Hoje, o tópico de segurança cibernética mudou do departamento de TI e do datacenter para os níveis mais altos da diretoria. Ataques e ameaças têm se tornado significativamente mais sofisticados na frequência e na severidade. O que está em jogo? Tudo, da privacidade do cliente à identidade da marca, a reputação dos executivos e muito além. Sem um forte sistema de defesa implantado, as identidades e as contas bancárias dos indivíduos podem ser invadidas, as empresas podem perder clientes e o controle de segredos empresariais, propriedade intelectual, vantagem sobre a concorrência e até mesmo sua posição no mercado de ações
•O tempo médio que os invasores ficam em uma rede antes de serem detectados é de mais de 200 dias
•A estimativa do custo do crime digital para a economia global é de US$ 500 bilhões
•Mais de 75% de todas as invasões de redes começam com credenciais comprometidas
•O custo médio de uma violação de dados para uma empresa é de US$ 3,5 milhões
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger sua empresa
1.
2.
3.
4. Causando um prejuízo financeiro
significativo, impacto na reputação da marca,
perda de dados confidenciais e cargos
executivos
Explorando as credenciais do usuário na
grande maioria dos ataques
Usando ferramentas legítimas de TI ao invés
de malware—mais difíceis de detectar
Ficando na rede em média oito meses antes
da detecção
Os invasores cibernéticos atuais estão:
5. Custando uma perda financeira significativa,
impacto na reputação da marca, perda de
dados confidenciais e cargos executivos
Comprometendo as credenciais do usuário
na grande maioria dos ataques
Usando ferramentas legítimas de TI ao invés
de malware - mais difíceis de detectar
Ficando na rede em média oito meses antes
da detecção
Os invasores cibernéticos atuais estão:
6. Causando um prejuízo financeiro
significativo, impacto na reputação da marca,
perda de dados confidenciais e cargos
executivos
Comprometendo as credenciais do usuário
na grande maioria dos ataques
Usando ferramentas legítimas de TI ao invés
de malware—mais difíceis de detectar
Ficando na rede em média oito meses antes
da detecção
Os invasores cibernéticos atuais estão:
7. Causando um prejuízo financeiro
significativo, impacto na reputação da marca,
perda de dados confidenciais e cargos
executivos
Comprometendo as credenciais do usuário
na grande maioria dos ataques
Usando ferramentas legítimas de TI ao invés
de malware —maisdifíceis de detectar
Ficando na rede em média oito meses antes
da detecção
Os invasores cibernéticos atuais estão:
8. As ferramentas tradicionais de segurança de TI geralmente são:
Complexas
Configuração inicial, ajuste
fino, regra de limite e
criação de linha de base
podem levar um longo
tempo.
Propensas a falsos
positivos
Você recebe tantos relatórios
diários com falsos positivos
que exigem um tempo
precioso que você não tem.
Projetadas para
ajudar a proteger
o perímetro
Quando as credenciais do
usuário são roubadas e os
invasores estão na rede,as
suas defesas atuais fornecem
proteção limitada.
9.
10. Uma plataforma no local para identificar ataques avançados de segurança antes que
causem danos
As empresas de cartão de
crédito monitoram o
comportamento dos
titulares dos cartões.
Se houver qualquer
atividade anormal, elas
notificarão o titular do
cartão para verificar a
compra.
O Microsoft Advanced Threat Analytics (ATA) traz
este conceito para os usuários e a TI de uma
organização
Comparação:
11. Análises
comportamentais
Detecção de ataques e
problemas conhecidos
Detecção avançada
de ameaças
Uma plataforma no local para identificar ataques avançados de segurança
rapidamente, permitindo que os profissionais de TI reduzam significantemente
os danos
12. Testemunha todas as
autenticações e autorizações
para os recursos organizacionais
no perímetro corporativo ou em
dispositivos móveis
Suporte à mobilidade Integração ao SIEM Fácil implantação
Conecta-se com fluidez ao
gerenciador de eventos e
informações de segurança
(SIEM)
Oferece opções para encaminhar
alertas de segurança para o
SIEM ou enviar emails a pessoas
específicas
Usa espelhamento de porta para
facilitar uma implantação sem
contratempos e sem agentes junto
com os Serviços de Domínio do
Active Directory (AD DS)
Não afeta a topologia de rede
existente
Principais recursos
13. Uma solução no local para identificar ataques avançados de segurança antes que causem danos
Não é necessário criar regras
ou políticas, implantar agentes
ou monitorar diversos
relatórios de segurança. A
inteligência necessária está
pronta para analisar e
aprender continuamente.
O ATA aprende com o
comportamento da entidade
organizacional (usuários,
dispositivos e recursos) e
ajusta-se para refletir as
mudanças na evolução da
sua empresa.
A linha do tempo de ataque
é um feed claro, eficiente e
conveniente que apresenta
os itens importantes em uma
linha do tempo, mostrando-
lhe "quem, o quê, quando e
como".
Os alertas acontecem
somente quando atividades
suspeitas são agregadas
contextualmente,
comparando o
comportamento da entidade
com o próprio
comportamento e com
outras entidades no
caminho de interação.
14. Problemas de segurança:
• Conta confidencial exposta na autenticação em texto
sem formatação
• Serviço que expõe contas na autenticação em texto
sem formatação
• Quebra de confiança
• Atividade suspeita em contas honey token
Atividades suspeitas de reconhecimento e força
bruta:
• Reconhecimento usando DNS
• Reconhecimento usando enumeração de conta
• Força bruta (LDAP, Kerberos)
Atividades suspeitas de roubo de
identidade:
• Pass the ticket
• Pass the hash
• Over-pass the hash
• Skeleton key
• Forged PAC (MS14-068)
• Golden ticket
• Execução remota
Atividades suspeitas de comportamento anormal:
• Comportamento anormal baseado em autenticação,
autorização e horas de trabalho (algoritmo de
aprendizagem da máquina)
• Exclusão em massa de objeto
15.
16. Analisar1
Após a instalação:
• Uma configuração simples e não invasiva
de espelhamento de porta cópia todo o
tráfego relacionado ao Active Directory
• Permanece invisível para invasores
• Analisa todo o tráfego do Active
Directory
• Coleta eventos relevantes do SIEM e
de outras fontes
17. ATA:
• Automaticamente começa a aprender
e traçar perfis de comportamento da
entidade
• Identifica o comportamento normal
das entidades
• Aprende continuamente a atualizar as
atividades de usuários, dispositivos e
recursos
Aprender2
O que é uma entidade?
Uma entidade representa usuários, dispositivos
ou recursos
18. Detectar3 Microsoft Advanced Threat Analytics:
• Busca comportamento anormal e identifica
atividades suspeitas
• Só emite alertas se as atividades anormais estiverem
agregadas ao contexto
• Usa pesquisa de segurança de alta qualidade para
detectar ataques conhecidos e problemas de
segurança (regionais ou globais)
O ATA não só compara o comportamento
da entidade com o seu próprio padrão, mas
também com o comportamento de outras
entidades do ambiente.
19. Alertar4
O ATA relata todas as
atividades suspeitas em
uma linha do tempo de
ataque simples, funcional
e útil.
O ATA identifica
Quem?
O quê?
Quando?
Como?
Para cada atividade
suspeita, o ATA
fornece
recomendações de
investigação e
correção.
20. Gerencia as definições de configuração
do ATA Gateway
Recebe dados do ATA Gateways e
armazena no banco de dados
Detecta atividades suspeitas e comportamentos
anormais (aprendizado automático)
Fornece interface de gerenciamento da
web
Suporta múltiplos gateways
21. Captura e analisa o tráfego da rede do controlador de
domínio através do espelhamento de porta
Ouve múltiplos controladores de domínio de
múltiplos domínios em um único gateway
Recebe eventos do SIEM
Recupera dados sobre as entidades do
domínio
Realiza a resolução de entidades de rede
Transfere dados relevantes para o ATA
Center