Protegiendo la red corporativa y cumpliendo con la … uso de aplicaciones riesgosas en ambos...
Transcript of Protegiendo la red corporativa y cumpliendo con la … uso de aplicaciones riesgosas en ambos...
Quien es PFU?, a FUJITSU Company
PFU Systems, a Fujitsu company, con base en Sunnyvale, California, USA y la central en Yokohama, Japón. PFU Systems es una la grandes subsidiarias of Fujitsu, facturando cerca de $1.2B de dólares al año.
PFU Systems tiene mas de 20 anos diseñando productos de networking, seguridad, Enterprise software y escáners corporativos para Fujitsu.
PFU Systems comercializa sus productos en Las Américas via distribución y socios certificados. Para mas información visitenoswww.inetsec.com
Predicciones para el 2016
El Cibercriminal se enfocara en empresas pequeñas (PYMES)
Incremento masivo en ataques a dispositivos móviles
La extorsión cibernética incrementara – Criptowall
El incremento de IoT traerá nuevos ataques – Coches, Televisores, etc.
Ataques a sistemas biométricos y autenticación
Los ataques a naciones seguirán creciendo
Quoted “https://securityintelligence.com/2016-cybercrime-reloaded-our-predictions-for-the-year-ahead/”
4/28/2016 Confidentiall Fujitsu Limited 2016 3
Cyber Attacks – Donde? Cuantos? De que tipo?
4/28/2016 Confidentiall Fujitsu Limited 2013 4
• Millones de ataque diarios – algunas instituciones en USA reciben hasta 20M de ataques al mes• Costos a la economía mundial en el 2015 – estimado de $550 billones de dólares• Porcentaje de ataques que se originaron internamente – de un 60% a un 80% de los casos• USA lidera la lista de países mas atacados• Tipo de ataque mas frecuente? Cyber Crime 55.2%
El costo de los ataques internos sobrepasa a los ataques externos.²“Lo que las empresas hacen es buscar los ataques en el perímetro, pero los adversarios están en el interior del perímetro, esto lo dijo el Director Adjunto de la NSA.
Soluciones de seguridad perimetral y protección de dispositivos (AVs) no son suficientes para proteger la red corporativa
“La mala noticia es que hemos descubierto un ataque avanzado en nuestras propias redes internas. Es complejo, sigiloso, que explota varias vulnerabilidades de día cero, y estamos bastante seguros de que hay un estado-nación detrás de él.” Fuente - Kaspersky’s website
Sources: ¹,² CSI San Francisco
La Red Corporativa es Vulnerable
ABC NEWS: OPM Hack Far Deeper Than Publicly Acknowledged, Went Undetected For More
Than A Year, Sources SayJun 11, 2015, 4:59 PM ET, By MIKE LEVINE
The hack of U.S. government employee records (aka the OPM hack) was actuallydiscovered in a
product demo. Attackers stole personnel data and Social Security numbers for every federal
employee, a government worker union said Thursday, asserting that the cyber theft of U.S. employee
information was more damaging than the Obama administration has acknowledged
Cerca de un 1 billón de dispositivos móviles fueron vendidos en 2013. En 2017 se espera que se lleguen a los 3 billones de dispositivos.¹
Los empleados están utilizando sus dispositivos tanto para fines personales y de trabajo. 4 de cada 5 empresas con políticas BYOD en su lugar han experimentado beneficios.²
Escuelas, Universidades y Centros públicos (hoteles, hospitales, aeropuertos) han sido los primeros en adoptar BYOD (Bring Your Own Device)
BYOD viene acompañado de BYOA (Bring Your Own Application) Presentando nuevos puntos vulnerables
Sources: ¹Frost&Sullivan, ²Citrix
BYOD : Oportunidades y Riesgos
Protección de trafico Norte-Sur-Norte no es suficiente
Soluciones perimetrales no pueden proteger contra trafico este-oeste.
Contaminación en la red corporativa.
