Mais conteúdo relacionado
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
- 1. Protegendo PDV de ameaças Externas e Garantindo
Conformidade
Luiz Leopoldino Lucas Veiga
Security Systems Engineer Sr Technical Engineer
- 3. Segurança Corporativa| Estratégia de Produtos e Serviços
3
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle
• Forense e Remediação embutida em cada ponto de controle
• Proteção integrada para Workloads: On-Premise, Virtual e Cloud
• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs
e Telemetria
Gestão Unificadas
de Incidentes e
Customer Hub
Integrações com
Terceiros e Inteligência
Benchmarking
Regional e por
Segmento
Análise Integrada
de Comportamento
e Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades
• Cloud Security Broker para Apps Móveis e em Nuvem
• Análise de comportamento dos usuários
• Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data
Center
Cyber Security Services
Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários
- 4. Cenário de Ameaças Corporativas
4
Atacantes se movimentando mais rapidamente
Extorsão digital em
ascensão
Malware mais
inteligente
Ameaças Dia-Zero Muitos Segmentos sob Ataque
5 de 6
grandes
empresas
atacadas
317M novos
malwares
criados
1M
novas
ameaças
por dia
60% dos
ataques
focaram nas
PMEs
113%
aumento em
ransomware
45X mais
dispositivos
sequestrados
28% malwares
são Virtual
Machine Aware
Recorde
absoluto
Top 5 sem
correção por
295 dias
24
Saúde
+ 37%
Varejo
+11%
Educacional
+10%
Governo
+8%
Financeiro
+6%
Fonte: Symantec Internet Security Threat Report 2015
- 6. Os 10 maiores setores com exposições de dados no último ano
6Relatório de Ameaças à Segurança na Internet de 2015, Volume 20
- 7. Observamos resultados diariamente. Mas quantos passam despercebidos
e sem reportar a um orgão regulamentador?
7Copyright © 2015 Symantec Corporation
Total de Brechas
312
Identidades
Expostas
348
Janeiro 2014 – Dezembro 2014
Milhões
Janeiro 2014 – Dezembro 2014
• Ano 2014:
o PDV sem criptografia, sem adequadas segmentações de rede
o 5 meses para detectar
o 2 semanas para descobrir
o Vulnerabilidades Dia-0 sendo exploradas
o 56 milhões de registros de cartões de crédito roubadas
• Ano 2014:
o Impactos instantâneos
o 4 Filmes disponibilizados antes de seu lançamento
o 25GB, 33K arquivos
o Desativação de e-mails e Wi-Fi
o Atrasos de pagamentos
• Dezembro 2013:
o Hackers invadem a Target pela rede de monitoração do Ar
condicionado, infectam o ambiente.
o Segmentação inadequada, falta de proteção nos PDVs infecção dos
PDVs.
o Extração de 70 milhões de registros dos cartões de crédito de
clientes
- 8. 8
Gestão
3 dias : Média de tempo para descoberta de vulnerabilidade (SO Linux)
… Os PDV's são utilizados por muitos anos e Linux SO
Os desafios não são apenas no lado de segurança…
Copyright © 2015 Symantec Corporation
Inventário de software, atualizações Mudanças nas configurações
Novas funcionalidades e patches
Telemetria de Segurança
Diagnóstico e remediação
Listas de controle de acesso
Conteúdo sensível
Atualizações de Políticas
- 9. Anatomia de um ataque em com sistemas PDV
Copyright © 2015 Symantec Corporation 9
Rede PDV
Payment Processor
Rede Corporativa
Internet
Unencrypted
Data in Memory
As informações são coletadas,
selecionadas e enviadas a
servidores externos (Que
também estão
comprometidos)
Credenciais de
Administrador
Comrprometidas
Hijacked
Staging
Server
Servidor de FTP Comprometido
1 2
3
4
5
3 3 3
3 3 3
6
2017 4320 5001 7432 1018 4562 1916 8932 1797 5690 9876 2344
1734 5690 2554 2344 7897 5690 9876 7390 2017 4320 5001 1068
1797 5690 9876 2344
2017 4320 5001 7432
1018 4562 1916 8932
1797 5690 9876 2344
1734 5690 2554 2344
Os atacantes tomam sistemas
internos e acumulam
informacão dos PDVs
O malware rouba as
informações de cada
transação e acumula um
grande número de dados e
os envia
Os atacantes instalam um
malware nos PDVs para roubar
dados do cartão de crédito
Os atacantes buscam um ponto de
entrada na rede de PDVs
Os atacantes interceptam os
dados da rede corporativa
(via spearphishing, servidores
vulneráveis, etc.)
