Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Schönheit kommt von innen – das Böse auchHuman-Centric Security
Fabian GlöserInsider Threat Detection Specialist
© 2019 Forcepoint | 2
Forcepoint was purpose-built to enable the next generation of cybersecurity
• Created by Raytheon in 2016 to commercialize defense-grade technologies for large enterprises.
• More than 13,000 customers, operations in more than 150 countries, 2,700 employees across 50 offices, and 27 data centers worldwide.
• Leading partner to the global intelligence community and for high assurance cyber missions.
• One of the most comprehensive and integrated security product portfolios in the industry.
Forcepoint Proprietary
© 2019 Forcepoint | 3
$1 Trillion Has Been Spent Over The Past 7 Years On Cybersecurity,
With 95% Success …For The Attackers
46% say they can’t prevent attackers from breaking into internal networks
each time it is attempted.
100% of CIOs believe a breach will occur through a successful phishing
attack in next 12 months.
Enterprises have seen a 26% increase in security incidents despite
increasing budgets by 9% YoY.
Forcepoint Proprietary
Source: CyberArk Global Advanced Threat Landscape Report 2018 Sources: Verizon 2018 Data Breach Investigations Report.
245 Mio. $
WertMitarbeiter/Partner/Kunde
Information systemGeistiges Eigentum
Sensible DatenAnlagen
BedrohungBetrug
DiebstahlSabotage
Missbrauch
AuswirkungVertraulichkeit
IntegritätProduktivitätReputation
Wettbewerbsvorteil
AuslöserMitarbeiter
Ex-MitarbeiterContractor
Sub-UnternehmerLieferant
MANAGING THE RISK LANDSCAPEMANAGING THE RISK LANDSCAPE
Copyright 2018 Forcepoint
E1X
2P
3L
4O
5I6T
7
WHY TAKING A NEW APPROACH TO SECURITY IS SO IMPORTANT
Evasions“camouflage”
Exploits“delivery vehicles”
Malware“theft & compromise”
P3L
4T
7O
5I6E
1X
2E
1X
2P
3L
4O
5I6T
7
2013: Stonesoft veröffentlicht den Evader
0: payload obfuscation1: tcp_paws2: tcp_synretranswithpayload3: ipv4_opt4: tcp_urgent5: tcp_recv_window6: tcp_seg, tcp_order7: tcp_seg, tcp_order, tcp_paws8: tcp_seg, tcp_order,
tcp_synretranswithpayload9: tcp_seg, tcp_order, ipv4_opt10: tcp_seg, tcp_order,
tcp_urgent11: tcp_seg, tcp_order,
tcp_recv_window12: Random combination of 1-11
Vendor \ Test 0 1 2 3 4 5 6 7 8 9 10 11 12
Forcepoint(Stonesoft) ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓Juniper ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗
Palo Alto ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗Cisco
(SourceFire) ✓ ✓ ✗ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✗ ✓ ✗McAfee ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗Fortinet ✓ ✓ ✗ ✓ ✓ ✓ ✗ ✗ ✓ ✓ ✗ ✗ ✗
2018: aktueller Test
0: payload obfuscation1: tcp_paws2: tcp_synretranswithpayload3: ipv4_opt4: tcp_urgent5: tcp_recv_window6: tcp_seg, tcp_order7: tcp_seg, tcp_order, tcp_paws8: tcp_seg, tcp_order,
tcp_synretranswithpayload9: tcp_seg, tcp_order, ipv4_opt10: tcp_seg, tcp_order,
tcp_urgent11: tcp_seg, tcp_order,
tcp_recv_window12: Random combination of 1-11
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
Vendor \ Test 0 1 2 3 4 5 6 7 8 9 10 11 12
Forcepoint(Stonesoft)
Juniper ✓ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗Palo Alto ✗ ✗ ✓ ✓ ✓ ✓ ✗ ✗ ✓ ✗ ✓ ✗ ✗
Cisco(SourceFire) ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗McAfee ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗Fortinet ✗ ✗ ✓ ✓ ✓ ✓ ✓ ✗ ✗ ✓ ✗ ✓ ✗
© 2019 Forcepoint | 10Forcepoint Proprietary
What is the best way to reduce risk and secure an environment you increasingly don’t own or
fully manage?
Humansand
Data
© 2019 Forcepoint | 11
Next Steps On Your Path To Human-Centric Cybersecurity
Forcepoint Proprietary
I am your greatest
asset.
I am your greatest risk.
