Evento Xenesys - Security Conference
-
Upload
xenesys -
Category
Technology
-
view
785 -
download
5
description
Transcript of Evento Xenesys - Security Conference
Lo scenario è cambiato: le dimensioni del cybercrime
Gianandrea Daverio | Security Expert di Xenesys
La «temperatura» del pianeta 3
Le aree “sotto attacco” 4
Il Cybercrime in Italia 5
Il giro d’affari mondiale del cybercrime nel 2012 supera i 100 miliardi di dollari In Italia oltre 200 attacchi registrati verso enti, aziende e associazioni Hacktivismo, sottrazione di denaro e spionaggio: le principali motivazioni
Il Cybercrime in Italia 6
Fonte: rapporto Clusit sul cybercrime in Italia
February 26, 2012 June 5, 2011
March 17, 2011
June 1, 2011
January 25, 2007
February 08, 2000 January 25, 2007
February 10, 2012 February 3, 2012
November 8, 2012
November 15, 2012
June 21, 2012 October 11, 2009
November 28, 2010
Janueary 20, 212 !!! HACKED !!!
7
I casi eclatanti
Le tecniche di attacco 8
Phishing & Online Frauds
ATTACKER USER
1 2
3
4
5
9
Un Attacker sfrutta le tecniche di attacco basate su SQL Injection per inserire un contenuto malevolo all’interno del sito target
Un utente legittimo accede normalmente alla home page del sito attaccato
Il sito risponde alla richiesta dell’utente e, in poche e impercettibili frazioni di secondo, lo reindirizza verso un sito malevolo con il medesimo «look & feel» del sito originale, appositamente predisposto
L’utente, ignaro di operare all’interno del sito malevolo, inserisce le proprie credenziali che vengono salvate
L’Attacker, amministratore del sito malevolo, raccoglie le credenziali ottenute illegalmente dagli ignari utenti del servizio sotto attacco
1
2
3
5
4
SQL Code Injection
ATTACKER
USER
DB
html response
h�p requests
h�ps://sito.it/disponibilita.php?itemid=2 union all select customer.username,customer.password,3,4,5
h�ps://sito.it/disponibilita.php?itemid=2
1
2
10
Un utente del servizio effettua una richiesta regolare per verificare la disponibilità di uno degli oggetti presenti nel catalogo proposto dal sito.
Un Attacker altera con ulteriori istruzioni SQL la richiesta regolare richiedendo la disponibilità di uno degli oggetti presenti nel catalogo proposto dal sito, ma anche l’elenco delle utenze e delle password, ottenendo in questo modo accesso ai privilegi di utenti autorizzati e amministratori del sistema.
1
2
Denial of Service 11
§ All’interno del mercato illegale un «Attacker» può «noleggiare» le infrastrutture necessarie all’esecuzione di attacchi mirati, dai siti di Command & Control con Botnet di migliaia di computer ai siti che mettono a disposizione i codici degli «exploit» necessari all’esecuzione dell’attacco
§ Migliaia di computer «dormienti» appartenenti a utenti inconsapevoli effettuano contemporaneamente attività – lecite e non - nei confronti del siti o delle reti «target» dell’ «Attacker»
§ Sottoposto a tale quantità di traffico, le risorse di sistema, di rete e di connettività vengono portate a esaurimento con un effetto di Denial of Service
ATTACKER
C&C SITE 1 C&C SITE 2
C&C SITE 3
EXPLOIT DB
TARGET SITE
ZOMBIE NET
$$$
Advanced Persistent Threats
ATTACKER USER
1 2
3
4
12
Un Attacker sfrutta le tecniche di attacco basate su SQL Injection per inserire un contenuto malevolo all’interno del sito target
Un utente legittimo accede normalmente alla home page del sito attaccato
Il sito risponde alla richiesta dell’utente trasmettendo la pagina web richiesta e i relativi oggetti, compreso il codice malevolo iniettato dall’Attacker che si installata a bordo del computer remoto
L’Attacker sfrutta il codice malevolo installato sul sistema dell’utente per ottenere accesso non autorizzato a dati, applicazioni e per inviare comandi al sistema infetto e utilizzarlo per propagare codice malevolo all’interno della rete locale
1
2
3
4
Malicious Apps
ATTACKER
1
2
3
USERS
4
5
13
L’Attacker preleva una applicazione (tipicamente un gioco) da un App Store ufficiale (es. Google Play)
L’Attacker ripacchettizza l’applicazione includendo un codice malevolo che consente il controllo remoto delle attività svolte dal dispositivo
L’Attacker pubblica l’applicazione su App Store alternativi di terze parti, che spesso effettuano un controllo meno capillare delle app prima di pubblicarle
L’Attacker pubblicizza la nuova App tramite «spam» attraverso canali quali posta elettronica, siti web e social media
L’utente che preleva la nuova applicazione dal App Store alternativo sta in realtà installando oltre all’applicazione anche il codice malevolo che trasmetterà periodicamente informazioni all’Attacker
1
2
3
4
5
Mobile Exploits
h�p://xenesys.badsite.hk
14
§ All’interno dei siti Mobile (attraverso l’utilizzo di tecniche di SQL Injection per ottenere accesso amministrativo non autorizzato al sistema)
§ All’interno di banner promozionali appositamente creati e diffusi in rete
§ Addirittura sulle locandine pubblicitarie in metropolitana vengono sostituiti i QR Code originali con codici contraffatti che indirizzano l’ignaro utente a siti alternativi indirizzati alla distribuzione di codice malevolo o alla cattura delle credenziali degli utenti
Approfondimento
“I am a Lecturer in the School of Computer Science at the University of Birmingham, UK. I completed my Ph.D. degree in Computer Science at the University of California, Santa Barbara” “My research interests include most aspects of computer security, with an emphasis on web security, vulnerability analysis, electronic vo�ng security, and intrusion detec�on”
Le nuove fron�ere del Malware e dei sistemi di difesa
15
Lastline 16
Radware 17
Blue Coat 18
RSA|EMC 19
Malware Oggi: Le Nuove Fron�ere del Malware e
dei Sistemi di Difesa
Marco Cova
© Copyright – Lastline, Inc. Tu� i diri� riserva�
Ogni diri�o sui contenu� della presentazione è riservato ai sensi della norma�va vigente. La riproduzione, la pubblicazione e la distribuzione, totale o parziale, di tu�o il materiale originale contenuto in questa presentazione (tra cui, a �tolo esemplifica�vo e non esaus�vo, i tes�, le immagini, le elaborazioni grafiche) sono espressamente vietate in assenza di autorizzazione scri�a.