123456
- 10. Métodos de Proteção tradicional
Segregação de Redes Antivírus Convencional em PDV Proteção nativa do SO
10
- 11. Por que um PDV é um alvo de Ataque?
• Os sistemas PDV são dispositivos de missão crítica
para muitas empresas.
• Estes sistemas usualmente possuem pouca
proteção contra ataques direcionados, que, através
da execução de aplicativos não autorizados, podem
começar a capturar e roubar dados de cartão de
crédito.
• Soluções de segurança tradicionais, pode impactar
negativamente o desempenho destes sistemas por
contar com uma atualização de definição de vírus.
Copyright © 2015 Symantec Corporation 11
- 12. LOCKDOWN
Prevenção de Execução de Código DESCONHECIDO inibe a atividade suspeita
12Copyright © 2015 Symantec Corporation
MEMORY CONTROL
POLICIES
Defende contra código
malicioso que está sendo
inserido ou executado a
partir da memória
MEMORY
Restringir a execução do
programa e o seu
comportamento
BEHAVIOUR
APPLICATION
SANDBOXING &
WHITELISTING
SYSTEM CONTROL
POLICIES
Aplicar os princípios de
privilégio mínimo para o
dispositivo
HARDENING
Monitora continuamente
as configurações de
arquivo e registro
INTEGRITY
REAL-TIME INTEGRITY
MONITORING
Permitir somente a
White List de aplicativos
listados.
Controlar o uso de USB e
outras portas periféricas
PERIPHERALS
APPLICATION
CONTROL
- 13. • Restringe as apps & monitora o
comportamento do SO
• Protege o sistema contra buffer overflow
• IPS para prevenção de zero-day attacks
• Controle de aplicação
• Monitora os logs e eventos de
segurança
• Logs consolidados & envio para
servidores Syslog
• Smart event responsável para uma
rápida ação para o ambiente.
• Close back doors (Bloqueio de Portas)
• Limite a conectividade de rede por
aplicação.
• Restrinja o fluxo do trafego de entrada e
saída da aplicação.
• Faça o Lock down de configurações e
politicas
• Force a utilização de suas politicas de
segurança
• Previne escalar privilégios do usuários
• Prevenir o uso de mídias removíveis
Network
Protection
Exploit
Prevention
System
Controls
Auditing &
Alerting
Symantec Embedded Security
- 14. Proteção Além do AV
14
Registro
Arquivos de
Configuração
Dispositvos de
Armazenamento USB
Aplicações
SO
Memória
Symantec Embbed Security
Proteção da Integridade
do SO
Proteção da Integridade
de Arquivos
Proteção da Memória
Controles de Rede (FW)
Controle de Dispositivos
Controle das Aplicações
- 15. Symantec™ Embedded Security
•Always On – Proteção Constante
•Utiliza engines Antivírus e Insight (Reputação)
•Console de Gerenciamento Unificada
•Proteção básica até o completo Lockdown
•Hardening simplificado através de Wizards
•Controle e proteção de aplicações Whitelisted
Proteção
Symantec Embedded
Security for POS
Security Response
Insight Reputation
- 16. Níveis de Proteção Avançada
Controle por comportamento
Auditoria e Alerta
(Conformidade)
Controle dos sistemas
Proteção de Rede
16
Análise em tempo Real. Máximo Controle
- 18. Recursos fornecem controle de aplicativos Privilege Least (sandboxing)
para proteger dispositivos embarcados
Arquivos
Registro
Rede
Dispositivo
Leitura/Gravação
Arquivos de dados
Read Only
Configurações
Informações
Uso apenas de
selecionadas portas
e dispositivos
…
RSH Shell
Browser
Mail
Web
…
crond
RPC
LPD Printer
Core do SO e
Serviços
Aplicações
Interação do usuário
com os Programas do
PDV
Restrições de recursos GranularesProgramas Embarcados
…
Grande parte das aplicações exigem
um conjunto limitado de recursos e
direitos de acesso para executar
funções normais
A maioria dos programas possuem
privilégios e direitos de recursos
muito além do que é exigido - ataques
facilmente exploram essa lacuna
SES: CSP cria uma "sandbox" ou “área
de contenção" para um ou mais
programas (processos) usando uma
política que define os controles de
privilégio menos ou "aceitáveis"
comportamentos de acesso a
