Nowe zagrożenia Zbigniew Szmigiero

970 views
815 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
970
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Identyfikacja na poziomie brzegu sieci
    Wiem kim jest ale co może?
    Deszyfracja wymaga znajomości kluczy i powoduje opożnienia
    DDoS na IDS
  • An exploit is a piece of software that takes advantage of a vulnerability in order to cause unintended application behavior.
    In this slide we see how external content can carry an exploit. When the content is opened by the viewer application – for example a pdf file in Adobe Acrobat Reader, there can be legitimate access to the file system. However, an exploit will create a different type of access, which uses a vulnerability to download a malicious piece of code to the file system. That code can be a ‘downloader’ or the payload itself.
    Apex protects applications that open/render external content, and may be exploited. These applications are:
    Adobe Acrobat Reader
    Flash viewer
    MS-Office applications: Outlook (mail), Excel, Word, PowerPoint
    Java
    Browsers: Chrome, IE and FF
  • How does Apex work?
    Apex verifies the memory state of the application, against Whitelisted, Legitimate application states.
    When an application accesses the file system, Apex is triggered to check the memory state. If, like in this case, the memory state matched a whitelisted state, Apex allows it to go through.
  • However, if the action is caused by an exploit, known or zero-day, the access to the file system will create an unknown memory state, and so Apex will prevent the execution of the file the application created. As long as Apex is installed on the endpoint, that code would not execute, so the threat is mitigated.
    [Note that in the first version Apex will not remove the malicious file from the file system. This functionality is planned for the next release which is due in H1 2013.]
  • If malware infected the machine it is very important to mitigate the infection. It doesn’t matter if the machine got infected before or after the installation.
    If the malware directly communicates with the attacker that communication is very visible and can be easily blocked. So advanced malware uses a few evasion techniques to bypass detection.
    For example, it will compromise another legitimate application process, and/or communicate with the attacker over legitimate websites (like Forums and Google Docs).
    Trusteer Apex uses a few different techniques to identify unauthorized exfiltration states and malicious communication channels and blocks them.
    Because Trusteer Apex monitors the activity on the host itself, it has better visibility and can accurately detect and block these exfiltration states.
  • Apex specifically protects employee credentials, which are a prime target for cyber criminals. If compromised, a hacker can use these credentials to log in and access sensitive business information.
    Key loggers are often used for stealing user credentials. They often target VPN clients used by remote employees to access the enterprise network or specific enterprise applications. Trusteer Apex encrypts the keystrokes entered by the user to applications like: VPN clients like Citrix receiver, Browsers, Outlook and can be configured to protect custom applications [needs to be approved by PM].
    Trusteer Apex prevents users from submitting credentials to phishing sites by validating the site to which they connect and blocking attempt to submit corporate credentials to unapproved sites.
    In addition, Apex will prevent users from reusing enterprise passwords on public site like Facebook: public sites are constantly targeted by hackers attempting to steal lists of user credentials. Since users don’t want to remember many passwords, they tend to reuse passwords. But using enterprise passwords on public sites may expose your enterprise because public sties are also under attacks.
    Apex detects and blocks enterprise password submission to an unauthorized web site and alert the user and the enterprise.
    How is it done?
    The admin configures in the Trusteer Management Application (TMA) a list of approved URLs for enterprise application login. The agent keeps a one-way-hash of the passwords locally and compares against it when the users tries to login to a webapp. If the login is to an approved URL, it is allowed. If the URL is not on the approved list, the user will not be allow to use that password.
    Note that this feature is optional and does not have to be enabled.