Copyright
Marco Cova
Interessi di ricerca: rilevamento e analisi di malware, sicurezza web e analisi delle vulnerabilità
Ha pubblicato oltre 25 lavori sul tema della computer security in conferenze e riviste internazionali
[email protected] [email protected]
Docente presso la School of Computer Science, Università di Birmingham, UK. Membro fondatore di Lastline, Inc.
Targeted A�acks e Cyberwar
!!!
Tempo
Danni genera� in €
Milioni
Cen�naia di migliaia
Migliaia
Cen�naia
Miliardi
Cybercrime
$$$ Cybervandalism
#@!
Cybera�ack (R)Evolu�on
A�acchi ai Media
A�acchi a Fornitori per la Difesa
A�acchi a Security Companies
A�acchi a Compagnie di Manufacturing
A�acchi ai Singoli Individui
GLI ATTACCANTI
C’era una volta..
h�p://www.ted.com/talks/mikko_hypponen_figh�ng_viruses_defending_the_net.html
Oggi
Proliferazione del cybercrime per profi�o finanziario – ZeuS
A�acchi mira� (“targeted a�acks”) – Aurora (Google e altri) – RSA SecureID
Sviluppo della cyber warfare – Stuxnet – Flame
“Rubare qualsiasi informazione abbia valore”
A�acchi, Exploit e Botnet
Fase 1. Infe�are la vi�ma con malware
Usare un exploit (codice) che sfru�a una vulnerabilità nota (se l’utente non ha tu� gli ul�mi aggiornamen� sul sistema)
Lanciare uno “zero-‐day exploit,” che sfru�a una vulnerabilità non nota al momento dell’a�acco
Lanciare un a�acco di social engineering
A�acchi, Exploit e Botnet
Fase 2. Far filtrare all’’esterno da� sensibili
La macchina dell’utente è adesso un “bot”, completamente so�o il controllo dell’a�accante
Il malware raccoglie da� “interessan�” e li manda al server di “Command & Control” (C&C)
Numeri di carte di credito Nomi utente e password Documen� sensibili
A�acchi, Exploit e Botnet
Fase 3. Ricevere istruzioni dal botmaster Cominciare ad inviare
spam Lanciare un a�acco di
denial of service Cancellare tu� i file sul
disco …
Istruzioni di a�acco
Trovare gli A�accan�: Una Volta
Trovare gli A�accan�: Oggi
h�p://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
GLI ATTACCHI
Capire gli A�acchi
Mol� ve�ori diversi, ta�che, e specifici trucchi Due domande fondamentali da tenere in mente: – Come entrano gli a�accan�? – Come raccolgono e portano fuori le informazioni di valore?
A�acchi Drive-‐by-‐download
Gli a�accan� preparano un sito web malevolo e vi a�rano traffico Quando un utente visita il sito web, riceve pagine che contengono codice malevolo (�picamente codice JavaScript) Il codice malevolo prova a lanciare degli exploit contro il browser o i suoi plugin. Se ha successo, l’a�accante può eseguire del codice di suo piacimento sulla macchina della vi�ma (�picamente, inizia il download e l’installazione di malware)
A�acchi Drive-‐by-‐download
.js
document.writeln( unescape(”%3c%49%46 %52%41%4d%45%20%6e%61%6d%65%3d%63%38%33%33%36%35%65%35%64%37%61%61%20%73%72%63%3d%27%”);
ca�vo.js
GET /
<iframe>
Codice Malevolo
Exploit
A�rare le Vi�me: Social Engineering
A�rare le Vi�me: SEO
h�p://cseweb.ucsd.edu/users/voelker/pubs/juice-‐ndss13.pdf h�p://faculty.cs.tamu.edu/guofei/paper/PoisonAmplifier-‐RAID12.pdf
A�rare le Vi�me: A�acco Watering Hole
A volte è difficile colpire l’obie�vo di un a�acco dire�amente – Una alterna�va è
comprome�ere un sito terzo che si ipo�zza venga visitato
dall’obie�vo Council on foreign rela�ons → Ufficiali governa�vi
Si� di news cinesi non allinea� al regime → Dissiden� cinesi
Sito di sviluppo per iPhone → Sviluppatori di Apple, Facebook, Twi�er, etc.
