2. Advanced Persistent Threat (APT) là gì?
Advanced: kết hợp nhiều loại công cụ và phương pháp để thỏa hiệp và tấn công hệ thống.
Persistent: cuộc tấn công được thực hiện thông qua giám sát liên tục và tương tác để đạt được
mục tiêu. Cách tiếp cận chậm và thường diễn ra trong khoảng thời gian dài.
Threat: Những kẻ thực hiện tấn công có mục tiêu cụ thể, có động cơ rõ ràng, hầu hết là những
chuyên gia lành nghề và được hỗ trợ bởi chính phủ hoặc có thể là một tổ chức nào đó.
Tóm lại:
APT Là những cuộc tấn công có tổ chức nhằm vào các lĩnh vực có giá trị cao như quốc phòng,
sản xuất và tài chính.
3. Làm thế nào để tấn công một lổ “thủng” trong một tổ
chức
Mục đích: đánh cắp thông tin (e.g. thông tin thẻ tín dụng, mật khẩu , thông tin thanh toán trực
tuyến, thông tin quân sự, quốc phòng, những thông tin nhạy cảm khác.)
Thời gian: một tháng hoặc nhiều hơn.
Cách làm:
1. Tìm hiểu thông tin về hoạt động của tổ chức và thông tin của khách hàng.
2. Sử dụng các kỹ thuật phishing, social engineering hoặc các kỹ thuật khác để thực hiện tấn
công khi tìm thấy mục tiêu cần tấn công.
3. Thực hiện tấn công mà các hệ thống thông thường như anti-malware, IPS (intrusion
prevention system) và firewall không thể phát hiện được .
Type of customer People who work there
The role of targeted people
Who have access
to critical information
4. Làm thế nào để tấn công một lổ “thủng” trong một tổ
chức
Cách làm:
4. Malware sẽ vẽ biểu đồ về hệ thống mạng và cách tổ chức phòng thủ của tổ chức để lên kế
hoạch tấn công trong tương lai.
5. Một khi có được thông tin ( tài khoản, mật khẩu, …) của người quản trị cấp cao thì có thể truy
cập vào hệ thống máy chủ .
5. Tại sao Automated Breach Detection là quan trọng?
• Phần lớn những người làm an ninh bảo mật trong tổ chức không chắc
chắn 100% rằng hệ thống của họ hoàn toàn an toàn trước những cuộc
tấn công.
• Những giải pháp chống tấn công ví dụ như anti-virus, firewall, IPS,
sandbox không thể ngăn chặn những cuộc tấn công mà họ chưa nhìn
thấy trước đây.
• Khi tổ chức của bạn bị tấn công bởi Advance Persistent Threat hay
advanced malware, thì bạn cũng không biết rằng liệu hệ thống của bạn
có bị kiểm soát bởi hacker hay không.
6. Automated Breach Detection có thể làm được gì?
• Phát hiện thực tế lây nhiễm khi hệ thống chống tấn công bị lỗi.
• Đưa ra phản hồi điều tra chi tiết các hành động mà bạn có thể
thực hiện ngay lập tức.
• Hạn chế cảnh báo sai và tránh lãng phí thời gian.
• Đo lường hiệu quả kiểm soát của hệ thống tấn công.
8. How Damballa helps (base on case study in U.S.)
An U.S.-based financial services institution that offers lines of credit, loans and
investment banking services, are usually targeted by attackers to exploit their data.
Problem faced:
Despite having a highly robust security environment, including application firewalls, network-based
malware sandboxing, next-gen firewalls and IPS, host AV and application whitelisting, among other
technologies, the organization still saw confidential information being stole from their environment.
“But we had some indication that credit card numbers were leaving our environment. We knew there was some
command-and-control activity, but we couldn’t see down to the host level to stop it.” Said the company’s security
architect.
Like many organizations today, the financial services institution found that traditional security
gateway technologies like IPS and firewalls do not prevent advanced persistent threats (APTs) from
entering the network, and becoming a breach.