  • Nowe zagrożenia Zbigniew Szmigiero

    1. 1. Nowe zagrożenia – Nowe wyzwania. Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems. © 2013 IBM Corporation
    2. 2. Tło FireEye – Advanced Threat Report 2012 2 © 2013 IBM Corporation
    3. 3. Co chronimy? • Według badań Ponemone Institute: – Większość organizacji nie wie: • Gdzie znajdują się ich krytyczne zasoby? • Gdzie są wrażliwe informacje? • W jaki sposób je chronią? 3 © 2013 IBM Corporation
    4. 4. Jak chronić …? Anonimizacja danych Szyfrowanie Sensitive Test Data Developer Q&A DB IPS DAM Szyfrowanie w czasie rzeczywistym 4 © 2013 IBM Corporation
    5. 5. Pomysłowość nie zna granic 5 © 2013 IBM Corporation
    6. 6. Rządowy robak Nowe serwery: Singapur Bahrajn Turkmenistan Brunei Indonezja Holandia 6 © 2013 IBM Corporation
    7. 7. Kalendarium • • • • • • • • • • • • • • • 7 Q1 2013 – Przynajmniej 6 krytycznych podatności w Java 2/03/13 – Wyciek danych z Evernote 12/03/13 – MS13-027 kolejna podatność poprzez USB stick 12/03/13 – DDoS na Wells Fargo, Bank of America, Chase, Citigroup, HSBC (operacja Ababil) 12/03/13 – Wykradzione dane Michele Obama, Joe Biden, Hillary Clinton 14/03/13 – Ujawnione włamanie do MSZ, MON, KPRM – Alladyn2 19/03/13 – Zmasowany atak na banki i media w Korei Południowej (disk wipe out) 25/03/13 – NATO zezwala na zabijanie hackerów podczas konfliktu 27/03/13 – Największy atak DDoS w historii – Spamhaus (300 Gbps) – CloudFlare w Londynie padł 8/04/13 – Zmasowany atak na Izrael – OpIsrael – grupa Anonymous 14/04/13 – NASK likwiduje botnet oparty o Citadel – 160K komputerów 15/04/13 – Schnucks ujawnia wyciek danych 2.4 miliona kart kredytowych 09/05/13 – Pierwsza biblioteka szyfrowania homomorficznego udostępniona przez IBM Q2’2013 – Snowden, PRISM i NSA 11/2013 – 150M haseł wyciekło z Adobe Air © 2013 IBM Corporation
    8. 8. Nowa era zagrożeń 8 © 2013 IBM Corporation
    9. 9. Od U238 do U235 9 © 2013 IBM Corporation
    10. 10. Infekcja sieci galwanicznie odseparowanych • Modyfikacja procedur – Tylko dla Siemens S7-300 i w dodatku tylko dla wirówek wyprodukowanych przez Vacon w Finlandii i Fararo Paya z Iranu. – Tylko te których częstotliwość jest w zakresie 807-1210 Hz. • Analiza zwracanych informacji z wirówek 10 © 2013 IBM Corporation
    11. 11. Cel • Po ~13 dniach – podniesienie częstotliwości do 1410 Hz • Po ~27 dniach – nagła zmiana częstotliwości do 2Hz a następnie do 1064 Hz • Skutek: mechaniczne uszkodzenie wirówek • Celem wirusa było prawdopodobnie centrum uzdatniania uranu w Natanz (Iran). • Przynajmniej 10% wirówek uległo uszkodzeniu 11 © 2013 IBM Corporation
    12. 12. Efekt 12 © 2013 IBM Corporation
    13. 13. Dziwne przypadki imć Krebsa Czwartek rano 13 © 2013 IBM Corporation
    14. 14. Dziwne przypadki imć Krebsa Czwartek po południu 14 © 2013 IBM Corporation
    15. 15. Dziwne przypadki imć Krebsa Czwartek wieczorem 15 © 2013 IBM Corporation
    16. 16. Czy to koniec tej opowieści? 16 © 2013 IBM Corporation
    17. 17. badBIOS bardziej zaawansowany niż Stuxnet i Flame 17 © 2013 IBM Corporation
    18. 18. badBIOS – komunikacja z użyciem ultradźwięków 18 © 2013 IBM Corporation
    19. 19. Futurologia w bajkach – Drukowanie 19 © 2013 IBM Corporation
