
riviste
internazionali
m.cova@cs.bham.ac.uk
marco@lastline.com
Docente
presso
la
School
of
Computer
Science,
Università
di
Birmingham,
UK.
Membro
fondatore
di
Lastline,
Inc.

23. Targeted
A�acks
e
Cyberwar
!!!
Tempo
Danni
genera�
in
€
Milioni
Cen�naia
di
migliaia
Migliaia
Cen�naia
Miliardi
Cybercrime
$$$
Cybervandalism
#@!
Cybera�ack
(R)Evolu�on

24. A�acchi
ai
Media

25. A�acchi
a
Fornitori
per
la
Difesa

26. A�acchi
a
Security
Companies

27. A�acchi
a
Compagnie
di
Manufacturing

28. A�acchi
ai
Singoli
Individui

29. GLI
ATTACCANTI

30. C’era
una
volta..
h�p://www.ted.com/talks/
mikko_hypponen_figh�ng_viruses_defending_the_net.html

31. Oggi
Proliferazione
del
cybercrime
per
profi�o
finanziario
– ZeuS
A�acchi
mira�
(“targeted
a�acks”)
– Aurora
(Google
e
altri)
– RSA
SecureID
Sviluppo
della
cyber
warfare
– Stuxnet
– Flame
“Rubare
qualsiasi
informazione
abbia
valore”

32. A�acchi,
Exploit
e
Botnet
Fase
1.
Infe�are
la
vi�ma
con
malware
Usare
un
exploit
(codice)
che
sfru�a
una
vulnerabilità
nota
(se
l’utente
non
ha
tu�
gli
ul�mi
aggiornamen�
sul
sistema)
Lanciare
uno
“zero-­‐day
exploit,”
che
sfru�a
una
vulnerabilità
non
nota
al
momento
dell’a�acco
Lanciare
un
a�acco
di
social
engineering

33. A�acchi,
Exploit
e
Botnet
Fase
2.
Far
filtrare
all’’esterno
da�
sensibili
La
macchina
dell’utente
è
adesso
un
“bot”,
completamente
so�o
il
controllo
dell’a�accante
Il
malware
raccoglie
da�
“interessan�”
e
li
manda
al
server
di
“Command
&
Control”
(C&C)
Numeri
di
carte
di
credito
Nomi
utente
e
password
Documen�
sensibili

34. A�acchi,
Exploit
e
Botnet
Fase
3.
Ricevere
istruzioni
dal
botmaster
Cominciare
ad
inviare
spam
Lanciare
un
a�acco
di
denial
of
service
Cancellare
tu�
i
file
sul
disco
…
Istruzioni
di
a�acco

35. Trovare
gli
A�accan�:
Una
Volta

36. Trovare
gli
A�accan�:
Oggi
h�p://intelreport.mandiant.com/Mandiant_APT1_Report.pdf

37. GLI
ATTACCHI

38. Capire
gli
A�acchi
Mol�
ve�ori
diversi,
ta�che,
e
specifici
trucchi
Due
domande
fondamentali
da
tenere
in
mente:
– Come
entrano
gli
a�accan�?
– Come
raccolgono
e
portano
fuori
le
informazioni
di
valore?

39. A�acchi
Drive-­‐by-­‐download
Gli
a�accan�
preparano
un
sito
web
malevolo
e
vi
a�rano
traffico
Quando
un
utente
visita
il
sito
web,
riceve
pagine
che
contengono
codice
malevolo
(�picamente
codice
JavaScript)
Il
codice
malevolo
prova
a
lanciare
degli
exploit
contro
il
browser
o
i
suoi
plugin.
Se
ha
successo,
l’a�accante
può
eseguire
del
codice
di
suo
piacimento
sulla
macchina
della
vi�ma
(�picamente,
inizia
il
download
e
l’installazione
di
malware)

40. A�acchi
Drive-­‐by-­‐download
.js
document.writeln(
unescape(”%3c%49%46
%52%41%4d%45%20%6e
%61%6d%65%3d%63%38
%33%33%36%35%65%35
%64%37%61%61%20%73
%72%63%3d%27%”);
ca�vo.js
GET
/
<iframe>

41. Codice
Malevolo

42. Exploit

43. A�rare
le
Vi�me:
Social
Engineering

44. A�rare
le
Vi�me:
SEO
h�p://cseweb.ucsd.edu/users/voelker/pubs/juice-­‐ndss13.pdf
h�p://faculty.cs.tamu.edu/guofei/paper/PoisonAmplifier-­‐RAID12.pdf

45. A�rare
le
Vi�me:
A�acco
Watering
Hole
A
volte
è
difficile
colpire
l’obie�vo
di
un
a�acco
dire�amente
– Una
alterna�va
è
comprome�ere
un
sito
terzo
che
si
ipo�zza
venga
visitato
dall’obie�vo
Council
on
foreign
rela�ons
→
Ufficiali
governa�vi
Si�
di
news
cinesi
non
allinea�
al
regime
→
Dissiden�
cinesi
Sito
di
sviluppo
per
iPhone
→
Sviluppatori
di
Apple,
Facebook,
Twi�er,
etc.
Sito
web
della
rivista
Na�on
Journal
→
Poli�ci
di
Washington

46. A�rare
le
Vi�me:
Spear
Phishing
From:
abudhabi@mofa.gov.sy
To:
tehran@mofa.gov.sy
Date:
Monday
February
6,
2012
05:51:24
A�achment:
23
�rcs.pdf
‫ﺍاﻝلﺭرﻡمﻭوﺯز‬ ‫ﻡمﻙكﺕتﺏب‬ ‫ﻑفﻱي‬ ‫ﺍاﻝلﺯزﻡمﻝلﺍاء‬ ‫
ﺍاﻝلﺱسﺍاﺩدﺓة‬
23
‫ﻡم‬‫ﺭرﻕق‬ ‫ﺍاﻝلﺥخﺍاﺹصﺓة‬ ‫ﺍاﻝلﺏبﺭرﻕقﻱيﺓة‬ ‫ﺍاﺱسﺕتﻝلﺍاﻡم‬ ‫ﻉعﻥن‬ ‫ﺍاﻉعﻝلﺍاﻡمﻥنﺍا‬ ‫ﻱيﺭرﺝجﻯى‬
‫ﺭر‬‫ﺍاﻝلﺵشﻙك‬ ‫ﻡمﻉع‬
‫ﻱي‬‫ﻅظﺏب‬ ‫
ﺃأﺏبﻭو‬/
‫ﺓة‬‫ﺍاﻝلﺱسﻑفﺍاﺭر‬
-­‐-­‐-­‐-­‐
Msg
sent
via
@Mail
-­‐
h�p://atmail.com/
Colleghi
dell’ufficio
codici,
Per
cortesia,
confermate
la
ricezione
del
telegramma
No.
23
che
trovate
in
allegato
Grazie,
Ambasciata
/
Abu
Dhabi

