Schönheit kommt von innen – das Böse auch Human-Centric ...€¦ · • Human-Centric Approach:...

Schönheit kommt von innen – das Böse auchHuman-Centric Security

Fabian GlöserInsider Threat Detection Specialist

© 2019 Forcepoint | 2

Forcepoint was purpose-built to enable the next generation of cybersecurity

• Created by Raytheon in 2016 to commercialize defense-grade technologies for large enterprises.

• More than 13,000 customers, operations in more than 150 countries, 2,700 employees across 50 offices, and 27 data centers worldwide.

• Leading partner to the global intelligence community and for high assurance cyber missions.

• One of the most comprehensive and integrated security product portfolios in the industry.

Forcepoint Proprietary


$1 Trillion Has Been Spent Over The Past 7 Years On Cybersecurity,

With 95% Success …For The Attackers

46% say they can’t prevent attackers from breaking into internal networks

each time it is attempted.

100% of CIOs believe a breach will occur through a successful phishing

attack in next 12 months.

Enterprises have seen a 26% increase in security incidents despite

increasing budgets by 9% YoY.


Source: CyberArk Global Advanced Threat Landscape Report 2018 Sources: Verizon 2018 Data Breach Investigations Report.

245 Mio. $

WertMitarbeiter/Partner/Kunde

Information systemGeistiges Eigentum

Sensible DatenAnlagen

BedrohungBetrug

DiebstahlSabotage

Missbrauch

AuswirkungVertraulichkeit

IntegritätProduktivitätReputation

Wettbewerbsvorteil

AuslöserMitarbeiter

Ex-MitarbeiterContractor

Sub-UnternehmerLieferant

MANAGING THE RISK LANDSCAPEMANAGING THE RISK LANDSCAPE

Copyright 2018 Forcepoint

E1X

2P

3L

4O

5I6T

7

WHY TAKING A NEW APPROACH TO SECURITY IS SO IMPORTANT

Evasions“camouflage”

Exploits“delivery vehicles”

Malware“theft & compromise”

P3L

4T

7O

5I6E

1X

2E

1X

2P

3L

4O

5I6T

7

2013: Stonesoft veröffentlicht den Evader

0: payload obfuscation1: tcp_paws2: tcp_synretranswithpayload3: ipv4_opt4: tcp_urgent5: tcp_recv_window6: tcp_seg, tcp_order7: tcp_seg, tcp_order, tcp_paws8: tcp_seg, tcp_order,

tcp_synretranswithpayload9: tcp_seg, tcp_order, ipv4_opt10: tcp_seg, tcp_order,

tcp_urgent11: tcp_seg, tcp_order,

tcp_recv_window12: Random combination of 1-11

Vendor \ Test 0 1 2 3 4 5 6 7 8 9 10 11 12

Forcepoint(Stonesoft) ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓Juniper ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗

Palo Alto ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗Cisco

(SourceFire) ✓ ✓ ✗ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✗ ✓ ✗McAfee ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗Fortinet ✓ ✓ ✗ ✓ ✓ ✓ ✗ ✗ ✓ ✓ ✗ ✗ ✗

2018: aktueller Test

0: payload obfuscation1: tcp_paws2: tcp_synretranswithpayload3: ipv4_opt4: tcp_urgent5: tcp_recv_window6: tcp_seg, tcp_order7: tcp_seg, tcp_order, tcp_paws8: tcp_seg, tcp_order,

tcp_synretranswithpayload9: tcp_seg, tcp_order, ipv4_opt10: tcp_seg, tcp_order,

tcp_urgent11: tcp_seg, tcp_order,

tcp_recv_window12: Random combination of 1-11

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Vendor \ Test 0 1 2 3 4 5 6 7 8 9 10 11 12

Forcepoint(Stonesoft)

Juniper ✓ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗Palo Alto ✗ ✗ ✓ ✓ ✓ ✓ ✗ ✗ ✓ ✗ ✓ ✗ ✗

Cisco(SourceFire) ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗McAfee ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗Fortinet ✗ ✗ ✓ ✓ ✓ ✓ ✓ ✗ ✗ ✓ ✗ ✓ ✗

© 2019 Forcepoint | 10Forcepoint Proprietary

What is the best way to reduce risk and secure an environment you increasingly don’t own or

fully manage?

Humansand

Data


Next Steps On Your Path To Human-Centric Cybersecurity


I am your greatest

asset.

I am your greatest risk.

