Damballa automated breach defense

1. Automated Breach
Defense
Damballa Representative:
Khiem Bui
Sales Engineer
HTech Holding Ltd.

2. Advanced Persistent Threat (APT) là gì?
Advanced: kết hợp nhiều loại công cụ và phương pháp để thỏa hiệp và tấn công hệ thống.
Persistent: cuộc tấn công được thực hiện thông qua giám sát liên tục và tương tác để đạt được
mục tiêu. Cách tiếp cận chậm và thường diễn ra trong khoảng thời gian dài.
Threat: Những kẻ thực hiện tấn công có mục tiêu cụ thể, có động cơ rõ ràng, hầu hết là những
chuyên gia lành nghề và được hỗ trợ bởi chính phủ hoặc có thể là một tổ chức nào đó.
Tóm lại:
APT Là những cuộc tấn công có tổ chức nhằm vào các lĩnh vực có giá trị cao như quốc phòng,
sản xuất và tài chính.

3. Làm thế nào để tấn công một lổ “thủng” trong một tổ
chức
Mục đích: đánh cắp thông tin (e.g. thông tin thẻ tín dụng, mật khẩu , thông tin thanh toán trực
tuyến, thông tin quân sự, quốc phòng, những thông tin nhạy cảm khác.)
Thời gian: một tháng hoặc nhiều hơn.
Cách làm:
1. Tìm hiểu thông tin về hoạt động của tổ chức và thông tin của khách hàng.
2. Sử dụng các kỹ thuật phishing, social engineering hoặc các kỹ thuật khác để thực hiện tấn
công khi tìm thấy mục tiêu cần tấn công.
3. Thực hiện tấn công mà các hệ thống thông thường như anti-malware, IPS (intrusion
prevention system) và firewall không thể phát hiện được .
Type of customer People who work there
The role of targeted people
Who have access
to critical information

4. Làm thế nào để tấn công một lổ “thủng” trong một tổ
chức
Cách làm:
4. Malware sẽ vẽ biểu đồ về hệ thống mạng và cách tổ chức phòng thủ của tổ chức để lên kế
hoạch tấn công trong tương lai.
5. Một khi có được thông tin ( tài khoản, mật khẩu, …) của người quản trị cấp cao thì có thể truy
cập vào hệ thống máy chủ .

5. Tại sao Automated Breach Detection là quan trọng?
• Phần lớn những người làm an ninh bảo mật trong tổ chức không chắc
chắn 100% rằng hệ thống của họ hoàn toàn an toàn trước những cuộc
tấn công.
• Những giải pháp chống tấn công ví dụ như anti-virus, firewall, IPS,
sandbox không thể ngăn chặn những cuộc tấn công mà họ chưa nhìn
thấy trước đây.
• Khi tổ chức của bạn bị tấn công bởi Advance Persistent Threat hay
advanced malware, thì bạn cũng không biết rằng liệu hệ thống của bạn
có bị kiểm soát bởi hacker hay không.

6. Automated Breach Detection có thể làm được gì?
• Phát hiện thực tế lây nhiễm khi hệ thống chống tấn công bị lỗi.
• Đưa ra phản hồi điều tra chi tiết các hành động mà bạn có thể
thực hiện ngay lập tức.
• Hạn chế cảnh báo sai và tránh lãng phí thời gian.
• Đo lường hiệu quả kiểm soát của hệ thống tấn công.

7. Case Study

8. How Damballa helps (base on case study in U.S.)
An U.S.-based financial services institution that offers lines of credit, loans and
investment banking services, are usually targeted by attackers to exploit their data.
Problem faced:
Despite having a highly robust security environment, including application firewalls, network-based
malware sandboxing, next-gen firewalls and IPS, host AV and application whitelisting, among other
technologies, the organization still saw confidential information being stole from their environment.
“But we had some indication that credit card numbers were leaving our environment. We knew there was some
command-and-control activity, but we couldn’t see down to the host level to stop it.” Said the company’s security
architect.
Like many organizations today, the financial services institution found that traditional security
gateway technologies like IPS and firewalls do not prevent advanced persistent threats (APTs) from
entering the network, and becoming a breach.

9. How Damballa helps (base on case study in U.S.)
Solution:
With a preliminary research, Damballa discovered suspicious network behaviour, corroborate
evidence of an attack and prioritize remediation efforts-based on risk.
“Failsafe provides a level of visibility that I’ve never had before. I don’t have to try to guess at the effectiveness of
my security architecture anymore. It used to be this huge blind spot. I knew there was stuff in there, but I couldn’t
see it. Damballa has a significant unique detection rate, showing me compromises that none of my other systems
are seeing, and providing me a valid evidence that a device truly has been compromised,” said the company’s
security architect.