47. Dopo
l’Infezione
Case
Study
di
una
Botnet
h�p://cs.bham.ac.uk/~covam/data/papers/ccs09_torpig.pdf

48. Hijacking
di
una
Botnet
Abbiamo
analizzato
il
Domain
Genera�on
Algorithm
(DGA)
usato
in
Torpig
ed
il
protocollo
usato
dal
Command
&
Control
– I
domini
genera�
dal
25/1/2009
al
15/2/2009
non
erano
registra�
– Li
abbiamo
quindi
registra�
noi
Di
conseguenza,
abbiamo
preso
controllo
della
botnet
per
10
giorni
– Visibilità
unica
del
comportamento
della
botnet
– 8.7
GB
di
log
di
Apache
– 69
GB
di
traffico
di
rete
ca�urato
contenente
le
informazioni
rubate

49. Dimensione
di
una
Botnet
S�ma
del
numero
delle
infezioni
– Talvolta
basata
sul
numero
di
indirizzi
IP
univoci
– Problema�ca:
effe�
del
DHCP
e
del
NAT
(vediamo
1.2M
di
IP
unici)
– Il
nostro
conteggio
si
basa
sulle
informazione
nell’header:
vis�
circa
~180K
hosts

50. Minacce
Credenziali
per
8310
account
univoci
su
410
is�tuzioni
finanziarie
– Top
5:
PayPal
(1770),
Poste
Italiane,
Capital
One,
E*Trade,
Chase
– 38%
delle
credenziali
rubate
dai
password
manager
dei
browser
1660
carte
di
credito
– Top
3:
Visa
(1056),
Mastercard,
American
Express,
Maestro,
Discover
– US
(49%),
Italy
(12%),
Spain
(8%)
– Tipicamente
una
carta
di
credito
per
ciascuna
vi�ma,
ma
ci
sono
eccezioni…

51. 32
Valore
delle
Informazioni
Finanziarie
Symantec
[2008]
s�ma
– Valore
di
una
carta
di
credito
tra
$.10
e
$25.00
– Valore
di
un
account
bancario
tra
$10.00
e
$1,000.00
Secondo
le
s�me
di
Symantec,
10
giorni
di
da�
raccol�
da
Torpig
“valgono”
tra
gli
83
mila
e
gli
8.3
milioni
di
dollari
0
200
400
600
800
1000
1200
1400
01-21 01-23 01-25 01-27 01-29 01-31 02-02 02-04 02-06
10
100
1000
10000
100000
1e+06
1e+07
Newbankaccountsandcreditcards(#)
Value($)
Date
New bank accounts and credit cards
Max value
Min value

52. Banking
Trojans
h�p://edetools.blogspot.it/2012/01/phishing-­‐unicredit-­‐11-­‐gennaio.html

53. Bypassare
mTAN
–
a
la
Eurograbber
https://www.checkpoint.com/products/downloads/
whitepapers/Eurograbber_White_Paper.pdf

54. 35
Costo
per
le
Vi�me
(Oltre
al
Danno)
Ponemon
Ins�tute
-­‐
s�ma
2011
–
Costo
di
ogni
record
perduto
78
€
in
Italia
(h�p://www.ponemon.org/local/upload/file/
2011_IT_CODB_Final_5.pdf)
194
$
in
US
(h�p://www.ponemon.org/local/upload/file/
2011_US_CODB_FINAL_5.pdf)

55. LA
DIFESA

56. In
un
Mondo
Ideale
Codice
Sicuro
Il
So�ware
che
usiamo
non
con�ene
vulnerabilità
Le
vulnerabilità
sono
mi�gate
applicando
principi
di
sicurezza
e
corre�a
ingegnerizzazione
(minimi
privilegi,
contenimento,
etc.)
Sfortunatamente,
a�ualmente
ci
sono
pochissimi
“programmi
sicuri”
e
spesso
in
se�ori
specializza�
(regolamentazione
vs.
innovazione)
Sensibilizzazione
dell’utente
Gli
uten�
sono
consci
delle
minacce
alla
sicurezza
a
cui
si
espongono
Prendono
sempre
la
“giusta”
decisione
Sfortunatamente,
esperimen�
dimostrano
che
gli
uten�
non
sono
assolutamente
accor�
nel
prendere
decisioni
legate
alla
sicurezza
(social
engineering
vs.
usabilità)

57. Soluzioni
Legali
h�p://www.zdnet.com/blog/bo�/who-­‐killed-­‐the-­‐fake-­‐
an�virus-­‐business/3832
Le
autorità
russe
arrestano
il
cofondatore
di
ChronoPay,
il
più
grande
provider
di
pagamen�
online

58. Soluzioni
di
Buon
Senso
Mantenere
il
so�ware
aggiornato
Sfortunatamente,
inu�le
contro
gli
a�acchi
0-­‐day

59. Soluzioni
di
Buon
Senso
Non
aprire
link/allega�
da
fon�
sconosciute
Sfortunatamente,
inu�le
contro
a�acchi
social/targeted

60. Soluzioni
di
Buon
Senso
Limitare
l’accesso
web
a
si�
fida�
o
con
buona
reputazione
Sfortunatamente,
inu�le
contro
a�acchi
“waterhole”
e
si�
web
compromessi

61. Accesso
ai
servizi
sensibili
(e.g.,
online
banking)
da
macchine
dedicate
Sfortunatamente,
poco
pra�co
Soluzioni
di
Buon
Senso

62. Le
Soluzioni
A�uali
non
Sono
Adeguate

63. Cara�eris�che
del
Malware
Avanzato
Evasione
“sta�ca”:
offuscazione
e
poliformismo
Fonte:
Binary-­‐Code
Obfusca�ons
in
Prevalent
Packer
Tools,
Tech
Report,
University
of
Wisconsin,
2012
Number
of
�mes
a
hash
is
seen
>
93%
dei
campioni
malware
sono
unici
Immuni
agli
an�virus
signature-­‐based

64. Cara�eris�che
del
Malware
Avanzato
Evasione
a
run-­‐�me
–
controlli
sull’ambiente
d’esecuzione
Invisibile
alle
sandbox
e
alle
virtual
machines

65. Cara�eris�che
del
Malware
Avanzato
Evasione
a
run-­‐�me
–
stalling
loops
Invisibile
alle
sandbox
e
alle
virtual
machines

66. Idee
per
una
Miglior
Difesa
Analisi
degli
artefa�
in
entrata
nella
rete
– Web
download,
allega�
email
Analisi
del
traffico
in
uscita
– Dove
è
dire�o?
Cosa
esce?
Come
è
inviato?
Mappatura
dell’infrastru�ura
malware
a
livello
globale
Mappatura
delle
cara�eris�che
locali
per
individuare
anomalie
e
pa�ern
sospe�
Techniche
di
analisi
di
nuova
generazione
contro
il
malware
evasivo

67. Lezioni
Imparate
Gli
a�acchi
sono
sempre
più
di
�po
mirato
“Gli
a�accan�
non
puntano
al
firewall.
Puntano
agli
individui”
Gli
a�accan�
sono
tenaci
e
pazien�
Necessario
un
approccio
di
difesa
che
preveda
un
monitoraggio
costante
Gli
a�accan�
sviluppano
tool
ad
hoc
e
a�accano
dopo
che
hanno
o�enuto
l’accesso
al
target
Una
visione
globale
è
ancora
importante,
ma…
È
fondamentale
la
costruzione
di
difese
specifiche,
in
base
alle
cara�eris�che
ed
alle
a�vità
del
target
Malware
Evasivi
Necessari
strumen�
di
prossima
generazione

68. DOMANDE?
marco@lastline.com

69. Security
Conference
Xenesys
Firenze
11
Giugno
2013
Davide
Carlesi
Lastline,
Inc.
-­‐
Country
Manager
Italia,
Grecia,
Cipro
e
Malta
carlesi@lastline.com
–
335.82.64.362
Protection Against Advanced Malware

70. Copyright
©
Copyright
–
Lastline,
Inc.
Tu�
i
diri�
riserva�
Ogni
diri�o
sui
contenu�
della
presentazione
è
riservato
ai
sensi
della
norma�va
vigente.
La
riproduzione,
la
pubblicazione
e
la
distribuzione,
totale
o
parziale,
di
tu�o
il
materiale
originale
contenuto
in
questa
presentazione
(tra
cui,
a
�tolo
esemplifica�vo
e
non
esaus�vo,
i
tes�,
le
immagini,
le
elaborazioni
grafiche)
sono
espressamente
vietate
in
assenza
di
autorizzazione
scri�a.

71. “The
Problem”
Simple Threats
OpportunisticAttacks
AAPPTT
SSoolluuttiioonnss
AAnnttiivviirruuss
SSoolluuttiioonnss
Current solutions fail to protect
organizations from sophisticated,
targeted attacks.
SSeeccuurriittyy GGaapp
TargetedAttacks
Packing
Sophisticated Threats
Plain
Virus
Poly-
morphic
C&C
Fluxing
Persistent
Threats
Evasive
Threats

72. Queste
cose
succedono
agli
altri…

73. “The
Solu�on”
Protection Against Advanced Malware

74. Presentazione
Azienda
La
soluzione
più
avanzata
per
rilevare,
analizzare
e
mi�gare
APTs,
a�acchi
mira�
(targeted
a�acks),
e
0-­‐day
threats
Fondata
da
un
team
di
ricercatori
della
Università
di
California
Santa
Barbara
(UCSB),
Technical
University
di
Vienna,
e
Northeastern
University
– Accademici
di
fama
mondiale
– Tecnologia
basata
su
oltre
8
anni
di
ricerca
su
APT
e
minacce
avanzate
– Lo
stesso
team
che
ha
sviluppato
Anubis
&
Wepawet

75. Accademici
di
fama
mondiale
L’h-­‐index
è
una
metrica
che
misura
sia
la
produ�vità
che
l’impa�o
delle
pubblicazioni
effe�uate
da
un
ricercatore.
Christopher
Kruegel
(CSO
Lastline)
è
il
più
prolifico
ricercatore
degli
ul�mi
10
anni
per
l’ambito
di
Security
and
Privacy.
Giovanni
Vigna
(CTO)
occupa
la
posizone
12
e
Engin
Kirda
(Chief
Architect)
il
numero
28
all’interno
della
stessa
graduatoria.

76. Leadership
Tecnologica

77. Anubis
/
Wepawet
Anubis
=
Malware
sandbox
h�p://anubis.cs.ucsb.edu
Wepawet
=
Drive-­‐by
exploit
detector
h�p://wepawet.cs.ucsb.edu
Strumen�
“Open
Universitari”
u�lizza�
ogni
giorno
da
decine
di
migliaia
di
uten�
(incluse
società
appartenen�
alle
Fortune
500,
is�tuzioni
pubbliche
e
governa�ve,
aziende
appartenen�
al
mercato
finance,
e
vendor/produ�ori
di
soluzioni
di
sicurezza)

78. Lastline
:
Misure
contro
gli
Advanced
Malware
Analisi
degli
artefa�
in
ingresso
(cosa
entra)
– Web
downloads
e
allega�
eMail
(Windows
PE,
MS/
Open
Office,
PDF,
Flash,
archivi
Zip,
Java
e
Apk)
Analisi
e
blocco
del
traffico
in
uscita
(cosa
esce)
– Traffico
DNS,
traffico
web
(e
tu�o
il
TCP)
Cosa
esce
Dove
va
(anche
se
cifrato)
Come
viene
inviato
Uso
della
correlazione
per
presentare
un
quadro
completo
al
system
administrator
Iden�ficazione
dei
client
infe�

79. Componen�
tecnologiche
Lastline
Ac�ve
threat
discovery
per
iden�ficare
i
si�
&
endpoint
malevoli
con
la
massima
ampiezza
e
completezza
di
visione
possibile
Strumen�
di
analisi
malware
ad
alta
risoluzione,
in
grado
di
capire
il
comportamento
del
malware
senza
cadere
nelle
tecniche
di
evasione
Analisi
big
data
del
traffico
di
rete,
per
iden�ficare
le
anomalie
ed
i
pa�ern
di
da�
sospe�
scambia�
come
traffico
interno

