1 Máriás Zoltán, CISA, CSM, CNE stratégiai igazgató, TMSI Kft Az anti-DDoS - a pénzügyi határvédelem fontos eszköze …valamint az Advanced Threat Protection.

Az előadások a következő témára: "1 Máriás Zoltán, CISA, CSM, CNE stratégiai igazgató, TMSI Kft Az anti-DDoS - a pénzügyi határvédelem fontos eszköze …valamint az Advanced Threat Protection."— Előadás másolata:

1 1 Máriás Zoltán, CISA, CSM, CNE stratégiai igazgató, TMSI Kft Az anti-DDoS - a pénzügyi határvédelem fontos eszköze …valamint az Advanced Threat Protection védelem forradalmasítása

2 2 Mi a nagyobb baj? Ha 100.000 bankkártya adata kiszivárog ? (DLP, azaz adatszivárgási kérdés) Ha 4 órán keresztül áll vagy olyan lassú az e-banking szolgáltatás, hogy használhatatlan az ügyfelek részére? (határvédelmi kérdés)

3 3 A pénzügyi intézetek IT biztonsági feladatai Védeni kell a szellemi tulajdont Folyamatosan meg kell felelni az előírásoknak, jogszabályoknak Ennek céljából alkalmazniuk kell a legújabb technológiákat, hogy: 1.minden körülmények között 2.bármely pontról (desktop, mobil, tablet) 3.biztosítsák a biztonságos hozzáférést a kereskedelmi/pénzügyi adatokhoz.

4 4 A cégeket ma fenyegető veszélyek tárháza

5 5 A támadások száma és összetettsége nő A támadási felület ekszponenciálisan nő laptopok/desktopok okostelefonok/tabletek Virtuális szerverek/desktopok felhő/határvédelem A támadások egyre szofisztiáltabbak A támadások sokkal koordináltabbak, mint a védekezési mechanizmusok

6 6 A 2D kibervédelem sikeressége a múlté

7 7 7 Mi az, hogy DDoS?

8 8 A DoS és a DDoS A DoS (denial-of-service) röviden: a szolgáltatás megtagadása A DoS bővebben: az egy olyan támadási kísérlet, amelynek célja, hogy egy online szolgáltatást a legitim felhasználók számára elérhetetlenné tegyenek. (Wikipédia: szolgáltatásmegtagadással járó támadás) Ha a támadás több forrásból származik, akkor az egy distributed- denial-of-service. (DDoS). (Wikipédia: elosztott szolgáltatásmegtagadással járó támadás) Ezt pedig úgy érik el, hogy botnet hálózatokról egyidőben indított támadások túlterhelik rosszindulatú forgalommal az adott – általában web – szervereket.

9 9 Tények Mindössze 150 USD az ára a fekete piacon az egy hétig tartó DDoS támadásnak Napi 2000 DDoS támadást regisztrálnak az anti-DDoS megoldásokat gyártó cégek Az összes informatikai leállás 1/3-a DDoS támadások következménye Nem kell ahhoz saját honlap, hogy DDoS támadás áldozatává válhassunk

10 10 Digital Attack Map

11 11 Melyek a tünetek? Aránytalanul lassú hálózati teljesítmény (állományok megnyitása vagy honlapok elérése kapcsán) Egy adott web-oldal elérhetetlensége Bármely web-oldal elérésének lehetetlensége (belülről kifelé) A kéretlen levelek mennyiségének drámai megnövekedése — (ennek a támadásnak e-mail bomb a neve)e-mail bomb A wifi vagy a vezetékes hálózati internet kapcsolat leállása

12 12 Milyen motivációk állhatnak mögötte? Anyagi haszonszerzés Zsarolás Politikai motívumok (aktivizmus) Bosszú (forrás TechWeek Europe)

13 13 Mi köze ehhez a pénzügyi intézményeknek? 2015-ben a DD4BC-hez hasonló botnetek jelentősen előreléptek, pénzügyi intézményeket kezdtek célba venni A kiberzsarolók általában egy alacsony-szintű támadással kezdenek (low and slow) Figyelmeztetés, hogy nagyobb támadás várható (amennyiben nem kerül kifizetésre Bitcoinban a váltságdíj) Soha ne menjenek bele egy ilyen zsarolási játékba!