Corporate Network Security – New directions
Corporate Network
C&C Server
Los dispositivos no autorizados en la red, tanto por cable e inalámbricos: computadores portátiles, tabletas, teléfonos inteligentes, puntos de acceso, seguridad física, computadoras de escritorio, ruteadores, servidores virtuales, NAS, juegos y otros
Vectores mas usados para ataques APT
APT (Ataques Persistentes Avanzados): "avanzados" = técnicas sofisticadas que utilizan el malware (RAT) para explotar vulnerabilidades en los sistemas. "persistente" = un sistema de C & C externa está monitoreando y extrae datos de un objetivo específico de forma continua. "amenaza" = proceso con la participación humana en la orquestación de la attack.¹
Ataques APT disfrazan de comunicaciones rutinarias que son indetectables por las soluciones de seguridad en el mercado (por ejemplo, antivirus, protección contra intrusiones sólo firma, cortafuegos, etc.).
El uso de aplicaciones riesgosas en ambos dispositivos corporativos y personales en la red. intercambio de archivos p2p, streaming de medios de comunicación, juegos, intercambio de audio-video, redes sociales y otros
Sources: ¹Wikipedia
1
2
3
iNetSec Smart Finder
iNetSec Smart FinderProtege la red corporativa, ayuda a cumplir con
normas corporativas y previene robos de datos.
Solución iNetSec Smart Finder
• 1 Sensor (hardware)• Hardware Appliance• Hasta 1.000 dispositivos (MAC’s)
• 1 Administrador• Software• Para manager los sensores• Hasta 75 sensores por administrador• Hasta 10.000 dispositivos (MAC’s)
Incluye• Administración de dispositivos• Visualización de aplicaciones y políticas de uso• Detección de APT Malware
Solución ideal - 4 Capas de Seguridad en la red corporativa
Control de acceso a la red
Controlar el acceso a la red mediante políticas de acceso. Es esencial para controlar el acceso de dispositivos no autorizados.
Verificación de estado de los dispositivos
Poder verificar el estado de los dispositivos en la red y de los dispositivos que quieren acceder a la red corporativa.
Control de aplicaciones
Visualizar que aplicaciones están usando los dispositivos, riesgo de uso de las mismas y consumo de banda por dispositivo y aplicacion
Detección de Malware
Poder detectar infecciones y actividades de RAT internas, exploraciones y filtración de datos
Cuatro Tecnologías de seguridad en una sola solución
All rights reserved by PFU Systems, Inc.
iNetSec Hardware Appliance
Full NAC
Services
Application Control
Management
APT Malware Engine Exploration & Exfiltration Fujitsu’s Malware Detection Engine
Application Detection Engine
Protocol Anomaly Detection Engine
Behavioral Detection Engine
iNetSec ManagerCompliance Agent(Metadefender)
NAC Services (Servicios NAC)- Agentless
Sistema de detección de dispositvos Detecta los dispositivos mediante la captura de paquetes de difusión Detecta los dispositivos mediante la captura de Paquetes Unicast - puerto espejo Envío de una orden de difusión única ARP para cada dirección IP dentro del rango de IP gestionada
Sistema de Clasificación del dispositivo Encuentra la firma de tipos de dispositivos - DHCP, NBT, MDNS, RIP, SIP LLMNR, SSDP Captura información User-Agent para clasificar los dispositivos con mayor precisión Reclasificación una vez por semana Diccionario de dispositivos incluido - actualizado cada 3 meses
listas de dispositivos (lista blanca, lista negra y lista gris) Buscador inteligente identifica los dispositivos por dirección MAC Lista de dispositivos aprobados (lista blanca) Lista de dispositivos no deseados (lista negra) Lista solicitada/ detectado (lista gris)
Registro de dispositivos manual y automático El bloqueo de dispositivos sin agente
4/28/2016 13
La visualización y Control de aplicaciones - sin agente
Detecta El diccionario de la aplicación permite la detección de aplicaciones que utilizan la red interna, incluso entre
clientes y servidores.
1,500+ Applications dictionary incluidas en cada iNetSec – actualizada cada 3 meses
Visualiza Enumerar todas las aplicaciones detectadas incluyendo el tamaño de los datos transferidos y el
comportamiento del usuario como: descargar, cargar y publicar mensajes.
Analiza Compruebe el tamaño de los datos de consumo de ancho de banda y comportamiento de los usuarios no
deseados.
Hace cumplir Crear e implementar políticas contra el uso de las aplicaciones prohibidas mediante el bloqueo de los
puntos finales, mostrar mensajes de alerta y administradores de notificación.