80.
Analisi
del
malware
ad
elevata
risoluzione
Monitoraggio
del
traffico
(DNS
e
Ne�low)
Discovery
Proa�vo
delle
Minacce
Emulazione
del
codice
macchina
del
malware
Monitoraggio
passivo
del
traffico
DNS
e
analisi
de i
flussi
Ne�low
““arricchi�””
B r o w s e r
s i n t e � c i
scansionano
Internet
alla
scoperta
delle
minacce
emergen�
Lastline
consente
di
rilevare
malware
con
elevate
capacità
di
evadere
le
tecnologie
tradizionali
Lastline
Consente
di
rilevare
in
modo
euris�co
domini
di
comando
e
controllo
sconosciu�
o
dinamici
(Fast-­‐Flux/DGA)
Lastline
consente
di
rilevare
le
minacce
prima
che
queste
si
diffondano.
Le
altre
tecnologie
hanno
un
approccio
«rea�vo».
Correla�on
&
Incident
Management
Overview
Tecnologico

81. High
Resolu�on
Malware
Analysis
Dynamic
analysis
in
Lastline
Next
Genera�on
Sandbox
– runs
binaries,
accesses
web
pages,
opens
documents
– monitors
and
classifies
observed
behaviors
(ac�vi�es)
Code
emula�on
instead
of
virtual
machine
(VM)
or
bare
metal
– we
can
see
every
instruc�on
that
malware
executes,
not
just
the
opera�ng
system
calls
that
it
invokes
– in
other
words,
we
can
look
inside
the
malware
execu�on
– provides
vastly
increased
visibility

82. Lastline
High-­‐Resolu�on
Malware
Analysis
Visibility
without
code
emula�on
(tradi�onal
sandboxing
technology)
Important behaviors and
evasion happens here
Visibility
with
code
emula�on
Lastline
technology
Engine sees every instruction that the malware executes

83. High
Resolu�on
Malware
Analysis
Lastline
-­‐
Importance
of
increased
visibility
More
behaviors
can
be
revealed
– data
flows
and
data
leakage
– malware
checks
for
specific
keywords
(targeted
a�ack
behavior)
– automated
detec�on
of
command
and
control
(C&C)
connec�ons
Strong
resistance
to
evasion
– bypass
triggers
– accelerate
stalling
code

84. Lastline
0-­‐day
Detec�on
Capabili�es
Opera�on
Aurora
Targeted
a�ack
that
compromised
Google
and
other
US
companies
Used
0-­‐day
exploit
against
Internet
Explorer
6
Our
system
successfully
analyzed
the
a�ack
before
it
became
public

85. Lastline
Ac�ve
Threat
Discovery
Iden�fica�on
of
threats
and
automated
genera�on
of
detec�on
models
before
customer
is
exposed
Cloud-­‐based
crawling
and
analysis
engines
– comprehensive
coverage
for
both
malware
threats
and
distribu�on
vectors
(drive-­‐by
exploits)
– precise
models
through
aggressive
cleaning
of
data
(to
avoid
false
posi�ves)
I get stuff from my customers, but I
am blind related to data from non-
customers, so [Lastline] data is great
to complement mine
-­‐
An�virus
Vendor
I like the data. Everything I
looked at was very likely an
infection point … 57% were new
infected domains.
-­‐
UTM
Vendor

86. Lastline
Ac�ve
Threat
Discovery
Comprehensive
coverage
– we
use
a
broad
range
of
input
vectors
– we
ac�vely
search
the
web
for
drive-­‐by
download
exploits
and
download
the
distributed
malware
– we
perform
targeted
web
crawling
and
search
for
bad
neighborhoods
on
the
Internet
Precise
models
– check
reputa�on
of
des�na�ons
of
suspicious
connec�ons
– con�nuously
monitor
up�me
of
malicious
loca�ons

87. Lastline
Enterprise
Traffic
Monitoring
Checking
for
anomalous
network
traffic
that
reveals
presence
of
malware-­‐infected
machines
Analysis
of
(passive)
DNS
and
NetFlow
data
to
detect
– use
of
domain
name
genera�on
algorithms
– IP
fast-­‐flux
ac�vity
– suspicious,
periodic
(command
and
control)
traffic
Advanced
Internal
Enterprise
Traffic
Monitoring
Features
for
Advanced
Targeted
A�ack
– specific
a�acks
evade
the
An�-­‐APT
Solu�ons

88. Soluzioni
di
Advanced
Malware
Defence
PREVICT™
Web
-­‐
Hosted
– Next
Genera�on
Advanced
Malware
Protec�on
(Web
&
Binary
Analysis)
PREVICT™
Mail
-­‐
Hosted
– Next
Genera�on
Advanced
E-­‐Mail
Malware
Protec�on
(Binary
&
URL
Analysis)
PREVICT™
Web
&
Mail
-­‐
On
Premise
– Lastline
Customer’s
Private
Cloud
PREVICT™
Analyst
PRO
– Next
Genera�on
Sandbox
(Binary/DOCS
&
URL
Analysis)
via
Web
Interface
GUARDIA™
– Web
Malware
Scanning
&
Protec�on
Cloud
Service

89. Soluzione
Lastline
-­‐
Hosted
Sen�nel
fa
uno
scan
del
traffico
alla
ricerca
di
segni
ed
anomalie
che
rivelano
connessioni
di
C&C
ed
infezioni
Lastline
proa�vamente
fa
scou�ng
su
Internet
alla
ricerca
di
minacce
e
genera
update
per
la
base
di
conoscenza
del
Sen�nel
Il
Manager
riceve
e
correla
gli
alert
e
produce
informazioni
per
sucessive
azioni
Il
Sen�nel
invia
gli
artefa�
sconosciu�
(programmi
e
documen�)
per
l’analisi
ad
alta
risoluzione

90. Soluzione
Lastline
-­‐
On
Premise
Lastline
proa�vamente
fa
scou�ng
su
Internet
alla
ricerca
di
minacce
e
genera
updates
per
la
base
di
conoscenza
del
Sen�nel
Il
Sen�nel
invia
gli
artefa�
sconosciu�
(programmi
e
documen�)
per
l’analisi
ad
alta
risoluzione
Il
Manager
riceve
e
correla
gli
alerts
e
produce
informazioni
per
sucessive
azioni
Sen�nel
fa
uno
scan
del
traffico
alla
ricerca
di
segni
ed
anomalie
che
rivelano
connessioni
di
C&C
ed
infezioni

