© 2012 Websense, Inc. Websense TRITON 7.7 Новые возможности 1

© 2012 Websense, Inc. Инструменты исследователя Обнаружение шифрования Сохранение копии веб-трафика Защита файлов с паролями Обертывание ссылок в Функции OCR для DLP Поведенческий анализ в DLP Семь отраслевых инноваций 2 TRITON 7.7

© 2012 Websense, Inc. Новые правила игры 3

© 2012 Websense, Inc. Почему традиционная защита неэффективна 4 1 ИСПОЛЬЗУЕТ СИГНАТУРЫ И РЕПУТАЦИЮ 2 НЕТ АНАЛИЗА СОДЕРЖИМОГО В РЕАЛЬНОМ ВРЕМЕНИ Сбор образцов для лабораторного анализа в оффлайне Разработка новых сигнатур (трафик/файл) и репутации (URL/файл) 3 ФОКУС НА ВХОДЯЩЕМ ТРАФИКЕ, НЕТ АНАЛИЗА ИСХОДЯЩЕГО 4 УСТАРЕВШАЯ МЕТОДОЛОГИЯ В НОВОЙ «УПАКОВКЕ» UTM, NGFW, IDS, мониторы угроз Анализ SSL мешает скорости, часто вообще не делается Нет фокуса на данных, нет контекстного анализа, практически отсутствует информация для расследований Прошлая история – ненадежный предсказатель будущего. Разработка сигнатур уже давно не успевает за новыми угрозами

© 2012 Websense, Inc. Неизвестные угрозы Известные угрозы Эффективность защиты 5 Анализ в реальном времени Анализ в фоновом режиме (оффлайн) NGFW AV AV+URL+Rep Sandbox Cloud-Assist ACE Проактивные Реактивные Слишком поздно Слишком медленно RT Security Classifiers RT Content Classifiers RT Data Classifiers Anti-Malware Engines URL Classification Reputation Analysis Anti-Spam/Spear-Phishing

Количество активных связей между модулями Web, Data, больше, когда они все работают в составе TRITON – В отличие от использования продуктов по отдельности ACE (Advanced Classification Engine) 6

© 2012 Websense, Inc. Новые защитные функции ACE 7 Проактивный инлайн-сканер безопасности реального времени Advanced Classification Engine 10 новых функций в ACE для защиты от современного кибершпионажа Новые аналитические средства ACE: Advanced Malware Payloads Potentially Exploited Documents Mobile Malware Criminal Encrypted Uploads Files Containing Passwords Advanced Malware Command & Control Unauthorized Mobile Marketplaces OCR (Optical Character Recognition) Behavioral (Drip) DLP Geo-Location ОТПРАВКА WSG ЗАГРУЗКА WSG ОТПРАВКА WSGA

© 2012 Websense, Inc. Новые категории угроз Новая категорияОписание Mobile Malware Вредоносные веб-сайты и приложения, разработанные специально для мобильных устройств Unauthorized Mobile Marketplaces Веб-сайты, потенциально распространяющие приложения, неавторизованные разработчиками мобильных операционных систем, устройств и сетевыми провайдерами. Трафик на веб- сайты в данной категории может означать использование взломанных (jailbroken, rooted) устройств Custom-Encrypted Uploads Сетевые сеансы отправки зашифрованных документов и других данных, имеющих признаки использования нестандартных способов шифрования Files Containing Passwords Документы и данные, содержащие списки сетевых паролей систем Unix и Windows, а также документы, содержащие списки имен пользователей и паролей Advanced Malware Command and Control Исходящие сеансы связи компрометированных компьютеров с вредоносными центрами управления Advanced Malware Payloads Сетевые сеансы загрузки вредоносных данных (эксплойтов), имеющих цель компрометацию (взлом) компьютера Potentially Exploited Documents Документы с подозрительным содержимым, способным привести к компрометации (взлому) компьютера

© 2012 Websense, Inc. Панель угроз (Dashboard) 9

© 2012 Websense, Inc. Сохранение копии трафика для расследования 10 КТО был скомпрометирован КАК ведет себя вредоносный код КУДА отправлялись данные ЧТО удалось спасти от кражи

© 2012 Websense, Inc. Сводка по функциям (веб) 11 ПродуктНовые функции защиты ОтчетностьЭффект Web Filter (WF) Нет. Простой апгрейд Web Security (WS) Новые функции репутации по категориям Панель выключена в 7.7Актуальная репутация, а также Real-Time Security Updates Web Security Gateway (WSG) 1. Mobile Malware 2. Unauthorized Mobile Marketplaces 3. Advanced Malware Cmd & Control 4. Advanced Malware Payloads 5. Potentially Exploited Documents 6. Files with Passwords 7. Proprietary (Criminal) Encryption Панель безопасности, отчеты по инцидентам, а также новые категории в отчетах. Семь новых функций безопасности реального времени в WSG/ACE, а также панель безопасности, сохранение копии инцидента и отчетность. Web Security Gateway Anywhere (WSGA) 8. OCR (optical character recognition) 9. Drip (Behavioral) DLP 10. Geo Location Awareness Панель безопасности, отчеты по инцидентам. Отчеты по удаленным пользователям. Наиболее развитые функции защитного веб-шлюза на сегодняшний день.

