SlideShare uma empresa Scribd logo

Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e resposta à ameaças avançadas -20151007

Symantec Brasil
Symantec Brasil

1) O documento discute a evolução da segurança de prevenção para detecção e resposta rápida a ameaças avançadas. 2) Ele apresenta novas regras para proteção contra ameaças, incluindo pensar em "quando" e não em "se" as ameaças ocorrerão e entender como os dados são usados. 3) A terceira regra é enfrentar as ameaças de cabeça erguida, já que ataques cada vez mais sofisticados requerem defesas avançadas.

Apresentações relacionadas

Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 
1 de 36
Baixar para ler offline
ADVANCING SECURITY. Evoluindo da tradicional prevenção para rápida detecção e resposta à ameaças avançadas NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
André Carraretto Security Strategist, LAMC APRESENTAÇÃO 2 ADVANCING SECURITY. Profissional com mais de 15 anos de experiência de mercado, é Estrategista em Segurança da Informação na Symantec desde Abril de 2012, sendo responsável por disseminar a visão estratégica da empresa no mercado e para os principais clientes na América Latina. Possui MBA em Gestão Empresarial pela Business School São Paulo. Possui diversas Certificações de mercado, entre elas o ISC2 CISSP, CCSK e PCI-P
Como proteger sua informação no desaparecimento do Perímetro 30 de Setembro de 2015 Luis Souza – Channel SE Leonardo Nassif – Solutions SE https://goo.gl/IS7gNp   Copyright © 2015 Symantec Corporation ADVANCING SECURITY. 3
Com o cenário atual de ameaças, Organizações devem mudar de uma estratégia defensiva para uma posição ofensiva. Como provedor líder de soluções para a proteção contra ameaças, a Symantec está numa posição privilegiada para reescrever o "Livro de Regras" e ajudá-los a adotar uma nova postura de segurança. QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS.     Copyright © 2015 Symantec Corporation ADVANCING SECURITY. 3 NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS ADVANCING SECURITY. REGRA #1 PENSE EM ‘QUANDO’ E NÃO EM ‘SE’ OS CIBERCRIMISOS TEM EMPREGADO MÉTODOS FURTIVOS E PERSISTENTES PARA BULAR A SEGURANÇA. VOCÊ PRECISA MUDAR DE UMA POSTURA DEFENSIVA PARA UMA ESTRATÉGIA OFENSIVA. QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS. Copyright © 2015 Symantec Corporation 4
•  Proteção baseada em assinaturas •  Blacklisting •  Reputação de Arquivos •  Heurísticas •  Análise de Comportamento •  Threat Intelligence •  Execução Virtual (Sandboxing) •  Correlacionamento de Dados A CRESCENDE ONDA DAS AMEAÇAS 5 ADVANCING SECURITY. VIRUS, WORMS, MALWARE ANTI-VIRUS MALWARE AVANÇADO, ATAQUES DE ENGENHARIA SOCIAL, RANSOMWARE, SPYWARE ADVANCED PERSISTENT THREATS (APT) DEFESAS AVANÇADAS DEFESA CORRELACIO- NADA Copyright © 2015 Symantec Corporation
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   LEVAMOS MUITO TEMPO PARA PROTEGER OS SISTEMAS E DETECTAR FALHAS Os atacantes estão correndo para explorar esses atrasos 229 DIAS PARA DETECTAR UMA INVASÃO… …E FREQUENTEMENTE POR UMA ENTIDADE EXTERNA! VULNERABILIDADE HEARTBLEED EXPLORADA EM MENOS DE 4 HORAS APÓS TER SIDO PUBLICADA VULNERABILIDADES ZERO-DAY EM 2014 24 recorde Top 5 sem patches por 295 dias 24     No total, as top 5 zero-days de 2014 foram ativamente exploradas pelos atacantes por 295 dias até que fossem disponibilidados patches 2013 2014 295 59 19 4 •  Média de Dias para fornecimento de patches pelos Vendors •  Total de dias expostos para as Top 5 Zero-Days
O QUE É UMA VIOLAÇÃO AVANÇADA? 8 Violações costumavam ser coisas simples, contando com fácil acesso aos sistemas e um perímetro de segurança fraco. Essas violações básicas podem ser evitadas utilizando tecnologias de ‘prevenção’, incluindo Firewalls, Anti-Virus e Web-Gateways. Primeiro, um pouco de história Único   Vetor   para   Violação   Senhas Fracas       Ataques no Browser Ataques de Phishing Bug em Software ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
O QUE É UMA VIOLAÇÃO AVANÇADA? 9 •  PESSOAS Senhas roubadas que permitem acesso aos sistemas, suborno, treinamento em segurança fraco •  PROCESSOS Pontos fracos na cadeia de suprimentos, aprovações de negócios ausentes, privilégios históricos e tóxicos aos sistemas •  TECNOLOGIA Alertas excessivos, falta de tempo, falta de conhecimento, vulnerabilidade em software, erros de configuração Múltiplos vetores, um único alvo Violações contam com múltiplos vetores, e software inteligente;não com a tecnologia. ADVANCING SECURITY. Copyright © 2015 Symantec Corporation PESSOAS   PROCESSOS  TECNOLOGIA  
EXEMPLO DE VIOLAÇÃO AVANÇADA MULTI VETOR: REGIN (2014) 10 Overview do malware PERSISTENTE & FURTIVO MAIORIA DO CÓDIGO ESTÁ ESCONDIDO CRIPTOGRAFIA COMPLEXA MULTIPLOS ESTÁGIOS & MODULAR MUITOS COMPONENTES CUSTOMIZÁVEL DIFÍCIL DE ANALIZAR ESPECIALIZADO CUSTOMIZADO PARA CADA TAREFA REQUER ALTA ESPECIALIZAÇÃO C2C ROBUSTO MULTIPLOS CANAIS ALTAMENTE CIFRADO P2P ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
EXEMPLO DE VIOLAÇÃO AVANÇADA MULTI VETOR: REGIN (2014) 11 Processo de infecção STAGE 4 User Framework STAGE 4 Kernel Module 1 STAGE 4 Kernel Module N… STAGE 3 Kernel Framework ESTÁGIO 1 Loader ESTÁGIO 2 Loader DROPPER STAGE 5 Payload Module 1 STAGE 5 Payload Module 2 STAGE 5 Payload Module N… DECIFRA & EXECUTA O PRÓXIMO ESTÁGIO DECIFRA & EXECUTA O PRÓXIMO ESTÁGIO ENTRADA CONTAINER CIFRADO ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
ADVANCING  SECURITY.   Copyright © 2015 Symantec Corporation NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS REGRA #2 NÃO BASTA CONHECER O QUE VOCÊ TEM, MAS COMO VOCÊ USA NOSSA ABORDAGEM GARANTE VISIBILIDADE EM TODOS OS PONTOS DE CONTROLE, AJUDANDO NA DETECÇÃO E RESPOSTA À AMEAÇAS, CONFORME ELAS SURGEM. QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS.
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   AS AMEAÇAS ENTÃO ROMPENDO AS MÚLTIPAS CAMADAS DE PROTEÇÃO A maioria dos “ataques avançados” objetivam vulnerabilidades básicas Rootkits, Worms, Bots, Spyware, Virus &Trojans Eradica ameaças conhecidas (assinaturas) Programas desconhecidos que parecem/se comportam como ameaças Malware mutante, ameaças zero-day, ataques direcionados Detecção pós- infecção, vulnetabilidades não corrigidas Drive-by downloads, engenharia social Programas não licenciados, aplicativos legítimos indesejados Acesso dos usuários, localidade, enforcement, mídia removível, Mudanças não autorizadas, validações de conformidade ANTIVIRUS REPUTAÇÃO& COMPORTAMENTO IPS&FIREWALL      CONTROLEDEAPLICAÇÕES& INTEGRRIDADEDOHOST
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   PARA DERROTAR ESSES ATAQUES EM EVOLUÇÃO, PRECISAMOS OLHAR PARA O CICLO COMPLETO DA PROTEÇÃO CONTRA AMEAÇAS De prevenção para detecção e resposta PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER Entender onde dos dados importantes estão Bloquear ataques Encontrar incursões Conter & Remediar problemas Restaurar operações Mentalidade atual para proteção
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   COMO USAR O TEMPO PARA VIRAR A MESA EM UM ATAQUE 5 estágios de um ciberataque Tempo RECONHECIMENTO INCURSÃO DESCOBERTA CAPTURA EXFILTRAÇÃO Prevenção Perda de Dados Sua janela para detectar e remediar para minimizar o impacto “Low  and  Slow”   DESCOBERTA Com acesso à rede, os atacantes se mantêm ‘low and slow’ para evitar detecção. A partir daí, mapeiam as defesas da organização a partir de dentro e criam um plano de batalha para obter as informações que são seus alvos.
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   QUANTO MAIS CEDO VOCÊ DETECTAR E CORRIGIR, MENOR SERÁ O CUSTO Por que ainda temos tempo depois que o malware entra no sistema CustodaViolação (US$) DESCOBERTA CAPTURA EXFILTRAÇÃO Rápida detecção e remediação “paga dividendos” Perda de Dados Violações  que   envolvem  perda   de  dados  podem   custar    $3.5m Tempo
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   O QUE MAIS PODE SER FEITO PARA REDUZIR O PREJUÍZO CAUSADO POR UMA VIOLAÇÃO? PREPARAÇÃO •  Se antecipar ao ataque – inteligência •  Identificar e proteger ativos chave de informação •  Garantir o acesso mínimo e necessário a privilégios •  Planejamento para recuperação de desastres •  Treinamento e capacitação “By failing to prepare, you are preparing to fail” Benjamin Franklin
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   CENÁRIO: COMO AQUELA VIOLAÇÃO ACONTECEU… Tudo começou quando você recebeu aquele email… •  Spear phishing enviado a você e a engenharia social garantiu que você o abriria •  Imagine que o arquivo é desconhecido, mas considerado seguro. Como é desconhecido não seria melhor ver o que ele realmente faz em um ambiente seguro? Para evitar a interrupção dos negócios, vamos fazer isso em paralelo, em nossa nuvem. •  Arquivo chegou no Endpoint e inicia a ‘descoberta’. Também foi distribuído por email e pela rede para 5 novos endpoints •  E agora, o quê?