Detecta las aplicaciones y protocolos de sur a norte y de este a oeste
4/28/2016 14
Rápida Instalación / Segmentación
Up to16 VLAN Segments
IT Department
Sales
Marketing
Guest
Support
Staff
Services
Finance/Legal
HR Department
IT Admin
3 physical LANs Segments
iNetSec
Tagged VLAN
Tagged VLAN
Port VLAN
Access Switch
Distribution Switch
or
Span/Mirror
Span/Mirror
Solución Escalable a la corporación
4/28/2016 Confidential Fujitsu Limited 2016 16
iNetSec Manager
Network Switch Network Switch Network Switch Network Switch
Windows Server
17
Detectar malware mediante análisis de correlación de comportamientos de la red
Detectar malware sin agente de punto final
・ Capaz de detectar el malware nuevo o sub específico que firmas IPS no pueden detectar
・ Capaz de detectar el malware sofisticado y especializado que evade las contramedidas convencionales, tales como sandbox y antivirus
・ Capaz de detectar malware en cualquier tipo de dispositivo de punto final y proteger todos los dispositivos en la red corporativa
Detecta malware sin firma
Tecnología Fujitsu – Protección contra APT
Anatomía de un ataque APT
• Phishing y zero day• Ingress – explota vulnerabilidades
Entrega
• Instalación de RAT • Puerta de Escape – Access Remoto
Intrusión
• C&C Server Operaciones Remotas• Estudio de la red
Control Remoto
• Movimiento Lateral - Infección de otros dispositivos
Exploracion & Contagio
• Colección de datos robados• Fuga de datos
Filtración de DatosCorporateNetwork
Corporate NetworkCorporate Network
Next Gen FirewallEndpoint Security
Corporate NetworkCorporate Network
Corporate NetworkCorporate NetworkCorporate NetworkCorporate NetworkCorporate NetworkCorporate Network
Detección de Ataques APT de iNetSec
Cyber criminalCyber criminal
HT
TP
S
HT
TP
SCyber criminal
Cyber criminal Cyber criminal
HT
TP
S
SMBSMB
SMB SMB SMB SMB
Block!Block!Block!Block!Block!Block!
Block! Block!Block! Block!
Complementando su estrategia de seguridadEs común que los clientes confundan a iNetSec con un servidor de seguridad o UTM.
Pero no lo somos, nos complementamos a ellos junto con soluciones de punto final
4/28/2016 Confidential Fujitsu Limited 2016 20
iNetSEc
Perimeter
Security Vendors
Endpoints
Vendors
VMware
2016
Switch
Vendors
PaloAltoFireEyeCheckPointFortinetCyphor
OpswatMobileIronMDM’sEMM
HPCiscoBrocadeFujitsuJuniper
CorporateNetwork
Metadefender Endpoint for Compliance
11 Configurable Compliance Categories
Antiphishing
Anti-malware/AV
Backup Status
Disk Encryption
Firewall
Patch Mgmt. Agent
Unwanted Apps
OS Updates
User Authentication
Hard Drive Space
Infections
Straightforward Compliance Categories
Improved AV Efficacy Report threats missed by local AV
Daily process scan with 1 to 40+ anti-malware engines
Hash all running processes and dependencies
Very low device CPU usage: Scanning done in the cloud
Integration Partnerships - FireEye
Respond when and where it matters: Next-generation threat visibility discovers advanced network attacks and protects against the latest threats at every point possible—perimeter, subnets, corporate endpoints and BYOD – and at every stage – intrusion, lateral movement, and exfiltration.
Prevent the spread of attacks: Intelligent access-control enforcements block compromised devices and prevents them from accessing and using the network, preventing malicious code from extracting data from the targeted devices.
Protect against insider threats: Thwart attacks from infected devices inside the network by preventing the extraction of sensitive business data—even if the device has already authenticated to the network.
4/28/2016 Confidentiall Fujitsu Limited 2016 24
As FireEye NX Series detects malicious activity on the network, it generates alarms that the iNetSec device can process, alerting it to one or more compromised endpoints residing on the network. iNetSec automatically blocks the compromised endpoints, preventing them from accessing the network, shutting down traffic coming from that device altogether.