Post on 26-Jan-2017
AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
Leandro Vicente
Sr. Systems Engineer - SP
Arthur Fang
Principal Technical Support Engineer - SP
Diego Almeida
Especialista em Cyber Segurança
Sobre os nossos apresentadores
Copyright © 2015 Symantec Corporation
Arthur Fang Principal Techincal Support Engineer - 15 anos de experiência em TI - 9,5 anos na Symantec - Especialista em soluções de segurança - Atua na equipe Avançada do Suporte Técnico. - Análise de Malware e Forense.
Leandro Vicente Sr. Systems Engineer - 14 anos na Symantec - Especialista em soluções de segurança e conformidade - Atua na pré-venda para clientes do segmento Financeiro, desenvolvendo soluções para proteção e gerenciamento das informações
Sobre os nossos apresentadores
Copyright © 2015 Symantec Corporation
Diego Almeida Especialista em Cyber Segurança - Mais de 15 anos de experiência em soluções de segurança de
perímetro e serviços gerenciados. - Responsável pelo portfólio de Cyber Security para América Latina
Segurança Corporativa| Estratégia de Produtos e Serviços
4
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle • Forense e Remediação embutida em cada ponto de controle • Proteção integrada para Workloads: On-Premise, Virtual e Cloud • Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs e Telemetria
Gestão Unificadas de Incidentes e Customer Hub
Integrações com Terceitos e Inteligência
Benchmarking Regional e por Segmento
Análise Integrada de Comportamento e Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades • Cloud Security Broker para Apps Móveis e em Nuvem • Análise de comportamento dos usuários • Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data Center
Cyber Security Services Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários
Copyright © 2015 Symantec Corporation
TAKE THE NEXT STEP
SYMANTEC
ADVANCED THREAT PROTECTION 2.0
Dia do Lançamento
• Symantec Advanced Threat Protection 1.0 : Network & Email – Maio/2015
– Mais de 20 clientes testou o Beta antes de Maio/2015
– Mais de 145 mil agentes em produção
– Tecnologia testada em mais de 200 Milhões de endpoints
– Cynic para Email adicionado em Novembro/2015
• Symantec Endpoint Protection EDR for ATP v2 (SEP 12.1.6 MP3)– Novembro/2015
• Symantec Advanced Threat Protection v2.0 Network, Email e Endpoint – Dezembro/2015
• Roadmap agressivo para os próximos 6 meses
• Como descobrir APTs, AETs, RATs, BotNets?
7
PREVENIR
Parar os ataques recebidos
DETECTAR RESPONDER
Conter & Remediar os problemas
RECUPERAR
Restaurar as operações
PREVENÇÃO SOZINHA NÃO É SUFICIENTE
Copyright © 2015 Symantec Corporation 8
IDENTIFICAR
Saber onde os dados importantes estão
Identificar as Invasões/incursões
A DETECÇÃO TEM SE TORNADO CADA VEZ MAIS DIFÍCIL
O Produtos de segurança atuais em sua maioria não são integrados As ameaças podem “fugir” de tecnologias tradicionais de sandboxing
Conteúdo malicioso conhecido detectado
Comportamento de rede suspeito
Malware conhecido bloqueado
Comportamento suspeito do arquivo
Quando as empresas detectam ameaças avançadas, é demorado e difícil para elas limparem os artefatos de ataque em todo o ambiente
Anexo malicioso bloqueado
URL maliciosa detectada
Rede Endpoints Email
Copyright © 2015 Symantec Corporation 9
E EVENTOS DEMORAM TEMPO PARA SEREM TRATADOS O analista deve entrar em contato com o usuário final e coletar manualmente um arquivo
específico nos endpoints
Conteúdo malicioso conhecido detectado
Comportamento de rede suspeito
Malware conhecido bloqueado
Comportamento suspeito do arquivo
Seguido por atualizações de políticas individuais para cada produto de segurança para remover o arquivo onde ele estiver