recursos
- 19. Abordagem tradicional:
Malware Blacklist
Bloqueio por Comportamento:
Sandboxing
Assinaturas contra Malware
Hoje aprox 30 Milhões e crescendo ~ 900 /
Mês
DLoader.AMHZW Exploit_Gen.HOW Hacktool.KDY
INF/AutoRun.HK JS/BomOrkut.A
JS/Exploit.GX JS/FakeCodec.B JS/Iframe.BZ
JS/Redirector.AH KillAV.MPK LNK/CplLnk.K
Controle de aplicação e SO baseado por
comportamento
Como definido pela politica de prevenção
Contras
Baseados em assinatura
Parar infecção se descoberto
Reativo
Ineficiente SIM
Sem proteção contra Zero Day
Não há proteção por comportamento
de usuário/aplicação
Na maioria das vezes requerem
produtos extra/customizações
Comportamento / Política Criada
Poder de parar o desconhecido
Proativo
Eficiente SIM
Efetivo contra ameaças Zero day,
Protege o sistema operacional a
partir de aplicações ou usuários
baseado em comportamento
Blinda aplicativos uns dos outros
Bloqueio Comportamento Superior a Proteção tradicional
- 21. Controle do Sistema: Como proteger os recursos do sistema
Estágio 1: Preparação Estágio 2: Produção
Lock down
Criar uma politica
0
Distribuir politica
1
Os recurso estarão em
modo locked down
2
Qualquer acesso não
autorizado será bloqueado
3
O processo de criação da Whitelist não requer nenhuma intervenção do usuário, e suas
cópias podem ser distribuído para outros dispositivos.
Os recursos poderão ser arquivos, registros dispositivos e conexões de rede
As políticas irão controlar o que os usuários e aplicações poderão acessar
- 23. SES: CSP fornece proteção de rede em dispositivos embarcados
• O acesso à rede pode ser
negado ou permitido com
base em IP ou porta
• Conexões de acesso podem
ser controladas com base na
aplicação e usuário
• Inspeção de pacotes mais leve
que ferramentas tradicionais
de análise de tráfego.
- 25. SES:CSP Detecção – Monitora a alterações de Configurações no PDV
2
• Arquivos ou registro
• Configurações de segurança
• Gestão Grupos
• Relação de confiança de um domínio
• Usuários e grupos
• Atividade dos sistemas detalhadamente
• Atividades de todos dispositivos USB
Detecção/bloqueio de alteração em:
- 26. IDS Fornece capacidades de alerta e monitoramento em tempo real a
integridade do arquivo
…
Email Client
Office
IE Browser
Web
Mail
…
crond
RPC
LPD Printer
Serviços
executados no
Core do SO
Aplicações
Usuários operando o
Sistema
Arquivos
Criar/Modificar/Deletar
Arquivos
Configurações
Criar/Modificar/Deletar
Configurações
Sistema OperacionalEquipamento
Sistema,
Aplicação
& Eventos de
segurança
Sistema &
Linhas de logs
1.
2.
3.
1.
2.
3.
Coletores irão reunir eventos
e compará-los com os
conjuntos de regras de IDS
(comportamento ou
biblioteca); irá monitorar e
registrar o que, onde, quando
e por quem as mudanças
foram efetuadas
Após localizar uma alteração toma as medidas
Grava um log em SCSP log para auditoria
Enviaumalertaparaconsoledeadministração
…
Como Trabalha
- 27. Utilização de Recursos pelo Agent
Utilização de CPU
1 a 6%
Utilização de Memória
20 a 40 MB
Consumo máximo de
sistema de arquivos
100 MB
- 28. Copyright © 2015 Symantec Corporation 29
For further information:
• Symantec IoT website: www.symantec.com/iot
• Individual product websites: http://www.symantec.com/products-solutions/products/
o Critical System Protection Embeded: http://securityresponse.symantec.com/es/mx/embedded-security-critical-system-protection
o MPKI: http://securityresponse.symantec.com/es/mx/managed-pki-service
o Encryption: http://securityresponse.symantec.com/es/mx/encryption/
o Endpoint Encryption: http://securityresponse.symantec.com/es/mx/endpoint-protection
- 29. Obrigado!
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by
law. The information in this document is subject to change without notice.
Luiz Leopoldino Lucas Veiga
Luiz_Leopoldino@symantec.com Lucas_veiga@Symantec.com
30