XGen e Connected Threat Defense - resources.trendmicro.com · • Dashboard visual dá uma visão holística e ajuda a priorizar ações • Visão das detecções de usuários numa

XGen e Connected Threat DefenseDezembro 2016Raphael Bottino <[email protected]>

Copyright 2016 Trend Micro Inc.2

Resolvendo problemas de verdade

Ameaças cada vez maissofisticadas

Comportamento do usuário

Migração para nuvem

Dinâmica da TI

Defesas existentesinefetivas

Recuperar-se de ataquesde alto impacto

Complexidade & falta de visibilidade

Dor das empresas

Gartner Magic Quadrant forEndpoint Protection PlatformsFevereiro de 2016

Esse gráfico foi publicado pela Gartner, inc. como parte de um document de pesquisa

maior e deve ser considerado no context de todo o document. O document da Gartner pode ser disponibilizado sob consulta em: https://resources.trendmicro.com/Gartner-Magic-Quadrant-Endpoints.html


Não há bala de prata

“A história tem mostrado claramente que nenhuma abordagem única terá sucessoem impedir todos os tipos de ataques de malware. Organizações e provedores de solução têm que usar uma abordagem adaptativa e estratégica para proteção de

malware.”- Gartner EPP Magic Quadrant 2016


Malware

Sandbox

Vulnerability

Shielding

Machine

Learning

Web Gateway

Email Gateway

Análise de

Comportamento

Network Traffic

Scanning

IP/Web

Reputation

Malware

Sandbox

Vulnerability

Shielding

Endpoint

Protection Platforms

Breach

Detection Server Security

Lateral Movement

Prevention

Lateral Movement

Prevention

Spear phishing

Protection

Office 365

SecurityCategoria

dos Produtos

Técnicas de Proteção


OfficeScan XGPROTEÇÃO PARA O ENDPOINT


Mistura de técnicas de defesaque ultrapassam o conceito de “next-gen”

Alimentado pela Smart Protection Network

Inteligentemente aplica a melhor técnica para a ocasião

GenTM


Respostas Inovadoras e em Tempo para um Panorama de AmeaçasEvoluídas

Anti-

malware

Personal Firewall

Anti-

spyware

High-Fidelity

Machine Learning

Sandbox

Analysis

Application

Control

Exploit

Prevention

Census

Check

Data

Encryption

Data Loss

Prevention

Behavioral

Analysis

File

Reputation

Web

Reputation

Host-based

IPS

25+ anos de inovação!

Investigation &

Forensics (EDR)

Variant

Protection

Whitelisting

Check


Taxa mais alta de falso-positivo, precisa ser treinadocom tipos específicos de arquivos

Detecta EXEs

Reconhece comportamento

Alto uso de CPU

Não bloqueia ameaças que não exploram vulnerabilidades

Bloqueia vulnerabilidadesque ameaças exploram

Bloqueia os apps desconhecidos

Apenas pára EXEs

Whitelisting de Aplicações Análise Comportamental

Proteção contra Vulnerabilidades Machine Learning

Prós e Contras das Novas Técnicas

Combine as técnicas para ter o melhor de todos os mundos.


Machine Learning vs Análise de Comportamento

LEG

END

A

Conhecidobom

Conhecidomau

Desco-nhecido

Rep. arquivo/webPrevenção exploitApplication ControlProteção variantes

Análise de comportamento

Arquivomalicioso

bloqueado

Noise Cancellation

Machine Learning pré-execução

Machine-learning execução

A técnica certa no momento certo

Arquivonão-

malicioso

Com sua composição de técnicas de defesa de várias gerações incluindo machine learning de altafidelidade, Trend Micro™ XGen endpoint security está sempre se adaptando para identificar e derrotar novos ransomwares e outras ameaçasdesconhecidas.


Connected Threat Defense: Proteção melhor e mais ágil

Ganhe visibilidade

central entre os sistemas

e avalie o impacto das

ameaças

Habilite respostas rápidas por meio de

inteligência compartilhada de

ameaças

Detecte malware,

comportamento e

comunicações avançadas

que seriam invisíveis para

defesas padrão

Avalie vulnerabilidades potenciais e proteja proativamente os endpoints, servidores e aplicações

PROTEJA

DETECTE

RESPONDA


Deep Discovery AnalyzerSANDBOX ABERTO E INTEGRADO


Deep Discovery Analyzer

• Detecção de Malwares avançadose Ramsonware

• Sandbox customizável

• Relatório de análise detalhada

• API Aberta

• Compartilhamento inteligência via

Indicadores de comprometimento

(IOC)

• Melhor proteção para produtos

Trend Micro e para terceiros

Endpoints Gateways Network


• Resultados/Reports são enviadospara o Sistema requerente.

