Nowe zagrożenia – Nowe wyzwania.
Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems.

© 2013 IBM C...
Tło

FireEye – Advanced Threat Report 2012
2

© 2013 IBM Corporation
Co chronimy?

• Według badań Ponemone Institute:
– Większość organizacji nie wie:
• Gdzie znajdują się ich krytyczne zasob...
Jak chronić …?

Anonimizacja danych

Szyfrowanie

Sensitive
Test
Data
Developer
Q&A

DB IPS
DAM

Szyfrowanie w czasie
rzec...
Pomysłowość nie zna granic

5

© 2013 IBM Corporation
Rządowy robak

Nowe serwery:
Singapur
Bahrajn
Turkmenistan
Brunei
Indonezja
Holandia

6

© 2013 IBM Corporation
Kalendarium
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•

7

Q1 2013 – Przynajmniej 6 krytycznych podatności w Java
2/03/13 – Wyciek dany...
Nowa era zagrożeń

8

© 2013 IBM Corporation
Od U238 do U235

9

© 2013 IBM Corporation
Infekcja sieci galwanicznie odseparowanych

• Modyfikacja procedur
– Tylko dla Siemens S7-300 i w dodatku tylko dla wirówe...
Cel

• Po ~13 dniach – podniesienie częstotliwości do 1410 Hz
• Po ~27 dniach – nagła zmiana częstotliwości do 2Hz a
nastę...
Efekt

12

© 2013 IBM Corporation
Dziwne przypadki imć Krebsa

Czwartek rano

13

© 2013 IBM Corporation
Dziwne przypadki imć Krebsa

Czwartek po południu

14

© 2013 IBM Corporation
Dziwne przypadki imć Krebsa

Czwartek wieczorem

15

© 2013 IBM Corporation
Czy to koniec tej opowieści?

16

© 2013 IBM Corporation
badBIOS
bardziej zaawansowany niż Stuxnet i Flame

17

© 2013 IBM Corporation
badBIOS – komunikacja z użyciem ultradźwięków

18

© 2013 IBM Corporation
Futurologia w bajkach – Drukowanie

19

© 2013 IBM Corporation
Pisanie, prepajdy, MAC i Apple, …

20

© 2013 IBM Corporation
Struktura ataku

Przynęta
Cel ataku

21

© 2013 IBM Corporation
Fishing przykład 1

22

© 2013 IBM Corporation
Fishing przykład 1

23

© 2013 IBM Corporation
Fishing przykład 2

24

© 2013 IBM Corporation
Czy moje dane są bezpieczne?

25

© 2013 IBM Corporation
Charakterystyka ataku

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pd...
Różne scenariusze ataku

•
•
•
•

27

Infekcja stacji roboczej poza środowiskiem
Infekcja urządzenia mobilnego
Atak bezpoś...
Pochodzenie ataku

Verizon 2012
28

© 2013 IBM Corporation
Przynęta

Raport AVTest

29

© 2013 IBM Corporation
Wszystko może posłużyć jako przynęta

234 domeny z malware w ciągu 24 godzin

30

© 2013 IBM Corporation
Dedykowane oprogramowanie złośliwe (APT)

Raport Sophos Labs

50% zidentyfikowanego
oprogramowania złośliwego
zaobserwowan...
Hackmazon

32

© 2013 IBM Corporation
O czasy, o obyczaje …

Zapytany dlaczego rabował
banki, odpowiedział:
„Ponieważ tam były pieniądze”
"Because that's where ...
Twój telefon, tablet - Wartościowy cel
Podwójna korzyść, dostęp do
danych prywatnych i firmowych

2x

34

Dostęp nigdy nie...
Typy aplikacji mobilnych

Aplikacje webowe

Aplikacje natywne

Aplikacje hybrydowe

35

© 2013 IBM Corporation
Złośliwe oprogramowanie (Android)

Source: Juniper Mobile Threat Report, 2/12

"Of those 293,091 malicious apps, 68,740 we...
Jailbreak i inne

Source: Arxan State of Security in the App Economy – 2012
38

© 2013 IBM Corporation
Dostęp aplikacji do zasobów

39

© 2013 IBM Corporation
Podatności

IBM X-Force
40

© 2013 IBM Corporation
Exploits

IBM X-Force
41

© 2013 IBM Corporation
Łaty

IBM X-Force
42

© 2013 IBM Corporation
Narzędzia hackerskie

IBM X-Force
43

© 2013 IBM Corporation
Polimorfizm

5% skuteczność AV w przypadku robaków
polimorficznych
44

© 2013 IBM Corporation
Jak wykryć nowoczesny Malware?

