• Like
Nowe zagrożenia Zbigniew Szmigiero
 

Nowe zagrożenia Zbigniew Szmigiero

on

  • 479 views

 

Statistics

Views

Total Views
479
Views on SlideShare
479
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Identyfikacja na poziomie brzegu sieci <br /> Wiem kim jest ale co może? <br /> Deszyfracja wymaga znajomości kluczy i powoduje opożnienia <br /> DDoS na IDS <br />
  • An exploit is a piece of software that takes advantage of a vulnerability in order to cause unintended application behavior. <br /> In this slide we see how external content can carry an exploit. When the content is opened by the viewer application – for example a pdf file in Adobe Acrobat Reader, there can be legitimate access to the file system. However, an exploit will create a different type of access, which uses a vulnerability to download a malicious piece of code to the file system. That code can be a ‘downloader’ or the payload itself. <br /> Apex protects applications that open/render external content, and may be exploited. These applications are: <br /> Adobe Acrobat Reader <br /> Flash viewer <br /> MS-Office applications: Outlook (mail), Excel, Word, PowerPoint <br /> Java <br /> Browsers: Chrome, IE and FF <br />
  • How does Apex work? <br /> Apex verifies the memory state of the application, against Whitelisted, Legitimate application states. <br /> When an application accesses the file system, Apex is triggered to check the memory state. If, like in this case, the memory state matched a whitelisted state, Apex allows it to go through. <br />
  • However, if the action is caused by an exploit, known or zero-day, the access to the file system will create an unknown memory state, and so Apex will prevent the execution of the file the application created. As long as Apex is installed on the endpoint, that code would not execute, so the threat is mitigated. <br /> [Note that in the first version Apex will not remove the malicious file from the file system. This functionality is planned for the next release which is due in H1 2013.] <br />
  • If malware infected the machine it is very important to mitigate the infection. It doesn’t matter if the machine got infected before or after the installation. <br /> If the malware directly communicates with the attacker that communication is very visible and can be easily blocked. So advanced malware uses a few evasion techniques to bypass detection. <br /> For example, it will compromise another legitimate application process, and/or communicate with the attacker over legitimate websites (like Forums and Google Docs). <br /> Trusteer Apex uses a few different techniques to identify unauthorized exfiltration states and malicious communication channels and blocks them. <br /> Because Trusteer Apex monitors the activity on the host itself, it has better visibility and can accurately detect and block these exfiltration states. <br />
  • Apex specifically protects employee credentials, which are a prime target for cyber criminals. If compromised, a hacker can use these credentials to log in and access sensitive business information. <br /> Key loggers are often used for stealing user credentials. They often target VPN clients used by remote employees to access the enterprise network or specific enterprise applications. Trusteer Apex encrypts the keystrokes entered by the user to applications like: VPN clients like Citrix receiver, Browsers, Outlook and can be configured to protect custom applications [needs to be approved by PM]. <br /> Trusteer Apex prevents users from submitting credentials to phishing sites by validating the site to which they connect and blocking attempt to submit corporate credentials to unapproved sites. <br /> In addition, Apex will prevent users from reusing enterprise passwords on public site like Facebook: public sites are constantly targeted by hackers attempting to steal lists of user credentials. Since users don’t want to remember many passwords, they tend to reuse passwords. But using enterprise passwords on public sites may expose your enterprise because public sties are also under attacks. <br /> Apex detects and blocks enterprise password submission to an unauthorized web site and alert the user and the enterprise. <br /> How is it done? <br /> The admin configures in the Trusteer Management Application (TMA) a list of approved URLs for enterprise application login. The agent keeps a one-way-hash of the passwords locally and compares against it when the users tries to login to a webapp. If the login is to an approved URL, it is allowed. If the URL is not on the approved list, the user will not be allow to use that password. <br /> Note that this feature is optional and does not have to be enabled. <br />

Nowe zagrożenia Zbigniew Szmigiero Nowe zagrożenia Zbigniew Szmigiero Presentation Transcript