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   COMO VAMOS DETECTAR A VIOLAÇÃO? Tudo começou quando você recebeu aquele email… Malware avançado é mais difícil de ser detectado. Por quê? …então você precisa de detecção avançada para ser mais esperto que o malware Next generation sandbox da Symantec é executado em ambientes físicos e virtuais para garantir uma melhor detecção. Imita a interação humana para ‘de- cloak’ malwares avançados. Suportado pela conhecimento existente em nossa rede de inteligência Com quase 1 milhão de novos artefatos maliciosos por dia em 2014, a detecção por assinaturas não consegue acompanhar! 28% dos malwares são virtual machine aware, e ficarão quietos para evadir a detecção 1M de novas ameaças por dia 28% dos malwares são virtual machine aware
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   VAMOS VOLTAR PARA A NOSSA NARRATIVA… Agora sabemos que aquele arquivo era malicioso •  Nesse meio tempo, nós condenamos o arquivo •  Todos os agentes recebem o comando de “busca & apreensão”. Uma vez que o escopo é conhecido, as ações de remediação podem ser determinadas Não seria ótimo se você tivesse acesso à remoção de malware avançado, ao mesmo tempo?
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   COMO O QUE FAZEMOS DURANTE A VIOLAÇÃO REDUZ O PREJUÍZO DURANTE O EVENTO •  Tenha visibilidade completa da abrangência da infecção •  Saiba que problema você precisa resolver! •  Rapidamente contenha a infecção –  Neutralize o malware –  Interrompa a propagação (email, rede) •  Rápida resposta a incidentes –  Você tem um plano?
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.   Copyright © 2015 Symantec Corporation NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS REGRA #3 ENFRENTE A AMEAÇA DE CABEÇA EM PÉATAQUES CADA VEZ MAIS SOFISTICADOS REQUEREM UMA ABORDAGEM MAIS REFINADA PARA PROTEÇÃO. A SYMANTEC PROVÊ A INTELIGÊNCIA E INSIGHTS QUE VOCÊ PRECISA PARA IDENTIFICAR, AGIR E PREVENIR VIOLAÇÕES. QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS.
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   ETAPAS NO GERENCIAMENTO DE UMA VIOLAÇÃO POR MALWARE 1.  Iden?ficar  a   violação   2.  Escopo  da   violação  (escala,   severidade)   3.  Contenção   (ficar  seguro)   4.  Entender  o   dano  e  limpeza   5.  Recuperação  
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   ESCOPO E CONTENÇÃO Como? •  Você precisa saber o que está procurando •  Garanta que cada instância foi encontrada. Precisa encontrar malware ativo e dormente. Trilha forense pode fornecer o foco inicial •  Rapidamente coloque os arquivos em quarentena. Pare as execuções e evite novas transmissões. •  Ter controles estabelecidos nos endpoints, email e gateways de rede permitem uma ação mais rápida Objetivo: Tornar o sistema seguro, ex: evitar novas infecções
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   LIMPEZA •  Limpeza não é a mesma coisa que remoção. •  Por quê? •  O malware identificado por ser um dropper de outros arquivos •  Pode ter feito modificações no sistema para evadir a detecção •  Pode ter removido / alterado outros arquivos •  Pode ter instalado componentes de comunicação •  Use a inteligência adquirida para tomar uma decisão fundamentada. Não se esqueça que você pode precisar de ferramentas para remoção de malware avançado (ex Power Eraser) Objetivo: Entender o dano, para então determinar a correta estratégia de limpeza baseada nos rastros encontrados
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   •  Para garantir o retorno à normalidade operacional, precisa ter os sistemas totalmente liberados para execução •  Garanta que os sistemas foram restaurados, configurações revertidas e dados substituídos •  Precisa reintroduzir, com confiança, os sistemas afetados de volta à rede •  Monitore de perto para garantir que não ocorram reinfecções / nada foi esquecido •  Restaurar de um backup pode ser uma solução prática RECUPERAÇÃO Agora podemos finalmente colocar as últimas peças do quebra-cabeça no lugar
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   ETAPAS NO GERENCIAMENTO DE UMA VIOLAÇÃO POR MALWARE 1.  Iden?ficar  a   violação   2.  Escopo  da   violação  (escala,   severidade)   3.  Contenção   (ficar  seguro)   4.  Entender  o   dano  e   limpeza   5.  Recuperação   A P R E N D I Z A D O Esquecemos de alguma etapa?
Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   COMO CAPTURAR APRENDIZAGENS PARA AUMENTAR A ROBUSTEZ Objetivo: Para se tornar mais forte do que antes da violação Utilizar o After Action Review Process 1.  O que era para acontecer? O que aconteceu? Por que houve uma diferença? 2.  O que funcionou? O que não funcionou? 3.  O que você faria diferente da próxima vez? Por quê? Pessoas Eduque usuários e o time de segurança Processos Reveja seus processos (detecção, contenção, recuperação) Tecnologia Reveja os controles existentes, e as recomendações
Copyright © 2015 Symantec Corporation DADO TODO ESSE CONTEXTO, COMO VOCÊ PODE SE PREPARAR? ADVANCING SECURITY. Copyright © 2015 Symantec Corporation SUMÁRIO  
Copyright © 2015 Symantec Corporation COMO VOCÊ PODE ESTAR MELHOR PREPARADO? 30 PASSO #1 AUMENTE O FOCO EM ‘DETECTAR E RESPONDER’, E NÃO EM ‘PROTEGER’ Flexibilidade em Responder às Ameaças Entendimento da Ameaça INCIDENTE INTELIGÊNCIA Violação Descoberta Média de 229 dias PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
Copyright © 2015 Symantec Corporation 31 •  Entre ‘Detectar’ e ‘Responder’ existe um lapso temporal. É nesse período que os dados estão em risco. •  Tecnologias para manter os dados importantes salvos, incluem: •  Autenticação de Multiplos Fatores •  Data Loss Prevention •  Criptografia DADOS ACESSOS IDENTIDADE Usuários Apps Dados ADVANCING SECURITY. Copyright © 2015 Symantec Corporation COMO VOCÊ PODE ESTAR MELHOR PREPARADO? PASSO #2 CERTIFIQUE-SE EM PROTEGER O QUE ESTÁ DO LADO DE DENTRO
Copyright © 2015 Symantec Corporation 32 Simplesmente adicionar mais produtos, mais soluções não é a resposta MAIS TECNOLOGIA NÃO SIGNIFICA MELHOR PROTEÇÃO COMO POSSO TER VISIBILIDADE EFETIVA ATRAVÉS DO MEU NEGÓCIO? O seu Sistema de Segurança está balanceado? PREVENÇÃO: KEEPS ‘BAD STUFF’ OUT Soluções são necessárias para detectar ‘bad stuff’ que passou pelos métodos de proteção tradicionais MSS Traditional /Firewall/ Antivirus (Assinaturas) RÁPIDA Detecção e Resposta ADVANCING SECURITY. Copyright © 2015 Symantec Corporation COMO VOCÊ PODE ESTAR MELHOR PREPARADO? PASSO #3 REVEJA O MODELO DE INVESTIMENTO EM SEGURANÇA PARA O SEU NEGÓCIO
Copyright © 2015 Symantec Corporation VISÃO DA SYMANTEC: ADVANCED THREAT PROTECTION 33 CORRELAÇÃO E PRIORIZAÇÃO INTELIGENTE DAS AMEAÇAS MAIOR REDE CIVIL DE INTELIGÊNCIA . TM   GLOBAL  INTELLIGENCE   DADOS  EXPORTADOS   Cloud  Sandbox   Correlação   Inves?gação   ENDPOINT   REDE   EMAIL   3RD  PARTY   Remediação   PLATAFORMA ÚNICA DE PROTEÇÃO ATRAVÉS DE VÁRIOS PONTOS DE CONTROLE NEXT GENERATION SANDBOXING ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
Copyright © 2015 Symantec CorporationCopyright © 2015 Symantec Corporation ADVANCING  SECURITY.   NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS REGRA FINAL AS REGRAS VÃO MUDAR... J QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS.