10. How Damballa helps (base on case study in U.S.)
Result:
Better Men Power Allocation
Before implementing Damballa Failsafe, the incident response team was “crazy busy all the time,”.
“Now the team has time to work on strategically more significant projects, like improving the
incident response process.” Said the security architect
Save Time
“Failsafe is incredibly user friendly day-to-day. I just pop into the assets view, look at what’s gone off
in the last 12 hours and send anything really nasty off to the incident response team. What used to
take all day now takes me about an hour, maybe two at most,” said the company’s threat
researcher.
Measures Effectiveness Of Security Control.
The organization has also improved its audit findings, which is extremely important in a highly
regulated industry. “Our auditors are happy, because Failsafe provides a good crosscheck across all
of the security recommendations they’ve made in the past,” said the security architect.

11. How Damballa helps (base on case study in U.S.)

12. Những thiệt hại về Tài chính
12
32 days
Average time to resolve a
known cyber attack
$1.04M
Average total cost to the
organization over 32 days
63%
Of enterprises say it’s only a
matter of time until they’re
targeted by APT

13. Những thiệt hại về Nhân lực
13
86%
Of CISOs say lack of confidence
in ability to manage risk is due to
staffing
81%
Of security leaders say staffing
challenges will remain the same
or get worse over next 5-10 years
2/3’s
Of CISOs say they are short-
staffed and therefore
vulnerable to breaches

14. Kiến trúc công nghệ bảo mật cũ
Prevention Detection Response
Forensics
ATTACK INFECTION DAMAGE
INFECTION RISK BUSINESS RISK
Firewall
IDS/IPS
Web Security
Email Security
Sandboxing
Host AV/IPS/FW
Resource intensive, inefficient manual
investigation efforts.
“Is this alert real or a false positive?”
ALERT & LOGS
SOC
SIEM
Single Pane of Glass

15. Kiến trúc công nghệ bảo mật mới
Prevention Detection Response
Forensics
ATTACK INFECTION DAMAGE
INFECTION RISK BUSINESS RISK
NGFW
Endpoint
Containment
Sandboxing
Email Gateway
ALERT & LOGS
SOC
SIEM
Single Pane of Glass
LEGACY
Host AV/IPS/FW
Damballa fills the
security gap
between failed
prevention and
your incident
response

16. Damballa: Automated Breach Defense
› Tự động xác
định mối đe dọa.
› Chắc chắn
Bất kể malware
đó là loại nào,
sự lây nhiễm đó
đến từ đâu, từ
trước đến giờ
Về mặt quản trị:
Nhanh chóng và
giảm thiệt hại tức
thì
Loại bỏ mối đe dọa
cho doanh nghiệp
Chống lại lổ thủng trong tổ chức của bạn

17. Đi đầu trong công nghệ Big Data và Machine Learning đối
với an ninh thông tin
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 17
55% / 35%
of North American internet /
mobile data traffic each day
8 Trillion
records of passive DNS
processed into our Hadoop
clusters annually
visibility = insights into threat actor trade craft and techniques
17
440M devices
connected to internet, mobile and
enterprise networks feed our
DNS systems

18. Công thức – Xu hướng phân tích bảo mật
Công thức cho sự cải tiến và đổi mới sản phẩm
Global ISPs
& Telcos,
Academic &
Industry
Partnership

19. Công nghệ phân tích
Case Analyzer
Platform
 Kết nối
 Truy vấn
• Các thỏa hiệp
• Các mối đe dọa xảy ra/
ý nghĩa của nó
 File
 Request
• Zero Day Files
• Nội dung HTTP đáng
ngờ
 Các truy vấn Domain
 Tự động hóa
 Thực thi
 Peer-To-Peer
• Phân tích mã độc tự động
• Quan sát các biến thể
 Dữ liệu truyền
 Bắt gói
 Giao tiếp thành công
 Mã độc có sẵn
 Chuỗi sự kiện
 Thiết bị đầu cuối quan trọng
 Thực tế của mã độc
 Mức độ nghiêm trọng
 Phạm vi của anti-virus
Thiệt hại tiềm ẩn
• Quan sát
• Thuộc tính của thiết bị
• Mối đe dọa phức tạp
• Mục đích đe dọa
9 Risk
Profilers
Mức độ ưu tiên rủi ro
nếu xảy ra các lây
nhiễm
8 Detection
Engines
Phát hiện nhanh
chóng & xác định
các lây nhiễm đang
tồn tại
19