Sito web della rivista Na�on Journal → Poli�ci di Washington
A�rare le Vi�me: Spear Phishing
From: [email protected] To: [email protected] Date: Monday February 6, 2012 05:51:24 A�achment: 23 �rcs.pdf االلسسااددةة االلززممللااء ففيي ممككتتبب االلررممووزز 23 ييررججىى ااععللااممنناا ععنن ااسستتللاامم االلببررققييةة االلخخااصصةة ررققمم ممعع االلششككرر أأببوو ظظببيي / االلسسففااررةة -‐-‐-‐-‐ Msg sent via @Mail -‐ h�p://atmail.com/
Colleghi dell’ufficio codici, Per cortesia, confermate la ricezione del telegramma No. 23 che trovate in allegato Grazie, Ambasciata / Abu Dhabi
Dopo l’Infezione Case Study di una Botnet
h�p://cs.bham.ac.uk/~covam/data/papers/ccs09_torpig.pdf
Hijacking di una Botnet
Abbiamo analizzato il Domain Genera�on Algorithm (DGA) usato in Torpig ed il protocollo usato dal Command & Control – I domini genera� dal 25/1/2009 al 15/2/2009 non erano registra�
– Li abbiamo quindi registra� noi Di conseguenza, abbiamo preso controllo della botnet per 10 giorni – Visibilità unica del comportamento della botnet – 8.7 GB di log di Apache – 69 GB di traffico di rete ca�urato contenente le informazioni rubate
Dimensione di una Botnet S�ma del numero delle infezioni
– Talvolta basata sul numero di indirizzi IP univoci – Problema�ca: effe� del DHCP e del NAT (vediamo 1.2M di IP unici)
– Il nostro conteggio si basa sulle informazione nell’header: vis� circa ~180K hosts
Minacce
Credenziali per 8310 account univoci su 410 is�tuzioni finanziarie – Top 5: PayPal (1770), Poste Italiane, Capital One, E*Trade, Chase
– 38% delle credenziali rubate dai password manager dei browser
1660 carte di credito – Top 3: Visa (1056), Mastercard, American Express, Maestro, Discover
– US (49%), Italy (12%), Spain (8%) – Tipicamente una carta di credito per ciascuna vi�ma, ma ci sono eccezioni…
32
Valore delle Informazioni Finanziarie
Symantec [2008] s�ma – Valore di una carta di credito tra $.10 e $25.00 – Valore di un account bancario tra $10.00 e $1,000.00
Secondo le s�me di Symantec, 10 giorni di da� raccol� da Torpig “valgono” tra gli 83 mila e gli 8.3 milioni di dollari
0
200
400
600
800
1000
1200
1400
01-21 01-23 01-25 01-27 01-29 01-31 02-02 02-04 02-06 10
100
1000
10000
100000
1e+06
1e+07
New
ban
k a
cco
un
ts a
nd
cre
dit
car
ds
(#)
Val
ue
($)
Date
New bank accounts and credit cardsMax valueMin value
Banking Trojans
h�p://edetools.blogspot.it/2012/01/phishing-‐unicredit-‐11-‐gennaio.html
Bypassare mTAN – a la Eurograbber
https://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf
35
Costo per le Vi�me (Oltre al Danno)
Ponemon Ins�tute -‐ s�ma 2011
– Costo di ogni record perduto 78 € in Italia (h�p://www.ponemon.org/local/upload/file/2011_IT_CODB_Final_5.pdf)
194 $ in US (h�p://www.ponemon.org/local/upload/file/2011_US_CODB_FINAL_5.pdf)
LA DIFESA
In un Mondo Ideale
Codice Sicuro Il So�ware che usiamo non con�ene vulnerabilità
Le vulnerabilità sono mi�gate applicando principi di sicurezza e corre�a ingegnerizzazione (minimi privilegi, contenimento, etc.)
Sfortunatamente, a�ualmente ci sono pochissimi “programmi sicuri” e spesso in se�ori specializza� (regolamentazione vs. innovazione)
Sensibilizzazione dell’utente
Gli uten� sono consci delle minacce alla sicurezza a cui si espongono
Prendono sempre la “giusta” decisione
Sfortunatamente, esperimen� dimostrano che gli uten� non sono assolutamente accor� nel prendere decisioni legate alla sicurezza (social engineering vs. usabilità)
Soluzioni Legali
h�p://www.zdnet.com/blog/bo�/who-‐killed-‐the-‐fake-‐an�virus-‐business/3832
Le autorità russe arrestano il cofondatore di ChronoPay, il più grande provider di pagamen� online
Soluzioni di Buon Senso Mantenere il so�ware aggiornato
Sfortunatamente, inu�le contro gli a�acchi 0-‐day
Soluzioni di Buon Senso Non aprire link/allega� da fon� sconosciute
Sfortunatamente, inu�le contro a�acchi social/targeted
Soluzioni di Buon Senso
Limitare l’accesso web a si� fida� o con buona reputazione
Sfortunatamente, inu�le contro a�acchi “waterhole” e si� web compromessi
Accesso ai servizi sensibili (e.g., online banking) da macchine dedicate
Sfortunatamente, poco pra�co
Soluzioni di Buon Senso
Le Soluzioni A�uali non Sono Adeguate
Cara�eris�che del Malware Avanzato
Evasione “sta�ca”: offuscazione e poliformismo
Fonte: Binary-‐Code Obfusca�ons in Prevalent Packer Tools, Tech Report, University of Wisconsin, 2012
Number of �mes a hash is seen
> 93% dei campioni malware sono unici
Immuni agli an�virus signature-‐based
Cara�eris�che del Malware Avanzato
Evasione a run-‐�me – controlli sull’ambiente d’esecuzione
Invisibile alle sandbox e alle virtual machines
Cara�eris�che del Malware Avanzato
Evasione a run-‐�me – stalling loops
Invisibile alle sandbox e alle virtual machines
Idee per una Miglior Difesa
Analisi degli artefa� in entrata nella rete – Web download, allega� email
Analisi del traffico in uscita – Dove è dire�o? Cosa esce? Come è inviato?
Mappatura dell’infrastru�ura malware a livello globale Mappatura delle cara�eris�che locali per individuare anomalie e pa�ern sospe� Techniche di analisi di nuova generazione contro il malware evasivo
Lezioni Imparate
Gli a�acchi sono sempre più di �po mirato “Gli a�accan� non puntano al firewall. Puntano agli individui”
Gli a�accan� sono tenaci e pazien� Necessario un approccio di difesa che preveda un monitoraggio costante
Gli a�accan� sviluppano tool ad hoc e a�accano dopo che hanno o�enuto l’accesso al target Una visione globale è ancora importante, ma… È fondamentale la costruzione di difese specifiche, in base alle cara�eris�che ed alle a�vità del target
Malware Evasivi Necessari strumen� di prossima generazione
DOMANDE? [email protected]
Security Conference Xenesys Firenze 11 Giugno 2013
Davide Carlesi Lastline, Inc. -‐ Country Manager Italia, Grecia, Cipro e Malta
[email protected] – 335.82.64.362
Protection Against Advanced Malware
Copyright
© Copyright – Lastline, Inc. Tu� i diri� riserva�
Ogni diri�o sui contenu� della presentazione è riservato ai sensi della norma�va vigente. La riproduzione, la pubblicazione e la distribuzione, totale o parziale, di tu�o il materiale originale contenuto in questa presentazione (tra cui, a �tolo esemplifica�vo e non esaus�vo, i tes�, le immagini, le elaborazioni grafiche) sono espressamente vietate in assenza di autorizzazione scri�a.
