XGen e Connected Threat DefenseDezembro 2016Raphael Bottino <[email protected]>
Copyright 2016 Trend Micro Inc.2
Resolvendo problemas de verdade
Ameaças cada vez maissofisticadas
Comportamento do usuário
Migração para nuvem
Dinâmica da TI
Defesas existentesinefetivas
Recuperar-se de ataquesde alto impacto
Complexidade & falta de visibilidade
Dor das empresas
Gartner Magic Quadrant forEndpoint Protection PlatformsFevereiro de 2016
Esse gráfico foi publicado pela Gartner, inc. como parte de um document de pesquisa
maior e deve ser considerado no context de todo o document. O document da Gartner pode ser disponibilizado sob consulta em: https://resources.trendmicro.com/Gartner-Magic-Quadrant-Endpoints.html
Copyright 2016 Trend Micro Inc.4
Não há bala de prata
“A história tem mostrado claramente que nenhuma abordagem única terá sucessoem impedir todos os tipos de ataques de malware. Organizações e provedores de solução têm que usar uma abordagem adaptativa e estratégica para proteção de
malware.”- Gartner EPP Magic Quadrant 2016
Copyright 2016 Trend Micro Inc.5
Malware
Sandbox
Vulnerability
Shielding
Machine
Learning
Web Gateway
Email Gateway
Análise de
Comportamento
Network Traffic
Scanning
IP/Web
Reputation
Malware
Sandbox
Vulnerability
Shielding
Endpoint
Protection Platforms
Breach
Detection Server Security
Lateral Movement
Prevention
Lateral Movement
Prevention
Spear phishing
Protection
Office 365
SecurityCategoria
dos Produtos
Técnicas de Proteção
Copyright 2016 Trend Micro Inc.7
Mistura de técnicas de defesaque ultrapassam o conceito de “next-gen”
Alimentado pela Smart Protection Network
Inteligentemente aplica a melhor técnica para a ocasião
GenTM
Copyright 2016 Trend Micro Inc.8
Respostas Inovadoras e em Tempo para um Panorama de AmeaçasEvoluídas
Anti-
malware
Personal Firewall
Anti-
spyware
High-Fidelity
Machine Learning
Sandbox
Analysis
Application
Control
Exploit
Prevention
Census
Check
Data
Encryption
Data Loss
Prevention
Behavioral
Analysis
File
Reputation
Web
Reputation
Host-based
IPS
25+ anos de inovação!
Investigation &
Forensics (EDR)
Variant
Protection
Whitelisting
Check
Copyright 2016 Trend Micro Inc.9
Taxa mais alta de falso-positivo, precisa ser treinadocom tipos específicos de arquivos
Detecta EXEs
Reconhece comportamento
Alto uso de CPU
Não bloqueia ameaças que não exploram vulnerabilidades
Bloqueia vulnerabilidadesque ameaças exploram
Bloqueia os apps desconhecidos
Apenas pára EXEs
Whitelisting de Aplicações Análise Comportamental
Proteção contra Vulnerabilidades Machine Learning
Prós e Contras das Novas Técnicas
Combine as técnicas para ter o melhor de todos os mundos.
LEG
END
A
Conhecidobom
Conhecidomau
Desco-nhecido
Rep. arquivo/webPrevenção exploitApplication ControlProteção variantes
Análise de comportamento
Arquivomalicioso
bloqueado
Noise Cancellation
Machine Learning pré-execução
Machine-learning execução
A técnica certa no momento certo
Arquivonão-
malicioso
Com sua composição de técnicas de defesa de várias gerações incluindo machine learning de altafidelidade, Trend Micro™ XGen endpoint security está sempre se adaptando para identificar e derrotar novos ransomwares e outras ameaçasdesconhecidas.
Copyright 2016 Trend Micro Inc.12
Connected Threat Defense: Proteção melhor e mais ágil
Ganhe visibilidade
central entre os sistemas
e avalie o impacto das
ameaças
Habilite respostas rápidas por meio de
inteligência compartilhada de
ameaças
Detecte malware,
comportamento e
comunicações avançadas
que seriam invisíveis para
defesas padrão
Avalie vulnerabilidades potenciais e proteja proativamente os endpoints, servidores e aplicações
PROTEJA
DETECTE
RESPONDA
Copyright 2016 Trend Micro Inc.14
Deep Discovery Analyzer
• Detecção de Malwares avançadose Ramsonware
• Sandbox customizável
• Relatório de análise detalhada
• API Aberta
• Compartilhamento inteligência via
Indicadores de comprometimento
(IOC)
• Melhor proteção para produtos
Trend Micro e para terceiros
Endpoints Gateways Network
Copyright 2016 Trend Micro Inc.15
• Resultados/Reports são enviadospara o Sistema requerente.