• Baseado no risco

• Altamente configurável

• Listas negras atualizadasautomaticamentes para que ataques similares sejamimpedidos no futuro.

• Integrações disponíveis para enviar dados de ameaça para SIEMs

API

Third Party

Manual Submissions

InterscanMessaging Security

Interscan Web Security

ScanMail Email Security

OfficeScan

Deep Discovery

Analyzer

SIEM



Segurança que se adapta automaticamente

1. Malware avançado tenta infectar um endpoint com OfficeScan XG instalado;

2. O mesmo é enviado para o Deep Discovery Analyzer para análise;

3. O DDAn determina que o arquivo, de fato, é potencialmente malicioso;

4. Uma ordem de bloqueio é enviadapara os endpoints e outros;

Visibilidade & Controle centrais

5. Investigação futura determina se e onde a ameaça se espalhou


• Objetos suspeitos que foremdescobertos pelo OfficeScan, InterScan Web/Messaging e Scanmail são enviados para para o Analyzer

• Analyzer oferece uma API Web que permite produtos de terceirossubmeterem objetos suspeitos para o Analyzer

• Os administradores também têm o poder de enviar samples manualmente para o Analyzer.

API

Third Party

Manual Submissions

InterscanMessaging Security

Interscan Web Security

ScanMail Email Security

OfficeScan

Deep Discovery

Analyzer



Smart Protection Complete

Gateway web

Email Gateway Servidor de email

Compartilhame

nto em Cloud

SharePoint

File servers

Office 365

Mensagens

instantâneas

Segurança em camadas elimina gaps

• Adicional ao XGen Endpoint Security:– Smart Protection for Endpoints inclui

DLP, controle de dispositivos, mobile

– Smart Protection Complete adiciona

proteção nos gateways

• Protege usuários dentro/fora da rede

Gerenciamento, visibilidadee compartilhamento de

inteligência centrais

Smart Protection for Endpoints

Criptografia

Controlede devices

DLPMobile


Control ManagerVISIBILIDADE CENTRALIZADA E AUTOMAÇÃO


Visibilidade centralizada e automação• Console única para soluções de

endpoint e gateway - seja on-premise ou na cloud

• Dashboard visual dá uma visão holística e ajuda a priorizar ações

• Visão das detecções de usuários numa timeline de ameaças e ferramentas forenses simplificam a investigação de ameaças

• Compartilhamento de Objetos Suspeitos


Copyright 2015 Trend Micro Inc. 21

Visão priorizada de alertas do ambiente


Visibilidade, investigação e gerenciamento baseados no usuário


Obrigado!PERGUNTAS?

Técnicas de detecção – Prós e Contras

Copyright 2016 Trend Micro Inc. 24

Prós Contras

Antivírus tradicional Altíssima performance Não detecta ameaças desconhecidas

Análise comportamental Reconhece comportamento Alto uso de recursos

Machine Learning – pré-execução Detecta executáveis Taxa mais alta de falso-positivo, precisa sertreinado com tipos específicos de arquivos

Machine Learning – em execução Reconhece comportamento Taxa mais alta de falso-positivo

Whitelisting de aplicações Bloqueia todas aplicações nãopermitidas

Somente bloqueia executáveis

Proteção contra vulnerabilidades Bloqueia vulnerabilidades que ameaças exploram

Não bloqueia ameaças que não exploramvulnerabilidades

Proteção Web Bloqueia sites maliciosos e conteúdos maliciosos em sites

Somente funciona para sites

Investigação / Forense (EDR) Insight no histórico e superfíciedas infecções

Reativo. Não bloqueia por si só.

Sandboxing Disseca completamente o arquivo

Técnicas de evasão

Better Detection - Key Features

Custom

Sandboxes

• Custom sandbox images precisely match your desktop and server environments (language, OS, configuration, installed apps)

• Accurately detect threats and ransomware• Compared to standard sandbox, cannot be evaded

• Macintosh sandboxing available through cloud based option

• Live Mode is a safe external access allowing identification and analysis of multi-stage downloads, URLs, Command & Control, etc.

Broad Analysis

Engines

• Multiple detection engines and correlation rules analyze a wide range of file types and URLs to detect all attack aspects – not just malware

• File, web, IP, Mobile application reputation• Heuristic analysis• Advanced Threat scanning• Correlated threat intelligence

Better Detection - Key Features

Ransomware

Detection

• Known Threats: pattern and reputation

• Ransomware filter can detect ransomware before costly encryption

• Sandbox analysis detects mass file modifications, encryption behaviour& modifications to backup restore.

