Wektory ataków vs. systemy zabezpieczeń. Sebastian Krystyniecki Systems Engineer Poland Ukraine Belarus. April 4, 2014

Transkrypt

1 Wektory ataków vs. systemy zabezpieczeń Sebastian Krystyniecki Systems Engineer Poland Ukraine Belarus 1 April 4, 2014

2 2 Zagadka

3 3 Wskazówka - 19 stycznia 1986

4 4 Brain.A

5 5 Wirusy początki

6 6

7 cert.gov.pl 7

8 cert.gov.pl Ilość generowanych połączeń Unikalne adresy IP 8

9 9 cert.gov.pl

10 Przykład: Blended Threat W32/Pushdo!tr Multiple Attack Vectors» (spam) ze złośliwym załącznikiem» Zawiera aplikację pobierającą trojan» Pobierany jest również rootkit, którego celem jest zamaskowanie aktywności» Pobierane są dodatkowe komponenty» Trojan jest centralnie zarządzany 10

11 W32/Pushdo!tr - Antyspam OCHRONA: Antyspam rozpoznaje podejrzaną przesyłkę Jest ona blokowana przed dotarciem do skrzynki odbiorcy 11

12 W32/Pushdo!tr - Antywirus OCHRONA: Centralny system antywirusowy wykrywa złośliwe oprogramowanie» Trojan» Rootkit maskujący» Pozostałe komponenty Pliki te zostają usunięte, co zapobiega ich wykonaniu 12

13 W32/Pushdo!tr Intrusion Prevention OCHRONA: IPS wykrywa komunikację pomiędzy trojanem a konsolą zarządzającą Dodatkowo blokuje transmisję produkcyjną zainfekowanej stacji roboczej 13

14 Przykład 2: Zeus/Kneber, przeciwdziałanie Wysyłka maila zawiera on link do spreparowanej uprzednio strony Mail klasyfikowany jest jako spam (phishing) ANTYSPAM Użytkownik odwiedza spreparowaną stronę i podaje swoje dane logowania Dostęp do stron zaklasyfikowanych do kategorii phishing jest zabroniony WEB FILTER Zainfekowana strona informuje użytkownika, że może on pobrać aktualizację bezpieczeństwa System anytwirusowy jest w stanie zablokować tego typu akcję (pobieranie zainfekowanego pliku) ANTYWIRUS Komputer użytkownika, na którym zainstalowano aktualizację jest zainfekowany i przyłączony do botnetu IPS Zablokowana zostaje komunikacja z systemem zarządzania botnetem Administrator zostaje powiadomiony o incydencie 14

15 Przykład 3: zapobieganie SQL injection Automatyczny skaner podatności znajduje lukę typu SQL injection Wykrywanie skanowania zasobów/ataków typu brute force. WEB APP SCAN Atakujący zapoznaje się z techonologią wykonania aplikacji www i ze strukturą bazy danych Blokowany jest wyciek informacji. DLP Podejmowane są próby testowych i rzeczywistych ataków SQL injection Ataki zostają wykryte i zablokowane. Administrator informowany jest o incydentach. FortiWeb Web Application Firewall Aktywność atakującego ginie w natłoku ruchu i aktywności produkcyjnych Monitorowana jest aktywność bazy danych, tworzone są profile aktywności użytkowników. Administrator jest informowany o wszelkich odchyleniach od normy. FortiDB - VA/DAM 15

16 Ewolucja zagrożeń Virus, Spyware, Adware, Trojan, Worm Web 2.0 Inappropriate Content Identity Theft Spam, Phishing Pharming Peer to Peer Application and System Vulnerabilities Mobile Devices and Crossover Connection Based Attacks Layer 2/3/4 Denial of Service Attacks Botnets 16

17 Advanced Persistent Threats Multi-layer defense Cut the link anywhere in the chain Antivirus is the core Not the silver bullet though UTM is the answer Extensive botnet research Communication channel Even fight internal threats 17

18 18

19 SCADA - Supervisory Control And Data Acquisition 19

20 20

21 21

22 Stuxnet PLC/SCADA USB 4 zero-day vulerablitites czerwiec/lipiec 2010 (pierwsze kompilacje 2009) kontrola portów USB wersja Windows status aktualizacji oprogramowanie antywirusowe 5 różnych podatności ograniczenie praw administracyjnych A co po infekcji? nic... chyba, że inne klucze USB zostaną użyte ewentualnie printer spooler vulnerability w sieci lokalnej aby infekować inne stacje robocze 22

23 23 Siemens step 7 programming environment

24 24

25 25

26 26

27 Performance / Damage Security ADVANCED TARGETED ATTACKS MALICIOUS APPS MALICIOUS SITES SPAM BOTNETS ADVANCED THREAT PROTECTION APPLICATION CONTROL WEB FILTER TROJANS BANNED CONTENT VIRUSES & SPYWARE INTRUSIONS Layer 5-7: & WORMS CONTENT & APPLICATION Layer 3-4: CONNECTION ANTI-SPAM ANTIVIRUS IPS VPN FIREWALL HARDWARE THEFT Layer 1-2: PHYSICAL LOCK & KEY 1980s 1990s 2000s 2010s Today Method 27

28 Fortinet - Services, Licenses & Subscriptions FortiGuard AV Subscription Botnet IP reputation DB FortiGuard Analytics Service Proxy & Flow based AV signatures FortiGuard Web Filter Subscription FortiGuard Analytics Service Proxy & Flow based WF categorization FortiGuard IPS Subscription IPS Signature Updates Application Control Signature Updates FortiGuard Anti-spam Subscription Anti-spam Services 28

29 The Value of FortiGuard Flow vs. Proxy AV Security & Performance Trade-Offs Flow is path of least resistance Quick checks Only allowing uniformed officers in building What about those in disguise? Deep inspection (Proxy) Thorough checks Catches those in disguise The ASIC Advantage 29

30 Does my IPS protects clients and servers? 1 2 Normal HTTP activities is allowed Threat successfully infiltrated, as inspection is not carried out In typical enterprise environment, it is the HTTP response that is more dangerous than a http request, because the http request is usually sent from user s browser, and the response is the source of all sins such as virus, attack, worms, exploits, etc. 30

31 31 Kontrola aplikacji

32 Proxy Based Scanning Flow based Inspection Stateful Inspection Hardware Acceleration Technologies NP4 NP6 NP ASICs to offer Firewall acceleration for both IPv4 & IPv6 traffic IPv6 SP3 CP8 CP ASICs to offer UTM Acceleration CP7 32

33 Kryteria doboru systemów bezpieczeństwa Complex & Costly Typical Ad hoc Model Simple & Cost Effective Fortinet Consolidated Model 33

34 Kryteria doboru systemów bezpieczeństwa niewielkie opóźnienia uproszczenie architektury mniejsze koszty inwestycyjne i utrzymania prostsze zarządzanie uproszczenie analizy 34

35 35 End-to-End Security Solutions

36 Ważne zasoby Strona główna: Również PL: Portal partnerski: Produkty i portfolio: Szkolenia: Dokumentacja: Fortiguard center: Interfejs demo: 36

37 Pytania Pytania 37