9. How Damballa helps (base on case study in U.S.)
Solution:
With a preliminary research, Damballa discovered suspicious network behaviour, corroborate
evidence of an attack and prioritize remediation efforts-based on risk.
“Failsafe provides a level of visibility that I’ve never had before. I don’t have to try to guess at the effectiveness of
my security architecture anymore. It used to be this huge blind spot. I knew there was stuff in there, but I couldn’t
see it. Damballa has a significant unique detection rate, showing me compromises that none of my other systems
are seeing, and providing me a valid evidence that a device truly has been compromised,” said the company’s
security architect.
10. How Damballa helps (base on case study in U.S.)
Result:
Better Men Power Allocation
Before implementing Damballa Failsafe, the incident response team was “crazy busy all the time,”.
“Now the team has time to work on strategically more significant projects, like improving the
incident response process.” Said the security architect
Save Time
“Failsafe is incredibly user friendly day-to-day. I just pop into the assets view, look at what’s gone off
in the last 12 hours and send anything really nasty off to the incident response team. What used to
take all day now takes me about an hour, maybe two at most,” said the company’s threat
researcher.
Measures Effectiveness Of Security Control.
The organization has also improved its audit findings, which is extremely important in a highly
regulated industry. “Our auditors are happy, because Failsafe provides a good crosscheck across all
of the security recommendations they’ve made in the past,” said the security architect.
12. Những thiệt hại về Tài chính
12
32 days
Average time to resolve a
known cyber attack
$1.04M
Average total cost to the
organization over 32 days
63%
Of enterprises say it’s only a
matter of time until they’re
targeted by APT
13. Những thiệt hại về Nhân lực
13
86%
Of CISOs say lack of confidence
in ability to manage risk is due to
staffing
81%
Of security leaders say staffing
challenges will remain the same
or get worse over next 5-10 years
2/3’s
Of CISOs say they are short-
staffed and therefore
vulnerable to breaches
14. Kiến trúc công nghệ bảo mật cũ
Prevention Detection Response
Forensics
ATTACK INFECTION DAMAGE
INFECTION RISK BUSINESS RISK
Firewall
IDS/IPS
Web Security
Email Security
Sandboxing
Host AV/IPS/FW
Resource intensive, inefficient manual
investigation efforts.
“Is this alert real or a false positive?”
ALERT & LOGS
SOC
SIEM
Single Pane of Glass
15. Kiến trúc công nghệ bảo mật mới
Prevention Detection Response
Forensics
ATTACK INFECTION DAMAGE
INFECTION RISK BUSINESS RISK
NGFW
Endpoint
Containment
Sandboxing
Email Gateway
ALERT & LOGS
SOC
SIEM
Single Pane of Glass
LEGACY
Host AV/IPS/FW
Damballa fills the
security gap
between failed
prevention and
your incident
response
16. Damballa: Automated Breach Defense
› Tự động xác
định mối đe dọa.
› Chắc chắn
Bất kể malware
đó là loại nào,
sự lây nhiễm đó
đến từ đâu, từ
trước đến giờ
Về mặt quản trị:
Nhanh chóng và
giảm thiệt hại tức
thì
Loại bỏ mối đe dọa
cho doanh nghiệp
Chống lại lổ thủng trong tổ chức của bạn
18. Công thức – Xu hướng phân tích bảo mật
Công thức cho sự cải tiến và đổi mới sản phẩm
Global ISPs
& Telcos,
Academic &
Industry
Partnership
19. Công nghệ phân tích
Case Analyzer
Platform
Kết nối
Truy vấn
• Các thỏa hiệp
• Các mối đe dọa xảy ra/
ý nghĩa của nó
File
Request
• Zero Day Files
• Nội dung HTTP đáng
ngờ
Các truy vấn Domain
Tự động hóa
Thực thi
Peer-To-Peer
• Phân tích mã độc tự động
• Quan sát các biến thể
Dữ liệu truyền
Bắt gói
Giao tiếp thành công
Mã độc có sẵn
Chuỗi sự kiện
Thiết bị đầu cuối quan trọng
Thực tế của mã độc
Mức độ nghiêm trọng
Phạm vi của anti-virus
Thiệt hại tiềm ẩn
• Quan sát
• Thuộc tính của thiết bị
• Mối đe dọa phức tạp
• Mục đích đe dọa
9 Risk
Profilers
Mức độ ưu tiên rủi ro
nếu xảy ra các lây
nhiễm
8 Detection
Engines
Phát hiện nhanh
chóng & xác định
các lây nhiễm đang
tồn tại
19
21. Tại sao lại chọn Damballa
- Network - Bằng cách phân tích lưu lượng mạng bên trong và bên ngoài, giải pháp này có thể cho biết
được các thiết bị đầu cuối bị tổn hại. Ưu điểm của kỹ thuật này là nó không yêu cầu phải cài đặt agent
tại thiết bị đầu cuối. Thông qua Traffic trong mạng cho phép phát hiện các thiết bị đầu cuối và hệ điều
hành có bị tấn công hay không.
