Anfang eines iry.w-Traktats des wti-Umwicklers - Thanatologie
McAfee MVISION Cloud Beispielhafte Ergebnisse eines ... - SPP
-
Upload
khangminh22 -
Category
Documents
-
view
0 -
download
0
Transcript of McAfee MVISION Cloud Beispielhafte Ergebnisse eines ... - SPP
9/24/2019
1
McAfee MVISION Cloud
Beispielhafte Ergebnisse eines Schatten-IT PoC‘s
Harald Schilling | Sales Engineer D-A-CH
9/24/2019
2
2McAFEE CONFIDENTIAL
Agenda
• McAfee MVISION Cloud – An Introduction 3-8
• McAfee MVISION Cloud for Shadow-IT – Exemplary POC results 9-25
• McAfee MVISION Cloud for Shadow-IT – The Architecture 26-28
• Our Offer: Cloud Visibility and Action – How a Shadow-IT POC Works 29-30
9/24/2019
3
3McAFEE CONFIDENTIAL
“Cloud access security brokers have become an essential element of any cloud security strategy, helping organizations govern the use of cloud and protect sensitive data in the cloud. Security and risk management leaders
should align CASB vendors to address specific use-case requirements”
"Security leaders should deploy CASB for the centralized control of multiple services that would otherwise require individual management.”
9/24/2019
5
5McAFEE CONFIDENTIAL
Analyst Favorite: McAfee MVISION Cloud is an acknowledged CASB Leader
February 2019 October 2018 October 2017
9/24/2019
6
6McAFEE CONFIDENTIAL
Customer Satisfaction: MVISION Cloud is the chosen “Gartner Peer Insights” Solution
9/24/2019
7
7McAFEE CONFIDENTIAL
IT Security Favorite: Recent McAfee MVISION Cloud Awards
October 2018 February 2019
Most Innovative Cybersecurity Company Gold Winner (5,000
to 9,999 employees) and Cloud Security Silver Winner
February 2019
IT-SA Nürnberg, Category: Cloud Security
March 2019
9/24/2019
8
8McAFEE CONFIDENTIAL
McAfee MVISION Cloud Product Portfolio
McAfee MVISION Cloud for Shadow IT
McAfee MVISION Cloud for Salesforce
McAfee MVISION Cloud for O365
McAfee MVISION Cloud for Box
McAfee MVISION Cloud for ServiceNow
McAfee MVISION Cloud for Google Drive
McAfee MVISION Cloud for Custom Apps
McAfee MVISION Cloud for Shadow-IT
McAfee MVISION Cloud for Sanctioned SaaSMcAfee MVISION Cloud
for IaaS/PaaS
McAfee MVISION Cloud for Slack
…
McAfee MVISION Cloud for AWS
McAfee MVISION Cloud for Azure
McAfeeCASB Connect
McAfee MVISION Cloudfor Google Cloud Platform
McAfee MVISION Cloud for MS Teams
McAfee MVISION Cloud for Cisco Webex Teams
9/24/2019
10
10McAFEE CONFIDENTIAL
PROOF OF CONCEPT PARAMETERS
DEVICES: MWG web proxy log files
LOCATIONS: COMPANY hq egress point
TIMEFRAME: 27.07. – 28.08.2019 (5 weeks)
NETWORK SEGMENTS: N/A
TOTAL CLOUD SERVICES1.645
HIGH RISK SERVICES
51
TOTAL DATA TO HIGH RISK SERVICES
257,1 MB
• 38 cloud storage services in use, 6 of them high risk
• 50 high risk services completely allowed, 0 partiallyallowed (inconsistent egress policies), 1 compl. denied
• 57 GDPR high risk cloud services in use
• 131 cloud services used with known vulnerability in use
• 1 AWS S3 buckets with open permissions found
SELECTED HIGHLIGHTS IN BRIEF
Executive Summary
USERS OF HIGH RISK SERVICES
72
9/24/2019
11
11McAFEE CONFIDENTIAL
PROOF OF CONCEPT PARAMETERS
DEVICES: Symantec (Blue Coat) proxy logs
LOCATIONS: COMPANY hq egress point
TIMEFRAME: 08.02. – 18.03.2019 (5 weeks)
NETWORK SEGMENTS: N/A (http/https tags)
TOTAL CLOUD SERVICES5582
5573 http / 4719 https
HIGH RISK SERVICES
205205 http / 148 https
TOTAL DATA TO HIGH RISK SERVICES
9.9 GB
• 109 cloud storage services in use, 18 of them high risk
• 192 high risk services completely allowed, 12 partiallyallowed (inconsistent egress policies), 0 compl. denied
• 313 GDPR high risk cloud services in use
• 431 cloud services used with known vulnerability in use
• 24 AWS S3 buckets with open permissions found
SELECTED HIGHLIGHTS IN BRIEF
Executive Summary
USERS OF HIGH RISK SERVICES
286
9/24/2019
17
17McAFEE CONFIDENTIAL
• McAfee integrates with your existing proxies and firewalls to block high risk services
• 31 high risk services in use with file sharing support
Block High Risk Collaboration Services
9/24/2019
23
23McAFEE CONFIDENTIAL
McAfee MVISION Cloud for Shadow IT – Identification of Uploads to Non-CSPs
