damballa automated breach defense for sales
TRANSCRIPT
Automated Breach
Defense
Damballa Representative:
Khiem Bui
Sales Engineer
HTech Holding Ltd.
Advanced Persistent Threat (APT) là gì?
Advanced: kết hợp nhiều loại công cụ và phương pháp để thỏa hiệp và tấn công hệ thống.
Persistent: cuộc tấn công được thực hiện thông qua giám sát liên tục và tương tác để đạt đượcmục tiêu. Cách tiếp cận chậm và thường diễn ra trong khoảng thời gian dài.
Threat: Những kẻ thực hiện tấn công có mục tiêu cụ thể, có động cơ rõ ràng, hầu hết là nhữngchuyên gia lành nghề và được hỗ trợ bởi chính phủ hoặc có thể là một tổ chức nào đó.
Tóm lại:
APT Là những cuộc tấn công có tổ chức nhằm vào các lĩnh vực có giá trị cao như quốc phòng, sản xuất và tài chính.
Làm thế nào để tấn công một lổ “thủng” trong một tổchức
Mục đích: đánh cắp thông tin (e.g. thông tin thẻ tín dụng, mật khẩu , thông tin thanh toán trựctuyến, thông tin quân sự, quốc phòng, những thông tin nhạy cảm khác.)
Thời gian: một tháng hoặc nhiều hơn.
Cách làm:
1. Tìm hiểu thông tin về hoạt động của tổ chức và thông tin của khách hàng.
2. Sử dụng các kỹ thuật phishing, social engineering hoặc các kỹ thuật khác để thực hiện tấncông khi tìm thấy mục tiêu cần tấn công.
3. Thực hiện tấn công mà các hệ thống thông thường như anti-malware, IPS (intrusion prevention system) và firewall không thể phát hiện được .
Type of customer People who work there
The role of targeted peopleWho have access
to critical information
Làm thế nào để tấn công một lổ “thủng” trong một tổchức
Cách làm:
4. Malware sẽ vẽ biểu đồ về hệ thống mạng và cách tổ chức phòng thủ của tổ chức để lên kếhoạch tấn công trong tương lai.
5. Một khi có được thông tin ( tài khoản, mật khẩu, …) của người quản trị cấp cao thì có thể truycập vào hệ thống máy chủ .
Tại sao Automated Breach Detection là quan trọng?
• Phần lớn những người làm an ninh bảo mật trong tổ chức không chắcchắn 100% rằng hệ thống của họ hoàn toàn an toàn trước những cuộctấn công.
• Những giải pháp chống tấn công ví dụ như anti-virus, firewall, IPS, sandbox không thể ngăn chặn những cuộc tấn công mà họ chưa nhìnthấy trước đây.
• Khi tổ chức của bạn bị tấn công bởi Advance Persistent Threat hay advanced malware, thì bạn cũng không biết rằng liệu hệ thống của bạncó bị kiểm soát bởi hacker hay không.
Automated Breach Detection có thể làm được gì?
• Phát hiện thực tế lây nhiễm khi hệ thống chống tấn công bị lỗi.
• Đưa ra phản hồi điều tra chi tiết các hành động mà bạn có thểthực hiện ngay lập tức.
• Hạn chế cảnh báo sai và tránh lãng phí thời gian.
• Đo lường hiệu quả kiểm soát của hệ thống tấn công.
Case Study
How Damballa helps (base on case study in U.S.)
An U.S.-based financial services institution that offers lines of credit, loans and investment banking services, are usually targeted by attackers to exploit their data.
Problem faced: Despite having a highly robust security environment, including application firewalls, network-based malware sandboxing, next-gen firewalls and IPS, host AV and application whitelisting, among other technologies, the organization still saw confidential information being stole from their environment.
“But we had some indication that credit card numbers were leaving our environment. We knew there was some command-and-control activity, but we couldn’t see down to the host level to stop it.” Said the company’s security architect.
Like many organizations today, the financial services institution found that traditional security gateway technologies like IPS and firewalls do not prevent advanced persistent threats (APTs) from entering the network, and becoming a breach.
How Damballa helps (base on case study in U.S.)
Solution: With a preliminary research, Damballa discovered suspicious network behaviour, corroborateevidence of an attack and prioritize remediation efforts-based on risk.
“Failsafe provides a level of visibility that I’ve never had before. I don’t have to try to guess at the effectiveness of my security architecture anymore. It used to be this huge blind spot. I knew there was stuff in there, but I couldn’t see it. Damballa has a significant unique detection rate, showing me compromises that none of my other systems are seeing, and providing me a valid evidence that a device truly has been compromised,” said the company’s security architect.
How Damballa helps (base on case study in U.S.)
