Advanced Security Analytics Platform Das Frühwarnsystem für Ihr Netzwerk Produktpräsentation CEBIT, Juni 2018
Seite 2 16.10.2018 Advanced Security Analytics Platform (spotuation)
Wer ist finally safe?
Wir sind ein junges deutsches Technologie-Unternehmen und Hersteller der intelligenten „Advanced Security Analytics Platform“
Unsere Lösung zeigt die aktuelle IT-Sicherheitslage in Netzwerken auf und hilft bei der Realisierung einer höheren Netzwerk-Resistenz, sowie bei der Erkennung von fortgeschrittenen Angriffen sogenannten APT (Advanced Persistent Threats)
finally safe wurde 2015 aus dem Forschungsbereich Internet-Frühwarnsysteme des Instituts für Internet-Sicherheit gemeinsam mit der secunet Security Networks AG in Essen gegründet
Unser Team besteht aus Security-Spezialisten und ehemaligen Mitarbeitern des Instituts für Internet-Sicherheit der Westfälischen Hochschule, die das System von Anfang an in Zusammenarbeit mit dem BSI entwickelt haben
Wir helfen Ihnen dabei, dem Thema Informationssicherheit heute und zukünftig adäquat zu begegnen
Seite 3 16.10.2018 Advanced Security Analytics Platform (spotuation)
“Im Jahr 2020 wird ein Drittel aller erfolgreichen Cyber Attacken auf Systeme der Schatten-IT stattfinden.” Gartner’s Top 10 Security Predictions 2016 www.gartner.com
2021
$6 Billionen Schätzung der Schäden Cybercrime Report, Cybersecurity Ventures, 2016
2016
$0,45 Billionen Schäden durch Cyber-Angriffe weltweit Hiscox Cyber Readiness Report 2017
In DE: €55 Mrd. laut Bitkom
Aktuelle Situation: Wachsende Cyber-Risiken
Seite 4 16.10.2018 Advanced Security Analytics Platform (spotuation)
Warum sind Angriffe immer erfolgreicher?
Einfache Einfallstore
Angriff und Erstinfektion
Verlust sämtlicher Unternehmensdaten
Unternehmen konzentrieren sich auf
Prävention und Analyse
Angreifer haben im Schnitt 205 Tage Zeit
Ihren Angriff durchzuführen
Resistenz Prävention Aufdeckung Analyse
• Pentests
• Firewalls • IDS/IPS • Proxies • Sandboxes
• Verhaltensanalysen
• Forensik • Angriffs-
protokolle • SIEM
Unternehmen führen punktuell Pentests und Schwachstellenscans
durch
Bereits 1 Tag später treten neue Lücken auf
Angriffszyklus / Kill-Chain
Laufender Angriff im Netzwerk (z.B. C&C)
Die Netzwerkresistenz entscheidet, wie einfach Sie angegriffen werden
können.
€€€€
€€€
€€
€
Höhe der Investitionen
Seite 5 16.10.2018 Advanced Security Analytics Platform (spotuation)
Advanced Security Analytics Platform Unsere Lösung: Das Netzwerk-Frühwarnsystem
Einsatz der Netzwerk- Appliance in unter 1 Stunde.
Neuartige Angriffsformen automatisiert aufdecken.
Minimaler Betriebs- und Pflegeaufwand.
Gesamtsicherheits- Lagereport bereits nach
wenigen Tagen.
Ständig aktualisierte Schwachstellenbewertung.
Volle Netzwerktransparenz aus einem System.
Nahtlose Integration in bestehende Infrastruktur
und SIEM-Systeme.
Ohne aktive Eingriffe in bestehende Infrastruktur.
Höchster Detailgrad – Derzeit über 4 Millionen Protokollmerkmale dauerhaft verfügbar.
Seite 6 16.10.2018 Advanced Security Analytics Platform (spotuation)
Resistenzstärkung im Netzwerk durch
Aufdecken von Schwachstellen
Erkennung von unsicheren Technologien
Darstellung von schlecht konfigurierten Systemen
Angriffsaufdeckung im Netzwerk durch
Anomalie-Erkennung
APT- / Tunnel-Erkennung
Zielsetzungen unserer Sicherheitslösung
Regelwerk/ Network
Compliance
Network Anomaly Detection
Advanced Threat
Detection (C&C,
Exfiltration)
Reports Events Dashboard
Aufzeigen der IT-Sicherheitslage im Netzwerk gegenüber dem Internet
Seite 7 16.10.2018 Advanced Security Analytics Platform (spotuation)
Advanced Security Analytics Platform Einsatz im Netzwerk: Sensor, Core-System, Web-Portal
Office IT Rechenzentren / virtuelle RZs
Anlagen / ICS / SCADA
Maschinen Zahlungs- verkehr
A B C Extern angebundene Standorte
D Medizin- geräte
FW
1. Einsatz von Netzwerk-
sensoren (=Appliances) an
zentralen Abgriffpunkten
an Netzwerk-Outbreaks
S OP
S S
Sensor-Datenaufnahme mittels TAP / (virtuellem) Mirror-Port am Switch.
