Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?

AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?

Leandro Vicente

Sr. Systems Engineer - SP

Arthur Fang

Principal Technical Support Engineer - SP

Diego Almeida

Especialista em Cyber Segurança

Sobre os nossos apresentadores

Copyright © 2015 Symantec Corporation

Arthur Fang Principal Techincal Support Engineer - 15 anos de experiência em TI - 9,5 anos na Symantec - Especialista em soluções de segurança - Atua na equipe Avançada do Suporte Técnico. - Análise de Malware e Forense.

Leandro Vicente Sr. Systems Engineer - 14 anos na Symantec - Especialista em soluções de segurança e conformidade - Atua na pré-venda para clientes do segmento Financeiro, desenvolvendo soluções para proteção e gerenciamento das informações

Sobre os nossos apresentadores


Diego Almeida Especialista em Cyber Segurança - Mais de 15 anos de experiência em soluções de segurança de

perímetro e serviços gerenciados. - Responsável pelo portfólio de Cyber Security para América Latina

Segurança Corporativa| Estratégia de Produtos e Serviços

4

Threat Protection

ENDPOINTS DATA CENTER GATEWAYS

• Advanced Threat Protection através de todos os pontos de controle • Forense e Remediação embutida em cada ponto de controle • Proteção integrada para Workloads: On-Premise, Virtual e Cloud • Gestão baseada em nuvem para Endpoints, Datacenter e Gateways

Unified Security Analytics Platform

Coleta de Logs e Telemetria

Gestão Unificadas de Incidentes e Customer Hub

Integrações com Terceitos e Inteligência

Benchmarking Regional e por Segmento

Análise Integrada de Comportamento e Ameaças

Information Protection

DADOS IDENTIDADES

• Proteção integrada para Dados e Identidades • Cloud Security Broker para Apps Móveis e em Nuvem • Análise de comportamento dos usuários • Gestão de Chaves e Criptografia em Nuvem

Users

Data

Apps

Cloud

Endpoints

Gateways

Data Center

Cyber Security Services Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários


TAKE THE NEXT STEP

SYMANTEC

ADVANCED THREAT PROTECTION 2.0

Dia do Lançamento

• Symantec Advanced Threat Protection 1.0 : Network & Email – Maio/2015

– Mais de 20 clientes testou o Beta antes de Maio/2015

– Mais de 145 mil agentes em produção

– Tecnologia testada em mais de 200 Milhões de endpoints

– Cynic para Email adicionado em Novembro/2015

• Symantec Endpoint Protection EDR for ATP v2 (SEP 12.1.6 MP3)– Novembro/2015

• Symantec Advanced Threat Protection v2.0 Network, Email e Endpoint – Dezembro/2015

• Roadmap agressivo para os próximos 6 meses

• Como descobrir APTs, AETs, RATs, BotNets?

7

PREVENIR

Parar os ataques recebidos

DETECTAR RESPONDER

Conter & Remediar os problemas

RECUPERAR

Restaurar as operações

PREVENÇÃO SOZINHA NÃO É SUFICIENTE

Copyright © 2015 Symantec Corporation 8

IDENTIFICAR

Saber onde os dados importantes estão

Identificar as Invasões/incursões

A DETECÇÃO TEM SE TORNADO CADA VEZ MAIS DIFÍCIL

O Produtos de segurança atuais em sua maioria não são integrados As ameaças podem “fugir” de tecnologias tradicionais de sandboxing

Conteúdo malicioso conhecido detectado

Comportamento de rede suspeito

Malware conhecido bloqueado

Comportamento suspeito do arquivo

Quando as empresas detectam ameaças avançadas, é demorado e difícil para elas limparem os artefatos de ataque em todo o ambiente

Anexo malicioso bloqueado

URL maliciosa detectada

Rede Endpoints Email


E EVENTOS DEMORAM TEMPO PARA SEREM TRATADOS O analista deve entrar em contato com o usuário final e coletar manualmente um arquivo

específico nos endpoints

Conteúdo malicioso conhecido detectado

Comportamento de rede suspeito

Malware conhecido bloqueado

Comportamento suspeito do arquivo

Seguido por atualizações de políticas individuais para cada produto de segurança para remover o arquivo onde ele estiver

