Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP

Podobne dokumenty
Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Lodówki i kamery atakują. Mariusz Sawczuk Specialist Systems Engineer North & East EMEA [ ]

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Akamai Technologies jest wiodącym dostawcą usług w chmurze do optymalizacji

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Przestępcze scenariusze wykorzystania a sposoby zabezpieczeń Warszawa, 21 czerwca Tomasz Zawicki CISSP

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

4383: Tyle podatności wykryto w 2010 r. Przed iloma jesteś chroniony? 2010 IBM Corporation

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Usługi dodane klasy operatorskiej w zakresie bezpieczeństwa Krystian, Baniak. Infradata

Zdobywanie fortecy bez wyważania drzwi.

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Wykrywanie podejrzanych domen internetowych poprzez pasywną analizę ruchu DNS

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Agenda. Co to jest RWD? Dlaczego warto myśleć o RWD w kontekście aplikacji biznesowych? Przykłady. ericpol.com

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Operator telco na pierwszej linii ognia. Obywatele, biznes a cyberbezpieczeństwo

Zdalne logowanie do serwerów

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015

Elektroniczny Case Report Form

Aspekty bezpieczeństwa aplikacji internetowych

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Aurea BPM Dokumenty pod kontrolą

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Narzędzie wspierające zarządzanie organizacj. Parentis Sp. z o.o. Kartoszyno,ul.Przemysłowa 5, Krokowa, info@parentis.pl

INTELIGENTNE STEROWANIE Z FIBARO OFERTA WSPÓŁPRACY

17-18 listopada, Warszawa

Architektura systemów webowych wysokiej przepustowości. na przykładzie Wikia

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Czy cloud computing zmieni świat?

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Prezentacja Grupy Atende

Wprowadzenie do Kaspersky Value Added Services for xsps

Program szkolenia: Bezpieczny kod - podstawy

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

The OWASP Foundation Session Management. Sławomir Rozbicki.

Prezentacja raportu z badania nadużyć w sektorze finansowym

DOTYCZY KLIENTA PKO BIURO OBSŁUGI LEASING ZAPYTANIE O INFORMACJĘ OTYCZY: DOSTAWY PLATFORMY ELEKTRONICZNE DLA PKO

Sposoby analizy i interpretacji statystyk strony WWW.

Wirtualizacja sieci - VMware NSX

System zabezpieczenia dostępu do baz danych Oracle

Agenda. Quo vadis, security? Artur Maj, Prevenity

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

POLITYKA PRYWATNOŚCI Serwisu interne.st

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/4.1.4/2015

WIELOWARSTWOWY CACHE. Na przykładzie serwisu GOG.com. Maciej Włodarkiewicz

Kompleksowe zarządzanie bezpieczeństwem w Twojej firmie usługi SOC Exatel. Exatel Security Day 21 czerwca 2016 r.

Przewodnik Google Cloud Print

Technologia Automatyczne zapobieganie exploitom

Automatyzacja Testowania w WEB 2.0

Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Network Neutrality. Cezary Albrecht. Network Neutrality, czyli zasadność regulacji ruchu w Internecie, 3 listopada 2011, Warszawa 03/11/2011 1

SPECYFIKACJA TECHNICZNA PRZEDMIOTU UMOWY DOTYCZĄCA CZĘŚCI AKTYWNEJ ŁĄCZA

Prezentacja programu. Parentis Sp. z o.o. Dział Informatyki. Kartoszyno, ul. Przemysłowa 5, Krokowa

Serwis nie zbiera w sposób automatyczny żadnych informacji, z wyjątkiem informacji zawartych w plikach cookies.

SERWISY INTERNETOWE ( OBSZAR INTERNET )

Analityka i BigData w służbie cyberbezpieczeństa

1. Streszczenie. 2. Opis problemu

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015

Cookie Policy. 1. Informacje ogólne.

Przełączanie i Trasowanie w Sieciach Komputerowych

Need for speed. Kliknij, aby edytować style wzorca tekstu jak sobie radzić z dużą ilością użytkowników i danych

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

Podstawy bezpieczeństwa

2007 Cisco Systems, Inc. All rights reserved.

Programowanie Komponentowe WebAPI

Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki

KASPERSKY FRAUD PREVENTION FORENDPOINTS

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

Projektowani Systemów Inf.

Badania satysfakcji pracowników.

Budowa Data Center. Zmagania Inwestora. Konferencja. 30 października 2014

Przewodnik Google Cloud Print

DOKUMENTACJA INTERFEJSU API - HTTPS

Prezentacja Grupy Atende 2017

RETROFITTING MIERNIKÓW Z WYKORZYSTANIEM TECHNOLOGII NB-IoT

MBUM #2 MikroTik Beer User Meeting

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/4.1.4/2016

ZDALNA IDENTYFIKACJA I TRANSAKCJE ELEKTRONICZNE - KIERUNKI ZMIAN W KLUCZOWYCH PROCESACH CYFROWEJ BANKOWOŚCI. Warszawa,

! Retina. Wyłączny dystrybutor w Polsce

Polityka prywatności

Rejestratory Trend szybka konfiguracja do obsługi przez sieć.

Aurea BPM. Lepsze procesy, lepsze wyniki Warszawa, 24 lipca 2013

Wyzwania. Rozwiązanie

Wieloskładnikowe uwierzytelnianie bez tokenów

Przewodnik Google Cloud Print


Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Polityka prywatności - informacje dodatkowe

Łowienie w morzu pakietów czyli jak ukrywają się serwery Comand and Control. Ireneusz Tarnowski czerwca 2017, WROCŁAW


Monitorowanie aplikacji i rozwiązywanie problemów

Transkrypt:

Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP

Agenda O firmie Akamai Co to jest credential abuse? Techniki i sposoby zapobiegania, historie z pierwszej linii frontu Podsumowanie

Jesteśmy wiodącym dostawcą usług Content Delivery Network (CDN). Dostarczamy, optymalizujemy i zabezpieczamy treści dostępne online i aplikacje biznesowe DANE STATYSTYCZNE: $2.2B Dochódu 6,000+ Pracowników 6,000+ Klientów NASZA HISTORIA: Rok założenia 1998, firma zakorzeniona w MIT Rozwiązujemy problem przeciążenia Internetu za pomocą matematyki, nie Hardware u.

Ufa nam: 7 z 10 największych banków na świecie Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection. 27 z 30 największych banków w Stanach Zjednoczonych Ponad 150 banków na całym świecie

Inteligentna Platforma Akamai (HTTP+HTTPS+DNS) 230,000+ Serwerów 1600+ Sieciach 130+ Państw na 7 Kontynentach Do 30% całego ruchu webowego Talent 5 SoC ów 180 Inżynierów 350 Inżynierów Bezpieczeństwa Zespól R&D Zespól CERT 46 Tbps ruchu Grow revenue opportunities with Analiza fast, personalized Danych web experiences and manage 2 biliony complexity hitów from dziennie peak demand, mobile devices Dziesiątki and data milionów collection. unikatowych adresów IP dziennie 600 000 logów na sekundę 2 PB danych z ostatnich 45 dni Centra Scrubbingowe (wszystkie protokoły) 7 Centr 4 Kontynenty 3.6 Tbps dedykowanej pojemności na ataki DDoS

Co to jest credential abuse

Według Naszego Zespołu Threat Research 30% wszystkich transakcji logowania to "credential abuse

Zaawansowanie i determinacja: Atakujący kontra Broniący Imitowanie Zachowania Człowieka (np: Klawiatura i ruch myszką) Pełna Przeglądarka Headless (np: Selenium) Silniki uruchamiające Javascript (np. PhantomJS) Skrypty (np. Curl) Analiza Zachowania Klienta Fingerprinting Przeglądarek Wykrywanie Anomalii w Zapytaniach HTTP (Request Anomalies) Ograniczanie ilosci zapytan klienta (Rate Limiting) Blokowanie adresów IP (IP Blacklist & Whitelist) Atakujący Broniący

Statystyka Analiza Big Data Cloud Security Intelligence: 167 kampanii credential abuse (na przestrzeni miesiąca) 400000 adresów IP (średnia na dzień) ~25% wszystkich adresów IP było jednorazowych ~70% wszystkich adresów IP uczestniczyło w kampanii 1 dzień Login API jest 3.7x częściej atakowany niż login webowy

Dlaczego walka z Credential Abuse jest trudna? Atakujący obchodzą obecne zabezpieczenia: Powolny Atak 25% botów jest wykorzystywanych tylko raz Zmasowany Atak Miliony zapytań Działa na warstwie aplikacyjnej, nie do rozpoznania na niższych warstwach Informacje przesyłane są tajne Nazwy użytkowników i hasła Informacje przysłane są zaszyfrowane Login API jest 3.7x częściej atakowany niż login webowy

Perspektywa jednej aplikacji - kampania credential abuse Próby Logowania 18,000 16,000 14,000 12,000 10,000 8,000 6,000 4,000 2,000 12,936 członków botnet u 123,909 unikalnych kont sprawdzonych 167,039 prób logowania 16,359 prób logowania 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Czas [h]

Perspektywa jednej aplikacji - jaką cześć wykryjemy % wykryty 70 60 50 40 30 20 10 0 1 6 11 16 21 26 31 36 41 46 51 56 Czas [min]

1400 Perspektywa jednej aplikacji - Ilość prób logowania wciągu 24h 1200 1000 1191 IP adresów addresses IP dokonano made only jednej 1 login próby attempt logowania over the w 24-hour godziny period 43% adresów IP zarejestrowaliśmy 5 lub mnie prób logowana w 24 godziny 76% adresów IP zarejestrowaliśmy mniej niż 12 prób logowania w 24 godziny 800 600 400 200 0 1 11 21 31 41 54 73 110 145 176 206 237 258 269 290 324 379 430 481 549 726

Perspektywa globalna Ilość prób logowania wciągu 24h 350 300 250 331 adresów IP dokonano tylko jednej próby logowania (3x mniej niż lokalnie) 76% adresów IP dokonało 123 prób logowania lub mniej (10x więcej niż lokalnie) 200 150 100 50 0

Perspektywa globalna - jaką cześć wykryjemy % wykryty 100 80 60 40 20 0 1 6 11 16 21 26 31 36 41 46 51 56 Czas [min]

Perspektywa Globalna kampania credential abuse Próby Logowania 300000 18,000 16,000 250000 14,000 200000 12,000 10,000 150000 8,000 100000 6,000 12,936 członków botnet u 123,909 unikalnych kont sprawdzonych 167,039 prób logowania 16,359 prób logowania 204,398 Prób logowania 4,000 50000 2,000 16,359 Prób login logowania attempts 0 0 1 12 23 34 45 56 67 78 89 910 1011 112 1213 1314 1415 1516 1617 1718 1819 1920 2021 2122 223 23 Czas [h]

Podsumowanie Jak wielkim problemem jest credential abuse dla instytucji/firmy? Ile instytucja/firma chce/może zainwestować w przeciwdziałanie zjawisku? Strategie broniących I atakujących będą ewoluować z biegiem czasu.

Pytania?? Więcej Informacji: http://www.stateoftheinternet.com https://blogs.akamai.com/ Bartlomiej Jakubowski Solutions Engineer II bjakubow@akamai.com

Dziękujemy! Zapraszamy do naszego stoiska

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres