Gli attacchi 0-day sono in agguato, sempre più mirati e specializzati
36
VM Sistemi SpA Giovedì 26 Maggio 2016, ore 10.00 Gli attacchi 0-day sono in agguato, sempre più mirati e specializzati • 10.00 - Introduzione ai lavori - Paolo Cassani, VM Sistemi IT Consultant • 10.15 - Intervento tecnico - Angelo Simonetta, Exclusive Networks Italia BDM Fortinet • 10.50 - Domande e risposte
-
Upload
vm-sistemi-spa -
Category
Technology
-
view
69 -
download
1
Transcript of Gli attacchi 0-day sono in agguato, sempre più mirati e specializzati
VM Sistemi SpA
Giovedì 26 Maggio 2016, ore 10.00Gli attacchi 0-day sono in agguato, sempre più mirati e specializzati
• 10.00 - Introduzione ai lavori - Paolo Cassani, VM Sistemi IT Consultant• 10.15 - Intervento tecnico - Angelo Simonetta, Exclusive Networks Italia BDM Fortinet• 10.50 - Domande e risposte
2
I nostri clienti
Oltre 7000 Utenti e 260 Clienti
FaenzaHeadquarters
Roma
Milano
Via R. Ossani, 18Faenza - RA
Viale Tolstoj 86 - Scala H - Piano 3°San Giuliano Milanese (MI)
Via Troilo il Grande, 3Roma- RM
Le nostre sedi
3
L’offerta VM Sistemi
4
Le soluzioni Applicative
5
Le soluzioni Infrastrutturali ICT
6
I Servizi
Competenze cross platform
7
Partnership d’eccellenza e Competenze Specifiche
Major Partner
Soluzioni ICT Verticali
Cloud Backup, Cloud Disaster Recovery, Service Availability, Server Consolidation, ERP System Landscape, ICT Assessment, Wi-Fi & mobility, Reti wireless e Cablaggio strutturato, Unified Threat Management, Messaging & Collaboration, Virtual Desktop Infrastructure, Services Opertions Center, System Monitor, ecc.
8
Fast Security: il ciclo di 3 webinar gratuiti, in collaborazione con Fortineted Exclusive Networks
I appuntamento: Mercoledì 4 Maggio 2016, ore 10.00Perché è necessario proteggere i server web dai pericoli della rete?
II appuntamento: Giovedì 26 Maggio 2016, ore 10.00Gli attacchi 0-day sono in agguato, sempre più mirati e specializzati.
III appuntamento: Giovedì 16 Giugno 2016, ore 10.00Mobile, IoT, Cloud, Sicurezza: come gestire al meglio le nuove esigenze tecnologiche di un´azienda.
Angelo SimonettaBDM Fortinetasimonetta@exclusive‐networks.com347 9692075
I più comuni vettori utilizzati per aggredire le aziende
Mass website compromise
• Colpisce server web vulnerabili (Apache, Wordpress)
• Veicola contenuti dannosi• Redirect user (pay per
click fraud)
Watering hole attacks
• Colpisce siti web specificiper gruppi di utenti
• Solitamente usato per compromettere gli utenti di community che trattanotemi politici,sociali o religiosi.
Email bourne Malware
• Colpisce utenti ignari non specializzati, quindi usa la vittima per lanciare altriattacchi verso altre mete.
• Usano tecniche di social engineering per apparireinnocui
Phishing
• Obiettivi: aziende o collaborator dell’azienda
• Contenuti preparati ad hoc per catturare l’interessedella vittima
• Spesso la vittima fa parte del management
• Zero day malware
Aggressioni veicolate via web Aggressioni veicolate via mail
Violazioni dei sistemi e furti dei dati stanno aumentando vertiginosamente
From 2013, more than two‐thirds of Cyber‐Espionage compromises have featured phishing (Verizon 2015 Data Breach Investigation)
All organizations should assume they are in a state of continuous compromise (Gartner –Designing Adaptive Security Architecture Protection)
Evoluzione delle minacce
Data breaches by industry sector 2015
Source: http://www.idtheftcenter.org/ITRC-Surveys-Studies/2015databreaches.html Source: Information is Beautiful - http://goo.gl/a0pGe 18th Nov 2015
L’ anti‐spam è un sistema consolidato. E’ naturaleattendersi un ottimo livello di efficacia.
