Post on 28-Feb-2019
Copyright © 2017 Forcepoint. | 1
Alexander Raczyński
Człowiek w centrum wydarzeń
Co wnoszą technologie DLP, Insider Threat oraz
UEBA pod kątem wykrywania i analizy incydentów?
Copyright © 2017 Forcepoint. | 2
Copyright © 2017 Forcepoint. | 3
”Obalenie dominującego paradygmatu”
Copyright © 2017 Forcepoint. | 4
THE HUMAN POINT
Ludzie są coraz częściej największym źródłem ryzyka dla organizacji
Niezadowolony
PracownikNieświadomy Księgowy
"Ogromny konflikt z
szefem. Zwolnienie i
wdrożonie bomby
czasowej uszkadzającej
nasz system HR,
wprowadzono fałszywe
transakcje w systemie
back-end klienta. "
Dedykowany InsiderSzantażowany
DeweloperWewnętrzny Aktywista Beztroski Manager
"Pobrał arkusz
kalkulacyjny z złośliwym
oprogramowaniem,
nieświadomie narażając
firmę. Zajęło nam wiele
tygodni, aby dowiedzieć
się, kto był źródłem
problemów. "
Sabotażysta SkompromitowanyKradzeż własności
intelektualnej
Kradzież danych
osobowychDonosiciel do mediów Zaniedbanie
"Rekrutowany przez
konkurenta. Wziął listy
klientów, pomysły na
produkty, wewnętrzne
dokumenty robocze -
wszystko, czego
kiedykolwiek był
częścią."
„Posty w mediach
społecznościowych o
problemach finansowych
doprowadziły "rekrutera”
do kontaktu z nią. Proste
prośby szybko eskalowały
się w szantaż ".
"Został rozczarowany po
przeczytaniu e-maili
zarządu, czatów i
dzienników o
wynagrodzeniach.
Poszedł do mediów z
opowieścią.
"Przyklejone hasła do
monitora, odmówił
zablokowania ekranu.
Regularnie wysyłał do
siebie poufne informacje,
których potrzebował do
zapamiętania.
Copyright © 2017 Forcepoint. | 5
Content Security & DLP
Cloud / On-Premise / Hybrid
Financial Resources
Deep Understanding of Threat Detection
Advanced Evasion Prevention
Security at Scale
CASBUEBA
Copyright © 2017 Forcepoint. | 6
rytm pracy naszych ludzi &
THE HUMAN POINT
przepływ naszych danych
zrozumieć
Copyright © 2017 Forcepoint. | 7
rytm pracy
naszych ludzi
rhythm of your
people
przepływ
naszych danych
KORZYŚCI PŁYNĄCE Z „THE HUMAN POINT”
WidzialnośćZidentyfikuj swoje dane i użytkowników
wszędzie tam, gdzie pracują Twoi
pracownicy
KontrolaJedna polityka zarządzania przepływem
danych i dostępem do wszystkich
systemów rozproszonych
RyzykoSkonsolidowany obraz ryzyka, który
uwzględnia działania użytkownika i
wartość informacji oprócz logów maszyn
Egzekwowanie
Adaptacyjne zabezpieczenie działające w
oparciu o zmianę ryzyka ludzkiego na
krytycznych danych w czasie
rzeczywistym
ZgodnośćSkuteczne egzekwowanie zgodności
(compliance) bez względu na to, gdzie
znajdują się dane
Copyright © 2017 Forcepoint. | 8
ROZWIĄZANIA FORCEPOINT DLA DANYCH I UŻYTKOWNIKÓW
Forcepoint DLP
Monitorowanie i kontrola przepływu
danych w
Cloud
Endpoint
Network
Discovery
Ochrona danych objętych
regulacjami
Ochrona własności intelektualnej
Forcepoint Insider Threat
Oparta o końcówki głęboka
widoczność i analiza zachowań
użytkowników
Ocena ryzyka użytkownika
Trend & odchylenia
Logi maszynowe + akcje
użytkownika
Korelacja użytkownika na
różnych systemach
Szczegółowe monitorowanie z
poszanowaniem prywatności
użytkowników
Forcepoint UEBA
Platforma analizy ryzyka dla
