AMEAÇAS MODERNAS E CYBERSEGURANÇA

COMO O MERCADO ESTÁ ENFRENTANDO O DIA A DIA DA SEGURANÇA DA INFORMAÇÃO

CARLOS BOMTEMPO

Sr. Account Territory Manager – Websense Brasil.

Formado em Tecnologia Elétrica (Univ. Mackenzie).

Pós Graduação em Processamento de Dados (FAAP).

25 anos atuando na área de vendas, IBM, Sun, Oracle e Websense Brasil.

O que é segurança?

A SEGURANÇA EVOLUI?

Vocêacha seguro?

E quando sentimos uma sensação de segurança?

AFINAL QUAL A DEFINIÇÃO DE SEGURANÇA?

A segurança é o grau de resistência ou de proteção ao dano. Ela se aplica a qualquer ativo vulnerável e valioso como uma pessoa, habitação, comunidade, nação ou organização.

SEGURANÇA DA INFORMAÇÃO

Proteger minharede

QUANDO FALAMOS DE SEGURANÇA DA INFORMAÇÃO LEMBRAMOS DE....

Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para Prova de Conceito.

Filtro de Pacotes

1990

G2

1988

G1

Pelo fato de o principal

protocolo de transporte TCP

orientar-se por uma tabela de estado nas

conexões, os filtros de pacotes

não eram suficientemente

efetivos se não observassem estas características.

Firewall de Circuito

Foi nesta geração

que se lançou o

primeiro produto

comercial em 13 de

Junho de 1991—o

SEAL da DEC.

Proxy Firewall

1991

G3

2000

G4

Statefull Inspection.Deep Packet Inspection.Personal firewall.

Firewall de Aplicação

Proteger minhasmáquinas

QUANDO FALAMOS DE SEGURANÇA DA INFORMAÇÃO LEMBRAMOS DE....

QUANDO FALAMOS DE SEGURANÇA DA INFORMAÇÃO LEMBRAMOS DE....

Proteger minhasmáquinas

Aparecimento do primeiro virus de PC, Brain.Boot Sector Virus. 1986

Consolidação dos MS-DOS virus. Infectavam .exe e .com 1990

13 Maio 1988. Ataque massivo do virus Jerusalem. Ficou conhecido como ‘Black Friday’

1988

15

NOVAS AMEAÇAS REQUEREM NOVAS DEFESAS

“Soluções baseadas em assinaturas (Anti-virus, firewalls, IPS) são efetivas somente contra 30-50% das ameaças de segurança atuais. Além disso, espera-se que a efetividade da segurança baseada em assinaturas continue em declínio rapidamente.”

IDC Threat Intelligence Update, 14-Feb-2012

COMO FUNCIONAM AS AMEAÇAS ATUAIS?

Ameaças Avançadas

Assinaturas, reputação

Alto Volume

Distribuição em massa

Zero Day

Baixo Volume

Conteúdo direcionado,

esperado

Antes Atualmente

Furto de dados

Objetivo: Danos

Suficienteproteção de

entrada

Facilmente identificável

Objetivo:Ganhos

financeiros

Pressupõe brechas na segurança

Oculto

Antes Atualmente

COMO FUNCIONAM AS AMEAÇAS ATUAIS?

Análise forense de ataques e malwares

Hands-Off

Reativo

Foco na prevenção de intrusão

Hands-on

Proativo

Visão holística,

abrangente

Antes Atualmente

COMO FUNCIONAM AS AMEAÇAS ATUAIS?

4 RAZÕES PARA AS DEFESAS ATUAIS FALHAREM

1 PRINCIPALMENTE COM BASE EMASSINATURA E REPUTAÇÃOA história não é um indicador confiável do comportamento futuro.Criação de assinatura não pode manter-se com a criação dinâmica de ameaças

Security Labs - http://securitylabs.websense.com

2 SEM ANÁLISE EM TEMPO REALANÁLISE DE CONTEÚDO INLINEColetar amostras para análise em laboratório, utilizando processos baseados em outras ameaças conhecidas.Produzindo novas assinaturas (rede de arquivos /) e reputações (URL / arquivo)

4 RAZÕES PARA AS DEFESAS ATUAIS FALHAREM

Resultados legítimos

misturados a links que

levam a sites infectados com

malwares

SEO (Search Engine Optimization) Poisoning

4 RAZÕES PARA AS DEFESAS ATUAIS FALHAREM

3 PROTEGER SOMENTE A ENTRADA.SEM PROTEÇÃO CONTRA VAZAMENTO DE INFORMAÇÕES.

Sem o mínimo necessário de informações para uma análise forense eficiente.

