Ataki w środowiskach produkcyjnych (Energetic bear / Dragon Fly / Still mill furnace) 1
Typowe problemy Większość ataków rozpoczyna się po stronie IT. W większości przypadków wykorzystywane są ataki dnia zerowego na najbardziej popularne aplikacje oraz dodatkowe exploity dnia zerowego w środowisku produkcyjnym lub złośliwe oprogramowanie. Czasami nie ma potrzeby wykorzystywania podatności dnia zerowego z powodu braku aktualizacji lub rozwiązań bezpieczeństwa w środowisku produkcyjnym. Czy rozwiązania detekcji są wystarczające do walki z takimi atakami? Czy posiadamy jakiekolwiek rozwiązanie bezpieczeństwa na stacjach końcowych? 2
Wyzwania związane z ochroną stacji końcowych Długie okresy pomiędzy aktualizacjami systemu Typowo od 6 do 18 miesięcy; czasami nawet kilka lat Narzucane przez wymogi zapewnienia dostępu lub ograniczenia procesowe Ryzyko jest kumulowane do następnego okna serwisowego Ochrona nieaktualizowanych systemów Niektóre systemy nie są już wspierane przez producentów ale nadal muszą być używane produkcyjnie Każda nowo wykryta luka bezpieczeństwa nigdy nie zostanie załatana Kontrola instalacji dodatkowego oprogramowania Niezatwierdzone aplikacje czasami instalowane przez inżynierów, głównie z dobrych powodów Bardzo ciężko identyfikować i kontrolować niezatwierdzone instalacje 3
Zrozumieć zagrożenia Exploit Zmodyfikowany plik danych przetwarzany przez poprawną aplikacje Korzysta z podatności poprawnej aplikacji która umożliwia atakującemu uruchomienie swojego kodu Mały payload Złośliwe oprogramowanie Złośliwy kod dostarczony w formie pliku wykonywalnego Nie potrzebuje dodatkowej aplikacji lub podatności Kod wykonywalny który ma na celu przejęcie maszyny Duży payload
Problemy z podejściem tradycyjnym Ukierunkowane Trudne do wykrycia Zaawansowane EXE PDF Znana sygnatura? NIE Znany ciąg znaków? NIE Wcześniej widziane zachowanie? NIE Złośliwe oprogramowanie bezpośrednie wykonanie Exploit użycie podatności aby uruchomić dodatkowy kod Tradycyjna ochrona stacji końcowych 5
Konieczność wykorzystania zaawansowanej ochrony Tradycyjna ochrona Detekcja i leczenie Wymaga wcześniejszej wiedzy Skanowanie kontra wykrywanie aktywności Można obejść przez reverse engineering Złośliwa aktywność może wyłączyć ochronę Leczenie wymaga sporo nakładów pracy Wykryte zagrożenia giną w szumie 225 Średnia liczba dni potrzebna aby wykryć atak ukierunkowany Ochrona na poziomie sieci Emulacja w chmurze Nie widać całej zawartości Brak widzialności przy bezpośredniej infekcji hosta Ciężko zablokować złośliwe aktywności w używanych aplikacjach Nie można emulować wszystkich wariantów środowiska Środowisko emulujące może zostać wykryte przez złośliwe oprogramowanie Brak możliwości wymuszenia konkretnych aktywności na stacji końcowej 84% Ataków jest wykrywana przez firmy trzecie 6
Typowy cykl życia ataku Zebranie informacji Wykorzystanie exploita Uruchomienie złośliwego kodu Kanał kontrolny Kradzież danych Planowanie ataku Cicha infekcja Uruchomienie złośliwego pliku Komunikacja zwrotna z atakującym Kradzież danych, sabotaż, uszkodzenie Kontrola prewencyjna Kontrola reakcyjna Unieruchomienie ataku na jak najwcześniejszym etapie jest bardzo istotne Ochrona Traps przed exploitami i złośliwym oprogramowaniem blokuje ataki zanim jakiekolwiek złośliwe aktywności zostaną uruchomione 7
Ochrona przed exploitami odczucia użytkownika Traps P D F PDF P D F R R R Forensic Data is Collected Process is Terminated User\Admin is Notified Zainfekowany dokument otwierany przez nieświadomego zagrożenia użytkownika Traps zostaje płynnie dodany do procesu Próba użycia techniki exploit-acji systemu zostaje wykryta i zablokowana zanim szkodliwe oprogramowanie zacznie działać Traps informują o zdarzeniu i zbierają szczegółowe informacje Próba exploit-acji systemu wpada w pułapki zastawione przez Traps zanim jakakolwiek złośliwa aktywność zostanie uruchomiona 8
Blokowanie głównych technik zamiast poszczególnych ataków Indywidualne ataki 1,000-ce Software Vulnerability Exploits Tysiące nowych podatności i exploitów 1,000,000-ny Malware Miliony nowych wariantów Główne techniki 2-4 Techniki exploit-acji Od dwóch do czterech nowych technik ~10-ki Techniki Malware Dziesiątki nowych sub-technik malware 9
Prawidłowy sposób zapobiegania złośliwym plikom 20+ modułów ochrony przed technikami exploit-acji Lokalny HASH Restrykcje uruchomieniowe Integracja Wildfire Moduły ochrony przed malware Zaawansowana kontrola uruchamianych programów 10
Integracja z Wildfire ESM Console Użytkownik próbuje uruchomić plik wykonywalny Uruchomienie zatrzymane Złośliwy Złośliwy Złośliwy Nadpisanie lub odwołanie? Łagodny Łagodny Łagodny EXE Safe Nieznany Nieznany??? Nieznany Zmieniony Hash werdykt zapisany w to ESM Server WildFire Local Cache Server Cache Przesłanie nieznanego pliku 11
Podsumowanie nowy rodzaj zabezpieczeń Podejście platformowe Sieć, końcówki, chmura Nacisk na prewencje (a nie na detekcję) Zatrzymanie zaawansowanych ataków vs. poinformowanie o tym, że masz problem Sieć Dostarcza szczegółowej widoczności i możliwość segmentacji Widzialność protokołów/aplikacji, kontrola bazująca na użytkownikach Zatrzymuje znane i nieznane zagrożenia Stacje końcowe Blokada znanych technik exploit-acji vs. sygnatury Inteligentna chmura analizująca zagrożenia Automatyczna analiza i korelacja Współdziała siecią i stacjami końcowymi Platforma Następnej Generacji Palo Alto Networks spełnia te wszystkie wymagania 12
Podsumowanie nowy rodzaj zabezpieczeń Palo Alto Networks Threat Intelligence Cloud Next-Generation Firewall Inspects all traffic Blocks known threats Sends unknown threats to cloud Extensible to mobile & virtual networks Threat Intelligence Cloud Gathers potential threats from network and endpoints Analyzes and correlates threat intelligence Disseminates threat intelligence to network and endpoints Advanced Endpoint Protection Palo Alto Networks Next-Generation Firewall Inspects all processes and files Prevents both known & unknown exploits Integrates with cloud to prevent known & unknown malware Palo Alto Networks Advanced Endpoint Protection 13
Dziękuję za uwagę Maciej Leszczak Dział handlowy: Bartosz Januszewicz +48 795 500 224 bartosz.januszewicz@itexpert.pl 14