Anexo malicioso bloqueado
URL maliciosa detectada
Rede Endpoints Email
Copyright © 2015 Symantec Corporation 10
SYMANTEC™ ADVANCED THREAT PROTECTION SOLUCIONA ESTES PONTOS
Prioriza o que mais importa
Remedia rapidamente
Aproveita investimentos atuais
Descobre ameaças avançadas através de endpoints, rede, e email
Copyright © 2015 Symantec Corporation 11
Testes de mercado de Detecção e Falso-Positivo
Copyright © 2014 Symantec Corporation 12
Full Report: https://goo.gl/rDCc17
Full Report: http://goo.gl/69Ghmt
Full Report: http://goo.gl/B9ho2m
Melhor no em detecção comparado ao CISCO SOURCEFIRE e FIREEYE
Copyright © 2015 Symantec Corporation - Published 5/5/2015 13
Principais conclusões: • Melhor performance na detecção de Malware • Detectou 100% dos Advanced Persistent Threats (ATP) • Detectou 100% dos Advanced Evasive Threat (AET) • Detectou 100% dos BotNet • Detectou 100% dos virus antigos • Detecção de RATs acima da media • O que mais detectou ameaças ativas na rede • O que mais detectou documentos com conteúdo maliciosos
Na média o Symantec ATP detectou 18,5% mais que os seus competidores
• O que foi comprometido? • Qual o alcance e atividade da ameaça?
14
Indicators-of-Compromise (IoCs) de um ataque
• Solução Symantec ATP fornece um ponto único de visualização dos IOCs de um ataque
• Inclui um gráfico completo com as relações e conexões entre os IOCs, como: – Todas as atividades suspeitas na organização
– Como os eventos estão relacionados • Arquivos usados em um ataque;
• Os e-mails com estes arquivos e as origens
• Origem de IPs e Dominio dos arquivos
Copyright © 2015 Symantec Corporation 15
• Adiciono Endpoint Detection and Response (EDR) nos agentes de SEP já existentes no ambiente
– Capacidade de busca de IOCs em todo os agentes de SEP através da console de gerenciamento do ATP
• Hash ou nome do arquivo, Chave de Registro, IP e URL
– Incluindo remediação em 1-click
• Coleta do arquivo, deletar o arquivo, envio para o Cynic (sandbox), colocar o endpoint em quarentena e etc.
CAÇANDO OS INDICATORS OF COMPROMISE COM ADVANCED THREAT PROTECTION: ENDPOINT
1. O analista de segurança inicia a busca na console Symantec Advanced Threat Protection a varredura nos clientes.
2. A requisição de varredura está na fila para o heartbeat e será entregue para o cliente no próximo heartbeat. Por padrão o tempo máximo é de 5 minutos.
3. SEPM inicia a busca em cada endpoint com o SEP cliente, e pode verificar os seguintes itens (Na varredura rápida ou varredura completa):
• Arquivos por hash (SHA256, SHA1 and MD5) ou nome
• IP externos ou website
• Chave de registros
4. Verificação de resultados são retornados para o SEPM em tempo real.
5. Os dados são disponibilizados na console de Symantec Advanced Threat Protection.
6. O arquivo(s) podem ser recuperadas de qualquer endpoint para análises futuras.
1
2
3
4
5
Copyright © 2015 Symantec Corporation 16
Tipos de Busca
• Inline (Datastore) – Pesquisa de um artefato na base local
– Retorno do resultado em segundos
– Eventos de um artefato gerados nos sensores do endpoint e da rede
– Exemplos (arquivo, hash, domínio, hostname, username, IP)
– Busca de arquivos do tipo executaveis (exe,dll,com,scr,msi,drv,sys,ocx,cpl)
• Integrado no Endpoint – Busca de artefatos no endpoint
– Resultados podem ser adiados com base em alguns fatores (heartbeat, endpoint off-line, cache)
– Examples (arquivo, hash, chave de registro)
– Todos os tipos de arquivo (Executaveis ou não)
.
17 Copyright © 2014 Symantec Corporation
Expressões da busca
• O usuário pode fornecer expressões como critérios para reduzir o escopo da pesquisa.
