Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?

AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
Leandro Vicente
Sr. Systems Engineer - SP
Arthur Fang
Principal Technical Support
Engineer - SP
Diego Almeida
Especialista em Cyber Segurança

Sobre os nossos apresentadores
Copyright © 2015 Symantec Corporation
Arthur Fang
Principal Techincal Support Engineer
- 15 anos de experiência em TI
- 9,5 anos na Symantec
- Especialista em soluções de segurança
- Atua na equipe Avançada do Suporte Técnico.
- Análise de Malware e Forense.
Leandro Vicente
Sr. Systems Engineer
- 14 anos na Symantec
- Especialista em soluções de segurança e conformidade
- Atua na pré-venda para clientes do segmento Financeiro, desenvolvendo
soluções para proteção e gerenciamento das informações

Sobre os nossos apresentadores
Diego Almeida
Especialista em Cyber Segurança
- Mais de 15 anos de experiência em soluções de segurança de
perímetro e serviços gerenciados.
- Responsável pelo portfólio de Cyber Security para América Latina

Segurança Corporativa| Estratégia de Produtos e Serviços
4
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle
• Forense e Remediação embutida em cada ponto de controle
• Proteção integrada para Workloads: On-Premise, Virtual e Cloud
• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs
e Telemetria
Gestão Unificadas
de Incidentes e
Customer Hub
Integrações com
Terceitos e Inteligência
Benchmarking
Regional e por
Segmento
Análise Integrada
de Comportamento
e Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades
• Cloud Security Broker para Apps Móveis e em Nuvem
• Análise de comportamento dos usuários
• Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data
Center
Cyber Security Services
Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários

TAKE THE NEXT STEP
SYMANTEC
ADVANCED THREAT
PROTECTION 2.0

Dia do Lançamento
• Symantec Advanced Threat Protection 1.0 : Network & Email – Maio/2015
– Mais de 20 clientes testou o Beta antes de Maio/2015
– Mais de 145 mil agentes em produção
– Tecnologia testada em mais de 200 Milhões de endpoints
– Cynic para Email adicionado em Novembro/2015
• Symantec Endpoint Protection EDR for ATP v2 (SEP 12.1.6 MP3)– Novembro/2015
• Symantec Advanced Threat Protection v2.0 Network, Email e Endpoint –
Dezembro/2015
• Roadmap agressivo para os próximos 6 meses

• Como descobrir APTs, AETs, RATs, BotNets?
7

PREVENIR
Parar os ataques
recebidos
DETECTAR RESPONDER
Conter & Remediar
os problemas
RECUPERAR
Restaurar as
operações
PREVENÇÃO SOZINHA NÃO É SUFICIENTE
8
IDENTIFICAR
Saber onde os dados
importantes estão
Identificar as
Invasões/incursões

A DETECÇÃO TEM SE TORNADO CADA VEZ MAIS DIFÍCIL
O Produtos de segurança atuais em sua maioria não são integrados
As ameaças podem “fugir” de tecnologias tradicionais de sandboxing
Conteúdo malicioso
conhecido detectado
Comportamento de
rede suspeito
Malware conhecido
bloqueado
Comportamento
suspeito do arquivo
Quando as empresas detectam ameaças avançadas, é demorado e difícil para elas
limparem os artefatos de ataque em todo o ambiente
Anexo malicioso
bloqueado
URL maliciosa
detectada
RedeEndpoints Email
9

E EVENTOS DEMORAM TEMPO PARA SEREM TRATADOS
O analista deve entrar em contato com o usuário final e coletar manualmente um arquivo
específico nos endpoints
Conteúdo malicioso
conhecido detectado
Comportamento de
rede suspeito
Malware conhecido
bloqueado
Comportamento
suspeito do arquivo
Seguido por atualizações de políticas individuais para cada produto de segurança para
remover o arquivo onde ele estiver
Anexo malicioso
bloqueado
URL maliciosa
detectada
RedeEndpoints Email
10

SYMANTEC™ ADVANCED THREAT PROTECTION
SOLUCIONA ESTES PONTOS
Prioriza o que mais importa
Remedia rapidamente
Aproveita investimentos atuais
Descobre ameaças avançadas através de
endpoints, rede, e email
11

Testes de mercado de Detecção e Falso-Positivo
12
Full Report: https://goo.gl/rDCc17 Full Report: http://goo.gl/69Ghmt Full Report: http://goo.gl/B9ho2m

