be aware webinar - protegendo pdv de ameaças externas e garantindo conformidade
TRANSCRIPT
Protegendo PDV de ameaças Externas e Garantindo Conformidade
Luiz Leopoldino Lucas VeigaSecurity Systems Engineer Sr Technical Engineer
Agenda
2
1 Cenários de Ameaças Corporativas
2 Symantec Embedded Security
3 Proteção além do AV
4 Perguntas
Segurança Corporativa| Estratégia de Produtos e Serviços
3
Threat Protection
ENDPOINTS DATA CENTER GATEWAYS
• Advanced Threat Protection através de todos os pontos de controle• Forense e Remediação embutida em cada ponto de controle• Proteção integrada para Workloads: On-Premise, Virtual e Cloud• Gestão baseada em nuvem para Endpoints, Datacenter e Gateways
Unified Security Analytics Platform
Coleta de Logs e Telemetria
Gestão Unificadasde Incidentes e Customer Hub
Integrações com Terceiros e Inteligência
Benchmarking Regional e porSegmento
Análise Integradade Comportamentoe Ameaças
Information Protection
DADOS IDENTIDADES
• Proteção integrada para Dados e Identidades• Cloud Security Broker para Apps Móveis e em Nuvem• Análise de comportamento dos usuários• Gestão de Chaves e Criptografia em Nuvem
Users
Data
Apps
Cloud
Endpoints
Gateways
Data Center
Cyber Security ServicesMonitoramento, Resposta a Incidentes, Simulação, Inteligência conta Ameaças e Adversários
Cenário de Ameaças Corporativas
4
Atacantes se movimentando mais rapidamenteExtorsão digital em
ascensãoMalware mais
inteligente
Ameaças Dia-Zero Muitos Segmentos sob Ataque
5 de 6 grandes
empresasatacadas
317M novosmalwares
criados
1Mnovas
ameaçaspor dia
60% dos ataques
focaram nasPMEs
113% aumento emransomware
45X maisdispositivos
sequestrados
28% malwares são Virtual
Machine Aware
Recordeabsoluto
Top 5 semcorreção por
295 dias
24
Saúde+ 37%
Varejo+11%
Educacional+10%
Governo+8%
Financeiro+6%
Fonte: Symantec Internet Security Threat Report 2015
5
Copyright © 2015 Symantec Corporation
Os 10 maiores setores com exposições de dados no último ano
6Relatório de Ameaças à Segurança na Internet de 2015, Volume 20
Observamos resultados diariamente. Mas quantos passam despercebidose sem reportar a um orgão regulamentador?
7Copyright © 2015 Symantec Corporation
Total de Brechas
312
IdentidadesExpostas
348Janeiro 2014 – Dezembro 2014
Milhões
Janeiro 2014 – Dezembro 2014
• Ano 2014:o PDV sem criptografia, sem adequadas segmentações de redeo 5 meses para detectaro 2 semanas para descobriro Vulnerabilidades Dia-0 sendo exploradaso 56 milhões de registros de cartões de crédito roubadas
• Ano 2014:o Impactos instantâneoso 4 Filmes disponibilizados antes de seu lançamentoo 25GB, 33K arquivoso Desativação de e-mails e Wi-Fio Atrasos de pagamentos
• Dezembro 2013:o Hackers invadem a Target pela rede de monitoração do Ar
condicionado, infectam o ambiente.o Segmentação inadequada, falta de proteção nos PDVs infecção dos
PDVs.o Extração de 70 milhões de registros dos cartões de crédito de
clientes
8
Gestão
3 dias : Média de tempo para descoberta de vulnerabilidade (SO Linux)
… Os PDV's são utilizados por muitos anos e Linux SO
Os desafios não são apenas no lado de segurança…
Copyright © 2015 Symantec Corporation
Inventário de software, atualizações Mudanças nas configurações
Novas funcionalidades e patches
Telemetria de Segurança
Diagnóstico e remediação
Listas de controle de acesso
Conteúdo sensível
Atualizações de Políticas
Anatomia de um ataque em com sistemas PDV
Copyright © 2015 Symantec Corporation 9
Rede PDV
Payment Processor
Rede Corporativa
Internet
UnencryptedData in Memory
As informações são coletadas, selecionadas e enviadas a servidores externos (Que
também estãocomprometidos)
Credenciais de Administrador
Comrprometidas
Hijacked Staging Server
Servidor de FTP Comprometido
1 2
3
4
5
3 3 3
3 3 3
6
2017 4320 5001 7432 1018 4562 1916 8932 1797 5690 9876 2344
1734 5690 2554 2344 7897 5690 9876 7390 2017 4320 5001 1068
1797 5690 9876 2344
2017 4320 5001 74321018 4562 1916 89321797 5690 9876 23441734 5690 2554 2344
Os atacantes tomam sistemasinternos e acumulaminformacão dos PDVs
O malware rouba as informações de cada
transação e acumula um grande número de dados e
os envia
Os atacantes instalam um malware nos PDVs para roubar
dados do cartão de crédito
Os atacantes buscam um ponto de entrada na rede de PDVs
Os atacantes interceptam osdados da rede corporativa
(via spearphishing, servidoresvulneráveis, etc.)
123456
Métodos de Proteção tradicional
Segregação de Redes Antivírus Convencional em PDV Proteção nativa do SO
10
Por que um PDV é um alvo de Ataque?
• Os sistemas PDV são dispositivos de missão críticapara muitas empresas.
• Estes sistemas usualmente possuem poucaproteção contra ataques direcionados, que, através da execução de aplicativos não autorizados, podem começar a capturar e roubar dados de cartão de crédito.
• Soluções de segurança tradicionais, pode impactar negativamente o desempenho destes sistemas por contar com uma atualização de definição de vírus.
Copyright © 2015 Symantec Corporation 11
LOCKDOWNPrevenção de Execução de Código DESCONHECIDO inibe a atividade suspeita
12Copyright © 2015 Symantec Corporation
MEMORY CONTROL POLICIES
Defende contra código malicioso que está sendo inserido ou executado a
partir da memória
MEMORY
Restringir a execução do programa e o seu comportamento
BEHAVIOUR
APPLICATION SANDBOXING & WHITELISTING
SYSTEM CONTROL POLICIES
Aplicar os princípios de privilégio mínimo para o
dispositivo
HARDENING
Monitora continuamente as configurações de arquivo e registro
INTEGRITY
REAL-TIME INTEGRITY MONITORING
Permitir somente a White List de aplicativos
listados.Controlar o uso de USB e outras portas periféricas
PERIPHERALS
APPLICATION CONTROL
• Restringe as apps & monitora o comportamento do SO
• Protege o sistema contra buffer overflow• IPS para prevenção de zero-day attacks• Controle de aplicação
• Monitora os logs e eventos de segurança
• Logs consolidados & envio para servidores Syslog
• Smart event responsável para uma rápida ação para o ambiente.
• Close back doors (Bloqueio de Portas)• Limite a conectividade de rede por
aplicação.• Restrinja o fluxo do trafego de entrada e
saída da aplicação.
• Faça o Lock down de configurações e politicas
• Force a utilização de suas politicas de segurança
• Previne escalar privilégios do usuários• Prevenir o uso de mídias removíveis
NetworkProtection
ExploitPrevention
SystemControls
Auditing &Alerting
Symantec Embedded Security
Proteção Além do AV
14
Registro
Arquivos deConfiguração
Dispositvos de Armazenamento USB
Aplicações
SO
Memória
Symantec Embbed Security
Proteção da Integridadedo SO
Proteção da Integridadede Arquivos
Proteção da Memória
Controles de Rede (FW)
Controle de Dispositivos
Controle das Aplicações
Symantec™ Embedded Security
• Always On – Proteção Constante
• Utiliza engines Antivírus e Insight (Reputação)
• Console de Gerenciamento Unificada
• Proteção básica até o completo Lockdown
• Hardening simplificado através de Wizards
• Controle e proteção de aplicações Whitelisted
Proteção
Symantec Embedded Security for POS
Security ResponseInsight Reputation
Níveis de Proteção Avançada
Controle por comportamento
Auditoria e Alerta(Conformidade)
Controle dos sistemas
Proteção de Rede
16
Análise em tempo Real. Máximo Controle
Controle por Comportamento
17
Recursos fornecem controle de aplicativos Privilege Least (sandboxing) para proteger dispositivos embarcados
Arquivos
Registro
Rede
Dispositivo
Leitura/GravaçãoArquivos de dados
Read OnlyConfiguraçõesInformações
Uso apenas de selecionadas portas
e dispositivos
…RSH Shell
Browser
Web
…crond
RPC
LPD Printer
Core do SO e Serviços
Aplicações
Interação do usuáriocom os Programas do
PDV
Restrições de recursos GranularesProgramas Embarcados
…
Grande parte das aplicações exigem um conjunto limitado de recursos e direitos de acesso para executar funções normaisA maioria dos programas possuem privilégios e direitos de recursos muito além do que é exigido - ataques facilmente exploram essa lacuna
SES: CSP cria uma "sandbox" ou “área de contenção" para um ou mais programas (processos) usando uma política que define os controles de privilégio menos ou "aceitáveis" comportamentos de acesso a recursos
Abordagem tradicional:Malware Blacklist
Bloqueio por Comportamento:Sandboxing
Assinaturas contra MalwareHoje aprox 30 Milhões e crescendo ~ 900 / Mês
DLoader.AMHZW \ Exploit_Gen.HOW \ Hacktool.KDY \
INF/AutoRun.HK \ JS/BomOrkut.A \
JS/Exploit.GX \ JS/FakeCodec.B \ JS/Iframe.BZ \
JS/Redirector.AH \ KillAV.MPK \ LNK/CplLnk.K
Controle de aplicação e SO baseado porcomportamento
Como definido pela politica de prevenção
Contras
Baseados em assinatura
Parar infecção se descoberto
Reativo
Ineficiente SIM
Sem proteção contra Zero Day
Não há proteção por comportamentode usuário/aplicação
Na maioria das vezes requeremprodutos extra/customizações
Comportamento / Política Criada
Poder de parar o desconhecido
Proativo
Eficiente SIM
Efetivo contra ameaças Zero day,
Protege o sistema operacional a partir de aplicações ou usuários baseado em comportamento
Blinda aplicativos uns dos outros
Bloqueio Comportamento Superior a Proteção tradicional
Controle dos Sistemas
20
Controle do Sistema: Como proteger os recursos do sistemaEstágio 1: Preparação Estágio 2: Produção
Lock down Criar uma politica
0
Distribuir politica
1
Os recurso estarão em
modo locked down
2
Qualquer acesso não autorizado será bloqueado
3
O processo de criação da Whitelist não requer nenhuma intervenção do usuário, e suas cópias podem ser distribuído para outros dispositivos.
Os recursos poderão ser arquivos, registros dispositivos e conexões de rede
As políticas irão controlar o que os usuários e aplicações poderão acessar
Proteção de Rede
22
SES: CSP fornece proteção de rede em dispositivos embarcados
• O acesso à rede pode ser negado ou permitido com base em IP ou porta
• Conexões de acesso podem ser controladas com base na aplicação e usuário
• Inspeção de pacotes mais leveque ferramentas tradicionaisde análise de tráfego.
Detecção: Auditoria & Alerta
24
SES:CSP Detecção – Monitora a alterações de Configurações no PDV
25
• Arquivos ou registro
• Configurações de segurança
• Gestão Grupos
• Relação de confiança de um domínio
• Usuários e grupos
• Atividade dos sistemas detalhadamente
• Atividades de todos dispositivos USB
Detecção/bloqueio de alteração em:
IDS Fornece capacidades de alerta e monitoramento em tempo real a integridade do arquivo
…Email Client
Office
IE Browser
Web
…crond
RPC
LPD Printer
Serviçosexecutados no
Core do SOAplicações
Usuários operando o Sistema
Arquivos
Criar/Modificar/DeletarArquivos
Configurações
Criar/Modificar/DeletarConfigurações
Sistema OperacionalEquipamento
Sistema,Aplicação
& Eventos de segurança
Sistema &Linhas de logs
1.
2.
3.
1.
2.
3.
Coletores irão reunir eventos e compará-los com os
conjuntos de regras de IDS (comportamento ou
biblioteca); irá monitorar e registrar o que, onde, quando
e por quem as mudanças foram efetuadas
Após localizar uma alteração toma as medidas
Grava um log em SCSP log para auditoria
Envia
um
alertap
ara con
sole d
e adm
inistração
…
Como Trabalha
Utilização de Recursos pelo Agent
Utilização de CPU
1 a 6%
Utilização de Memória
20 a 40 MB
Consumo máximo de sistema de arquivos
100 MB
Copyright © 2015 Symantec Corporation 29
For further information:
• Symantec IoT website: www.symantec.com/iot
• Individual product websites: http://www.symantec.com/products-solutions/products/
o Critical System Protection Embeded: http://securityresponse.symantec.com/es/mx/embedded-security-critical-system-protection
o MPKI: http://securityresponse.symantec.com/es/mx/managed-pki-service
o Encryption: http://securityresponse.symantec.com/es/mx/encryption/
o Endpoint Encryption: http://securityresponse.symantec.com/es/mx/endpoint-protection
Obrigado!
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Luiz Leopoldino Lucas [email protected] [email protected]
30