4 MAIS DO MESMO EMNOVAS OPÇÕES DE IMPLEMENTAÇÃOUTMs, NGFWs, IDSs, Network Threat MonitorsSSL severely impacts performance, or blind to it

4 RAZÕES PARA AS DEFESAS ATUAIS FALHAREM

firewall

AV

IDSURLF

cache

SSL

UTM

nidadeudoal feito

HighImpact

LowImpact

Low Volume

APTs

Spear-Phishing

Denial-of-Service (DoS)

Hacktivism

SQL & iFrameInjections

RogueAV

Targeted Attacks

Virus

Worm

Zero-Day Vulnerability

Data Theft

SocialEngineering

Malware

Exploit Kits

SEO

SPAM

Lures

Botnets

VulnerabilityAnalysis

PASSADOAlto volumeVida curtaAbrangenteInfecçãoPublicidade

PRESENTEBaixo volumePersistenteAlvosRoubo de InformaçãoLucro

Social Circles

MUDANÇA NOS MÉTODOS DOS ATAQUES

Isca

SETE ESTÁGIOS DAS AMEAÇAS AVANÇADAS

Recon

Conscientização

Pesquisa dasInformações pessoais

O GRAU DE RISCO ENVOLVIDO

Números de emails recebidos por dia:

400 à 450

Med

ido

r d

e R

isco

Números de emails recebidos por dia:

400 à 450

Spams 95% (427)

O GRAU DE RISCO ENVOLVIDO

Med

ido

r d

e R

isco

Números de emails recebidos por dia:

400 à 450

Spams 95% (427)

Spear-fishing 1,5% (6,5 emails)

O GRAU DE RISCO ENVOLVIDO

Med

ido

r d

e R

isco

Números de emails recebidos por dia:

400 à 450

Spams 95% (427)

Spear-fishing 1,5% (6,5 emails)

Empresa de 1500 users = 9.750 decisões por dia!

O GRAU DE RISCO ENVOLVIDO

Med

ido

r d

e R

isco

Isca para phishing técnicaLink da web embutido no e-mail iscaInfecção de malware algum tempo após o recebimento pelo GatewaySegurança de e-mail vê uma conexão limpa

EMAIL SECURITY EVASION

Sunday Monday

WebEmailSecurity

TargetWeb Site

OK Web

Target SiteInfected 4am

Notificação financeira

Parece enviada pelo RH

Com débito em conta

Transação Online

EXEMPLO – SPEAR PHISHING

Isca Redirec ExploitKit

ArquivoDropper

CallHome

SETE ESTÁGIOS DAS AMEAÇAS AVANÇADAS

Recon

ConscientizaçãoAnálise em Tempo

RealDefesas inline

32

REDES SOCIAIS: PERMITIR OU BLOQUEAR?

Como permitir o acesso a Redes Sociais sem comprometer a produtividade e a

segurança?

SITE COM RISCO DE SEGURANÇA

34

- Se espalha através de mensagens diretas com "vídeo escondido" como isca- Rouba credenciais de conta- Mensagem "Falta Adobe"- Taxa de detecção de 23% em motores AV- Cliente com análise em tempo real estavam protegidos.

EXEMPLO - SOCIAL MEDIA

PRIMEIRA BARREIRA: CONTEÚDO

35

Acesso Restrito

Conteúdo dinâmico, sem interatividade

Conteúdo dinâmico, interatividade restrita

Conteúdo dinâmico, interatividade e

comunicação permitidas

Redes Sociais com classificação de conteúdo

Posts, Like/Comments, Aplicativos, Chat, Photo/Video upload

Redes Sociais com classificação de conteúdo Like/Comments

Posts, Games, Aplicativos, ChatPhoto/Video upload

Informações confidenciais,Conteúdo ofensivo , Games, Aplicativos, Chat

Redes Sociais com classificação de conteúdo Posts, Like/CommentsPhoto/Video upload

Acesso restrito a alguns sites (bancos, portais de noticias, operadoras, sites voltados ao trabalho)

Redes Sociais

Entender as necessidades de cada Departamento e permitir o acesso de acordo com as necessidades de negócio

EM TEMPO REAL : CONTEÚDO

Isca Redirec ExploitKit

ArquivoDropper

CallHome

Furto deDados

SETE ESTÁGIOS DAS AMEAÇAS AVANÇADAS

Recon

ConscientizaçãoAnálise em Tempo

RealDefesas inline Proteção

Voô abaixo do radar.Contagem baixa por solicitação / incidenteRouba dados em pequenas quantidadesPersistência e paciência

SLOW DATA LEAKS

Web

One datarecord

One datarecord

120+ Pesquisadores

DEFESAS CONTRA AMEAÇAS AVANÇADAS

• Análise de conteúdo dinâmico e detecção de ameaças em tempo real (ACE)

• Defesas contra furto e perda de dados • DLP integrado• Dashboard & Relatórios de análise forense• Análise Sandbox de Malware• Controles de Video e Redes Sociais• Console unificada TRITON

3-5 Bilhões requisições/dia

10.000 Analíticos

DATACENTERS WEBSENSE

Overview– 15 global data centers– Fully redundant w/ fail-over– 99.999% availability SLA– 99+% spam detection SLA– Unlimited scalability– ISO 27001 Certified

Physical security– 24x7x365 onsite security– Intrusion detection systems– Close circuit monitoring– Biometric access control

Web Data Email Mobile

SEGURANÇA COMPLETA E UNIFICADA

41

WE CAN PROVE IT

CARLOS BOMTEMPOcbomtempo@websense.com

Sr. Account Territory Manager

Websense Brasil