91. Corrella�on
&
Incident
Management

92. C&C
Site
Exploit
Site
Lastline
Hosted
Infrastructure
Heterogeneous
Clients
and
Mobile
Devices
External
DNS
Internal
DNS
M a n a g e m e n t
Interface
used
to
get
updates
and
send
the
logs
to
the
cloud
SPAN/Mirror
Port
listens
to
traffic
and
DNS
queries
from
clients
Deployment
Scenario
–
Porte
Span

93. C&C
Site
Exploit
Site
Lastline
Hosted
Infrastructure
Heterogeneous
Clients
and
Mobile
Devices
External
DNS
Internal
DNS
Management
Interface
used
to
get
updates
and
send
the
logs
to
the
cloud
Deployment
Scenario
-­‐
Inline

94. Deployment
Scenario
-­‐
Proxy
C&C
Site
Exploit
Site
Lastline
Hosted
Infrastructure
DMZ
Firewall
Heterogeneous
Clients
and
Mobile
Devices
External
DNS
Internal
DNS
Web
Proxy
SPAN/Mirror
Port
listens
to
internal
traffic
and
DNS
queries
from
clients
SPAN/Mirror
Port
listens
to
Outgoing
traffic
from
Proxy
and
DNS
queries

95. M a n a g e m e n t
Interface
used
to
get
updates
and
send
the
logs
to
the
cloud
C&C
Site
Exploit
Site
Lastline
Hosted
Infrastructure
Heterogeneous
Clients
and
Mobile
Devices
External
DNS
Email
Server
The
Mail
Server/Mail
R el a y
m u s t
b e
configured
so
that
the
incoming
emails
that
must
be
analyzed
are
BCC’ed
to
a
Service
Mailbox
PREVICT™
Mail
-­‐
Deployment
Scenario
The
Previct
Sen�nel
is
configured
to
poll
the
service
mailbox
via
IMAP
or
POP3
and
to
download
the
email
via
a n
e n c r y p t e d
connec�on.
The
emai
is
sent
to
the
cloud
to
be
analyzed
1
2
The
same
sensor
is
able
to
scan
inbound
h�p
and
email
traffic
(provided
the
needed
license
is
purchased).
The
load
of
the
email
scan
can
be
shared
among
different
sensors.
POP3
or
IMAP
Email
a�achments
are
sent
to
the
cloud
(Hosted
or
On-­‐Premise
–
do�ed
line)
to
be
analyzed
Customer
On-­‐Premise
Infrastructure

96. Previct
Analyst
Previct
Manager
Previct
Sen�nel
Previct
Sen�nel
Lastline
Hosted
Solu�on
PREVICT™
Analyst
Deployment
Scenario
Ac�ve
Threat
Intelligence
Alerts
&
Ar�facts
Customer
On-­‐Premise
Solu�on

97. Guardia
™
:
Web
Malware
Scanning
&
Protec�on
Cloud
Service

98. Considerazioni
Rela�ve
alla
Privacy
• Il
sensore
Lastline
PREVICT™
Sen�nel
monitorizza
il
traffico
di
rete
per
rilevare
e
bloccare
tenta�vi
di
a�acco
contro
endpoint
interni
all'organizzazione.
• Per
la
massima
accuratezza,
il
sensore
invia
al
Data
Center
alcune
informazioni
rela�ve
al
traffico
malevolo
rilevato.
Le
informazioni
inviate
non
hanno
impa�o
su
privacy
e
profilatura
uten�.
• In
de�aglio
le
informazioni
inviate
al
backend
in
modalità
cifrata
sono
le
seguen�:
-­‐ Informazioni
rela�ve
agli
allarmi
-­‐ I
nomi
dei
domini
risol�
-­‐ Il
contenuto
delle
connessioni
malevole:
Una
parte
del
contenuto
delle
connessioni
malevole
viene
inviato
per
verificare
la
consistenza
e
l’impa�o
dell'allarme
-­‐ Programmi
eseguibili
e
documen�
scarica�
da
Internet:
Gli
eseguibili
scarica�
da
Internet
(e
quindi
pubblici)
sono
analizza�
all’interno
della
Sandbox
evoluta
di
Lastline
-­‐ Allega�
Email:
Gli
allega�
sono
analizza�
all’interno
della
sandbox
da
processi
automa�ci
ed
elimina�
una
volta
analizza�
Tu�
i
documen�
sono
elimina�
una
volta
analizza�

99. Malware
(R)evolu�on
Minacce semplici
Attacchiopportunistici
Soluzioni
APT
Soluzioni
An�virus
AttacchiTargeted
Packing
Minacce sofisticate
Plain
Virus
Poly-­‐
morphic
C&C
Fluxing
Persistent
Threats
Evasive
Threats

100. Lezioni
Imparate
Gli
a�acchi
sono
sempre
più
di
�po
mirato
“Gli
a�accan�
non
puntano
alle
difese
perimetrali.
Puntano
agli
individui”
Gli
a�accan�
sono
tenaci
e
pazien�
Necessario
un
approccio
di
difesa
che
preveda
un
monitoraggio
costante
ed
evoluto,
in
grado
di
correlare
le
informazioni
a�raverso
Big
Data
Analysis
Gli
a�accan�
sviluppano
tool
ad
hoc
e
a�accano
dopo
che
hanno
o�enuto
l’accesso
al
target
Una
visione
globale
è
ancora
importante,
ma…
È
fondamentale
la
costruzione
di
difese
specifiche,
in
base
alle
cara�eris�che
ed
alle
a�vità
del
target
Malware
Evasivi
Necessari
strumen�
di
prossima
generazione
Lastline
è
la
soluzione
più
completa
e
flessibile

101. GRAZIE
DOMANDE?
carlesi@lastline.com

102. Slide 1

103. Over 10,000 Customers
Global Technology Partners
Company Growth
Recognized Security Vendor
5
14
38
43
44
55
68
78
81
89
95
109
144
167
189
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2

104. Financial Services Retail Services
Government, Healthcare & Education Carrier & Technology Services
3

105. Information Security Triangle
4

106. � Set of patented technologies designed to detect and mitigate today’s
availability based threats
� Deployed on-premise, in the cloud and hybrid
� AMS mission is to provide the industry’s best solution for DDoS attacks
� Detect where we can, mitigate where we should
5

107. 6
NBA
Prevent application
resource misuse
Prevent zero-minute
malware spread
DoS Protection
Prevent all type of
network DDoS attacks
IPS
Prevent application
vulnerability exploits
WAF
Mitigating Web
application attacks
PCI compliance
Reputation
Engine
Financial fraud
protection
Anti Trojan & Phishing

108. 7
Detect
Patented
behavioral
detec�on
Network
floods
Applica�on
a�acks:
SSL,
HTTP
GET
/
POST,
Low
&
Slow
Intrusions
Web
applica�on
threats:
SQL
injec�ons,
XSS
Mi�gate
Immediate,
Automa�c,
no
need
to
divert
traffic
Generates
real-­‐�me
signature
Dis�nguish
between
a�ackers
and
legi�mate
users
Best
quality
of
experience
even
under
a�ack
Powerful
using
dedicated
hardware
up
to
25M
PPS
Report
Real
�me
correlated
report
Historical
reports
Forensics
Trend
analysis
compliance

109. � 24x7 Service to customers under attack
� Neutralize attacks and malware outbreaks
� Release ERT Threats Alerts
� Research Lab diagnoses all known attack tools
� Provides weekly and emergency signature updates
8

110. AppWall
ü Appliance & VA
ü Web Application Firewall (WAF)
DefensePro
ü OnDemand throughput scalability 200Mbps –
40Gbps
ü Anti-DoS, NBA, IPS, Rep. Engine
APSolute Vision
ü Appliance & VA
ü Security Event Management (SEM)
9

111. � On-premise AMS is the best solution for attack mitigation
– Widest security coverage
SSL based attacks, Application level attacks, Low & slow attacks, Network flood
attacks, Known vulnerabilities, Egress traffic attacks
– Mitigation starts immediately and automatically
– No need to divert traffic
– Detailed real-time and forensic reports
� However, 15% of DDoS attacks that are handled by ERT saturate the
Internet pipe
� Internet pipe saturation protection must be offered from the Cloud
� Hybrid solution is required to fight today’s threats
10

112. � DefensePipe is a Cloud based service that protects
organizations against Internet pipe saturation
� DefensePipe is a Cloud extension of DefensePro and it
complements the on-premise DefensePro capabilities
� DefensePipe is activated only when the attack threatens
to saturate the Internet pipe
� On-premise AMS and AMS in the cloud share essential
information on the attacks
� On-premise AMS and DefensePipe creates the industry
first integrated hybrid solution
11

113. On-­‐premise
AMS
mi�gates
the
a�ack
Protected Online
Services
Protected Organization
Defense Messaging
ISP
Volumetric DDoS attack that
blocks the Internet pipe
ERT
and
the
customer
decide
to
divert
the
traffic
Clean traffic
Sharing essential
information for
attack mitigation
DefensePro
AppWall
DefensePros
12

114. 13

115. Slide 14
Business
Large volume network flood attacks
Application flood attack (Slowloris,
Port 443 data flood,…)
Large volume SYN flood
Low & Slow connection DoS attacks70%
of
last
year
a�acks
had
3
or
more
a�ack
vectors

116. Slide 15
� Radware can mitigate the most of attacks on CE (customer edge)
providing protection against SSL attack
� DefensePipe can cover the pipe saturation attack using traffic
diversion, according to attack condition on CE
� Radware AMS can be deployed in few hours and is able to mitigate
attacks immediately.
� Radware customers can invoke ERT during attacks to tune, if
needed the configuration and mitigate new attacks.
� Radware can guarantee service availabilty without any SLA breach

118. 1Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
LA MOBILITÀ E SICUREZZA:
NUOVE SFIDE ED
OPPORTUNITÀ
ALBERTO DOSSENA
Territory Sales Manager Italy, Greece, Malta & Cyprus
E: alberto.dossena@bluecoat.com
M: +39 348 1580030

119. 2Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 2Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
15 Years of Technology
Leadership
Approx. $550M in
Revenue
1,000+ Employees in 32
Countries
15K Customers WW
44% Market Share in
Secure Web Gateway
More than 200 Patents
BLUE COAT SYSTEMS:
COMPANY OVERVIEW

120. 3Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
BLUE COAT SYSTEMS:
EVOLUTION
1996 1997 1998 1999 2000 2001 2002
Incorporated
as Cacheflow
Initial Public
Offering
Entera
Acquisition
Cacheflow becames
Blue Coat Systems
2003 2004 2005 2006 2007 2008 2009 2010 2011
Ositis
Acquisition
Cerberian
Acquisition
NetCache
Acquisition
Permeo
Acquisition
Packeteer
Acquisition
S7 software
Acquisition
Blue Coat becames a
privately held company
2012 2013
Crossbeam
Acquisition
Netronome
Acquisition
Solera
Acquisition

121. 4Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
MARKET EVOLUTION:
NEW OPPORTUNITIES

122. 5Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
SECURITY MARKETS: IDC 1999

123. 6Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
SECURITY MARKETS: IDC 2013

124. 7Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
THE WEB FRONT AND CENTRE

125. 8Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
SO HOW SHOULD IT WORK?

126. 9Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
WHAT’S YOUR APPROACH?
BLOCK.
REACT.
EXCEPT.

127. 10Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
WHAT’S YOUR APPROACH?
SEE.
THINK.
DO.

128. 11Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
EVOLUTION OF THE ENTERPRISE
Multiple Devices
Owned by Employee
Single Device
Owned by IT
Enterprise Apps
Sanctioned by IT
Enterprise &
Recreational Apps
Mandated by Users
Private WAN with
Secure Perimeter
Internet Connected
Extends Perimeter
Always OnAt the Office
Backhauled
over Internal
Infrastructure
Direct Internet for
Web & Cloud-
delivered Apps
Devices
Applications
Network
AccessAccess
Delivery

129. 12Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
FOLLOWING THE USER
User
Context
Employee Devices
(Remote & Mobile)
Uncontrolled External Devices
Corporate Devices
(Remote & Mobile)
Uncontrolled External Networks
Corporate Devices
(At Office)
Controlled Corporate Environment

130. 13Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
KEY CHALLENGES IN BYOD
Governance & Compliance
BYOD could cause you to violate rules, regulations, trust, intellectual
property and other critical business obligations.
Mobile Device Management
You need to manage growing workforce expectations around mobility.
Your employees use many devices and they expect to use any device or
application anytime, anywhere.
Security
If left unmanaged, BYOD can lead to loss of control, impact your network
availability, and cause data loss. You need the right network access
strategies and policies in place to secure your environment.

131. 14Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
TAMING THE BYOD PHENOMENON

132. 15Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 15
BYOD CAUSES NETWORK PAINS
WITH……
OS Updates/Upgrades
App Downloads
Photo/video (creation)
Upload/Download
Back-up (Cloud /
Employer-issued laptop/
desktop)
Facetime / Skype Audio/
Video Communication
Recreational Video
‘Guest’ Wireless

133. 16Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
5GB
10GB
BYOD OS
Updates
2.0GB iPad iOS
767.5 iPhone iOS
454.7 iTunes iOS
App Downloads
and Updates
2 x 30 App Updates
30 App Downloads
@ 20MB/app
Content
Uploads
100 x 2.7MB/photo
10 x 1 min video
@ 230 MB/video
Content
Downloads
300 x 2.7MB/photo
30 x 1 min video @
230 MB/video
Cloud-based
Backup
iCloud
Google Drive
5GB Free
How They
Stack Up
20GB
15GB
2.7
Avg
iPhone 4s
photoMB
30
Avg
Downloads
Per User in
One YearAPPS
15X
BYOD
adoption
increase
since 2009
1.02
BYOD
Devices
Projected
by end
of 2012
BILLION
2.57GB
Content Uploads
4.71GB
Content
Downloads
5GB
Cloud-based
Backup
2GB
BYOD OS
Updates
1.2GB
App Downloads
and Updates
WHERE DID THE BANDWIDTH GO?
BYOD BANDWIDTH CONSUMPTION—JUNE 2011 TO JUNE 2012

134. 17Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
RECREATIONAL TRAFFIC – IMPACT ON
BUSINESS
§ Recreational Video is here to stay
Pulled by laptops / desktops / BYOD
– Sporting events
– World news
– Viral Videos

135. 18Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
RECREATIONAL VIDEO – IMPACT ON
BUSINESS
VIDEO – TYPICAL DESKTOP/LAPTOP ACCESS
# of people in remote
office accessing
video
Video Size
(Average Resolution)
Bandwidth Used
% of T1 Connection
(1.544Mbps)
% of 6Mbps
Connection
1
Desktop PC’s /
Laptops
640 x 360
(500 Kbps)
500 Kbps 33% 8%
2 1000 Kbps 66% 16%
3 1500 Kbps 100% 25%
4 2000 Kbps 33%
5 2500 Kbps 341%
6 3000 Kbps 50%
7 3500 Kbps 58%
8 4000 Kbps 66%
10 4500 Kbps 75%
12 5000 Kbps 83%
15 7500 Kbps 100%+

136. 19Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
# of people in remote
office accessing
video
Video Size
(Average Resolution)
Bandwidth Used
% of T1 Connection
(1.544Mbps)
% of 6Mbps
Connection
1
Mobile Devices
(iPhone/iPad)
360 x 240
(200 Kbps)
200 Kbps 13% 3%
2 400 Kbps 26% 6%
3 600 Kbps 40% 10%
4 800 Kbps 53% 13%
5 1000 Kbps 66% 16%
6 1200 Kbps 80% 20%
7 1400 Kbps 93% 23%
8 1600 Kbps 26%
10 2000 Kbps 33%
12 2400 Kbps 40%
15 3000 Kbps 50%
Recreational Video – Impact on Business
Video – Mobile Devices

137. 20Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
BUSINESS ASSURANCE TECHNOLOGY

138. 21Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
MOVE BEYOND PREVENTION. CONSIDER
NEW POSSIBILITIES
§ These solutions will protect you against web and network-based
threats, prevent data loss, and give you flexible business
policy control across enterprise, web, social and mobile
networks.Security & Policy
Enforcement
§ With Mobility Empowerment Center you can secure all of the
devices and applications used for business-regardless of who
owns and uses them or where and how they connect to your
network. So you can embrace BYOD rather than fight itMobility
Empowerment
§ The number and diversity of applications out there is staggering:
business apps, web-based apps, mobile apps, consumer apps.
With Trusted Application Center, your enterprise can safely
deploy and consume all apps.Trusted
Applications

139. 22Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
FEED THEIR NEED FOR A MORE SATISFYING
EXPERIENCE.
§ With the Blue Coat products, you can assess risk management
tradeoffs, enforce compliance-related policies, and close the
operations feedback loop by integrating retrospective analytics,
problem resolution, and continuous learning into your security
Performance
§ Businesses are turning to Performance Center to get visibility
into performance, decide how best to allocate bandwidth, and
optimize performance via caching..
Resolution

140. 23Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.

141. 1© Copyright 2012 EMC Corporation. All rights reserved.
Security Analytics
Fabrizio Banfi – Senior Channel Manager Italy
Firenze - June 2013

142. 2© Copyright 2012 EMC Corporation. All rights reserved.
Agenda
Ÿ RSA & Security Management
Ÿ Market and trend – Business & Security
Ÿ RSA view and approach – Security Analytics
Ÿ High level architecture - Logical
Ÿ Q & A

143. 3© Copyright 2012 EMC Corporation. All rights reserved.
Our Journey To The Cloud/Big Data
EMC Cumulative 8 Year
Technology Investment
R&D $10.5B
M&A $14B
2003
AND BEFORE
2005
2007
2009
ENTERPRISE
STORAGE
INFORMATION
LIFECYCLE
MANAGEMENT
INFORMATION
& VIRTUAL
INFRASTRUCTURE
JOURNEY
TO THE
CLOUD
2011
CLOUD &
BIG DATA

144. 4© Copyright 2012 EMC Corporation. All rights reserved.
What’s Different about RSA
Leader
Authentication
Leader
Data Loss
Prevention
Leader
Web Fraud
Detection
Leader
SIEM
Leader
GRC
Leader
Network
Analysis &
Forensics

145. 5© Copyright 2012 EMC Corporation. All rights reserved.
RSA Security Management
GOVERNANCE
INTELLIGENT
CONTROLS
ADVANCED
VISIBILITY
AND
ANALYTICS
Cloud MobilityNetwork
Rapid Response and Containment
Collect, Retain and Analyze Internal
and External Intelligence
Manage Business Risk,
Policies and Workflows

146. 6© Copyright 2012 EMC Corporation. All rights reserved.
RSA Security Management
GOVERNANCE
INTELLIGENT
CONTROLS
ADVANCED
VISIBILITY
AND
ANALYTICS
Cloud MobilityNetwork
RSA Archer
eGRC Suite
RSA Security Analytics
RSA NetWitness
RSA enVision
RSA DLP Suite
RSA FraudAction
RSA CCI
RSA eFraud Network
RSA NetWitness Live
RSA Adaptive
Authentication
RSA Access Manager
RSA SecurID
RSA Transaction
Monitoring
RSA Federated Identity
Manager
RSA Data Protection
RSA DLP Suite
RSA BSAFE

147. 7© Copyright 2012 EMC Corporation. All rights reserved.
Market Disruptors
Infrastructure
Transformation
Mobile Cloud
Less control over access
device and back-end
infrastructure
Threat Landscape
Transformation
APTs
Sophisticated
Fraud
Fundamentally
different tactics, more
formidable than ever
Business
Transformation
More hyper-extended,
more digital
Extended
Workforce
Networked
Value
Chains
Big
Data

148. 8© Copyright 2012 EMC Corporation. All rights reserved.
Traditional Security Is Not Working
Source: Verizon 2012 Data Breach Investigations Report
99% of breaches led to
compromise within “days” or less
with 85% leading to data
exfiltration in the same time
85% of breaches took
“weeks” or more to
discover

149. 9© Copyright 2012 EMC Corporation. All rights reserved.
Speed
Response Time2Decrease
Dwell Time1
TIME
Attack Identified Response
System
Intrusion
Attack
Begins
Cover-Up
Complete
Advanced Threats Are Different
Cover-Up Discovery
Leap Frog Attacks
1TARGETED
SPECIFIC OBJECTIVE
STEALTHY
LOW AND SLOW
2 3INTERACTIVE
HUMAN INVOLVEMENT
Dwell Time Response Time

150. 10© Copyright 2012 EMC Corporation. All rights reserved.
SIEM Needs To Evolve
Ÿ Many SIEMs were originally bought for compliance
– 80% of SIEM customers consider compliance reporting to be very
important (Forrester 2011)
Ÿ Many organizations are looking to get more out of their SIEM
implementations
– Threat management is of growing in importance for SIEM drivers
(Gartner 2012)
Ÿ SIEMs need to evolve to encompass growing scale and diversity
of use cases
– Scale upwards and outwards, but minimize TCO
– Continue best-in-class collection, retention, reporting
– Augment with new ways to access and transform data to support
Security Operations use cases

151. 11© Copyright 2012 EMC Corporation. All rights reserved.
New Security Model
Ÿ Perimeter based
Ÿ Static/Signature based
Ÿ Siloed
Reactive Intelligence Driven
Ÿ Risk-based
Ÿ Dynamic/agile
Ÿ Leveragable/Contextual

152. 12© Copyright 2012 EMC Corporation. All rights reserved.
Adaptive Controls
adjusted dynamically based
on risk and threat level
Advanced Analytics
provide context and
visibility to detect threats
Intelligence-Driven Security
Risk-based, contextual, and agile
Information Sharing
actionable intel from trusted sources and COIs
Risk Intelligence
thorough understanding
of risk to prioritize activity

153. 13© Copyright 2012 EMC Corporation. All rights reserved.
Shift In Focus. Shift In Spend
MATURITY
IT RiskControl Compliance
Business
Risk
Prevention
80%
Monitoring
15%
Response
5%
Prevention
34%
Monitoring
33%
Response
33%
$

154. 14© Copyright 2012 EMC Corporation. All rights reserved.
Resource Shift: Budgets and People
Today’s
Priorities
Prevention
80%
Monitoring
15%
Response
5%
Prevention
80%
Monitoring
15%
Response
5%
Prevention
33%
Intelligence-Driven
Security
Monitoring
33%
Response
33%

155. 15© Copyright 2012 EMC Corporation. All rights reserved.
Comprehensive
Visibility
“See everything
happening in my
environment and
normalize it”
High Powered
Analytics
“Give me the speed and
smarts to discover and
investigate potential
threats in near real time”
Big Data
Infrastructure
“Need a fast and scalable
infrastructure to conduct
short term and long term
analysis”
Integrated
Intelligence
“Help me understand what
to look for and what others
have discovered”
Today’s Security Requirements

156. 16© Copyright 2012 EMC Corporation. All rights reserved.
RSA Security Analytics: Changing The
Security Management Status Quo
Unified platform for security monitoring, incident investigations
and compliance reporting
SIEM
Compliance Reports
Device XMLs
Log Parsing
Network
Security
Monitoring
High Powered Analytics
Big Data Infrastructure
Integrated Intelligence
RSA Security
Analytics
Fast & Powerful
Analytics
Logs & Packets
Unified Interface
Analytics Warehouse
SEE DATA YOU DIDN’T SEE BEFORE,
UNDERSTAND DATA YOU DIDN’T EVEN CONSIDER BEFORE

157. 17© Copyright 2012 EMC Corporation. All rights reserved.
What is RSA Security Analytics?
Ÿ Unified platform for:
– Security monitoring
– Incident investigations
– Compliance reporting
Ÿ Brings together SIEM, Network
Security Monitoring, Big Data
Management & Analytics
Ÿ RSA Security Analytics is a new
approach to combating advanced threats

158. 18© Copyright 2012 EMC Corporation. All rights reserved.
RSA Security Analytics High Level Architecture

159. 19© Copyright 2012 EMC Corporation. All rights reserved.
What Makes Security Analytics Different?
Ÿ Big Data Infrastructure
– Fast and scalable
– Security data warehouse plus proven NetWitness infrastructure
Ÿ Comprehensive Visibility
– See everything happening in an environment
– Normalizes diverse data including logs, packets and intelligence
Ÿ High Powered Analytics
– Speed and smarts to detect and investigate advanced threats
– Provides short term and long term analytics plus compliance
– Removes the hay versus digging for needles
Ÿ Integrated Intelligence
– Operationalize intelligence by fusing it with your data
– Understand what to look for and what others have found

160. 20© Copyright 2012 EMC Corporation. All rights reserved.
Results
Ÿ Reduce risk from advanced threats
– Reduces the threat analysis time from days to minutes
– Compress attacker free time
Ÿ Elevate the security team to another level of
effectiveness
– Increase teams’ collective skill by gaining analytical firepower
– Investigate more rapidly, centralize information, automate
alerts and reports
Ÿ Implement an intelligence driven security strategy
– Operationalize intelligence to defend with confidence
– Adopt a more risk-aware, agile and contextual security model
Ÿ Meet compliance reporting requirements

161. 21© Copyright 2012 EMC Corporation. All rights reserved.
Q & A
Fabrizio Banfi – fabrizio.banfi@rsa.com – 340/48.08.660