Anexo malicioso bloqueado

URL maliciosa detectada

Rede Endpoints Email


SYMANTEC™ ADVANCED THREAT PROTECTION SOLUCIONA ESTES PONTOS

Prioriza o que mais importa

Remedia rapidamente

Aproveita investimentos atuais

Descobre ameaças avançadas através de endpoints, rede, e email


Testes de mercado de Detecção e Falso-Positivo


Full Report: https://goo.gl/rDCc17

Full Report: http://goo.gl/69Ghmt

Full Report: http://goo.gl/B9ho2m

https://goo.gl/rDCc17



http://goo.gl/69Ghmt

http://goo.gl/69Ghmt

http://goo.gl/B9ho2m

http://goo.gl/B9ho2m

Melhor no em detecção comparado ao CISCO SOURCEFIRE e FIREEYE

Copyright © 2015 Symantec Corporation - Published 5/5/2015 13

Principais conclusões: • Melhor performance na detecção de Malware • Detectou 100% dos Advanced Persistent Threats (ATP) • Detectou 100% dos Advanced Evasive Threat (AET) • Detectou 100% dos BotNet • Detectou 100% dos virus antigos • Detecção de RATs acima da media • O que mais detectou ameaças ativas na rede • O que mais detectou documentos com conteúdo maliciosos

Na média o Symantec ATP detectou 18,5% mais que os seus competidores

• O que foi comprometido? • Qual o alcance e atividade da ameaça?

14

Indicators-of-Compromise (IoCs) de um ataque

• Solução Symantec ATP fornece um ponto único de visualização dos IOCs de um ataque

• Inclui um gráfico completo com as relações e conexões entre os IOCs, como: – Todas as atividades suspeitas na organização

– Como os eventos estão relacionados • Arquivos usados em um ataque;

• Os e-mails com estes arquivos e as origens

• Origem de IPs e Dominio dos arquivos


• Adiciono Endpoint Detection and Response (EDR) nos agentes de SEP já existentes no ambiente

– Capacidade de busca de IOCs em todo os agentes de SEP através da console de gerenciamento do ATP

• Hash ou nome do arquivo, Chave de Registro, IP e URL

– Incluindo remediação em 1-click

• Coleta do arquivo, deletar o arquivo, envio para o Cynic (sandbox), colocar o endpoint em quarentena e etc.

CAÇANDO OS INDICATORS OF COMPROMISE COM ADVANCED THREAT PROTECTION: ENDPOINT

1. O analista de segurança inicia a busca na console Symantec Advanced Threat Protection a varredura nos clientes.

2. A requisição de varredura está na fila para o heartbeat e será entregue para o cliente no próximo heartbeat. Por padrão o tempo máximo é de 5 minutos.

3. SEPM inicia a busca em cada endpoint com o SEP cliente, e pode verificar os seguintes itens (Na varredura rápida ou varredura completa):

• Arquivos por hash (SHA256, SHA1 and MD5) ou nome

• IP externos ou website

• Chave de registros

4. Verificação de resultados são retornados para o SEPM em tempo real.

5. Os dados são disponibilizados na console de Symantec Advanced Threat Protection.

6. O arquivo(s) podem ser recuperadas de qualquer endpoint para análises futuras.

1

2

3

4

5


Tipos de Busca

• Inline (Datastore) – Pesquisa de um artefato na base local

– Retorno do resultado em segundos

– Eventos de um artefato gerados nos sensores do endpoint e da rede

– Exemplos (arquivo, hash, domínio, hostname, username, IP)

– Busca de arquivos do tipo executaveis (exe,dll,com,scr,msi,drv,sys,ocx,cpl)

• Integrado no Endpoint – Busca de artefatos no endpoint

– Resultados podem ser adiados com base em alguns fatores (heartbeat, endpoint off-line, cache)

– Examples (arquivo, hash, chave de registro)

– Todos os tipos de arquivo (Executaveis ou não)

.

17 Copyright © 2014 Symantec Corporation

Expressões da busca

• O usuário pode fornecer expressões como critérios para reduzir o escopo da pesquisa.

– “<Field> <Operator> ‘<Value>’ [ [ AND|OR ] <Field> <Operator> ‘<Value>’ ]…”

• As expressões (Field, Operator, Value) podem ser combinadas com as operações lógicas AND ou OR.

• O valor tem que ter aspas simples.

• As expressões são validadas pelo campo, operação e o formato do valor

• Alerta na console para as expressões inválidas


Expressões da busca (continuação…)

Os operadores de busca suportados:

Uma busca com uma expressão inválida mostra um erro com detalhes abaixo da área de busca.

Operadores Descrição

= Combinação exata de campo com determinado valor.

match Um determinado valor de um campo

like Como um “começar com” comparison of the given value in the field.

