Das Frühwarnsystem für Ihr Netzwerk - secunet.com · Mrd. laut Bitkom . Aktuelle Situation:...

Advanced Security Analytics Platform Das Frühwarnsystem für Ihr Netzwerk Produktpräsentation CEBIT, Juni 2018

Seite 2 16.10.2018 Advanced Security Analytics Platform (spotuation)

Wer ist finally safe?

Wir sind ein junges deutsches Technologie-Unternehmen und Hersteller der intelligenten „Advanced Security Analytics Platform“

Unsere Lösung zeigt die aktuelle IT-Sicherheitslage in Netzwerken auf und hilft bei der Realisierung einer höheren Netzwerk-Resistenz, sowie bei der Erkennung von fortgeschrittenen Angriffen sogenannten APT (Advanced Persistent Threats)

finally safe wurde 2015 aus dem Forschungsbereich Internet-Frühwarnsysteme des Instituts für Internet-Sicherheit gemeinsam mit der secunet Security Networks AG in Essen gegründet

Unser Team besteht aus Security-Spezialisten und ehemaligen Mitarbeitern des Instituts für Internet-Sicherheit der Westfälischen Hochschule, die das System von Anfang an in Zusammenarbeit mit dem BSI entwickelt haben

Wir helfen Ihnen dabei, dem Thema Informationssicherheit heute und zukünftig adäquat zu begegnen


“Im Jahr 2020 wird ein Drittel aller erfolgreichen Cyber Attacken auf Systeme der Schatten-IT stattfinden.” Gartner’s Top 10 Security Predictions 2016 www.gartner.com

2021

$6 Billionen Schätzung der Schäden Cybercrime Report, Cybersecurity Ventures, 2016

2016

$0,45 Billionen Schäden durch Cyber-Angriffe weltweit Hiscox Cyber Readiness Report 2017

In DE: €55 Mrd. laut Bitkom

Aktuelle Situation: Wachsende Cyber-Risiken


Warum sind Angriffe immer erfolgreicher?

Einfache Einfallstore

Angriff und Erstinfektion

Verlust sämtlicher Unternehmensdaten

Unternehmen konzentrieren sich auf

Prävention und Analyse

Angreifer haben im Schnitt 205 Tage Zeit

Ihren Angriff durchzuführen

Resistenz Prävention Aufdeckung Analyse

• Pentests

• Firewalls • IDS/IPS • Proxies • Sandboxes

• Verhaltensanalysen

• Forensik • Angriffs-

protokolle • SIEM

Unternehmen führen punktuell Pentests und Schwachstellenscans

durch

Bereits 1 Tag später treten neue Lücken auf

Angriffszyklus / Kill-Chain

Laufender Angriff im Netzwerk (z.B. C&C)

Die Netzwerkresistenz entscheidet, wie einfach Sie angegriffen werden

können.

€€€€

€€€

€€

€

Höhe der Investitionen


Advanced Security Analytics Platform Unsere Lösung: Das Netzwerk-Frühwarnsystem

Einsatz der Netzwerk- Appliance in unter 1 Stunde.

Neuartige Angriffsformen automatisiert aufdecken.

Minimaler Betriebs- und Pflegeaufwand.

Gesamtsicherheits- Lagereport bereits nach

wenigen Tagen.

Ständig aktualisierte Schwachstellenbewertung.

Volle Netzwerktransparenz aus einem System.

Nahtlose Integration in bestehende Infrastruktur

und SIEM-Systeme.

Ohne aktive Eingriffe in bestehende Infrastruktur.

Höchster Detailgrad – Derzeit über 4 Millionen Protokollmerkmale dauerhaft verfügbar.


Resistenzstärkung im Netzwerk durch

Aufdecken von Schwachstellen

Erkennung von unsicheren Technologien

Darstellung von schlecht konfigurierten Systemen

Angriffsaufdeckung im Netzwerk durch

Anomalie-Erkennung

APT- / Tunnel-Erkennung

Zielsetzungen unserer Sicherheitslösung

Regelwerk/ Network

Compliance

Network Anomaly Detection

Advanced Threat

Detection (C&C,

Exfiltration)

Reports Events Dashboard

Aufzeigen der IT-Sicherheitslage im Netzwerk gegenüber dem Internet


Advanced Security Analytics Platform Einsatz im Netzwerk: Sensor, Core-System, Web-Portal

Office IT Rechenzentren / virtuelle RZs

Anlagen / ICS / SCADA

Maschinen Zahlungs- verkehr

A B C Extern angebundene Standorte

D Medizin- geräte

FW

1. Einsatz von Netzwerk-

sensoren (=Appliances) an

zentralen Abgriffpunkten

an Netzwerk-Outbreaks

S OP

S S

Sensor-Datenaufnahme mittels TAP / (virtuellem) Mirror-Port am Switch.

Kundeninfrastruktur

AAS

2. Anbindung an das finally safe

Core-System (=Appliance)

a. On Premises oder

b. As A Service (Secure Cloud)

3. Ortsunabhängige

Nutzung des

Funktionsumfanges (je

Netzwerksegment)

Internet

FW


System-Architektur / Funktionsweise

Sensor analysiert Header-Daten (OSI Layer 2 - 7) aller Netzwerkpakete bis 10 Gbit/s

Zählwerk mit mehr als 4 Mio. hinterlegten Eigenschaften dadurch geringe Datenmengen

Alle Pakete werden auf Netzwerk-Compliance-Verstöße geprüft Werden ständig aktualisiert

Ergebnisse werden 5 Minuten lang erfasst und anschließend verschlüsselt an das Core-System geschickt

„Advanced Threat Detection“ analysiert zudem Verbindungen bis 1 Gbit/s auf mögliche zielgerichete Angriffe (Advanced Persistent Threats)

Core-System nimmt Lagebild-Daten des Sensors entgegen, werden in Datenbank gespeichert

Hohe Detailtiefe ermöglicht Berechnung eines genauen Modells des Netzwerkverkehrs mittels Machine-Learning-Algorithmen

Abweichungen zum tatsächlichen Verkehr (=Anomalien) werden gemeldet

Gruppen von Protokollmerkmalen (=Sets) sind vordefiniert und können individuell konfiguriert werden

Web-Portal sowie weitere Funktionen wie Dashboard, Reporting und Expertensystem werden im Core-System gehostet


Netzwerk Lagebild-Auswertung

Expertensystem / Analysen

Network Compliance Verification

Advanced Threat Detection Echtzeit-Überwachung / Realtime-Monitoring

ASAP

Add-On

Advanced Security Analytics Platform finally safe Sicherheitslösung im Überblick


Security Analytics – Web-Portal


Netzwerk Lagebildauswertung

Bild Funktionsbeschreibung: Basiert auf der Erfassung aller

Paketinformationen

Erkannte Schwachstellen in Systemen und Konfigurationen werden aufgedeckt

Bewertungssystem wird ständig aktualisiert

Risikobewertung von Kommunikations-parametern hinsichtlich Stärke und Sicherheit

Risikoprofil des Kunden im zeitlichen Verlauf

Hinterlegung von erwünschten und unerwünschten Protokollen

Kundenspezifische Anpassungen an die eigenen Bedürfnisse

Problemmanagement ermöglicht

USPs: Kontinuierliche IT-Lagebildauswertung

Ermöglicht präventive Schwachstellenaufdeckung

Automatisiertes Reporting über den Netzzustand (Management bis Technik)

Automatisierte Priorisierung und Risikobewertung


Echtzeit-Monitoring

Bild Funktionsbeschreibung: Basiert auf der Erfassung aller Paketinformationen

Verwendung von Machine-Learning-Algorithmen zur Berechnung eines Modells der Netzwerkkommunikation

Darauf basierend Anomalie-Erkennung bei Abweichungen

Selbstlernendes System, vierwöchige Einlernphase, zwölfwöchiger Betrachtungszeitraum

Live-Darstellung des Netzwerkverkehrs

USPs: Aufdeckung von Verhaltensanomalien im In- und

Outboundverkehr in Echtzeit

Kein Konfigurationsaufwand

Alarmierung bei Anomalien mittels Standardereignisformat IDMEF


Network Compliance Verification

Funktionsbeschreibung: Hinterlegung von unerwünschten Protokollen als

Regeln (Network Compliance)

Compliance-Regelwerk wird zentral duch finally safe gepflegt

Abgleich findet live im Sensor statt

Erzeugt Events mit Informationen zur Ursache des Verstoßes und den betroffenen IP-Adressen

Alle Meldungen werden im Web-Portal abgerufen und können an Admins weitergeleitet werden

USPs: Automatisierte Meldung von Regelverstößen

Aufdecken von Schwachstellen auf Systemen (XP, Vista), Konfigurationen der Firewalls (Kommunikationskanäle wie Teredo, Freigaben wie SMB) und sonstigen Systemschwachstellen


Expertensystem / Analysen

Funktionsbeschreibung: Erfasste Verkehrsmetriken sind dauerhaft im

Core-System gespeichert

Können für Forensik und Response genutzt werden

Direkter Zugriff auf Sensor-Datenbank, Funktion ermöglicht plotten/darstellen und analysieren von Eigenschaften im Zeitverlauf