Result: Better Men Power AllocationBefore implementing Damballa Failsafe, the incident response team was “crazy busy all the time,”. “Now the team has time to work on strategically more significant projects, like improving the incident response process.” Said the security architect
Save Time“Failsafe is incredibly user friendly day-to-day. I just pop into the assets view, look at what’s gone off in the last 12 hours and send anything really nasty off to the incident response team. What used to take all day now takes me about an hour, maybe two at most,” said the company’s threat researcher.
Measures Effectiveness Of Security Control.The organization has also improved its audit findings, which is extremely important in a highly regulated industry. “Our auditors are happy, because Failsafe provides a good crosscheck across all of the security recommendations they’ve made in the past,” said the security architect.
How Damballa helps (base on case study in U.S.)
Những thiệt hại về Tài chính
12
32 daysAverage time to resolve a
known cyber attack
$1.04MAverage total cost to the
organization over 32 days
63%Of enterprises say it’s only a
matter of time until they’re
targeted by APT
Những thiệt hại về Nhân lực
13
86%Of CISOs say lack of confidence
in ability to manage risk is due to
staffing
81% Of security leaders say staffing
challenges will remain the same
or get worse over next 5-10 years
2/3’sOf CISOs say they are short-
staffed and therefore
vulnerable to breaches
Kiến trúc công nghệ bảo mật cũ
Prevention Detection ResponseForensics
ATTACK INFECTION DAMAGE
INFECTION RISK BUSINESS RISK
Firewall
IDS/IPS
Web Security
Email Security
Sandboxing
Host AV/IPS/FW
Resource intensive, inefficient manual
investigation efforts.
“Is this alert real or a false positive?”
ALERT & LOGS
SOC
SIEMSingle Pane of Glass
Kiến trúc công nghệ bảo mật mới
Prevention Detection ResponseForensics
ATTACK INFECTION DAMAGE
INFECTION RISK BUSINESS RISK
NGFW
Endpoint Containment
Sandboxing
Email Gateway
ALERT & LOGS
SOC
SIEMSingle Pane of Glass
LEGACY
Host AV/IPS/FW
Damballa fills the
security gap
between failed
prevention and
your incident
response
Damballa: Automated Breach Defense
› Tự động xácđịnh mối đe dọa.
› Chắc chắn
Bất kể malware
đó là loại nào,
sự lây nhiễm đó
đến từ đâu, từ
trước đến giờ
Về mặt quản trị:
Nhanh chóng và
giảm thiệt hại tức
thì
Loại bỏ mối đe dọa
cho doanh nghiệp
Chống lại lổ thủng trong tổ chức của bạn
Đi đầu trong công nghệ Big Data và Machine Learning đốivới an ninh thông tin
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 17
55% / 35%of North American internet /
mobile data traffic each day
8 Trillionrecords of passive DNS
processed into our Hadoop
clusters annually
visibility = insights into threat actor trade craft and techniques
17
440M devicesconnected to internet, mobile and
enterprise networks feed our
DNS systems
Công thức – Xu hướng phân tích bảo mật
Công thức cho sự cải tiến và đổi mới sản phẩm
Global ISPs
& Telcos,
Academic &
Industry
Partnership
Công nghệ phân tích
Case Analyzer Platform
Kết nối
Truy vấn
• Các thỏa hiệp
• Các mối đe dọa xảy ra/
ý nghĩa của nó
File
Request
• Zero Day Files
• Nội dung HTTP đáng
ngờ
Các truy vấn Domain
Tự động hóa
Thực thi
Peer-To-Peer
• Phân tích mã độc tự động
• Quan sát các biến thể
Dữ liệu truyền Bắt gói Giao tiếp thành công Mã độc có sẵn Chuỗi sự kiện Thiết bị đầu cuối quan trọng Thực tế của mã độc Mức độ nghiêm trọng Phạm vi của anti-virus
Thiệt hại tiềm ẩn
• Quan sát
• Thuộc tính của thiết bị
• Mối đe dọa phức tạp
• Mục đích đe dọa
9 Risk
Profilers
Mức độ ưu tiên rủi ro
nếu xảy ra các lây
nhiễm
8 Detection
Engines
Phát hiện nhanh
chóng & xác định
các lây nhiễm đang
tồn tại
19
Tại sao lại chọn Damballa
20
Tại sao lại chọn Damballa
- Network - Bằng cách phân tích lưu lượng mạng bên trong và bên ngoài, giải pháp này có thể cho biết
được các thiết bị đầu cuối bị tổn hại. Ưu điểm của kỹ thuật này là nó không yêu cầu phải cài đặt agent
tại thiết bị đầu cuối. Thông qua Traffic trong mạng cho phép phát hiện các thiết bị đầu cuối và hệ điều
hành có bị tấn công hay không.