Melhor no em detecção comparado ao CISCO SOURCEFIRE e FIREEYE
Copyright © 2015 Symantec Corporation - Published 5/5/2015
13
Principais conclusões:
• Melhor performance na detecção de Malware
• Detectou 100% dos Advanced Persistent Threats (ATP)
• Detectou 100% dos Advanced Evasive Threat (AET)
• Detectou 100% dos BotNet
• Detectou 100% dos virus antigos
• Detecção de RATs acima da media
• O que mais detectou ameaças ativas na rede
• O que mais detectou documentos com conteúdo maliciosos
Na média o Symantec ATP detectou 18,5% mais
que os seus competidores

• O que foi comprometido?
• Qual o alcance e atividade da ameaça?
14

Indicators-of-Compromise (IoCs) de um ataque
• Solução Symantec ATP fornece um ponto único de visualização dos IOCs de um ataque
• Inclui um gráfico completo com as relações e conexões entre os IOCs, como:
– Todas as atividades suspeitas na organização
– Como os eventos estão relacionados
• Arquivos usados em um ataque;
• Os e-mails com estes arquivos e as origens
• Origem de IPs e Dominio dos arquivos
15
• Adiciono Endpoint Detection and Response (EDR) nos
agentes de SEP já existentes no ambiente
– Capacidade de busca de IOCs em todo os agentes de SEP através
da console de gerenciamento do ATP
• Hash ou nome do arquivo, Chave de Registro, IP e URL
– Incluindo remediação em 1-click
• Coleta do arquivo, deletar o arquivo, envio para o Cynic (sandbox),
colocar o endpoint em quarentena e etc.

CAÇANDO OS INDICATORS OF COMPROMISE COM ADVANCED THREAT
PROTECTION: ENDPOINT
1. O analista de segurança inicia a busca na console Symantec Advanced Threat Protection a
varredura nos clientes.
2. A requisição de varredura está na fila para o heartbeat e será entregue para o cliente no
próximo heartbeat. Por padrão o tempo máximo é de 5 minutos.
3. SEPM inicia a busca em cada endpoint com o SEP cliente, e pode verificar os seguintes itens
(Na varredura rápida ou varredura completa):
• Arquivos por hash (SHA256, SHA1 and MD5) ou nome
• IP externos ou website
• Chave de registros
4. Verificação de resultados são retornados para o SEPM em tempo real.
5. Os dados são disponibilizados na console de Symantec Advanced Threat Protection.
6. O arquivo(s) podem ser recuperadas de qualquer endpoint para análises futuras.
1
2
3
4
5
16

Tipos de Busca
• Inline (Datastore)
– Pesquisa de um artefato na base local
– Retorno do resultado em segundos
– Eventos de um artefato gerados nos sensores do endpoint e da rede
– Exemplos (arquivo, hash, domínio, hostname, username, IP)
– Busca de arquivos do tipo executaveis (exe,dll,com,scr,msi,drv,sys,ocx,cpl)
• Integrado no Endpoint
– Busca de artefatos no endpoint
– Resultados podem ser adiados com base em alguns fatores (heartbeat, endpoint off-line, cache)
– Examples (arquivo, hash, chave de registro)
– Todos os tipos de arquivo (Executaveis ou não)
.
17

Expressões da busca
• O usuário pode fornecer expressões como critérios para reduzir o escopo da pesquisa.
– “<Field> <Operator> ‘<Value>’ [ [ AND|OR ] <Field> <Operator> ‘<Value>’ ]…”
• As expressões (Field, Operator, Value) podem ser combinadas com as operações
lógicas AND ou OR.
• O valor tem que ter aspas simples.
• As expressões são validadas pelo campo, operação e o formato do valor
• Alerta na console para as expressões inválidas
18

Expressões da busca (continuação…)
Os operadores de busca suportados:
Uma busca com uma expressão inválida mostra um erro com detalhes abaixo da área de
busca.
Operadores Descrição
= Combinação exata de campo com determinado valor.
match Um determinado valor de um campo
like Como um “começar com” comparison of the given value in the field.
!= Negativo do operador “=“
not_match Negativo do operador “match”
not_like Negativo do operador “like”
19

Expressões da busca (continuação…)
• Resulatado de uma busca com uma expressão válida
• And/ Or/ = / Not equal/ Match/ Like
20

Pagina dos pontos
21
Arquivo
Incidentes Relacionados
Eventos Relacionados
Visto nos Endpoints
Origem do download
Nome do arquivo associado ao
Hash
Resultado do Cynic (Sandbox)
Domínio
Download dos Arquivos
Endpoints que comunicaram
IP’s Associados com o Domínio
Endpoint
Eventos Relacionados
Arquivos Maliciosos
Conexões Maliciosas

ADVANCED THREAT PROTECTION: ENDPOINT
SEPM 12.1 RU6 suporta todas as funcionalidades do ATP:ENDPOINT,
porém versões antigas do agente podem ser usadas
Versões
Coleta de
arquivo
Deletar arquivo
IOC
Hunting
Endpoint
Quarantine
Blacklist de
arquivo por
hash
Insight e
Submissões
redirecionadas
para o SEPM
Insight
redirecionado
para o SEPM
Insight Local e
redirecionamento
das Submissões
SEP 12.1 RU6
       