45

© 2013 IBM Corporation
Jak wykryć nowoczesny Malware?

46

© 2013 IBM Corporation
Jak wykrywać anomalie?

• Analiza o ruch bazowy
• Analiza behawioralna (wzorce użytkownika,
urządzenia, aplikacji i zaawan...
Kilka słów o NSA

• Udowodnili ze implementacja BigData jest możliwa 
• Używają różnych metod zbierania informacji TelCo,...
Kim jesteś …?
Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems.

© 2013 IBM Corporation
IPS

• Działają w oparciu o sygnatury i reguły do warstwy 4
• Niewystarczające do identyfikacji APT, fraudów
wycieków dany...
NG IPS

51

© 2013 IBM Corporation
Ochrona danych

• Identyfikacja danych wrażliwych (włączając migrację)
• Monitorowanie dostępu do nich
• Używanie szyfrowa...
Guardium 9.1

DATA

Big Data
Environments
InfoSphere
BigInsight
s

GreenPlum
CouchDB

Integration with
LDAP, IAM,
SIEM, TS...
Detekcja anomalii w DAM
Anomaly Hours are marked in Red or
Yellow. Click on the bubble navigates
to the Outlier View

54

...
Szyfrowanie danych

APPLICATIONS

Data Security Manager
• FIPS Level 3 Key Management
• Centralized, Automated Key Managem...
Szyfrowanie danych
Clear
Text

BlockLevel

MetaClear

File System
Metadata

Name: Jsmith.doc
Created: 6/4/99
Modified: 8/1...
Jakość kodu aplikacji

• Kto programuje Twoje aplikacje?
• Jak sprawdzasz jakość kodu?
• Jak kontroluje zmiany i poprawki?...
Pełnowymiarowa analiza aplikacji - AppScan
Client Side App
Browser

JavaScript / HTML5 hybrid analysis

Native
App



SAS...
Jak zarządzasz końcówkami?

•
•
•
•
•

59

Zarządzanie zasobami
Łaty
Definicja ról i wymuszanie ich stosowania
Monitorowan...
Pełny cykl życia końcówek - TEM

Windows/Mac

Unix / Linux

Inventory
Patch Mngt

Windows Mobile
Kiosk
POS

Protection

An...
Jak to działa?
Sites
PATCH

LICENSE

Compliance

REMOTE

Internet

Security, DLP
SW Distrib

61

ASSET

INSTALL

MOBILE

©...
Jak to działa?
TEM Agent

TEM SRV
Przypisanie
Dane

62

© 2013 IBM Corporation
Jak działa exploit?

WWW

Exploit

Exploitation

Vulnerability

File
System

External
Content

Legitimate access

An explo...
Weryfikacja stanu aplikacji
Allow application action with a approved state

Application
State
User
initiated

External
Con...
Weryfikacja stanu aplikacji
Stop application actions with unknown state

Application
State

User
Initiate
d

Exploit

Trus...
Blokada komunikacji oprogramowania złośliwego
Block suspicious executables that open malicious communication
channels
Pre-...
Ochrona przed kradzieżą tożsamości (ATO)
Grabbing
credentials
from
websites

Key
Logging

WWW

Phishing

WWW

Using Corp
*...
Niekończąca się historia
Phishing and
Malware Fraud

Online Banking
Account
Takeover, New
Account Fraud
Mobile Fraud
Risk
...
Niekończąca się historia

69

© 2013 IBM Corporation
Niekończąca się historia
Hundreds of
Customers
100,000,000
Endpoints

7/10

9/10

Top US Banks

Global

Leading Global Org...
Oprogramowanie złośliwe

TRX

Online Banking

Trusteer
Rapport

1

2

71

• Removes existing
infection
• Prevents new infe...
Eliminacja oprogramowania złośliwego

Malware-generated
Fraudulent Transactions

Online Banking

TRX

Trusteer Pinpoint
Ma...
Identyfikacja anomalii

Login

Online Banking
Trusteer Pinpoint
Malware Detection

Trusteer
Mobile OOB

Trusteer
Rapport

...
Kradzież tożsamości i ATO

Trusteer Pinpoint
Malware Detection

1

LOGIN

LOGIN

Online Banking

2

Trusteer Pinpoint
Acco...
Phishing i ATO
Online Banking

1

Trusteer
Rapport

LOGIN

2

Phishing Site

Office

Trusteer Pinpoint
Account Takeover
(A...
Kradzież tożsamości
Trusteer Pinpoint
Malware Detection

Online Banking

1

2

Trusteer Pinpoint
Account Takeover
(ATO) De...
Niezależny kanał uwierzytelnienia
Online Banking
LOGIN

Trusteer Pinpoint
ATO Detection +
OOB Service

ATO Risk Detected

...
ATO i Fraud Mobilny
Trusteer Pinpoint
Malware Detection
Trusteer Mobile Risk
Engine

App
Login

LOGIN

Credentials
Theft

...
Co dalej? czy Gdzie zacząć?

• Wiele rozwiązań, konsole, mnóstwo danych,
ograniczone zasoby
• SIEM – platforma integracji ...
QRadar

80

© 2013 IBM Corporation
„Nigdy nie lataj samolotami projektowanymi
przez optymistów.”

Służy radą pozytywnie pesymistyczny zespół
IBM Security Sys...
Upcoming SlideShare
Loading in...5
×

Nowe zagrożenia Zbigniew Szmigiero

659

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
659
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Identyfikacja na poziomie brzegu sieci
    Wiem kim jest ale co może?
    Deszyfracja wymaga znajomości kluczy i powoduje opożnienia
    DDoS na IDS
  • An exploit is a piece of software that takes advantage of a vulnerability in order to cause unintended application behavior.
    In this slide we see how external content can carry an exploit. When the content is opened by the viewer application – for example a pdf file in Adobe Acrobat Reader, there can be legitimate access to the file system. However, an exploit will create a different type of access, which uses a vulnerability to download a malicious piece of code to the file system. That code can be a ‘downloader’ or the payload itself.
    Apex protects applications that open/render external content, and may be exploited. These applications are:
    Adobe Acrobat Reader
    Flash viewer
    MS-Office applications: Outlook (mail), Excel, Word, PowerPoint
    Java
    Browsers: Chrome, IE and FF
  • How does Apex work?
    Apex verifies the memory state of the application, against Whitelisted, Legitimate application states.
    When an application accesses the file system, Apex is triggered to check the memory state. If, like in this case, the memory state matched a whitelisted state, Apex allows it to go through.
  • However, if the action is caused by an exploit, known or zero-day, the access to the file system will create an unknown memory state, and so Apex will prevent the execution of the file the application created. As long as Apex is installed on the endpoint, that code would not execute, so the threat is mitigated.
    [Note that in the first version Apex will not remove the malicious file from the file system. This functionality is planned for the next release which is due in H1 2013.]
  • If malware infected the machine it is very important to mitigate the infection. It doesn’t matter if the machine got infected before or after the installation.
    If the malware directly communicates with the attacker that communication is very visible and can be easily blocked. So advanced malware uses a few evasion techniques to bypass detection.
    For example, it will compromise another legitimate application process, and/or communicate with the attacker over legitimate websites (like Forums and Google Docs).
    Trusteer Apex uses a few different techniques to identify unauthorized exfiltration states and malicious communication channels and blocks them.
    Because Trusteer Apex monitors the activity on the host itself, it has better visibility and can accurately detect and block these exfiltration states.
  • Apex specifically protects employee credentials, which are a prime target for cyber criminals. If compromised, a hacker can use these credentials to log in and access sensitive business information.
    Key loggers are often used for stealing user credentials. They often target VPN clients used by remote employees to access the enterprise network or specific enterprise applications. Trusteer Apex encrypts the keystrokes entered by the user to applications like: VPN clients like Citrix receiver, Browsers, Outlook and can be configured to protect custom applications [needs to be approved by PM].
    Trusteer Apex prevents users from submitting credentials to phishing sites by validating the site to which they connect and blocking attempt to submit corporate credentials to unapproved sites.
    In addition, Apex will prevent users from reusing enterprise passwords on public site like Facebook: public sites are constantly targeted by hackers attempting to steal lists of user credentials. Since users don’t want to remember many passwords, they tend to reuse passwords. But using enterprise passwords on public sites may expose your enterprise because public sties are also under attacks.
    Apex detects and blocks enterprise password submission to an unauthorized web site and alert the user and the enterprise.
    How is it done?
    The admin configures in the Trusteer Management Application (TMA) a list of approved URLs for enterprise application login. The agent keeps a one-way-hash of the passwords locally and compares against it when the users tries to login to a webapp. If the login is to an approved URL, it is allowed. If the URL is not on the approved list, the user will not be allow to use that password.
    Note that this feature is optional and does not have to be enabled.
  • Nowe zagrożenia Zbigniew Szmigiero

    1. 1. Nowe zagrożenia – Nowe wyzwania. Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems. © 2013 IBM Corporation
    2. 2. Tło FireEye – Advanced Threat Report 2012 2 © 2013 IBM Corporation
    3. 3. Co chronimy? • Według badań Ponemone Institute: – Większość organizacji nie wie: • Gdzie znajdują się ich krytyczne zasoby? • Gdzie są wrażliwe informacje? • W jaki sposób je chronią? 3 © 2013 IBM Corporation
    4. 4. Jak chronić …? Anonimizacja danych Szyfrowanie Sensitive Test Data Developer Q&A DB IPS DAM Szyfrowanie w czasie rzeczywistym 4 © 2013 IBM Corporation
    5. 5. Pomysłowość nie zna granic 5 © 2013 IBM Corporation
    6. 6. Rządowy robak Nowe serwery: Singapur Bahrajn Turkmenistan Brunei Indonezja Holandia 6 © 2013 IBM Corporation
    7. 7. Kalendarium • • • • • • • • • • • • • • • 7 Q1 2013 – Przynajmniej 6 krytycznych podatności w Java 2/03/13 – Wyciek danych z Evernote 12/03/13 – MS13-027 kolejna podatność poprzez USB stick 12/03/13 – DDoS na Wells Fargo, Bank of America, Chase, Citigroup, HSBC (operacja Ababil) 12/03/13 – Wykradzione dane Michele Obama, Joe Biden, Hillary Clinton 14/03/13 – Ujawnione włamanie do MSZ, MON, KPRM – Alladyn2 19/03/13 – Zmasowany atak na banki i media w Korei Południowej (disk wipe out) 25/03/13 – NATO zezwala na zabijanie hackerów podczas konfliktu 27/03/13 – Największy atak DDoS w historii – Spamhaus (300 Gbps) – CloudFlare w Londynie padł 8/04/13 – Zmasowany atak na Izrael – OpIsrael – grupa Anonymous 14/04/13 – NASK likwiduje botnet oparty o Citadel – 160K komputerów 15/04/13 – Schnucks ujawnia wyciek danych 2.4 miliona kart kredytowych 09/05/13 – Pierwsza biblioteka szyfrowania homomorficznego udostępniona przez IBM Q2’2013 – Snowden, PRISM i NSA 11/2013 – 150M haseł wyciekło z Adobe Air © 2013 IBM Corporation
    8. 8. Nowa era zagrożeń 8 © 2013 IBM Corporation
    9. 9. Od U238 do U235 9 © 2013 IBM Corporation
    10. 10. Infekcja sieci galwanicznie odseparowanych • Modyfikacja procedur – Tylko dla Siemens S7-300 i w dodatku tylko dla wirówek wyprodukowanych przez Vacon w Finlandii i Fararo Paya z Iranu. – Tylko te których częstotliwość jest w zakresie 807-1210 Hz. • Analiza zwracanych informacji z wirówek 10 © 2013 IBM Corporation
    11. 11. Cel • Po ~13 dniach – podniesienie częstotliwości do 1410 Hz • Po ~27 dniach – nagła zmiana częstotliwości do 2Hz a następnie do 1064 Hz • Skutek: mechaniczne uszkodzenie wirówek • Celem wirusa było prawdopodobnie centrum uzdatniania uranu w Natanz (Iran). • Przynajmniej 10% wirówek uległo uszkodzeniu 11 © 2013 IBM Corporation
    12. 12. Efekt 12 © 2013 IBM Corporation
    13. 13. Dziwne przypadki imć Krebsa Czwartek rano 13 © 2013 IBM Corporation
    14. 14. Dziwne przypadki imć Krebsa Czwartek po południu 14 © 2013 IBM Corporation
    15. 15. Dziwne przypadki imć Krebsa Czwartek wieczorem 15 © 2013 IBM Corporation
    16. 16. Czy to koniec tej opowieści? 16 © 2013 IBM Corporation
    17. 17. badBIOS bardziej zaawansowany niż Stuxnet i Flame 17 © 2013 IBM Corporation
    18. 18. badBIOS – komunikacja z użyciem ultradźwięków 18 © 2013 IBM Corporation
    19. 19. Futurologia w bajkach – Drukowanie 19 © 2013 IBM Corporation
    20. 20. Pisanie, prepajdy, MAC i Apple, … 20 © 2013 IBM Corporation