    20. 20. Pisanie, prepajdy, MAC i Apple, … 20 © 2013 IBM Corporation
    21. 21. Struktura ataku Przynęta Cel ataku 21 © 2013 IBM Corporation
    22. 22. Fishing przykład 1 22 © 2013 IBM Corporation
    23. 23. Fishing przykład 1 23 © 2013 IBM Corporation
    24. 24. Fishing przykład 2 24 © 2013 IBM Corporation
    25. 25. Czy moje dane są bezpieczne? 25 © 2013 IBM Corporation
    26. 26. Charakterystyka ataku http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?CMP=DMC-SMB_Z_ZZ_ZZ_Z_TV_N_Z038 26 © 2013 IBM Corporation
    27. 27. Różne scenariusze ataku • • • • 27 Infekcja stacji roboczej poza środowiskiem Infekcja urządzenia mobilnego Atak bezpośredni z użyciem podatności Atak bezpośredni ze wsparciem z wewnątrz instytucji © 2013 IBM Corporation
    28. 28. Pochodzenie ataku Verizon 2012 28 © 2013 IBM Corporation
    29. 29. Przynęta Raport AVTest 29 © 2013 IBM Corporation
    30. 30. Wszystko może posłużyć jako przynęta 234 domeny z malware w ciągu 24 godzin 30 © 2013 IBM Corporation
    31. 31. Dedykowane oprogramowanie złośliwe (APT) Raport Sophos Labs 50% zidentyfikowanego oprogramowania złośliwego zaobserwowano mniej niż 20 razy 31 75% fragmentów unikalnego 88% oprogramowania kodu wyodrębniono złośliwego miało obszar w ramach jednej organizacji infekcji ograniczony do mniej niż 10 intytucji © 2013 IBM Corporation
    32. 32. Hackmazon 32 © 2013 IBM Corporation
    33. 33. O czasy, o obyczaje … Zapytany dlaczego rabował banki, odpowiedział: „Ponieważ tam były pieniądze” "Because that's where the money is.“ Willie Sutton mobile devices Arnie Leven http://www.condenaststore.com/-sp/I-steal-from-computers-cause-that-s-where-themoney-is-Cartoon-Prints_i8638625_.htm 33 © 2013 IBM Corporation
    34. 34. Twój telefon, tablet - Wartościowy cel Podwójna korzyść, dostęp do danych prywatnych i firmowych 2x 34 Dostęp nigdy nie był łatwiejszy 45 miliardów pobranych aplikacji w 2012. 45 Billion © 2013 IBM Corporation
    35. 35. Typy aplikacji mobilnych Aplikacje webowe Aplikacje natywne Aplikacje hybrydowe 35 © 2013 IBM Corporation
    36. 36. Złośliwe oprogramowanie (Android) Source: Juniper Mobile Threat Report, 2/12 "Of those 293,091 malicious apps, 68,740 were sourced directly from Google Play," writes Rik Ferguson, director of security research and communications at Trend Micro. http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-3q-2012-security-roundupandroid-under-siege-popularity-comes-at-a-price.pdf 37 © 2013 IBM Corporation
    37. 37. Jailbreak i inne Source: Arxan State of Security in the App Economy – 2012 38 © 2013 IBM Corporation
    38. 38. Dostęp aplikacji do zasobów 39 © 2013 IBM Corporation
    39. 39. Podatności IBM X-Force 40 © 2013 IBM Corporation
    40. 40. Exploits IBM X-Force 41 © 2013 IBM Corporation
    41. 41. Łaty IBM X-Force 42 © 2013 IBM Corporation
    42. 42. Narzędzia hackerskie IBM X-Force 43 © 2013 IBM Corporation
    43. 43. Polimorfizm 5% skuteczność AV w przypadku robaków polimorficznych 44 © 2013 IBM Corporation
    44. 44. Jak wykryć nowoczesny Malware? 45 © 2013 IBM Corporation
    45. 45. Jak wykryć nowoczesny Malware? 46 © 2013 IBM Corporation
    46. 46. Jak wykrywać anomalie? • Analiza o ruch bazowy • Analiza behawioralna (wzorce użytkownika, urządzenia, aplikacji i zaawansowane metody statystyczne) • Analiza pełnego kontekstu ataku (sieć, serwer, middleware, aplikacja, użytkownik) • Identyfikacja oprogamowania złośliwego • Ochrona urządzeń mobilnych • Identyfikacja podatności i słabości systemu 47 © 2013 IBM Corporation
    47. 47. Kilka słów o NSA • Udowodnili ze implementacja BigData jest możliwa  • Używają różnych metod zbierania informacji TelCo, Bankowość, Przemysł, Internet (AT&T, SWIFT, Petrobras, Goggle), włączjąc monitorowanie lini transoceanicznych) • Zmuszają do współpracy giganty IT • Wpływają na standardy kryptograficzne, tworzą „backdoor” w aplikacjach • Posiadają największy zespół hakerski – TAO, malnet – Quantum, Exploitation Kit – FOXACID • Udało się im zaatakować sieć TOR 48 © 2013 IBM Corporation
    48. 48. Kim jesteś …? Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems. © 2013 IBM Corporation
    49. 49. IPS • Działają w oparciu o sygnatury i reguły do warstwy 4 • Niewystarczające do identyfikacji APT, fraudów wycieków danych • Podatne na ataki DDoS • False-Positive vs. False-Negative • Ciągle ważne ale trzeba czegoś więcej 50 © 2013 IBM Corporation
    50. 50. NG IPS 51 © 2013 IBM Corporation
    51. 51. Ochrona danych • Identyfikacja danych wrażliwych (włączając migrację) • Monitorowanie dostępu do nich • Używanie szyfrowanie wszędzie gdzie to możliwe 52 © 2013 IBM Corporation
    52. 52. Guardium 9.1 DATA Big Data Environments InfoSphere BigInsight s GreenPlum CouchDB Integration with LDAP, IAM, SIEM, TSM, Remedy, … SAP HANA Amazon RDS Cassandra Hbase 53 © 2013 IBM Corporation
    53. 53. Detekcja anomalii w DAM Anomaly Hours are marked in Red or Yellow. Click on the bubble navigates to the Outlier View 54 © 2013 IBM Corporation
    54. 54. Szyfrowanie danych APPLICATIONS Data Security Manager • FIPS Level 3 Key Management • Centralized, Automated Key Management • High Availability Cluster • Robust role separation DATABASES FILE SYSTEMS HTTPS VOLUME MANAGERS DAS NAS SAN 55 Encryption Expert Agent • File System or Volume Manager • Transparent and agnostic • Supports Linux, Unix, & Windows • Privileged User Control and Separation • Software-based encryption © 2013 IBM Corporation
    55. 55. Szyfrowanie danych Clear Text BlockLevel MetaClear File System Metadata Name: Jsmith.doc Created: 6/4/99 Modified: 8/15/02 fAiwD7nb$ Nkxchsu^j2 3nSJis*jmSL Name: Jsmith.doc Created: 6/4/99 Modified: 8/15/02 File Data Name: J Smith CCN:60115793892 Exp Date: 04/04 Bal: $5,145,789 SSN: 514-73-8970 dfjdNk%(Amg 8nGmwlNskd 9f Nd&9Dm*Ndd xIu2Ks0BKsjd Nac0&6mKcoS qCio9M*sdopF dfjdNk%(Amg 8nGmwlNskd 9f Nd&9Dm*Ndd xIu2Ks0BKsjd Nac0&6mKcoS qCio9M*sdopF File Data • • • • 56 File Data File Data File Data Protects Sensitive Information Without Disrupting Data Management High-Performance Encryption Root Access Control Data Access as an Intended Privilege © 2013 IBM Corporation
    56. 56. Jakość kodu aplikacji • Kto programuje Twoje aplikacje? • Jak sprawdzasz jakość kodu? • Jak kontroluje zmiany i poprawki? 57 © 2013 IBM Corporation
    57. 57. Pełnowymiarowa analiza aplikacji - AppScan Client Side App Browser JavaScript / HTML5 hybrid analysis Native App  SAST (source code)  DAST (web interfaces)  Native App Android iOS  Static Analysis  Static Analysis JavaScript 58 Server Side App  Static Analysis © 2013 IBM Corporation
    58. 58. Jak zarządzasz końcówkami? • • • • • 59 Zarządzanie zasobami Łaty Definicja ról i wymuszanie ich stosowania Monitorowanie dostępu do danych (DLP) Separacja oprogramowania złośliwego i jego unieszkodliwianie © 2013 IBM Corporation
    59. 59. Pełny cykl życia końcówek - TEM Windows/Mac Unix / Linux Inventory Patch Mngt Windows Mobile Kiosk POS Protection Android/iOS/Symbian/ Windows Phone CCM Energy Mngt Software Usage MDM OS deployment Remote Control 60 © 2013 IBM Corporation
    60. 60. Jak to działa? Sites PATCH LICENSE Compliance REMOTE Internet Security, DLP SW Distrib 61 ASSET INSTALL MOBILE © 2013 IBM Corporation
    61. 61. Jak to działa? TEM Agent TEM SRV Przypisanie Dane 62 © 2013 IBM Corporation
    62. 62. Jak działa exploit? WWW Exploit Exploitation Vulnerability File System External Content Legitimate access An exploit is a piece of software that uses an application vulnerability to cause unintended application behavior 63 © 2013 IBM Corporation
    63. 63. Weryfikacja stanu aplikacji Allow application action with a approved state Application State User initiated External Content App Update Legitimate Access 64 File System © 2013 IBM Corporation
    64. 64. Weryfikacja stanu aplikacji Stop application actions with unknown state Application State User Initiate d Exploit Trusteer Apex Stops Executio n App Update File System 65 © 2013 IBM Corporation
    65. 65. Blokada komunikacji oprogramowania złośliwego Block suspicious executables that open malicious communication channels Pre-existing Infection Direct User Download Exfiltration 1 Prevention External Network Informationstealing malware Exfiltration 2 Prevention 66 Direct Communication is Highly Visible Evasion #1: Compromise Application Process Evasion #2: Communicate Over Legitimate Websites Looks Like Legitimate Communication © 2013 IBM Corporation
    66. 66. Ochrona przed kradzieżą tożsamości (ATO) Grabbing credentials from websites Key Logging WWW Phishing WWW Using Corp ****** PWD on Public Sites Keystrokes Obfuscation Grabbing credentials from users’ machine 67 ***** Password Protection © 2013 IBM Corporation
    67. 67. Niekończąca się historia Phishing and Malware Fraud Online Banking Account Takeover, New Account Fraud Mobile Fraud Risk WWW Advanced Threats (Employees) Wire, ACH, Internal Apps 68 © 2013 IBM Corporation
    68. 68. Niekończąca się historia 69 © 2013 IBM Corporation
    69. 69. Niekończąca się historia Hundreds of Customers 100,000,000 Endpoints 7/10 9/10 Top US Banks Global Leading Global Organizations Put Their TRUST In Us Top UK Banks 4/5 Major Financial Fraud Prevention Solutions Advanced Threat Protection Intelligence Top Canadian Banks European Banks Technology Leader 70 Expertise © 2013 IBM Corporation
    70. 70. Oprogramowanie złośliwe TRX Online Banking Trusteer Rapport 1 2 71 • Removes existing infection • Prevents new infection • Secures the browser • Alerts user on Phishing sites • Notifies bank for takedown WWW • Retail and Commercial • Scale to millions • No end user impact 4 Prevents credential and data theft that enable ATO and cross-channel fraud Kills the attack before it even starts © 2013 IBM Corporation
    71. 71. Eliminacja oprogramowania złośliwego Malware-generated Fraudulent Transactions Online Banking TRX Trusteer Pinpoint Malware Detection Trusteer Rapport WWW Credentials Theft via Malware and Phishing 72 © 2013 IBM Corporation
    72. 72. Identyfikacja anomalii Login Online Banking Trusteer Pinpoint Malware Detection Trusteer Mobile OOB Trusteer Rapport Trusteer Pinpoint ATO, Mobile Risk Engine 3rd party risk engine Restrict Web App (add payee) Monitor Account (Re-credential User) Out-of-Band Authentication 3 Remediate and Immune Customer 73 © 2013 IBM Corporation
    73. 73. Kradzież tożsamości i ATO Trusteer Pinpoint Malware Detection 1 LOGIN LOGIN Online Banking 2 Trusteer Pinpoint Account Takeover (ATO) Detection Credentials Account Compromise History Phished Credentials 1 1 Malware Infections (stolen credentials) Complex Device Fingerprinting Device Attributes •New Device •Spoofed Device •Criminal Device 2 User Attributes •Interaction Patterns •Geo Location •Time of Access + 2 Access Denied 74 © 2013 IBM Corporation
    74. 74. Phishing i ATO Online Banking 1 Trusteer Rapport LOGIN 2 Phishing Site Office Trusteer Pinpoint Account Takeover (ATO) Detection Account Compromise History Home 1 Phished Credentials Credentials Malware Infections (stolen credentials) 1 Complex Device Fingerprinting Device Attributes •New Device •Spoofed Device •Criminal Device 2 User Attributes •Interaction Patterns •Geo Location •Time of Access + 2 Access Denied 75 © 2013 IBM Corporation
    75. 75. Kradzież tożsamości Trusteer Pinpoint Malware Detection Online Banking 1 2 Trusteer Pinpoint Account Takeover (ATO) Detection New Account Creation PII Data Theft Trusteer Rapport Account and Device Risk 1 2 Credential PII/Theft via Malware or Phishing Same Device -> Multiple Trusteer-protected FIs Same Device -> Multiple Accounts, Single FI 1 / 2 Tag as Fraudster 76 © 2013 IBM Corporation
    76. 76. Niezależny kanał uwierzytelnienia Online Banking LOGIN Trusteer Pinpoint ATO Detection + OOB Service ATO Risk Detected Trusteer Mobile APP Secure OOB Access Authorization: Access Denied Approve access via registered device SMS or Data 77  © 2013 IBM Corporation
    77. 77. ATO i Fraud Mobilny Trusteer Pinpoint Malware Detection Trusteer Mobile Risk Engine App Login LOGIN Credentials Theft Online Banking Credentials Mobile Device Risk Factors The Bank’s Mobile Banking App Phished Credentials Trusteer Mobile SDK Trusteer Rapport Account Compromise History Malware Infections, Phishing Incident (stolen credentials) Device Attributes •Jailbroken / Rooted Device •Malware Infection •New device ID •Unpatched OS •Unsecure Wi-Fi connection •Rogue App 1 2 Restrict Access 78 © 2013 IBM Corporation
    78. 78. Co dalej? czy Gdzie zacząć? • Wiele rozwiązań, konsole, mnóstwo danych, ograniczone zasoby • SIEM – platforma integracji zdarzeń związanych z bezpieczeństwem • Ile incydentów generuje SIEM? • Incydent kontra Ryzyko • QRadar – Platfoma analizy ryzyka (NG SIEM) 79 © 2013 IBM Corporation
    79. 79. QRadar 80 © 2013 IBM Corporation
    80. 80. „Nigdy nie lataj samolotami projektowanymi przez optymistów.” Służy radą pozytywnie pesymistyczny zespół IBM Security Systems 81 © 2013 IBM Corporation

    ×