Pro zveřejnění
ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi
Ivan Svoboda | Business Development Manager, ANECT
Souhrn
Stávající přístupy k prevenci a detekci útoků NESTAČÍ (BEFORE a DURING) Měli bychom počítat s tím, že „ÚTOČNÍK UŽ JE UVNITŘ“ Je potřeba posílit nástroje typu „Breach Detection“ (AFTER) Řešení: CISCO Cognitive Threat Analytics (CTA) + Služby SOCA
Poznatky z praxe?
15.2.2016
Pro zveřejnění
Popis kontextu
The Cyber Kill Chain* Timeline
Intrusion Pre-Infection
Action and 7 Objectives
5 Installation
3 Delivery
*Based on Lockheed Martin’s Cyber Kill Chain
6 &Command Control
4 Exploitation
2 Weaponization 1Reconnaissance Preparation Pre-Infection
Months
Seconds
Hours to Months
Active Breach Post-Infection
Fáze kybernetického útoku vs. dopady Dopady
Preparation Phase
Recon
15.2.2016
Weaponize
Intrusion Phase
Deliver
Exploit
Active Breach Phase
Install
Pro zveřejnění
Command & Control
Breach Detection & Incident Response Act
Fáze kybernetického útoku vs. obrana
BEFORE
DURING
AFTER
Discover Enforce Harden
Detect Block Defend
Scope Contain Remediate
Preparation Phase
Recon
15.2.2016
Weaponize
Intrusion Phase
Deliver
Exploit
Active Breach Phase
Install
Pro zveřejnění
Command & Control
Breach Detection & Incident Response Act
Fáze kybernetického útoku vs. obrana 99 % IPS AV URL filter AntiSpam
99 % Endpoint hardening User awareness
Malware Detection
Preparation Phase
Recon
15.2.2016
Weaponize
Intrusion Phase
Deliver
Exploit
Active Breach Phase
Install
Pro zveřejnění
Command & Control
Breach Detection & Incident Response Act
Jak jste na tom VY? Kdo z vás úspěšně blokuje 0-Day Malware? Kolik procent?
Breach Detection
Preparation Phase
Recon
15.2.2016
Weaponize
Intrusion Phase
Deliver
Exploit
Active Breach Phase
Install
Pro zveřejnění
Command & Control
Breach Detection & Incident Response Act
Breach Detection – cíl a úspory Dopady
Preparation Phase
Recon
15.2.2016
Weaponize
Intrusion Phase
Deliver
Exploit
Active Breach Phase
Install
Pro zveřejnění
Command & Control
Breach Detection & Incident Response Act
Breach Detection – metody Anti-Bot
CISCO CTA
Web GW
Endpoint Anomaly Detection
SIEM
Preparation Phase
Recon
15.2.2016
Weaponize
Intrusion Phase
Deliver
Exploit
Active Breach Phase
Install
Pro zveřejnění
Command & Control
Network Behavior Analysis
Breach Detection & Incident Response Act
CISCO Cognitive Threat Analytics (CTA)
There’s a new cyber-threat reality
Your environment will get breached
You’ll most likely be infected via email
Hackers will likely command and control your environment via web
CTA on Cisco Web Security (CWS / WSA)
Talos
After Web Reputation
Application Visibility & Control
Webpage www.website.com
AntiMalware
File Reputation
Outbreak Intelligence
Dynamic Malware Analysis
File Retrospection
Cognitive Threat Analytics
Management
Admin
Reporting CTA
Web Filtering
Allow
Warn
Block
STIX / TAXII (APIs)
Partial Block
Cognitive Threat Analytics For CWS, WSA, and External Telemetry Web Access Logs (input telemetry)
Web Security Gateways
Cisco CWS (Cloud Web Security)
Breach Detection & Advanced Threat Visibility
CTA a-la-carte ATD bundle = CTA & AMP WSP bundle = CWS & ATD
Incident Response
Cisco WSA (Web Security Appliance) CTA a-la-carte
CTA
Web Security Gateways
HQ
CTA CTA
Cloud
HQ
Cisco Cognitive Threat Analytics (CTA)
External Telemetry (BlueCoat Sec. GW) CTA a-la-carte Threat Alerts
Confirmed Threats Detected Threats STIX / TAXII API
SIEMs: Splunk, ArcSight, Q1 Radar...
Pomůžu vám s bezpečností vaší ICT infrastruktury
15.2.2016
Pro zveřejnění
popis služeb
15.2.2016
Pro zveřejnění
SOCA služby: 4 fáze „mám to pod kontrolou“
REAKCE
„vidím“
DETEKCE
„doufám“
PREVENCE
PREDIKCE
15.2.2016
„vím co mi hrozí“
Pro zveřejnění
SOCA služby: 4 fáze REAKCE
DETEKCE
PREDIKCE
PREVENCE
REAKCE
DETEKCE
PREVENCE
PREDIKCE
15.2.2016
Pro zveřejnění
SOCA služby: 4 fáze SOCA Scany
Analýzy rizik
Karanténa
Konfigurace PREDIKCE
PREVENCE
Blokace
REAKCE
DETEKCE
Analýza incidentů
Náprava
15.2.2016
Monitoring
Pro zveřejnění
scany
SOCA Scany - přehled
15.2.2016
Pro zveřejnění
CTA + SOCA Cisco CTA Web Access Logs
SOCA
Breach Detection
SOCA Threat Alerts
Web Security Gateways (web proxy)
Immediate Response •
15.2.2016
Pro zveřejnění
Who? What? • Quarantine • Block
Full Response •
Forensics • Change • Recovery
Jak úspěšně blokujete pokusy o průnik? Kdo z vás úspěšně blokuje 0-Day Malware? Jak rychle zjistíte, že „něco“ prošlo?
Kolik nakažených počítačů je ve Vaší síti? Nabídka č.1: SOCA Scan: Měření 0-Day Malware Nabídka č. 2: SOCA + CTA: Breach Detection Vyplňte dotazník, přijďte na stánek …
Potřebujete pomoc s kybernetickou bezpečností? Chcete zjistit, co konkrétně vám hrozí ?
Potřebujete technologie, procesy, role, lidi ?
Chcete trvale vidět, rozumět a reagovat ?
?
Pro zveřejnění
