McAfee MVISION Cloud Beispielhafte Ergebnisse eines ... - SPP

9/24/2019

1

McAfee MVISION Cloud

Beispielhafte Ergebnisse eines Schatten-IT PoC‘s

Harald Schilling | Sales Engineer D-A-CH

9/24/2019

2

2McAFEE CONFIDENTIAL

Agenda

• McAfee MVISION Cloud – An Introduction 3-8

• McAfee MVISION Cloud for Shadow-IT – Exemplary POC results 9-25

• McAfee MVISION Cloud for Shadow-IT – The Architecture 26-28

• Our Offer: Cloud Visibility and Action – How a Shadow-IT POC Works 29-30

9/24/2019

3


“Cloud access security brokers have become an essential element of any cloud security strategy, helping organizations govern the use of cloud and protect sensitive data in the cloud. Security and risk management leaders

should align CASB vendors to address specific use-case requirements”

"Security leaders should deploy CASB for the centralized control of multiple services that would otherwise require individual management.”

9/24/2019

4


Gartner’s four areas of CASB security

9/24/2019

5


Analyst Favorite: McAfee MVISION Cloud is an acknowledged CASB Leader

February 2019 October 2018 October 2017

9/24/2019

6


Customer Satisfaction: MVISION Cloud is the chosen “Gartner Peer Insights” Solution

9/24/2019

7


IT Security Favorite: Recent McAfee MVISION Cloud Awards

October 2018 February 2019

Most Innovative Cybersecurity Company Gold Winner (5,000

to 9,999 employees) and Cloud Security Silver Winner

February 2019

IT-SA Nürnberg, Category: Cloud Security

March 2019

9/24/2019

8


McAfee MVISION Cloud Product Portfolio

McAfee MVISION Cloud for Shadow IT

McAfee MVISION Cloud for Salesforce

McAfee MVISION Cloud for O365

McAfee MVISION Cloud for Box

McAfee MVISION Cloud for ServiceNow

McAfee MVISION Cloud for Google Drive

McAfee MVISION Cloud for Custom Apps

McAfee MVISION Cloud for Shadow-IT

McAfee MVISION Cloud for Sanctioned SaaSMcAfee MVISION Cloud

for IaaS/PaaS

McAfee MVISION Cloud for Slack

…

McAfee MVISION Cloud for AWS

McAfee MVISION Cloud for Azure

McAfeeCASB Connect

McAfee MVISION Cloudfor Google Cloud Platform

McAfee MVISION Cloud for MS Teams

McAfee MVISION Cloud for Cisco Webex Teams

9/24/2019

9


Exemplary POC results

9/24/2019

10


PROOF OF CONCEPT PARAMETERS

DEVICES: MWG web proxy log files

LOCATIONS: COMPANY hq egress point

TIMEFRAME: 27.07. – 28.08.2019 (5 weeks)

NETWORK SEGMENTS: N/A

TOTAL CLOUD SERVICES1.645

HIGH RISK SERVICES

51

TOTAL DATA TO HIGH RISK SERVICES

257,1 MB

• 38 cloud storage services in use, 6 of them high risk

• 50 high risk services completely allowed, 0 partiallyallowed (inconsistent egress policies), 1 compl. denied

• 57 GDPR high risk cloud services in use

• 131 cloud services used with known vulnerability in use

• 1 AWS S3 buckets with open permissions found

SELECTED HIGHLIGHTS IN BRIEF

Executive Summary

USERS OF HIGH RISK SERVICES

72

9/24/2019

11


PROOF OF CONCEPT PARAMETERS

DEVICES: Symantec (Blue Coat) proxy logs

LOCATIONS: COMPANY hq egress point

TIMEFRAME: 08.02. – 18.03.2019 (5 weeks)

NETWORK SEGMENTS: N/A (http/https tags)

TOTAL CLOUD SERVICES5582

5573 http / 4719 https

HIGH RISK SERVICES

205205 http / 148 https

TOTAL DATA TO HIGH RISK SERVICES

9.9 GB

• 109 cloud storage services in use, 18 of them high risk

• 192 high risk services completely allowed, 12 partiallyallowed (inconsistent egress policies), 0 compl. denied

• 313 GDPR high risk cloud services in use

• 431 cloud services used with known vulnerability in use

• 24 AWS S3 buckets with open permissions found

SELECTED HIGHLIGHTS IN BRIEF

Executive Summary

USERS OF HIGH RISK SERVICES

286

9/24/2019

12


Cloud Usage – No. of Services by Time and Risk Type

9/24/2019

13


Cloud Usage – No. of High Risk Services over Time

9/24/2019

14


Cloud Usage – Services by Upload Data and Risk Type

9/24/2019

15


Cloud Services Overview

9/24/2019

16


Cloud Usage – Services by Category

9/24/2019

17


• McAfee integrates with your existing proxies and firewalls to block high risk services

