Protegendo PDV de ameaças Externas e Garantindo Conformidade
1-Cenários de Ameaças Corporativas
2-Symantec EmbeddedSecurity
3-Proteção além do AV
Be Aware Webinar acontece todas as quartas às 10h30. Curta nossa página no Facebook e acompanhe a programação
1. Protegendo PDV de ameaças Externas e Garantindo
Conformidade
Luiz Leopoldino Lucas Veiga
Security Systems Engineer Sr Technical Engineer
2. Agenda
2
1 Cenários de Ameaças Corporativas
2 Symantec Embedded Security
3 Proteção além do AV
4 Perguntas
3. Segurança Corporativa| Estratégia de Produtos e Serviços
3
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle
• Forense e Remediação embutida em cada ponto de controle
• Proteção integrada para Workloads: On-Premise, Virtual e Cloud
• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs
e Telemetria
Gestão Unificadas
de Incidentes e
Customer Hub
Integrações com
Terceiros e Inteligência
Benchmarking
Regional e por
Segmento
Análise Integrada
de Comportamento
e Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades
• Cloud Security Broker para Apps Móveis e em Nuvem
• Análise de comportamento dos usuários
• Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data
Center
Cyber Security Services
Monitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários
4. Cenário de Ameaças Corporativas
4
Atacantes se movimentando mais rapidamente
Extorsão digital em
ascensão
Malware mais
inteligente
Ameaças Dia-Zero Muitos Segmentos sob Ataque
5 de 6
grandes
empresas
atacadas
317M novos
malwares
criados
1M
novas
ameaças
por dia
60% dos
ataques
focaram nas
PMEs
113%
aumento em
ransomware
45X mais
dispositivos
sequestrados
28% malwares
são Virtual
Machine Aware
Recorde
absoluto
Top 5 sem
correção por
295 dias
24
Saúde
+ 37%
Varejo
+11%
Educacional
+10%
Governo
+8%
Financeiro
+6%
Fonte: Symantec Internet Security Threat Report 2015
13. • Restringe as apps & monitora o
comportamento do SO
• Protege o sistema contra buffer overflow
• IPS para prevenção de zero-day attacks
• Controle de aplicação
• Monitora os logs e eventos de
segurança
• Logs consolidados & envio para
servidores Syslog
• Smart event responsável para uma
rápida ação para o ambiente.
• Close back doors (Bloqueio de Portas)
• Limite a conectividade de rede por
aplicação.
• Restrinja o fluxo do trafego de entrada e
saída da aplicação.
• Faça o Lock down de configurações e
politicas
• Force a utilização de suas politicas de
segurança
• Previne escalar privilégios do usuários
• Prevenir o uso de mídias removíveis
Network
Protection
Exploit
Prevention
System
Controls
Auditing &
Alerting
Symantec Embedded Security
14. Proteção Além do AV
14
Registro
Arquivos de
Configuração
Dispositvos de
Armazenamento USB
Aplicações
SO
Memória
Symantec Embbed Security
Proteção da Integridade
do SO
Proteção da Integridade
de Arquivos
Proteção da Memória
Controles de Rede (FW)
Controle de Dispositivos
Controle das Aplicações
15. Symantec™ Embedded Security
•Always On – Proteção Constante
•Utiliza engines Antivírus e Insight (Reputação)
•Console de Gerenciamento Unificada
•Proteção básica até o completo Lockdown
•Hardening simplificado através de Wizards
•Controle e proteção de aplicações Whitelisted
Proteção
Symantec Embedded
Security for POS
Security Response
Insight Reputation
16. Níveis de Proteção Avançada
Controle por comportamento
Auditoria e Alerta
(Conformidade)
Controle dos sistemas
Proteção de Rede
16
Análise em tempo Real. Máximo Controle
18. Recursos fornecem controle de aplicativos Privilege Least (sandboxing)
para proteger dispositivos embarcados
Arquivos
Registro
Rede
Dispositivo
Leitura/Gravação
Arquivos de dados
Read Only
Configurações
Informações
Uso apenas de
selecionadas portas
e dispositivos
…
RSH Shell
Browser
Mail
Web
…
crond
RPC
LPD Printer
Core do SO e
Serviços
