• Save
3 Nir Zuk Modern Malware Jun 2011
Upcoming SlideShare
Loading in...5
×
 

3 Nir Zuk Modern Malware Jun 2011

on

  • 613 views

Presentación del fundador y CTO de Palo Alto Networks, Nir Zuk, sobre las amenazas de seguridad actuales, como ha evolucionado el ciberterrorismo, y las formas de controlarlo con el FW de Nueva ...

Presentación del fundador y CTO de Palo Alto Networks, Nir Zuk, sobre las amenazas de seguridad actuales, como ha evolucionado el ciberterrorismo, y las formas de controlarlo con el FW de Nueva Generación de Palo Alto Networks.

Statistics

Views

Total Views
613
Views on SlideShare
613
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

3 Nir Zuk Modern Malware Jun 2011 3 Nir Zuk Modern Malware Jun 2011 Presentation Transcript

  • Modern  Malware   Nir  Zuk   Founder  and  CTO  
  • data  breach  mythology  
  • we  invest  in  protec>ng  our  data  centers  
  • rarely  the  datacenter  is  a?acked  directly  
  • no  more  vulnerability  scanning  
  • the  new  a?acker  
  • the  a?acker  is  not  a  bored  geek  
  • na>on  states  and  organized  crime  
  • data  breaches  in  2011  
  • step  one:  bait  an  end-­‐user  
  • step  one:  bait  an  end-­‐user   spear  phishing  
  • step  one:  bait  an  end-­‐user  
  • step  two:  exploit  a  vulnerability  
  • step  three:  download  a  backdoor  
  • step  four:  establish  a  back  channel  
  • step  five:  explore  and  steal  
  • the    state  of  malware  protec>on  
  • protec>on  is  needed  at  all  stages   back  bait   exploit   download   steal   channel  
  •   bait  protec>on  
  •   exploit  protec>on  exploits  come  in  thru  many  applica>ons  
  •   exploit  protec>on  many  months  pass  between  black-­‐hat  discovery,  white   hat  discovery,  and  protec>on  being  available  
  •   download  protec>on  targeted  a?acks  mean  few  instances  in  the  wild  
  •   download  protec>on  an>-­‐malware  vendors  take  several  days  to  come  up   with  a  signature  
  •   back  channel  protec>on   + +not  only  a?acks  are  targeted  and  IPS  signatures  take  >me  to  develop,  back  channels  are  oNen  encrypted  
  •   explore-­‐and-­‐steal  protec>on  minimal  internal  security  means  that  once  inside,   an  a?acker  can  roam  the  network  freely  
  • blueprint  for  stopping  modern  malware  
  • need  to  protect  all  applica>ons  
  • response  >me  is  key  
  • automa>on  is  a  must  
  • a  sandbox  at  the  core  
  • perform  the  analysis  for  all  devices  centrally  
  • automa>cally  generate  mul>ple  signatures  •   An>-­‐malware  download  signatures  •   IPS  back-­‐channel  signatures  •   Malware  URLs  •   IPS  signatures  for  iden>fied  new  vulnerabili>es  
  • deliver  signatures  with  one  hour  
  • stopping  modern  malware  in  prac>ce  
  • need  to  protect  at  all  stages   back  bait   exploit   download   steal   channel  
  • bait  protec>on    •   Block  unneeded  applica>ons  •   Control  file  transfers  by  user,  applica>on,  and  file  type  •   Block  access  to  Malware  URLs  
  • exploit  protec>on    •   Discover  vulnerabili>es  before  the  bad  guys  •   IPS  signature  for  newly  iden>fied  vulnerabili>es  
  • discovering  MicrosoN  vulnerabili>es   Palo  Alto   Tipping   Check  Point   Juniper    &   McAfee   Sourcefire   Networks   Point   So9ware   Cisco   20   7   7   3   1   0   number  of  vulnerability  discoveries  credited  to   each  vendor  over  the  last  4  years  Source:  OSVDB;  as  of  June  15th  2011  
  • discovering  Adobe  Flash  vulnerabili>es   Palo  Alto   Tipping   Check  Point   Juniper    &   McAfee   Sourcefire   Networks   Point   So9ware   Cisco   12   1   1   0   0   0   number  of  vulnerability  discoveries  credited  to   each  vendor  over  the  last  4  years  Source:  OSVDB;  as  of  June  15th  2011  
  • download  protec>on    •  An>-­‐Malware  signatures  available  to  the  en>re   par>cipant  base  within  one  hour  of  first  discovery  •  Generic  drive-­‐by-­‐download  protec>on  for  HTTP/S   downloads  
  • back-­‐channel  protec>on    •  Block  unknown  applica>on  traffic  •  Use  heuris>cs  to  detect  back  channel  communica>on  •  C&C  signatures  available  for  newly  discovered   malware  
  • explore-­‐and-­‐steal  protec>on    •  Network  segmenta>on  •  Control  access  to  data  by  user  and  applica>on  
  • the  role  of  NGFW  in  stopping  modern   malware  
  • solu>on  has  to  be  enterprise-­‐wide  
  • protec>on  has  to  be  real-­‐>me,  inline  
  • needs  user-­‐based  access  control  
  • needs  high-­‐speed  IPS  and  AV  
  • need  to  perform  across  all  applica>ons  
  • need  to  block  the  unknown  
  • conclusion:  advanced-­‐malware  protec>on   belongs  in  a  next  genera>on  firewall  
  • Thank  You