Transcript Varför är inte en traditionell brandvägg tillräckligt för dagens

Daniel Förnes
[email protected]
0708391929
Hur ser dagens hotbild ut?
Infrastruktur
Varför är en traditionell brandvägg
inte tillräcklig för dagens hotbild?
Kan man skydda sig?
The New Breed of Cyber Attacks
 Today’s attacks
sophisticated
and successful
Damage of Attacks
 Nature of threats
changing
Cyber-Espionage
and Cybercrime
Cybercrime
Disruption
Advanced
Persistent Threats
Zero-Day
Targeted Attacks
Dynamic Trojans
Stealth Bots
Spyware/
Bots
Worms
Viruses
2005
2007
2009
2011
“Organizations face an evolving threat scenario that they are ill-prepared to
deal with….threats that have bypassed their traditional security protection
techniques and reside undetected on their systems.”
2013
Gartner, 2012
Vilka är det som står för hoten?
Tonåringar
Organiserad brottslighet
Hacktivister
Gör det för att det
är spännande.
Gör det för att tjäna pengar.
Gör det för att få fram
ett budskap eller protestera
mot något.
Vilka är det som står för hoten?
Nationer
Gör det för att samla in information och skaffa sig ett övertag mot andra nationer.
Hänger på av bara farten.
Sammarbetar
Varför Cyber kriminalitet spelar roll.
 Säkerheten behöver förändring sig,
 Nya hot– Nationer-stater, organiserad kriminalitet,
hacktivister.
 Nya teknologier– kordinerade, över tid, och osynliga
intrång.
 Nya lösningar– malware skydd genom att använda en
sandlåda, system för att svara/upptäcka incidenter.
 300 Miljader $ i förlorad IP per år…bara i USA
alone.
Intellectual
Property
Trade Secrets
Business
Relationships
Defense
2/3
of U.S. firms
report that
they have been the
victim of cyber
attacks
40%
00.01
of all IT executives
expect a major cybersecurity incident
9,000+
malicious websites
identified per day
Every second 14 adults
become a victim of cyber
crime
6.5x
Number of cyber
attacks since 2006
95
new vulnerabilities
discovered each week
Säkerhetsgapet är brett
över 95% av alla företag är smittade med moderna hot.
Exempel på olika attacker !
Attackera en organisations värdefulla tillgångar.
Spear Phishing
Webb-baserad Attack
Fil-baserad Attack
CFO
Finansiell Information
Chef för utveckling
Intellectual Property
Statsanställd
Nationell Säkerhets
Information
Hur skyddar man sig?
I tidernas begynnelse var det…..
• Första generationens brandväggar, som utvecklades 1988,
kallas paketfilter och analyserade varje paket för sig.
• Andra generationens brandväggar, 1989-1990
lagrar dessutom information om varje pågående session eller
paketflödes tillstånd.
Dessa tillståndsbaserade brandväggar kallas ”stateful firewall”
• Tredje generationens brandvägg vad hände med den?
Vad har hänt på dessa 25 år ?
Applikationer har ändrat sig; brandväggar har inte gjort det.
Brandväggen är rätta
stället att använda policy
kontroll.
• Ser all trafik
• Skapar säkra zoner
Men…applikationer har ändrat sig
• Portar ≠ Applikationer
• IP Adresser ≠ Användare
• Paket ≠ Innehåll
Vi måste återskapa synligheten och kontrollen i brandväggen
Gör Brandväggen till ett verktyg för att skapa
nya möjligheter för din verksamhet.
 Applikationer: Möjligheterna börjar med att
klassifisera applikationerna.
 Användare: Binda användare och enheter till
applikationer oavsätt var de befinner dig.
 Innehåll: Scanna innehåll och skydda mot
hot både kända och okända.
Om inte all trafik undersöks = Missade Hot.
• Regel nummer ett
-
All trafik måste undersökas likvärdigt.
-
All trafik, alla portar, alltid.
• Undersök
-
Decode Vilken applikation?
-
Decrypt Tunnlar
-
Decompress – Filer (e.g. ZIP) och trafik
(gzip)
• Stoppa
-
Krypterade Tunnlar
-
Anonymizers
-
Malicious proxies
Traditionella skydd fungerar inte!
De nya attackera tar sig förbi signatur-baserade skydd.
Anti-Spam
Gateways
IPS
Firewalls/
NGFW
Secure Web
Gateways
Desktop AV
Automates Malware Detection
1
2
3
Aggressive
Packet
Capture
Fast Path
Blocking of
Known Threats
Initial
Analysis
MPC
4
Virtual Execution
Environment Analysis
Zero Day
Malware
Profiles
5
Exfiltration
& C&C
Prevention
Windows 7 – SP1
W
E
B
T
R
A
F
F
I
C
Windows 7 - Base
Windows XP – SP3
Windows XP – SP2
Windows XP - Base
Play Malware
Attack
Outbound
C
A
L
L
B
A
C
K
E
N
G
I
N
E
Port
0
65k
Hot nivå
DDoS Skydd
WAF
SIEM
IPS /HIPS
FW
AV
VPN
IDS
URL Filter
SSL VPN
Anti SPAM
APT
IntrusionDeception
Borde man ha
NGFW
vFW
Behöver ha
Måste ha
Skydds Nivå
Utan kunskap är man blind!
Ekosystem
Data
Security
Gateways
Endpoint
Protection
SIA Partner Member
Network
Visibility
SIEM
Network
Instrumentation
EnVision
MSSP
SSL
SIEM = Security Information and Event Management Alliances subject to change. Integration levels vary based on purpose and investment.
DDoS.
 11 September ( Anonymous )
 Skräddarsydda DOS attacker mot riktade mål.
 Ex på sådana har varit attacker mot webshops.
 Exempel
 Lägga varor i kundkorgen.
 Genomföra köp med felaktiga kontokort.
 Databasförfrågningar.
 Med riktade attacker skräddarsyr attackeraren
attackerna genom att noggrant analysera målmiljön.
Multi Flank Attack vad är det för något?
Exempel från RSA konferensen 2011 bank i frankrike.
1. Phishing attack – Stjäla login information.
2. DDoS attack – fredag eftermiddag förflyttning av
resurser för att hantera attacken.
3. Den riktiga attacken aktiveras – information kopieras
som senare används för att stjäla pengar.
4. Kostnad 9 miljoner $
" Francis deSouza, Symantec"
140 personer som vill hjälpa er om ni har frågor!
Vill ni läsa lite mer om APT:er, moderna hot etc.
Maila mig på [email protected] så skickar
jag den som PDF.
TACK!!