!= Negativo do operador “=“

not_match Negativo do operador “match”

not_like Negativo do operador “like”

19

Expressões da busca (continuação…)

• Resulatado de uma busca com uma expressão válida

• And/ Or/ = / Not equal/ Match/ Like


Pagina dos pontos

21

Arquivo Incidentes Relacionados Eventos Relacionados Visto nos Endpoints Origem do download Nome do arquivo associado ao Hash Resultado do Cynic (Sandbox)

Domínio Incidentes Relacionados Download dos Arquivos Endpoints que comunicaram IP’s Associados com o Domínio

Endpoint Incidentes Relacionados Eventos Relacionados Arquivos Maliciosos Conexões Maliciosas

ADVANCED THREAT PROTECTION: ENDPOINT

SEPM 12.1 RU6 suporta todas as funcionalidades do ATP:ENDPOINT,

porém versões antigas do agente podem ser usadas

Versões Coleta de

arquivo Deletar arquivo

IOC

Hunting

Endpoint

Quarantine

Blacklist de

arquivo por

hash

Insight e

Submissões

redirecionadas

para o SEPM

Insight

redirecionado

para o SEPM

Insight Local e

redirecionamento

das Submissões

SEP 12.1 RU6

SEP 12.1 RU5

SEP 12.1 RU4

SEP 12.1 RU3

SEP 12.1 RU2 e

inferiores

Funcionalidades suportadas por versão do SEP

Campo Exemplo De SEP RU5 até o SEP RU6 MP2

SEP RU6 MP3 e superior

Caminho do arquivo C:\Windows\*\foo.exe - X

Nome do arquivo C:\Windows\temp\foo* X X

CSIDL CSIDL_APPDATA\\antivirus\\downloader - X

Variável de ambiente %APPDATA%\\antivirus\\downloader X X

Chave de registro HKLM\Software\Symantec\*\InstalledApps - X

Wildcard no valor da chave de registro

HKLM\Software\Symantec Value = *Path

- X

Busca do valor da chave de registro

Não (valor é

retornado em resposta)

X

23

Wildcard suportados para busca de evidencias pela versão do SEP

Busca da evidência via console do ATP

• Usa a integração com o SEPM para fazer as chamadas no agente do SEP

• Em Push mode a solicitação e o retorno é enviado imediatamente

• Em Pull Mode a busca depende do heartbeat

– A resposta depende do heartbeat configurado no SEPM

– Exemplo: Uma busca de arquivo iniciado com Foo.exe, o Endpoints não vai iniciar a busca do arquivo Foo.exe antes do heartbeat

• O resultado da pesquisa é retornado imediatamente, quando:

– Busca de Hash

– Pesquisa de nome de arquivo com o caminha é utilizada a verificação rápida

• Uma pesquisa por nome sem o caminho é necessário uma pesquisa complete

24

Busca da evidência via console do ATP

• Quando a varredura é utilizada

– Maquinas off-line não serão afetadas pela varredura

– Maquinas off-line receberão a varredura quando ficarem online

– Agente com versão não compatível mostrará como varredura rejeitada

– ATP mostra o resultado da pesquisa quando a tarefa estiver completada

– Maquinas remotas armazenam o resultado em cache em caso de perda a comunicação


SymEFA

• Base de dados local no endpoint com atributos adicionais dos arquivos

• Armazena os hashes localmente dos executaveis (exe,dll,com,scr,msi,drv,sys,ocx,cpl)

• Busca de EOC rapidamente na base do SymEFA antes de uma varredura completa

• Se o hash estiver no SymEFA a resposta é envida em segundos

• Somente os executaveis são armazenados no SymEFA



SymEFA

Valores de busca das Evidencias

Operadores suportados

Operador Descrição

= Combinação exata de campo com determinado valor.

match Um determinado valor de um campo

like Como um “começar com” comparison of the given value in the field.

Nome do campo Descrição

filename Busca pelo nome do arquivo

registry Busca pelo valor de uma chave de registro

filehash Busca pelo hash do arquivo (MD5, SHA256)

Operação Logica EOC

OR Filename ou filehash

* Em um caminho e pasta ou nome de arquivo (Somente RU6)

28

Nome do arquivo (FileName)

Busca pelo nome do arquivo é suportado nos formatos:

• Variável de ambiente (%windir%, %system32%)

• Caminho CSIDL

– CSIDL_SYSTEM_DRIVE (C:\) %Systemdrive%

– CSIDL_DRIVE_FIXED (C:, D:)

– CSIDL_DRIVE (Qualquer letra válida)

• RegEx não é suportado para busca por nome de arquivo (FileName)

• Wildcard suportados

– ? Único caractere

– * Numero de caracteres

29

Interrogatório no Endpoint


Status do progresso no SEPM


Tarefa executada nos agentes do SEP


Resultado na console do ATP


ATP Demonstration


Cyber Security Services Advanced Threat Hunting


CYBER SECURITY SERVICES

36

MANAGED SECURITY SERVICES

INCIDENT RESPONSE

SECURITY SIMULATION

DEEPSIGHT INTELLIGENCE

Rastrear e analisar eventos de segurança , criar ações de inteligência

Proteger contra ataques direcionados, ameaças avançadas e campanhas.

Responder rapidamente à eventos, de forma eficiente.

Reforçar o preparo dos seus profissionais para se prevenir contra ataques avançados.