szerokiego wachlarza aktywności
użytkowników i oceny ryzyka
Kontekst zachowania - nie tylko
anomalie
Komunikacja + logi + dane
maszynowe + informacja z HR
Analityka „out-of-box” +
elastyczność w adaptacji do nowych
zagrożeń
przepływ naszych danychirytm pracy naszych ludzi
Copyright © 2017 Forcepoint. | 9
Technologia DLP
Copyright © 2017 Forcepoint. | 10
IDENTYFIKACJA CO POWINNO BYĆ ZABEZPIECZONE
Wiele narzędzi dla
różnych typów danych i
różnych zastosowań
Machine Learning
Copyright © 2017 Forcepoint. | 11
SKUPIONE NA INFORMACJI I ŚWIADOME KONTEKSTU
Copyright © 2017 Forcepoint. | 12
LICZBA GENEROWANYCH INCYDENTÓW (PRAWDZIWE PRZYKŁADY)
Użytkownicy Polityki Incydenty / Miesiąc Wysoka ranga Średnia ranga
18 000 72 22 000 6 000 13 000
8 000 147 600 000 5 000 24 000
40 000 68 18 000 4 500 11 000
Copyright © 2017 Forcepoint. | 13
LISTA INCYDENTÓW
Dokąd
Co
Co
Kto
Jak
Kiedy
Copyright © 2017 Forcepoint. | 14
SECURITY ANALYTICS – RANKING RYZYKA INCYDENTÓW
Copyright © 2017 Forcepoint. | 15
SECURITY ANALYTICS – RANKING RYZYKA INCYDENTÓW
Copyright © 2017 Forcepoint. | 16
Copyright © 2017 Forcepoint. | 171
7
INSIDER THREAT
Copyright © 2017 Forcepoint. | 18
Ryzyko posiadania ludzi z autoryzowanym dostępem
w organizacji
INSIDER THREAT – CO TO JEST?
Copyright © 2017 Forcepoint. | 19
TRZY TYPY OSOBOWE
SKOMPROMITOWANY
UŻYTKOWNIK
Ofiara:
• Cyber-ataku
• Social-engineeringu
• Przekupstwa lub szantażu
ZŁOŚLIWY
UŻYTKOWNIK
• Odmienne zachowanie
• Nadużywa uprawnień i dostępu
• Usprawiedliwia celowe wrogie
działanie
• Transferuje chronione dane na
zewnątrz
PRZYPADKOWY
UŻYTKOWNIK
• Nieprawidłowy proces biznesowy
• Niświadomość ryzyka
• Brak treningu
Copyright © 2017 Forcepoint. | 20
Worldwide Sales Conference 2016, Proprietary & Confidential | 20
Ach tak... Pan Snowden...
WSKAŹNIKI ZAGROŻEŃ
Nieprawidłowy dostęp „po godzinach”
przez kontrahenta na Hawajach
Ogromne transfery danych na USB Nieprawidłowe wykorzystanie konta
przez 20-25 kont peerowych
powiązanych z adresem IP
SnowdenaNieprawidłowe działania z użyciem
konta administratora
Nietypowy ruch lateralny w sieci
Copyright © 2017 Forcepoint. | 212
1
ARCHITECTURE – HOW IT WORKS..
Application
General
Application
(AIM, ICQ, Yahoo,
Sametime)
Clipboard Email File Keyboard Logon Printer Process System Info Video Web Web URL Webmail
(Gmail, Yahoo,
Outlook)
Core Software
Collector
Command Center
Endpoint
Agents
Copyright © 2016 Forcepoint. All rights reserved. | 22
INSIDER THREAT ZDOLNOŚCI MONITOROWANIA
2
2
META DANE
KOPIE ODWIEDZONYCH WITRYNRenderowane kopie pełnych witryn
KOPIE WIADOMOŚCI EMAILWysłane i otrzymane
KOPIE PLIKÓWWysłane, pobrane, załączniki, schowek, pliki
utworzone / kopiowane / przeniesione / usunięte
DESKTOP VIDEO REPLAY
Application
General
Clipboard
File
Keyboard
Logon
Printer
ProcessSystem Info
Video
Web
Web URLs
Webmail
(Gmail, Yahoo,
Outlook)
Mature Endpoint Agent
Solidne APIsdla danych z zewnątrz
• Forcepoint DLP + DLP events
• Network data*
• SIEM logs*
• HR data*
• Badge records*
Copyright © 2017 Forcepoint. | 23
Scoring Engines
Obiekt
użytkownika
Individualne
Anomalie
ilościowe Polityki
3rd partyPolityki
Wynik
zespolony
Naruszenie politykOrganizacyjne