“The Problem”
Simple Threats
Opp
ortu
nist
ic A
ttack
s
AAPPTT SSoolluuttiioonnss
AAnnttiivviirruuss SSoolluuttiioonnss
Current solutions fail to protect organizations from sophisticated,
targeted attacks.
SSeeccuurriittyy GGaapp
Targ
eted
Atta
cks
Packing
Sophisticated Threats
Plain Virus
Poly- morphic
C&C
Fluxing
Persistent Threats
Evasive Threats
Queste cose succedono agli altri…
“The Solu�on”
Protection Against Advanced Malware
Presentazione Azienda
La soluzione più avanzata per rilevare, analizzare e mi�gare APTs, a�acchi mira� (targeted a�acks), e 0-‐day threats
Fondata da un team di ricercatori della Università di California Santa Barbara (UCSB), Technical University di Vienna, e Northeastern University
– Accademici di fama mondiale – Tecnologia basata su oltre 8 anni di
ricerca su APT e minacce avanzate
– Lo stesso team che ha sviluppato Anubis & Wepawet
Accademici di fama mondiale L’h-‐index è una metrica che misura sia la produ�vità che l’impa�o delle pubblicazioni effe�uate da un ricercatore.
Christopher Kruegel (CSO Lastline) è il più prolifico ricercatore degli ul�mi 10 anni per l’ambito di Security and Privacy. Giovanni Vigna (CTO) occupa la posizone 12 e Engin Kirda (Chief Architect) il numero 28 all’interno della stessa graduatoria.
Leadership Tecnologica
Anubis / Wepawet
Anubis = Malware sandbox h�p://anubis.cs.ucsb.edu
Wepawet = Drive-‐by exploit detector h�p://wepawet.cs.ucsb.edu
Strumen� “Open Universitari” u�lizza� ogni giorno da decine di migliaia di uten� (incluse società appartenen� alle Fortune 500, is�tuzioni pubbliche e governa�ve, aziende appartenen� al mercato finance, e vendor/produ�ori di soluzioni di sicurezza)
Lastline : Misure contro gli Advanced Malware
Analisi degli artefa� in ingresso (cosa entra) – Web downloads e allega� eMail (Windows PE, MS/Open Office, PDF, Flash, archivi Zip, Java e Apk)
Analisi e blocco del traffico in uscita (cosa esce) – Traffico DNS, traffico web (e tu�o il TCP)
Cosa esce Dove va (anche se cifrato) Come viene inviato
Uso della correlazione per presentare un quadro completo al system administrator Iden�ficazione dei client infe�
Componen� tecnologiche Lastline
Ac�ve threat discovery per iden�ficare i si� & endpoint malevoli con la massima ampiezza e completezza di visione possibile
Strumen� di analisi malware ad alta risoluzione, in grado di capire il comportamento del malware senza cadere nelle tecniche di evasione Analisi big data del traffico di rete, per iden�ficare le anomalie ed i pa�ern di da� sospe� scambia� come traffico interno
Analisi del malware ad elevata risoluzione
Monitoraggio del traffico (DNS e Ne�low)
Discovery Proa�vo delle Minacce
Emulazione del codice macchina del malware
Monitoraggio passivo del traffico DNS e analisi d e i fl u s s i N e� l ow ““arricchi�””
B r o w s e r s i n t e � c i scansionano Internet al la scoperta del le minacce emergen�
L a s t l i n e c on sen te d i r i levare malware con elevate capacità di evadere le tecnologie tradizionali
L a s t l i ne Consen te d i rilevare in modo euris�co domini di comando e controllo sconosciu� o dinamici (Fast-‐Flux/DGA)
L a s t l i ne consen te d i rilevare le minacce prima che queste si diffondano. Le altre tecnologie hanno un approccio «rea�vo».
Correla�on & Incident Management
Overview Tecnologico
High Resolu�on Malware Analysis
Dynamic analysis in Lastline Next Genera�on Sandbox – runs binaries, accesses web pages, opens documents – monitors and classifies observed behaviors (ac�vi�es)
Code emula�on instead of virtual machine (VM) or bare metal – we can see every instruc�on that malware executes, not just the opera�ng system calls that it invokes
– in other words, we can look inside the malware execu�on – provides vastly increased visibility
Lastline High-‐Resolu�on Malware Analysis
Visibility without code emula�on
(tradi�onal sandboxing technology)
Important behaviors and evasion happens here
Visibility with code emula�on
Lastline technology
Engine sees every instruction that the malware executes
High Resolu�on Malware Analysis
Lastline -‐ Importance of increased visibility
More behaviors can be revealed – data flows and data leakage – malware checks for specific keywords (targeted a�ack behavior) – automated detec�on of command and control (C&C) connec�ons
Strong resistance to evasion – bypass triggers – accelerate stalling code
Lastline 0-‐day Detec�on Capabili�es
Opera�on Aurora Targeted a�ack that compromised Google and other US companies
Used 0-‐day exploit against Internet Explorer 6
Our system successfully analyzed the a�ack before it became public
Lastline Ac�ve Threat Discovery
Iden�fica�on of threats and automated genera�on of detec�on models before customer is exposed
Cloud-‐based crawling and analysis engines – comprehensive coverage for both malware threats and distribu�on
vectors (drive-‐by exploits) – precise models through aggressive cleaning of data (to avoid false posi�ves)
I get stuff from my customers, but I am blind related to data from non-customers, so [Lastline] data is great to complement mine -‐ An�virus Vendor
I like the data. Everything I looked at was very likely an infection point … 57% were new infected domains. -‐ UTM Vendor
Lastline Ac�ve Threat Discovery
Comprehensive coverage – we use a broad range of input vectors – we ac�vely search the web for drive-‐by download exploits and download the distributed malware
– we perform targeted web crawling and search for bad neighborhoods on the Internet
Precise models – check reputa�on of des�na�ons of suspicious connec�ons – con�nuously monitor up�me of malicious loca�ons
Lastline Enterprise Traffic Monitoring
