Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP

Wielkość: px

Rozpocząć pokaz od strony:

Download "Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP"

Krystian Wojciech Podgórski
6 lat temu
Przeglądów:

1 Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP

2 Agenda O firmie Akamai Co to jest credential abuse? Techniki i sposoby zapobiegania, historie z pierwszej linii frontu Podsumowanie

3 Jesteśmy wiodącym dostawcą usług Content Delivery Network (CDN). Dostarczamy, optymalizujemy i zabezpieczamy treści dostępne online i aplikacje biznesowe DANE STATYSTYCZNE: $2.2B Dochódu 6,000+ Pracowników 6,000+ Klientów NASZA HISTORIA: Rok założenia 1998, firma zakorzeniona w MIT Rozwiązujemy problem przeciążenia Internetu za pomocą matematyki, nie Hardware u.

4 Ufa nam: 7 z 10 największych banków na świecie Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection. 27 z 30 największych banków w Stanach Zjednoczonych Ponad 150 banków na całym świecie

Inteligentna Platforma Akamai (HTTP+HTTPS+DNS) 230,000+ Serwerów 1600+ Sieciach 130+ Państw na 7 Kontynentach Do 30% całego ruchu webowego Talent 5 SoC ów 180 Inżynierów 350 Inżynierów Bezpieczeństwa

5 Inteligentna Platforma Akamai (HTTP+HTTPS+DNS) 230,000+ Serwerów Sieciach 130+ Państw na 7 Kontynentach Do 30% całego ruchu webowego Talent 5 SoC ów 180 Inżynierów 350 Inżynierów Bezpieczeństwa Zespól R&D Zespól CERT 46 Tbps ruchu Grow revenue opportunities with Analiza fast, personalized Danych web experiences and manage 2 biliony complexity hitów from dziennie peak demand, mobile devices Dziesiątki and data milionów collection. unikatowych adresów IP dziennie logów na sekundę 2 PB danych z ostatnich 45 dni Centra Scrubbingowe (wszystkie protokoły) 7 Centr 4 Kontynenty 3.6 Tbps dedykowanej pojemności na ataki DDoS

6 Co to jest credential abuse

7 Według Naszego Zespołu Threat Research 30% wszystkich transakcji logowania to "credential abuse

8 Zaawansowanie i determinacja: Atakujący kontra Broniący Imitowanie Zachowania Człowieka (np: Klawiatura i ruch myszką) Pełna Przeglądarka Headless (np: Selenium) Silniki uruchamiające Javascript (np. PhantomJS) Skrypty (np. Curl) Analiza Zachowania Klienta Fingerprinting Przeglądarek Wykrywanie Anomalii w Zapytaniach HTTP (Request Anomalies) Ograniczanie ilosci zapytan klienta (Rate Limiting) Blokowanie adresów IP (IP Blacklist & Whitelist) Atakujący Broniący

9 Statystyka Analiza Big Data Cloud Security Intelligence: 167 kampanii credential abuse (na przestrzeni miesiąca) adresów IP (średnia na dzień) ~25% wszystkich adresów IP było jednorazowych ~70% wszystkich adresów IP uczestniczyło w kampanii 1 dzień Login API jest 3.7x częściej atakowany niż login webowy

10 Dlaczego walka z Credential Abuse jest trudna? Atakujący obchodzą obecne zabezpieczenia: Powolny Atak 25% botów jest wykorzystywanych tylko raz Zmasowany Atak Miliony zapytań Działa na warstwie aplikacyjnej, nie do rozpoznania na niższych warstwach Informacje przesyłane są tajne Nazwy użytkowników i hasła Informacje przysłane są zaszyfrowane Login API jest 3.7x częściej atakowany niż login webowy

11 Perspektywa jednej aplikacji - kampania credential abuse Próby Logowania 18,000 16,000 14,000 12,000 10,000 8,000 6,000 4,000 2,000 12,936 członków botnet u 123,909 unikalnych kont sprawdzonych 167,039 prób logowania 16,359 prób logowania Czas [h]

12 Perspektywa jednej aplikacji - jaką cześć wykryjemy % wykryty Czas [min]

13 1400 Perspektywa jednej aplikacji - Ilość prób logowania wciągu 24h IP adresów addresses IP dokonano made only jednej 1 login próby attempt logowania over the w 24-hour godziny period 43% adresów IP zarejestrowaliśmy 5 lub mnie prób logowana w 24 godziny 76% adresów IP zarejestrowaliśmy mniej niż 12 prób logowania w 24 godziny

14 Perspektywa globalna Ilość prób logowania wciągu 24h adresów IP dokonano tylko jednej próby logowania (3x mniej niż lokalnie) 76% adresów IP dokonało 123 prób logowania lub mniej (10x więcej niż lokalnie)

15 Perspektywa globalna - jaką cześć wykryjemy % wykryty Czas [min]

16 Perspektywa Globalna kampania credential abuse Próby Logowania ,000 16, , ,000 10, , ,000 12,936 członków botnet u 123,909 unikalnych kont sprawdzonych 167,039 prób logowania 16,359 prób logowania 204,398 Prób logowania 4, ,000 16,359 Prób login logowania attempts Czas [h]

17 Podsumowanie Jak wielkim problemem jest credential abuse dla instytucji/firmy? Ile instytucja/firma chce/może zainwestować w przeciwdziałanie zjawisku? Strategie broniących I atakujących będą ewoluować z biegiem czasu.

18 Pytania?? Więcej Informacji: Bartlomiej Jakubowski Solutions Engineer II

19 Dziękujemy! Zapraszamy do naszego stoiska

Podobne dokumenty

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Bezpieczeństwo szyte na miarę, czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems Czy jestem atakowany? Charakterystyka ataku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?cmp=dmc-smb_z_zz_zz_z_tv_n_z038