- Payload - phương pháp này sử dụng một sandbox (một nơi bị cô lập, môi trường giả lập) để quan sát
hành vi của payload trong khi chuyển động (khi qua các vành đai mạng) và những cờ mà nó nghi ngờ.
Ví dụ về payload: PDF, EXE, DLL, Office, ZIP, Flash, JavaScript, và các đối tượng HTML, mặc dù không
phải tất cả các vendor đều có khả năng phân tích từng loại payload. Nhưng với một số giải pháp, các
agent ở thiết bị đầu cuối cũng có thể gửi các tập tin và thực thi vào sandbox.
- Endpoint - Cách tiếp cận này cung cấp các thông tin chi tiết nhất về cách thức thiết bị đầu cuối đã bị
ảnh hưởng bởi Malware và ATA, nhưng nó đi kèm với chi phí hoạt động thực hiện và quản lý các agent
cài trên thiết bị đầu cuối.
21
Tại sao lại chọn Damballa
- Style 1 – Network Traffic Analysis: bao gồm Arbor Networks, Damballa, Fidelis, Lancope và
Sourcefire.
- Style 2 – Network Forensics: bao gồm Blue Coat and RSA.
- Style 3 – Payload Analysis: bao gồm AhnLab, CheckPoint, FireEye, Lastline, McAfee, Palo Alto
Networks, ThreadGrid và TrendMicro.
- Style 4 – Endpoint Behavior Analysis: bao gồm Blue Ridge Networks, Bromium, Invincia,
Sandboxie, Trustwave, Cyvera, ManTech/HBGary, RSA và Triumfant.
- Style 5 – Endpoint Forensics: bao gồm Bit9, Carbon Black, Guidance Software, Mandiant và
ManTech/HBGary.
- Prefer: http://www.gartner.com/technology/reprints.do?id=1-1IS72Q5&ct=130823&st=sb
- https://www.damballa.com/fireeye-competition/
22
Khách hàng của Damballa là ai?
• Thông tin có giá trị (e.g. thông tin thẻ tín dụng, thông tin quốcphòng, thông tin của các giao dịch online, v.v...)
• Ngân hàng, Công ty Viễn Thông, Chính Phủ và những kháchhàng có sử dụng hệ thống SIEM.
Kiến trúc Damballa Failsafe
24Hub & Spoke | 1 U Appliances | Out of Band
Damballa Failsafe
Data Center Corporate HQ
Data Center Remote Office
Data Center / Office
Sensor Sensor
Backhaul
Sensor
Management Console
Egress
Proxy
DNS
Pro
xy
DN
S
Egre
ss
Traffic Monitored by Sensor
Thống kê về hiện trạng an toàn thông tin
Thông tin quan trọngđược trình bày ở Dashboard khi đăngnhập
Dashboard Assets Files Reports System Threats
Damballa Failsafe 5.2Welcome Admin
My Account | Help | Logout
Báo cáo
Báo cáo
Tại sao chúng tôi được chọn
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 28
Enrich
Tích hợp với những công cụ khác
có sẵn trong hệ thống như SIEM
Platform
Được thiết kế dựa trên dữ liệu
khoa học và kỹ thuật nhằm mục
đich phát hiện nhanh chóng hệ
thống bị lây nhiễm
Partnership
Hợp tác với khách hàng để bảo
vệ và tối ưu hóa tài nguyên
Fill Security Gap
Doanh nghiệp thiếu các kiểm
soát
28
Tăng giá trị thông qua việc tích hợp
Enrich, Correlate viaSIEM & Forensics Block & Inform from Network to Endpoint Accelerate & Prioritize Response
Damballa discovers with certainty & delivers evidenceso customers can pivot to…
Damballa chuyển giao cho khách hàng
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 30
Thích ứng
Cho phép cải tiến các chính sách
bảo mật và các kiểm soát an toàn
thông tin
Tối ưu tài nguyên
Tập trung vào những công cụ ở
mức cao
Quản lý danh mục
đầu tư
Đo lường hiệu xuất của giải pháp
phòng ngừa
Phản hồi nhanh
chóng
Tự động phát hiện, xác nhận và
đưa ra độ ưu tiên đối với các lây
nhiễm được xác định
30
Summary
Damballa uses a case analyzer to monitor the characteristics of endpoints and their communications over time. The case analyzeruses multiple clues such as: how automated the communications are; whether evasion techniques are used; the frequency of communications; who the endpoint is communicating with; and the content of communications.”
Source: New Stratecast | Frost & Sullivan Analysis Cites Damballa As Complete Botnet Detection Solution
Reference link: http://finance.yahoo.com/news/stratecast-frost-sullivan-analysis-cites-130100366.html
Thank you
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA