In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Cisco Advanced Malware Protection TDM

Werbung 
Schutzstrategien gegen gezielte
Angriffe
Vor, Während und Nach einem Angriff
Roland Müller, Cisco Systems GmbH
System Engineer
Februar 2016
Die Realität:
Unternehmen sind Angriffsziele
95 %
der großen Unternehmen sind Ziel
schädlichen Datenverkehrs
100 %
der Unternehmen besuchten
Websites mit Malware
 Cyberkriminalität ist lukrativ, die Einstiegshürde ist niedrig
 Hacker sind raffinierter und verfügen über die nötigen Ressourcen, um auch Ihr
Unternehmen zu kompromittieren
 Malware wird immer komplexer
 Unternehmen sehen sich stündlich mit Zehntausenden neuen MalwareBeispielen konfrontiert
Phishing ist weniger
komplex
1990
1995
Hackerangriffe
mutieren zur
eigenen Branche
2000
Quelle: Cisco Annual Security Report 2014
Ausgefeilte Angriffe,
komplexe Landschaft
2005
2010
2015
Viren
Würmer
Spyware und Rootkits
APTs Cyberware
1990-2000
2000-2005
2005 bis heute
Heute und in Zukunft
2020
Umfassende Sicherheit bedeutet heute mehr als
nur Policy Control
Schutz vor
Sicherheitsverletzungen
Schnelle Erkennung, Reaktion,
Beseitigung
Threat Intelligence
Quelle: http://www.pcworld.com/article/2109210/report-average-of-82-000-new-malware-threats-per-day-in-2013.html
Schutz vor diesen komplexen Bedrohungen erfordert umfassende
Transparenz und Kontrolle über das gesamte Angriffskontinuum
Angriffskontinuum
Davor
Erkennen
Durchsetzen
Sichern
Netzwerke
Endpunkte
Während
Erfassen
Blockieren
Abwehren
Mobil
Virtuell
Point-in-Time
Danach
Ermessen
Eindämmen
Beseitigen
Cloud
Kontinuierlich
E-Mail und Web
Schnelle Angriffserkennung ist Essentiell
60%
Datendiebstahl beginnt
innerhalb von wenigen
Stunden
START
HOURS
85%
der Angriffe auf POS
Systeme bleiben mehrere
Wochen
54%
der Angriffe bleiben
Monatelang
unentdeckt
unentdeckt
WEEKS
MONTHS
51%
mehr Firmen in 3
Jahren meldeten
Verlust von 10Mill
USD
oder mehr
YEARS
Cisco IT hat seine Angriffserkennung optimiert
Juni 2015 (Median)
35.3
STUNDEN
Oktober 2015 (Median)
VS
17.5
STUNDEN
Cisco ist somit wesentlich schneller als der Industriedurchschnitt (geschätzt zwischen 100 und 200
Tagen)
Wie kommt’s???? Warum ist Cisco so viel schneller?
Cisco
HOURS
Cisco arbeitet mit „Retrospective Security“
Mittels Retrospective Security lassen sich Angriffe, welche die alle Verteidigungslinien durchbrochen haben, im
Nachhinein identifizieren, die Ausbreitung lokalisieren und automatisch oder manuell auflösen.
Retrospective Security ist eine kritische Komponente um die Zeit bis zur Angriffserkennung zu reduzieren.
Der Wert von Retrospective Security
•
Wenn Malware trotz aller
Sicherheitsmechanmismen
durchschlüpft…
•
... weil sie gänzlich neu ist und
als solche zunächst nicht zu
erkennen ist...
Der Mehrwert von Retrospective Security
•
Wenn Malware trotz aller
Sicherheitsmechanmismen
trozdem durchschlüpft…
•
... weil sie gänzlich neu ist und
als solche zunächst nicht zu
erkennen ist...
•
… und am nächsten Tag weiss
ich, das ist Malware
•
Dann möchte ich wissen
•
Woher es kam, wie kam es durch?
•
Was macht es genau?
•
Und wo ist’s noch überall?
„Golden Gun“ von Francisco
Scaramanga aus James Bond:
„The Man with the Golden Gun“
Cisco Advanced Malware Protection arbeitet mit
Retrospective Security
Point-in-Time-Schutz
Retrospective Security
Dateireputation, Sandbox-Analysen und
Verhaltenserkennung
Kontinuierliche Analysen
Nur bei Cisco® AMP verfügbar
Plan B: Retrospective Security
Durchgängige
Analyse
Datei wird fortlaufend
Analyse wird bei
analysiert,
erstem
Kontakt Verhaltensbasie
Chain
ÄnderungenTrajectory
an der
1 Attack
2
einer
Datei
Weaving
rte
Einstufung werden
durchgeführt
Indicationsggf. ermittelt
of Compromise
3
Umfassende Transparenz von
Pfad, Aktionen oder
Verletzung
Kommunikationswegen
einer
HuntingSoftware wird
bestimmten
hergestellt
Was genau ist passiert?
Cisco AMP zeigt eine detaillierte Historie des Angriffs
Wie weit ist die Infektion bereits fortgeschritten?
Das genaue Ausmaß der Infektion zeigt die “File Trajectory”
Was genau macht die Malware?
Cisco AMP gibt Antwort auf diese Frage über die “File Analysis”
Wie können wir den Angriff stoppen?
Per Mausklick wird ein File an allen Endgeräten und auch im Netzwerk als “Schädling”
gekennzeichnet und unter Quartäne gesetzt
Korrelation zwischen Netzwerk und Endgeräten ermöglicht
Netzweite Kontrolle
Warum ist durchgängige
Absicherung erforderlich?
Reichweite und Kontrollpunkte:
WWW
E-Mail
Endpunkte
Web
Netzwerke
Gateways
Geräte
Telemetrie-Stream
Datei Fingerprint und Metadaten
Fortlaufender Feed
1000111010011101 1100001110001110
Datei- und Netzwerk-E/A
0001110
1001 1101 1110011 0110011 101000 0110 00
1001 1101 1110011 0110011 101000 0110 00 0111000 111010011
0100001100001 1100 0111010011101 1100001110001110
Prozessinformationen
101 1100001 110
1001 1101 1110011 0110011 101000 0110 00
Durchgängige Analyse
Talos + Threat Grid Intelligence
Cisco AMP Everywhere-Strategie bietet Schutz für
das erweiterte Netzwerk
Virtuell
PC
Mobil
MAC
AMP für Netzwerke
AMP für Endgeräte
AMP
AMP auf Cisco® ASA Firewall
mit FirePOWER-Services
Advanced Malware
Protection
AMP Private Cloud
Virtuelle Appliance
CWS
AMP auf Web und Email
Security Appliances
AMP für Cloud Web Security
und gehostete E-Mails
Dynamische MalwareAnalyse durch AMP Threat
Grid und Threat
Intelligence Engine
Cisco Rapid Threat Containment
Integration von Malware-Erkennung und Netzwerk Policy Kontrolle
ISE
ANC Service
Angriffserkennung
•
•
•
•
•
IDS Sig
Malware
Traffic
Anwendungen
..
Quarantine Action
•
•
•
VLAN Zuweisung
dACLs
SGT (Secure Group Tagging)
Das Cisco Netzwerk nutzen, um gezielte Angriffe
zu erkennen
Verkehrs-Anomalien erkennen
Network As A Sensor (NaaS)
Policy Verletzungen erkennen
Tiefe Einsicht in den NetzVerkehr
Dynamische NetzwerkSegmentierung zur
Eingrenzung von Angriffen
Isolieren von Bedrohungen
Network As An Enforcer (NaaE)
Zugangskontrolle zu
gesicherten Ressourcen
Dynamische Policies &
Nutzergruppen
Network as a Sensor: Lancope StealthWatch
Context Information
NetFlow
pxGrid
Cisco ISE
Mitigation Action
pxGrid = API
Echtzeit-Sicht auf alle Netzwerk.Ebenen
Daten-Intelligenz im gesamten Netzwerk
• Asset Discovery
• Netzwerk Profile
• Security Policy Monitoring
• Erkennen von Anomalien
• Schnelle Reaktion im Gefahrenfall
Lancope StealthWatch
Netzwerktransparenz durch NetFlow-Analyse
Detect
Monitor

Verstehen, was normal
im Netzwerk ist

Netzwerk-Anomalien
erkennen

Echtzeit-Abbild allen
Netzerk-Verkehrs

Verhalten erkennen,
das auf APTs,
Insider Threats,
DDoS, und Malware
hinweist
Analyze
Respond

Sammeln &
Analysieren
kompletter NetzwerkVerläufe

Schnellere
Fehlerbeseitigung und
Eingrenzug von
Bedrohungen

Schnellere UrsachenErkennung durch
forensische
Untersuchungen

Schnelle Reaktion auf
Bedrohungen durch
Isolierung von
Bedrohungen via ISE
Überblick Lancope StealthWatch
Netzwerk
Geräte, die kein Netflow
können
SPAN
StealthWatch
FlowSensor
NetFlow / NBAR / NSEL
Generierung von
Netflow Daten
•
•
•
StealthWatch
FlowCollector
StealthWatch
Management
Console
•
•
•
Sammeln und analysieren
Bis zu 4,000 Quellen
Bis zu 240,000 Flows pro Sekunde
Management und Reporting
Bis zu 25 FlowCollectors
Bis zu 6 Millionen Flows pro
Sekunde
Alarme auf Basis verhaltensbasierter Analyse
Policy
Start
Active
Time
Alarm
Source
Source Host
Groups
Source
User Name
Device
Type
Target
Desktops &
Trusted
Wireless
Jan 3,
2013
Suspect
Data Loss
10.10.101.89
Atlanta, Desktops
John Smith
Apple-iPad
Multiple
Hosts
© 2013 Lancope, Inc. All rights reserved.
Thank you.
Zugehörige Unterlagen
Pressemitteilung als DOC
Pressemitteilung als DOC
Comstor Panduit
Comstor Panduit
Wenn optische 40-GbE-BiDi-Verbindungen von Cisco heute in
Wenn optische 40-GbE-BiDi-Verbindungen von Cisco heute in
Cisco Small Business Pro AP541N Wireless Access Point
Cisco Small Business Pro AP541N Wireless Access Point
Business Development
Business Development
Ihre Aufgaben Über Damovo Techniker/System Engineer Cisco
Ihre Aufgaben Über Damovo Techniker/System Engineer Cisco
Pressemiteilung als DOC downladen
Pressemiteilung als DOC downladen
Copy Blocks für Cisco Small Business PVC300 IP
Copy Blocks für Cisco Small Business PVC300 IP
Diese Pressemitteilung als Word-Dokument laden
Diese Pressemitteilung als Word-Dokument laden
Pressemitteilung Comstor auf Cisco Live 2017 als DOC
Pressemitteilung Comstor auf Cisco Live 2017 als DOC
Unverbindlicher Text einer Leistungsbeschreibung
Unverbindlicher Text einer Leistungsbeschreibung
und Netzwerk-Geräten
und Netzwerk-Geräten
5 Tipps zur Auswahl einer Next-Generation Firewall
5 Tipps zur Auswahl einer Next-Generation Firewall
1052_stele - Heus Betonwerke
1052_stele - Heus Betonwerke
erster-cisco-partner-mit-neuer-ecs
erster-cisco-partner-mit-neuer-ecs
IObit Security 360™ PRO - PohlMedia Distribution UG
IObit Security 360™ PRO - PohlMedia Distribution UG
Partner-Synergien: Comstor - ProComp - Cisco
Partner-Synergien: Comstor - ProComp - Cisco
Ratgeber - bereitgestellt von
Ratgeber - bereitgestellt von
Cisco Content Security
Cisco Content Security
Sicherheitssoftware im Test: die besten Antivirenprogramme
Sicherheitssoftware im Test: die besten Antivirenprogramme
ITKwebcollege.Security ITKservice
ITKwebcollege.Security ITKservice
Stormshield Endpoint Security - Airbus Defence and Space
Stormshield Endpoint Security - Airbus Defence and Space
Herunterladen
Werbung