Checking for anomalous network traffic that reveals presence of malware-‐infected machines
Analysis of (passive) DNS and NetFlow data to detect – use of domain name genera�on algorithms – IP fast-‐flux ac�vity – suspicious, periodic (command and control) traffic
Advanced Internal Enterprise Traffic Monitoring Features for Advanced Targeted A�ack – specific a�acks evade the An�-‐APT Solu�ons
Soluzioni di Advanced Malware Defence PREVICT™ Web -‐ Hosted
– Next Genera�on Advanced Malware Protec�on (Web & Binary Analysis)
PREVICT™ Mail -‐ Hosted – Next Genera�on Advanced E-‐Mail Malware Protec�on (Binary & URL Analysis)
PREVICT™ Web & Mail -‐ On Premise – Lastline Customer’s Private Cloud
PREVICT™ Analyst PRO – Next Genera�on Sandbox (Binary/DOCS & URL Analysis) via Web Interface
GUARDIA™ – Web Malware Scanning & Protec�on Cloud Service
Soluzione Lastline -‐ Hosted
Sen�nel fa uno scan del traffico alla ricerca di segni ed anomalie che rivelano
connessioni di C&C ed infezioni
Lastline proa�vamente fa scou�ng su Internet alla ricerca di minacce e genera update per la base di conoscenza del Sen�nel Il Manager riceve e correla gli
alert e produce informazioni per sucessive azioni
Il Sen�nel invia gli artefa� sconosciu� (programmi e documen�) per l’analisi
ad alta risoluzione
Soluzione Lastline -‐ On Premise
Lastline proa�vamente fa scou�ng su Internet alla ricerca di minacce e genera updates per la base di conoscenza del Sen�nel
Il Sen�nel invia gli artefa� sconosciu� (programmi e documen�) per l’analisi
ad alta risoluzione
Il Manager riceve e correla gli alerts e produce
informazioni per sucessive azioni
Sen�nel fa uno scan del traffico alla ricerca di segni ed anomalie che rivelano
connessioni di C&C ed infezioni
Corrella�on & Incident Management
C&C Site
Exploit Site
Lastline Hosted Infrastructure
Heterogeneous Clients and Mobile Devices
External DNS
Internal DNS
M a n a g e m e n t Interface used to get updates and send the logs to the cloud
SPAN/Mirror Port listens to traffic and DNS queries from clients
Deployment Scenario – Porte Span
C&C Site
Exploit Site
Lastline Hosted Infrastructure
Heterogeneous Clients and Mobile Devices
External DNS
Internal DNS
Management Interface used to get updates and send the logs to the cloud
Deployment Scenario -‐ Inline
Deployment Scenario -‐ Proxy
C&C Site
Exploit Site
Lastline Hosted Infrastructure
DMZ Firewall
Heterogeneous Clients and Mobile Devices
External DNS
Internal DNS
Web Proxy SPAN/Mirror Port listens to internal traffic and DNS queries from clients
SPAN/Mirror Port listens to Outgoing traffic from Proxy and DNS queries
M a n a g e m e n t Interface used to get updates and send the logs to the cloud
C&C Site
Exploit Site
Lastline Hosted Infrastructure
Heterogeneous Clients and Mobile Devices
External DNS
Email Server
The Mail Server/Mail R e l a y m u s t b e configured so that the incoming emails that must be analyzed are BCC’ed to a Service Mailbox
PREVICT™ Mail -‐ Deployment Scenario
The Previct Sen�nel is configured to poll the service mailbox via IMAP or POP3 and to download the email via a n e n c r y p t e d connec�on. The emai is sent to the cloud to be analyzed
1
2
The same sensor is able to scan inbound h�p and email traffic (provided the needed license is purchased). The load of the email scan can be shared among different sensors.
POP3 or IMAP
Email a�achments are sent to the cloud (Hosted or On-‐Premise – do�ed line) to be analyzed
Customer On-‐Premise Infrastructure
Previct Analyst Previct Manager
Previct Sen�nel
Previct Sen�nel Lastline Hosted Solu�on
PREVICT™ Analyst Deployment Scenario
Ac�ve Threat
Intelligence
Alerts & Ar�facts
Customer On-‐Premise Solu�on
Guardia ™ : Web Malware Scanning & Protec�on Cloud Service
Considerazioni Rela�ve alla Privacy • Il sensore Lastline PREVICT™ Sen�nel monitorizza il traffico di rete per rilevare e
bloccare tenta�vi di a�acco contro endpoint interni all'organizzazione. • Per la massima accuratezza, il sensore invia al Data Center alcune informazioni rela�ve
al traffico malevolo rilevato. Le informazioni inviate non hanno impa�o su privacy e profilatura uten�.
• In de�aglio le informazioni inviate al backend in modalità cifrata sono le seguen�: -‐ Informazioni rela�ve agli allarmi -‐ I nomi dei domini risol� -‐ Il contenuto delle connessioni malevole: Una parte del contenuto delle connessioni malevole
viene inviato per verificare la consistenza e l’impa�o dell'allarme
-‐ Programmi eseguibili e documen� scarica� da Internet: Gli eseguibili scarica� da Internet (e quindi pubblici) sono analizza� all’interno della Sandbox evoluta di Lastline
-‐ Allega� Email: Gli allega� sono analizza� all’interno della sandbox da processi automa�ci ed elimina� una volta analizza�
Tu� i documen� sono elimina� una volta analizza�
Malware (R)evolu�on
Minacce semplici
Atta
cchi
opp
ortu
nist
ici
Soluzioni APT
Soluzioni An�virus
Atta
cchi
Tar
gete
d
Packing
Minacce sofisticate
Plain Virus
Poly-‐ morphic
C&C
Fluxing
Persistent Threats
Evasive Threats
Lezioni Imparate Gli a�acchi sono sempre più di �po mirato
“Gli a�accan� non puntano alle difese perimetrali. Puntano agli individui”
Gli a�accan� sono tenaci e pazien� Necessario un approccio di difesa che preveda un monitoraggio costante ed evoluto, in grado di correlare le informazioni a�raverso Big Data Analysis
Gli a�accan� sviluppano tool ad hoc e a�accano dopo che hanno o�enuto l’accesso al target Una visione globale è ancora importante, ma… È fondamentale la costruzione di difese specifiche, in base alle cara�eris�che ed alle a�vità del target
Malware Evasivi Necessari strumen� di prossima generazione
Lastline è la soluzione più completa e flessibile
GRAZIE DOMANDE?
