Udobna vožnja kroz mrežni saobraćaj uz Vectra(AI)

Jasna Miletić

Put unapređenja security-a u enterprise

okruženjima

Antivirus & endpoint security

• Sophos

• Trend Micro

• Checkpoint

• McAffee

Firewall & network security

• Check Point

• Fortinet

• F5

• Trend Micro

Log collection & SIEM

• ArcSight

• McAfee

• Vmware Log/Network Insight

Human risk (IAM & PAM)

• WALLIX

• CyberArk

• Okta

APT and zero-day protection

• Checkpoint

• Trend Micro

• Threat Intelligencesubscriptions

AI-baseddetection

and reaction automation

Vozimo se u začaranom krugu

Put kompromitovanja

Širenje

na druge

sisteme

Inicijalni

napad

Učvrstiti

prisutnost i

učenje

Sken

lokalne

mreže

Sken

domena

Lociranje

ključnih

tačaka

Kompro-

mitovanje

DC-a

Ulaz u

data

centar

Istraživanje

data centra

Izvlačenje

podataka

IDS/IPS

● Dobar alat za detekciju

poznatih pretnji

● Nekoliko 1000 signatura

● Mnoge signature su po

defaultu ugašene

● Zahteva redovan pregled

novih signatura

● Nemogućnost detekcije

zero-day napada

Detekcija nepoznatih pretnji

Vidljivost

Tačnost detekcije (nizak false positive)

Uvid u ceo tok napada

IDSBaziran na signaturama

Nemogućnost

detekcije novih pretnji

Tačnost

Netflow

● Dobar alat za statistiku i

detekciju izvesnih pretnji

● Nepotpuna vidljivost (L3-L4)

● Najčešće se koristi kada je

već poznato da se odigrao

napad

● Velika količina logova

Detekcija nepoznatih pretnji

Vidljivost

Tačnost detekcije (nizak false positive)

Uvid u ceo tok napada

IDSBaziran na signaturama

Nemogućnost

detekcije novih pretnji

Tačnost

Mogućnost detekcije anomalija

Previše logova, previše false

positiva

NetFlow

SIEM

● Moćan alat za detekciju

napada duž sistema – daje

celokupnu sliku

● Kompleksan za

konfiguraciju

● Opasnost od prevelikog

broja alarma

● Veliko angažovanje

inženjera

Detekcija nepoznatih pretnji

Vidljivost

Tačnost detekcije (nizak false positive)

Uvid u ceo tok napada

IDSBaziran na signaturama

Nemogućnost

detekcije novih pretnji

Tačnost

Mogućnost detekcije anomalija

Previše logova, previše false

positiva

NetFlow

SIEMKompleksno i zahtevno rešenje

Opasnost od neadekvatne

analize događaja

Endpoint APT rešenja

● Pokriva sve vektore napada

● Koriste se machine learning

mehanizmi

● Odlični forenzički izveštaji

● Zavisi od instalacije agenata

– ostaju nepokriveni mnogi

uređaji

● Zahteva vreme za korelaciju

događaja

Detekcija nepoznatih pretnji

Vidljivost

Tačnost detekcije (nizak false positive)

Uvid u ceo tok napada

IDSBaziran na signaturama

Nemogućnost

detekcije novih pretnji

Tačnost

Mogućnost detekcije anomalija

Previše logova, previše false

positiva

NetFlow

Neophodan agent

Hypervisor, NAS, storage, IoT, …

Endpoint DR

SIEMKompleksno i zahtevno rešenje

Opasnost od neadekvatne

analize događaja

Gateway PCAP Celokupan snimak paketa

Veoma spor za analizu i

loša pokrivenost

Core network DRDetekcija celog toka

jednog napada

Good user

Attacker

Rogue employee

Bob reading email on a Thai

beachJim checking build server status during a

rare bout of insomnia

Sam discovers a

love for a

Russian

cooking

website

Laura downloading the files for a project

she’s just been

assigned

John’s PC being controlled via RAT to

attack the datacenter

using IPMI credentials

Jenny’s Mac exfiltrates

data to

Dropbox

Strange website seen at 2 a.m. It turns out

to be an IoT device

misbehaving

Host contacting TOR network

Domain never seen before

Lots of users uploading

cat videos

Detekcija pravih pretnji

Razdvajanje šta je benigna

anomalija u ponašanju od prave

pretnje

Vectra AI – Cognito platforma

Detekcija nepoznatih i skrivenih pretnji

● Identifikuje kompromitovane uređaje ili naloge, kako se bi se

sprečilo širenje pretnje i izbegao gubitak podataka

● Detekcija koja se ne bazira na signaturama ili listama loše

reputacije

● Identifikuje skrivene tunele u okviru standardnih protokola

HTTP, HTTPS, DNS...

● Identifikuje sumnjivo ponašanje i u okviru enkriptovane

komunikacije na osnovu metadata podataka – bez potrebe za

dekripcijom

● Detektuje prošle, do sada nezapažene incidente na osnovu

novih tipova ponašanja napadača

Detekcija pretnji u data centru

● Učenje dinamike normalne

naspram sumnjive promene:

dodavanje, pomeranje ili

brisanje komponenti

● Učenje modela admin

pristupa: ko pristupa, čemu,

kada i odakle

● Detekcija zloupotrebe

privilegovanog naloga

● Prioritetizacija događajaVectra detektuje događaje koji bi ostali

nezapaženi

Bolja efikasnost

● Svi srodni događaji se prikazuju

kao kampanja napada, zarad

lakšeg početka troubleshootinga.

Za svaki događaj može da se

dobije detaljna inspekcija

● Moguća integracija sa drugim

sigurnosnim rešenjima za

dobijanje automatske reakcije na

detektovan incident

● Manje opterećenje inženjera u

svakodnevnom monitoringu i

održavanju i do 36 puta

Vreme detekcije se smanjuje od više dana

do par minuta

Bolja efikasnost

Detekcija pretnji – kill chain

Primer napada - Equifax

● Napad je trajao 76 dana

● Inicijalni ulaz preko nepatchovanog Apache web servera

● Napadač je došao da neenkriptovanog fajla sa kredencijalima

● Ugroženo je 48 međusobno nepovezanih baza podataka

Equifax– kill chain

DEMO