Correlated Threat

Intelligence

• Real-time cloud intelligence & research powers detection accuracy and continuously updates engines and rule sets.

• Local threat intelligence is quickly correlated with global threat intelligence


Taxa mais alta de falso-positivo, precisa ser treinadocom tipos específicos de arquivos

Detecta EXEs

Reconhece comportamento

Alto uso de CPU

Não bloqueia ameaças que não exploram vulnerabilidades

Bloqueia vulnerabilidadesque ameaças exploram

Bloqueia os apps desconhecidos

Apenas pára EXEs

Whitelisting de Aplicações Análise Comportamental

Proteção contra Vulnerabilidades Machine Learning

Prós e Contras das Novas Técnicas

Combine as técnicas para ter o melhor de todos os mundos.


Machine Learning


O que é Machine Learning?

• Modelos matemáticos que podem ser usados para, dentreoutras aplicações, a Segurança

• Utiliza esses modelos para determinar se o arquivo é bomou malicioso

• Ideal para executáveis maliciosos desconhecidos

• Extrai as funcionalidades dos arquivos

• Os modelos são constantemente treinados e aprendem dos dados conhecidamentes bons e ruins para manter suaprecisão


O que é Machine Learning?

• Importante escolher funcionalidades com a maior fidelidade– Necessita-se de muita Informação e pesquisadores

para descobrior as mais precisas e eficientes– Alguns machine learning olham para uma lista

infinita de funcionalidades

• Costuma apresentar um número mais alto de falsos positivos.

Machine Learning Evoluído

Copyright 2016 Trend Micro Inc.

Detecção de ameaça baseada

em arquivos

EndpointsOutubro 2016

Detecção de SPAM2005

Reputação e categorizaçãode URL - 2010

Contas maliciosas de redessociais - 2015


Machine Learning de alta precisão

• Usa algoritmos matemáticos para prever se um arquivo é bom ou mau• Abordagem única de alta previsão

Machine Learning de pré-execução

• Extrai características estáticas• Reduz o risco de dano• Pode não detectar códigos

ofuscados

Machine Learning de execução

• Extrai características de comportamento

• Detecta códigos ofuscados• Finaliza processos maliciosos

durante a execução

Noise-Cancellation para redução de falsos positivos: Census e Whitelist


Pesquisadores de ameaças

• 450 pesquisadores• Pesquisa de ciclo de vida e

distribuição de ameaças• 3k+ pesquisadores externos

de vulns. & exploits

Precisão dos algoritmos de ML é determinada por Qualidade e Volume dos dados de treinamento

Global Threat Intelligence

• 100 TB analisados/dia• 500k novas ameaças/dia• 800M+ whitelist de arquivos• 100s de milhões de sensores


Mais Detecção de Ameaças Desconhecidas

Checagem CensusUtiliza frequência e maturidade dos arquivos para determinar se osmesmos são suspeitos

Proteção de VarianteDesempacota arquivos em busca de fragmentos de malware conhecido

Prevenção de ExploitDetectação de comportamentosanormais, HIPS, host firewall, movimento lateral

Detecção de RansomwareDetecta e para a criptografianão autorizada de múltiplosarquivos

Análise ComportamentalMonitorando mudanças inesperadasno SO, apps e scripts, incluindoinspeção em memória

Investigação e Forense (EDR)Endpoint security monitor that records detailed activities & allows for rapid assessment.


Diminua a carga da TI e dos usuáriosMenos falsos positivos, Mais performance eficiente

• Somente arquivos desconhecidos passam pelas técnicas que são:

– Intensas em uso de CPU

– Abertas a mais falsos-positivos

– Menos falsos positivos para TI gerenciar e performance mais eficiente para os usuários

36

Siloed protection:

Central Visibility Hard

Investigation / Forensics

Modern Anti-Malware

Data Protection

Behavior Monitoring / Sandboxing

ApplicationControl

VulnerabilityShielding

37


Modern Anti-Malware

Data Protection


ApplicationControl


Central visibility helps, but manual correlation too difficult and slow!

38


A connected threat defense is required for

timely, adaptive protection

Modern Anti-Malware


Data Protection


ApplicationControl

Smarter Endpoint Protection with Rapid Response

1. Advanced malware infects an endpoint

2. Network inspection discovers advanced malware

3. Real-time signature pushed to endpoints

4. Investigation determines if and where the threat has spread

All via central insight & control

Documents

XGen e Connected Threat Defense - resources.trendmicro.com · • Dashboard visual dá uma visão holística e ajuda a priorizar ações • Visão das detecções de usuários numa