  • Nowe zagrożenia – Nowe wyzwania. Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems. © 2013 IBM Corporation
  • Tło FireEye – Advanced Threat Report 2012 2 © 2013 IBM Corporation
  • Co chronimy? • Według badań Ponemone Institute: – Większość organizacji nie wie: • Gdzie znajdują się ich krytyczne zasoby? • Gdzie są wrażliwe informacje? • W jaki sposób je chronią? 3 © 2013 IBM Corporation
  • Jak chronić …? Anonimizacja danych Szyfrowanie Sensitive Test Data Developer Q&A DB IPS DAM Szyfrowanie w czasie rzeczywistym 4 © 2013 IBM Corporation
  • Pomysłowość nie zna granic 5 © 2013 IBM Corporation
  • Rządowy robak Nowe serwery: Singapur Bahrajn Turkmenistan Brunei Indonezja Holandia 6 © 2013 IBM Corporation
  • Kalendarium • • • • • • • • • • • • • • • 7 Q1 2013 – Przynajmniej 6 krytycznych podatności w Java 2/03/13 – Wyciek danych z Evernote 12/03/13 – MS13-027 kolejna podatność poprzez USB stick 12/03/13 – DDoS na Wells Fargo, Bank of America, Chase, Citigroup, HSBC (operacja Ababil) 12/03/13 – Wykradzione dane Michele Obama, Joe Biden, Hillary Clinton 14/03/13 – Ujawnione włamanie do MSZ, MON, KPRM – Alladyn2 19/03/13 – Zmasowany atak na banki i media w Korei Południowej (disk wipe out) 25/03/13 – NATO zezwala na zabijanie hackerów podczas konfliktu 27/03/13 – Największy atak DDoS w historii – Spamhaus (300 Gbps) – CloudFlare w Londynie padł 8/04/13 – Zmasowany atak na Izrael – OpIsrael – grupa Anonymous 14/04/13 – NASK likwiduje botnet oparty o Citadel – 160K komputerów 15/04/13 – Schnucks ujawnia wyciek danych 2.4 miliona kart kredytowych 09/05/13 – Pierwsza biblioteka szyfrowania homomorficznego udostępniona przez IBM Q2’2013 – Snowden, PRISM i NSA 11/2013 – 150M haseł wyciekło z Adobe Air © 2013 IBM Corporation
  • Nowa era zagrożeń 8 © 2013 IBM Corporation
  • Od U238 do U235 9 © 2013 IBM Corporation
  • Infekcja sieci galwanicznie odseparowanych • Modyfikacja procedur – Tylko dla Siemens S7-300 i w dodatku tylko dla wirówek wyprodukowanych przez Vacon w Finlandii i Fararo Paya z Iranu. – Tylko te których częstotliwość jest w zakresie 807-1210 Hz. • Analiza zwracanych informacji z wirówek 10 © 2013 IBM Corporation
  • Cel • Po ~13 dniach – podniesienie częstotliwości do 1410 Hz • Po ~27 dniach – nagła zmiana częstotliwości do 2Hz a następnie do 1064 Hz • Skutek: mechaniczne uszkodzenie wirówek • Celem wirusa było prawdopodobnie centrum uzdatniania uranu w Natanz (Iran). • Przynajmniej 10% wirówek uległo uszkodzeniu 11 © 2013 IBM Corporation
  • Efekt 12 © 2013 IBM Corporation
  • Dziwne przypadki imć Krebsa Czwartek rano 13 © 2013 IBM Corporation
  • Dziwne przypadki imć Krebsa Czwartek po południu 14 © 2013 IBM Corporation
  • Dziwne przypadki imć Krebsa Czwartek wieczorem 15 © 2013 IBM Corporation
  • Czy to koniec tej opowieści? 16 © 2013 IBM Corporation
  • badBIOS bardziej zaawansowany niż Stuxnet i Flame 17 © 2013 IBM Corporation
  • badBIOS – komunikacja z użyciem ultradźwięków 18 © 2013 IBM Corporation
  • Futurologia w bajkach – Drukowanie 19 © 2013 IBM Corporation
  • Pisanie, prepajdy, MAC i Apple, … 20 © 2013 IBM Corporation
  • Struktura ataku Przynęta Cel ataku 21 © 2013 IBM Corporation
  • Fishing przykład 1 22 © 2013 IBM Corporation
  • Fishing przykład 1 23 © 2013 IBM Corporation
  • Fishing przykład 2 24 © 2013 IBM Corporation
  • Czy moje dane są bezpieczne? 25 © 2013 IBM Corporation
  • Charakterystyka ataku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?CMP=DMC-SMB_Z_ZZ_ZZ_Z_TV_N_Z038 26 © 2013 IBM Corporation
  • Różne scenariusze ataku • • • • 27 Infekcja stacji roboczej poza środowiskiem Infekcja urządzenia mobilnego Atak bezpośredni z użyciem podatności Atak bezpośredni ze wsparciem z wewnątrz instytucji © 2013 IBM Corporation
  • Pochodzenie ataku Verizon 2012 28 © 2013 IBM Corporation
  • Przynęta Raport AVTest 29 © 2013 IBM Corporation
