1 Máriás Zoltán, CISA, CSM, CNE stratégiai igazgató, TMSI Kft Az anti-DDoS - a pénzügyi határvédelem fontos eszköze …valamint az Advanced Threat Protection védelem forradalmasítása
2 Mi a nagyobb baj? Ha bankkártya adata kiszivárog ? (DLP, azaz adatszivárgási kérdés) Ha 4 órán keresztül áll vagy olyan lassú az e-banking szolgáltatás, hogy használhatatlan az ügyfelek részére? (határvédelmi kérdés)
3 A pénzügyi intézetek IT biztonsági feladatai Védeni kell a szellemi tulajdont Folyamatosan meg kell felelni az előírásoknak, jogszabályoknak Ennek céljából alkalmazniuk kell a legújabb technológiákat, hogy: 1.minden körülmények között 2.bármely pontról (desktop, mobil, tablet) 3.biztosítsák a biztonságos hozzáférést a kereskedelmi/pénzügyi adatokhoz.
4 A cégeket ma fenyegető veszélyek tárháza
5 A támadások száma és összetettsége nő A támadási felület ekszponenciálisan nő laptopok/desktopok okostelefonok/tabletek Virtuális szerverek/desktopok felhő/határvédelem A támadások egyre szofisztiáltabbak A támadások sokkal koordináltabbak, mint a védekezési mechanizmusok
6 A 2D kibervédelem sikeressége a múlté
7 7 Mi az, hogy DDoS?
8 A DoS és a DDoS A DoS (denial-of-service) röviden: a szolgáltatás megtagadása A DoS bővebben: az egy olyan támadási kísérlet, amelynek célja, hogy egy online szolgáltatást a legitim felhasználók számára elérhetetlenné tegyenek. (Wikipédia: szolgáltatásmegtagadással járó támadás) Ha a támadás több forrásból származik, akkor az egy distributed- denial-of-service. (DDoS). (Wikipédia: elosztott szolgáltatásmegtagadással járó támadás) Ezt pedig úgy érik el, hogy botnet hálózatokról egyidőben indított támadások túlterhelik rosszindulatú forgalommal az adott – általában web – szervereket.
9 Tények Mindössze 150 USD az ára a fekete piacon az egy hétig tartó DDoS támadásnak Napi 2000 DDoS támadást regisztrálnak az anti-DDoS megoldásokat gyártó cégek Az összes informatikai leállás 1/3-a DDoS támadások következménye Nem kell ahhoz saját honlap, hogy DDoS támadás áldozatává válhassunk
10 Digital Attack Map
11 Melyek a tünetek? Aránytalanul lassú hálózati teljesítmény (állományok megnyitása vagy honlapok elérése kapcsán) Egy adott web-oldal elérhetetlensége Bármely web-oldal elérésének lehetetlensége (belülről kifelé) A kéretlen levelek mennyiségének drámai megnövekedése — (ennek a támadásnak bomb a neve) bomb A wifi vagy a vezetékes hálózati internet kapcsolat leállása
12 Milyen motivációk állhatnak mögötte? Anyagi haszonszerzés Zsarolás Politikai motívumok (aktivizmus) Bosszú (forrás TechWeek Europe)
13 Mi köze ehhez a pénzügyi intézményeknek? 2015-ben a DD4BC-hez hasonló botnetek jelentősen előreléptek, pénzügyi intézményeket kezdtek célba venni A kiberzsarolók általában egy alacsony-szintű támadással kezdenek (low and slow) Figyelmeztetés, hogy nagyobb támadás várható (amennyiben nem kerül kifizetésre Bitcoinban a váltságdíj) Soha ne menjenek bele egy ilyen zsarolási játékba!