Kundeninfrastruktur
AAS
2. Anbindung an das finally safe
Core-System (=Appliance)
a. On Premises oder
b. As A Service (Secure Cloud)
3. Ortsunabhängige
Nutzung des
Funktionsumfanges (je
Netzwerksegment)
Internet
FW
Seite 8 16.10.2018 Advanced Security Analytics Platform (spotuation)
System-Architektur / Funktionsweise
Sensor analysiert Header-Daten (OSI Layer 2 - 7) aller Netzwerkpakete bis 10 Gbit/s
Zählwerk mit mehr als 4 Mio. hinterlegten Eigenschaften dadurch geringe Datenmengen
Alle Pakete werden auf Netzwerk-Compliance-Verstöße geprüft Werden ständig aktualisiert
Ergebnisse werden 5 Minuten lang erfasst und anschließend verschlüsselt an das Core-System geschickt
„Advanced Threat Detection“ analysiert zudem Verbindungen bis 1 Gbit/s auf mögliche zielgerichete Angriffe (Advanced Persistent Threats)
Core-System nimmt Lagebild-Daten des Sensors entgegen, werden in Datenbank gespeichert
Hohe Detailtiefe ermöglicht Berechnung eines genauen Modells des Netzwerkverkehrs mittels Machine-Learning-Algorithmen
Abweichungen zum tatsächlichen Verkehr (=Anomalien) werden gemeldet
Gruppen von Protokollmerkmalen (=Sets) sind vordefiniert und können individuell konfiguriert werden
Web-Portal sowie weitere Funktionen wie Dashboard, Reporting und Expertensystem werden im Core-System gehostet
Seite 9 16.10.2018 Advanced Security Analytics Platform (spotuation)
Netzwerk Lagebild-Auswertung
Expertensystem / Analysen
Network Compliance Verification
Advanced Threat Detection Echtzeit-Überwachung / Realtime-Monitoring
ASAP
Add-On
Advanced Security Analytics Platform finally safe Sicherheitslösung im Überblick
Seite 10 16.10.2018 Advanced Security Analytics Platform (spotuation)
Security Analytics – Web-Portal
Seite 11 16.10.2018 Advanced Security Analytics Platform (spotuation)
Netzwerk Lagebildauswertung
Bild Funktionsbeschreibung: Basiert auf der Erfassung aller
Paketinformationen
Erkannte Schwachstellen in Systemen und Konfigurationen werden aufgedeckt
Bewertungssystem wird ständig aktualisiert
Risikobewertung von Kommunikations-parametern hinsichtlich Stärke und Sicherheit
Risikoprofil des Kunden im zeitlichen Verlauf
Hinterlegung von erwünschten und unerwünschten Protokollen
Kundenspezifische Anpassungen an die eigenen Bedürfnisse
Problemmanagement ermöglicht
USPs: Kontinuierliche IT-Lagebildauswertung
Ermöglicht präventive Schwachstellenaufdeckung
Automatisiertes Reporting über den Netzzustand (Management bis Technik)
Automatisierte Priorisierung und Risikobewertung
Seite 12 16.10.2018 Advanced Security Analytics Platform (spotuation)
Echtzeit-Monitoring
Bild Funktionsbeschreibung: Basiert auf der Erfassung aller Paketinformationen
Verwendung von Machine-Learning-Algorithmen zur Berechnung eines Modells der Netzwerkkommunikation
Darauf basierend Anomalie-Erkennung bei Abweichungen
Selbstlernendes System, vierwöchige Einlernphase, zwölfwöchiger Betrachtungszeitraum
Live-Darstellung des Netzwerkverkehrs
USPs: Aufdeckung von Verhaltensanomalien im In- und
Outboundverkehr in Echtzeit
Kein Konfigurationsaufwand
Alarmierung bei Anomalien mittels Standardereignisformat IDMEF
Seite 13 16.10.2018 Advanced Security Analytics Platform (spotuation)
Network Compliance Verification
Funktionsbeschreibung: Hinterlegung von unerwünschten Protokollen als
Regeln (Network Compliance)
Compliance-Regelwerk wird zentral duch finally safe gepflegt
Abgleich findet live im Sensor statt
Erzeugt Events mit Informationen zur Ursache des Verstoßes und den betroffenen IP-Adressen
Alle Meldungen werden im Web-Portal abgerufen und können an Admins weitergeleitet werden
USPs: Automatisierte Meldung von Regelverstößen
Aufdecken von Schwachstellen auf Systemen (XP, Vista), Konfigurationen der Firewalls (Kommunikationskanäle wie Teredo, Freigaben wie SMB) und sonstigen Systemschwachstellen
Seite 14 16.10.2018 Advanced Security Analytics Platform (spotuation)
Expertensystem / Analysen
Funktionsbeschreibung: Erfasste Verkehrsmetriken sind dauerhaft im
