trend micro custom defense - mds.rs...trend micro custom defense rešenje za zaštitu od...
Post on 08-Jun-2020
5 Views
Preview:
TRANSCRIPT
Trend Micro Custom DefenseRešenje za zaštitu od targetiranih i naprednih pretnji
Dejan Spasić,IT Security Department Executive Manager
222MDS Informatički inženjering
Ključne poruke
• Otkrivanje nepoznatih i perzistentnih malicioznih softvera, podrška za 100+ protokola
• Vidljivost u delovima mreže koji nisu pod kontrolom tradicionalnih sigurnosnih sistema Firewall, IPS, Web i Mail zaštita
• Ukazuje na problematične aktivnosti i radne stanice
• Jednostavna instalacija
333MDS Informatički inženjering
Trendovi
• Prosečno vreme otkrivanja napada 205 dana
• 69% incidenata otkriveno od strane eksternih partnera
Izvor: M-Trends® 2015: A VIEW FROM THE FRONT LINES
444MDS Informatički inženjering
Statistika
555MDS Informatički inženjering
Modifikacija malwera
Poison Ivy
Use Multiple Ports
EvilGrab MW
Use Multiple Protocols
IXESHE MW
Evolve/Morph over Time
91% of targeted attacks begin with a spear-phishing email
Attack Weakest Point: Humans
666MDS Informatički inženjering
Faze napada
Širenje na ostale resurse po mreži
Prikupljanje podataka o organizaciji i pojedincima
Targetirana priprema i isporuka malvera
Zaposleni
Uspostava komunikacijje ka Command & Control serveru
Napadač
Preuzimanje podataka, mesecima neprimećeno
$$$$
Reconnaissance Weaponization Delivery Exploatation C2 Lateral Movement
Exfiltration
777MDS Informatički inženjering
Na kojim hostovima je problem?
888MDS Informatički inženjering
100+ Protocols& Applications
All Network Ports
AttackEvolution
KnownThreatInsight
Unknown Threats& Exploits
Software &
Devices
TrendMicro Deep Discovery• Analizira Internet i interni mrežni saobraćaj
• Podrška za Web, Mail i preko 100 protokola i aplikacija
• Algoritmi za otkrivanje aktivnosti u svim fazama:– Advanced malware & exploits
– Command & control communication
– Attacker activity and lateral movement
• Sandbox analiza nepoznatih fajlova
• Veza ka Trend Micro Smart Protection Nework, korelacija lokalnih i globalnih informacija o pretnjama
999MDS Informatički inženjering
TrendMicro Deep Discovery
• Zero-day & known malware• Emails containing embedded
document exploits• Drive-by downloads
• C&C communication for all malware: bots, downloaders, data stealing, worms, blended…
• Backdoor activity by attacker
• Attacker activity: scan, brute force, tool download , …
• Data exfiltration • Malware activity: propagation,
downloading, spamming, …
Attack Detection• Decode & decompress embedded files• Custom sandbox simulation • Browser exploit kit detection• Malware scan (Signature & Heuristic)
• Destination analysis (URL, IP, domain, email, IRC channel, …) via dynamic blacklisting, white listing
• Smart Protection Network reputation of all requested and embedded URLs
• Communication fingerprinting rules
• Rule-based heuristic analysis• Extended event correlation and anomaly
detection techniques• Behavior fingerprinting rules
Detection Methods
101010MDS Informatički inženjering
Sandbox analiza
Local Blacklist:
• New C&C addresses• Malware hash id• Additional (planned)New IOC intelligence
from analysis
Updates Trend Micro and 3rd party security products to prevent further attack.
Trend Products
SIEM
Deep Discovery Sandboxing
Control Manager
111111MDS Informatički inženjering
Deep Discovery Inspector i Analyzer
• Additional custom sandbox images• Extended sandboxing capacity• Sandboxing for Inspector virtual appliances• Central reporting & analysis of malware• Sharable resource with Trend/other products
Deep Discovery AnalyzerDeep Discovery
Inspector
Scalable CustomSandboxingFiles
Docsexe
Suspicious Objects
121212MDS Informatički inženjering
Uređaji, licence
Deep Discovery Inspector - Licenciranje po protoku – 250 Mb do 4 GB. Virtuelni uređaj do 1 Gb
510/1100 Appliance, 5 x 1 Gps portova za mrežnih saobraćaj, 1 RU
4100 Appliance, 5 x 1 Gps i 4 x 10 GBps portova za mrežnih saobraćaj, 2 RU
Deep Discovery AnalyzerAnalyzer Appliance, 3 x 1 Gps portova za sandbox, 2 RU
131313MDS Informatički inženjering
Integracija sa drugim sistemima
• Integracija sa SIEM sistemima: HP, IBM, Splunk
• Deljenje informacija sa ostalim Trend Micro proizvodima
• Deljenje informacija i integracija sa ostalim Secruty proizvodima
141414MDS Informatički inženjering
Splunk integracija
Splunk Enterprise - pretraga, analiza, vizualizacija bilo kojih mašinski generisanih podataka:
Security, Compliance and FraudInfrastructure and Operations ManagementApplication DeliveryInternet of Things
Splunk Enterprise Security - SIEM
TrendMicro DeepSecurity i DeepDiscovery za Splunk
Cisco Security Suite i Cisco Networks App za Splunk
Splunk Add-on for F5 BIG-IP
151515MDS Informatički inženjering
NSS Labs
161616MDS Informatički inženjering
PoC – Proof of Concept
• Tipično trajanje PoC-a 2 nedelje
• Faze:– Osnovno inicijajno podešavanje
– Implementacija
– Na kraju prve nedelje, pregled rezultata, eventualno dodatna konfiguracija
– Na kraju druge nedelje pregled rezultata i generisanje izveštaja
171717MDS Informatički inženjering
Ključne poruke
• Otkrivanje nepoznatih i perzistentnih malicioznih softvera‚ podrška za 100+ protokola
• Vidljivost u delovima mreže koji nisu pod kontrolom tradicionalnih sigurnosnih sistema Firewall, IPS, Web i Mail zaštita
• Ukazuje na problematične aktivnosti i radne stanice
• Jednostavna instalacija
Hvala na pažnji !!!
Trend Micro Custom DefenseRešenje za zaštitu od targetiranih i naprednih pretnji
191919MDS Informatički inženjering
MDS – TrendMicro Gold Partner
• Konsolidacija security servisa i formiranje odeljenja
• MDS – TrendMicro Gold Partner
• Reference i promet u protekloj godini
• Program događaja
202020MDS Informatički inženjering
Pozicija u mreži
top related