SEP 12.1 RU5
       
SEP 12.1 RU4
       
SEP 12.1 RU3
       
SEP 12.1 RU2 e
inferiores        
Funcionalidades suportadas por versão do SEP

Campo Exemplo
De SEP RU5 até
o SEP RU6 MP2
SEP RU6 MP3 e
superior
Caminho do arquivo C:Windows*foo.exe - X
Nome do arquivo C:Windowstempfoo* X X
CSIDL CSIDL_APPDATAantivirusdownloader - X
Variável de ambiente %APPDATA%antivirusdownloader X X
Chave de registro HKLMSoftwareSymantec*InstalledApps - X
Wildcard no valor da
chave de registro
HKLMSoftwareSymantec
Value = *Path
- X
Busca do valor da
chave de registro
Não (valor é
retornado em
resposta)
X
23
Wildcard suportados para busca de evidencias pela versão do SEP

Busca da evidência via console do ATP
• Usa a integração com o SEPM para fazer as chamadas no agente do SEP
• Em Push mode a solicitação e o retorno é enviado imediatamente
• Em Pull Mode a busca depende do heartbeat
– A resposta depende do heartbeat configurado no SEPM
– Exemplo: Uma busca de arquivo iniciado com Foo.exe, o Endpoints não vai iniciar a busca do arquivo
Foo.exe antes do heartbeat
• O resultado da pesquisa é retornado imediatamente, quando:
– Busca de Hash
– Pesquisa de nome de arquivo com o caminha é utilizada a verificação rápida
• Uma pesquisa por nome sem o caminho é necessário uma pesquisa complete
24

Busca da evidência via console do ATP
• Quando a varredura é utilizada
– Maquinas off-line não serão afetadas pela varredura
– Maquinas off-line receberão a varredura quando ficarem online
– Agente com versão não compatível mostrará como varredura rejeitada
– ATP mostra o resultado da pesquisa quando a tarefa estiver completada
– Maquinas remotas armazenam o resultado em cache em caso de perda a comunicação
25

SymEFA
• Base de dados local no endpoint com atributos adicionais dos arquivos
• Armazena os hashes localmente dos executaveis (exe,dll,com,scr,msi,drv,sys,ocx,cpl)
• Busca de EOC rapidamente na base do SymEFA antes de uma varredura completa
• Se o hash estiver no SymEFA a resposta é envida em segundos
• Somente os executaveis são armazenados no SymEFA
26

27
SymEFA

Valores de busca das Evidencias
Operadores suportados
Operador Descrição
= Combinação exata de campo com determinado valor.
match Um determinado valor de um campo
like Como um “começar com” comparison of the given value in the field.
Nome do campo Descrição
filename Busca pelo nome do arquivo
registry Busca pelo valor de uma chave de registro
filehash Busca pelo hash do arquivo (MD5, SHA256)
Operação Logica EOC
OR Filename ou filehash
* Em um caminho e pasta ou nome de arquivo (Somente RU6)
28

Nome do arquivo (FileName)
Busca pelo nome do arquivo é suportado nos formatos:
• Variável de ambiente (%windir%, %system32%)
• Caminho CSIDL
– CSIDL_SYSTEM_DRIVE (C:) %Systemdrive%
– CSIDL_DRIVE_FIXED (C:, D:)
– CSIDL_DRIVE (Qualquer letra válida)
• RegEx não é suportado para busca por nome de arquivo (FileName)
• Wildcard suportados
– ? Único caractere
– * Numero de caracteres
29

Interrogatório no Endpoint
30

Status do progresso no SEPM
31

Tarefa executada nos agentes do SEP
32

Resultado na console do ATP
33

CYBER SECURITY SERVICES
36
MANAGED
SECURITY
SERVICES
INCIDENT
RESPONSE
SECURITY
SIMULATION
DEEPSIGHT
INTELLIGENCE
Rastrear e analisar eventos de
segurança , criar ações de
inteligência
Proteger contra ataques
direcionados, ameaças
avançadas e campanhas.
Responder rapidamente à
eventos, de forma eficiente.
Reforçar o preparo dos seus
profissionais para se prevenir
contra ataques avançados.
CYBER NEDEEPSIGHT
INTELLIGENCE
SECURITY
SIMULATION
MANAGED
SECURITY
SERVICES
INCIDENT
RESPONSE