CYBER NE DEEPSIGHT

INTELLIGENCE

SECURITY SIMULATION


INCIDENT RESPONSE

Organizações de segurança estão lutando uma batalha desproporcional


Cybersecurity é a competência de TI

com maior escassez nos últimos 4 anos*

Baixa experiência com violações na prática

Organizações não possuem a certeza que

estão preparados

Recursos aparentemente ilimitados

Ataques sofisticados e multi-estágios

Táticas dos atacantes constantemente transformandoas

• * ESG’s annual global IT Spending Intentions survey has shown a ’problematic shortage’ of cybersecurity experts as the top IT skills shortage for four years in a row. • http://www.esg-global.com/research-reports/2015-it-spending-intentions-survey/

Ausência de plano é planejar para falhar

37% 68%

60%

NÃO CONFIAM QUE PODE LIDAR COM AS CONSEQUENCIAS DE UMA BRECHA

NÃO REVISARAM OU ATUALIZARAM SEU PLANO DE RESPOSTA DESDE QUE FOI IMPLEMENTADO

TEM UM PLANO DE RESPOSTA

Copyright © 2015 Symantec Corporation 38 38

E ao que isto leva?


Altos custos de resposta Tempos de resposta

ruins Baixa eficácia

Dificuldades para mostrar o ROI dos

investimentos

Como a Symantec pode ajudar Cyber Readiness Services


Planejamento e desenvolvimento do

programa de IR IR Team Training IR Tabletop Exercises

Advanced Threat Hunting Compromise Assessment

Como a Symantec pode ajudar Cyber Readiness Services


Planejamento e desenvolvimento do

programa de IR IR Team Training IR Tabletop Exercises

Advanced Threat Hunting Compromise Assessment

Advanced Threat Hunting?


O que é? Serviço executado onsite por profissionais Symantec com mais de 12 anos de experiência em investigação de incidents. Como? Buscando na rede do cliente por atividades maliciosas através de metodologia e tecnologias próprias.

Quais os resultados que posso esperar? Melhor entendimento sobre qualquer potencial exposição e recomendações para contenção e remediação. Conhecer quais informações foram retiradas, como ocorreu e quais foram os atores envolvidos. Como adquirir? Comercializado por número de dias, estipulados após uma definição de escopo em conjunto com o cliente.

INCIDENT RESPONSE

Responder rapidamente à eventos, de forma eficiente.


Experience Matters – Média do time com 12 anos de experiência em IR

– 5 patentes de tecnologia de IR retidas pelo Team

– Experiência direta em todas as verticais, incluindo Sector Público

– Experiência com Brechas de Alto-Perfil

Symantec Managed Security Services

Visibilidade Global

• Mais de 500 clientes em todo mundo

• Visão ampla de ameaças emergentes

• Analistas Symantec reconhecem e respondem rapidamente a ataques direcionados

Resposta mais rápida

• Melhor visibilidade através do ATP ajuda a identificar os estágios de campanhas e ataques complexos, incluindo movimentação lateral

• Minimiza seu tempo de resposta e exposição

Global Intelligence

Endpoint Network Email

Advanced Threat Protection

MSS Global Operations

Other ATP Products Users

Data

Apps

Cloud Endpoints

Gateways

MSS Analytics Platform

Real Time Correlation

Global Threat Intelligence

Advanced Threat & Behavioral Analysis


Proteger contra ataques direcionados, ameaças avançadas e campanhas.

OBTENHA SUPORTE ADICIONAL E TREINAMENTO COM SERVIÇOS DA SYMANTEC.

45

Business Critical Services

Education

Essential Support

Remote Product Specialist

Acesso personalizado a um

engenheiro, com experiência

técnica em uma família de

produtos específicos, que também

é habituado com o seu ambiente.

• 24/7/365 online learning anywhere

• Instrutor presencial ou virtual

• Certificações

Premier

• Seu próprio especialista de serviços.

• Rápida resposta na resolução de problemas.

• Planejamento proativo e gerenciamento de risco.

• Acesso incluso no Symantec technical education

• Assistência Onsite.

• Acesso 24/7 de engenheiro de suporte técnicos. • Atualizações de produtos, incluindo atualizações de recursos e

correções de versões.

• Atualização de conteúdo de segurança, incluindo definições de vírus e regras de spam.

Conhecimento e experiência

em todo o ciclo de vida do

software para ajudar você a

atingir os objetivos do seu

negócio.

Consulting


Perguntas do Chat


[email protected]

Nome do Próximo Webinar BE AWARE para Brasil


Alinhando sua estratégia de segurança: Visibilidade e

Conformidade

Para mais informação

@SymantecBR

https://www.facebook.com/SymantecBrasil

[email protected]

Thank you!

Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Obrigado!

Technology

Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?