• Identify anomalous data uploads to non-public cloud services (private storage / own-clouds)• 4 users sending 2 GB and 1.1 GB of data to privately used storage systems
9/24/2019
24
24McAFEE CONFIDENTIAL
• Identify redundant services and opportunities to standardize & consolidate
• 91 CRM services in use – some of them with very low user numbers
Consolidate Services and Licenses – CRM Services
9/24/2019
27
27McAFEE CONFIDENTIAL
McAfee MVISION Cloud for Shadow IT
SIEM
McAfee MVISION Cloud Connector (on premise)
Firewall
Proxy
Proxy logs
AD
Anomaly detection
McAfee MVISION Cloud backed by a Hadoop cluster
Visibility into enterprise cloud usage
VM
Closed loop remediation
Cloud registry – 27k+ services Deployment – no agents, no changes on-premise Data privacy / data protection Active Directory integration Tagging Behavioural Analytics Scalability – 28+m users , 700+ customers
Tokenized log data uploaded to the
McAfee MVISION cloud
SSL Termination
Cloud
On-Premise
9/24/2019
28
28McAFEE CONFIDENTIAL
Displayed educational messages upon access-attempts to high-risk services and prevented upload/download via existing infrastructure
On premise MVISIONCloud Connector
collected raw logs
Tokenization of usernames & internal IP addresses (SHA 256) McAfee MVISION Cloud
Customer infrastructure – on premise
SSL TransferPort 443
ProxiesFirewalls
SIEMs
MVISION Cloud Connector – best in class data privacy
On premise (log source) McAfee MVISION Cloud log procession
=>
9/24/2019
30
30McAFEE CONFIDENTIAL
McAfee Skyhigh for Shadow IT – Shadow PoC Timeline
Step 1: Preparation
Shadow-IT PoC preparation call (~ 1h) about technical details, data privacy and customer cooperation.• Fixing a date for the MVISION Cloud Connector (MCC) remote installation via Webex• Fixing a date for the Shadow-IT PoC Findings Presentation on-site at the customer• Providing a log file sample for quality validation, field order etc. (customer to do)• Preparing a VM with the minimum specifications for remote installation (customer to do)
Step 2: Execution
• Shadow-IT PoC start date: remote installation of the MCC via Webex (~ 1h)• Shadow-IT PoC end date (~ 4 weeks / 1 month after Shadow-IT PoC start date)
Step 3: PoC Findings Presentation
Final Shadow-IT PoC findings presentation on-site at the customer (~ 2h) about one week after Shadow-IT Audit enddate.
9/24/2019
31
Thank you!
Harald Schilling, Sales Engineer [email protected]
+49 170 7885045
Questions?
9/24/2019
32
McAfee, the McAfee logo and Skyhigh Networks are trademarks or registered trademarks of McAfee, LLC or its subsidiaries in the U.S. and/or other countries.Other names and brands may be claimed as the property of others. Copyright © 2018 McAfee, LLC.
9/24/2019
33
33McAFEE CONFIDENTIAL
CASB Introduction: CASB – CWPP – CSPM
CASB
(Cloud Access Security Broker)
(since 2012)• Application discovery
• Application risk and complianceassessment
• Adaptive access control
• Data loss prevention
• Data and user monitoring andpolicy enforcement
• Encryption functions
• UEBA: User and entity behavioranalytics (machine learning)
• Comprehensive IaaS support
CSPM
(Cloud Security Posture Mgmt)
(since 2018)
• Compliance assessments, e.g.:• PCI-DSS• HIPAA• CIS Level 1 and 2 Benchmarks• NIST Cybersecurity Framework• Etc.
• Operational monitoring
• DevOps integration
• Incident response
• Risk identification
• Risk visualization
CWPP
(Cloud Workload Protection Platform)
(since 2015)• Workload configuration, system
hardening and vulnerabilitymanagement
• Network segmentation, fire-walling and traffic visibility
• System integrity measurement,attestation and monitoring
• Application control/whitelisting
• Supplemental memory andexploit protection
9/24/2019
34
34McAFEE CONFIDENTIAL
CASB Introduction: CASB – CWPP – CSPM
CASB
(Cloud Access Security Broker)
FULLY COVERED by the McAfee
MVISION Cloud product portfolio
(see the McAfee MVISION Cloud
solutions portfolio overview slide
further below; = ex-Skyhigh)
CSPM
(Cloud Security Posture Mgmt)
Largely covered already by the
McAfee MVISION Cloud product
portfolio and the McAfee CWS
solutions (e.g. PCI DSS, HIPAA, CIS
Benchmark levels 1 and 2, EU
specific policies; operational
monitoring, Cloud SOC / incident
response, etc.)