Cyber Security ist nicht nur ein IT Thema
Mitarbeiter, HR, Betriebsrat, Legal, Management & IT
Was wollen wir schützen und vorwelchen Situation müssen wir das Unternehmen schützen
© 2019 Forcepoint | 12
Definieren Sie Use Cases• Sabotage• Datenexfiltierung• User werden angegriffen• Welche Bedienfehler müssen
erkannt werden• Risiko unzufriedener (Ex-)Mitarbeiter• Insiderhandel• Wenn bestimmte Personen
kündigen wollen
Definieren Sie was geschützt werdenmuss
Bestimmen Sie die Informationsquellen Legen Sie eine Handlungsabfolge fest
Use cases
© 2019 Forcepoint | 13
Große Bank: Cloud Implementierung und Datenschutzanpassung
• Schutz sensibler Daten in der Cloud • Automatische Erkennung neuer sensibler
Daten und Einbindung in die Compliance Maßnahmen in einer nun hybridenUmgebung
• Compliance (e.g., GDPR and HIPAA)
Converged Security Capabilities
Security Initiativen
Kritische Daten und geistigesEigentum schützen
Forcepoint Proprietary
Business Challenges• Kürzlich G-Suite implementiert,
daher müssen die Compliance Maßnahmen in die Cloud Applikation mitübertragenwerden
• Hatten bereits einenDatenvorfall, daher sindVisibilität und Möglichkeitengegen Datenverlust erwünscht
Ergebnisse• Einheitliche Durchsetzung sämtlicher
Richtlinien über ein Management• Incident Risk Ranking zeigt riskantes
Verhalten in Echtzeit, so kann Hilfeangeboten werden
• Human-Centric Approach: Fokus auf entity behavior, voll integriert, weitere und komplexere Use Cases können aufgenommen werden
© 2019 Forcepoint | 14
Energie Sektor: Stopping Insider Threats
• Verhindert Datenmissbrauch durchInsider oder über kompromittierteWork Stations
• Schützt vor Sabotage und einhergehende finanzielle Schäden
• Schutz der Wertschöpfungskette
Converged Security Capabilities
Security Initiativen
Workforce and Supply Chain Protection
Forcepoint Proprietary
Business Challenges• Muss wissen wie Mitarbeiter und
Partner mit sensiblen Dateninteragieren, um Datendiebstahlzu verhindern
• Erfordert die Fähigkeit, riskanteSzenarien lückenlos zu verstehen um Absichten nachweisen zukönnen.
Ergebnisse• Verhaltensanalyse in Echtzeit, Big
Picture, automatischeVerteidiungsmaßnahmen des Systems
• Sichtbarkeit von weiteren Beteiligten, umfassende Beweisführung
© 2019 Forcepoint | 15
Risk-Adaptive In Action: Stop Data Exfil By A Malicious Insider
Director (Heinz) München, BY
Montag21. Januar, 10 Uhr
Dienstag22. Januar, 13 Uhr
Mittwoch30. Januar, 9 Uhr
Samstag9. Februar 6 Uhr
Risk Score: 30 Risk Score: 50 Risk Score: 80 Risk Score: 95
Arbeitet im Urlaub Remote Zugriff und Änderung der UserID Kopierversuch der neuenDaten auf USB
Datenkopien erstellt
+ Additional Context
Risk-Adaptive Protection
Keine Maßnahmen aktiviert
Risk-Adaptive Protection
Videoaufzeichnung aktivert
Beweise für spätere Untersuchung verfügbar
Risk-Adaptive Protection
Kopieren erlaubt, Daten
automatisch verschlüsselt
vertraulichen Daten in Gefahr
Risk-Adaptive Protection
Aktion blockiert & Account von Heinz gesperrt
Datenverlust verhindert und Beweisegesichert, dass Heinz ein Angreifer ist
+ Additional Context + Additional Context + Additional Context
Forcepoint Proprietary
© 2019 Forcepoint | 16
Totale Überwachung?
Das Unternehmen selbst entscheidet4-Augen-Prinzip
MandantenfähigDaten sind maskiert
Machine-to-machinePolicies
I am your greatest
asset.
I am your greatest risk.
© 2019 Forcepoint | 16Forcepoint Proprietary
COMPLETE ENDPOINT PROTECTION
Storage
Web Email FTPUSB/DVDRemovable Media
Active Sync
Instant Message
Printers – Local & Network
Cloud Services & Applications
DLP AGENT
THE HUMAN POINT SYSTEM IN ACTION
FORCEPOINT UEBA MONITORING CAPABILITIES
tiefgehende Forensik– Endpoint zu Network Fingerprinting
– Online und Offline Monitoring
– Integration mit Forcepoint DLP
ApplicationGeneral
Clipboard Email File
Keyboard Logon Printer Process
System Info Video Web Search
Detaillierte Beobachtung der User Credentials
We deliver: Workshop briefings ~ 6 hours to jump-start teams; inform stakeholders
Workshops for executive sponsors, and cross-functional team members
The workshop consists of five hours of presentations:• Insider Threat Basics (1 hour)• Best Practices of Successful Insider Threat Programs (2 hours)• Best Practices Controls for Mitigating the Insider Threat Risk (2 hours)• Key Steps to Getting the Program Started (1 hour)
Vulnerability Assessment
HPS User and Data Security Design
HPS User and Data Security Development
Operations
Workshops
Copyright 2018 Forcepoint
CONSULTING SERVICESCONSULTING SERVICES
© 2019 Forcepoint | 22Forcepoint Proprietary
Ich bin deingrößtes
Sicherheitsrisiko
ICH BIN DEINE BESTE VERTEIDIGUNG