Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP
Agenda O firmie Akamai Co to jest credential abuse? Techniki i sposoby zapobiegania, historie z pierwszej linii frontu Podsumowanie
Jesteśmy wiodącym dostawcą usług Content Delivery Network (CDN). Dostarczamy, optymalizujemy i zabezpieczamy treści dostępne online i aplikacje biznesowe DANE STATYSTYCZNE: $2.2B Dochódu 6,000+ Pracowników 6,000+ Klientów NASZA HISTORIA: Rok założenia 1998, firma zakorzeniona w MIT Rozwiązujemy problem przeciążenia Internetu za pomocą matematyki, nie Hardware u.
Ufa nam: 7 z 10 największych banków na świecie Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection. 27 z 30 największych banków w Stanach Zjednoczonych Ponad 150 banków na całym świecie
Inteligentna Platforma Akamai (HTTP+HTTPS+DNS) 230,000+ Serwerów 1600+ Sieciach 130+ Państw na 7 Kontynentach Do 30% całego ruchu webowego Talent 5 SoC ów 180 Inżynierów 350 Inżynierów Bezpieczeństwa Zespól R&D Zespól CERT 46 Tbps ruchu Grow revenue opportunities with Analiza fast, personalized Danych web experiences and manage 2 biliony complexity hitów from dziennie peak demand, mobile devices Dziesiątki and data milionów collection. unikatowych adresów IP dziennie 600 000 logów na sekundę 2 PB danych z ostatnich 45 dni Centra Scrubbingowe (wszystkie protokoły) 7 Centr 4 Kontynenty 3.6 Tbps dedykowanej pojemności na ataki DDoS
Co to jest credential abuse
Według Naszego Zespołu Threat Research 30% wszystkich transakcji logowania to "credential abuse
Zaawansowanie i determinacja: Atakujący kontra Broniący Imitowanie Zachowania Człowieka (np: Klawiatura i ruch myszką) Pełna Przeglądarka Headless (np: Selenium) Silniki uruchamiające Javascript (np. PhantomJS) Skrypty (np. Curl) Analiza Zachowania Klienta Fingerprinting Przeglądarek Wykrywanie Anomalii w Zapytaniach HTTP (Request Anomalies) Ograniczanie ilosci zapytan klienta (Rate Limiting) Blokowanie adresów IP (IP Blacklist & Whitelist) Atakujący Broniący
Statystyka Analiza Big Data Cloud Security Intelligence: 167 kampanii credential abuse (na przestrzeni miesiąca) 400000 adresów IP (średnia na dzień) ~25% wszystkich adresów IP było jednorazowych ~70% wszystkich adresów IP uczestniczyło w kampanii 1 dzień Login API jest 3.7x częściej atakowany niż login webowy
Dlaczego walka z Credential Abuse jest trudna? Atakujący obchodzą obecne zabezpieczenia: Powolny Atak 25% botów jest wykorzystywanych tylko raz Zmasowany Atak Miliony zapytań Działa na warstwie aplikacyjnej, nie do rozpoznania na niższych warstwach Informacje przesyłane są tajne Nazwy użytkowników i hasła Informacje przysłane są zaszyfrowane Login API jest 3.7x częściej atakowany niż login webowy
Perspektywa jednej aplikacji - kampania credential abuse Próby Logowania 18,000 16,000 14,000 12,000 10,000 8,000 6,000 4,000 2,000 12,936 członków botnet u 123,909 unikalnych kont sprawdzonych 167,039 prób logowania 16,359 prób logowania 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Czas [h]
Perspektywa jednej aplikacji - jaką cześć wykryjemy % wykryty 70 60 50 40 30 20 10 0 1 6 11 16 21 26 31 36 41 46 51 56 Czas [min]
1400 Perspektywa jednej aplikacji - Ilość prób logowania wciągu 24h 1200 1000 1191 IP adresów addresses IP dokonano made only jednej 1 login próby attempt logowania over the w 24-hour godziny period 43% adresów IP zarejestrowaliśmy 5 lub mnie prób logowana w 24 godziny 76% adresów IP zarejestrowaliśmy mniej niż 12 prób logowania w 24 godziny 800 600 400 200 0 1 11 21 31 41 54 73 110 145 176 206 237 258 269 290 324 379 430 481 549 726
Perspektywa globalna Ilość prób logowania wciągu 24h 350 300 250 331 adresów IP dokonano tylko jednej próby logowania (3x mniej niż lokalnie) 76% adresów IP dokonało 123 prób logowania lub mniej (10x więcej niż lokalnie) 200 150 100 50 0
Perspektywa globalna - jaką cześć wykryjemy % wykryty 100 80 60 40 20 0 1 6 11 16 21 26 31 36 41 46 51 56 Czas [min]
Perspektywa Globalna kampania credential abuse Próby Logowania 300000 18,000 16,000 250000 14,000 200000 12,000 10,000 150000 8,000 100000 6,000 12,936 członków botnet u 123,909 unikalnych kont sprawdzonych 167,039 prób logowania 16,359 prób logowania 204,398 Prób logowania 4,000 50000 2,000 16,359 Prób login logowania attempts 0 0 1 12 23 34 45 56 67 78 89 910 1011 112 1213 1314 1415 1516 1617 1718 1819 1920 2021 2122 223 23 Czas [h]
Podsumowanie Jak wielkim problemem jest credential abuse dla instytucji/firmy? Ile instytucja/firma chce/może zainwestować w przeciwdziałanie zjawisku? Strategie broniących I atakujących będą ewoluować z biegiem czasu.
Pytania?? Więcej Informacji: http://www.stateoftheinternet.com https://blogs.akamai.com/ Bartlomiej Jakubowski Solutions Engineer II bjakubow@akamai.com
Dziękujemy! Zapraszamy do naszego stoiska