3 Nir Zuk Modern Malware Jun 2011

  • 384 views
Uploaded on

Presentación del fundador y CTO de Palo Alto Networks, Nir Zuk, sobre las amenazas de seguridad actuales, como ha evolucionado el ciberterrorismo, y las formas de controlarlo con el FW de Nueva …

Presentación del fundador y CTO de Palo Alto Networks, Nir Zuk, sobre las amenazas de seguridad actuales, como ha evolucionado el ciberterrorismo, y las formas de controlarlo con el FW de Nueva Generación de Palo Alto Networks.

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
384
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Modern  Malware   Nir  Zuk   Founder  and  CTO  
  • 2. data  breach  mythology  
  • 3. we  invest  in  protec>ng  our  data  centers  
  • 4. rarely  the  datacenter  is  a?acked  directly  
  • 5. no  more  vulnerability  scanning  
  • 6. the  new  a?acker  
  • 7. the  a?acker  is  not  a  bored  geek  
  • 8. na>on  states  and  organized  crime  
  • 9. data  breaches  in  2011  
  • 10. step  one:  bait  an  end-­‐user  
  • 11. step  one:  bait  an  end-­‐user   spear  phishing  
  • 12. step  one:  bait  an  end-­‐user  
  • 13. step  two:  exploit  a  vulnerability  
  • 14. step  three:  download  a  backdoor  
  • 15. step  four:  establish  a  back  channel  
  • 16. step  five:  explore  and  steal  
  • 17. the    state  of  malware  protec>on  
  • 18. protec>on  is  needed  at  all  stages   back  bait   exploit   download   steal   channel  
  • 19.   bait  protec>on  
  • 20.   exploit  protec>on  exploits  come  in  thru  many  applica>ons  
  • 21.   exploit  protec>on  many  months  pass  between  black-­‐hat  discovery,  white   hat  discovery,  and  protec>on  being  available  
  • 22.   download  protec>on  targeted  a?acks  mean  few  instances  in  the  wild  
  • 23.   download  protec>on  an>-­‐malware  vendors  take  several  days  to  come  up   with  a  signature  
  • 24.   back  channel  protec>on   + +not  only  a?acks  are  targeted  and  IPS  signatures  take  >me  to  develop,  back  channels  are  oNen  encrypted  
  • 25.   explore-­‐and-­‐steal  protec>on  minimal  internal  security  means  that  once  inside,   an  a?acker  can  roam  the  network  freely  
  • 26. blueprint  for  stopping  modern  malware  
  • 27. need  to  protect  all  applica>ons  
  • 28. response  >me  is  key  
  • 29. automa>on  is  a  must  
  • 30. a  sandbox  at  the  core  
  • 31. perform  the  analysis  for  all  devices  centrally  
  • 32. automa>cally  generate  mul>ple  signatures  •   An>-­‐malware  download  signatures  •   IPS  back-­‐channel  signatures  •   Malware  URLs  •   IPS  signatures  for  iden>fied  new  vulnerabili>es  
  • 33. deliver  signatures  with  one  hour  
  • 34. stopping  modern  malware  in  prac>ce  
  • 35. need  to  protect  at  all  stages   back  bait   exploit   download   steal   channel  
  • 36. bait  protec>on    •   Block  unneeded  applica>ons  •   Control  file  transfers  by  user,  applica>on,  and  file  type  •   Block  access  to  Malware  URLs  
  • 37. exploit  protec>on    •   Discover  vulnerabili>es  before  the  bad  guys  •   IPS  signature  for  newly  iden>fied  vulnerabili>es  
  • 38. discovering  MicrosoN  vulnerabili>es   Palo  Alto   Tipping   Check  Point   Juniper    &   McAfee   Sourcefire   Networks   Point   So9ware   Cisco   20   7   7   3   1   0   number  of  vulnerability  discoveries  credited  to   each  vendor  over  the  last  4  years  Source:  OSVDB;  as  of  June  15th  2011  
  • 39. discovering  Adobe  Flash  vulnerabili>es   Palo  Alto   Tipping   Check  Point   Juniper    &   McAfee   Sourcefire   Networks   Point   So9ware   Cisco   12   1   1   0   0   0   number  of  vulnerability  discoveries  credited  to   each  vendor  over  the  last  4  years  Source:  OSVDB;  as  of  June  15th  2011  
  • 40. download  protec>on    •  An>-­‐Malware  signatures  available  to  the  en>re   par>cipant  base  within  one  hour  of  first  discovery  •  Generic  drive-­‐by-­‐download  protec>on  for  HTTP/S   downloads  
  • 41. back-­‐channel  protec>on    •  Block  unknown  applica>on  traffic  •  Use  heuris>cs  to  detect  back  channel  communica>on  •  C&C  signatures  available  for  newly  discovered   malware  
  • 42. explore-­‐and-­‐steal  protec>on    •  Network  segmenta>on  •  Control  access  to  data  by  user  and  applica>on  
  • 43. the  role  of  NGFW  in  stopping  modern   malware  
  • 44. solu>on  has  to  be  enterprise-­‐wide  
  • 45. protec>on  has  to  be  real-­‐>me,  inline  
  • 46. needs  user-­‐based  access  control  
  • 47. needs  high-­‐speed  IPS  and  AV  
  • 48. need  to  perform  across  all  applica>ons  
  • 49. need  to  block  the  unknown  
  • 50. conclusion:  advanced-­‐malware  protec>on   belongs  in  a  next  genera>on  firewall  
  • 51. Thank  You