Next Generation Firewall: Operation Intelligence
Werbung
SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Visualisierung & Absicherung von Anwendungen, Benutzern und Inhalten Operations Intelligence mit der Next Generation Firewall Achim Kraus Palo Alto Networks Inc. 11.2013 Sichtbarkeit & Transparenz: Entscheidungsqualität ? REUTERS 2 www.softline-solutions.de 1 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Die strategische Rolle moderner Malware Infektion Eskalation Remote Control Perimeter Datacenter Malware ‘Fuss in der Tür’ zu Kontrolle und Erweiterung langfristiger Angriffe. 3 Netzwerkfähigkeit moderner Malware 16.497 neu entdeckte, unbekannte Malware (Monat) Nicht-standardisierte Netzwerk-Ports Proxies, Anonymisierung und individuelle Kommunikation … 80 % 66 % Unerkannt von traditionellen AntiVirus-Anbietern 59 % 13.256 Samples erzeugten 7.918 nutzten ausweichende Internet-Kommunikation Netzwerk-Kommunikation 4 www.softline-solutions.de 2 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Verhaltensweisen moderner Malware (am Endgerät) 0.00% 10.00% 20.00% 30.00% 29.39% Contained unknown TCP/UDP traffic 24.38% Visited an unregistered domain 20.46% Sent out emails 12.38% Used the POST method in HTTP Triggered known IPS signature 7.10% IP country different from HTTP host TLD 6.92% 5.56% Communicated with new DNS server Downloaded files with an incorrect file extension 4.53% Connected to a non standard HTTP port 4.01% Produced unknown traffic over the HTTP port 2.33% Visited a recently registered domain 1.87% Visited a known dynamic DNS domain 0.56% Visited a fast-flux domain 0.47% Source: Palo Alto Networks, WildFire Malware Report 5 Verhaltensweisen moderner Malware (am Endgerät) 0.00% 10.00% 24.49% 18.30% Registered a file as auto-start 15.79% Downloaded executable files Moved itself Created a hidden file in the Windows folder 40.00% 27.68% Masqueraded as a Windows system program Scheduled a file name change 30.00% 30.16% Copied itself Created an executable file in Windows folder Changed the Windows firewall policy 20.00% 8.95% 6.94% 5.36% 3.24% Disabled the ability to change the Show Hidden Files and Folders 1.98% Disabled the Windows phishing filter 1.92% 6 www.softline-solutions.de 3 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Verhaltensweisen moderner Malware (am Endgerät) outbound' traffic' 33%' analysis'avoidance' persistence' 33%' data'the/ ' hacking' persistence' hacking' 5%' outbound'traffic' analysis' avoidance' 19%' data'the2 ' 10%' Source: Palo Alto Networks, WildFire Malware Report 7 Vermeidung: 'Analysis Avoidance' (am Endgerät) 0.00% 10.00% 20.00% code_inject Attempted to determine external IP address 40.00% 50.00% 60.00% 56.92% long_sleep delete_itself 30.00% 20.42% 13.52% 0.09% Source: Palo Alto Networks, WildFire Malware Report 8 www.softline-solutions.de 4 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Anwendungen: Visualisierung & Kontrolle 9 Benutzer & Gruppen: ID-Management 10 www.softline-solutions.de 5 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Next Generation Firewall 'Traffic Log' 11 Next Generation Firewall 'Data Filter Log' 12 www.softline-solutions.de 6 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Next Generation Firewall 'URL Filter Log' 13 Next Generation Firewall 'Threat Log' 14 www.softline-solutions.de 7 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Erweiterte Threat-Analyse Inline: Lokal & Cloud 15 Infrastrukturen & Plattformen Traditionelles DC Virtualisiertes DC Cloud 16 www.softline-solutions.de 8 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Infrastrukturen & Plattformen Virtualisierte Server Physikalische Server 17 NGFW: Security & Operations Intelligence Next Generation Firewall PAN-OS™ Implementierung: - Topologie: TAP, VW, L2, L3 - Infrastruktur: PM, DC, Mobile, Office, Produktion, Partner Integriertes Reporting: PAN-OS™ Custom Reports Rule Lifecycle Management: Single Pass Log XML, CSV, PDF API 3rd Party (SIEM, … ) 18 www.softline-solutions.de 9 21.11.2013 SOFTLINE INNER CIRCLE MIT VOLKSWAGEN Rule Lifecycle Management: Sicherheitsrichtlinien Visualisierung N/A/I/B/M Wartung Definition Richtlinie Berichtswesen Kontrolle Netzwerk………. PAN-OS™ Applikationen…. App-ID Inhalte………….. Content-ID Benutzer………..User-ID Maschine………. HIP 19 www.softline-solutions.de 10 21.11.2013