12 IDC предсказывает развитие ниши на рынке ИБ "It's becoming clear that many of these emerging threats cannot be defended against in-house, creating a shift in security posture toward being more proactive. IDC senior analyst Christine Liebert IDC press release, Jan. 31, 2012, predictive security According to new research from International Data Corporation (IDC), this emerging predictive security market is forecast to grow from $198 million in 2009 to $905 million in 2014 as organizations struggle to keep pace.IDC Source: IDC, Worldwide and U.S. Security Services Threat Intelligence, Forecast: Out of the Basement and into the Clouds, Doc #230490, November 2011

Использует ключевые функции ACE Отслеживает заражение системы – Системные события и поведение – Изменения процессов, реестра, файлов Мониторинг жизненного цикла заражения – Процесс заражения – Активность после заражения Мониторинг коммуникаций – Сетевые коммуникации – Используемые сеансы, методы, адреса, и т.д. Простой и понятный отчет – Обнаруженные активности, вредоносный профиль, и т.д. 13 Websense ThreatScope

© 2012 Websense, Inc. Пример отчета ThreatScope 14

92 % Что означает данное число? Всех нежелательных писем содержат ссылки 15

Традиционные меры противодействия угрозе Вечер пятницы отправлено письмо со ссылкой

Традиционные меры противодействия угрозе Вечер пятницы Проверить ссылки по статической базе репутации Традиционный почтовый шлюз Вечер пятницы отправлено письмо со ссылкой

Традиционные меры противодействия угрозе Typical Security 3311 Утро понедельника Страница заражена Вечер пятницы отправлено письмо со ссылкой Вечер пятницы Проверить ссылки по статической базе репутации

Традиционные меры противодействия угрозе Typical Security 3311 Утро понедельника Страница заражена Вечер пятницы отправлено письмо со ссылкой Вечер пятницы Проверить ссылки по статической базе репутации БРЕШЬ В БЕЗОПАСНОСТИ

Обертывание ссылок против современных угроз Вечер пятницы отправлено письмо со ссылкой

Обертывание ссылок против современных угроз Websense 22 Вечер пятницы Проверка ACE/ThreatSeeker Сообщения с подозрительной ссылкой маркируются для обертывания Вечер пятницы отправлено письмо со ссылкой

Обертывание ссылок против современных угроз Websense Обертывание URL Анализ по клику Утро понедельника Проверка ACE/ThreatSeeker Сообщения с подозрительной ссылкой маркируются для обертывания Вечер пятницы отправлено письмо со ссылкой

© 2012 Websense, Inc. Поведенческая DLP: анализ серии событий 23 Традиционно: Анализ 1 x 1 Новый способ: Анализ M x N За период T Примеры: 1 запись ПДн каждый час с ПК на веб 1-2 записи из СУБД в день Малые утечки пройдут мимо сканера Поведенческая DLP Обычная DLP

© 2012 Websense, Inc. Гео-локация раскрывает контекст 24 КТО был скомпрометирован КАК ведет себя вредоносный код КУДА отправлялись данные ЧТО удалось спасти от кражи

© 2012 Websense, Inc. OCR для данных в движении и Discover 25 Оптическое распознавание текста: Восстановление текста по его графическому изображению Конкурентное преимущество: Картинки обычно никто не проверяет Основной фокус на сканированных документах и снимках экрана Специальные алгоритмы для жестких условий производительности Снимок ПДн X OCR анализирует текст изображения

© 2012 Websense, Inc. Обучаемый искусственный интеллект 26 Что это? Набор алгоритмов для обнаружения семантически похожего текста Конкурентные преимущества Может различать документы, имеющие сходные наборы ключевых слов Позволяет в ряде случаев обойтись без тщательно отобранных «негативов» Следует знать Типичное применение – отличить «свой» программный код от «чужого» (хотя язык один и тот же) Следует использовать при достаточном количестве примеров Не следует использовать, если задача решается отпечатками Кто заказчик Крупные предприятия со сложными бизнес-процессами Слишком большие наборы документов для снятия отпечатков

© 2012 Websense, Inc. Поддержка Endpoint MacOS –Cloud Web Client –Remote Filter Client –Data Endpoint SIEM для всех продуктов TRITON –Syslog NG (интеграция SIEM) –ArcSight CEF Поддержка новых платформ 27

© 2012 Websense, Inc. Контакты Спасибо 28