AMEAÇAS AVANÇADAS: POR QUE DEVO ME PREOCUPAR?

Wesly Alves

System Online Engineer

André Carrareto

Security Strategist

Sobre os Palestrantes

Copyright © 2015 Symantec Corporation

Andre Carraretto, CISSPSecurity Strategist

20 anos de experiência em TI 11 anos na Symantec Principal porta voz para assuntos relacionados à Segurança da

Informação Responsável por projetos de alta complexidade, cobertura na

América Latina

Wesly AlvesSOS Systems Engineer

4 anos de experiência em TI 2.5 anos na Symantec Especialista em soluções de segurança e conformidade Atua na equipe pré-vendas, para clientes PME

Segurança Corporativa| Estratégia de Produtos e Serviços

3

Threat Protection

ENDPOINTS DATA CENTER GATEWAYS

• Advanced Threat Protection através de todos os pontos de controle• Forense e Remediação embutida em cada ponto de controle• Proteção integrada para Workloads: On-Premise, Virtual e Cloud• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways

Unified Security Analytics Platform

Coleta de Logs e Telemetria

Gestão Unificadasde Incidentes e Customer Hub

Integrações com Terceitos e Inteligência

Benchmarking Regional e porSegmento

Análise Integradade Comportamentoe Ameaças

Information Protection

DADOS IDENTIDADES

• Proteção integrada para Dados e Identidades• Cloud Security Broker para Apps Móveis e em Nuvem• Análise de comportamento dos usuários• Gestão de Chaves e Criptografia em Nuvem

Users

Data

Apps

Cloud

Endpoints

Gateways

Data Center

Cyber Security ServicesMonitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários

Copyright © 2015 Symantec Corporation

Agenda

Copyright © 2014 Symantec Corporation4

1 O que é ATP

2 Qual a diferença de um APT e um Malware?

3 Como funciona uma Ameaça Avançada

4 Identificando arquivos suspeitos

5 Q&A

Perguntas do Chat

Copyright © 2015 Symantec Corporation5

SymantecMarketing_BR@symantec.com

6

Vamos começar

Copyright © 2014 Symantec Corporation7

Copyright © 2014 Symantec Corporation8

• A) Um Malware?

• B) É um virus?

• C) Não sei, o que faria Sun Tzu?Mas quem é Sun Tzu?

Copyright © 2014 Symantec Corporation9

https://www.sans.edu/student-files/projects/JWP-Binde-McRee-OConnor-slideswnote.pdf

Copyright © 2014 Symantec Corporation10

APT`s – Onde Surgiu

United States Air Force - 2006

Advanced Persistent Threat Ou Ameaça Avançada Persistente

Copyright © 2014 Symantec Corporation11

O que Significa APT

• Advanced (Avançado) – Familizarizado, Exploits, Coding.

• Persistent (Persistente) – Possuem um alvo, são motivados a fazer algo.

• Threat (Ameaça) – Organizado, motivado e financiado

[Bejtlich 2007]

Copyright © 2014 Symantec Corporation12

APT`s – Diferenças entre um APT e um Malware

Conhecimentosobre o Alvo

Grupo de pessoas motivadas

Como funciona uma Ameaça Avançada

13Copyright © 2014 Symantec Corporation

Copyright © 2014 Symantec Corporation

14

APT`s – STUXNET e um pouco de química

• Urânio = U235

• Centrífuga de Natanz , 1004 giros por Segundo para chegar no U235

• 40 % mais rápido por 10 ~15 minutos

http://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_tecnologia_virus_stuxnet

APT’s

15Copyright © 2014 Symantec Corporation

Nikos and Dimitris in “The Big four – What we did wrong in Advanced Persistent Threat Detection” 2013

Copyright © 2014 Symantec Corporation16

APT`s – Estão ficando cada dia mais comum

Copyright © 2014 Symantec Corporation17

APT`s – Técnica mais utilizada e Diferença

PHISHING SPEAR PHISHING

Qual é a probabilidade de ser um alvo

18%

31% 30%34%

32% 19%

31% 25%

50% 50% 39% 41%

2011 2012 2013 2014

1-250 251-2500 2501+Tamanho da organização

18Copyright © 2014 Symantec Corporation

Mesmo com as melhores tecnologias de prevenção, você pode parar as ameaças avançadas?

Copyright © 2015 Symantec Corporation

IDENTIFICAR

Entender onde os dados importantes

estão

PREVENIR

Bloquear ataques entrantes

DETECTAR

Encontrar Incursões

RESPONDER

Conter &Corrigir os problemas

RECUPERAR

Restaurar a operação

10

Enquanto a prevenção é o mais importante….

…você precisa se preparer para as brechas.

Se você estiver sendo atacado, o quão rápido você pode: Detectar, responder e se recuperar?