Copyright © 2015 Symantec Corporation Windows 2003 sem suporte: por que você deveria se preocupar? 14 de Outubro de 2015 Bruno Nazareth – Sr Solutions SE Anderson Rios – Sr Technical Acct Mgr Wesly Alves – Solutions SE https://symc.webex.com/symc/k2/j.php?MTID=t1f980171f25d8273b62be9f59a2c76fc   Copyright © 2015 Symantec Corporation ADVANCING SECURITY. 3
OBRIGADO ADVANCING SECURITY. Copyright © 2015 Symantec Corporation André Carraretto, CISSP Security Strategist @andrecarraretto

Mais conteúdo relacionado

Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e resposta à ameaças avançadas -20151007

  • 1. ADVANCING SECURITY. Evoluindo da tradicional prevenção para rápida detecção e resposta à ameaças avançadas NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
  • 2. André Carraretto Security Strategist, LAMC APRESENTAÇÃO 2 ADVANCING SECURITY. Profissional com mais de 15 anos de experiência de mercado, é Estrategista em Segurança da Informação na Symantec desde Abril de 2012, sendo responsável por disseminar a visão estratégica da empresa no mercado e para os principais clientes na América Latina. Possui MBA em Gestão Empresarial pela Business School São Paulo. Possui diversas Certificações de mercado, entre elas o ISC2 CISSP, CCSK e PCI-P
  • 3. Como proteger sua informação no desaparecimento do Perímetro 30 de Setembro de 2015 Luis Souza – Channel SE Leonardo Nassif – Solutions SE https://goo.gl/IS7gNp   Copyright © 2015 Symantec Corporation ADVANCING SECURITY. 3
  • 4. Com o cenário atual de ameaças, Organizações devem mudar de uma estratégia defensiva para uma posição ofensiva. Como provedor líder de soluções para a proteção contra ameaças, a Symantec está numa posição privilegiada para reescrever o "Livro de Regras" e ajudá-los a adotar uma nova postura de segurança. QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS.     Copyright © 2015 Symantec Corporation ADVANCING SECURITY. 3 NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS
  • 5. NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS ADVANCING SECURITY. REGRA #1 PENSE EM ‘QUANDO’ E NÃO EM ‘SE’ OS CIBERCRIMISOS TEM EMPREGADO MÉTODOS FURTIVOS E PERSISTENTES PARA BULAR A SEGURANÇA. VOCÊ PRECISA MUDAR DE UMA POSTURA DEFENSIVA PARA UMA ESTRATÉGIA OFENSIVA. QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS. Copyright © 2015 Symantec Corporation 4
  • 6. •  Proteção baseada em assinaturas •  Blacklisting •  Reputação de Arquivos •  Heurísticas •  Análise de Comportamento •  Threat Intelligence •  Execução Virtual (Sandboxing) •  Correlacionamento de Dados A CRESCENDE ONDA DAS AMEAÇAS 5 ADVANCING SECURITY. VIRUS, WORMS, MALWARE ANTI-VIRUS MALWARE AVANÇADO, ATAQUES DE ENGENHARIA SOCIAL, RANSOMWARE, SPYWARE ADVANCED PERSISTENT THREATS (APT) DEFESAS AVANÇADAS DEFESA CORRELACIO- NADA Copyright © 2015 Symantec Corporation
  • 7. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   LEVAMOS MUITO TEMPO PARA PROTEGER OS SISTEMAS E DETECTAR FALHAS Os atacantes estão correndo para explorar esses atrasos 229 DIAS PARA DETECTAR UMA INVASÃO… …E FREQUENTEMENTE POR UMA ENTIDADE EXTERNA! VULNERABILIDADE HEARTBLEED EXPLORADA EM MENOS DE 4 HORAS APÓS TER SIDO PUBLICADA VULNERABILIDADES ZERO-DAY EM 2014 24 recorde Top 5 sem patches por 295 dias 24     No total, as top 5 zero-days de 2014 foram ativamente exploradas pelos atacantes por 295 dias até que fossem disponibilidados patches 2013 2014 295 59 19 4 •  Média de Dias para fornecimento de patches pelos Vendors •  Total de dias expostos para as Top 5 Zero-Days
  • 8. O QUE É UMA VIOLAÇÃO AVANÇADA? 8 Violações costumavam ser coisas simples, contando com fácil acesso aos sistemas e um perímetro de segurança fraco. Essas violações básicas podem ser evitadas utilizando tecnologias de ‘prevenção’, incluindo Firewalls, Anti-Virus e Web-Gateways. Primeiro, um pouco de história Único   Vetor   para   Violação   Senhas Fracas       Ataques no Browser Ataques de Phishing Bug em Software ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
  • 9. O QUE É UMA VIOLAÇÃO AVANÇADA? 9 •  PESSOAS Senhas roubadas que permitem acesso aos sistemas, suborno, treinamento em segurança fraco •  PROCESSOS Pontos fracos na cadeia de suprimentos, aprovações de negócios ausentes, privilégios históricos e tóxicos aos sistemas •  TECNOLOGIA Alertas excessivos, falta de tempo, falta de conhecimento, vulnerabilidade em software, erros de configuração Múltiplos vetores, um único alvo Violações contam com múltiplos vetores, e software inteligente;não com a tecnologia. ADVANCING SECURITY. Copyright © 2015 Symantec Corporation PESSOAS   PROCESSOS  TECNOLOGIA  