    21. 21. Struktura ataku Przynęta Cel ataku 21 © 2013 IBM Corporation
    22. 22. Fishing przykład 1 22 © 2013 IBM Corporation
    23. 23. Fishing przykład 1 23 © 2013 IBM Corporation
    24. 24. Fishing przykład 2 24 © 2013 IBM Corporation
    25. 25. Czy moje dane są bezpieczne? 25 © 2013 IBM Corporation
    26. 26. Charakterystyka ataku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?CMP=DMC-SMB_Z_ZZ_ZZ_Z_TV_N_Z038 26 © 2013 IBM Corporation
    27. 27. Różne scenariusze ataku • • • • 27 Infekcja stacji roboczej poza środowiskiem Infekcja urządzenia mobilnego Atak bezpośredni z użyciem podatności Atak bezpośredni ze wsparciem z wewnątrz instytucji © 2013 IBM Corporation
    28. 28. Pochodzenie ataku Verizon 2012 28 © 2013 IBM Corporation
    29. 29. Przynęta Raport AVTest 29 © 2013 IBM Corporation
    30. 30. Wszystko może posłużyć jako przynęta 234 domeny z malware w ciągu 24 godzin 30 © 2013 IBM Corporation
    31. 31. Dedykowane oprogramowanie złośliwe (APT) Raport Sophos Labs 50% zidentyfikowanego oprogramowania złośliwego zaobserwowano mniej niż 20 razy 31 75% fragmentów unikalnego 88% oprogramowania kodu wyodrębniono złośliwego miało obszar w ramach jednej organizacji infekcji ograniczony do mniej niż 10 intytucji © 2013 IBM Corporation
    32. 32. Hackmazon 32 © 2013 IBM Corporation
    33. 33. O czasy, o obyczaje … Zapytany dlaczego rabował banki, odpowiedział: „Ponieważ tam były pieniądze” "Because that's where the money is.“ Willie Sutton mobile devices Arnie Leven http://www.condenaststore.com/-sp/I-steal-from-computers-cause-that-s-where-themoney-is-Cartoon-Prints_i8638625_.htm 33 © 2013 IBM Corporation
    34. 34. Twój telefon, tablet - Wartościowy cel Podwójna korzyść, dostęp do danych prywatnych i firmowych 2x 34 Dostęp nigdy nie był łatwiejszy 45 miliardów pobranych aplikacji w 2012. 45 Billion © 2013 IBM Corporation
    35. 35. Typy aplikacji mobilnych Aplikacje webowe Aplikacje natywne Aplikacje hybrydowe 35 © 2013 IBM Corporation
    36. 36. Złośliwe oprogramowanie (Android) Source: Juniper Mobile Threat Report, 2/12 "Of those 293,091 malicious apps, 68,740 were sourced directly from Google Play," writes Rik Ferguson, director of security research and communications at Trend Micro. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-3q-2012-security-roundupandroid-under-siege-popularity-comes-at-a-price.pdf 37 © 2013 IBM Corporation
    37. 37. Jailbreak i inne Source: Arxan State of Security in the App Economy – 2012 38 © 2013 IBM Corporation
    38. 38. Dostęp aplikacji do zasobów 39 © 2013 IBM Corporation
    39. 39. Podatności IBM X-Force 40 © 2013 IBM Corporation
    40. 40. Exploits IBM X-Force 41 © 2013 IBM Corporation
    41. 41. Łaty IBM X-Force 42 © 2013 IBM Corporation
    42. 42. Narzędzia hackerskie IBM X-Force 43 © 2013 IBM Corporation
    43. 43. Polimorfizm 5% skuteczność AV w przypadku robaków polimorficznych 44 © 2013 IBM Corporation
    44. 44. Jak wykryć nowoczesny Malware? 45 © 2013 IBM Corporation
    45. 45. Jak wykryć nowoczesny Malware? 46 © 2013 IBM Corporation
