Sicherheitslösungen für die „Kronjuwelen „ des Unternehmens Helmut Deuter Channel Account Manager DACH 1 © 2014 Imperva, Inc. All rights reserved. Imperva Überblick Unser Ziel Wir schützen Firmendaten und Applikationen Umsatzentwicklung ($M) Unser Marktsegment Firmensicherheit 137.8 104.2 78.3 55.4 32.1 39.3 17.7 2007 2008 2009 2010 2011 2012 2013 2 © 2014 Imperva, Inc. All rights reserved. Über uns Gegründet 2002 (Shlomo Kramer) Weltweit tätig mit HQ in Redwood Shores, CA mehr als 600 Mitarbeiter Kunden in mehr als 60+Ländern Unsere Kunden 2,700+ direkt; tausende Cloud-basiert 8 der Top 10 global Telekom Anbieter 5 der Top 10 US kommerziellen Banken 3 der Top 5 Global consumer financial services firms 4 der Top 5 globalen Computer Hardware-Hersteller 150+ Behörden Enterprise Security verändert sich Die wichtige dritte Säule: Data Center Security 1. Endpunkt Sicherheit Blockt Gefahren für die Endgeräte 2. Netzwerk Sicherheit Blockt Gefahren die auf Netzwerke zählen 3. Sicherheit für Rechenzentren Schützt die wichtigsten Unternehmensdaten direkt 3 © 2014 Imperva, Inc. All rights reserved. Die Bedrohungslage im IT Umfeld Malicious Insiders Compromised Insiders Automatisierte Attacken Betrug 4 © 2014 Imperva, Inc. All rights reserved. Gemäß dem Verizon 2011 “Data Breach Investigations” - Report hat sich die Anzahl der Vorfälle bei denen Malicious Insiders (“boshafte Mitarbeiter”) beteiligt waren, verdoppelt. Nach Auskunft des “Office of the Director of National Intelligence” sind nahezu die Hälfte aller Computer in USA in irgendeiner Form kompromittiert – und ca. 60.000 neue Malware Programme werden täglich identifiziert. Gemäß dem Verizon 2011 “Data Breach Investigations” – Report sind Angriffe mittlerweile standardisiert, automatisiert und in hoher Frequenz wiederholbar, sodass anfällige Umgebungen mit geringem Aufwand häufiger angegriffen werden können. In 2011 gab der FFIEC bekannt, dass die Art und Weise von Angriffen immer hochentwickelter und auch effektiver wird; sodass wir bereits von schnell wachsenden organisierten Verbrechen – speziell im Finanzbereich – sprechen. Ausgaben zur Gefahrenabwehr 5 © 2014 Imperva, Inc. All rights reserved. Confidential Firmen jagen die Mäuse und schützen nicht den Käse! 6 © 2014 Imperva, Inc. All rights reserved. Confidential Vorstellung der Darsteller: Mäuse “Mäuse” Potentielle Gefahr für den Käse Priviligierter Insider Ein Anwender der in der Nähe vom Käse arbeitet “Malicious Insider” Ein Anwender mit der Absicht, Probleme zu verursachen 7 © 2014 Imperva, Inc. All rights reserved. CONFIDENTIAL Kompromittierter Insider Ein unschuldiger Anwender, dessen Identität gestohlen wurde und die nun für schädliche Aktivitäten verwendet wird. Vorstellung der Darsteller: Katzen “Katzen” Bestehende Netzwerk und Endpunkt Sicherheitslösungen können mit erweiterten Angriffstechniken leicht umgangen werden – und adressieren nicht das Problem des Datenmissbrauchs durch Mitarbeiter Antivirus (AV) 8 © 2014 Imperva, Inc. All rights reserved. Intrusion Protection System (IPS) / Next Generation Firewall (NG FW) CONFIDENTIAL Data Loss Prevention (DLP) Imperva schützt den Käse während andere die Mäuse jagen! 9 © 2014 Imperva, Inc. All rights reserved. CONFIDENTIAL Gefahrenpotential vs. Ausgaben zur Abwehr Gefahrenpotential Ausgaben Im Jahr 2011 waren bei 94% aller Angriffe in irgend einer Form Server beteiligt 1 Weniger als 5% der über $27 Milliarden, die insgesamt für Security Produkte ausgegeben wurden, wurden für Datencentersicherheit ausgegeben 2 100% 80% 60% 40% 20% 0% 1 2 10 ” Verizon 2012 Data Breach Investigations Report Worldwide Security Products 2011-2014 Forecast (IDC - February 2011) © 2014 Imperva, Inc. All rights reserved. Anforderungen für Richtlinienkonformität wachsen Eine Vielzahl von Richtlinien Sicherheitsanforderungen SOX, J-SOX, Bill 198, “Financial Security Law of France” Italy’s L262/2005, India’s Clause 49,etc. BASEL II