• 31 high risk services in use with file sharing support

Block High Risk Collaboration Services

9/24/2019

18


Block High Risk EU GDPR Services

9/24/2019

19


Block High Risk Services – US Trade Representative Watch List

9/24/2019

20


Respond to Service Vulnerabilities & Breaches: GhostWriter

9/24/2019

21


Consistency of Proxy/NGFW Configurations (Proxy Leakage)

9/24/2019

22


Block High Risk Services – Top Ten Users

9/24/2019

23


McAfee MVISION Cloud for Shadow IT – Identification of Uploads to Non-CSPs

• Identify anomalous data uploads to non-public cloud services (private storage / own-clouds)• 4 users sending 2 GB and 1.1 GB of data to privately used storage systems

9/24/2019

24


• Identify redundant services and opportunities to standardize & consolidate

• 91 CRM services in use – some of them with very low user numbers

Consolidate Services and Licenses – CRM Services

9/24/2019

25


Detailed Cloud Service Provider Evaluation

9/24/2019

26

McAfee MVISION Cloud Architecture

How It Works

9/24/2019

27



SIEM

McAfee MVISION Cloud Connector (on premise)

Firewall

Proxy

Proxy logs

AD

Anomaly detection

McAfee MVISION Cloud backed by a Hadoop cluster

Visibility into enterprise cloud usage

VM

Closed loop remediation

Cloud registry – 27k+ services Deployment – no agents, no changes on-premise Data privacy / data protection Active Directory integration Tagging Behavioural Analytics Scalability – 28+m users , 700+ customers

Tokenized log data uploaded to the

McAfee MVISION cloud

SSL Termination

Cloud

On-Premise

9/24/2019

28


Displayed educational messages upon access-attempts to high-risk services and prevented upload/download via existing infrastructure

On premise MVISIONCloud Connector

collected raw logs

Tokenization of usernames & internal IP addresses (SHA 256) McAfee MVISION Cloud

Customer infrastructure – on premise

SSL TransferPort 443

ProxiesFirewalls

SIEMs

MVISION Cloud Connector – best in class data privacy

On premise (log source) McAfee MVISION Cloud log procession

=>

9/24/2019

29

Our Offer: Cloud Visibility and Action

How a Shadow-IT POC Works

9/24/2019

30


McAfee Skyhigh for Shadow IT – Shadow PoC Timeline

Step 1: Preparation

Shadow-IT PoC preparation call (~ 1h) about technical details, data privacy and customer cooperation.• Fixing a date for the MVISION Cloud Connector (MCC) remote installation via Webex• Fixing a date for the Shadow-IT PoC Findings Presentation on-site at the customer• Providing a log file sample for quality validation, field order etc. (customer to do)• Preparing a VM with the minimum specifications for remote installation (customer to do)

Step 2: Execution

• Shadow-IT PoC start date: remote installation of the MCC via Webex (~ 1h)• Shadow-IT PoC end date (~ 4 weeks / 1 month after Shadow-IT PoC start date)

Step 3: PoC Findings Presentation

Final Shadow-IT PoC findings presentation on-site at the customer (~ 2h) about one week after Shadow-IT Audit enddate.

9/24/2019

31

Thank you!

Harald Schilling, Sales Engineer [email protected]

+49 170 7885045

Questions?

9/24/2019

32

McAfee, the McAfee logo and Skyhigh Networks are trademarks or registered trademarks of McAfee, LLC or its subsidiaries in the U.S. and/or other countries.Other names and brands may be claimed as the property of others. Copyright © 2018 McAfee, LLC.

9/24/2019

33


CASB Introduction: CASB – CWPP – CSPM

CASB

(Cloud Access Security Broker)

(since 2012)• Application discovery

• Application risk and complianceassessment

• Adaptive access control

• Data loss prevention

• Data and user monitoring andpolicy enforcement

• Encryption functions

• UEBA: User and entity behavioranalytics (machine learning)

• Comprehensive IaaS support

CSPM

(Cloud Security Posture Mgmt)

(since 2018)

• Compliance assessments, e.g.:• PCI-DSS• HIPAA• CIS Level 1 and 2 Benchmarks• NIST Cybersecurity Framework• Etc.

