Co wnoszą technologie DLP, Insider Threat oraz UEBA pod...

Copyright © 2017 Forcepoint. | 1

Alexander Raczyński

Człowiek w centrum wydarzeń

Co wnoszą technologie DLP, Insider Threat oraz

UEBA pod kątem wykrywania i analizy incydentów?


”Obalenie dominującego paradygmatu”


THE HUMAN POINT

Ludzie są coraz częściej największym źródłem ryzyka dla organizacji

Niezadowolony

PracownikNieświadomy Księgowy

"Ogromny konflikt z

szefem. Zwolnienie i

wdrożonie bomby

czasowej uszkadzającej

nasz system HR,

wprowadzono fałszywe

transakcje w systemie

back-end klienta. "

Dedykowany InsiderSzantażowany

DeweloperWewnętrzny Aktywista Beztroski Manager

"Pobrał arkusz

kalkulacyjny z złośliwym

oprogramowaniem,

nieświadomie narażając

firmę. Zajęło nam wiele

tygodni, aby dowiedzieć

się, kto był źródłem

problemów. "

Sabotażysta SkompromitowanyKradzeż własności

intelektualnej

Kradzież danych

osobowychDonosiciel do mediów Zaniedbanie

"Rekrutowany przez

konkurenta. Wziął listy

klientów, pomysły na

produkty, wewnętrzne

dokumenty robocze -

wszystko, czego

kiedykolwiek był

częścią."

„Posty w mediach

społecznościowych o

problemach finansowych

doprowadziły "rekrutera”

do kontaktu z nią. Proste

prośby szybko eskalowały

się w szantaż ".

"Został rozczarowany po

przeczytaniu e-maili

zarządu, czatów i

dzienników o

wynagrodzeniach.

Poszedł do mediów z

opowieścią.

"Przyklejone hasła do

monitora, odmówił

zablokowania ekranu.

Regularnie wysyłał do

siebie poufne informacje,

których potrzebował do

zapamiętania.


Content Security & DLP

Cloud / On-Premise / Hybrid

Financial Resources

Deep Understanding of Threat Detection

Advanced Evasion Prevention

Security at Scale

CASBUEBA


rytm pracy naszych ludzi &

THE HUMAN POINT

przepływ naszych danych

zrozumieć


rytm pracy

naszych ludzi

rhythm of your

people

przepływ

naszych danych

KORZYŚCI PŁYNĄCE Z „THE HUMAN POINT”