• Baseado no risco
• Altamente configurável
• Listas negras atualizadasautomaticamentes para que ataques similares sejamimpedidos no futuro.
• Integrações disponíveis para enviar dados de ameaça para SIEMs
API
Third Party
Manual Submissions
InterscanMessaging Security
Interscan Web Security
ScanMail Email Security
OfficeScan
Deep Discovery
Analyzer
SIEM
Deep Discovery Analyzer
Copyright 2016 Trend Micro Inc.16
Segurança que se adapta automaticamente
1. Malware avançado tenta infectar um endpoint com OfficeScan XG instalado;
2. O mesmo é enviado para o Deep Discovery Analyzer para análise;
3. O DDAn determina que o arquivo, de fato, é potencialmente malicioso;
4. Uma ordem de bloqueio é enviadapara os endpoints e outros;
Visibilidade & Controle centrais
5. Investigação futura determina se e onde a ameaça se espalhou
Copyright 2016 Trend Micro Inc.17
• Objetos suspeitos que foremdescobertos pelo OfficeScan, InterScan Web/Messaging e Scanmail são enviados para para o Analyzer
• Analyzer oferece uma API Web que permite produtos de terceirossubmeterem objetos suspeitos para o Analyzer
• Os administradores também têm o poder de enviar samples manualmente para o Analyzer.
API
Third Party
Manual Submissions
InterscanMessaging Security
Interscan Web Security
ScanMail Email Security
OfficeScan
Deep Discovery
Analyzer
Deep Discovery Analyzer
Copyright 2016 Trend Micro Inc.18
Smart Protection Complete
Gateway web
Email Gateway Servidor de email
Compartilhame
nto em Cloud
SharePoint
File servers
Office 365
Mensagens
instantâneas
Segurança em camadas elimina gaps
• Adicional ao XGen Endpoint Security:– Smart Protection for Endpoints inclui
DLP, controle de dispositivos, mobile
– Smart Protection Complete adiciona
proteção nos gateways
• Protege usuários dentro/fora da rede
Gerenciamento, visibilidadee compartilhamento de
inteligência centrais
Smart Protection for Endpoints
Criptografia
Controlede devices
DLPMobile
Copyright 2016 Trend Micro Inc.20
Visibilidade centralizada e automação• Console única para soluções de
endpoint e gateway - seja on-premise ou na cloud
• Dashboard visual dá uma visão holística e ajuda a priorizar ações
• Visão das detecções de usuários numa timeline de ameaças e ferramentas forenses simplificam a investigação de ameaças
• Compartilhamento de Objetos Suspeitos
Copyright 2016 Trend Micro Inc.21
Copyright 2015 Trend Micro Inc. 21
Visão priorizada de alertas do ambiente
Técnicas de detecção – Prós e Contras
Copyright 2016 Trend Micro Inc. 24
Prós Contras
Antivírus tradicional Altíssima performance Não detecta ameaças desconhecidas
Análise comportamental Reconhece comportamento Alto uso de recursos
Machine Learning – pré-execução Detecta executáveis Taxa mais alta de falso-positivo, precisa sertreinado com tipos específicos de arquivos
Machine Learning – em execução Reconhece comportamento Taxa mais alta de falso-positivo
Whitelisting de aplicações Bloqueia todas aplicações nãopermitidas
Somente bloqueia executáveis
Proteção contra vulnerabilidades Bloqueia vulnerabilidades que ameaças exploram
Não bloqueia ameaças que não exploramvulnerabilidades
Proteção Web Bloqueia sites maliciosos e conteúdos maliciosos em sites
Somente funciona para sites
Investigação / Forense (EDR) Insight no histórico e superfíciedas infecções
Reativo. Não bloqueia por si só.
Sandboxing Disseca completamente o arquivo
Técnicas de evasão
Better Detection - Key Features
Custom
Sandboxes
• Custom sandbox images precisely match your desktop and server environments (language, OS, configuration, installed apps)
• Accurately detect threats and ransomware• Compared to standard sandbox, cannot be evaded
• Macintosh sandboxing available through cloud based option
• Live Mode is a safe external access allowing identification and analysis of multi-stage downloads, URLs, Command & Control, etc.
Broad Analysis
Engines
• Multiple detection engines and correlation rules analyze a wide range of file types and URLs to detect all attack aspects – not just malware
• File, web, IP, Mobile application reputation• Heuristic analysis• Advanced Threat scanning• Correlated threat intelligence
Better Detection - Key Features
Ransomware
Detection
• Known Threats: pattern and reputation
• Ransomware filter can detect ransomware before costly encryption
• Sandbox analysis detects mass file modifications, encryption behaviour& modifications to backup restore.