    46. 46. Jak wykrywać anomalie? • Analiza o ruch bazowy • Analiza behawioralna (wzorce użytkownika, urządzenia, aplikacji i zaawansowane metody statystyczne) • Analiza pełnego kontekstu ataku (sieć, serwer, middleware, aplikacja, użytkownik) • Identyfikacja oprogamowania złośliwego • Ochrona urządzeń mobilnych • Identyfikacja podatności i słabości systemu 47 © 2013 IBM Corporation
    47. 47. Kilka słów o NSA • Udowodnili ze implementacja BigData jest możliwa  • Używają różnych metod zbierania informacji TelCo, Bankowość, Przemysł, Internet (AT&T, SWIFT, Petrobras, Goggle), włączjąc monitorowanie lini transoceanicznych) • Zmuszają do współpracy giganty IT • Wpływają na standardy kryptograficzne, tworzą „backdoor” w aplikacjach • Posiadają największy zespół hakerski – TAO, malnet – Quantum, Exploitation Kit – FOXACID • Udało się im zaatakować sieć TOR 48 © 2013 IBM Corporation
    48. 48. Kim jesteś …? Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems. © 2013 IBM Corporation
    49. 49. IPS • Działają w oparciu o sygnatury i reguły do warstwy 4 • Niewystarczające do identyfikacji APT, fraudów wycieków danych • Podatne na ataki DDoS • False-Positive vs. False-Negative • Ciągle ważne ale trzeba czegoś więcej 50 © 2013 IBM Corporation
    50. 50. NG IPS 51 © 2013 IBM Corporation
    51. 51. Ochrona danych • Identyfikacja danych wrażliwych (włączając migrację) • Monitorowanie dostępu do nich • Używanie szyfrowanie wszędzie gdzie to możliwe 52 © 2013 IBM Corporation
    52. 52. Guardium 9.1 DATA Big Data Environments InfoSphere BigInsight s GreenPlum CouchDB Integration with LDAP, IAM, SIEM, TSM, Remedy, … SAP HANA Amazon RDS Cassandra Hbase 53 © 2013 IBM Corporation
    53. 53. Detekcja anomalii w DAM Anomaly Hours are marked in Red or Yellow. Click on the bubble navigates to the Outlier View 54 © 2013 IBM Corporation
    54. 54. Szyfrowanie danych APPLICATIONS Data Security Manager • FIPS Level 3 Key Management • Centralized, Automated Key Management • High Availability Cluster • Robust role separation DATABASES FILE SYSTEMS HTTPS VOLUME MANAGERS DAS NAS SAN 55 Encryption Expert Agent • File System or Volume Manager • Transparent and agnostic • Supports Linux, Unix, & Windows • Privileged User Control and Separation • Software-based encryption © 2013 IBM Corporation
    55. 55. Szyfrowanie danych Clear Text BlockLevel MetaClear File System Metadata Name: Jsmith.doc Created: 6/4/99 Modified: 8/15/02 fAiwD7nb$ Nkxchsu^j2 3nSJis*jmSL Name: Jsmith.doc Created: 6/4/99 Modified: 8/15/02 File Data Name: J Smith CCN:60115793892 Exp Date: 04/04 Bal: $5,145,789 SSN: 514-73-8970 dfjdNk%(Amg 8nGmwlNskd 9f Nd&9Dm*Ndd xIu2Ks0BKsjd Nac0&6mKcoS qCio9M*sdopF dfjdNk%(Amg 8nGmwlNskd 9f Nd&9Dm*Ndd xIu2Ks0BKsjd Nac0&6mKcoS qCio9M*sdopF File Data • • • • 56 File Data File Data File Data Protects Sensitive Information Without Disrupting Data Management High-Performance Encryption Root Access Control Data Access as an Intended Privilege © 2013 IBM Corporation
    56. 56. Jakość kodu aplikacji • Kto programuje Twoje aplikacje? • Jak sprawdzasz jakość kodu? • Jak kontroluje zmiany i poprawki? 57 © 2013 IBM Corporation
    57. 57. Pełnowymiarowa analiza aplikacji - AppScan Client Side App Browser JavaScript / HTML5 hybrid analysis Native App  SAST (source code)  DAST (web interfaces)  Native App Android iOS  Static Analysis  Static Analysis JavaScript 58 Server Side App  Static Analysis © 2013 IBM Corporation