- Payload - phương pháp này sử dụng một sandbox (một nơi bị cô lập, môi trường giả lập) để quan sát
hành vi của payload trong khi chuyển động (khi qua các vành đai mạng) và những cờ mà nó nghi ngờ.
Ví dụ về payload: PDF, EXE, DLL, Office, ZIP, Flash, JavaScript, và các đối tượng HTML, mặc dù không
phải tất cả các vendor đều có khả năng phân tích từng loại payload. Nhưng với một số giải pháp, các
agent ở thiết bị đầu cuối cũng có thể gửi các tập tin và thực thi vào sandbox.
- Endpoint - Cách tiếp cận này cung cấp các thông tin chi tiết nhất về cách thức thiết bị đầu cuối đã bị
ảnh hưởng bởi Malware và ATA, nhưng nó đi kèm với chi phí hoạt động thực hiện và quản lý các agent
cài trên thiết bị đầu cuối.
21
22. Tại sao lại chọn Damballa
- Style 1 – Network Traffic Analysis: bao gồm Arbor Networks, Damballa, Fidelis, Lancope và
Sourcefire.
- Style 2 – Network Forensics: bao gồm Blue Coat and RSA.
- Style 3 – Payload Analysis: bao gồm AhnLab, CheckPoint, FireEye, Lastline, McAfee, Palo Alto
Networks, ThreadGrid và TrendMicro.
- Style 4 – Endpoint Behavior Analysis: bao gồm Blue Ridge Networks, Bromium, Invincia,
Sandboxie, Trustwave, Cyvera, ManTech/HBGary, RSA và Triumfant.
- Style 5 – Endpoint Forensics: bao gồm Bit9, Carbon Black, Guidance Software, Mandiant và
ManTech/HBGary.
- Prefer: http://www.gartner.com/technology/reprints.do?id=1-1IS72Q5&ct=130823&st=sb
- https://www.damballa.com/fireeye-competition/
22
23. Khách hàng của Damballa là ai?
• Thông tin có giá trị (e.g. thông tin thẻ tín dụng, thông tin quốc
phòng, thông tin của các giao dịch online, v.v...)
• Ngân hàng, Công ty Viễn Thông, Chính Phủ và những khách
hàng có sử dụng hệ thống SIEM.
24. Kiến trúc Damballa Failsafe
Hub & Spoke | 1 U Appliances | Out of Band
Damballa Failsafe
Data Center Corporate HQ
Data Center Remote Office
Data Center / Office
Sensor Sensor
Backhaul
Sensor
Management
Console
Egress
Proxy
DNS
Proxy
DNS
Egress
Traffic Monitored by Sensor
25. Thống kê về hiện trạng an toàn thông tin
Thông tin quan trọng
được trình bày ở
Dashboard khi đăng
nhập
Dashboard Assets Files Reports System Threats
Damballa Failsafe 5.2
Welcome Admin
My Account | Help | Logout
29. Tăng giá trị thông qua việc tích hợp
Enrich, Correlate via
SIEM & Forensics Block & Inform from Network to Endpoint Accelerate & Prioritize Response
Damballa discovers with certainty & delivers evidence
so customers can pivot to…
31. Summary
Damballa uses a case analyzer to monitor the characteristics of
endpoints and their communications over time. The case analyzer
uses multiple clues such as: how automated the communications
are; whether evasion techniques are used; the frequency of
communications; who the endpoint is communicating with; and the
content of communications.”