Slide 1
Over 10,000 Customers
Global Technology Partners
Company Growth
Recognized Security Vendor
5 14
38 43 44 55
68 78 81
89 95 109
144
167
189
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
2
Financial Services Retail Services
Government, Healthcare & Education Carrier & Technology Services
3
Information Security Triangle
4
� Set of patented technologies designed to detect and mitigate today’s
availability based threats
� Deployed on-premise, in the cloud and hybrid
� AMS mission is to provide the industry’s best solution for DDoS attacks
� Detect where we can, mitigate where we should
5
6
NBA Prevent application
resource misuse Prevent zero-minute
malware spread
DoS Protection Prevent all type of
network DDoS attacks
IPS Prevent application
vulnerability exploits
WAF Mitigating Web
application attacks PCI compliance
Reputation Engine Financial fraud
protection Anti Trojan & Phishing
7
Detect Patented behavioral detec�on Network floods Applica�on a�acks: SSL, HTTP GET / POST, Low & Slow Intrusions Web applica�on threats: SQL injec�ons, XSS
Mi�gate Immediate, Automa�c, no need to divert traffic Generates real-‐�me signature Dis�nguish between a�ackers and legi�mate users Best quality of experience even under a�ack Powerful using dedicated hardware up to 25M PPS
Report Real �me correlated report Historical reports Forensics Trend analysis compliance
� 24x7 Service to customers under attack
� Neutralize attacks and malware outbreaks
� Release ERT Threats Alerts
� Research Lab diagnoses all known attack tools
� Provides weekly and emergency signature updates
8
AppWall ü Appliance & VA ü Web Application Firewall (WAF)
DefensePro ü OnDemand throughput scalability 200Mbps –
40Gbps ü Anti-DoS, NBA, IPS, Rep. Engine
APSolute Vision ü Appliance & VA ü Security Event Management (SEM)
9
� On-premise AMS is the best solution for attack mitigation – Widest security coverage
SSL based attacks, Application level attacks, Low & slow attacks, Network flood attacks, Known vulnerabilities, Egress traffic attacks
– Mitigation starts immediately and automatically – No need to divert traffic – Detailed real-time and forensic reports
� However, 15% of DDoS attacks that are handled by ERT saturate the Internet pipe
� Internet pipe saturation protection must be offered from the Cloud
� Hybrid solution is required to fight today’s threats
10
� DefensePipe is a Cloud based service that protects organizations against Internet pipe saturation
� DefensePipe is a Cloud extension of DefensePro and it complements the on-premise DefensePro capabilities
� DefensePipe is activated only when the attack threatens to saturate the Internet pipe
� On-premise AMS and AMS in the cloud share essential information on the attacks
� On-premise AMS and DefensePipe creates the industry first integrated hybrid solution
11
On-‐premise AMS mi�gates the a�ack
Protected Online Services
Protected Organization
Defense Messaging
ISP
Volumetric DDoS attack that blocks the Internet pipe
ERT and the customer decide to divert the traffic
Clean traffic
Sharing essential information for
attack mitigation
DefensePro
AppWall
DefensePros
12
13
Slide 14
Business
Large volume network flood attacks
Application flood attack (Slowloris, Port 443 data flood,…)
Large volume SYN flood
Low & Slow connection DoS attacks 70% of last year a�acks had 3 or more a�ack vectors
Slide 15
� Radware can mitigate the most of attacks on CE (customer edge) providing protection against SSL attack
� DefensePipe can cover the pipe saturation attack using traffic diversion, according to attack condition on CE
� Radware AMS can be deployed in few hours and is able to mitigate attacks immediately.
� Radware customers can invoke ERT during attacks to tune, if needed the configuration and mitigate new attacks.
� Radware can guarantee service availabilty without any SLA breach
1 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
LA MOBILITÀ E SICUREZZA: NUOVE SFIDE ED
OPPORTUNITÀ
ALBERTO DOSSENA Territory Sales Manager Italy, Greece, Malta & Cyprus
M: +39 348 1580030
2 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 2 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
15 Years of Technology Leadership
Approx. $550M in Revenue
1,000+ Employees in 32 Countries
15K Customers WW 44% Market Share in
Secure Web Gateway More than 200 Patents
BLUE COAT SYSTEMS: COMPANY OVERVIEW
3 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
BLUE COAT SYSTEMS: EVOLUTION
1996 1997 1998 1999 2000 2001 2002
Incorporated as Cacheflow
Initial Public Offering
Entera Acquisition
Cacheflow becames Blue Coat Systems
2003 2004 2005 2006 2007 2008 2009 2010 2011
Ositis Acquisition
Cerberian Acquisition
NetCache Acquisition
Permeo Acquisition
Packeteer Acquisition
S7 software Acquisition
Blue Coat becames a privately held company
2012 2013
Crossbeam Acquisition
Netronome Acquisition
Solera Acquisition
4 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
MARKET EVOLUTION: NEW OPPORTUNITIES
5 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
SECURITY MARKETS: IDC 1999
6 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
SECURITY MARKETS: IDC 2013
7 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
THE WEB FRONT AND CENTRE
8 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
SO HOW SHOULD IT WORK?
9 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
WHAT’S YOUR APPROACH?
BLOCK. REACT. EXCEPT.
10 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
WHAT’S YOUR APPROACH?
SEE. THINK. DO.
11 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
EVOLUTION OF THE ENTERPRISE
Multiple Devices Owned by Employee
Single Device Owned by IT
Enterprise Apps Sanctioned by IT
Enterprise & Recreational Apps
Mandated by Users
Private WAN with Secure Perimeter
Internet Connected Extends Perimeter
Always On At the Office
Backhauled over Internal Infrastructure
Direct Internet for Web & Cloud-
delivered Apps
Devices
Applications
Network
Access Access
Delivery
12 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
FOLLOWING THE USER
User Context
Employee Devices (Remote & Mobile)
Uncontrolled External Devices
Corporate Devices (Remote & Mobile)
Uncontrolled External Networks
Corporate Devices (At Office)
Controlled Corporate Environment
13 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
KEY CHALLENGES IN BYOD
Governance & Compliance BYOD could cause you to violate rules, regulations, trust, intellectual property and other critical business obligations. Mobile Device Management
You need to manage growing workforce expectations around mobility. Your employees use many devices and they expect to use any device or application anytime, anywhere. Security
If left unmanaged, BYOD can lead to loss of control, impact your network availability, and cause data loss. You need the right network access strategies and policies in place to secure your environment.