Aplicações
Interação do usuário
com os Programas do
PDV
Restrições de recursos GranularesProgramas Embarcados
…
Grande parte das aplicações exigem
um conjunto limitado de recursos e
direitos de acesso para executar
funções normais
A maioria dos programas possuem
privilégios e direitos de recursos
muito além do que é exigido - ataques
facilmente exploram essa lacuna
SES: CSP cria uma "sandbox" ou “área
de contenção" para um ou mais
programas (processos) usando uma
política que define os controles de
privilégio menos ou "aceitáveis"
comportamentos de acesso a
recursos
19. Abordagem tradicional:
Malware Blacklist
Bloqueio por Comportamento:
Sandboxing
Assinaturas contra Malware
Hoje aprox 30 Milhões e crescendo ~ 900 /
Mês
DLoader.AMHZW Exploit_Gen.HOW Hacktool.KDY
INF/AutoRun.HK JS/BomOrkut.A
JS/Exploit.GX JS/FakeCodec.B JS/Iframe.BZ
JS/Redirector.AH KillAV.MPK LNK/CplLnk.K
Controle de aplicação e SO baseado por
comportamento
Como definido pela politica de prevenção
Contras
Baseados em assinatura
Parar infecção se descoberto
Reativo
Ineficiente SIM
Sem proteção contra Zero Day
Não há proteção por comportamento
de usuário/aplicação
Na maioria das vezes requerem
produtos extra/customizações
Comportamento / Política Criada
Poder de parar o desconhecido
Proativo
Eficiente SIM
Efetivo contra ameaças Zero day,
Protege o sistema operacional a
partir de aplicações ou usuários
baseado em comportamento
Blinda aplicativos uns dos outros
Bloqueio Comportamento Superior a Proteção tradicional
21. Controle do Sistema: Como proteger os recursos do sistema
Estágio 1: Preparação Estágio 2: Produção
Lock down
Criar uma politica
0
Distribuir politica
1
Os recurso estarão em
modo locked down
2
Qualquer acesso não
autorizado será bloqueado
3
O processo de criação da Whitelist não requer nenhuma intervenção do usuário, e suas
cópias podem ser distribuído para outros dispositivos.
Os recursos poderão ser arquivos, registros dispositivos e conexões de rede
As políticas irão controlar o que os usuários e aplicações poderão acessar
23. SES: CSP fornece proteção de rede em dispositivos embarcados
• O acesso à rede pode ser
negado ou permitido com
base em IP ou porta
• Conexões de acesso podem
ser controladas com base na
aplicação e usuário
• Inspeção de pacotes mais leve
que ferramentas tradicionais
de análise de tráfego.
25. SES:CSP Detecção – Monitora a alterações de Configurações no PDV
2
• Arquivos ou registro
• Configurações de segurança
• Gestão Grupos
• Relação de confiança de um domínio
• Usuários e grupos
• Atividade dos sistemas detalhadamente
• Atividades de todos dispositivos USB
Detecção/bloqueio de alteração em:
26. IDS Fornece capacidades de alerta e monitoramento em tempo real a
integridade do arquivo
…
Email Client
Office
IE Browser
Web
Mail
…
crond
RPC
LPD Printer
Serviços
executados no
Core do SO
Aplicações
Usuários operando o
Sistema
Arquivos
Criar/Modificar/Deletar
Arquivos
Configurações
Criar/Modificar/Deletar
Configurações
Sistema OperacionalEquipamento
Sistema,
Aplicação
& Eventos de
segurança
Sistema &
Linhas de logs
1.
2.
3.
1.
2.
3.
Coletores irão reunir eventos
e compará-los com os
conjuntos de regras de IDS
(comportamento ou
biblioteca); irá monitorar e
registrar o que, onde, quando
e por quem as mudanças
foram efetuadas
Após localizar uma alteração toma as medidas
Grava um log em SCSP log para auditoria
Enviaumalertaparaconsoledeadministração
…
Como Trabalha
27. Utilização de Recursos pelo Agent
Utilização de CPU
1 a 6%
Utilização de Memória
20 a 40 MB
Consumo máximo de
sistema de arquivos
100 MB
29. Obrigado!
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by
law. The information in this document is subject to change without notice.
Luiz Leopoldino Lucas Veiga
Luiz_Leopoldino@symantec.com Lucas_veiga@Symantec.com
30