    58. 58. Jak zarządzasz końcówkami? • • • • • 59 Zarządzanie zasobami Łaty Definicja ról i wymuszanie ich stosowania Monitorowanie dostępu do danych (DLP) Separacja oprogramowania złośliwego i jego unieszkodliwianie © 2013 IBM Corporation
    59. 59. Pełny cykl życia końcówek - TEM Windows/Mac Unix / Linux Inventory Patch Mngt Windows Mobile Kiosk POS Protection Android/iOS/Symbian/ Windows Phone CCM Energy Mngt Software Usage MDM OS deployment Remote Control 60 © 2013 IBM Corporation
    60. 60. Jak to działa? Sites PATCH LICENSE Compliance REMOTE Internet Security, DLP SW Distrib 61 ASSET INSTALL MOBILE © 2013 IBM Corporation
    61. 61. Jak to działa? TEM Agent TEM SRV Przypisanie Dane 62 © 2013 IBM Corporation
    62. 62. Jak działa exploit? WWW Exploit Exploitation Vulnerability File System External Content Legitimate access An exploit is a piece of software that uses an application vulnerability to cause unintended application behavior 63 © 2013 IBM Corporation
    63. 63. Weryfikacja stanu aplikacji Allow application action with a approved state Application State User initiated External Content App Update Legitimate Access 64 File System © 2013 IBM Corporation
    64. 64. Weryfikacja stanu aplikacji Stop application actions with unknown state Application State User Initiate d Exploit Trusteer Apex Stops Executio n App Update File System 65 © 2013 IBM Corporation
    65. 65. Blokada komunikacji oprogramowania złośliwego Block suspicious executables that open malicious communication channels Pre-existing Infection Direct User Download Exfiltration 1 Prevention External Network Informationstealing malware Exfiltration 2 Prevention 66 Direct Communication is Highly Visible Evasion #1: Compromise Application Process Evasion #2: Communicate Over Legitimate Websites Looks Like Legitimate Communication © 2013 IBM Corporation
    66. 66. Ochrona przed kradzieżą tożsamości (ATO) Grabbing credentials from websites Key Logging WWW Phishing WWW Using Corp ****** PWD on Public Sites Keystrokes Obfuscation Grabbing credentials from users’ machine 67 ***** Password Protection © 2013 IBM Corporation
    67. 67. Niekończąca się historia Phishing and Malware Fraud Online Banking Account Takeover, New Account Fraud Mobile Fraud Risk WWW Advanced Threats (Employees) Wire, ACH, Internal Apps 68 © 2013 IBM Corporation
    68. 68. Niekończąca się historia 69 © 2013 IBM Corporation
    69. 69. Niekończąca się historia Hundreds of Customers 100,000,000 Endpoints 7/10 9/10 Top US Banks Global Leading Global Organizations Put Their TRUST In Us Top UK Banks 4/5 Major Financial Fraud Prevention Solutions Advanced Threat Protection Intelligence Top Canadian Banks European Banks Technology Leader 70 Expertise © 2013 IBM Corporation
    70. 70. Oprogramowanie złośliwe TRX Online Banking Trusteer Rapport 1 2 71 • Removes existing infection • Prevents new infection • Secures the browser • Alerts user on Phishing sites • Notifies bank for takedown WWW • Retail and Commercial • Scale to millions • No end user impact 4 Prevents credential and data theft that enable ATO and cross-channel fraud Kills the attack before it even starts © 2013 IBM Corporation