14 14 Hogyan védekezzünk a DDoS ellen? 1. Csak az Internet szolgáltató védekezési rendszerével (ha van) 2. Az Internet szolgáltató és saját belső céleszközök által 3. Saját infrastruktúrába telepített eszközzel/szolgáltatással a. Border Gateway Protocol (BGP) b. Domain Name Service átirányítás (DNS)

15 15 Néhány DoS variáció Teardrop attack Permanent DoS attack Nuke Telephony DoS (TDoS) attack Advanced Persistent DoS (APDoS)

16 16 Az Advanced Persistent DoS A támadás hetekig is eltarthat (pld. 38 napig) Persistent = álhatatos, kitartó, szívós Anyagilag nagyon támogatott, jól felszerelt, kitűnő szakértelemmel rendelkező csapatok állnak mögötte A célpont pontosan fel van térképezve („be van targetálva”) Csak kombinált rendszerrel lehet megállítani, amelynek része az Internet szolgáltató védelme és belső védelem, mint az a Sophos Synchronized Security

17 17 Synchronized Security

18 18 A Synchronized Security-ről röviden A biztonság legyen átfogó The capabilities required to fully satisfy customer need A biztonság lehet egyszerű Platform, deployment, licensing, user experience A biztonság rendszerként hatékonyabb New possibilities through technology cooperation Synchronized Security Összetett, kontext- tudatos biztonság, amelyben különálló biztonsági technológiák jelentőségteljes információt osztanak meg egymással a hatékonyság céljából

19 19 Átfogó védelem Megelőzni a malware-t Betőrés-észlelés A veszélyek megszüntetése Az esetek kivizsgálása Adatok titkosítása MAC ANDROID WINDOWS iOS CORPORATE DATA WINDOWS PHONE LINUX Synchronized Security

20 20 A kibérvédelem új generációja Egyedi termékek Anti-virus IPS Firewall Sandbox Rétegelt védelem Csomagok Csokrok UTM EMM Synchronized Security Security Heartbeat™

21 21 a Security Heartbeat™ megoldás

22 22 A Sophos Security Heartbeat™ megoldása SOPHOS LABS Sophos Cloud Next Gen Network Security Next Gen Enduser Security Security heartbeat™ A Sophos egyedi megoldása: a next-gen endpoint (Végpont-védelem 2.0) és a next-gen firewall (Újgenerációs határvédelem) szorosan együttűködnek

23 23 Átfogó Végpontvédelem 2.0 SOPHOS SYSTEM PROTECTOR Web & app exploit prevention Threat Engine Application Control URL & download reputation Pre- execution emulation Behavior analytics Device Control Malicious Traffic Detection Web Protection Heuristics analysis Live Protection Security Heartbeat™

24 24 Átfogó Újgenerációs Határvédelem SOPHOS FIREWALL OPERATING SYSTEM Web Filtering Intrusion Prevention System (DDoS) Routing Email Security Selective Sandbox Application Control Data Loss Prevention ATP Detection Proxy Threat Engine Firewall

25 25 SOPHOS SYSTEM PROTECTOR Sophos Cloud A külső fenyegetések integrált kezelése heartbeat SOPHOS FIREWALL OPERATING SYSTEM Web & app exploit prevention Threat Engine Application Control URL & download reputation Pre- execution emulation Behavior analytics Device Control Malicious Traffic Detection Web Protection Heuristics analysis Live Protection Security Heartbeat™ Web Filtering Intrusion Prevention System (DDoS) Routing Email Security Heartbeat™ Selective Sandbox Application Control Data Loss Prevention ATP Detection Proxy Threat Prevention Isolate subnet and WAN access Block/remove malware Identify & clean other infected systems User | System | File Compromise Firewall

26 26 Miért a Sophos és miért a TMSI Kft?

27 27 A végpontvédelem és a határvédelem a napi támadások nélkülözhetetlen védelmi eleme 150,000 Malware állományt fogadnak a “Live Protection” felhőjében naponta, gyors azonosításra 50% … a detektálásnak 19 malware minta alapján történik. 3 millió kéretlen levél azonosítása 20 országban elhelyezett 80 védelmi ponton 600 millió “Live Protection” file elemzés a Sophos Hadoop klasztereiben 1 millió gyanus URL feltárása és elemzése 70 forráshelyen 350,000 Korábban még nem látott állomány elemzése naponta a SophoLabs-ban (3 másodpercenként)!

28 28 Az egyetlen Gartner Leader az EP-ben és UTM-ben is Gartner Magic Quadrant UNIFIED THREAT MANAGEMENT Gartner Magic Quadrant ENDPOINT PROTECTION Challengers Leaders Niche playersVisionaries Completeness of vision Ability to execute Source: Gartner (December 2014) Microsoft Eset IBM Webroot F-Secure Bitdefender Symantec Kaspersky Trend Micro Panda Security McAfee Check Point Lumension Qihoo 360 ThreatTrack Security Landesk Stormshield Challengers Leaders Niche playersVisionaries Completeness of vision Ability to execute Source: Gartner (August 2015) Cisco Juniper Networks Huawei Check Point Gateprotect Fortinet Dell WatchGuard Stormshield Barracuda Hillstone Networks Aker Security Solutions

29 29 A végpontvédelem és határvédelem egyensúlya ENDPOINT NETWORK

30 30 Újgenerációs határvédelem Anti-DDoS APT-védelem IPS DLP Végpontvédelem 2.0 Teljeskörű titkosítás www.tmsi.hu

31 31 © Sophos Ltd. All rights reserved.