Correlated Threat
Intelligence
• Real-time cloud intelligence & research powers detection accuracy and continuously updates engines and rule sets.
• Local threat intelligence is quickly correlated with global threat intelligence
Copyright 2016 Trend Micro Inc.27
Taxa mais alta de falso-positivo, precisa ser treinadocom tipos específicos de arquivos
Detecta EXEs
Reconhece comportamento
Alto uso de CPU
Não bloqueia ameaças que não exploram vulnerabilidades
Bloqueia vulnerabilidadesque ameaças exploram
Bloqueia os apps desconhecidos
Apenas pára EXEs
Whitelisting de Aplicações Análise Comportamental
Proteção contra Vulnerabilidades Machine Learning
Prós e Contras das Novas Técnicas
Combine as técnicas para ter o melhor de todos os mundos.
Copyright 2016 Trend Micro Inc.29
O que é Machine Learning?
• Modelos matemáticos que podem ser usados para, dentreoutras aplicações, a Segurança
• Utiliza esses modelos para determinar se o arquivo é bomou malicioso
• Ideal para executáveis maliciosos desconhecidos
• Extrai as funcionalidades dos arquivos
• Os modelos são constantemente treinados e aprendem dos dados conhecidamentes bons e ruins para manter suaprecisão
Copyright 2016 Trend Micro Inc.30
O que é Machine Learning?
• Importante escolher funcionalidades com a maior fidelidade– Necessita-se de muita Informação e pesquisadores
para descobrior as mais precisas e eficientes– Alguns machine learning olham para uma lista
infinita de funcionalidades
• Costuma apresentar um número mais alto de falsos positivos.
Machine Learning Evoluído
Copyright 2016 Trend Micro Inc.
Detecção de ameaça baseada
em arquivos
EndpointsOutubro 2016
Detecção de SPAM2005
Reputação e categorizaçãode URL - 2010
Contas maliciosas de redessociais - 2015
Copyright 2016 Trend Micro Inc.32
Machine Learning de alta precisão
• Usa algoritmos matemáticos para prever se um arquivo é bom ou mau• Abordagem única de alta previsão
Machine Learning de pré-execução
• Extrai características estáticas• Reduz o risco de dano• Pode não detectar códigos
ofuscados
Machine Learning de execução
• Extrai características de comportamento
• Detecta códigos ofuscados• Finaliza processos maliciosos
durante a execução
Noise-Cancellation para redução de falsos positivos: Census e Whitelist
Copyright 2016 Trend Micro Inc.33
Pesquisadores de ameaças
• 450 pesquisadores• Pesquisa de ciclo de vida e
distribuição de ameaças• 3k+ pesquisadores externos
de vulns. & exploits
Precisão dos algoritmos de ML é determinada por Qualidade e Volume dos dados de treinamento
Global Threat Intelligence
• 100 TB analisados/dia• 500k novas ameaças/dia• 800M+ whitelist de arquivos• 100s de milhões de sensores
Copyright 2016 Trend Micro Inc.34
Mais Detecção de Ameaças Desconhecidas
Checagem CensusUtiliza frequência e maturidade dos arquivos para determinar se osmesmos são suspeitos
Proteção de VarianteDesempacota arquivos em busca de fragmentos de malware conhecido
Prevenção de ExploitDetectação de comportamentosanormais, HIPS, host firewall, movimento lateral
Detecção de RansomwareDetecta e para a criptografianão autorizada de múltiplosarquivos
Análise ComportamentalMonitorando mudanças inesperadasno SO, apps e scripts, incluindoinspeção em memória
Investigação e Forense (EDR)Endpoint security monitor that records detailed activities & allows for rapid assessment.
Copyright 2016 Trend Micro Inc.35
Diminua a carga da TI e dos usuáriosMenos falsos positivos, Mais performance eficiente
• Somente arquivos desconhecidos passam pelas técnicas que são:
– Intensas em uso de CPU
– Abertas a mais falsos-positivos
– Menos falsos positivos para TI gerenciar e performance mais eficiente para os usuários
36
Siloed protection:
Central Visibility Hard
Investigation / Forensics
Modern Anti-Malware
Data Protection
Behavior Monitoring / Sandboxing
ApplicationControl
VulnerabilityShielding
37
Investigation / Forensics
Modern Anti-Malware
Data Protection
Behavior Monitoring / Sandboxing
ApplicationControl
VulnerabilityShielding
Central visibility helps, but manual correlation too difficult and slow!
38
Behavior Monitoring / Sandboxing
A connected threat defense is required for
timely, adaptive protection
Modern Anti-Malware
Investigation / Forensics
Data Protection
VulnerabilityShielding
ApplicationControl