– “<Field> <Operator> ‘<Value>’ [ [ AND|OR ] <Field> <Operator> ‘<Value>’ ]…”
• As expressões (Field, Operator, Value) podem ser combinadas com as operações lógicas AND ou OR.
• O valor tem que ter aspas simples.
• As expressões são validadas pelo campo, operação e o formato do valor
• Alerta na console para as expressões inválidas
18 Copyright © 2014 Symantec Corporation
Expressões da busca (continuação…)
Os operadores de busca suportados:
Uma busca com uma expressão inválida mostra um erro com detalhes abaixo da área de busca.
Operadores Descrição
= Combinação exata de campo com determinado valor.
match Um determinado valor de um campo
like Como um “começar com” comparison of the given value in the field.
!= Negativo do operador “=“
not_match Negativo do operador “match”
not_like Negativo do operador “like”
19
Expressões da busca (continuação…)
• Resulatado de uma busca com uma expressão válida
• And/ Or/ = / Not equal/ Match/ Like
20 Copyright © 2014 Symantec Corporation
Pagina dos pontos
21
Arquivo Incidentes Relacionados Eventos Relacionados Visto nos Endpoints Origem do download Nome do arquivo associado ao Hash Resultado do Cynic (Sandbox)
Domínio Incidentes Relacionados Download dos Arquivos Endpoints que comunicaram IP’s Associados com o Domínio
Endpoint Incidentes Relacionados Eventos Relacionados Arquivos Maliciosos Conexões Maliciosas
ADVANCED THREAT PROTECTION: ENDPOINT
SEPM 12.1 RU6 suporta todas as funcionalidades do ATP:ENDPOINT,
porém versões antigas do agente podem ser usadas
Versões Coleta de
arquivo Deletar arquivo
IOC
Hunting
Endpoint
Quarantine
Blacklist de
arquivo por
hash
Insight e
Submissões
redirecionadas
para o SEPM
Insight
redirecionado
para o SEPM
Insight Local e
redirecionamento
das Submissões
SEP 12.1 RU6
SEP 12.1 RU5
SEP 12.1 RU4
SEP 12.1 RU3
SEP 12.1 RU2 e
inferiores
Funcionalidades suportadas por versão do SEP
Campo Exemplo De SEP RU5 até o SEP RU6 MP2
SEP RU6 MP3 e superior
Caminho do arquivo C:\Windows\*\foo.exe - X
Nome do arquivo C:\Windows\temp\foo* X X
CSIDL CSIDL_APPDATA\\antivirus\\downloader - X
Variável de ambiente %APPDATA%\\antivirus\\downloader X X
Chave de registro HKLM\Software\Symantec\*\InstalledApps - X
Wildcard no valor da chave de registro
HKLM\Software\Symantec Value = *Path
- X
Busca do valor da chave de registro
Não (valor é
retornado em resposta)
X
23
Wildcard suportados para busca de evidencias pela versão do SEP
Busca da evidência via console do ATP
• Usa a integração com o SEPM para fazer as chamadas no agente do SEP
• Em Push mode a solicitação e o retorno é enviado imediatamente
• Em Pull Mode a busca depende do heartbeat
– A resposta depende do heartbeat configurado no SEPM
– Exemplo: Uma busca de arquivo iniciado com Foo.exe, o Endpoints não vai iniciar a busca do arquivo Foo.exe antes do heartbeat
• O resultado da pesquisa é retornado imediatamente, quando:
– Busca de Hash
– Pesquisa de nome de arquivo com o caminha é utilizada a verificação rápida
• Uma pesquisa por nome sem o caminho é necessário uma pesquisa complete
24
Busca da evidência via console do ATP
• Quando a varredura é utilizada
– Maquinas off-line não serão afetadas pela varredura
– Maquinas off-line receberão a varredura quando ficarem online
– Agente com versão não compatível mostrará como varredura rejeitada
– ATP mostra o resultado da pesquisa quando a tarefa estiver completada
– Maquinas remotas armazenam o resultado em cache em caso de perda a comunicação
25 Copyright © 2014 Symantec Corporation
SymEFA
• Base de dados local no endpoint com atributos adicionais dos arquivos
• Armazena os hashes localmente dos executaveis (exe,dll,com,scr,msi,drv,sys,ocx,cpl)
• Busca de EOC rapidamente na base do SymEFA antes de uma varredura completa
• Se o hash estiver no SymEFA a resposta é envida em segundos
• Somente os executaveis são armazenados no SymEFA
26 Copyright © 2014 Symantec Corporation
Copyright © 2014 Symantec Corporation 27
SymEFA
Valores de busca das Evidencias
Operadores suportados
Operador Descrição
= Combinação exata de campo com determinado valor.
match Um determinado valor de um campo
like Como um “começar com” comparison of the given value in the field.
Nome do campo Descrição
filename Busca pelo nome do arquivo
registry Busca pelo valor de uma chave de registro
filehash Busca pelo hash do arquivo (MD5, SHA256)
Operação Logica EOC
OR Filename ou filehash
* Em um caminho e pasta ou nome de arquivo (Somente RU6)
28
Nome do arquivo (FileName)
Busca pelo nome do arquivo é suportado nos formatos:
• Variável de ambiente (%windir%, %system32%)
• Caminho CSIDL
– CSIDL_SYSTEM_DRIVE (C:\) %Systemdrive%
– CSIDL_DRIVE_FIXED (C:, D:)
– CSIDL_DRIVE (Qualquer letra válida)
• RegEx não é suportado para busca por nome de arquivo (FileName)
• Wildcard suportados
– ? Único caractere
– * Numero de caracteres
29
Interrogatório no Endpoint
30 Copyright © 2014 Symantec Corporation
Status do progresso no SEPM
Copyright © 2014 Symantec Corporation 31
Tarefa executada nos agentes do SEP
Copyright © 2014 Symantec Corporation 32
Resultado na console do ATP
Copyright © 2014 Symantec Corporation 33
ATP Demonstration
Copyright © 2015 Symantec Corporation 34
Cyber Security Services Advanced Threat Hunting
Copyright © 2014 Symantec Corporation 35
CYBER SECURITY SERVICES
36
MANAGED SECURITY SERVICES
INCIDENT RESPONSE
SECURITY SIMULATION
DEEPSIGHT INTELLIGENCE
Rastrear e analisar eventos de segurança , criar ações de inteligência
Proteger contra ataques direcionados, ameaças avançadas e campanhas.
Responder rapidamente à eventos, de forma eficiente.
Reforçar o preparo dos seus profissionais para se prevenir contra ataques avançados.
CYBER NE DEEPSIGHT
INTELLIGENCE
SECURITY SIMULATION
MANAGED SECURITY SERVICES
INCIDENT RESPONSE
Organizações de segurança estão lutando uma batalha desproporcional
Copyright © 2015 Symantec Corporation 37
Cybersecurity é a competência de TI
com maior escassez nos últimos 4 anos*
Baixa experiência com violações na prática
Organizações não possuem a certeza que
estão preparados
Recursos aparentemente ilimitados
Ataques sofisticados e multi-estágios
Táticas dos atacantes constantemente transformandoas
• * ESG’s annual global IT Spending Intentions survey has shown a ’problematic shortage’ of cybersecurity experts as the top IT skills shortage for four years in a row. • http://www.esg-global.com/research-reports/2015-it-spending-intentions-survey/
Ausência de plano é planejar para falhar
37% 68%
60%
NÃO CONFIAM QUE PODE LIDAR COM AS CONSEQUENCIAS DE UMA BRECHA
NÃO REVISARAM OU ATUALIZARAM SEU PLANO DE RESPOSTA DESDE QUE FOI IMPLEMENTADO
TEM UM PLANO DE RESPOSTA
Copyright © 2015 Symantec Corporation 38 38
E ao que isto leva?
