The Security Intelligence Company [email protected]
Matt Pearson
EMEA Channel Director
© 2016 Securonix
The Security Intelligence Company [email protected]
Das Unternehmen
Gegründet > in 2008, 200+ Mitarbeiter
Büros in > LA (HQ), Dallas (Dev), SFO, NYC, DC, Atlanta,
London, Pune, Bangalore
Management>Umfangreiche Erfahrung in Security & Analytics
Berater>Veteranen der Federal und Industry Security
Produkt>Big data Security Analytics Platform V5.0 release 4Q 2015
Schwerpunkt>Insider und Advance Cyber Threat Erkennung und Threat Response
Ansatz>Signaturlos, verhaltensgesteuert, in Echtzeit Analytik
Unternehmen> marktführend in Security Analytics und Intelligence
Identität zu Entitätskorrelation
Verhaltens Algorithmus
Skalierbare Architektur
Content-Enriched-Anomalie-Erkennung
Predictive Analytics und Bedrohungsmodellierung
(Threat Modeling)
Bedrohungsketten Ansammlungen von
Anomalien
2008
2012
2014
“Eine Ansammlung von Anomalien, die sich um dasselbe Unternehmen drehen, stellt eine Bedrohungskette dar "- Sachin Nayyar, CEO von Securonix
The Security Intelligence Company [email protected]
Securonix Experten Team
3© 2011 Securonix
Wir arbeiten eng zusammen mit Pionieren und Fachleuten auf dem Gebiet der Sicherheit:
Chris Inglis: Früherer Deputy Director NSA Rami Efrati: Ehemaliger Senior Head ofDivision, Israel National Cyber Bureau
Dawn Capelli: Insider Threat DirectorRockwell Automation und Co-founderInsider Threat Consortium
Mike McConnell: Ehemaliger Director NSA und NIA, derzeit Vice Chairman Booz Allen Hamilton
Patrick Gorman: früher CSO von Bridgewater und CISO of Bank of America
James Walcott: CISO Corelogic
Tim McKnight: Global CISO GE Ron Mehring: CISO Texas Health Resources
Matthew Chung: CIO Technology & Information Risk, Head of Cyber Sescurity Morgan Stanley
Larry Jarvis: Global CISO Biogen, vorher CISO Fidelity Investments
Steve Attias: CISO New York Life Chris Marquart: CISO Pfizer
Krishnan Srinivisan: Chief Security Architect Target
Bob Rose: Ehemaliger VP Thompson Reuters und Sr Advisor des CEO‘s Securonix
© 2015 Securonix
The Security Intelligence Company [email protected]
Eine Auswahl unserer Kunden
4© 2011 Securonix
© 2015 Securonix
The Security Intelligence Company [email protected]© 2015 Securonix 6
Das Technologie Öko System
Insider Threat
The Security Intelligence Company [email protected]
Überblick der Securonix Lösung-2
Policy Engine
Tiered Analytics
Risk Engine
Entity Correlation (Privacy) Data Exfiltration Analytics
High Privileged
Misuse
Access Intelligence
Cyber Threat Analytics
Cloud Analytics
Application Analytics
Continuous Risk
Monitoring
Insider Threat
Detection
POS Analytics
Trade Surveillance
Fraud/AMLMobile
Analytics
Dashboard Link Analysis
Contextual Data Other Data
User Performance
DataTravel
Physical Security
Case Management
SIEM
DLP
Endpoint
Apps
Cloud
Threat Intel
Net flow
Host
Identity (HR)
Access (IAM)
Asset (CMDB)
Lo
gs Machine Learning
Volume Spike
Event RarityPeer Group
Analysis
Amount Spike
Robotic Behavior
Threat Intel
Analytics Platform Analytics Apps
Big data warehouse
The Security Intelligence Company [email protected]
Securonix AppsSecuronix erstellt und aktualisiert kontinuierlich speziell entwickelte Apps,
die sich auf bestimmte Anwendungsfälle und Branchen beziehen.
Identity and Acess Analytics
Data-Mining- und Peer-Analyse basierend auf
Daten von IAM-Produkten und automatisierte
Identifizierung und Risikoeinstufung von Rogue
und High-Risk-Zugriff auf Anwendungen, Server,
Datenbanken und Mainframe-Systemen für
Zertifizierung und Bereinigung.
Privileged Account Analytics
Kontinuierliche Identifizierung und Überwachung
privilegierter Konten für bekannten und
unbekannten Missbrauch und anomales
Hochrisikoverhalten mithilfe von Verhaltens- und
Peer-Group-Analysen.
Data Security Analytics
Automatische und proaktive Identifizierung des
Datenexfiltrationsrisikos von innerhalb und
außerhalb der Organisation vor, während und
nach einem Angriff.
Fraud Analytics
Kontinuierliche Überwachung von Bank-,
Versicherungs- und Einzelhandelstransaktionen,
um verdächtige Aktivitäten wie unauffällige und
langsame Transaktionen und abnormale
Transaktionsvolumen zu erkennen.
Trade Surveillance Analytics
Automatisierte Erkennung und Verhinderung von
Insiderhandel und Überwachung verdächtiger
Aktivitäten wie abnormaler Handelsgeschäfte vor
Handelsschluss.
Cyber Security Analytics
Echtzeit-Verhaltensanalysen für Sicherheits-,
Netzwerk- und Endpunkt-Ereignisse zur
automatischen Erkennung von Angriffen auf
Geräte-, Netzwerk- und Endpunkt-Ebene bei
gleichzeitiger Durchführung von umfassenden
Kontext-Monitoring-, Risiko-Ranking- und Link-
Analyse-Untersuchungen.
Enterprise Application Analytics
Überwachung von Bedrohungen und Risiken für
unternehmenskritische Anwendungen und die darin
enthaltenen Daten.
Cloud Application Analytics
Identifizierung und Überwachung von Cloud-
Plattformen und -Anwendungen mit hohem Risiko
für unangemessene und risikoreiche Nutzung zu
proaktiven Massnahmen auf Datenexfiltration und
andere Angriffe.
The Security Intelligence Company [email protected]
Anwendungsfall – Data Exfiltration
Flight Risk User
“Datenschnüffelei”
User mit ungewöhnlichem download Verhalten vom Sharepoint
Cross Channel Daten Austritt
Hohe Anzahl an Emails an private Email Addressen
Wachsendes Risiko
Geringes Risiko
Hohes Risiko
Über einen bestimmtenZeitraum.
Job Websites:jobserve.comMonsterjobs.co.ukEtc.
File download:BudgetPlan.docFinanceReport.pdfEtc. (Peer Group Analysis)
File download:Daily threshold -Base frequency: 52Frequency spike: 627
USB Write:Blocked –BudgetPlan.docFinanceReport.pdf
Email an persönliche Emailadresse BudgetPlan.doc, FinanceReport.pdfDaily threshold – Base frequency: 16 Frequency spike: 97Destinations – [email protected], [email protected]
Take Action!
1 2 3 4 5ThreatChain
Flight Risk User Kritische Daten Frequency Spike Daten Austritt Daten Verlust
1
2
3
4
5
5:13 AM 5:15 AM 5:17 AM 5:18 AM 5:19 AM
The Security Intelligence Company [email protected]
Anwendungsfall – Malware
Eingehende Emails von ungewöhnlichen Domains
Zugriff auf MalwareInfizierte Website
Bösartige Programmdateibeim Host entdeckt
Hohe Anzahl vonICMP Requests
Roboter Verhaltenerkannt
Wachsendes Risiko
Geringes Risiko
Hohes Risiko
Über einen bestimmtenZeitraum.
Email Sender:[email protected].
Destination Address:http://sourcefeed.alEtc.
Source System:CS-BobbyHall$Malware:pricemeter.exeAction:Web Download
Daily threshold -Base frequency: 2Frequency spike: 17
Source System: CS-BobbyHall$Destination Address: http://www.ahmedashiBytes In: 1000 Bytes Out: 2000
Take Action!
1 2 3 4 5ThreatChain
Eingehende Email:Rare Domain
Malware Website Bösartige Programmdatei
High ICMP Malware aktiv
1
2
3
4
5
4:52 PM 6:27 PM 6:42 PM 7:53 PM 8:11 PM
The Security Intelligence Company [email protected]
Anwendungsfall – Missbrauch bei hohem Zugriffsrecht
Verdächtiger Account
Jump Server Verletzung
Rare Database Event erkannt
Verdächtige Befehle
Große MengeDatenaustritt
Risiko steigt
GeringesRiskiko
Hohes Risiko
Über einen bestimmtenZeitraum
Event Rarity:Account,das Aktivitätenam Server durchführt,die zuvohr noch nie ausgeführt wurden.