FISMA, NERC, ITAR, DISA STIG HIPAA, HITECH GLBA, NCUA 748 Monetary Authority of Singapore PCI-DSS IB-TRM Risikobewertung und Management User Rights Management Audit und Reporting Angriffsschutz CA 1386, MA 201 CMR 17, Canada PIPEDA EU Data Protection Directive Daten müssen geschützt werden, egal in welcher Form sie gespeichert sind - Applikation, Datenbank oder Datei 11 © 2014 Imperva, Inc. All rights reserved. Confidential Der Imperva Lösungsansatz Die aktuellen Sicherheitsprobleme von Unternehmen können nur dadurch gelöst werden, indem man einen engen Schutzwall um die Daten und Applikationen im Rechenzentrum erstellt. Usage Audit Tech. Attack Protection Dateien Logic Attack Protection Fraud Prevention Externe Zugriffe Web Applikationen User Rights Management Access Control Datenbanken Kunden, Partner, Hacker Mitarbeiter, gehackte PC verärgerte Mitarbeiter Rechenzentrum Systeme und Administratoren Nur Imperva bietet eine umfassende Lösung an! 12 Interne Zugriffe © 2014 Imperva, Inc. All rights reserved. Der Imperva Lösungsansatz Die aktuellen Sicherheitsprobleme von Unternehmen können nur dadurch gelöst werden, in dem man einen engen Schutzwall um die Daten und Applikationen im Datencenter erstellt. Usage Audit Tech. Attack Protection Dateien Logic Attack Protection Fraud Prevention Externe Zugriffe Web Applikationen User Rights Management Access Control Datenbanken Kunden, Partner, Hacker Mitarbeiter, gehackte PC verärgerte Mitarbeiter Datenzentrum Systeme und Administratoren Nur Imperva bietet eine komplette Lösung an! 13 Interne Zugriffe © 2014 Imperva, Inc. All rights reserved. Imperva Web Application Firewalls 14 © 2014 Imperva, Inc. All rights reserved. Confidential Imperva positioniert als Leader im „Gartner Magic Quadrant“ Gartner “Magic Quadrant for Web Application Firewalls” by Jeremy D'Hoinne, Adam Hils, Greg Young, Joseph Feiman, 17 June 2014. This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in the context of the entire document. The Gartner document is available upon request from Imperva. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. 15 © 2014 Imperva, Inc. All rights reserved. Confidential Webseiten haben viele Schwachstellen 96% aller Web Applikationen haben Schwachstellen % 96 1/2 davon ist bösartig! 61.5% Non-Human Traffic 38.5% WEB APP Sources: Cenzic, Inc. – Feb. 2014, Incapsula, Inc. –2013 © 2014 Imperva, Inc. All rights reserved. Human Traffic Über 61% des Verkehrs auf Webseiten ist nicht menschlicher Natur. DDoS Attack Landscape Trends Die Anzahl von DDoS Bots, getarnt als Besucher, hat sich um mehr als 240% in den letzten 12 Monaten erhöht. % 240 Akzepti eren Cookies Einfach e Bots 69% Die durchschnittliche DDoS Attacke ist um 42% grösser gegenüber dem Vorjahr. Source: Incapsula, Inc. – 2014, 2014 Verizon Data Breach Investigation Report © 2014 Imperva, Inc. All rights reserved. 30% Execute JavaScri pt 1% Bots werden intelligenter - 30% können nun Cookies akzeptieren. Verteilte “Denial of Service” Angriffe (DDOS) DDoS Angriffe auf Netzwerkebene Legitimer Verkehr • Verbrauchen die gesamte zur Verfügung stehende Bandbreite um legitimen Zugriff auf Webseiten zu verhindern DDoS Angriffe auf Applikationsebene • Eine hohe Anzahl an Anfragen an die Webapplikationen überfordern den Webserver, dieser kann auf legitime Anfragen nicht antworten oder der Betrieb wird komplett eingestellt • Die Webseite ist nicht mehr verfügbar. 18 © 2014 Imperva, Inc. All rights reserved. Confidential Web Server Anfragen an den Webserver Ein neuer Ansatz im Bereich Sicherheit wird benötigt Traditionelle Firewalls erkennen nur Netzwerkangriffe Inspizieren nur IP Adresse, Port / Service Nummer IPS und NG Firewalls erkennen nur bekannte Signaturen Verstehen kaum Applikation; hohe “false positive”-Gefahr Limitiertes User/Session Tracking; geringer Schutz bei SSL verschlüsseltem Verkehr Nur Web Application Firewalls erkennen Applikationsangriffe und können die Daten interpretieren 19 Application Schicht Application (Layer 7) Transport Schicht Protocols (OSI Layer 4 – 6) Netzwerk Schicht Network Access (OSI Layer 1 – 3) © 2014 Imperva, Inc. All rights reserved. Web Application Security: Anwendungsfälle Compliance und rechtliche Aspekte IT Betrieb Schutz der Web Applikationen Virtuelles Patching DDoS Protection Site Scraping Prevention Geschäftsfeldinteressen Fraud Prevention Legacy Application Security Hosted Application Protection 20 © 2014 Imperva, Inc. All rights reserved. Warum müssen Webapplikationen geschützt werden? 96% aller Webapplikationen haben Schwachstellen1 75% aller Internetangriffe zielen auf Applikationen2 Die Angriffe werden immer Anspruchsvoller Starke Zuwächse durch Automatisierung, Google-Hacking Wachsende Gefahren: L7 DDoS, CSRF, Botnets, massive SQL Injections, Site-Scraping 1 21 White Hat - statistic for initial examination; 2 Gartner Research © 2014 Imperva, Inc. All rights reserved. Web Application Angriff: Praxisbeispiel Secure Sphere konnte alle Phasen dieses Angriffs blocken! Phase I Technischer Angriff Scanner wie z.B. Nikto Phase III Angriff auf die Business Logik Phase II Technischer Angriff Havij SQL Injection Tool LOIC Applikation 22 © 2014 Imperva, Inc. All rights reserved. Phase I: Imperva Application Defense Center (ADC) Das Imperva ADC analysiert neue Gefahren die rund um die Welt gemeldet werden. Das ADC analysiert ständig realen Webverkehr & führt Penetrationstests durch, um bisher unveröffentlichte Schwachstellen zu finden Webserver Interne Anwender Imperva Application Defense Center SecureSphere INTERNET 23 © 2014 Imperva, Inc. All rights reserved. Neue Abwehrmechanismen werden automatisch an die SecureSphere Appliances übermittelt Phase II: SecureSphere stoppt SQL Injection, XSS Blockt definitive Übereinstimmungen, sendet verdächtige Anfragen an die SQL Injection Engine SQL Injection Engine blockt angepasste Angriffe /login.php?ID=5 or 1=1 Hacker SQL Injection SecureSphere WAF Signatur, Protokollabweichungen SQL Injektion Engine mit Profil Analyse Web Server Die erweiterte Analyse reduziert ganz erheblich die Gefahr von “False Positives und Negatives” 24 © 2014 Imperva, Inc. All rights reserved. Phase III: Wie SecureSphere Application DDoS blockiert Low-Orbit Ion Cannon (LOIC) DDoS Tool Öffnet 200 Anfragen pro Sekunde über ein Browser Fenster Spezielle DDoS Policy erkennt die hohe Anzahl an Anfragen in einem Zeitraum, modifiziertes URL oder unbekannte HTTP Methoden 25 © 2014 Imperva, Inc. All rights reserved. Site Scraping - Anwendungsbeispiel Herausforderung einer Firma im Finanzsektor: Site Scraper kopieren und veröffentlichen Aktienkurse auf anderen Webseiten Spammer injizieren Werbung in Foren Bestehendes IPS „hat nur mehr Arbeit“ gemacht Kommentar-Spam in Foren SecureSphere WAF SecureSphere Blockt Scraping und Spam in Kommentaren Blockt zuverlässig Angriffe auf Webseiten Site Scraper stehlen Daten 26 © 2014 Imperva, Inc. All rights reserved. Wie können Webapplikationen geschützt werden? Signaturen Korrelierte Angriffsprüfung HTTP Protokoll Überprüfung Cookie Schutz IP Reputation Dynamic Profiling Anti-Scraping Policies Bot Mitigation Policies IP Geolocation Web Fraud Detection 27 © 2014 Imperva, Inc. All rights reserved. } } Technischer Angriffsschutz Business Logic Attack Protection Schutz vor Betrug Imperva SecureSphere Web Application Firewall Anerkannter Marktführer Die am weitesten verbreitete WAF der Welt Setzt immer wieder neue Standards im Bereich Websicherheit Web Server SecureSphere WAF Internet Zuverlässiger Angriffsschutz Einfach zu installieren und zu verwalten 28 © 2014 Imperva, Inc. All rights reserved. Virtuelles Patching durch Schwachstellen-Scanner Integration Erstellen von Regeln basierend auf den Resultaten eines automatisierten Scans Monitoring von Versuchen, Schwachstellen auszunutzen Automatisches Beheben von Schwachstellen Scanner finden Schwachstellen Customer Site Maßgeschneiderter Schutz der Web Applikation 29 © 2014 Imperva, Inc. All rights reserved. SecureSphere importiert Scan Resultat Schnelles und kostengünstiges Absichern von Applikationen 116 Tage: durchschnittliche Zeit um eine Verwundbarkeit zu beheben1 Schwachstelle gefunden Programmierfehler behoben System geschützt Mit den SecureSphere Standard Security Policies und “virtual patching” reduziert sich dieses Fenster von 116 Tagen auf 0-5 Tage Schwachstelle gefunden Virtueller Patch System geschützt SecureSphere kann auch Schwachstellen beheben, die nicht durch Scanner gefunden wurden. 1 30 WhiteHat Website Security Statistics Report, Winter 2011 © 2014 Imperva, Inc. All rights reserved. „Dynamic Profiling“ über einen Zeitraum Dynamic Profiling Over Time Verkürzt die Implementationszeit von Monaten auf Tage Macht ständige manuelle Anpassungen durch den Administrator überflüssig PROFIL ÄNDERUNGEN 5-15 Änderungen pro Woche – und nicht 5-30 Arbeitsstunden für Konfiguration 700 636 Versteht die Applikation und Ihre Anwendung 600 500 400 300 Adaptiert automatisch Änderungen in der Applikation 243 200 32 100 76 33 55 40 28 24 18 41 7 25 21 11 13 4 5 7 4 8 11 15 2 3 4 1 0 01. Jun 31 © 2014 Imperva, Inc. All rights reserved. 06. Jun 11. Jun 16. Jun 21. Jun 26. Jun Zugriff aus bestimmten Ländern kann eingeschränkt werden Mit dem Feature “IP Geolocation” ist es möglich, Zugriffe aus definierten Ländern zu blocken oder zu überwachen Kann mit “Bot Rules” kombiniert werden um granulare Kontrolle zu ermöglichen Reduziert unerwünschten Verkehr auf die Webseiten Kann für Compliance-Zwecke verwendet werden (EAR, OFAC) z.B. verhindern, dass Banken Geld in bestimmte Länder überweisen Regeln im Bereich “Geolocation” 32 © 2014 Imperva, Inc. All rights reserved. Geolocation Daten in den Security Alarmen Wie ThreatRadar Reputation arbeitet 1. Globale Quell-Überwachung von Angriffen ThreatRadar Servers 2. Verteilung der Informationen an die Web Applikation-Firewalls Phishing Sites Anonymous Proxy & TOR Malicious IPs 33 © 2014 Imperva, Inc. All rights reserved. 3. Blockt bösartige Quellen Web Servers Integration in das Firmennetzwerk Imperva Agent Imperva Incapsula Network Monitoring File Activity Monitoring WAF & DDoS Protection Enterprise Branch Offices Imperva Agent SecureSphere for SharePoint Database Activity Monitoring Web Application Firewall Internal Users INTERNET Management Server (MX) 34 © 2014 Imperva, Inc. All rights reserved. Confidential Network Monitoring Native Audit Imperva SecureSphere WAF Umfassende Lösung für Web Applikationen Ausgereiftes System, seit vielen Jahren auf dem Markt - marktführend Einfach zu installieren, geringer Administrationsaufwand im Betrieb Vielfältige Installations- und Integrationsmöglichkeiten Selbstlernend durch „dynamic Profiling“ Correlation Policies: veringern die Gefahr von „False Positives“ Integration von zusätzlichen externen Quellen – Threat Radar Imperva SecureSphere Die Komplettlösung für die dritte Säule der IT-Sicherheit 35 © 2014 Imperva, Inc. All rights reserved. 36 © 2014 Imperva, Inc. All rights reserved. Incapsula Cloud 37 © 2014 Imperva, Inc. All rights reserved. Wie es funktioniert Bots DDoS Load Balancing Performance DDoS Mitigation Legitimate Traffic Incapsula Network Your Servers WAF Spammers Hackers Durch eine Umleitung des Datenverkehrs der Internetpräsenz werden ungewollte Anfragen geblockt und nur legitime Anfragen weitergeleitet 38 © 2014 Imperva, Inc. All rights reserved. 2 Optionen zum Umleiten des Verkehrs • DNS Umleitung • BGP Routing (Kunde muss eigenes Class C Netzwerk besitzen) 39 © 2014 Imperva, Inc. All rights reserved. Confidential Das globale Incapsula Netzwerk 30 Point of Presence (POP) weltweit 1.5Tbps Kapazität 40.000 Kunden 41 © 2014 Imperva, Inc. All rights reserved. Confidential Vielen Dank für Ihre Aufmerksamkeit! www.imperva.com 42 © 2014 Imperva, Inc. All rights reserved.