Cyber Security ist nicht nur ein IT Thema

Mitarbeiter, HR, Betriebsrat, Legal, Management & IT

Was wollen wir schützen und vorwelchen Situation müssen wir das Unternehmen schützen


Definieren Sie Use Cases• Sabotage• Datenexfiltierung• User werden angegriffen• Welche Bedienfehler müssen

erkannt werden• Risiko unzufriedener (Ex-)Mitarbeiter• Insiderhandel• Wenn bestimmte Personen

kündigen wollen

Definieren Sie was geschützt werdenmuss

Bestimmen Sie die Informationsquellen Legen Sie eine Handlungsabfolge fest

Use cases


Große Bank: Cloud Implementierung und Datenschutzanpassung

• Schutz sensibler Daten in der Cloud • Automatische Erkennung neuer sensibler

Daten und Einbindung in die Compliance Maßnahmen in einer nun hybridenUmgebung

• Compliance (e.g., GDPR and HIPAA)

Converged Security Capabilities

Security Initiativen

Kritische Daten und geistigesEigentum schützen


Business Challenges• Kürzlich G-Suite implementiert,

daher müssen die Compliance Maßnahmen in die Cloud Applikation mitübertragenwerden

• Hatten bereits einenDatenvorfall, daher sindVisibilität und Möglichkeitengegen Datenverlust erwünscht

Ergebnisse• Einheitliche Durchsetzung sämtlicher

Richtlinien über ein Management• Incident Risk Ranking zeigt riskantes

Verhalten in Echtzeit, so kann Hilfeangeboten werden

• Human-Centric Approach: Fokus auf entity behavior, voll integriert, weitere und komplexere Use Cases können aufgenommen werden


Energie Sektor: Stopping Insider Threats

• Verhindert Datenmissbrauch durchInsider oder über kompromittierteWork Stations

• Schützt vor Sabotage und einhergehende finanzielle Schäden

• Schutz der Wertschöpfungskette

Converged Security Capabilities

Security Initiativen

Workforce and Supply Chain Protection


Business Challenges• Muss wissen wie Mitarbeiter und

Partner mit sensiblen Dateninteragieren, um Datendiebstahlzu verhindern

• Erfordert die Fähigkeit, riskanteSzenarien lückenlos zu verstehen um Absichten nachweisen zukönnen.

Ergebnisse• Verhaltensanalyse in Echtzeit, Big

Picture, automatischeVerteidiungsmaßnahmen des Systems

• Sichtbarkeit von weiteren Beteiligten, umfassende Beweisführung


Risk-Adaptive In Action: Stop Data Exfil By A Malicious Insider

Director (Heinz) München, BY

Montag21. Januar, 10 Uhr

Dienstag22. Januar, 13 Uhr

Mittwoch30. Januar, 9 Uhr

Samstag9. Februar 6 Uhr

Risk Score: 30 Risk Score: 50 Risk Score: 80 Risk Score: 95

Arbeitet im Urlaub Remote Zugriff und Änderung der UserID Kopierversuch der neuenDaten auf USB

Datenkopien erstellt

+ Additional Context

Risk-Adaptive Protection

Keine Maßnahmen aktiviert


Videoaufzeichnung aktivert

Beweise für spätere Untersuchung verfügbar


Kopieren erlaubt, Daten

automatisch verschlüsselt

vertraulichen Daten in Gefahr


Aktion blockiert & Account von Heinz gesperrt

Datenverlust verhindert und Beweisegesichert, dass Heinz ein Angreifer ist

+ Additional Context + Additional Context + Additional Context



Totale Überwachung?

Das Unternehmen selbst entscheidet4-Augen-Prinzip

MandantenfähigDaten sind maskiert

Machine-to-machinePolicies

I am your greatest

asset.

I am your greatest risk.


COMPLETE ENDPOINT PROTECTION

Storage

Web Email FTPUSB/DVDRemovable Media

Active Sync

Instant Message

Printers – Local & Network

Cloud Services & Applications

DLP AGENT

THE HUMAN POINT SYSTEM IN ACTION

FORCEPOINT UEBA MONITORING CAPABILITIES

tiefgehende Forensik– Endpoint zu Network Fingerprinting

– Online und Offline Monitoring

– Integration mit Forcepoint DLP

ApplicationGeneral

Clipboard Email File

Keyboard Logon Printer Process

System Info Video Web Search

Detaillierte Beobachtung der User Credentials

We deliver: Workshop briefings ~ 6 hours to jump-start teams; inform stakeholders

Workshops for executive sponsors, and cross-functional team members

The workshop consists of five hours of presentations:• Insider Threat Basics (1 hour)• Best Practices of Successful Insider Threat Programs (2 hours)• Best Practices Controls for Mitigating the Insider Threat Risk (2 hours)• Key Steps to Getting the Program Started (1 hour)

Vulnerability Assessment

HPS User and Data Security Design

HPS User and Data Security Development

Operations

Workshops

Copyright 2018 Forcepoint

CONSULTING SERVICESCONSULTING SERVICES


Ich bin deingrößtes

Sicherheitsrisiko

ICH BIN DEINE BESTE VERTEIDIGUNG

HUMAN CENTRIC CYBER SECURITY

[email protected]


Schönheit kommt von innen – das Böse auch Human-Centric ...€¦ · • Human-Centric Approach:...

Documents

Transcript of Schönheit kommt von innen – das Böse auch Human-Centric ...€¦ · • Human-Centric Approach:...