  • Wszystko może posłużyć jako przynęta 234 domeny z malware w ciągu 24 godzin 30 © 2013 IBM Corporation
  • Dedykowane oprogramowanie złośliwe (APT) Raport Sophos Labs 50% zidentyfikowanego oprogramowania złośliwego zaobserwowano mniej niż 20 razy 31 75% fragmentów unikalnego 88% oprogramowania kodu wyodrębniono złośliwego miało obszar w ramach jednej organizacji infekcji ograniczony do mniej niż 10 intytucji © 2013 IBM Corporation
  • Hackmazon 32 © 2013 IBM Corporation
  • O czasy, o obyczaje … Zapytany dlaczego rabował banki, odpowiedział: „Ponieważ tam były pieniądze” "Because that's where the money is.“ Willie Sutton mobile devices Arnie Leven http://www.condenaststore.com/-sp/I-steal-from-computers-cause-that-s-where-themoney-is-Cartoon-Prints_i8638625_.htm 33 © 2013 IBM Corporation
  • Twój telefon, tablet - Wartościowy cel Podwójna korzyść, dostęp do danych prywatnych i firmowych 2x 34 Dostęp nigdy nie był łatwiejszy 45 miliardów pobranych aplikacji w 2012. 45 Billion © 2013 IBM Corporation
  • Typy aplikacji mobilnych Aplikacje webowe Aplikacje natywne Aplikacje hybrydowe 35 © 2013 IBM Corporation
  • Złośliwe oprogramowanie (Android) Source: Juniper Mobile Threat Report, 2/12 "Of those 293,091 malicious apps, 68,740 were sourced directly from Google Play," writes Rik Ferguson, director of security research and communications at Trend Micro. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-3q-2012-security-roundupandroid-under-siege-popularity-comes-at-a-price.pdf 37 © 2013 IBM Corporation
  • Jailbreak i inne Source: Arxan State of Security in the App Economy – 2012 38 © 2013 IBM Corporation
  • Dostęp aplikacji do zasobów 39 © 2013 IBM Corporation
  • Podatności IBM X-Force 40 © 2013 IBM Corporation
  • Exploits IBM X-Force 41 © 2013 IBM Corporation
  • Łaty IBM X-Force 42 © 2013 IBM Corporation
  • Narzędzia hackerskie IBM X-Force 43 © 2013 IBM Corporation
  • Polimorfizm 5% skuteczność AV w przypadku robaków polimorficznych 44 © 2013 IBM Corporation
  • Jak wykryć nowoczesny Malware? 45 © 2013 IBM Corporation
  • Jak wykryć nowoczesny Malware? 46 © 2013 IBM Corporation
  • Jak wykrywać anomalie? • Analiza o ruch bazowy • Analiza behawioralna (wzorce użytkownika, urządzenia, aplikacji i zaawansowane metody statystyczne) • Analiza pełnego kontekstu ataku (sieć, serwer, middleware, aplikacja, użytkownik) • Identyfikacja oprogamowania złośliwego • Ochrona urządzeń mobilnych • Identyfikacja podatności i słabości systemu 47 © 2013 IBM Corporation
  • Kilka słów o NSA • Udowodnili ze implementacja BigData jest możliwa  • Używają różnych metod zbierania informacji TelCo, Bankowość, Przemysł, Internet (AT&T, SWIFT, Petrobras, Goggle), włączjąc monitorowanie lini transoceanicznych) • Zmuszają do współpracy giganty IT • Wpływają na standardy kryptograficzne, tworzą „backdoor” w aplikacjach • Posiadają największy zespół hakerski – TAO, malnet – Quantum, Exploitation Kit – FOXACID • Udało się im zaatakować sieć TOR 48 © 2013 IBM Corporation
  • Kim jesteś …? Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems. © 2013 IBM Corporation
  • IPS • Działają w oparciu o sygnatury i reguły do warstwy 4 • Niewystarczające do identyfikacji APT, fraudów wycieków danych • Podatne na ataki DDoS • False-Positive vs. False-Negative • Ciągle ważne ale trzeba czegoś więcej 50 © 2013 IBM Corporation
  • NG IPS 51 © 2013 IBM Corporation
  • Ochrona danych • Identyfikacja danych wrażliwych (włączając migrację) • Monitorowanie dostępu do nich • Używanie szyfrowanie wszędzie gdzie to możliwe 52 © 2013 IBM Corporation
  • Guardium 9.1 DATA Big Data Environments InfoSphere BigInsight s GreenPlum CouchDB Integration with LDAP, IAM, SIEM, TSM, Remedy, … SAP HANA Amazon RDS Cassandra Hbase 53 © 2013 IBM Corporation
  • Detekcja anomalii w DAM Anomaly Hours are marked in Red or Yellow. Click on the bubble navigates to the Outlier View 54 © 2013 IBM Corporation
