Le ultime frontiere del cybercrime e le best practice per proteggersi dagli attacchi informatici: ne abbiamo parlato l'11 giugno a Firenze con esperti e docenti internazionali di sicurezza IT.
6. Il giro d’affari mondiale del cybercrime nel 2012
supera i 100 miliardi di dollari
In Italia oltre 200 attacchi registrati verso enti,
aziende e associazioni
Hacktivismo, sottrazione di denaro e spionaggio: le
principali motivazioni
Il Cybercrime in Italia
6
Fonte: rapporto Clusit sul cybercrime in Italia
7. February 26, 2012 June 5, 2011
March 17, 2011
June 1, 2011
January 25, 2007
February 08, 2000 January 25, 2007
February 10, 2012 February 3, 2012
November 8, 2012
November 15, 2012
June 21, 2012 October 11, 2009
November 28, 2010
Janueary 20, 212
!!! HACKED !!!
7
I casi eclatanti
9. Phishing & Online Frauds
ATTACKER
USER
1 2
3
4
5
9
Un Attacker sfrutta le tecniche di
attacco basate su SQL Injection per
inserire un contenuto malevolo
all’interno del sito target
Un utente legittimo accede
normalmente alla home page del
sito attaccato
Il sito risponde alla richiesta
dell’utente e, in poche e
impercettibili frazioni di secondo,
lo reindirizza verso un sito
malevolo con il medesimo «look &
feel» del sito originale,
appositamente predisposto
L’utente, ignaro di operare
all’interno del sito malevolo,
inserisce le proprie credenziali
che vengono salvate
L’Attacker, amministratore del sito
malevolo, raccoglie le credenziali
ottenute illegalmente dagli ignari
utenti del servizio sotto attacco
1
2
3
5
4
10. SQL Code Injection
ATTACKER
USER
DB
html
response
h�p
requests
h�ps://sito.it/disponibilita.php?itemid=2
union
all
select
customer.username,customer.password,3,4,5
h�ps://sito.it/disponibilita.php?itemid=2
1
2
10
Un utente del servizio effettua una richiesta regolare per verificare la disponibilità di uno degli
oggetti presenti nel catalogo proposto dal sito.
Un Attacker altera con ulteriori istruzioni SQL la richiesta regolare richiedendo la disponibilità
di uno degli oggetti presenti nel catalogo proposto dal sito, ma anche l’elenco delle utenze e
delle password, ottenendo in questo modo accesso ai privilegi di utenti autorizzati e
amministratori del sistema.
1
2
11. Denial of Service
11
§ All’interno del mercato illegale un
«Attacker» può «noleggiare» le
infrastrutture necessarie
all’esecuzione di attacchi mirati,
dai siti di Command & Control con
Botnet di migliaia di computer ai siti
che mettono a disposizione i codici
degli «exploit» necessari
all’esecuzione dell’attacco
§ Migliaia di computer «dormienti»
appartenenti a utenti inconsapevoli
effettuano contemporaneamente
attività – lecite e non - nei
confronti del siti o delle reti
«target» dell’ «Attacker»
§ Sottoposto a tale quantità di
traffico, le risorse di sistema, di
rete e di connettività vengono
portate a esaurimento con un
effetto di Denial of Service
ATTACKER
C&C
SITE
1
C&C
SITE
2
C&C
SITE
3
EXPLOIT
DB
TARGET
SITE
ZOMBIE
NET
$$$
12. Advanced Persistent Threats
ATTACKER
USER
1 2
3
4
12
Un Attacker sfrutta le tecniche di
attacco basate su SQL Injection
per inserire un contenuto
malevolo all’interno del sito target
Un utente legittimo accede
normalmente alla home page del
sito attaccato
Il sito risponde alla richiesta
dell’utente trasmettendo la pagina
web richiesta e i relativi oggetti,
compreso il codice malevolo
iniettato dall’Attacker che si
installata a bordo del computer
remoto
L’Attacker sfrutta il codice
malevolo installato sul sistema
dell’utente per ottenere accesso