14 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
TAMING THE BYOD PHENOMENON
15 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 15
BYOD CAUSES NETWORK PAINS WITH……
OS Updates/Upgrades
App Downloads
Photo/video (creation) Upload/Download
Back-up (Cloud / Employer-issued laptop/
desktop)
Facetime / Skype Audio/Video Communication
Recreational Video
‘Guest’ Wireless
16 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
5GB
10GB
BYOD OS Updates
2.0GB iPad iOS 767.5 iPhone iOS 454.7 iTunes iOS
App Downloads and Updates
2 x 30 App Updates 30 App Downloads @ 20MB/app
Content Uploads
100 x 2.7MB/photo 10 x 1 min video @ 230 MB/video
Content Downloads
300 x 2.7MB/photo 30 x 1 min video @ 230 MB/video
Cloud-based Backup
iCloud Google Drive 5GB Free
How They Stack Up
20GB
15GB
2.7 Avg iPhone 4s photo MB
30 Avg Downloads Per User in One Year APPS
15X BYOD adoption increase since 2009
1.02 BYOD Devices Projected by end of 2012
BILLION
2.57GB Content Uploads
4.71GB Content
Downloads
5GB Cloud-based
Backup
2GB BYOD OS Updates
1.2GB App Downloads
and Updates
WHERE DID THE BANDWIDTH GO? BYOD BANDWIDTH CONSUMPTION—JUNE 2011 TO JUNE 2012
17 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
RECREATIONAL TRAFFIC – IMPACT ON BUSINESS
§ Recreational Video is here to stay Pulled by laptops / desktops / BYOD – Sporting events
– World news
– Viral Videos
18 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
RECREATIONAL VIDEO – IMPACT ON BUSINESS
VIDEO – TYPICAL DESKTOP/LAPTOP ACCESS
# of people in remote office accessing
video Video Size
(Average Resolution) Bandwidth Used % of T1 Connection (1.544Mbps)
% of 6Mbps Connection
1
Desktop PC’s /
Laptops
640 x 360 (500 Kbps)
500 Kbps 33% 8%
2 1000 Kbps 66% 16%
3 1500 Kbps 100% 25%
4 2000 Kbps 33%
5 2500 Kbps 341%
6 3000 Kbps 50%
7 3500 Kbps 58%
8 4000 Kbps 66%
10 4500 Kbps 75%
12 5000 Kbps 83%
15 7500 Kbps 100%+
19 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
# of people in remote office accessing
video Video Size
(Average Resolution) Bandwidth Used % of T1 Connection (1.544Mbps)
% of 6Mbps Connection
1
Mobile Devices (iPhone/iPad)
360 x 240
(200 Kbps)
200 Kbps 13% 3%
2 400 Kbps 26% 6%
3 600 Kbps 40% 10%
4 800 Kbps 53% 13%
5 1000 Kbps 66% 16%
6 1200 Kbps 80% 20%
7 1400 Kbps 93% 23%
8 1600 Kbps 26%
10 2000 Kbps 33%
12 2400 Kbps 40%
15 3000 Kbps 50%
Recreational Video – Impact on Business Video – Mobile Devices
20 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
BUSINESS ASSURANCE TECHNOLOGY
21 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
MOVE BEYOND PREVENTION. CONSIDER NEW POSSIBILITIES
§ These solutions will protect you against web and network-based threats, prevent data loss, and give you flexible business policy control across enterprise, web, social and mobile networks. Security & Policy
Enforcement
§ With Mobility Empowerment Center you can secure all of the devices and applications used for business-regardless of who owns and uses them or where and how they connect to your network. So you can embrace BYOD rather than fight it Mobility
Empowerment
§ The number and diversity of applications out there is staggering: business apps, web-based apps, mobile apps, consumer apps. With Trusted Application Center, your enterprise can safely deploy and consume all apps. Trusted
Applications
22 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
FEED THEIR NEED FOR A MORE SATISFYING EXPERIENCE.
§ With the Blue Coat products, you can assess risk management tradeoffs, enforce compliance-related policies, and close the operations feedback loop by integrating retrospective analytics, problem resolution, and continuous learning into your security
Performance
§ Businesses are turning to Performance Center to get visibility into performance, decide how best to allocate bandwidth, and optimize performance via caching..
Resolution
23 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.
1 © Copyright 2012 EMC Corporation. All rights reserved.
Security Analytics Fabrizio Banfi – Senior Channel Manager Italy
Firenze - June 2013
2 © Copyright 2012 EMC Corporation. All rights reserved.
Agenda
� RSA & Security Management � Market and trend – Business & Security
� RSA view and approach – Security Analytics
� High level architecture - Logical
� Q & A
3 © Copyright 2012 EMC Corporation. All rights reserved.
Our Journey To The Cloud/Big Data
EMC Cumulative 8 Year Technology Investment
R&D $10.5B M&A $14B
2003 AND BEFORE
2005
2007
2009
ENTERPRISE STORAGE
INFORMATION LIFECYCLE
MANAGEMENT
INFORMATION & VIRTUAL
INFRASTRUCTURE
JOURNEY TO THE CLOUD
2011 CLOUD & BIG DATA
4 © Copyright 2012 EMC Corporation. All rights reserved.
What’s Different about RSA
Leader Authentication
Leader Data Loss Prevention
Leader Web Fraud Detection
Leader SIEM
Leader GRC
Leader Network
Analysis & Forensics
5 © Copyright 2012 EMC Corporation. All rights reserved.
RSA Security Management
GOVERNANCE
INTELLIGENT CONTROLS
ADVANCED VISIBILITY AND ANALYTICS
Cloud Mobility Network
Rapid Response and Containment
Collect, Retain and Analyze Internal and External Intelligence
Manage Business Risk, Policies and Workflows
6 © Copyright 2012 EMC Corporation. All rights reserved.