  • Szyfrowanie danych APPLICATIONS Data Security Manager • FIPS Level 3 Key Management • Centralized, Automated Key Management • High Availability Cluster • Robust role separation DATABASES FILE SYSTEMS HTTPS VOLUME MANAGERS DAS NAS SAN 55 Encryption Expert Agent • File System or Volume Manager • Transparent and agnostic • Supports Linux, Unix, & Windows • Privileged User Control and Separation • Software-based encryption © 2013 IBM Corporation
  • Szyfrowanie danych Clear Text BlockLevel MetaClear File System Metadata Name: Jsmith.doc Created: 6/4/99 Modified: 8/15/02 fAiwD7nb$ Nkxchsu^j2 3nSJis*jmSL Name: Jsmith.doc Created: 6/4/99 Modified: 8/15/02 File Data Name: J Smith CCN:60115793892 Exp Date: 04/04 Bal: $5,145,789 SSN: 514-73-8970 dfjdNk%(Amg 8nGmwlNskd 9f Nd&9Dm*Ndd xIu2Ks0BKsjd Nac0&6mKcoS qCio9M*sdopF dfjdNk%(Amg 8nGmwlNskd 9f Nd&9Dm*Ndd xIu2Ks0BKsjd Nac0&6mKcoS qCio9M*sdopF File Data • • • • 56 File Data File Data File Data Protects Sensitive Information Without Disrupting Data Management High-Performance Encryption Root Access Control Data Access as an Intended Privilege © 2013 IBM Corporation
  • Jakość kodu aplikacji • Kto programuje Twoje aplikacje? • Jak sprawdzasz jakość kodu? • Jak kontroluje zmiany i poprawki? 57 © 2013 IBM Corporation
  • Pełnowymiarowa analiza aplikacji - AppScan Client Side App Browser JavaScript / HTML5 hybrid analysis Native App  SAST (source code)  DAST (web interfaces)  Native App Android iOS  Static Analysis  Static Analysis JavaScript 58 Server Side App  Static Analysis © 2013 IBM Corporation
  • Jak zarządzasz końcówkami? • • • • • 59 Zarządzanie zasobami Łaty Definicja ról i wymuszanie ich stosowania Monitorowanie dostępu do danych (DLP) Separacja oprogramowania złośliwego i jego unieszkodliwianie © 2013 IBM Corporation
  • Pełny cykl życia końcówek - TEM Windows/Mac Unix / Linux Inventory Patch Mngt Windows Mobile Kiosk POS Protection Android/iOS/Symbian/ Windows Phone CCM Energy Mngt Software Usage MDM OS deployment Remote Control 60 © 2013 IBM Corporation
  • Jak to działa? Sites PATCH LICENSE Compliance REMOTE Internet Security, DLP SW Distrib 61 ASSET INSTALL MOBILE © 2013 IBM Corporation
  • Jak to działa? TEM Agent TEM SRV Przypisanie Dane 62 © 2013 IBM Corporation
  • Jak działa exploit? WWW Exploit Exploitation Vulnerability File System External Content Legitimate access An exploit is a piece of software that uses an application vulnerability to cause unintended application behavior 63 © 2013 IBM Corporation
  • Weryfikacja stanu aplikacji Allow application action with a approved state Application State User initiated External Content App Update Legitimate Access 64 File System © 2013 IBM Corporation
  • Weryfikacja stanu aplikacji Stop application actions with unknown state Application State User Initiate d Exploit Trusteer Apex Stops Executio n App Update File System 65 © 2013 IBM Corporation
  • Blokada komunikacji oprogramowania złośliwego Block suspicious executables that open malicious communication channels Pre-existing Infection Direct User Download Exfiltration 1 Prevention External Network Informationstealing malware Exfiltration 2 Prevention 66 Direct Communication is Highly Visible Evasion #1: Compromise Application Process Evasion #2: Communicate Over Legitimate Websites Looks Like Legitimate Communication © 2013 IBM Corporation
  • Ochrona przed kradzieżą tożsamości (ATO) Grabbing credentials from websites Key Logging WWW Phishing WWW Using Corp ****** PWD on Public Sites Keystrokes Obfuscation Grabbing credentials from users’ machine 67 ***** Password Protection © 2013 IBM Corporation
  • Niekończąca się historia Phishing and Malware Fraud Online Banking Account Takeover, New Account Fraud Mobile Fraud Risk WWW Advanced Threats (Employees) Wire, ACH, Internal Apps 68 © 2013 IBM Corporation
  • Niekończąca się historia 69 © 2013 IBM Corporation
  • Niekończąca się historia Hundreds of Customers 100,000,000 Endpoints 7/10 9/10 Top US Banks Global Leading Global Organizations Put Their TRUST In Us Top UK Banks 4/5 Major Financial Fraud Prevention Solutions Advanced Threat Protection Intelligence Top Canadian Banks European Banks Technology Leader 70 Expertise © 2013 IBM Corporation
  • Oprogramowanie złośliwe TRX Online Banking Trusteer Rapport 1 2 71 • Removes existing infection • Prevents new infection • Secures the browser • Alerts user on Phishing sites • Notifies bank for takedown WWW • Retail and Commercial • Scale to millions • No end user impact 4 Prevents credential and data theft that enable ATO and cross-channel fraud Kills the attack before it even starts © 2013 IBM Corporation
  • Eliminacja oprogramowania złośliwego Malware-generated Fraudulent Transactions Online Banking TRX Trusteer Pinpoint Malware Detection Trusteer Rapport WWW Credentials Theft via Malware and Phishing 72 © 2013 IBM Corporation
  • Identyfikacja anomalii Login Online Banking Trusteer Pinpoint Malware Detection Trusteer Mobile OOB Trusteer Rapport Trusteer Pinpoint ATO, Mobile Risk Engine 3rd party risk engine Restrict Web App (add payee) Monitor Account (Re-credential User) Out-of-Band Authentication 3 Remediate and Immune Customer 73 © 2013 IBM Corporation
  • Kradzież tożsamości i ATO Trusteer Pinpoint Malware Detection 1 LOGIN LOGIN Online Banking 2 Trusteer Pinpoint Account Takeover (ATO) Detection Credentials Account Compromise History Phished Credentials 1 1 Malware Infections (stolen credentials) Complex Device Fingerprinting Device Attributes •New Device •Spoofed Device •Criminal Device 2 User Attributes •Interaction Patterns •Geo Location •Time of Access + 2 Access Denied 74 © 2013 IBM Corporation
  • Phishing i ATO Online Banking 1 Trusteer Rapport LOGIN 2 Phishing Site Office Trusteer Pinpoint Account Takeover (ATO) Detection Account Compromise History Home 1 Phished Credentials Credentials Malware Infections (stolen credentials) 1 Complex Device Fingerprinting Device Attributes •New Device •Spoofed Device •Criminal Device 2 User Attributes •Interaction Patterns •Geo Location •Time of Access + 2 Access Denied 75 © 2013 IBM Corporation
  • Kradzież tożsamości Trusteer Pinpoint Malware Detection Online Banking 1 2 Trusteer Pinpoint Account Takeover (ATO) Detection New Account Creation PII Data Theft Trusteer Rapport Account and Device Risk 1 2 Credential PII/Theft via Malware or Phishing Same Device -> Multiple Trusteer-protected FIs Same Device -> Multiple Accounts, Single FI 1 / 2 Tag as Fraudster 76 © 2013 IBM Corporation
  • Niezależny kanał uwierzytelnienia Online Banking LOGIN Trusteer Pinpoint ATO Detection + OOB Service ATO Risk Detected Trusteer Mobile APP Secure OOB Access Authorization: Access Denied Approve access via registered device SMS or Data 77  © 2013 IBM Corporation
  • ATO i Fraud Mobilny Trusteer Pinpoint Malware Detection Trusteer Mobile Risk Engine App Login LOGIN Credentials Theft Online Banking Credentials Mobile Device Risk Factors The Bank’s Mobile Banking App Phished Credentials Trusteer Mobile SDK Trusteer Rapport Account Compromise History Malware Infections, Phishing Incident (stolen credentials) Device Attributes •Jailbroken / Rooted Device •Malware Infection •New device ID •Unpatched OS •Unsecure Wi-Fi connection •Rogue App 1 2 Restrict Access 78 © 2013 IBM Corporation
  • Co dalej? czy Gdzie zacząć? • Wiele rozwiązań, konsole, mnóstwo danych, ograniczone zasoby • SIEM – platforma integracji zdarzeń związanych z bezpieczeństwem • Ile incydentów generuje SIEM? • Incydent kontra Ryzyko • QRadar – Platfoma analizy ryzyka (NG SIEM) 79 © 2013 IBM Corporation
  • QRadar 80 © 2013 IBM Corporation
  • „Nigdy nie lataj samolotami projektowanymi przez optymistów.” Służy radą pozytywnie pesymistyczny zespół IBM Security Systems 81 © 2013 IBM Corporation