Security Moves Fast It needs to! Richard van der Graaf Security consultant - CISSP Uw netwerk- en communicatiespecialist
Appetizer https://www.us-cert.gov/ncas/current-activity/2014/09/24/bourne-again-shell-bash-remote- Code-Execution-Vulnerability CVE-2014-6271 Bash Code Injection
Verandering, beleving en nieuwe uitdagingen
The Ongoing Race : Good Guys vs Bad Guys
Uitdagingen te overwinnen Malware, threats, botnets etc Bugs, Vulnerabilities Het gebruik van mobiele devices, de apps en de content Virtualisatie, Cloud. Waar staat de data? Hackers blijven vindingrijk en de aanvallen geavanceerder Apps zijn de business enablers. Snelle uitrol is belangrijk Hoe blijft de ICT organisatie bij de tijd? Hoe overwin je IT Silo s Meer met minder: FTE s en budgetten onder druk
Threats: steeds geavanceerder en groeiend Malicious spam (targeted) Java, Flash & PDF exploits 100,000+ malware variants daily 2014 1,300 known viruses 1997 50,000 known viruses VIRUSES AND WORMS 2004 ADWARE AND SPYWARE 2007 DDOS APTS 2010 RANSOMWARE HACTIVISM STATE SPONSORED INDUSTRIAL ESPIONAGE NEXT GEN APTS (MASS APT TOOLS) UTILIZING WEB INFRASTRUCTURES (DWS)
Type of Threats Know Knows Threats we know we know Know Unknowns Threats we know we don t know Unknown Unknowns Threats we don t know we don t know?
De aanval en onze reactie: Tijd moet korter. Attacker Surveillance Target Analysis Access Probe Attack Set-up System Intrusion Attack Begins Discovery/ Persistence Cover-up Starts Leap Frog Attacks Complete Cover-up Complete Maintain foothold TIME ATTACKER FREE TIME Need to collapse free time TIME Physical Security Threat Analysis Defender Discovery Attack Forecast Monitoring & Controls Attack Identified Incident Reporting Containment & Eradication Impact Analysis Damage Identification Response System Reaction Recovery Source: NERC HILF Report, June 2010 (http://www.nerc.com/files/hilf.pdf)
Reactietijd is kritisch De tijd tussen een zero-day aanval (bijvoorbeeld Heartbleed), het bekend worden en de dag dat de fabrikant een patch uitbrengt, wordt steeds kritischer Een lek moet zo snel mogelijk worden opgelost of op een andere manier worden verholpen Multi-Layer Security architectuur Wat zijn de maatregelen en tools om de hacker minder speeltijd te geven? Wat zijn de maatregelen en tools om die reactietijd te verlagen?
Hoe hacker-free-time en ICT reactietijd te verlagen? De basis Beleid en visie Bewustzijn (awareness) Zorg voor regulier technologie update Zorg voor preventie maatregelen die direct toepasbaar zijn De vervolgstap Stel een security team samen Procedures en draaiboeken Werk vanuit een architectuur/raamwerk Zorg voor monitoring & response tools Voeg intelligentie toe
Waar staat mijn organisatie op ICT Security? SOC Protect critical assets Calculate IT Risks Incident Response Allign with business risk Technical Prevention measures Standard controles Compliancy plays a part in decisions Tick in the box Business continuity MATURITY LEVEL
Technology update
Architecture: Software Defined Protection Security: Secure, Agile, Modular, Manageble, Proactive, Intelligence M A N A G E M E N T L A Y E R Integrates security with business process C O N T R O L L A Y E R Delivers real-time protections to the enforcement points E N F O R C E M E N T L A Y E R Inspects traffic and enforces protection in well-defined segments
Enforcement layer Next Gen Firewalling / IPS Perimeter en Core/datacenter North-South bound / East-West bound FW, VPN, IPS, Identity, Application aware Context aware Virtualisatie Application Delivery Smart loadbalancing Application Security - WAF SSL Offloading DDoS protection Virtualisatie The Network Segmentatie / Security zones Tagging Network behaviour Analyses (NBA)
September 2014
Enforcement Points op de juiste plek Zonering/segmentatie Firewalls IPS Content scanner Application Delivery Controllers Access Control Virtualisatie
Architecture: Cisco ACI met F5 ADC New F5 DEVICE PACKAGE FOR APIC ACI Fabric Programmability (irule/iapp/icontrol) Data Plane Control Plane Management Plane F5 Synthesis Fabric Application Agility Any where, Any time, Physical and Virtual Rapid Deployment of Applications with Scale and Security Application-centricity to Visibility and Troubleshooting Open Source Application Policies Common Operational Model through Open APIs Virtual Edition Appliance Chassis
UNKNOWN KNOWN Control Layer: Multi-Layer threat defense Antivirus Blocks download of files infected with known malware IPS Stops exploits of known vulnerabilities Anti-Bot Prevents bot damage from infected devices Threat Emulation Stops unknown zero-day malware in files
Bescherming tegen Zero-day Exploits New Threat Emulation INSPECT EMULATE SHARE PREVENT Sec urity Gat ewa y
Herschikken van maatregelen, mensen en budgetten Security today Intelligence-driven security Monitoring 15% Response 5% Prevention 80% Prevention 33% Response 33% Monitoring 33% Monitoring Response Prevention Monitoring Response Prevention
Management Layer: Dashboards: Live views! Customizable dashboards Big Data Threat Detection in seconds Full monitoring Customizable reports Per role reports New Next Gen SmartEvent R80 Detecteren van dreigingen in real time
Security Intelligence New Security zelf bijhouden is vaak niet meer te doen Security Intelligence from the Cloud Cisco SIO (Security Intelligence Operations) Check Point Threatcloud IntelliStore RSA Live Intelligence Translating intelligence to protections for Security Gateways
Network Behaviour Analysis (NBA) Inzicht! Wat gebeurt er op mijn netwerk? Statistieken waarmee afwijkend netwerkgedrag kan worden gevonden Verzamelen van bewijsmateriaal bij incidenten Flow Monitoring
Samengevat Security is here to stay! Implementeer de basis maatregelen Stay up-to-date : technologie en kennis Reactietijd is kritischer dan ooit Monitoring en detectie als essentieel beveiligingsonderdeel Bouw volgens een architectuur voor optimale integratie Gebruik de kracht van Security Intelligence Clouds Kostenbesparing door automation (ACI)
Interessante Security Reports Cisco Annual Security Report 2014 http://www.cisco.com/web/offers/lp/2014-annualsecurity-report/index.html Check Point Security Report 2014 http://www.checkpoint.com/campaigns/2014-securityreport/ Verizon Data Breach Investigation Report 2014 http://www.verizonenterprise.com/dbir/2014/
Uw netwerk- en communicatiespecialist Vragen?
Einde presentatie Deze presentatie komt beschikbaar via de Vosko Website richard.van.der.graaf@vosko.nl Uw netwerk- en communicatiespecialist