non autorizzato a dati,
applicazioni e per inviare comandi
al sistema infetto e utilizzarlo per
propagare codice malevolo
all’interno della rete locale
1
2
3
4
13. Malicious Apps
ATTACKER
1
2
3
USERS
4
5
13
L’Attacker preleva una applicazione
(tipicamente un gioco) da un App Store
ufficiale (es. Google Play)
L’Attacker ripacchettizza l’applicazione
includendo un codice malevolo che
consente il controllo remoto delle attività
svolte dal dispositivo
L’Attacker pubblica l’applicazione su App
Store alternativi di terze parti, che spesso
effettuano un controllo meno capillare
delle app prima di pubblicarle
L’Attacker pubblicizza la nuova App
tramite «spam» attraverso canali quali
posta elettronica, siti web e social media
L’utente che preleva la nuova
applicazione dal App Store alternativo sta
in realtà installando oltre
all’applicazione anche il codice malevolo
che trasmetterà periodicamente
informazioni all’Attacker
1
2
3
4
5
14. Mobile Exploits
h�p://xenesys.badsite.hk
14
§ All’interno dei siti Mobile (attraverso
l’utilizzo di tecniche di SQL Injection
per ottenere accesso amministrativo
non autorizzato al sistema)
§ All’interno di banner promozionali
appositamente creati e diffusi in rete
§ Addirittura sulle locandine
pubblicitarie in metropolitana
vengono sostituiti i QR Code originali
con codici contraffatti che
indirizzano l’ignaro utente a siti
alternativi indirizzati alla
distribuzione di codice malevolo o
alla cattura delle credenziali degli
utenti
15. Approfondimento
“I
am
a
Lecturer
in
the
School
of
Computer
Science
at
the
University
of
Birmingham,
UK.
I
completed
my
Ph.D.
degree
in
Computer
Science
at
the
University
of
California,
Santa
Barbara”
“My
research
interests
include
most
aspects
of
computer
security,
with
an
emphasis
on
web
security,
vulnerability
analysis,
electronic
vo�ng
security,
and
intrusion
detec�on”
Le
nuove
fron�ere
del
Malware
e
dei
sistemi
di
difesa
15
22. Marco
Cova
Interessi
di
ricerca:
rilevamento
e
analisi
di
malware,
sicurezza
web
e
analisi
delle
vulnerabilità
Ha
pubblicato
oltre
25
lavori
sul
tema
della
computer
security
in
conferenze
e
riviste
internazionali
m.cova@cs.bham.ac.uk
marco@lastline.com
Docente
presso
la
School
of
Computer
Science,
Università
di
Birmingham,
UK.
Membro
fondatore
di
Lastline,
Inc.
23. Targeted
A�acks
e
Cyberwar
!!!
Tempo
Danni
genera�
in
€
Milioni
Cen�naia
di
migliaia
Migliaia
Cen�naia
Miliardi
Cybercrime
$$$
Cybervandalism
#@!
Cybera�ack
(R)Evolu�on
30. C’era
una
volta..
h�p://www.ted.com/talks/
mikko_hypponen_figh�ng_viruses_defending_the_net.html
31. Oggi
Proliferazione
del
cybercrime
per
profi�o
finanziario
– ZeuS
A�acchi
mira�
(“targeted
a�acks”)
– Aurora
(Google
e
altri)
– RSA
SecureID
Sviluppo
della
cyber
warfare
– Stuxnet
– Flame
“Rubare
qualsiasi
informazione
abbia
valore”
32. A�acchi,
Exploit
e
Botnet
Fase
1.
Infe�are
la
vi�ma
con
malware
Usare
un
exploit
(codice)
che
sfru�a
una
vulnerabilità
nota
(se
l’utente
non
ha
tu�
gli
ul�mi
aggiornamen�
sul
sistema)
Lanciare
uno
“zero-‐day
exploit,”
che
sfru�a
una
vulnerabilità
non
nota
al
momento
dell’a�acco
Lanciare
un
a�acco
di
social
engineering
33. A�acchi,
Exploit
e
Botnet
Fase
2.
Far
filtrare
all’’esterno
da�
sensibili
La
macchina
dell’utente
è
adesso
un
“bot”,
completamente
so�o
il
controllo
dell’a�accante
Il
malware
raccoglie
da�
“interessan�”
e
li
manda
al
server
di
“Command
&
Control”
(C&C)
Numeri
di
carte
di
credito
Nomi
utente
e
password
Documen�
sensibili
34. A�acchi,
Exploit
e
Botnet
Fase
3.