  • 10. EXEMPLO DE VIOLAÇÃO AVANÇADA MULTI VETOR: REGIN (2014) 10 Overview do malware PERSISTENTE & FURTIVO MAIORIA DO CÓDIGO ESTÁ ESCONDIDO CRIPTOGRAFIA COMPLEXA MULTIPLOS ESTÁGIOS & MODULAR MUITOS COMPONENTES CUSTOMIZÁVEL DIFÍCIL DE ANALIZAR ESPECIALIZADO CUSTOMIZADO PARA CADA TAREFA REQUER ALTA ESPECIALIZAÇÃO C2C ROBUSTO MULTIPLOS CANAIS ALTAMENTE CIFRADO P2P ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
  • 11. EXEMPLO DE VIOLAÇÃO AVANÇADA MULTI VETOR: REGIN (2014) 11 Processo de infecção STAGE 4 User Framework STAGE 4 Kernel Module 1 STAGE 4 Kernel Module N… STAGE 3 Kernel Framework ESTÁGIO 1 Loader ESTÁGIO 2 Loader DROPPER STAGE 5 Payload Module 1 STAGE 5 Payload Module 2 STAGE 5 Payload Module N… DECIFRA & EXECUTA O PRÓXIMO ESTÁGIO DECIFRA & EXECUTA O PRÓXIMO ESTÁGIO ENTRADA CONTAINER CIFRADO ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
  • 12. ADVANCING  SECURITY.   Copyright © 2015 Symantec Corporation NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS REGRA #2 NÃO BASTA CONHECER O QUE VOCÊ TEM, MAS COMO VOCÊ USA NOSSA ABORDAGEM GARANTE VISIBILIDADE EM TODOS OS PONTOS DE CONTROLE, AJUDANDO NA DETECÇÃO E RESPOSTA À AMEAÇAS, CONFORME ELAS SURGEM. QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS.
  • 13. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   AS AMEAÇAS ENTÃO ROMPENDO AS MÚLTIPAS CAMADAS DE PROTEÇÃO A maioria dos “ataques avançados” objetivam vulnerabilidades básicas Rootkits, Worms, Bots, Spyware, Virus &Trojans Eradica ameaças conhecidas (assinaturas) Programas desconhecidos que parecem/se comportam como ameaças Malware mutante, ameaças zero-day, ataques direcionados Detecção pós- infecção, vulnetabilidades não corrigidas Drive-by downloads, engenharia social Programas não licenciados, aplicativos legítimos indesejados Acesso dos usuários, localidade, enforcement, mídia removível, Mudanças não autorizadas, validações de conformidade ANTIVIRUS REPUTAÇÃO& COMPORTAMENTO IPS&FIREWALL      CONTROLEDEAPLICAÇÕES& INTEGRRIDADEDOHOST
  • 14. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   PARA DERROTAR ESSES ATAQUES EM EVOLUÇÃO, PRECISAMOS OLHAR PARA O CICLO COMPLETO DA PROTEÇÃO CONTRA AMEAÇAS De prevenção para detecção e resposta PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER Entender onde dos dados importantes estão Bloquear ataques Encontrar incursões Conter & Remediar problemas Restaurar operações Mentalidade atual para proteção
  • 15. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   COMO USAR O TEMPO PARA VIRAR A MESA EM UM ATAQUE 5 estágios de um ciberataque Tempo RECONHECIMENTO INCURSÃO DESCOBERTA CAPTURA EXFILTRAÇÃO Prevenção Perda de Dados Sua janela para detectar e remediar para minimizar o impacto “Low  and  Slow”   DESCOBERTA Com acesso à rede, os atacantes se mantêm ‘low and slow’ para evitar detecção. A partir daí, mapeiam as defesas da organização a partir de dentro e criam um plano de batalha para obter as informações que são seus alvos.
  • 16. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   QUANTO MAIS CEDO VOCÊ DETECTAR E CORRIGIR, MENOR SERÁ O CUSTO Por que ainda temos tempo depois que o malware entra no sistema CustodaViolação (US$) DESCOBERTA CAPTURA EXFILTRAÇÃO Rápida detecção e remediação “paga dividendos” Perda de Dados Violações  que   envolvem  perda   de  dados  podem   custar    $3.5m Tempo
  • 17. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   O QUE MAIS PODE SER FEITO PARA REDUZIR O PREJUÍZO CAUSADO POR UMA VIOLAÇÃO? PREPARAÇÃO •  Se antecipar ao ataque – inteligência •  Identificar e proteger ativos chave de informação •  Garantir o acesso mínimo e necessário a privilégios •  Planejamento para recuperação de desastres •  Treinamento e capacitação “By failing to prepare, you are preparing to fail” Benjamin Franklin
  • 18. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   CENÁRIO: COMO AQUELA VIOLAÇÃO ACONTECEU… Tudo começou quando você recebeu aquele email… •  Spear phishing enviado a você e a engenharia social garantiu que você o abriria •  Imagine que o arquivo é desconhecido, mas considerado seguro. Como é desconhecido não seria melhor ver o que ele realmente faz em um ambiente seguro? Para evitar a interrupção dos negócios, vamos fazer isso em paralelo, em nossa nuvem. •  Arquivo chegou no Endpoint e inicia a ‘descoberta’. Também foi distribuído por email e pela rede para 5 novos endpoints •  E agora, o quê?
