Warszawa, 21 czerwca 2017 - PASSUS · Symantec Email Security Solution –także Cloud...
Transcript of Warszawa, 21 czerwca 2017 - PASSUS · Symantec Email Security Solution –także Cloud...
Przestępcze scenariusze
wykorzystania e-mail a sposoby zabezpieczeńWarszawa, 21 czerwca 2017
Tomasz Zawicki CISSP
CIA
1. CIA – Centralna Agencja Wywiadowcza
2. Triada bezpieczeństwa: Confidentiality, Integrity, Availability
E-mail = protokół SMTP
Usługa e-mail
• Pierwszy list wysłano w 1991r
• RFC 821 – 1992r -> RFC 5321 – 2008r
• Brak skutecznych mechanizmów bezpieczeństwa wynika z niedoskonałości protokołu
• Protokół SMTP jest bardzo „wdzięczny” dla atakujących
Dobrze znane scenariusze
SPAM
Rozwiązania antyspamowe bazują na:
▪ listy reputacyjne: Spamhaus, DBL, SURBL, URIBL, …
▪ reguły klasyfikowania wg. tematu, treści listu, nadawcy
▪ informacje wywiadowcze – uzyskiwane z uruchomionych w sieci honeypot’ów
Zagrożenia masowe i stosowane zabezpieczenia
▪ Rozwiązania AV (sygnatury) – ClamAV
▪ Można stosować kilka silników
▪ Analiza statyczna (silniki antimalware)
▪ Sandboxowanie (analiza dynamiczna)
▪ On-site lub chmurowy
▪ Informacje wywiadowcze pozyskane z honeypot’ów wspomagają skuteczną detekcję
Kto ma lepsze TI ?
Scammail – oszustwo bazujące na podszyciu się pod zaufany adres e-mail
Zabezpieczenia globalne:
▪ SPF - Sender Policy Framework
▪ DomainKeys Identified Mail
”Sygnatura DKIM zabezpiecza przed podszywaniem się pod nadawcę
(e-mail spoofing) z innych domen ” – Źródło Wikipedia
▪ DMARC (Domain-based Message Authentication…) -Informational RFC 7489
Prezentacja wysyłki maila na żywo
Identyfikacja złośliwego: załącznika, URL’a
Identyfikacja ataku załącznikiem
▪ e-mail wygenerował cztery zdarzenia
Analiza zdarzenia w systemie Fidelis
▪ Rozwiązanie Csecurity + Network
Identyfikacja ataku – phishing – URL
Identyfikacja ataku - URL
Symantec Advanced Threat Protection: Email
GIN
ATP: Email
Korelacja
Sandbox
Dane Url
IoC
Informacja o poziomie zagrożenia
Kategoryzacja Malware
File Hashes
Informacje o kampaniach ukierunkowanych
Wykorzystanie chmurowego środowiska sandbox
Pozyskane dane wywiadowcze
Wysoka wydajność E-mail security.cloud
Brama szyfrującaEmail
Nośniki przenośne
Szyfrowanie danych przenośnych i całego dysku
Szyfrowanie zasobów współdzielonych
Urządzenia przenośne Klucze indywidualne i
grupowe
Tworzenie polityk szyfrowania
Raportowanie
Zarządzanie
PGP - Ochrona danych w ruchu i w spoczynku
Model wdrożenia
PGP Universal Server
Ochrona przed Malware i SpamSymantec Messaging Gateway (SMG)
Rozdzielanie newsletter’ów,listów marketingowych odlistów z podejrzanymi URL.
Konfigurowalne polityki dostosowane do kategorii otrzymywanych listów
Personalized Protection
Śledzenie ponad 400 milionów nadawców spamu oraz bezpiecznych IP.
Filtrowanie ponad 95% spamu na podstawie danych reputacyjnych
Dane reputacyjne
Wycinanie kodu wykonywalnego z załączników „attachment cleaning”
Wykorzystanie wielu technik antyspamowych
Efektywność antyspamu99%
Anty-spamAnty-malware
Poczta przychodząca kontrolowana przezSecurity.cloud
Poczta wychodząca przez Symantec Messaging Gateway z realizacją DLP
Hybryda
VMware ESX, ESXi, vSphere
Microsoft Hyper-V
Wirtualny Appliance
Trzy wersje wydajnościowe urządzenia dostosowane do skali realizowanej komunikacji e-mail
Sprzęt fizyczny
SMG On-premise
File
URL
Whitelis
t
Bla
cklis
t
Cert
ific
ate
Mach
ine
Learn
ing
182 milionówPowstrzymanych ataków na aplikacje webowe
Rozpoznania:
430 millionówunikalnych próbek malware’u w 2016
12,000+ Zidentyfikowanych i rozpoznanych webaplikacji
100 milionówzablokowanych oszustw wykorzystujących inż. społeczną
1 miliardówzatrzymanych złośliwych listów e-mail
175 Milionówchronionych komputerów
1 Miliardunikalnych zapytań
skanowanych codziennie
2 Miliardyskanowanych listów -
codziennie
Źródła wiedzy
9 centrali identyfikujących zagrożenia
3,000 Inżynierów i researchers
Powiększona triada bezpieczeństwa -PGPConfidentiality, Integrity and Availability
NIEZAPRZECZALNOŚĆPGP
POUFNOŚĆPGP
POŚWIADCZENIE + 2FA Symantec VIP
INTEGRALNOŚĆ PGP/SSL
DOSTĘPNOŚĆ Sprawdzona
technologia + zaufane bazy reputacyjne
@
Zgodność z GDPR także w chmurze
CZAS NA PRZYGOTOWANIE ZGODNOŚCI DO WIOSNY 2018
KARY – DO 4% ROCZNEGO OBROTU
ANONIMIZACJA/PSEUDOANONIMIZACJADANYCH W ŚRODOWISKU CHMUROWYM
Symantec Email Security Solution – także Cloud
Inbound/Outbound
Third-party
Advanced Threat Protection
Anti-Spam
Anti-Malware
Data Protection
Image Control
DLP
FirewallUsers On-premise Email Server
Cloud Email Server
Users