WidzialnośćZidentyfikuj swoje dane i użytkowników

wszędzie tam, gdzie pracują Twoi

pracownicy

KontrolaJedna polityka zarządzania przepływem

danych i dostępem do wszystkich

systemów rozproszonych

RyzykoSkonsolidowany obraz ryzyka, który

uwzględnia działania użytkownika i

wartość informacji oprócz logów maszyn

Egzekwowanie

Adaptacyjne zabezpieczenie działające w

oparciu o zmianę ryzyka ludzkiego na

krytycznych danych w czasie

rzeczywistym

ZgodnośćSkuteczne egzekwowanie zgodności

(compliance) bez względu na to, gdzie

znajdują się dane


ROZWIĄZANIA FORCEPOINT DLA DANYCH I UŻYTKOWNIKÓW

Forcepoint DLP

Monitorowanie i kontrola przepływu

danych w

Cloud

Endpoint

Network

Discovery

Ochrona danych objętych

regulacjami

Ochrona własności intelektualnej

Forcepoint Insider Threat

Oparta o końcówki głęboka

widoczność i analiza zachowań

użytkowników

Ocena ryzyka użytkownika

Trend & odchylenia

Logi maszynowe + akcje

użytkownika

Korelacja użytkownika na

różnych systemach

Szczegółowe monitorowanie z

poszanowaniem prywatności

użytkowników

Forcepoint UEBA

Platforma analizy ryzyka dla

szerokiego wachlarza aktywności

użytkowników i oceny ryzyka

Kontekst zachowania - nie tylko

anomalie

Komunikacja + logi + dane

maszynowe + informacja z HR

Analityka „out-of-box” +

elastyczność w adaptacji do nowych

zagrożeń

przepływ naszych danychirytm pracy naszych ludzi


Technologia DLP


IDENTYFIKACJA CO POWINNO BYĆ ZABEZPIECZONE

Wiele narzędzi dla

różnych typów danych i

różnych zastosowań

Machine Learning


SKUPIONE NA INFORMACJI I ŚWIADOME KONTEKSTU


LICZBA GENEROWANYCH INCYDENTÓW (PRAWDZIWE PRZYKŁADY)

Użytkownicy Polityki Incydenty / Miesiąc Wysoka ranga Średnia ranga

18 000 72 22 000 6 000 13 000

8 000 147 600 000 5 000 24 000

40 000 68 18 000 4 500 11 000


LISTA INCYDENTÓW

Dokąd

Co

Co

Kto

Jak

Kiedy


SECURITY ANALYTICS – RANKING RYZYKA INCYDENTÓW


7

INSIDER THREAT


Ryzyko posiadania ludzi z autoryzowanym dostępem

w organizacji

INSIDER THREAT – CO TO JEST?


TRZY TYPY OSOBOWE

SKOMPROMITOWANY

UŻYTKOWNIK

Ofiara:

• Cyber-ataku

• Social-engineeringu

• Przekupstwa lub szantażu

ZŁOŚLIWY

UŻYTKOWNIK

• Odmienne zachowanie

• Nadużywa uprawnień i dostępu

• Usprawiedliwia celowe wrogie

działanie

• Transferuje chronione dane na

zewnątrz

PRZYPADKOWY

UŻYTKOWNIK

• Nieprawidłowy proces biznesowy

• Niświadomość ryzyka

• Brak treningu


Worldwide Sales Conference 2016, Proprietary & Confidential | 20

Ach tak... Pan Snowden...

WSKAŹNIKI ZAGROŻEŃ

Nieprawidłowy dostęp „po godzinach”

przez kontrahenta na Hawajach

Ogromne transfery danych na USB Nieprawidłowe wykorzystanie konta

przez 20-25 kont peerowych

powiązanych z adresem IP

SnowdenaNieprawidłowe działania z użyciem

konta administratora

Nietypowy ruch lateralny w sieci


1

ARCHITECTURE – HOW IT WORKS..

Application

General

Application

(AIM, ICQ, Yahoo,

Sametime)

Clipboard Email File Keyboard Logon Printer Process System Info Video Web Web URL Webmail

(Gmail, Yahoo,

Outlook)

Core Software

Collector

Command Center

Endpoint

Agents

Copyright © 2016 Forcepoint. All rights reserved. | 22

INSIDER THREAT ZDOLNOŚCI MONITOROWANIA

2

2

META DANE

KOPIE ODWIEDZONYCH WITRYNRenderowane kopie pełnych witryn

KOPIE WIADOMOŚCI EMAILWysłane i otrzymane

KOPIE PLIKÓWWysłane, pobrane, załączniki, schowek, pliki

utworzone / kopiowane / przeniesione / usunięte

DESKTOP VIDEO REPLAY

Application

General

Clipboard

Email

File

Keyboard

Logon

Printer

ProcessSystem Info

Video

Web

Web URLs

Webmail

(Gmail, Yahoo,

Outlook)

Mature Endpoint Agent

Solidne APIsdla danych z zewnątrz

• Forcepoint DLP + DLP events

• Network data*

• SIEM logs*

• HR data*

• Badge records*


Scoring Engines

Obiekt

użytkownika

Individualne

Anomalie

ilościowe Polityki

3rd partyPolityki

Wynik

zespolony

Naruszenie politykOrganizacyjne

Anomalie

ilościowe

OCENA RYZYKA UŻYTKOWNIKA: WYNIK ZESPOLONY

Machine

Learning


FORCEPOINT INSIDER THREAT - COMMAND CENTER

2

4

Ryzyko Organizacji 30 dni

Ryzyko dzisiaj

Użytkownicy – top risk


FORCEPOINT INSIDER THREAT - COMMAND CENTER

2

5

Historia 30 dni

Ryzykowne aktywności

Filtry

Aktywności


ODTWARZANIE WIDEO

2

6


UEBA(User and Entity Bevaviour Analitics)