  • 19. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   COMO VAMOS DETECTAR A VIOLAÇÃO? Tudo começou quando você recebeu aquele email… Malware avançado é mais difícil de ser detectado. Por quê? …então você precisa de detecção avançada para ser mais esperto que o malware Next generation sandbox da Symantec é executado em ambientes físicos e virtuais para garantir uma melhor detecção. Imita a interação humana para ‘de- cloak’ malwares avançados. Suportado pela conhecimento existente em nossa rede de inteligência Com quase 1 milhão de novos artefatos maliciosos por dia em 2014, a detecção por assinaturas não consegue acompanhar! 28% dos malwares são virtual machine aware, e ficarão quietos para evadir a detecção 1M de novas ameaças por dia 28% dos malwares são virtual machine aware
  • 20. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   VAMOS VOLTAR PARA A NOSSA NARRATIVA… Agora sabemos que aquele arquivo era malicioso •  Nesse meio tempo, nós condenamos o arquivo •  Todos os agentes recebem o comando de “busca & apreensão”. Uma vez que o escopo é conhecido, as ações de remediação podem ser determinadas Não seria ótimo se você tivesse acesso à remoção de malware avançado, ao mesmo tempo?
  • 21. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   COMO O QUE FAZEMOS DURANTE A VIOLAÇÃO REDUZ O PREJUÍZO DURANTE O EVENTO •  Tenha visibilidade completa da abrangência da infecção •  Saiba que problema você precisa resolver! •  Rapidamente contenha a infecção –  Neutralize o malware –  Interrompa a propagação (email, rede) •  Rápida resposta a incidentes –  Você tem um plano?
  • 22. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.   Copyright © 2015 Symantec Corporation NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS REGRA #3 ENFRENTE A AMEAÇA DE CABEÇA EM PÉATAQUES CADA VEZ MAIS SOFISTICADOS REQUEREM UMA ABORDAGEM MAIS REFINADA PARA PROTEÇÃO. A SYMANTEC PROVÊ A INTELIGÊNCIA E INSIGHTS QUE VOCÊ PRECISA PARA IDENTIFICAR, AGIR E PREVENIR VIOLAÇÕES. QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS.
  • 23. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   ETAPAS NO GERENCIAMENTO DE UMA VIOLAÇÃO POR MALWARE 1.  Iden?ficar  a   violação   2.  Escopo  da   violação  (escala,   severidade)   3.  Contenção   (ficar  seguro)   4.  Entender  o   dano  e  limpeza   5.  Recuperação  
  • 24. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   ESCOPO E CONTENÇÃO Como? •  Você precisa saber o que está procurando •  Garanta que cada instância foi encontrada. Precisa encontrar malware ativo e dormente. Trilha forense pode fornecer o foco inicial •  Rapidamente coloque os arquivos em quarentena. Pare as execuções e evite novas transmissões. •  Ter controles estabelecidos nos endpoints, email e gateways de rede permitem uma ação mais rápida Objetivo: Tornar o sistema seguro, ex: evitar novas infecções
  • 25. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   LIMPEZA •  Limpeza não é a mesma coisa que remoção. •  Por quê? •  O malware identificado por ser um dropper de outros arquivos •  Pode ter feito modificações no sistema para evadir a detecção •  Pode ter removido / alterado outros arquivos •  Pode ter instalado componentes de comunicação •  Use a inteligência adquirida para tomar uma decisão fundamentada. Não se esqueça que você pode precisar de ferramentas para remoção de malware avançado (ex Power Eraser) Objetivo: Entender o dano, para então determinar a correta estratégia de limpeza baseada nos rastros encontrados
  • 26. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   •  Para garantir o retorno à normalidade operacional, precisa ter os sistemas totalmente liberados para execução •  Garanta que os sistemas foram restaurados, configurações revertidas e dados substituídos •  Precisa reintroduzir, com confiança, os sistemas afetados de volta à rede •  Monitore de perto para garantir que não ocorram reinfecções / nada foi esquecido •  Restaurar de um backup pode ser uma solução prática RECUPERAÇÃO Agora podemos finalmente colocar as últimas peças do quebra-cabeça no lugar
  • 27. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   ETAPAS NO GERENCIAMENTO DE UMA VIOLAÇÃO POR MALWARE 1.  Iden?ficar  a   violação   2.  Escopo  da   violação  (escala,   severidade)   3.  Contenção   (ficar  seguro)   4.  Entender  o   dano  e   limpeza   5.  Recuperação   A P R E N D I Z A D O Esquecemos de alguma etapa?
  • 28. Copyright © 2015 Symantec Corporation ADVANCING  SECURITY.  ADVANCING  SECURITY.   COMO CAPTURAR APRENDIZAGENS PARA AUMENTAR A ROBUSTEZ Objetivo: Para se tornar mais forte do que antes da violação Utilizar o After Action Review Process 1.  O que era para acontecer? O que aconteceu? Por que houve uma diferença? 2.  O que funcionou? O que não funcionou? 3.  O que você faria diferente da próxima vez? Por quê? Pessoas Eduque usuários e o time de segurança Processos Reveja seus processos (detecção, contenção, recuperação) Tecnologia Reveja os controles existentes, e as recomendações
  • 29. Copyright © 2015 Symantec Corporation DADO TODO ESSE CONTEXTO, COMO VOCÊ PODE SE PREPARAR? ADVANCING SECURITY. Copyright © 2015 Symantec Corporation SUMÁRIO  
  • 30. Copyright © 2015 Symantec Corporation COMO VOCÊ PODE ESTAR MELHOR PREPARADO? 30 PASSO #1 AUMENTE O FOCO EM ‘DETECTAR E RESPONDER’, E NÃO EM ‘PROTEGER’ Flexibilidade em Responder às Ameaças Entendimento da Ameaça INCIDENTE INTELIGÊNCIA Violação Descoberta Média de 229 dias PREVENIRIDENTIFICAR DETECTAR RECUPERARRESPONDER ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
  • 31. Copyright © 2015 Symantec Corporation 31 •  Entre ‘Detectar’ e ‘Responder’ existe um lapso temporal. É nesse período que os dados estão em risco. •  Tecnologias para manter os dados importantes salvos, incluem: •  Autenticação de Multiplos Fatores •  Data Loss Prevention •  Criptografia DADOS ACESSOS IDENTIDADE Usuários Apps Dados ADVANCING SECURITY. Copyright © 2015 Symantec Corporation COMO VOCÊ PODE ESTAR MELHOR PREPARADO? PASSO #2 CERTIFIQUE-SE EM PROTEGER O QUE ESTÁ DO LADO DE DENTRO
  • 32. Copyright © 2015 Symantec Corporation 32 Simplesmente adicionar mais produtos, mais soluções não é a resposta MAIS TECNOLOGIA NÃO SIGNIFICA MELHOR PROTEÇÃO COMO POSSO TER VISIBILIDADE EFETIVA ATRAVÉS DO MEU NEGÓCIO? O seu Sistema de Segurança está balanceado? PREVENÇÃO: KEEPS ‘BAD STUFF’ OUT Soluções são necessárias para detectar ‘bad stuff’ que passou pelos métodos de proteção tradicionais MSS Traditional /Firewall/ Antivirus (Assinaturas) RÁPIDA Detecção e Resposta ADVANCING SECURITY. Copyright © 2015 Symantec Corporation COMO VOCÊ PODE ESTAR MELHOR PREPARADO? PASSO #3 REVEJA O MODELO DE INVESTIMENTO EM SEGURANÇA PARA O SEU NEGÓCIO
  • 33. Copyright © 2015 Symantec Corporation VISÃO DA SYMANTEC: ADVANCED THREAT PROTECTION 33 CORRELAÇÃO E PRIORIZAÇÃO INTELIGENTE DAS AMEAÇAS MAIOR REDE CIVIL DE INTELIGÊNCIA . TM   GLOBAL  INTELLIGENCE   DADOS  EXPORTADOS   Cloud  Sandbox   Correlação   Inves?gação   ENDPOINT   REDE   EMAIL   3RD  PARTY   Remediação   PLATAFORMA ÚNICA DE PROTEÇÃO ATRAVÉS DE VÁRIOS PONTOS DE CONTROLE NEXT GENERATION SANDBOXING ADVANCING SECURITY. Copyright © 2015 Symantec Corporation
  • 34. Copyright © 2015 Symantec CorporationCopyright © 2015 Symantec Corporation ADVANCING  SECURITY.   NOVAS REGRAS PARA PROTEÇÃO CONTRA AMEAÇAS REGRA FINAL AS REGRAS VÃO MUDAR... J QUANDO SE TRATA DE PROTEÇÃO CONTRA AMEAÇAS, WE MEAN BUSINESS.
  • 35. Copyright © 2015 Symantec Corporation Windows 2003 sem suporte: por que você deveria se preocupar? 14 de Outubro de 2015 Bruno Nazareth – Sr Solutions SE Anderson Rios – Sr Technical Acct Mgr Wesly Alves – Solutions SE https://symc.webex.com/symc/k2/j.php?MTID=t1f980171f25d8273b62be9f59a2c76fc   Copyright © 2015 Symantec Corporation ADVANCING SECURITY. 3
  • 36. OBRIGADO ADVANCING SECURITY. Copyright © 2015 Symantec Corporation André Carraretto, CISSP Security Strategist @andrecarraretto