Source: New Stratecast | Frost & Sullivan Analysis Cites Damballa As Complete Botnet Detection Solution
Reference link: http://finance.yahoo.com/news/stratecast-frost-sullivan-analysis-cites-130100366.html
Introduce yourself and state the purpose of the presentation.
SOURCE #1: 63% - ISACA, “Advanced Persistent Threat Awareness Report” 2013
SOURCE #2: Ponemon Institute, “2013 Costs of Cyber Crime Study,” October 2013
SOURCE #1: 63% - (ISC)2, sixth “Global Information Security Workforce Study (GISWS),” February 2013
SOURCE #2: 86% - Forrester, “Surviving the Technical Security Skills Crisis,” May 2013
SOURCE #3: 81%Forrester, “Surviving the Technical Security Skills Crisis,” May 2013
Damballa Enables Organizations to:
Rapidly identify active threats
With 100% certainty
Without triage efforts or delays
Independent of having a malware sample
Regardless of malware type, infection vector or source
As a Breach Resistant Organization You Can:
Quickly and efficiently stop real losses
Find previously undetected threats
Remove the threats that can cause losses NOW
Increase efficiency, and effectiveness by eliminating alert chasing
Dramatically reduce overall risk
Damballa Enables Organizations to:
Rapidly identify active threats
With 100% certainty
Without triage efforts or delays
Independent of having a malware sample
Regardless of malware type, infection vector or source
As a Breach Resistant Organization You Can:
Quickly and efficiently stop real losses
Find previously undetected threats
Remove the threats that can cause losses NOW
Increase efficiency, and effectiveness by eliminating alert chasing
Dramatically reduce overall risk
8 Trillion records of passive DNS go into our Hadoop clusters each year…and EACH DAY process 200-300 GB of internet and network data
Damballa protects over 440M devices CONNECTED to INTERNET via CORPORATE, ISP or WIRELESS networks
Because of Our Formula. Damballa has unique access to a very large data set of unfiltered, unstructured and unbiased internet and enterprise network data.
While most security company’s “Labs” are filled with Reverse Malware Engineers, ours is filled with PhD’s, research scientist and Machine Learning experts that apply mathematical algorithms that reveal techniques and infrastructure being used by threat actors…and we’ve been doing this for seven years.
No other security company that has the unique, Big Data that Damballa has…much less that has been applying leading-edge security research and related machine learning for as long as Damballa.
Big Data
-8 trillion records per year
-200GB-300GB of internet and enterprise network data each day
-Malware Samples Analyzed: 100K/day; / 36.5M yr.
-Unique DNS Records: 22B/day; 8T/yr.
-7 Years of Machine Learning Refinement
Machine Learning/Data Science
-7 years
-13 Patents Filed, 2 already granted
-8 Detection Profilers & Expanding
-9 Risk Profilers & Expanding
-Partnerships pivoting from Damballa Discoveries
Engines Leverage Big Data
-Fortune 2000 Enterprises
-Global ISPs & Telcos
-Academic and Industry Partnerships
-Future Proof
-Behavioral
-Example: Domain Fluxing (DGA)
-Example: Peer-To-Peer
Damballa Failsafe uses a hub and spoke distributed computing system architecture. Sensors are placed in key locations within the network to observe all ports of traffic in both directions (Egress, Proxy, and DNS). The Sensors and their Deep Packet Inspections engines listen to traffic passively off a tap or span. The sensors all talk to each other so they can track a devices activity over time. Suspicious evidence is brought back to the management console to be examined by the Case Analyzer and then a verdict is passed. All evidence is presented through the MC.
Visibility into current security posture for advanced threats
Rapid knowledge of active infections
Which infections are under successful control of an adversary
Which infections pose the highest risk to the organization and which devices have been re-infected.
Dashboards: Average Infection Age, Riskiest Infected Assets, Maliciously Controlled Assets, Infected Assets Over Time,…
Robust reporting, relaying important information regarding the state of your network
Reports: Infection Lifecycle, Malware in Motion, System Health, Incident, Malware Trace…
Fill Security Gap: We are a detective control – we don’t pretend to be prevention or response – but we do enrich those solutions. Customers lack solutions that help them ‘automate the hunt’ and need a way to get away from the manual efforts their teams face. Provides a solution to a CIO/CISO who says - “I don’t know what I don’t know”
Platform: Formula. Built on data science and unique application techniques to rapidly discover infections. Not limited to single approach as there is no silver bullet, but utilize behavioral, payload, and threat intelligence with case analyzer to discover infections. All built on the concept of machine learning and the scalability provided by the results of data scientist
Partnership: We focus on partnering with the customer. Yes we automate the discovery, but the solution provides high confidence with a case of evidence for quick validation and rapid response. This means we listen to our customers on what they need to feel confident with a discovery and we work to illustrate and show the evidence to them in a way that allows them to respond quickly.
Enrich: Pivot upon a discovery – SIEM, Inline Blocking, Forensics, etc….
Rapidly Respond:
Customer (Raymond James) report 93% accuracy in our findings (other 7% may also be correct, as they couldn’t prove us wrong). Other customers (Warner Brothers – reports near 100% True Positive rate)
This means customers have confidence in our findings to automate mitigation (things like blocking and quarantine).
Without Damballa, they are dealing with tons of disparate 1-time alerts from other security products each which requires significant manual analysis. Most of these alerts are false positives, so they can’t automatically respond to these alerts. They must first spend hours validating if the alert is real or false.
If they automatically responded to alerts by taking action like re-imaging a machine or blocking communications, they would be imposing on their business – stopping legitimate communications and causing significant loss or productivity
With Damballa, our determination that a device is infected is not based on a single event. Instead it is based on multiple events from different detection techniques that are all corroborated to determine there is a true infection. Thus when damballa says a device is infected, there is certainty behind the verdict. This confidence allows organizations to automate the response actions (like automatically blocking communications, quarantining a device, triggering re-imaging, etc…)
Optimize Resources:
Without Damballa, organizations are forced to use personnel to manually hunt through logs and alerts to try to find evidence that a device is compromised. Reports from customers are that a single alert from a traditional security product can take 1 to 3 hours to research.
Comment from current prospect Labcorp – estimated it would take an FTE 1 days work to discover a single infection)
Without Damballa, organizations are trying to hire a record number of security professionals in a field where talent is sparse. Manual effort isn’t scaling for them. Throwing bodies doesn’t work.
With Damballa, security teams stop the manual hunt, and focus on true infections. Allows them to spend their time on things like Managing their Portfolio, Adapting their Posture, and dealing with risky incidents.
With Damballa, security teams are able to dedicate their time to not being reactive, but instead proactively improving their security posture (new techniques and policies for prevention) – See ADAPT below
With Damballa, security teams have less “noisy infections” and can put those very skilled ‘hunters’ toward tracking down truly targeted and advanced threats (which we help with too).
Manage Portfolio:
We detect what preventative measures miss.
Without detective controls like damballa, enterprises don’t know if their preventative controls are working or not. No way to measure.
Examples: Disney indicated that of 75% of Damballa detections were not seen by their AV engines.
We allow customers to determine which preventative controls are working and where gaps are.
Ultimately may lead to being able to retire solutions or consolidate.
Adapt:
By studying how a threat actor attacked them, what they did in their environment and what they are after – security teams can adapt their security posture by changing policies (e.g. – proof they need to take away admin rights) or modify prevention solutions so threats can’t be successful going forward.
Without Damballa – organizations are focuses on individual incidents and inherently reactive. It is like plugging holes in a damn. New holes keep popping up (some they see, others they don’t see – causing floods). Never able to keep up.
With Damballa – Damballa identifies the holes, gathers the evidence that lead to the hole, and allows the customer to both address the holes, but more importantly learn from the holes and spend time addressing the “structure” of the damn to keep holes from happening in the future.