• Operational monitoring

• DevOps integration

• Incident response

• Risk identification

• Risk visualization

CWPP

(Cloud Workload Protection Platform)

(since 2015)• Workload configuration, system

hardening and vulnerabilitymanagement

• Network segmentation, fire-walling and traffic visibility

• System integrity measurement,attestation and monitoring

• Application control/whitelisting

• Supplemental memory andexploit protection

9/24/2019

34


CASB Introduction: CASB – CWPP – CSPM

CASB

(Cloud Access Security Broker)

FULLY COVERED by the McAfee

MVISION Cloud product portfolio

(see the McAfee MVISION Cloud

solutions portfolio overview slide

further below; = ex-Skyhigh)

CSPM

(Cloud Security Posture Mgmt)

Largely covered already by the

McAfee MVISION Cloud product

portfolio and the McAfee CWS

solutions (e.g. PCI DSS, HIPAA, CIS

Benchmark levels 1 and 2, EU

specific policies; operational

monitoring, Cloud SOC / incident

response, etc.)

CWPP

(Cloud Workload Protection Platform)

FULLY COVERED by McAfee CWS

(Cloud Workload Security)

(a separate McAfee solution, NOT

an ex-Skyhigh product)

9/24/2019

35


McAfee CWS & MVISION Cloud features comparison chart

9/24/2019

36


Vorteile (Benefits) unserer Lösung MVISION Cloud for Shadow-IT

1. Umfassende Sichtbarkeit der CloudnutzungDer KUNDE bekommt eine bisher nie dagewesene Sichtbarkeit der Cloudnutzung im Unternehmen bzgl. Namen und Anzahl der Cloud-Dienste, Benutzer pro Cloud-Dienst, Upload-Volumen, etc.

2. Umfassende Analysemöglichkeiten der CloudnutzungNeben der umfassenden Sichtbarkeit bietet MVISION Cloud for Shadow-IT auch umfassende Analysemöglichkeiten der Cloud-Nutzung, wie z.B.:• Cloud-Nutzung nach Kategorie, Benutzer, Risikoeinstufung• Verwendete URLs und IP-Adressen per Cloud-Dienst (unterteilt nach allowed / denied traffic)• Top 5 Users / Top 5 Departments / Top 5 Countries• Graphische Ansichten über Langzeittrends• Es ist möglich, hier AD-Attribute mit zu verwenden (OU, User Group, Site, Country, etc.)Alle diese Informationen sind eine hervorragende Informationsquelle und Faktenbasis, um den Cloud-Wildwuchs im Unternehmen durch die folgenden gängigsten Maßnahmen unter Kontrolle zu bringen: Standardisierung (Einführung / Etablierung einiger SaaS- und/oder IaaS-Dienste als Unternehmensstandard) Whitelisting der Cloud- Unternehmensstandards Blockierung (z.B. von Hochrisiko-Diensten oder GDPR-Hochrisiko-CSPs) zur Risikominimierung für das Unternehmen Tolerierung von restlichen Cloud-Diensten (anstatt Mikro-Management)

9/24/2019

37



3. Umfassende Darstellungs- und Reporting-Möglichkeiten der CloudnutzungMVISION Cloud for Shadow-IT bietet sowohl ein an die eigenen Vorlieben anpassbares Dashboard, als auch umfassende Reporting-Möglichkeiten (als PDF, XLS oder csv; sowie ad-hoc, täglich, wöchentlich oder monatlich) an beliebig konfigurierbare Empfänger direkt aus nahezu allen Dashboard-Ansichten.

4. Vollzugriff auf unsere marktführende Cloud-RegistryDurch den Vollzugriff auf unsere marktführende Cloud-Registry bekommt KUNDE in Sekundenschnelle eine umfassende Risikobewertung aller gängigen Cloud-Dienste im Business- und Consumer-Bereich auf Grund unserer ca. 50 Haupt-Risikoattribute (aufgeteilt in 6 Risikobereiche) und ca. 260 Subattribute. Mit ca. 27.000 Cloud-Diensten – unterteilt in 33 Hauptkategorien und 195 Unterkategorien – gehört diese Datenbank an Cloud-Diensten zu den mächtigsten und umfangreichsten CSP-Übersichten die es heute auf dem Markt gibt.

5. Vergleichsmöglichkeiten unter Cloud-DienstenBis zu 4 Cloud-Dienste können nebeneinander dargestellt (und auch exportiert) werden, um für ähnliche Cloud-Dienste eine bessere und direkte Vergleichbarkeit aus Risikosicht zu bieten.

9/24/2019

38



6. Einfache aber effiziente Möglichkeit der RisikominimierungÜber die sogenannte Closed Loop Remediation (CLR) kann die Risikoexposition von KUNDE dramatisch reduziert werden, indem z.B. die Hochrisikodienste (analog zu den „Schweinekategorien“ beim Web Proxy) oder andere ungewollte Cloud-Dienste (je nach Proxy) voll- oder halbautomatisch (mit Benachrichtigung) über den bestehenden Proxy blockiert werden, um solche CSPs von der Nutzung auszuschließen, die z.B. per AGB das Recht an den hochgeladenen Unternehmensdaten beanspruchen und diese weiter verwerten. Hierdurch wird mit wenig Aufwand sehr viel Risikominimierung erreicht.