Anomalie
ilościowe
OCENA RYZYKA UŻYTKOWNIKA: WYNIK ZESPOLONY
Machine
Learning
Copyright © 2017 Forcepoint. | 24
FORCEPOINT INSIDER THREAT - COMMAND CENTER
2
4
Ryzyko Organizacji 30 dni
Ryzyko dzisiaj
Użytkownicy – top risk
Copyright © 2017 Forcepoint. | 25
FORCEPOINT INSIDER THREAT - COMMAND CENTER
2
5
Historia 30 dni
Ryzykowne aktywności
Filtry
Aktywności
Copyright © 2017 Forcepoint. | 26
ODTWARZANIE WIDEO
2
6
Copyright © 2017 Forcepoint. | 27
UEBA(User and Entity Bevaviour Analitics)
Copyright © 2017 Forcepoint. | 28
USER & ENTITY BEHAVIOR ANALYTICS
1st
Generacja UEBA:
Analizuj dane SIEM i znajdź anomalie z miliardów wpisów
w logach i rejestrowancyh zdarzeń
SIEM Moduł analityczny:
Wbudowane analityki w SIEM
Wyniki
Od 1000-cy zdarzeń do 100-ek anomali
Anomalie nie są aktywne
Anomalie są "wskazówką" wartą zainteresowania, ale
brak im kontekstu co dalej robić
Brak kontekstu zagrożonych danych
Analityk musi skorzystać z innych produktów, aby
sprawdzić, czy działanie użytkownika powoduje
zagrożenie dla firmy
Brak kontekstu odnośnie akcji użytkownika i urządzenia
Anomalie dostarczają ograniczonej wartości bez kontekstu zagrożonych
danych i określonych zagrożeń
"Produkt UEBA, który rejestruje tylko logi,
może pominąć ważną aktywność,
zwłaszcza jeśli nie ma pełnej widoczności
na stacji roboczej używanej przez
użytkownika... Niestrukturalne informacje
kontekstowe (takie jak oceny wyników,
dzienniki podróży i aktywność w mediach
społecznościowych) mogą być niezwykle
użyteczne w wykrywaniu i ocenie
ryzykownych zachowań użytkowników".
– Gartner, Dec. 2016
Copyright © 2017 Forcepoint. | 29
PLATFORMA
Copyright © 2017 Forcepoint. | 30
PODEJŚCIE ANALITYCZNE DO ZACHOWANIA UŻYTKOWNIKA
WIDOK UŻYTKOWNIKA OPARTY O
Wzbogacaj wydarzenia o obserwowane interesujące nas cechy, normalizuj pod
kątem ich unikalności względen jednostki lub grupy rówieśniczej.Wskaż wskaźniki dotyczące obiekty, które nie są powiązane z
aktywnością, ale które mają wpływ na kalkulację ryzyka
SCENARIUSZE“Połącz punkty” dla modelu opartego o zdarzenia/objekty by móc
obliczyć zespolony wynik dla ryzyka
KOLEKCJA ATRYBUTÓW I CECH OBJEKTÓW
(pozyskana z HR, Active Directory, CMDB)
Cechy objektuWłaściwości objektu
ZBIRANIE ZDARZEŃ I ICH WZBOGACANIE
(Przesyłanie strumieniowe lub grupowe za pośrednictwem interfejsu API)
Kim oni sąCo oni robią
ANALIZA ZDARZEŃ - “Co oni robią” ANALIZA OBJEKTÓW - “Kim oni są”
INTERSUJĄCY
LUDZIE
INTERSUJĄCE
ZDRZENIA
Copyright © 2017 Forcepoint. | 31
INTERFEJS GRAFICZNY STWORZONY DLA ANALITYKÓW
Zidentyfikuj pracowników o największym ryzykuPanel analityczny "łączy
kropki" w celu
zidentyfikowania
nieznanych zagrożeń i
zapewnia szeroką
świadomość na temat
sytuacji za pomocą
holistycznych ocen ryzyka.
Oceny holistyczne - oceny
zagrożeń dla objektów – są
pochodną zaawansowanych
analiz, które sprawdzają
wszystkich monitorowanych
pracowników we wszystkich
ich działaniach.
Copyright © 2017 Forcepoint. | 32
UI PURPOSE-BUILT FOR ANALYSTS
Streamlined Event Review
Copyright © 2017 Forcepoint. | 33
UI PURPOSE-BUILT FOR ANALYSTS
Fast, Friendly Forensics
Copyright © 2017 Forcepoint. | 34
Thank you