USER & ENTITY BEHAVIOR ANALYTICS

1st

Generacja UEBA:

Analizuj dane SIEM i znajdź anomalie z miliardów wpisów

w logach i rejestrowancyh zdarzeń

SIEM Moduł analityczny:

Wbudowane analityki w SIEM

Wyniki

Od 1000-cy zdarzeń do 100-ek anomali

Anomalie nie są aktywne

Anomalie są "wskazówką" wartą zainteresowania, ale

brak im kontekstu co dalej robić

Brak kontekstu zagrożonych danych

Analityk musi skorzystać z innych produktów, aby

sprawdzić, czy działanie użytkownika powoduje

zagrożenie dla firmy

Brak kontekstu odnośnie akcji użytkownika i urządzenia

Anomalie dostarczają ograniczonej wartości bez kontekstu zagrożonych

danych i określonych zagrożeń

"Produkt UEBA, który rejestruje tylko logi,

może pominąć ważną aktywność,

zwłaszcza jeśli nie ma pełnej widoczności

na stacji roboczej używanej przez

użytkownika... Niestrukturalne informacje

kontekstowe (takie jak oceny wyników,

dzienniki podróży i aktywność w mediach

społecznościowych) mogą być niezwykle

użyteczne w wykrywaniu i ocenie

ryzykownych zachowań użytkowników".

– Gartner, Dec. 2016


PLATFORMA


PODEJŚCIE ANALITYCZNE DO ZACHOWANIA UŻYTKOWNIKA

WIDOK UŻYTKOWNIKA OPARTY O

Wzbogacaj wydarzenia o obserwowane interesujące nas cechy, normalizuj pod

kątem ich unikalności względen jednostki lub grupy rówieśniczej.Wskaż wskaźniki dotyczące obiekty, które nie są powiązane z

aktywnością, ale które mają wpływ na kalkulację ryzyka

SCENARIUSZE“Połącz punkty” dla modelu opartego o zdarzenia/objekty by móc

obliczyć zespolony wynik dla ryzyka

KOLEKCJA ATRYBUTÓW I CECH OBJEKTÓW

(pozyskana z HR, Active Directory, CMDB)

Cechy objektuWłaściwości objektu

ZBIRANIE ZDARZEŃ I ICH WZBOGACANIE

(Przesyłanie strumieniowe lub grupowe za pośrednictwem interfejsu API)

Kim oni sąCo oni robią

ANALIZA ZDARZEŃ - “Co oni robią” ANALIZA OBJEKTÓW - “Kim oni są”

INTERSUJĄCY

LUDZIE

INTERSUJĄCE

ZDRZENIA


INTERFEJS GRAFICZNY STWORZONY DLA ANALITYKÓW

Zidentyfikuj pracowników o największym ryzykuPanel analityczny "łączy

kropki" w celu

zidentyfikowania

nieznanych zagrożeń i

zapewnia szeroką

świadomość na temat

sytuacji za pomocą

holistycznych ocen ryzyka.

Oceny holistyczne - oceny

zagrożeń dla objektów – są

pochodną zaawansowanych

analiz, które sprawdzają

wszystkich monitorowanych

pracowników we wszystkich

ich działaniach.


UI PURPOSE-BUILT FOR ANALYSTS

Streamlined Event Review


UI PURPOSE-BUILT FOR ANALYSTS

Fast, Friendly Forensics


Thank you

Co wnoszą technologie DLP, Insider Threat oraz UEBA pod...

Documents

Transcript of Co wnoszą technologie DLP, Insider Threat oraz UEBA pod...