20. Tại sao lại chọn Damballa
20

21. Tại sao lại chọn Damballa
- Network - Bằng cách phân tích lưu lượng mạng bên trong và bên ngoài, giải pháp này có thể cho biết
được các thiết bị đầu cuối bị tổn hại. Ưu điểm của kỹ thuật này là nó không yêu cầu phải cài đặt agent
tại thiết bị đầu cuối. Thông qua Traffic trong mạng cho phép phát hiện các thiết bị đầu cuối và hệ điều
hành có bị tấn công hay không.
- Payload - phương pháp này sử dụng một sandbox (một nơi bị cô lập, môi trường giả lập) để quan sát
hành vi của payload trong khi chuyển động (khi qua các vành đai mạng) và những cờ mà nó nghi ngờ.
Ví dụ về payload: PDF, EXE, DLL, Office, ZIP, Flash, JavaScript, và các đối tượng HTML, mặc dù không
phải tất cả các vendor đều có khả năng phân tích từng loại payload. Nhưng với một số giải pháp, các
agent ở thiết bị đầu cuối cũng có thể gửi các tập tin và thực thi vào sandbox.
- Endpoint - Cách tiếp cận này cung cấp các thông tin chi tiết nhất về cách thức thiết bị đầu cuối đã bị
ảnh hưởng bởi Malware và ATA, nhưng nó đi kèm với chi phí hoạt động thực hiện và quản lý các agent
cài trên thiết bị đầu cuối.
21

22. Tại sao lại chọn Damballa
- Style 1 – Network Traffic Analysis: bao gồm Arbor Networks, Damballa, Fidelis, Lancope và
Sourcefire.
- Style 2 – Network Forensics: bao gồm Blue Coat and RSA.
- Style 3 – Payload Analysis: bao gồm AhnLab, CheckPoint, FireEye, Lastline, McAfee, Palo Alto
Networks, ThreadGrid và TrendMicro.
- Style 4 – Endpoint Behavior Analysis: bao gồm Blue Ridge Networks, Bromium, Invincia,
Sandboxie, Trustwave, Cyvera, ManTech/HBGary, RSA và Triumfant.
- Style 5 – Endpoint Forensics: bao gồm Bit9, Carbon Black, Guidance Software, Mandiant và
ManTech/HBGary.
- Prefer: http://www.gartner.com/technology/reprints.do?id=1-1IS72Q5&ct=130823&st=sb
- https://www.damballa.com/fireeye-competition/
22

23. Khách hàng của Damballa là ai?
• Thông tin có giá trị (e.g. thông tin thẻ tín dụng, thông tin quốc
phòng, thông tin của các giao dịch online, v.v...)
• Ngân hàng, Công ty Viễn Thông, Chính Phủ và những khách
hàng có sử dụng hệ thống SIEM.

24. Kiến trúc Damballa Failsafe
Hub & Spoke | 1 U Appliances | Out of Band
Damballa Failsafe
Data Center Corporate HQ
Data Center Remote Office
Data Center / Office
Sensor Sensor
Backhaul
Sensor
Management
Console
Egress
Proxy
DNS
Proxy
DNS
Egress
Traffic Monitored by Sensor

25. Thống kê về hiện trạng an toàn thông tin
Thông tin quan trọng
được trình bày ở
Dashboard khi đăng
nhập
Dashboard Assets Files Reports System Threats
Damballa Failsafe 5.2
Welcome Admin
My Account | Help | Logout

26. Báo cáo

27. Báo cáo

28. Tại sao chúng tôi được chọn
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 28
Enrich
Tích hợp với những công cụ khác
có sẵn trong hệ thống như SIEM
Platform
Được thiết kế dựa trên dữ liệu
khoa học và kỹ thuật nhằm mục
đich phát hiện nhanh chóng hệ
thống bị lây nhiễm
Partnership
Hợp tác với khách hàng để bảo
vệ và tối ưu hóa tài nguyên
Fill Security Gap
Doanh nghiệp thiếu các kiểm
soát
28

29. Tăng giá trị thông qua việc tích hợp
Enrich, Correlate via
SIEM & Forensics Block & Inform from Network to Endpoint Accelerate & Prioritize Response
Damballa discovers with certainty & delivers evidence
so customers can pivot to…

30. Damballa chuyển giao cho khách hàng
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA 30
Thích ứng
Cho phép cải tiến các chính sách
bảo mật và các kiểm soát an toàn
thông tin
Tối ưu tài nguyên
Tập trung vào những công cụ ở
mức cao
Quản lý danh mục
đầu tư
Đo lường hiệu xuất của giải pháp
phòng ngừa
Phản hồi nhanh
chóng
Tự động phát hiện, xác nhận và
đưa ra độ ưu tiên đối với các lây
nhiễm được xác định
30

31. Summary
Damballa uses a case analyzer to monitor the characteristics of
endpoints and their communications over time. The case analyzer
uses multiple clues such as: how automated the communications
are; whether evasion techniques are used; the frequency of
communications; who the endpoint is communicating with; and the
content of communications.”
Source: New Stratecast | Frost & Sullivan Analysis Cites Damballa As Complete Botnet Detection Solution
Reference link: http://finance.yahoo.com/news/stratecast-frost-sullivan-analysis-cites-130100366.html

32. Thank you
CONFIDENTIAL AND PROPRIETARY | ©2014 DAMBALLA