Core-System gespeichert
Können für Forensik und Response genutzt werden
Direkter Zugriff auf Sensor-Datenbank, Funktion ermöglicht plotten/darstellen und analysieren von Eigenschaften im Zeitverlauf
Verbunden mit Echtzeit-Monitoring: Bei Anomalie kann direkt der gesamte Verlauf dargestellt werden USPs:
Einfacher Zugriff auf alle Netzwerkdaten aus einem Tool
Forensik zu Betriebs- und Sicherheitsvorfällen
Seite 15 16.10.2018 Advanced Security Analytics Platform (spotuation)
Advanced Threat Detection
Beschreibung: Erkennung von Infektionsversuchen mittels
Manipulation von Netzwerkverbindungen
Erkennung von versteckten Kanälen zur Steuerung der Malware sowie zur Datenexfiltration
Blacklisting und Domain Generation Algorithm (DGA)
Virtuelle Tunnel (Verkapselungen, VPN etc.) Häufigkeits- und Verhaltensanalysen sowie
signaturbasierte Detektion Erkennung von verbotenen verschlüsselten
Kommunikationsverbindungen Analyse von Standardprotokollen auf
versteckten Kanälen
USPs: Schutz gegen fortgeschrittene zielgerichtete
Angriffsformen, sogenannte Advanced Persistent Threats (APTs)
Seite 16 16.10.2018 Advanced Security Analytics Platform (spotuation)
Verschiedene Angriffsvektoren – Eine Lösung
Network Compliance
Network Anomaly Detection
Advanced Threat Detection
Top Network Attacks 2016
Seite 17 16.10.2018 Advanced Security Analytics Platform (spotuation)
Kundeninfrastruktur
Advanced Security Analytics Patform Schließt Flanken und ergänzt bestehende Tools
Informationen über IT-Sicherheitsrelevante Ereignisse (SIEM)
Analyse
Event und Log-Management
Angreifer
Netzwerk-Resistenz
Auskund-schaften
z.B. Port Scans
Daten mitlesen z.B. Schwache
Verschlüsselungen
Exploits ausnutzen
z.B. veraltete Hard- und Software
Zugriffe ausnutzen
z.B. Fehler in Firewall-Einstellungen
Versteckte Kanäle
z.B. Botnetz-Missbrauch, C&C
Daten- Diebstahl
Angriff und Erstinfektion
z.B. über Executables, Email-Anhänge
Aktive Phase / Kill Chain
z.B. Auskundschaften, laterale Ausbreitung
Prävention Aufdeckung
Forensische Analysen
Client-Verhaltens-analysen
Payload Analysen
Advanced Threat Detection
Advanced Security Analytics Platform
Seite 18 16.10.2018 Advanced Security Analytics Platform (spotuation)
Umfassende Netzwerk-Transparenz durch dauerhafte Überwachung aller gängigen Protokolle (Office/Internet sowie OT/ICS)
Erkennung von neuartigen Angriffen durch Auffälligkeiten und generische Muster statt Signaturen
Proaktive Meldungen zu Schwachstellen Minimieren der Angriffsflächen
Steigende Analysequalität durch selbstlernende Plattform (Anomalie-Erkennung) Geringer Pflegeaufwand
Extrem hohe Detailtiefe (> 4 Mio. Parameter)
Ohne zusätzliche nennenswerte Netzwerklast
Ohne Beeinflussung anderer Systeme (passiv)
Kann vom Angreifer nicht entdeckt werden
Hardware-Plattformunabhängiger Einsatz
Nahtlose Integration in vorhandene Netzwerk- oder Cloud-Architektur
Made in Germany
Advanced Security Analytics Patform Zusammenfassung der Vorteile / Produkt
Seite 19 16.10.2018 Advanced Security Analytics Platform (spotuation)
Optimierung der Abläufe durch Verringerung der Analyseaufwände
Ergänzend zu anderen Systemen (IDS/IPS) und Integration in SIEM möglich für effektivere Nutzung
Meldungen (Events) bei Vorfällen zur schnelleren Reaktion: Auffällige Aktivitäten im Netzwerk bei geringen False-positives Regelabweichungen im Netzwerk (vordefiniertes sowie anpassbares Regelwerk im Monitoring für Netzwerk-Compliance-Vorgaben)
Empfehlungen für proaktiven Schutz / Vereinfachung von Abläufen und Analysen durch Priorisierungen und Handlungsempfehlungen
Automatisiertes und anpassbares Reporting über Schwachstellen und Compliance-Einhaltung
Einfache Möglichkeit zur Qualitätssicherung
Advanced Security Analytics Patform Zusammenfassung der Vorteile / Prozess
Seite 20 16.10.2018 Advanced Security Analytics Platform (spotuation)
Ihr Business Value mit finally safe
Verringerung von Cyber-
Sicherheitsrisiken
Freiräume für Zukunftsthemen
Effektiverer Ressourceneinsatz