Copyright © 2015 Symantec Corporation 39
Altos custos de resposta Tempos de resposta
ruins Baixa eficácia
Dificuldades para mostrar o ROI dos
investimentos
Como a Symantec pode ajudar Cyber Readiness Services
Copyright © 2015 Symantec Corporation 40
Planejamento e desenvolvimento do
programa de IR IR Team Training IR Tabletop Exercises
Advanced Threat Hunting Compromise Assessment
Como a Symantec pode ajudar Cyber Readiness Services
Copyright © 2015 Symantec Corporation 41
Planejamento e desenvolvimento do
programa de IR IR Team Training IR Tabletop Exercises
Advanced Threat Hunting Compromise Assessment
Advanced Threat Hunting?
Copyright © 2014 Symantec Corporation 42
O que é? Serviço executado onsite por profissionais Symantec com mais de 12 anos de experiência em investigação de incidents. Como? Buscando na rede do cliente por atividades maliciosas através de metodologia e tecnologias próprias.
Quais os resultados que posso esperar? Melhor entendimento sobre qualquer potencial exposição e recomendações para contenção e remediação. Conhecer quais informações foram retiradas, como ocorreu e quais foram os atores envolvidos. Como adquirir? Comercializado por número de dias, estipulados após uma definição de escopo em conjunto com o cliente.
INCIDENT RESPONSE
Responder rapidamente à eventos, de forma eficiente.
Copyright © 2015 Symantec Corporation 43
Experience Matters – Média do time com 12 anos de experiência em IR
– 5 patentes de tecnologia de IR retidas pelo Team
– Experiência direta em todas as verticais, incluindo Sector Público
– Experiência com Brechas de Alto-Perfil
Symantec Managed Security Services
Visibilidade Global
• Mais de 500 clientes em todo mundo
• Visão ampla de ameaças emergentes
• Analistas Symantec reconhecem e respondem rapidamente a ataques direcionados
Resposta mais rápida
• Melhor visibilidade através do ATP ajuda a identificar os estágios de campanhas e ataques complexos, incluindo movimentação lateral
• Minimiza seu tempo de resposta e exposição
Global Intelligence
Endpoint Network Email
Advanced Threat Protection
MSS Global Operations
Other ATP Products Users
Data
Apps
Cloud Endpoints
Gateways
MSS Analytics Platform
Real Time Correlation
Global Threat Intelligence
Advanced Threat & Behavioral Analysis
MANAGED SECURITY SERVICES
Proteger contra ataques direcionados, ameaças avançadas e campanhas.
OBTENHA SUPORTE ADICIONAL E TREINAMENTO COM SERVIÇOS DA SYMANTEC.
45
Business Critical Services
Education
Essential Support
Remote Product Specialist
Acesso personalizado a um
engenheiro, com experiência
técnica em uma família de
produtos específicos, que também
é habituado com o seu ambiente.
• 24/7/365 online learning anywhere
• Instrutor presencial ou virtual
• Certificações
Premier
• Seu próprio especialista de serviços.
• Rápida resposta na resolução de problemas.
• Planejamento proativo e gerenciamento de risco.
• Acesso incluso no Symantec technical education
• Assistência Onsite.
• Acesso 24/7 de engenheiro de suporte técnicos. • Atualizações de produtos, incluindo atualizações de recursos e
correções de versões.
• Atualização de conteúdo de segurança, incluindo definições de vírus e regras de spam.
Conhecimento e experiência
em todo o ciclo de vida do
software para ajudar você a
atingir os objetivos do seu
negócio.
Consulting
Copyright © 2015 Symantec Corporation
Perguntas do Chat
Copyright © 2015 Symantec Corporation 46
SymantecMarketing_BR@symantec.com
Nome do Próximo Webinar BE AWARE para Brasil
Copyright © 2014 Symantec Corporation 47
Alinhando sua estratégia de segurança: Visibilidade e
Conformidade
Para mais informação
@SymantecBR
https://www.facebook.com/SymantecBrasil
SymantecMarketing_BR@symantec.com
Thank you!
Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Obrigado!