Event Rarity:Benutzer verursachtJump Server Verletzung. Passwort für Verdächtigen account angenommen.
Guardium Event Rarity:Statement Event ausFinanzdatenbankausgewählt
Verdächtige Befehle:useradd, chown, chmod nicht erlaubt für diesenaccount.
Frequency Spike: Baseline – 4400. Spike – 500000Palo alto internal firewall.
Take Action!
1 2 3 4 5ThreatChain
VerdächtigesKonto
Jump Server Verletzung
Rare DatabaseEvent
VerdächtigerBefehl
Daten Verlust
1
2
3
4
5
1:16 PM 1:19 PM 2:05 PM 2:20 PM 5:16 PM
The Security Intelligence Company [email protected]
Surveillance 360 – Technischer Überblick
Policy Engine
Tiered Analytics
Risk Engine
Entity Correlation
TreuhänderischePflicht
MarktFehlverhalten
KonfliktManagement
Insider Handel
Überwachung
New Issue Purchase
Compliance
Regulatory checks
Dashboard Link Analysis
Reference Data Other Data
Case Management
Lo
gs Machine Learning
Volume Spike
Event RarityPeer Group
Analysis
Amount Spike
Robotic Behavior
Predictive
Analytics Platform Trade Surveillance Focus Areas
News Feeds
Pricing/valuation
OMS
Positions
Transactions
Performance
Trading volumes
Other Market Data
Know your Client
HRTrading
AccountsInstruments CRM IM Email
Information Security
The Security Intelligence Company [email protected]
Kunden PortfolioSecuronix für Finanzdiestleister
Cigna Insurance
Insider Threat Detection
High Privileged Account
Monitoring
Data Exfiltration Analytics
Cyber Threat Detection
Access Intelligence
Cloud Analytics
Application Monitoring
FraudTrade
Surveillance
Threat Exchange
Threat Exchange
Threat Exchange
Gemeinsame Herausforderungen
Securonix- Analytical Apps
American Express
BB&T Bank
The Security Intelligence Company [email protected]
• Der Admin-Benutzer (Contingent Worker)
meldet sich über einen funktionalen
Account bei einem kritischen Server an.
Missbrauch eines Kontos
• Gibt "Verlauf" während der privilegierten
Account-Sitzung an. Rare Event - kein Peer
hat dies jemals getan.
• Erstellt die Datei db2.sql und ändert die
Berechtigung (Stellt über ein Dienstkonto
eine Verbindung zur Datenbank her -
ungewöhnliche Aktivität)
• Der Benutzer umgeht CyberArc-Protokolle
mit dem Konto "_svc". (Unautorisierte
Kontoaktivität. Securonix führt IP-
Attributionen durch, um festzustellen, wer
der Benutzer wirklich ist.
• Vertrag wurde gekündigt und rechtliche
Schritte eingeleitet
• Ironport sieht: E-Mail mit dem Betreff "HR-Verletzung gegen Mr. XXX". Benutzer ist ein Investmentbanker
• Proxy-Weiterleitung zu "outlookscansafe.net"
• Seltener Prozess, der durch den Titanium-Endpunkt identifiziert wird. Die ausführbare Datei wurde durch Peer Group Analyse und Event Rarity entdeckt
• Eine Woche später wurde verdächtiger Datenverkehr zur algorithmisch erzeugten Domäne gefunden
• Bei der Durchsuchung des MD5 durch das IR-Team hatte die Malware insgesamt 0 Treffer.
• Angriffs- und Analyseteam kehren den Code durch reverse engineering um und identifizierten ihn als gezielte 0-day Bedrohung
• Ein chinesischer Ingenieur, der Geschäftsgeheimnisse im Wert von 100 bis 200 Millionen Dollar gestohlen hat, während er in einer GE Healthcare-Niederlassung in Waukesha arbeitete, wurde zu zwei Jahren Bewährung verurteilt
• GE-Beamte entdeckten im Juni, dass Xie etwa 2,4 Millionen Dateien - etwa 1,4 TB Daten -abgerufen und kopiert hatte - Quelle www.jsonline.com
• Securonix hat diesen Benutzer mithilfe von Peer-Group-Analysen und Verhaltensanomalien erkannt.