Il campo di battaglia si sta spostando in altre aree:> Phishing e Anti‐malware> Servizi aggiuntivi: Data Loss Prevention, Identity Based Encryption, Archiving
Evoluzione del mercato della Email Security
Behavioural Analysis (analisi comportamentale)> Signature con algoritmi fuzzy logic > Verificare se il comportamento del file sospetto è simile a qualcosa di pericoloso
rilevato di recente?
Disporre di aggiornamenti rapidi ed efficaci> FortiGuard big data analytics: identifica nuovi spammer e nuovi malware ogni ora> Signature sempre aggiornate e reattive per bloccare subito allegati potenzialmente
pericolosi.
Proteggersi dalle nuove minacce, cosa serve?
Top rated, multi‐layer threat protection
Integrated data Leak prevention, identity‐based encryption and archiving
Industry leading price/performance (no per user licensing)
E’ un Secure Email Gateway
FortiMail Overview
Independent Validation Anti-spam
AntiMalware
Data Protection High Availability & Scalability
Quarantine/ End User Digest
Email Archiving
Anti‐Spam
FortiMail Solution Detail
Connection Level Filtering:Elimina lo spam il più velocemente possibileper ottenere alte performance
Header Filtering:Verifica se la destinazione è valida.Supporta le più recenti RFCs.
Full Content Filtering:Esamine il corpo del messaggio, includendo allegati, immagini, testo, ecc.
FortiMail
Anti‐malware
FortiMail Solution Detail
Signature Match(CPRL/Checksum)
File Sample
Decryption/unpackerSystem
Code EmulatorBehavior Analysis
Take Action Based on ProfilesFile scartato, oppure messo in quarantena ed evidenziato nei log
Anti‐malware One‐to‐many signature matching Heuristic engine Unpacker/decryption Code emulation
FortiGuard antivirusFortiGuard anti-spamFortiGuard URL Filtering
KnownGood
Known Bad
ProbablyGood
Very Suspicious
SomewhatSuspicious
Might beGood
CompletelyUnknownRisk
Continuum
SecurityTechnologies
FortiSandbox
Header analysisBehavior analysisDynamic heuristicsLocal Dynamic Sender ReputationDKIM / SPF / DMARCSuspicious newsletterRealtime sandbox malware analysisGreyware scanning
Soluzione
FortiMail(antivirus, anti‐spam, URL filtering, content filtering)
Newsletter detection
Domain Safe lists
User Safe lists
FortiGuard IP reputation
Email Threat Continuum
FortiGuard Spam and Malware Protection
Malware, meccanismo di infezione
Intrusion Prevention
WEB Filtering
ANTISPAM
ANTIVIRUS
Application Control / IP Reputation
Malicious Email
Sito Web ostile
Command & Control Server
FORT
ISAN
DBO
X Link Nocivo
Spam
Exploit
Malware
Bot Commands& Furto Dati
FortiMail per la pulizia delle Email> Invia oggetti per un analisi aggiuntiva> Gli oggetti possono essere particolare tipologie di file> Accoda i messaggi durante l’analisi> Automaticamente gestisce i messaggi dei risultati> Accesso aggiuntivo ai Fortiguard Labs che dispongono
delle informazioni di tutte le FortiSandbox
FortiSandbox per la verifica dei file sospetti• Riceve oggetti dal FortiMail che rimane in attesa di ricevere il risultato dell’analisi• Analizza tutti gli oggetti e le attività• Assegna e restituisce un valore di attendibilità ai file analizzati• Mantiene una “community” dei risultati delle FortiSandbox
FortiMail: FortiSandbox Integration
Targeted Email
(1) Allegato inviatoalla FortiSandbox
(2) Oggetto analizzato nelSandbox environment
(3) Restituisce un Risk rating ed i messaggivengono gestitiattraverso policy
FortiMail
FortiSandbox
Antispam Service
• IP reputation del mittente
• Signature database
• Outbreak protection
• Heuristic rules
• Safe/block list
FortiSandbox Appliance o Cloud
• Various pre‐filters
• Full OS sandbox
• Office documents
• Callback detection
• Malicious URI detection
Antivirus Service
• Signature database
• Heuristic, emulation rules
FortiSandbox On-Premise> Dedicated on‐prem FortiSandbox appliance> Può essere condivisa con FortiGate, FortiWeb e FortiClient> Gestisce file condivisi> Accoda email e attende il responso> Statistiche visibili dalla GUI del FortiMail> Accesso diretto alla FortiSandbox samples, report e statistiche
FortiSandbox Cloud (new in 5.3)• Cloud hosted FortiSandbox• Non richiede hardware aggiuntivo• Accoda email e attende il responso• Statistiche visibili dalla GUI del FortiMail
FortiMail: FortiSandbox Integration
Targeted Email
Targeted Email
Modern Responsive interface
Novità sul FortiMail 5.3
Dynamic File Fingerprinting> Supporta connessioni a cartelle Windows condivise che contengono file
“Protetti” che non devono uscire dall’azienda> Supporta cambiamenti ai file
Novità sul FortiMail 5.3
Protected Share
DMARC Support> Phase I initial support delivered> Email validation method which detects email spoofing> Yahoo, AOL, Google early adopters> Google moving to reject (currently quarantine) in 2016
Phase II (to come)
> Reporting
Novità sul FortiMail 5.3
Support email archive of Exchange Journaling> Support Exchange Journaling wrapper> Receive and archive email from an Exchange environment.