RSA Security Management
GOVERNANCE
INTELLIGENT CONTROLS
ADVANCED VISIBILITY AND ANALYTICS
Cloud Mobility Network
RSA Archer eGRC Suite
RSA Security Analytics RSA NetWitness RSA enVision RSA DLP Suite
RSA FraudAction RSA CCI RSA eFraud Network RSA NetWitness Live
RSA Adaptive Authentication
RSA Access Manager RSA SecurID RSA Transaction
Monitoring
RSA Federated Identity Manager
RSA Data Protection RSA DLP Suite RSA BSAFE
7 © Copyright 2012 EMC Corporation. All rights reserved.
Market Disruptors
Infrastructure Transformation
Mobile Cloud
Less control over access device and back-end
infrastructure
Threat Landscape Transformation
APTs
Sophisticated Fraud
Fundamentally different tactics, more formidable than ever
Business Transformation
More hyper-extended, more digital
Extended Workforce
Networked Value Chains
Big Data
8 © Copyright 2012 EMC Corporation. All rights reserved.
Traditional Security Is Not Working
Source: Verizon 2012 Data Breach Investigations Report
99% of breaches led to compromise within “days” or less
with 85% leading to data exfiltration in the same time
85% of breaches took “weeks” or more to
discover
9 © Copyright 2012 EMC Corporation. All rights reserved.
Speed Response Time 2 Decrease
Dwell Time 1
TIME
Attack Identified Response
System Intrusion
Attack Begins
Cover-Up Complete
Advanced Threats Are Different
Cover-Up Discovery Leap Frog Attacks
1 TARGETED SPECIFIC OBJECTIVE
STEALTHY LOW AND SLOW 2 3 INTERACTIVE
HUMAN INVOLVEMENT
Dwell Time Response Time
10 © Copyright 2012 EMC Corporation. All rights reserved.
SIEM Needs To Evolve � Many SIEMs were originally bought for compliance
– 80% of SIEM customers consider compliance reporting to be very important (Forrester 2011)
� Many organizations are looking to get more out of their SIEM implementations
– Threat management is of growing in importance for SIEM drivers (Gartner 2012)
� SIEMs need to evolve to encompass growing scale and diversity of use cases
– Scale upwards and outwards, but minimize TCO – Continue best-in-class collection, retention, reporting – Augment with new ways to access and transform data to support
Security Operations use cases
11 © Copyright 2012 EMC Corporation. All rights reserved.
New Security Model
� Perimeter based � Static/Signature based
� Siloed
Reactive Intelligence Driven
� Risk-based � Dynamic/agile
� Leveragable/Contextual
12 © Copyright 2012 EMC Corporation. All rights reserved.
Adaptive Controls adjusted dynamically based
on risk and threat level
Advanced Analytics provide context and
visibility to detect threats
Intelligence-Driven Security Risk-based, contextual, and agile
Information Sharing actionable intel from trusted sources and COIs
Risk Intelligence thorough understanding
of risk to prioritize activity
13 © Copyright 2012 EMC Corporation. All rights reserved.
Shift In Focus. Shift In Spend
MATURITY
IT Risk Control Compliance Business
Risk
Prevention 80%
Monitoring 15%
Response 5%
Prevention 34%
Monitoring 33%
Response 33%
$
14 © Copyright 2012 EMC Corporation. All rights reserved.
Resource Shift: Budgets and People
Today’s Priorities
Prevention 80%
Monitoring 15%
Response 5%
Prevention 80%
Monitoring 15%
Response 5%
Prevention 33%
Intelligence-Driven Security
Monitoring 33%
Response 33%
15 © Copyright 2012 EMC Corporation. All rights reserved.
Comprehensive Visibility
“See everything happening in my environment and
normalize it”
High Powered Analytics
“Give me the speed and smarts to discover and
investigate potential threats in near real time”
Big Data Infrastructure
“Need a fast and scalable infrastructure to conduct short term and long term
analysis”
Integrated Intelligence
“Help me understand what to look for and what others
have discovered”
Today’s Security Requirements
16 © Copyright 2012 EMC Corporation. All rights reserved.
RSA Security Analytics: Changing The Security Management Status Quo Unified platform for security monitoring, incident investigations and compliance reporting
SIEM Compliance Reports
Device XMLs Log Parsing
Network Security
Monitoring High Powered Analytics Big Data Infrastructure Integrated Intelligence
RSA Security Analytics
Fast & Powerful Analytics
Logs & Packets Unified Interface
Analytics Warehouse
SEE DATA YOU DIDN’T SEE BEFORE, UNDERSTAND DATA YOU DIDN’T EVEN CONSIDER BEFORE
17 © Copyright 2012 EMC Corporation. All rights reserved.
What is RSA Security Analytics?
� Unified platform for: – Security monitoring – Incident investigations – Compliance reporting
� Brings together SIEM, Network Security Monitoring, Big Data Management & Analytics
� RSA Security Analytics is a new approach to combating advanced threats
18 © Copyright 2012 EMC Corporation. All rights reserved.
RSA Security Analytics High Level Architecture
19 © Copyright 2012 EMC Corporation. All rights reserved.
What Makes Security Analytics Different? � Big Data Infrastructure
– Fast and scalable – Security data warehouse plus proven NetWitness infrastructure
� Comprehensive Visibility – See everything happening in an environment – Normalizes diverse data including logs, packets and intelligence
� High Powered Analytics – Speed and smarts to detect and investigate advanced threats – Provides short term and long term analytics plus compliance – Removes the hay versus digging for needles
� Integrated Intelligence – Operationalize intelligence by fusing it with your data – Understand what to look for and what others have found
20 © Copyright 2012 EMC Corporation. All rights reserved.
Results � Reduce risk from advanced threats
– Reduces the threat analysis time from days to minutes – Compress attacker free time
� Elevate the security team to another level of effectiveness
– Increase teams’ collective skill by gaining analytical firepower – Investigate more rapidly, centralize information, automate
alerts and reports
� Implement an intelligence driven security strategy – Operationalize intelligence to defend with confidence – Adopt a more risk-aware, agile and contextual security model
� Meet compliance reporting requirements
21 © Copyright 2012 EMC Corporation. All rights reserved.
Q & A
Fabrizio Banfi – [email protected] – 340/48.08.660