CWPP
(Cloud Workload Protection Platform)
FULLY COVERED by McAfee CWS
(Cloud Workload Security)
(a separate McAfee solution, NOT
an ex-Skyhigh product)
9/24/2019
36
36McAFEE CONFIDENTIAL
Vorteile (Benefits) unserer Lösung MVISION Cloud for Shadow-IT
1. Umfassende Sichtbarkeit der CloudnutzungDer KUNDE bekommt eine bisher nie dagewesene Sichtbarkeit der Cloudnutzung im Unternehmen bzgl. Namen und Anzahl der Cloud-Dienste, Benutzer pro Cloud-Dienst, Upload-Volumen, etc.
2. Umfassende Analysemöglichkeiten der CloudnutzungNeben der umfassenden Sichtbarkeit bietet MVISION Cloud for Shadow-IT auch umfassende Analysemöglichkeiten der Cloud-Nutzung, wie z.B.:• Cloud-Nutzung nach Kategorie, Benutzer, Risikoeinstufung• Verwendete URLs und IP-Adressen per Cloud-Dienst (unterteilt nach allowed / denied traffic)• Top 5 Users / Top 5 Departments / Top 5 Countries• Graphische Ansichten über Langzeittrends• Es ist möglich, hier AD-Attribute mit zu verwenden (OU, User Group, Site, Country, etc.)Alle diese Informationen sind eine hervorragende Informationsquelle und Faktenbasis, um den Cloud-Wildwuchs im Unternehmen durch die folgenden gängigsten Maßnahmen unter Kontrolle zu bringen: Standardisierung (Einführung / Etablierung einiger SaaS- und/oder IaaS-Dienste als Unternehmensstandard) Whitelisting der Cloud- Unternehmensstandards Blockierung (z.B. von Hochrisiko-Diensten oder GDPR-Hochrisiko-CSPs) zur Risikominimierung für das Unternehmen Tolerierung von restlichen Cloud-Diensten (anstatt Mikro-Management)
9/24/2019
37
37McAFEE CONFIDENTIAL
Vorteile (Benefits) unserer Lösung MVISION Cloud for Shadow-IT
3. Umfassende Darstellungs- und Reporting-Möglichkeiten der CloudnutzungMVISION Cloud for Shadow-IT bietet sowohl ein an die eigenen Vorlieben anpassbares Dashboard, als auch umfassende Reporting-Möglichkeiten (als PDF, XLS oder csv; sowie ad-hoc, täglich, wöchentlich oder monatlich) an beliebig konfigurierbare Empfänger direkt aus nahezu allen Dashboard-Ansichten.
4. Vollzugriff auf unsere marktführende Cloud-RegistryDurch den Vollzugriff auf unsere marktführende Cloud-Registry bekommt KUNDE in Sekundenschnelle eine umfassende Risikobewertung aller gängigen Cloud-Dienste im Business- und Consumer-Bereich auf Grund unserer ca. 50 Haupt-Risikoattribute (aufgeteilt in 6 Risikobereiche) und ca. 260 Subattribute. Mit ca. 27.000 Cloud-Diensten – unterteilt in 33 Hauptkategorien und 195 Unterkategorien – gehört diese Datenbank an Cloud-Diensten zu den mächtigsten und umfangreichsten CSP-Übersichten die es heute auf dem Markt gibt.
5. Vergleichsmöglichkeiten unter Cloud-DienstenBis zu 4 Cloud-Dienste können nebeneinander dargestellt (und auch exportiert) werden, um für ähnliche Cloud-Dienste eine bessere und direkte Vergleichbarkeit aus Risikosicht zu bieten.
9/24/2019
38
38McAFEE CONFIDENTIAL
Vorteile (Benefits) unserer Lösung MVISION Cloud for Shadow-IT
6. Einfache aber effiziente Möglichkeit der RisikominimierungÜber die sogenannte Closed Loop Remediation (CLR) kann die Risikoexposition von KUNDE dramatisch reduziert werden, indem z.B. die Hochrisikodienste (analog zu den „Schweinekategorien“ beim Web Proxy) oder andere ungewollte Cloud-Dienste (je nach Proxy) voll- oder halbautomatisch (mit Benachrichtigung) über den bestehenden Proxy blockiert werden, um solche CSPs von der Nutzung auszuschließen, die z.B. per AGB das Recht an den hochgeladenen Unternehmensdaten beanspruchen und diese weiter verwerten. Hierdurch wird mit wenig Aufwand sehr viel Risikominimierung erreicht.