Novità sul FortiMail 5.3
FortiMail Modelli ed Esempi
FortiMail Product Family
FortiMail 200E• 4 x 10/100/1000
• 2 x 1TB HDD
• Consigliato per ambienti small business (> 400 utenti)
FortiMail 400E• 4 x 10/100/1000
• 2 x 1TB HDD
• Optional dual PSU
• Consigliato per ambienti small to mid‐sized businesses (> 1000 utenti)
FortiMail: Nuovi Modelli 2016
Deploy on-site or in cloud to relay mail to destinationGATEWAY
Full Email server at no extra cost
FortiMail Solution Detail
Full mail server and groupware functionality
SERVER
Network and application transparent
TRANSPARENT INLINE
FortiMail Cloud
Hosted Email Gateway> Clean email in the cloud and forward to mail servers.> Inbound and outbound antispam and antimalware
24x7 Managed Service Premium service add‐on
> Sandboxing> Data Loss Prevention> Identity Based Encryption
FortiMail Cloud ‐ Gateway
Hosted Email Service> Mailbox hosting and security> Inbound and outbound antispam and antimalware> 5GB per mailbox
24x7 Managed Service Premium service add‐on
> Sandboxing> Data Loss Prevention> Identity Based Encryption> 20GB per mailbox
FortiMail Cloud ‐ Server
I prezzi sono per mailbox per mese / anno con opzioni per licenze pluriennali:
Cosa si intende per mailbox?> Una mailbox è definita come un utente attivo. Liste di distribuzioni e mailbox inattive possono essere esclusetramite accordi con Fortinet.
Come funziona il licensing?
Fortinet dispone del più ampio portfolio prodotti integrabile con la sandbox
FortiMail è riconosciuta tra i migliori motori anti-spam, antivirus e sandboxing
Fortinet are leading the market for advanced email security
Perchè Fortinet?
Offices
INTERNET
Municipal Court Parks & Rec Maintenance
Piccolo comune (20k residenti), ~100 impiegati, 5 uffici remoti
Email sotto mira da attacchi di spearphishing
Struttura e SfidaStruttura e Sfida
Perchè abbiamo vinto?Perchè abbiamo vinto?
E’ risultato molto semplice estendere ed integrare la struttura esistente con con un’infrastruttura ATP .
City Hall
Chi era il competitor?Chi era il competitor?
Cosa è stato acquistato?Cosa è stato acquistato?
FireEye NX
FortiMail VM, 1 FSA-3000D FG-300D
Case Study: NGFW + Advanced Threat Protection
GRAZIE !
FortiMail‐VM Series
FortiMail FML-VM00 FML-VM01 FML-VM02 FML-VM04 FMG-VM08
Email Domains 2 20 100 800 2,000
Server Mode Mailboxes 50 150 400 1,500 3,000
Email Routing*(Msg/hr) 3,600 34,000 67,000 306,000 675,000
FortiGuard Antispam+AV*(Msg/hr)
2,700 30,000 52,000 225,000 585,000
Max vCPU supported 1 1 2 4 8
Max vNICs 4 4 4 4 4
Storage capacity (Min/Max) 50 GB / 1 TB 50 GB / 1 TB 50 GB / 2 TB 50 GB / 4 TB 50 GB / 8 TB
Memory required(Min/Max) 1 GB / 2 GB 1 GB / 2 GB 1 GB / 4 GB 1 GB / 8 GB 1 GB / 16 GB
* Based on 100KB message size, no queuing