14 Hogyan védekezzünk a DDoS ellen? 1. Csak az Internet szolgáltató védekezési rendszerével (ha van) 2. Az Internet szolgáltató és saját belső céleszközök által 3. Saját infrastruktúrába telepített eszközzel/szolgáltatással a. Border Gateway Protocol (BGP) b. Domain Name Service átirányítás (DNS)
15 Néhány DoS variáció Teardrop attack Permanent DoS attack Nuke Telephony DoS (TDoS) attack Advanced Persistent DoS (APDoS)
16 Az Advanced Persistent DoS A támadás hetekig is eltarthat (pld. 38 napig) Persistent = álhatatos, kitartó, szívós Anyagilag nagyon támogatott, jól felszerelt, kitűnő szakértelemmel rendelkező csapatok állnak mögötte A célpont pontosan fel van térképezve („be van targetálva”) Csak kombinált rendszerrel lehet megállítani, amelynek része az Internet szolgáltató védelme és belső védelem, mint az a Sophos Synchronized Security
17 Synchronized Security
18 A Synchronized Security-ről röviden A biztonság legyen átfogó The capabilities required to fully satisfy customer need A biztonság lehet egyszerű Platform, deployment, licensing, user experience A biztonság rendszerként hatékonyabb New possibilities through technology cooperation Synchronized Security Összetett, kontext- tudatos biztonság, amelyben különálló biztonsági technológiák jelentőségteljes információt osztanak meg egymással a hatékonyság céljából
19 Átfogó védelem Megelőzni a malware-t Betőrés-észlelés A veszélyek megszüntetése Az esetek kivizsgálása Adatok titkosítása MAC ANDROID WINDOWS iOS CORPORATE DATA WINDOWS PHONE LINUX Synchronized Security
20 A kibérvédelem új generációja Egyedi termékek Anti-virus IPS Firewall Sandbox Rétegelt védelem Csomagok Csokrok UTM EMM Synchronized Security Security Heartbeat™
21 a Security Heartbeat™ megoldás
22 A Sophos Security Heartbeat™ megoldása SOPHOS LABS Sophos Cloud Next Gen Network Security Next Gen Enduser Security Security heartbeat™ A Sophos egyedi megoldása: a next-gen endpoint (Végpont-védelem 2.0) és a next-gen firewall (Újgenerációs határvédelem) szorosan együttűködnek
23 Átfogó Végpontvédelem 2.0 SOPHOS SYSTEM PROTECTOR Web & app exploit prevention Threat Engine Application Control URL & download reputation Pre- execution emulation Behavior analytics Device Control Malicious Traffic Detection Web Protection Heuristics analysis Live Protection Security Heartbeat™
24 Átfogó Újgenerációs Határvédelem SOPHOS FIREWALL OPERATING SYSTEM Web Filtering Intrusion Prevention System (DDoS) Routing Security Selective Sandbox Application Control Data Loss Prevention ATP Detection Proxy Threat Engine Firewall
25 SOPHOS SYSTEM PROTECTOR Sophos Cloud A külső fenyegetések integrált kezelése heartbeat SOPHOS FIREWALL OPERATING SYSTEM Web & app exploit prevention Threat Engine Application Control URL & download reputation Pre- execution emulation Behavior analytics Device Control Malicious Traffic Detection Web Protection Heuristics analysis Live Protection Security Heartbeat™ Web Filtering Intrusion Prevention System (DDoS) Routing Security Heartbeat™ Selective Sandbox Application Control Data Loss Prevention ATP Detection Proxy Threat Prevention Isolate subnet and WAN access Block/remove malware Identify & clean other infected systems User | System | File Compromise Firewall
26 Miért a Sophos és miért a TMSI Kft?
27 A végpontvédelem és a határvédelem a napi támadások nélkülözhetetlen védelmi eleme 150,000 Malware állományt fogadnak a “Live Protection” felhőjében naponta, gyors azonosításra 50% … a detektálásnak 19 malware minta alapján történik. 3 millió kéretlen levél azonosítása 20 országban elhelyezett 80 védelmi ponton 600 millió “Live Protection” file elemzés a Sophos Hadoop klasztereiben 1 millió gyanus URL feltárása és elemzése 70 forráshelyen 350,000 Korábban még nem látott állomány elemzése naponta a SophoLabs-ban (3 másodpercenként)!
28 Az egyetlen Gartner Leader az EP-ben és UTM-ben is Gartner Magic Quadrant UNIFIED THREAT MANAGEMENT Gartner Magic Quadrant ENDPOINT PROTECTION Challengers Leaders Niche playersVisionaries Completeness of vision Ability to execute Source: Gartner (December 2014) Microsoft Eset IBM Webroot F-Secure Bitdefender Symantec Kaspersky Trend Micro Panda Security McAfee Check Point Lumension Qihoo 360 ThreatTrack Security Landesk Stormshield Challengers Leaders Niche playersVisionaries Completeness of vision Ability to execute Source: Gartner (August 2015) Cisco Juniper Networks Huawei Check Point Gateprotect Fortinet Dell WatchGuard Stormshield Barracuda Hillstone Networks Aker Security Solutions
29 A végpontvédelem és határvédelem egyensúlya ENDPOINT NETWORK
30 Újgenerációs határvédelem Anti-DDoS APT-védelem IPS DLP Végpontvédelem 2.0 Teljeskörű titkosítás
31 © Sophos Ltd. All rights reserved.