Organizações de segurança estão lutando uma batalha desproporcional
37
Cybersecurity é a
competência de TI
com maior escassez
nos últimos 4 anos*
Baixa experiência com
violações na prática
Organizações não
possuem a certeza que
estão preparados
Recursos
aparentemente
ilimitados
Ataques sofisticados e
multi-estágios
Táticas dos atacantes
constantemente
transformandoas
• * ESG’s annual global IT Spending Intentions survey has shown a ’problematic shortage’ of cybersecurity experts as the top IT skills shortage for four years in a row.
• http://www.esg-global.com/research-reports/2015-it-spending-intentions-survey/

Ausência de plano é planejar para falhar
37% 68%
60%
NÃO CONFIAM QUE PODE LIDAR
COM AS CONSEQUENCIAS DE
UMA BRECHA
NÃO REVISARAM OU
ATUALIZARAM SEU PLANO DE
RESPOSTA DESDE QUE FOI
IMPLEMENTADO
TEM UM PLANO DE RESPOSTA
3838

E ao que isto leva?
39
Altos custos de resposta
Tempos de resposta
ruins
Baixa eficácia
Dificuldades para
mostrar o ROI dos
investimentos

Como a Symantec pode ajudar
Cyber Readiness Services
40
Planejamento e
desenvolvimento do
programa de IR
IR Team TrainingIR Tabletop Exercises
Compromise Assessment

Como a Symantec pode ajudar
Cyber Readiness Services
41
Planejamento e
desenvolvimento do
programa de IR
IR Team TrainingIR Tabletop Exercises
Compromise Assessment

Advanced Threat Hunting?
42
O que é?
Serviço executado onsite por profissionais Symantec com
mais de 12 anos de experiência em investigação de incidents.
Como?
Buscando na rede do cliente por atividades maliciosas
através de metodologia e tecnologias próprias.
Quais os resultados que posso esperar?
Melhor entendimento sobre qualquer potencial exposição e
recomendações para contenção e remediação.
Conhecer quais informações foram retiradas, como ocorreu e
quais foram os atores envolvidos.
Como adquirir?
Comercializado por número de dias, estipulados após uma
definição de escopo em conjunto com o cliente.
INCIDENT
RESPONSE
Responder rapidamente à
eventos, de forma eficiente.

43
Experience Matters
– Média do time com 12 anos de experiência em IR
– 5 patentes de tecnologia de IR retidas pelo Team
– Experiência direta em todas as verticais, incluindo Sector
Público
– Experiência com Brechas de Alto-Perfil

Symantec Managed Security Services
Visibilidade Global
• Mais de 500 clientes em todo mundo
• Visão ampla de ameaças emergentes
• Analistas Symantec reconhecem e respondem
rapidamente a ataques direcionados
Resposta mais rápida
• Melhor visibilidade através do ATP ajuda a
identificar os estágios de campanhas e ataques
complexos, incluindo movimentação lateral
• Minimiza seu tempo de resposta e exposição
Global Intelligence
Endpoint Network Email
Advanced Threat Protection
MSS Global Operations
Other ATP Products Users
Data
Apps
Cloud Endpoints
Gateways
MSS Analytics Platform
Real Time
Correlation
Global
Threat
Intelligence
Advanced
Threat & Behavioral
Analysis
MANAGED
SECURITY
SERVICES
Proteger contra ataques
direcionados, ameaças
avançadas e campanhas.

OBTENHA SUPORTE ADICIONAL E TREINAMENTO COM SERVIÇOS DA
SYMANTEC.
45
Business Critical Services
Education
Essential Support
Remote Product Specialist
Acesso personalizado a um
engenheiro, com experiência
técnica em uma família de
produtos específicos, que também
é habituado com o seu ambiente.
• 24/7/365 online
learning anywhere
• Instrutor presencial ou
virtual
• Certificações
Premier
• Seupróprio especialista deserviços.
• Rápida resposta na resolução de
problemas.
• Planejamento proativo e gerenciamento
de risco.
• Acesso incluso no Symantec
technical education
• Assistência Onsite.
• Acesso 24/7 de engenheiro de suporte técnicos.
• Atualizações de produtos, incluindo atualizações de recursos e
correções de versões.
• Atualização de conteúdo de segurança, incluindo definições de vírus
e regras de spam.
Conhecimento e experiência
em todo o ciclo de vida do
software para ajudar você a
atingir os objetivos do seu
negócio.
Consulting

Perguntas do Chat
46
SymantecMarketing_BR@symantec.com

Nome do Próximo Webinar BE AWARE para Brasil
47
Alinhando sua estratégia de
segurança: Visibilidade e
Conformidade
Para mais informação
@SymantecBR
https://www.facebook.com/SymantecBrasil
SymantecMarketing_BR@symantec.com

Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be
trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by
law. The information in this document is subject to change without notice.
Obrigado!

Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?

Apresentações relacionadas

Mais conteúdo relacionado

Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?