7. Zusätzlicher Schutz vor weiteren Bedrohungen durch ML / KI / UEBAUnser Machine Learning (ML, KI, oder UEBA) war nicht im Fokus des Schatten-IT Audits, weil es etwa 2-4 Wochen nur im Lernmodus ist (= die Zeit des Audits), um typisches Benutzerverhalten zu lernen und daraufhin dann sogenannte „Thresholds“ zu erstellen. Damit werden dann danach Anomalien erkannt, wie z.B. Datenexfiltration per Twitter oder Youtube durch bisher unentdeckte Schadsoftware, exzessive Uploads oder Downloads, etc.
9/24/2019
39
39McAFEE CONFIDENTIAL
Vorteile (Benefits) unserer Lösung MVISION Cloud for Shadow-IT
8. Zusätzlicher Schutz durch umfassende weitere PrüfungenStandardmäßig nimmt MVISION Cloud for Shadow-IT weitere umfassende Prüfungen vor, um KUNDE auf mögliche Gefahren und Risiken hinzuweisen, wie z.B.:• alle genutzten Amazon AWS S3 Buckets werden auf Fehlkonfiguration überprüft und ggf. separat aufgelistet, falls
diese öffentlich beschreibbar oder sogar ACL-modifizierbar sind• Unter „Unmatched Uploads“ werden alle Uploads angezeigt, die an URLs oder IP-Adressen gingen, welche wir bisher
keinem Cloud-Dienst zuordnen können (z.B. private Cloud-Speicher, oder USB-Sticks hinter der Fritz-Box zuhause)
9. Instrument zur GDPR ComplianceMit MVISION Cloud for Shadow-IT bekommt KUNDE auch ein Instrument für die GDPR Compliance an die Hand, nicht nur weil es für jeden einzelnen der 27.000 CSPs eine separate GDPR-Risikoeinstufung gibt, sondern auch weil auch zahlreiche Filter-, Sortier- und Blockierungsmöglichkeiten nach GDPR-Kriterien möglich sind.Dies ist gut 1 Jahr nach Inkrafttreten von GDPR (29.5.2018) umso relevanter, da gerade erst kürzlich (Monat Juli 2019) einige Unternehmen mit saftigen Millionen-Geldbußen wegen GDPR-Verstößen zu Rechenschaft gezogen wurden:• Beispiel British Airways: 183m Britische Pfund
(https://www.theguardian.com/business/2019/jul/08/ba-fine-customer-data-breach-britishairways)• Beispiel Marriott: 99m Britische Pfund
(https://www.theguardian.com/business/2019/jul/09/marriott-fined-over-gdpr-breach-ico)
9/24/2019
40
40McAFEE CONFIDENTIAL
Vorteile (Benefits) unserer Lösung MVISION Cloud for Shadow-IT
10. Vollständige DatenschutzkonformitätDurch die Möglichkeit der vollständigen Anonymisierung von Benutzernamen und internen IP-Adressen bietet MVISION Cloud for Shadow-IT für KUNDE eine 100%ige Datenschutzkonformität, bei gleichzeitiger Option, im Bedarfsfall über ein 4-Augen-Prinzip diese Anonymisierung im Einzelfall bei einem schwerwiegenden Vorkommnis rückgängig zu machen.
11. Cloud Application Control (CAC, oder: Advanced Shadow-IT)CAC ist eine zusätzliche (kostenpflichtige) Option für erweiterte Prüfmöglichkeiten. Da MVISION Cloud for Shadow-IT standardmäßig out-of-Band sitzt und NICHT in den Datenstrom (in-line) integriert wird, beschränkt sich die Analyse auf eine umfassende Auswertung bestehender Proxy-Logs. Mit CAC gibt es daher zwei zusätzliche Optionen:• Activity controls on Shadow apps (control Uploads, Downloads, and Post on selected apps)• Tenant restrictions on sanctioned apps (allow access to corporate tenant while blocking access to personal tenants of
a sanctioned apps)
12. Aktive Steuerung des weiter anwachsenden Cloud-MegatrendsLast but not least bietet MVISION Cloud for Shadow-IT jedem Unternehmen (mit den oben aufgelisteten Punkten) die Möglichkeit und ein Werkzeug zur aktiven Steuerung und Gestaltung des Megatrends Cloud im Unternehmen, anstatt lediglich einem passivem „Hinterherhinken“ und nur einem reaktiven, punktuellen Handeln, durch das ein Teil der IT (nämlich der Cloud-Teil) immer mehr der IT-Abteilung entglitten ist und sie in vielen Unternehmen die Kontrolle darüber verliert.