Wektory ataków vs. systemy zabezpieczeń Sebastian Krystyniecki Systems Engineer Poland Ukraine Belarus 1 April 4, 2014
2 Zagadka
3 Wskazówka - 19 stycznia 1986
4 Brain.A
5 Wirusy początki
6
cert.gov.pl http://www.cert.gov.pl/cer/publikacje/raporty-o-stanie-bezpi/686,raport-o-stanie-bezpieczenstwa-cyberprzestrzeni-rp-w-2013-roku.html 7
cert.gov.pl Ilość generowanych połączeń Unikalne adresy IP 8
9 cert.gov.pl
Przykład: Blended Threat W32/Pushdo!tr Multiple Attack Vectors» Email (spam) ze złośliwym załącznikiem» Zawiera aplikację pobierającą trojan» Pobierany jest również rootkit, którego celem jest zamaskowanie aktywności» Pobierane są dodatkowe komponenty» Trojan jest centralnie zarządzany 10
W32/Pushdo!tr - Antyspam OCHRONA: Antyspam rozpoznaje podejrzaną przesyłkę Jest ona blokowana przed dotarciem do skrzynki odbiorcy 11
W32/Pushdo!tr - Antywirus OCHRONA: Centralny system antywirusowy wykrywa złośliwe oprogramowanie» Trojan» Rootkit maskujący» Pozostałe komponenty Pliki te zostają usunięte, co zapobiega ich wykonaniu 12
W32/Pushdo!tr Intrusion Prevention OCHRONA: IPS wykrywa komunikację pomiędzy trojanem a konsolą zarządzającą Dodatkowo blokuje transmisję produkcyjną zainfekowanej stacji roboczej 13
Przykład 2: Zeus/Kneber, przeciwdziałanie Wysyłka maila zawiera on link do spreparowanej uprzednio strony Mail klasyfikowany jest jako spam (phishing) ANTYSPAM Użytkownik odwiedza spreparowaną stronę i podaje swoje dane logowania Dostęp do stron zaklasyfikowanych do kategorii phishing jest zabroniony WEB FILTER Zainfekowana strona informuje użytkownika, że może on pobrać aktualizację bezpieczeństwa System anytwirusowy jest w stanie zablokować tego typu akcję (pobieranie zainfekowanego pliku) ANTYWIRUS Komputer użytkownika, na którym zainstalowano aktualizację jest zainfekowany i przyłączony do botnetu IPS Zablokowana zostaje komunikacja z systemem zarządzania botnetem Administrator zostaje powiadomiony o incydencie 14
Przykład 3: zapobieganie SQL injection Automatyczny skaner podatności znajduje lukę typu SQL injection Wykrywanie skanowania zasobów/ataków typu brute force. WEB APP SCAN Atakujący zapoznaje się z techonologią wykonania aplikacji www i ze strukturą bazy danych Blokowany jest wyciek informacji. DLP Podejmowane są próby testowych i rzeczywistych ataków SQL injection Ataki zostają wykryte i zablokowane. Administrator informowany jest o incydentach. FortiWeb Web Application Firewall Aktywność atakującego ginie w natłoku ruchu i aktywności produkcyjnych Monitorowana jest aktywność bazy danych, tworzone są profile aktywności użytkowników. Administrator jest informowany o wszelkich odchyleniach od normy. FortiDB - VA/DAM 15
Ewolucja zagrożeń Virus, Spyware, Adware, Trojan, Worm Web 2.0 Inappropriate Content Identity Theft Spam, Phishing Pharming Peer to Peer Application and System Vulnerabilities Mobile Devices and Crossover Connection Based Attacks Layer 2/3/4 Denial of Service Attacks Botnets 16
Advanced Persistent Threats Multi-layer defense Cut the link anywhere in the chain Antivirus is the core Not the silver bullet though UTM is the answer Extensive botnet research Communication channel Even fight internal threats 17
18
SCADA - Supervisory Control And Data Acquisition 19
20
http://www.youtube.com/watch?v=fjywngdco3g 21
Stuxnet PLC/SCADA USB 4 zero-day vulerablitites czerwiec/lipiec 2010 (pierwsze kompilacje 2009) kontrola portów USB wersja Windows status aktualizacji oprogramowanie antywirusowe 5 różnych podatności ograniczenie praw administracyjnych A co po infekcji? nic... chyba, że inne klucze USB zostaną użyte ewentualnie printer spooler vulnerability w sieci lokalnej aby infekować inne stacje robocze 22
23 Siemens step 7 programming environment
24
25
26
Performance / Damage Security ADVANCED TARGETED ATTACKS MALICIOUS APPS MALICIOUS SITES SPAM BOTNETS ADVANCED THREAT PROTECTION APPLICATION CONTROL WEB FILTER TROJANS BANNED CONTENT VIRUSES & SPYWARE INTRUSIONS Layer 5-7: & WORMS CONTENT & APPLICATION Layer 3-4: CONNECTION ANTI-SPAM ANTIVIRUS IPS VPN FIREWALL HARDWARE THEFT Layer 1-2: PHYSICAL LOCK & KEY 1980s 1990s 2000s 2010s Today Method 27
Fortinet - Services, Licenses & Subscriptions FortiGuard AV Subscription Botnet IP reputation DB FortiGuard Analytics Service Proxy & Flow based AV signatures FortiGuard Web Filter Subscription FortiGuard Analytics Service Proxy & Flow based WF categorization FortiGuard IPS Subscription IPS Signature Updates Application Control Signature Updates FortiGuard Anti-spam Subscription Anti-spam Services 28
The Value of FortiGuard Flow vs. Proxy AV Security & Performance Trade-Offs Flow is path of least resistance Quick checks Only allowing uniformed officers in building What about those in disguise? Deep inspection (Proxy) Thorough checks Catches those in disguise The ASIC Advantage 29
Does my IPS protects clients and servers? 1 2 Normal HTTP activities is allowed Threat successfully infiltrated, as inspection is not carried out In typical enterprise environment, it is the HTTP response that is more dangerous than a http request, because the http request is usually sent from user s browser, and the response is the source of all sins such as virus, attack, worms, exploits, etc. 30
31 Kontrola aplikacji
Proxy Based Scanning Flow based Inspection Stateful Inspection Hardware Acceleration Technologies NP4 NP6 NP ASICs to offer Firewall acceleration for both IPv4 & IPv6 traffic IPv6 SP3 CP8 CP ASICs to offer UTM Acceleration CP7 32 http://docs.fortinet.com/uploaded/files/1607/fortigate-hardware-accel-50.pdf
Kryteria doboru systemów bezpieczeństwa Complex & Costly Typical Ad hoc Model Simple & Cost Effective Fortinet Consolidated Model 33
Kryteria doboru systemów bezpieczeństwa niewielkie opóźnienia uproszczenie architektury mniejsze koszty inwestycyjne i utrzymania prostsze zarządzanie uproszczenie analizy 34
35 End-to-End Security Solutions
Ważne zasoby Strona główna: Również PL: Portal partnerski: http://www.fortinet.com http://www.fortinet.pl/centrum-zasobow https://partners.fortinet.com Produkty i portfolio: Szkolenia: http://www.fortinet.com/products/ https://campus.training.fortinet.com/ Dokumentacja: Fortiguard center: http://kc.fortinet.com/ http://docs.fortinet.com/ http://www.fortiguard.com/ Interfejs demo: http://www.fortigate.com/ 36
Pytania Pytania sebastian.krystyniecki@fortinet.com 37