Copyright © 2015 Symantec Corporation10

IDENTIFICAR

Entender onde os dados importantes

estão

PREVENIR

Bloquear ataques entrantes

DETECTAR

Encontrar Incursões

RESPONDER

Conter &Corrigir os problemas

RECUPERAR

Restaurar a operação

Copyright © 2014 Symantec Corporation21

Identificando arquivos suspeitosATP Solution:

Symantec Advanced Threat Protection: Módulos

• Visibilidade dos Endpoint

• Contexto do Endpoint, eventos suspeitos e remediação

• Utiliza o SEP – sem a necessidade de agenteadicional

• Visibilidade de todos os dispositivos e protocolos.

• Sandbox automatizada, utilizando máquinasfísicas e virtuais

• Utilização por appliancefísico ou virtual.

• Visibilidade no fluxo da mensagens

• Análise do tipo de email

• Funciona com o Email Security.Cloud

22Copyright © 2014 Symantec Corporation

Symantec Advanced Threat Protection: Cynic

23

ATP: ENDPOINT

ATP: NETWORK

ATP: EMAIL

Virtual sandbox

Cynic

Mecanismo de detecção

Sandbox emHardware Físico

Copyright © 2014 Symantec Corporation

Execução em máquinas Físicas

•Hardware Físico

•Bare metal

–Não é virtualizado

24Copyright © 2014 Symantec Corporation

Cynic – Tipos de Arquivo• Binários Windows: EXE, DLL, SYS (drivers), OCX (Controles ActiveX), SCR (Screen Savers)

• Documentos Office: Word, Excel, PowerPoint

• Java applets

• Arquivos comprimidos files (rar, zip, 7z)

• Adobe Acrobat

25

Skeptic: Análise Heuristica

Copyright © 2014 Symantec Corporation26

+ Questiona quem enviou

+ Anexo Suspeito

+ Código suspeito no anexo

(+ Evidência de ofuscação)

(+ Criptografia inesperada) ______

Ameaça heuristicamentedetectada

Nem todos os elementos são necessários para o veredito!

Symantec Advanced Threat Protection

27

ATP: ENDPOINT

ATP: NETWORK

ATP: EMAIL

Correlação e Priorização

Virtual sandbox

Remediação

Cynic

Reporte e Investigação

Mecanismo de detecção

Sandbox emHardware Físico

Synapse

Copyright © 2014 Symantec Corporation

28

29

30

31

32

Ações de Remediação

Copyright © 2014 Symantec Corporation33

26%higher malware protection than

FireEye and

18% higher

than Cisco

Identified

95%More advanced evasive threats

than competitors

”The most accurate appliance was

Symantec ATP”

Dennis Technology

Labs, 18th Dec 2015

“Symantec was observedto have the

highest detection rate for

every categoryof malware ”

Product tested Detection Score

Symantec ATP

100%

Palo Alto Networks

90%

Cisco Snort 72%

Fortinet 69%

Product tested

False Positives

Symantec ATP 0%

Trend Deep Discovery

4.9%

Fortinet 3.3%

“ICSA was

impressed with Symantec ATP”

ICSA Labs, 8th Dec 2015 Miercom Labs, 18th Dec 2015

Nome do Próximo

Copyright © 2014 Symantec Corporation34

Nombre do ProximoWebinar

Para mais informação

@SymantecBR

https://www.facebook.com/SymantecBrasil

SymantecMarketing_BR@symantec.com

Thank you!

Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Obrigado!

Apendice

Por que Symantec Consulting Services?

Melhores práticas e conhecimento de

segurança

Entregamos nossos serviços apoiando as

nossas soluções

Equipe de consultores especializados e

parceiros estratégicos

Integramos as gestão de segurança com a

operação da tecnologia

Empresa No. 1 em Segurança no mundo

Casos de sucesso em todo mundo

Redução do risco da Tecnologia contra ameaças de segurança

Aumento no desempenho e no aproveitamento da

utilização das soluções

Como BCS Atua no ambiente de SEP do cliente

Proteção de Ameaças

ENDPOINTS DATA CENTER GATEWAYS

• Resposta mais rápidas a incidentes

• Ponto único de contato

• Configuration Review• SEP Assurance

• Transferência de Informações (TOI)

• Treinamentos

• Relatórios de casos, de maneira a tratar situações que possam ser evitadas

Un modelo de servicio proactivo

Symantec Business Critical Services Premier incluye:

Simplifique el soporte, maximice el retorno y proteja su infraestructura.

Un experto enservicios desingadopara su negocio

Rápida respuestapara resolución de problemas

Planeación proactivay administración de riesgos

Acceso incluído ala educacióntécnica Symantec

1 2

3 4

SimplicidadUn experto en servicios nombrado para ayudarlo a manejar suexperiencia de soporte.

VelocidadRespuesta rápida y prioritaria de nuestros expertos, en sitio de sernecesario.

EstabilidadTécnicos experimentados que le ayudarán a afinar su tecologíaSymantec.

ConocimientoAcceso a entrenamiento con instructor y una amplia librería de recursos en línea.

PazExpertos trabajando con usted para prevenir problemas y a su ladopara ayudarlo si suceden.

ValorTodas las ventajas de nuestros productos aprovechadas para optimizar su inversión en tecnología.

Business CriticalServicesPremier

Una oferta de serviciorigurosa y proactivapara la gran empresa