7. Zusätzlicher Schutz vor weiteren Bedrohungen durch ML / KI / UEBAUnser Machine Learning (ML, KI, oder UEBA) war nicht im Fokus des Schatten-IT Audits, weil es etwa 2-4 Wochen nur im Lernmodus ist (= die Zeit des Audits), um typisches Benutzerverhalten zu lernen und daraufhin dann sogenannte „Thresholds“ zu erstellen. Damit werden dann danach Anomalien erkannt, wie z.B. Datenexfiltration per Twitter oder Youtube durch bisher unentdeckte Schadsoftware, exzessive Uploads oder Downloads, etc.

9/24/2019

39



8. Zusätzlicher Schutz durch umfassende weitere PrüfungenStandardmäßig nimmt MVISION Cloud for Shadow-IT weitere umfassende Prüfungen vor, um KUNDE auf mögliche Gefahren und Risiken hinzuweisen, wie z.B.:• alle genutzten Amazon AWS S3 Buckets werden auf Fehlkonfiguration überprüft und ggf. separat aufgelistet, falls

diese öffentlich beschreibbar oder sogar ACL-modifizierbar sind• Unter „Unmatched Uploads“ werden alle Uploads angezeigt, die an URLs oder IP-Adressen gingen, welche wir bisher

keinem Cloud-Dienst zuordnen können (z.B. private Cloud-Speicher, oder USB-Sticks hinter der Fritz-Box zuhause)

9. Instrument zur GDPR ComplianceMit MVISION Cloud for Shadow-IT bekommt KUNDE auch ein Instrument für die GDPR Compliance an die Hand, nicht nur weil es für jeden einzelnen der 27.000 CSPs eine separate GDPR-Risikoeinstufung gibt, sondern auch weil auch zahlreiche Filter-, Sortier- und Blockierungsmöglichkeiten nach GDPR-Kriterien möglich sind.Dies ist gut 1 Jahr nach Inkrafttreten von GDPR (29.5.2018) umso relevanter, da gerade erst kürzlich (Monat Juli 2019) einige Unternehmen mit saftigen Millionen-Geldbußen wegen GDPR-Verstößen zu Rechenschaft gezogen wurden:• Beispiel British Airways: 183m Britische Pfund

(https://www.theguardian.com/business/2019/jul/08/ba-fine-customer-data-breach-britishairways)• Beispiel Marriott: 99m Britische Pfund

(https://www.theguardian.com/business/2019/jul/09/marriott-fined-over-gdpr-breach-ico)

9/24/2019

40



10. Vollständige DatenschutzkonformitätDurch die Möglichkeit der vollständigen Anonymisierung von Benutzernamen und internen IP-Adressen bietet MVISION Cloud for Shadow-IT für KUNDE eine 100%ige Datenschutzkonformität, bei gleichzeitiger Option, im Bedarfsfall über ein 4-Augen-Prinzip diese Anonymisierung im Einzelfall bei einem schwerwiegenden Vorkommnis rückgängig zu machen.

11. Cloud Application Control (CAC, oder: Advanced Shadow-IT)CAC ist eine zusätzliche (kostenpflichtige) Option für erweiterte Prüfmöglichkeiten. Da MVISION Cloud for Shadow-IT standardmäßig out-of-Band sitzt und NICHT in den Datenstrom (in-line) integriert wird, beschränkt sich die Analyse auf eine umfassende Auswertung bestehender Proxy-Logs. Mit CAC gibt es daher zwei zusätzliche Optionen:• Activity controls on Shadow apps (control Uploads, Downloads, and Post on selected apps)• Tenant restrictions on sanctioned apps (allow access to corporate tenant while blocking access to personal tenants of

a sanctioned apps)

12. Aktive Steuerung des weiter anwachsenden Cloud-MegatrendsLast but not least bietet MVISION Cloud for Shadow-IT jedem Unternehmen (mit den oben aufgelisteten Punkten) die Möglichkeit und ein Werkzeug zur aktiven Steuerung und Gestaltung des Megatrends Cloud im Unternehmen, anstatt lediglich einem passivem „Hinterherhinken“ und nur einem reaktiven, punktuellen Handeln, durch das ein Teil der IT (nämlich der Cloud-Teil) immer mehr der IT-Abteilung entglitten ist und sie in vielen Unternehmen die Kontrolle darüber verliert.

McAfee MVISION Cloud Beispielhafte Ergebnisse eines ... - SPP

Documents

Transcript of McAfee MVISION Cloud Beispielhafte Ergebnisse eines ... - SPP