Security Moves Fast It needs to!
Richard van der Graaf Security consultant - CISSP
Uw netwerk- en communicatiespecialist
Appetizer
CVE-2014-6271 Bash Code Injection
https://www.us-cert.gov/ncas/current-activity/2014/09/24/Bourne-Again-Shell-Bash-RemoteCode-Execution-Vulnerability
Verandering, beleving en … nieuwe uitdagingen
The Ongoing Race : Good Guys vs Bad Guys
Uitdagingen te overwinnen Malware, threats, botnets etc Bugs, Vulnerabilities Het gebruik van mobiele devices, de apps en de content
Virtualisatie, Cloud. Waar staat de data? Hackers blijven vindingrijk en de aanvallen geavanceerder Apps zijn de business enablers. Snelle uitrol is belangrijk Hoe blijft de ICT organisatie bij de tijd? Hoe overwin je IT Silo’s Meer met minder: FTE’s en budgetten onder druk
Threats: steeds geavanceerder en groeiend Malicious spam (targeted) Java, Flash & PDF exploits
100,000+ malware variants daily 2010
50,000 known viruses
1,300 known viruses
2004
2007
1997
VIRUSES AND WORMS
2014
ADWARE AND SPYWARE
DDOS APTS
RANSOMWARE HACTIVISM STATE SPONSORED INDUSTRIAL ESPIONAGE NEXT GEN APTS (MASS APT TOOLS) UTILIZING WEB INFRASTRUCTURES (DWS)
Type of Threats
Know Knows
Know Unknowns
Unknown Unknowns
Threats we know we know
Threats we know we don’t know
Threats we don’t know we don’t know
?
De aanval en onze reactie: Tijd moet korter. Attacker Surveillance
Attack Begins
Attack Set-up
Target Analysis Access Probe
System Intrusion
Discovery/ Persistence
Cover-up Starts
Leap Frog Attacks Complete Cover-up Complete Maintain foothold
TIME ATTACKER FREE TIME Need to collapse free time
TIME
Physical Security
Monitoring & Controls Threat Analysis
Attack Forecast Defender Discovery
Containment & Eradication Incident Reporting
Attack Identified
Impact Analysis
Response Recovery
Damage Identification
System Reaction
Source: NERC HILF Report, June 2010 (http://www.nerc.com/files/HILF.pdf)
Reactietijd is kritisch
• De tijd tussen een zero-day aanval (bijvoorbeeld Heartbleed), het bekend worden en de dag dat de fabrikant een patch uitbrengt, wordt steeds kritischer • Een lek moet zo snel mogelijk worden opgelost of op een andere manier worden verholpen • Multi-Layer Security architectuur
• Wat zijn de maatregelen en tools om de hacker minder speeltijd te geven? • Wat zijn de maatregelen en tools om die reactietijd te verlagen?
Hoe hacker-free-time en ICT reactietijd te verlagen? De basis • Beleid en visie • Bewustzijn (awareness) • Zorg voor regulier technologie update • Zorg voor preventie maatregelen die direct toepasbaar zijn De vervolgstap • Stel een security team samen • Procedures en draaiboeken • Werk vanuit een architectuur/raamwerk • Zorg voor monitoring & response tools • Voeg intelligentie toe
Waar staat mijn organisatie op ICT Security? SOC Incident Response Protect critical assets Calculate IT Risks Compliancy plays a part in decisions Technical Prevention measures
Tick in the box
Standard controles
MATURITY LEVEL
Business continuity
Allign with business risk
Technology update
Architecture: Software Defined Protection Security: Secure, Agile, Modular, Manageble, Proactive, Intelligence
MANAGEMENT LAYER Integrates security with business process CONTROL LAYER Delivers real-time protections to the enforcement points ENFORCEMENT LAYER Inspects traffic and enforces protection in well-defined segments
Enforcement layer • Next Gen Firewalling / IPS • • • • •
Perimeter en Core/datacenter North-South bound / East-West bound FW, VPN, IPS, Identity, Application aware Context aware Virtualisatie
• Application Delivery • • • • •
Smart loadbalancing Application Security - WAF SSL Offloading DDoS protection Virtualisatie
• The Network • Segmentatie / Security zones • Tagging • Network behaviour Analyses (NBA)
September 2014
Enforcement Points op de juiste plek Zonering/segmentatie Firewalls IPS
Content scanner Application Delivery Controllers Access Control
Virtualisatie
Architecture: Cisco ACI met F5 ADC
New
F5 DEVICE PACKAGE FOR APIC
ACI Fabric
Programmability (iRule/iApp/iControl) Data Plane
Control Plane
Management Plane
F5 Synthesis Fabric
Virtual Edition
Appliance
Chassis
• Application Agility – Any where, Any time, Physical and Virtual • Rapid Deployment of Applications with Scale and Security • Application-centricity to Visibility and Troubleshooting • Open Source Application Policies • Common Operational Model through Open APIs
KNOWN
Control Layer: Multi-Layer threat defense
Antivirus
UNKNOWN
IPS
Blocks download of files infected with known malware
Stops exploits of known vulnerabilities
Anti-Bot
Prevents bot damage from infected devices
Threat Emulation
Stops unknown zero-day malware in files
Bescherming tegen ‘Zero-day Exploits’
New
Threat Emulation INSPECT
EMULATE
SHARE
PREVENT Sec urity Gat ewa y
Herschikken van maatregelen, mensen en budgetten
Security today Monitoring 15%
Intelligence-driven security
Response 5%
Prevention 33%
Prevention 80%
Monitoring
Response
Monitoring 33%
Response 33%
Prevention
Monitoring
Response
Prevention
Management Layer: Dashboards: Live views!
• Customizable dashboards • Big Data Threat Detection in seconds • Full monitoring • Customizable reports • Per role reports
New
Next Gen SmartEvent R80 Detecteren van dreigingen in real time
Security Intelligence • Security zelf bijhouden is vaak niet meer te doen • Security Intelligence from the Cloud • Cisco SIO (Security Intelligence Operations) • Check Point Threatcloud IntelliStore • RSA Live Intelligence
• “Translating intelligence to protections for Security Gateways”
New
Network Behaviour Analysis (NBA) • Inzicht! Wat gebeurt er op mijn netwerk? • Statistieken waarmee afwijkend netwerkgedrag kan worden gevonden • Verzamelen van ‘bewijsmateriaal’ bij incidenten • Flow Monitoring
Samengevat
Security is here to stay!
Implementeer de basis maatregelen Stay up-to-date : technologie en kennis Reactietijd is kritischer dan ooit Monitoring en detectie als essentieel beveiligingsonderdeel Bouw volgens een architectuur voor optimale integratie Gebruik de kracht van Security Intelligence Clouds Kostenbesparing door automation (ACI)
Interessante Security Reports Cisco Annual Security Report 2014 http://www.cisco.com/web/offers/lp/2014-annualsecurity-report/index.html
Check Point Security Report 2014 http://www.checkpoint.com/campaigns/2014-securityreport/
Verizon Data Breach Investigation Report 2014 http://www.verizonenterprise.com/DBIR/2014/
Vragen?
Uw netwerk- en communicatiespecialist
Einde presentatie Deze presentatie komt beschikbaar via de Vosko Website
[email protected]
Uw netwerk- en communicatiespecialist