• Der Benutzer lädt Millionen von Dokumenten in einen gemeinsamen Ordner
• Ex-filtert Daten langsam und unauffällig
• Der Nutzer wies auch ein Fluchtrisiko auf, da er www.1000plan.org/ besuchte.
Insider Threat erkannt von SecuronixO-Day Malware erkannt von
SecuronixInsider Threat erkannt
von Securonix
Erfolgsgeschichten
The Security Intelligence Company [email protected]
Securonix- Einhaltung von
Datenschutzgesetzen
The Netherlands Personal Data Protection Act
United Kingdom Data Protection Act
Poland Law on the Protection on Personal Data Protection
Sweden Personal Data Act 1998
Slovenia Personal Data Protection Laws
Estonia Personal Data Protection Act
German Federal Data Protection Act
Luxembourg Protection of Persons with Data Law
Ireland Data Protection ActsSlovakia Protection of Personal Data Act
Czech Republic Act on Personal Data Protection
Hungary Data Protection Act
France Data Protection Act
Norway Personal Data ActItaly Decree on Minimum Security Measures for Data Protection
Israel Protection of Privacy Law
Sweden Personal Data Act 1998
Portugal data protection law
The Security Intelligence Company [email protected]
Securonix & Verschlüsselung – wir bieten eine zweifache Verschlüsselung
• Die Verschlüsselungsfunktion in Securonix bietet die Möglichkeit, die Daten in der Benutzerschnittstelle zu verschlüsseln, sodass die Benutzer (Analysten, Administratoren usw.) der Anwendung die realen Benutzerinformationen nicht einsehen können.
• Die Verschlüsselungsfunktion von Securonix bietet einerseits die Möglichkeit, die Daten zu verschlüsseln, wodurch die Daten in der Benutzeroberfläche verdeckt werden. Zusätzlich gilt die Verschlüsselung auch für die Datenbankebene von Securonix, in der die Daten auch verschlüsselt sind.
The Security Intelligence Company [email protected]
Securonix Architektur
Zentralisierte Masterkonsole
Identity Data40K+ Users 40k+ assetsHA
Virtual URL
SSL
F5
Distributed Database System
Automated Switch over
Child Nodes – Run time Analyzer
FWVPN
Netflow/Asset
discovery
Routerswitches
Cloud DLP Proxy HOSTDB
Physical –non network
IDS/IPS APPS Threat Intel Access SampleCustom
Data Sources
Node1 Node2 Node3 Standby Node
SIEM Big Data Syslogs AppsCloud
ConnectorsSplunk
Long Term Analytics
Map-Reduce
BatchEvent Ingest
Name Node/ Job Tracker
HiveRest API
Behavior Profiles and link analysisBehavior Profiles and link analysis
Hadoop / HDFS
The Security Intelligence Company [email protected]
Securonix Architektur- Überblick
• Securonix ist das einzige Produkt, das in Echtzeit verhaltensbasierte, kontextfähige Analysen bietet.
Securonix bietet das Beste aus Echtzeit + Big Data / historische Analyse.
• Securonix unterstützt eine horizontal skalierbare Architektur.
© 2014 Securonix 19
Hadoop: Security Warehouse, Big Data / Historical Analysis
Solr Indexing: Real Time Analytics and Link Analysis
RDBMS: Incident and Case Management and Behavior Model Mgt.
The Security Intelligence Company [email protected]
Beispiel Securonix - Cloudera OpportunitySpital mit 30,000 Mitarbeitern
• Käufer: Information Security Director berichtet an CISO
• Haupteinflussfaktoren: SOC und IT Infrastructure
• Technologie Profil: LogRhythm log aggregator, Palo Alto, 1 Cloudera cluster (nicht in Sicherheit), EPIC for Enterprise Medical Records (EMR), FairWarning für compliance in EPIC, kauf von DLP
• Geschäftsanforderungen: UEBA, erfüllen zusätzliche Compliance-Anforderungen
• Sales Process: Cloudera beauftragte Securonix für Übersicht und Demo, anschliessend Deep Dive Workshop, wollte POC aber Zeitrahmen war nicht ausreichend, Referenzanrufe, weitere Architekturprüfung, Entscheidung
• Verkaufszyklus: 4 Monate (Abschluss Anfang Q3)
• Zielverkaufspreis: $810,000 phase 1
• Cloudera Nodes: 10 nodes phase 1, Wachstum bis zu 52 nodes als Next Generation SIEM20
Top Related