Dalibor Kačmář 21. 9. 2015
200+
75%+
$500B $3.5M
Průměrný počet dní, které útočník stráví v síti oběti, než je detekován
všech průniků do sítí se stalo díky úniku přihlašovacích údajů
celková odhadovaná škoda způsobená kybernetickým zločinem na globální ekonomiku
průměrná hodnota uniklých dat z firmy
Současné kybernetické útoky : Využívají zcizených uživatelských přihlašovacích údajů Používání legitimních IT nástrojů více než malware – obtížnější detekovat Zůstanou v síti v průměru 8 měsíců než jsou detekování Způsobují významné finanční ztráty, dopad na reputaci značky, ztrátu citlivých dat, výměnu vedoucích pracovníků, …
Today’s cyber attackers are: Využívají zcizených uživatelských přihlašovacích údajů Používání legitimních IT nástrojů více než malware – obtížnější detekovat Zůstanou v síti v průměru 8 měsíců než jsou detekování Způsobují významné finanční ztráty, dopad na reputaci značky, ztrátu citlivých dat, výměnu vedoucích pracovníků, …
Today’s cyber attackers are: Využívají zcizených uživatelských přihlašovacích údajů Používání legitimních IT nástrojů více než malware – obtížnější detekovat Zůstanou v síti v průměru 8 měsíců než jsou detekování Způsobují významné finanční ztráty, dopad na reputaci značky, ztrátu citlivých dat, výměnu vedoucích pracovníků, …
Today’s cyber attackers are: Využívají zcizených uživatelských přihlašovacích údajů Používání legitimních IT nástrojů více než malware – obtížnější detekovat Zůstanou v síti v průměru 8 měsíců než jsou detekování Způsobují významné finanční ztráty, dopad na reputaci značky, ztrátu citlivých dat, výměnu vedoucích pracovníků, …
Tradiční IT security řešení jsou typicky: Komplexní
Skon k falešně pozitivnímu
Navrženy k ochraně perimetru
Počáteční nastavení, vyladění, vytvoření pravidel a thresholds/baselines může trvat dlouhou dobu.
Obdržíte příliš mnoho reportů během dne s řadou falešně pozitivních identifikací, které vyžadují dlouhou dobu k prozkoumání.
Jakmile uživatelské údaje zcizeny a útočník je v síti, současná ochrana poskytuje omezené možnosti.
Lokální řešení pro identifikaci pokročilých bezpečnostních útoků dříve než způsobí velké škody
Analogie:
Společnosti vydávající kreditní karty monitorují chování držitelů karet.
Pokud detekují abnormální aktivitu, informují držitele karty nebo chtějí potvrzení.
Microsoft Advanced Threat Analytics přináší tento přístup od IT a k uživatelům organizací.
Lokální řešení pro identifikaci pokročilých bezpečnostních útoků dříve než způsobí velké škody
Analytika chování
Detekce známých útoků a problémů
Advanced Threat Detection
Rychle detekujte ohrožení analýzou chování
Není nutné vytvářet pravidla a politiky, nasazovat agenty nebo monitorovat záplavu bezpečnostních reportů. Inteligence je připravena pro analýzu a průběžné učení.
Přizpůsobujte se tak rychle jako vaši nepřátelé
Zaměřte se na nutné kroky pomocí časové osy útoku
ATA se průběžně učí jak se chovají entity (uživatelé, zařízení a zdroje) v organizaci a přizpůsobuje se tak, aby reflektovala změny v rychle měnících se organizacích.
Časová osa útoku je jasným, efektivním a výhodným zdrojem, který poskytuje jasné informace v čase a dává perspektivu „kdo-co-kdy-jak“. Také dává návody jak dále postupovat.
Redukujte vysílení při zkoumání falešně pozitivního
Alert nastane pouze tehdy, když se podezřelé aktivity dají do kontextu, nikoli pouze porovnáním chováním entity v čase, ale i s profilem a chováním dalších entit a jejich interakcí v čase.
Proč Microsoft Advanced Threat Analytics?
Je rychlý
Učí se a přizpůsobuje
Poskytuje jasnou informaci
Vyhlašování skutečných ohrožení
Key features
Podpora mobility
Monitoruje všechna přihlášení a autorizace k organizačním zdrojům uvnitř firemního perimetru nebo na mobilních zařízeních
Integrovaný se SIEM
Snadné nasazení
Analyzuje události ze SIEM pro obohacení časové osy útoku
Software běží na hardware nebo virtuálně
Funguje nezávisle na SIEM
Dává možnost zasílání bezpečnostních alertů zpět do SIEM nebo formou e-mailů definovaným lidem
Používá port mirroring pro jednoduché nasazení společně s AD
Neintruzivní, nemá vliv na existující síťovou topologii
1 Analýza
Po instalaci: • Jednoduchý neintruzivní port mirroring konfigurace kopíruje všechen provoz na Active Directory • Zůstává skrytý před útočníky • Analyzuje veškerý síťový provoz Active Directory • Shromažďuje relevantní události ze SIEM a informace z Active Directory
2 Učení
ATA: • Automaticky začne s učením s profilováním chování entit • Identifikuje normální chování entit • Průběžně se obnovuje vzory chování uživatelů, zařízení a zdrojů
Co je entita? Entita reprezentuje uživatele, zařízení nebo zdroj
3 Detekce
Microsoft Advanced Threat Analytics: • Hledá neobvyklé chování a identifikuje podezřelé aktivity • Reaguje pouze tehdy, pokud dávají neobvyklé aktivity kontextuálně smysl • Využívá bezpečnostní výzkum pro detekci bezpečnostních rizik a úroků v téměř reálném čase na základě Taktik, Technik a Procedur (TTP) útočníků.
ATA neporovnává chování entit pouze se sebou samými, ale i s chováním ostatních entit během doby.
4 Poplach ATA reportuje všechny podezřelé aktivity ona jednoduché, funkční a akční časové lince
ATA identifikuje Kdo? Co? Kdy? Jak?
Pro každou podezřelou aktivitu ATA poskytuje doporučení pro další zkoumání a nápravu
Bezpečnostní problému a rizika
Porušená důvěra Slabé protokoly Známé zranitelnosti protokolů
Úmyslné útoky
Pass-the-Ticket (PtT) Pass-the-Hash (PtH) Overpass-the-Hash Forged PAC (MS14-068)
Golden Ticket Skeleton key malware Reconnaissance BruteForce
Neobvyklé chování
Neobvyklé přihlášení Vzdálené spuštění Podezřelé aktivity
Neznámá ohrožení Sdílení hesel Lateral movement
Topologie
www.microsoft.com/ata www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics
[email protected]