    71. 71. Eliminacja oprogramowania złośliwego Malware-generated Fraudulent Transactions Online Banking TRX Trusteer Pinpoint Malware Detection Trusteer Rapport WWW Credentials Theft via Malware and Phishing 72 © 2013 IBM Corporation
    72. 72. Identyfikacja anomalii Login Online Banking Trusteer Pinpoint Malware Detection Trusteer Mobile OOB Trusteer Rapport Trusteer Pinpoint ATO, Mobile Risk Engine 3rd party risk engine Restrict Web App (add payee) Monitor Account (Re-credential User) Out-of-Band Authentication 3 Remediate and Immune Customer 73 © 2013 IBM Corporation
    73. 73. Kradzież tożsamości i ATO Trusteer Pinpoint Malware Detection 1 LOGIN LOGIN Online Banking 2 Trusteer Pinpoint Account Takeover (ATO) Detection Credentials Account Compromise History Phished Credentials 1 1 Malware Infections (stolen credentials) Complex Device Fingerprinting Device Attributes •New Device •Spoofed Device •Criminal Device 2 User Attributes •Interaction Patterns •Geo Location •Time of Access + 2 Access Denied 74 © 2013 IBM Corporation
    74. 74. Phishing i ATO Online Banking 1 Trusteer Rapport LOGIN 2 Phishing Site Office Trusteer Pinpoint Account Takeover (ATO) Detection Account Compromise History Home 1 Phished Credentials Credentials Malware Infections (stolen credentials) 1 Complex Device Fingerprinting Device Attributes •New Device •Spoofed Device •Criminal Device 2 User Attributes •Interaction Patterns •Geo Location •Time of Access + 2 Access Denied 75 © 2013 IBM Corporation
    75. 75. Kradzież tożsamości Trusteer Pinpoint Malware Detection Online Banking 1 2 Trusteer Pinpoint Account Takeover (ATO) Detection New Account Creation PII Data Theft Trusteer Rapport Account and Device Risk 1 2 Credential PII/Theft via Malware or Phishing Same Device -> Multiple Trusteer-protected FIs Same Device -> Multiple Accounts, Single FI 1 / 2 Tag as Fraudster 76 © 2013 IBM Corporation
    76. 76. Niezależny kanał uwierzytelnienia Online Banking LOGIN Trusteer Pinpoint ATO Detection + OOB Service ATO Risk Detected Trusteer Mobile APP Secure OOB Access Authorization: Access Denied Approve access via registered device SMS or Data 77  © 2013 IBM Corporation
    77. 77. ATO i Fraud Mobilny Trusteer Pinpoint Malware Detection Trusteer Mobile Risk Engine App Login LOGIN Credentials Theft Online Banking Credentials Mobile Device Risk Factors The Bank’s Mobile Banking App Phished Credentials Trusteer Mobile SDK Trusteer Rapport Account Compromise History Malware Infections, Phishing Incident (stolen credentials) Device Attributes •Jailbroken / Rooted Device •Malware Infection •New device ID •Unpatched OS •Unsecure Wi-Fi connection •Rogue App 1 2 Restrict Access 78 © 2013 IBM Corporation
    78. 78. Co dalej? czy Gdzie zacząć? • Wiele rozwiązań, konsole, mnóstwo danych, ograniczone zasoby • SIEM – platforma integracji zdarzeń związanych z bezpieczeństwem • Ile incydentów generuje SIEM? • Incydent kontra Ryzyko • QRadar – Platfoma analizy ryzyka (NG SIEM) 79 © 2013 IBM Corporation
    79. 79. QRadar 80 © 2013 IBM Corporation
    80. 80. „Nigdy nie lataj samolotami projektowanymi przez optymistów.” Służy radą pozytywnie pesymistyczny zespół IBM Security Systems 81 © 2013 IBM Corporation
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×