Verbunden mit Echtzeit-Monitoring: Bei Anomalie kann direkt der gesamte Verlauf dargestellt werden USPs:

Einfacher Zugriff auf alle Netzwerkdaten aus einem Tool

Forensik zu Betriebs- und Sicherheitsvorfällen


Advanced Threat Detection

Beschreibung: Erkennung von Infektionsversuchen mittels

Manipulation von Netzwerkverbindungen

Erkennung von versteckten Kanälen zur Steuerung der Malware sowie zur Datenexfiltration

Blacklisting und Domain Generation Algorithm (DGA)

Virtuelle Tunnel (Verkapselungen, VPN etc.) Häufigkeits- und Verhaltensanalysen sowie

signaturbasierte Detektion Erkennung von verbotenen verschlüsselten

Kommunikationsverbindungen Analyse von Standardprotokollen auf

versteckten Kanälen

USPs: Schutz gegen fortgeschrittene zielgerichtete

Angriffsformen, sogenannte Advanced Persistent Threats (APTs)


Verschiedene Angriffsvektoren – Eine Lösung

Network Compliance

Network Anomaly Detection


Top Network Attacks 2016

Vorführender

Präsentationsnotizen

Mit spotuation: Sehe kontin. Schwachstellen – proaktiv – und bekomme Handlungsempfehlungen http://www.calyptix.com/top-threats/top-7-network-attack-types-2016/


Kundeninfrastruktur

Advanced Security Analytics Patform Schließt Flanken und ergänzt bestehende Tools

Informationen über IT-Sicherheitsrelevante Ereignisse (SIEM)

Analyse

Event und Log-Management

Angreifer

Netzwerk-Resistenz

Auskund-schaften

z.B. Port Scans

Daten mitlesen z.B. Schwache

Verschlüsselungen

Exploits ausnutzen

z.B. veraltete Hard- und Software

Zugriffe ausnutzen

z.B. Fehler in Firewall-Einstellungen

Versteckte Kanäle

z.B. Botnetz-Missbrauch, C&C

Daten- Diebstahl

Angriff und Erstinfektion

z.B. über Executables, Email-Anhänge

Aktive Phase / Kill Chain

z.B. Auskundschaften, laterale Ausbreitung

Prävention Aufdeckung

Forensische Analysen

Client-Verhaltens-analysen

Payload Analysen


Advanced Security Analytics Platform


Umfassende Netzwerk-Transparenz durch dauerhafte Überwachung aller gängigen Protokolle (Office/Internet sowie OT/ICS)

Erkennung von neuartigen Angriffen durch Auffälligkeiten und generische Muster statt Signaturen

Proaktive Meldungen zu Schwachstellen Minimieren der Angriffsflächen

Steigende Analysequalität durch selbstlernende Plattform (Anomalie-Erkennung) Geringer Pflegeaufwand

Extrem hohe Detailtiefe (> 4 Mio. Parameter)

Ohne zusätzliche nennenswerte Netzwerklast

Ohne Beeinflussung anderer Systeme (passiv)

Kann vom Angreifer nicht entdeckt werden

Hardware-Plattformunabhängiger Einsatz

Nahtlose Integration in vorhandene Netzwerk- oder Cloud-Architektur

Made in Germany

Advanced Security Analytics Patform Zusammenfassung der Vorteile / Produkt


Optimierung der Abläufe durch Verringerung der Analyseaufwände

Ergänzend zu anderen Systemen (IDS/IPS) und Integration in SIEM möglich für effektivere Nutzung

Meldungen (Events) bei Vorfällen zur schnelleren Reaktion: Auffällige Aktivitäten im Netzwerk bei geringen False-positives Regelabweichungen im Netzwerk (vordefiniertes sowie anpassbares Regelwerk im Monitoring für Netzwerk-Compliance-Vorgaben)

Empfehlungen für proaktiven Schutz / Vereinfachung von Abläufen und Analysen durch Priorisierungen und Handlungsempfehlungen

Automatisiertes und anpassbares Reporting über Schwachstellen und Compliance-Einhaltung

Einfache Möglichkeit zur Qualitätssicherung

Advanced Security Analytics Patform Zusammenfassung der Vorteile / Prozess


Ihr Business Value mit finally safe

Verringerung von Cyber-

Sicherheitsrisiken

Freiräume für Zukunftsthemen

Effektiverer Ressourceneinsatz

Vielen Dank für Ihre Aufmerksamkeit!

Das Frühwarnsystem für Ihr Netzwerk - secunet.com · Mrd. laut Bitkom . Aktuelle Situation:...

Documents

Transcript of Das Frühwarnsystem für Ihr Netzwerk - secunet.com · Mrd. laut Bitkom . Aktuelle Situation:...