Ricevere
istruzioni
dal
botmaster
Cominciare
ad
inviare
spam
Lanciare
un
a�acco
di
denial
of
service
Cancellare
tu�
i
file
sul
disco
…
Istruzioni
di
a�acco
38. Capire
gli
A�acchi
Mol�
ve�ori
diversi,
ta�che,
e
specifici
trucchi
Due
domande
fondamentali
da
tenere
in
mente:
– Come
entrano
gli
a�accan�?
– Come
raccolgono
e
portano
fuori
le
informazioni
di
valore?
39. A�acchi
Drive-‐by-‐download
Gli
a�accan�
preparano
un
sito
web
malevolo
e
vi
a�rano
traffico
Quando
un
utente
visita
il
sito
web,
riceve
pagine
che
contengono
codice
malevolo
(�picamente
codice
JavaScript)
Il
codice
malevolo
prova
a
lanciare
degli
exploit
contro
il
browser
o
i
suoi
plugin.
Se
ha
successo,
l’a�accante
può
eseguire
del
codice
di
suo
piacimento
sulla
macchina
della
vi�ma
(�picamente,
inizia
il
download
e
l’installazione
di
malware)
44. A�rare
le
Vi�me:
SEO
h�p://cseweb.ucsd.edu/users/voelker/pubs/juice-‐ndss13.pdf
h�p://faculty.cs.tamu.edu/guofei/paper/PoisonAmplifier-‐RAID12.pdf
45. A�rare
le
Vi�me:
A�acco
Watering
Hole
A
volte
è
difficile
colpire
l’obie�vo
di
un
a�acco
dire�amente
– Una
alterna�va
è
comprome�ere
un
sito
terzo
che
si
ipo�zza
venga
visitato
dall’obie�vo
Council
on
foreign
rela�ons
→
Ufficiali
governa�vi
Si�
di
news
cinesi
non
allinea�
al
regime
→
Dissiden�
cinesi
Sito
di
sviluppo
per
iPhone
→
Sviluppatori
di
Apple,
Facebook,
Twi�er,
etc.
Sito
web
della
rivista
Na�on
Journal
→
Poli�ci
di
Washington
46. A�rare
le
Vi�me:
Spear
Phishing
From:
abudhabi@mofa.gov.sy
To:
tehran@mofa.gov.sy
Date:
Monday
February
6,
2012
05:51:24
A�achment:
23
�rcs.pdf
ﺍاﻝلﺭرﻡمﻭوﺯز ﻡمﻙكﺕتﺏب ﻑفﻱي ﺍاﻝلﺯزﻡمﻝلﺍاء
ﺍاﻝلﺱسﺍاﺩدﺓة
23
ﻡمﺭرﻕق ﺍاﻝلﺥخﺍاﺹصﺓة ﺍاﻝلﺏبﺭرﻕقﻱيﺓة ﺍاﺱسﺕتﻝلﺍاﻡم ﻉعﻥن ﺍاﻉعﻝلﺍاﻡمﻥنﺍا ﻱيﺭرﺝجﻯى
ﺭرﺍاﻝلﺵشﻙك ﻡمﻉع
ﻱيﻅظﺏب
ﺃأﺏبﻭو/
ﺓةﺍاﻝلﺱسﻑفﺍاﺭر
-‐-‐-‐-‐
Msg
sent
via
@Mail
-‐
h�p://atmail.com/
Colleghi
dell’ufficio
codici,
Per
cortesia,
confermate
la
ricezione
del
telegramma
No.
23
che
trovate
in
allegato
Grazie,
Ambasciata
/
Abu
Dhabi
47. Dopo
l’Infezione
Case
Study
di
una
Botnet
h�p://cs.bham.ac.uk/~covam/data/papers/ccs09_torpig.pdf
48. Hijacking
di
una
Botnet
Abbiamo
analizzato
il
Domain
Genera�on
Algorithm
(DGA)
usato
in
Torpig
ed
il
protocollo
usato
dal
Command
&
Control
– I
domini
genera�
dal
25/1/2009
al
15/2/2009
non
erano
registra�
– Li
abbiamo
quindi
registra�
noi
Di
conseguenza,
abbiamo
preso
controllo
della
botnet
per
10
giorni
– Visibilità
unica
del
comportamento
della
botnet
– 8.7
GB
di
log
di
Apache
– 69
GB
di
traffico
di
rete
ca�urato
contenente
le
informazioni
rubate
49. Dimensione
di
una
Botnet
S�ma
del
numero
delle
infezioni
– Talvolta
basata
sul
numero
di
indirizzi
IP
univoci
– Problema�ca:
effe�
del
DHCP
e
del
NAT
(vediamo
1.2M
di
IP
unici)
– Il
nostro
conteggio
si
basa
sulle
informazione
nell’header:
vis�
circa
~180K
hosts
50. Minacce
Credenziali
per
8310
account
univoci
su
410
is�tuzioni
finanziarie
– Top
5:
PayPal
(1770),
Poste
Italiane,
Capital
One,
E*Trade,
Chase
– 38%
delle
credenziali
rubate
dai
password
manager
dei
browser
1660
carte
di
credito
– Top
3:
Visa
(1056),
Mastercard,
American
Express,
Maestro,
Discover
– US
(49%),
Italy
(12%),
Spain
(8%)
– Tipicamente
una
carta
di
credito
per
ciascuna
vi�ma,
ma
ci
sono
eccezioni…
51. 32
Valore
delle
Informazioni
Finanziarie
Symantec
[2008]
s�ma
– Valore
di
una
carta
di
credito
tra
$.10
e
$25.00
– Valore
di
un
account
bancario
tra
$10.00
e
$1,000.00
Secondo
le
s�me
di
Symantec,
10
giorni
di
da�
raccol�
da
Torpig
“valgono”
tra
gli
83
mila
e
gli
8.3
milioni
di
dollari
0
200
400
600
800
1000
1200
1400
01-21 01-23 01-25 01-27 01-29 01-31 02-02 02-04 02-06
10
100
1000
10000
100000
1e+06
1e+07
Newbankaccountsandcreditcards(#)
Value($)
Date
New bank accounts and credit cards
Max value
Min value
53. Bypassare
mTAN
–
a
la
Eurograbber
https://www.checkpoint.com/products/downloads/
whitepapers/Eurograbber_White_Paper.pdf
54. 35
Costo
per
le
Vi�me
(Oltre
al
Danno)
Ponemon
Ins�tute
-‐
s�ma
2011
–
Costo
di
ogni
record
perduto
78
€
in
Italia
(h�p://www.ponemon.org/local/upload/file/
2011_IT_CODB_Final_5.pdf)
194
$
in
US
(h�p://www.ponemon.org/local/upload/file/
2011_US_CODB_FINAL_5.pdf)
56. In
un
Mondo
Ideale
Codice
Sicuro
Il
So�ware
che
usiamo
non
con�ene
vulnerabilità
Le
vulnerabilità
sono
mi�gate
applicando
principi
di
sicurezza
e
corre�a
ingegnerizzazione
(minimi
privilegi,
contenimento,
etc.)
Sfortunatamente,
a�ualmente
ci
sono
pochissimi
“programmi
sicuri”
e
spesso
in
se�ori
specializza�
(regolamentazione
vs.
innovazione)
Sensibilizzazione
dell’utente
Gli
uten�
sono
consci
delle
minacce
alla
sicurezza
a
cui
si
espongono
Prendono
sempre
la
“giusta”
decisione
Sfortunatamente,
esperimen�
dimostrano
che
gli
uten�
non
sono
assolutamente
accor�
nel
prendere
decisioni
legate
alla
sicurezza
(social
engineering
vs.
usabilità)
58. Soluzioni
di
Buon
Senso
Mantenere
il
so�ware
aggiornato
Sfortunatamente,
inu�le
contro
gli
a�acchi
0-‐day
59. Soluzioni
di
Buon
Senso
Non
aprire
link/allega�
da
fon�
sconosciute
Sfortunatamente,
inu�le
contro
a�acchi
social/targeted
60. Soluzioni
di
Buon
Senso
Limitare
l’accesso
web
a
si�
fida�
o
con
buona
reputazione
Sfortunatamente,
inu�le
contro
a�acchi
“waterhole”
e
si�
web
compromessi
61. Accesso
ai
servizi
sensibili
(e.g.,
online
banking)
da
macchine
dedicate
Sfortunatamente,
poco
pra�co
Soluzioni
di
Buon
Senso
63. Cara�eris�che
del
Malware
Avanzato
Evasione
“sta�ca”:
offuscazione
e
poliformismo
Fonte:
Binary-‐Code
Obfusca�ons
in
Prevalent
Packer
Tools,
Tech
Report,
University
of
Wisconsin,
2012
Number
of
�mes
a
hash
is
seen
>
93%
dei
campioni
malware
sono
unici
Immuni
agli
an�virus
signature-‐based
64. Cara�eris�che
del
Malware
Avanzato
Evasione
a
run-‐�me
–
controlli
sull’ambiente
d’esecuzione
Invisibile
alle
sandbox
e
alle
virtual
machines
65. Cara�eris�che
del
Malware
Avanzato
Evasione
a
run-‐�me
–
stalling
loops
Invisibile
alle
sandbox
e
alle
virtual
machines
66. Idee
per
una
Miglior
Difesa
Analisi
degli
artefa�
in
entrata
nella
rete
– Web
download,
allega�
email
Analisi
del
traffico
in
uscita
– Dove
è
dire�o?
Cosa
esce?
Come
è
inviato?
Mappatura
dell’infrastru�ura
malware
a
livello
globale
Mappatura
delle
cara�eris�che
locali
per
individuare
anomalie
e
pa�ern
sospe�
Techniche
di
analisi
di
nuova
generazione
contro
il
malware
evasivo
67. Lezioni
Imparate
Gli
a�acchi
sono
sempre
più
di
�po
mirato
“Gli
a�accan�
non
puntano
al
firewall.
Puntano
agli
individui”
Gli
a�accan�
sono
tenaci
e
pazien�
Necessario
un
approccio
di
difesa
che
preveda
un
monitoraggio
costante
Gli
a�accan�
sviluppano
tool
ad
hoc
e
a�accano
dopo
che
hanno
o�enuto
l’accesso
al
target
Una
visione
globale
è
ancora
importante,
ma…
È
fondamentale
la
costruzione
di
difese
specifiche,
in
base
alle
cara�eris�che
ed
alle
a�vità
del
target
Malware
Evasivi
Necessari
strumen�
di
prossima
generazione
69. Security
Conference
Xenesys
Firenze
11
Giugno
2013
Davide
Carlesi
Lastline,
Inc.
-‐
Country
Manager
Italia,
Grecia,
Cipro
e
Malta
carlesi@lastline.com
–
335.82.64.362
Protection Against Advanced Malware
74. Presentazione
Azienda
La
soluzione
più
avanzata
per
rilevare,
analizzare
e
mi�gare
APTs,
a�acchi
mira�
(targeted
a�acks),
e
0-‐day
threats
Fondata
da
un
team
di
ricercatori
della
Università
di
California
Santa
Barbara
(UCSB),
Technical
University
di
Vienna,
e
Northeastern
University
– Accademici
di
fama
mondiale
– Tecnologia
basata
su
oltre
8
anni
di
ricerca
su
APT
e
minacce
avanzate
– Lo
stesso
team
che
ha
sviluppato
Anubis
&
Wepawet
75. Accademici
di
fama
mondiale
L’h-‐index
è
una
metrica
che
misura
sia
la
produ�vità
che
l’impa�o
delle
pubblicazioni
effe�uate
da
un
ricercatore.
Christopher
Kruegel
(CSO
Lastline)
è
il
più
prolifico
ricercatore
degli
ul�mi
10
anni
per
l’ambito
di
Security
and
Privacy.
Giovanni
Vigna
(CTO)
occupa
la
posizone
12
e
Engin
Kirda
(Chief
Architect)
il
numero
28
all’interno
della
stessa
graduatoria.
77. Anubis
/
Wepawet
Anubis
=
Malware
sandbox
h�p://anubis.cs.ucsb.edu
Wepawet
=
Drive-‐by
exploit
detector
h�p://wepawet.cs.ucsb.edu
Strumen�
“Open
Universitari”
u�lizza�
ogni
giorno
da
decine
di
migliaia
di
uten�
(incluse
società
appartenen�
alle
Fortune
500,
is�tuzioni
pubbliche
e
governa�ve,
aziende
appartenen�
al
mercato
finance,
e
vendor/produ�ori
di
soluzioni
di
sicurezza)
78. Lastline
:
Misure
contro
gli
Advanced
Malware
Analisi
degli
artefa�
in
ingresso
(cosa
entra)
– Web
downloads
e
allega�
eMail
(Windows
PE,
MS/
Open
Office,
PDF,
Flash,
archivi
Zip,
Java
e
Apk)
Analisi
e
blocco
del
traffico
in
uscita
(cosa
esce)
– Traffico
DNS,
traffico
web
(e
tu�o
il
TCP)
Cosa
esce
Dove
va
(anche
se
cifrato)
Come
viene
inviato
Uso
della
correlazione
per
presentare
un
quadro
completo
al
system
administrator
Iden�ficazione
dei
client
infe�
79. Componen�
tecnologiche
Lastline
Ac�ve
threat
discovery
per
iden�ficare
i
si�
&
endpoint
malevoli
con
la
massima
ampiezza
e
completezza
di
visione
possibile
Strumen�
di
analisi
malware
ad
alta
risoluzione,
in
grado
di
capire
il
comportamento
del
malware
senza
cadere
nelle
tecniche
di
evasione
Analisi
big
data
del
traffico
di
rete,
per
iden�ficare
le
anomalie
ed
i
pa�ern
di
da�
sospe�
scambia�
come
traffico
interno
80.
Analisi
del
malware
ad
elevata
risoluzione
Monitoraggio
del
traffico
(DNS
e
Ne�low)
Discovery
Proa�vo
delle
Minacce
Emulazione
del
codice
macchina
del
malware
Monitoraggio
passivo
del
traffico
DNS
e
analisi
de i
flussi
Ne�low
““arricchi�””
B r o w s e r
s i n t e � c i
scansionano
Internet
alla
scoperta
delle
minacce
emergen�
Lastline
consente
di
rilevare
malware
con
elevate
capacità
di
evadere
le
tecnologie
tradizionali
Lastline
Consente
di
rilevare
in
modo
euris�co
domini
di
comando
e
controllo
sconosciu�
o
dinamici
(Fast-‐Flux/DGA)
Lastline
consente
di
rilevare
le
minacce
prima
che
queste
si
diffondano.
Le
altre
tecnologie
hanno
un
approccio
«rea�vo».
Correla�on
&
Incident
Management
Overview
Tecnologico
81. High
Resolu�on
Malware
Analysis
Dynamic
analysis
in
Lastline
Next
Genera�on
Sandbox
– runs
binaries,
accesses
web
pages,
opens
documents
– monitors
and
classifies
observed
behaviors
(ac�vi�es)
Code
emula�on
instead
of
virtual
machine
(VM)
or
bare
metal
– we
can
see
every
instruc�on
that
malware
executes,
not
just
the
opera�ng
system
calls
that
it
invokes
– in
other
words,
we
can
look
inside
the
malware
execu�on
– provides
vastly
increased
visibility
82. Lastline
High-‐Resolu�on
Malware
Analysis
Visibility
without
code
emula�on
(tradi�onal
sandboxing
technology)
Important behaviors and
evasion happens here
Visibility
with
code
emula�on
Lastline
technology
Engine sees every instruction that the malware executes
83. High
Resolu�on
Malware
Analysis
Lastline
-‐
Importance
of
increased
visibility
More
behaviors
can
be
revealed
– data
flows
and
data
leakage
– malware
checks
for
specific
keywords
(targeted
a�ack
behavior)
– automated
detec�on
of
command
and
control
(C&C)
connec�ons
Strong
resistance
to
evasion
– bypass
triggers
– accelerate
stalling
code
84. Lastline
0-‐day
Detec�on
Capabili�es
Opera�on
Aurora
Targeted
a�ack
that
compromised
Google
and
other
US
companies
Used
0-‐day
exploit
against
Internet
Explorer
6
Our
system
successfully
analyzed
the
a�ack
before
it
became
public
85. Lastline
Ac�ve
Threat
Discovery
Iden�fica�on
of
threats
and
automated
genera�on
of
detec�on
models
before
customer
is
exposed
Cloud-‐based
crawling
and
analysis
engines
– comprehensive
coverage
for
both
malware
threats
and
distribu�on
vectors
(drive-‐by
exploits)
– precise
models
through
aggressive
cleaning
of
data
(to
avoid
false
posi�ves)
I get stuff from my customers, but I
am blind related to data from non-
customers, so [Lastline] data is great
to complement mine
-‐
An�virus
Vendor
I like the data. Everything I
looked at was very likely an
infection point … 57% were new
infected domains.
-‐
UTM
Vendor
86. Lastline
Ac�ve
Threat
Discovery
Comprehensive
coverage
– we
use
a
broad
range
of
input
vectors
– we
ac�vely
search
the
web
for
drive-‐by
download
exploits
and
download
the
distributed
malware
– we
perform
targeted
web
crawling
and
search
for
bad
neighborhoods
on
the
Internet
Precise
models
– check
reputa�on
of
des�na�ons
of
suspicious
connec�ons
– con�nuously
monitor
up�me
of
malicious
loca�ons
87. Lastline
Enterprise
Traffic
Monitoring
Checking
for
anomalous
network
traffic
that
reveals
presence
of
malware-‐infected
machines
Analysis
of
(passive)
DNS
and
NetFlow
data
to
detect
– use
of
domain
name
genera�on
algorithms
– IP
fast-‐flux
ac�vity
– suspicious,
periodic
(command
and
control)
traffic
Advanced
Internal
Enterprise
Traffic
Monitoring
Features
for
Advanced
Targeted
A�ack
– specific
a�acks
evade
the
An�-‐APT
Solu�ons
88. Soluzioni
di
Advanced
Malware
Defence
PREVICT™
Web
-‐
Hosted
– Next
Genera�on
Advanced
Malware
Protec�on
(Web
&
Binary
Analysis)
PREVICT™
Mail
-‐
Hosted
– Next
Genera�on
Advanced
E-‐Mail
Malware
Protec�on
(Binary
&
URL
Analysis)
PREVICT™
Web
&
Mail
-‐
On
Premise
– Lastline
Customer’s
Private
Cloud
PREVICT™
Analyst
PRO
– Next
Genera�on
Sandbox
(Binary/DOCS
&
URL
Analysis)
via
Web
Interface
GUARDIA™
– Web
Malware
Scanning
&
Protec�on
Cloud
Service
89. Soluzione
Lastline
-‐
Hosted
Sen�nel
fa
uno
scan
del
traffico
alla
ricerca
di
segni
ed
anomalie
che
rivelano
connessioni
di
C&C
ed
infezioni
Lastline
proa�vamente
fa
scou�ng
su
Internet
alla
ricerca
di
minacce
e
genera
update
per
la
base
di
conoscenza
del
Sen�nel
Il
Manager
riceve
e
correla
gli
alert
e
produce
informazioni
per
sucessive
azioni
Il
Sen�nel
invia
gli
artefa�
sconosciu�
(programmi
e
documen�)
per
l’analisi
ad
alta
risoluzione
90. Soluzione
Lastline
-‐
On
Premise
Lastline
proa�vamente
fa
scou�ng
su
Internet
alla
ricerca
di
minacce
e
genera
updates
per
la
base
di
conoscenza
del
Sen�nel
Il
Sen�nel
invia
gli
artefa�
sconosciu�
(programmi
e
documen�)
per
l’analisi
ad
alta
risoluzione
Il
Manager
riceve
e
correla
gli
alerts
e
produce
informazioni
per
sucessive
azioni
Sen�nel
fa
uno
scan
del
traffico
alla
ricerca
di
segni
ed
anomalie
che
rivelano
connessioni
di
C&C
ed
infezioni
92. C&C
Site
Exploit
Site
Lastline
Hosted
Infrastructure
Heterogeneous
Clients
and
Mobile
Devices
External
DNS
Internal
DNS
M a n a g e m e n t
Interface
used
to
get
updates
and
send
the
logs
to
the
cloud
SPAN/Mirror
Port
listens
to
traffic
and
DNS
queries
from
clients
Deployment
Scenario
–
Porte
Span
93. C&C
Site
Exploit
Site
Lastline
Hosted
Infrastructure
Heterogeneous
Clients
and
Mobile
Devices
External
DNS
Internal
DNS
Management
Interface
used
to
get
updates
and
send
the
logs
to
the
cloud
Deployment
Scenario
-‐
Inline
94. Deployment
Scenario
-‐
Proxy
C&C
Site
Exploit
Site
Lastline
Hosted
Infrastructure
DMZ
Firewall
Heterogeneous
Clients
and
Mobile
Devices
External
DNS
Internal
DNS
Web
Proxy
SPAN/Mirror
Port
listens
to
internal
traffic
and
DNS
queries
from
clients
SPAN/Mirror
Port
listens
to
Outgoing
traffic
from
Proxy
and
DNS
queries
95. M a n a g e m e n t
Interface
used
to
get
updates
and
send
the
logs
to
the
cloud
C&C
Site
Exploit
Site
Lastline
Hosted
Infrastructure
Heterogeneous
Clients
and
Mobile
Devices
External
DNS
Email
Server
The
Mail
Server/Mail
R el a y
m u s t
b e
configured
so
that
the
incoming
emails
that
must
be
analyzed
are
BCC’ed
to
a
Service
Mailbox
PREVICT™
Mail
-‐
Deployment
Scenario
The
Previct
Sen�nel
is
configured
to
poll
the
service
mailbox
via
IMAP
or
POP3
and
to
download
the
email
via
a n
e n c r y p t e d
connec�on.
The
emai
is
sent
to
the
cloud
to
be
analyzed
1
2
The
same
sensor
is
able
to
scan
inbound
h�p
and
email
traffic
(provided
the
needed
license
is
purchased).
The
load
of
the
email
scan
can
be
shared
among
different
sensors.
POP3
or
IMAP
Email
a�achments
are
sent
to
the
cloud
(Hosted
or
On-‐Premise
–
do�ed
line)
to
be
analyzed
Customer
On-‐Premise
Infrastructure
97. Guardia
™
:
Web
Malware
Scanning
&
Protec�on
Cloud
Service
98. Considerazioni
Rela�ve
alla
Privacy
• Il
sensore
Lastline
PREVICT™
Sen�nel
monitorizza
il
traffico
di
rete
per
rilevare
e
bloccare
tenta�vi
di
a�acco
contro
endpoint
interni
all'organizzazione.
• Per
la
massima
accuratezza,
il
sensore
invia
al
Data
Center
alcune
informazioni
rela�ve
al
traffico
malevolo
rilevato.
Le
informazioni
inviate
non
hanno
impa�o
su
privacy
e
profilatura
uten�.
• In
de�aglio
le
informazioni
inviate
al
backend
in
modalità
cifrata
sono
le
seguen�:
-‐ Informazioni
rela�ve
agli
allarmi
-‐ I
nomi
dei
domini
risol�
-‐ Il
contenuto
delle
connessioni
malevole:
Una
parte
del
contenuto
delle
connessioni
malevole
viene
inviato
per
verificare
la
consistenza
e
l’impa�o
dell'allarme
-‐ Programmi
eseguibili
e
documen�
scarica�
da
Internet:
Gli
eseguibili
scarica�
da
Internet
(e
quindi
pubblici)
sono
analizza�
all’interno
della
Sandbox
evoluta
di
Lastline
-‐ Allega�
Email:
Gli
allega�
sono
analizza�
all’interno
della
sandbox
da
processi
automa�ci
ed
elimina�
una
volta
analizza�
Tu�
i
documen�
sono
elimina�
una
volta
analizza�
100. Lezioni
Imparate
Gli
a�acchi
sono
sempre
più
di
�po
mirato
“Gli
a�accan�
non
puntano
alle
difese
perimetrali.
Puntano
agli
individui”
Gli
a�accan�
sono
tenaci
e
pazien�
Necessario
un
approccio
di
difesa
che
preveda
un
monitoraggio
costante
ed
evoluto,
in
grado
di
correlare
le
informazioni
a�raverso
Big
Data
Analysis
Gli
a�accan�
sviluppano
tool
ad
hoc
e
a�accano
dopo
che
hanno
o�enuto
l’accesso
al
target
Una
visione
globale
è
ancora
importante,
ma…
È
fondamentale
la
costruzione
di
difese
specifiche,
in
base
alle
cara�eris�che
ed
alle
a�vità
del
target
Malware
Evasivi
Necessari
strumen�
di
prossima
generazione
Lastline
è
la
soluzione
più
completa
e
flessibile
106. � Set of patented technologies designed to detect and mitigate today’s
availability based threats
� Deployed on-premise, in the cloud and hybrid
� AMS mission is to provide the industry’s best solution for DDoS attacks
� Detect where we can, mitigate where we should
5
107. 6
NBA
Prevent application
resource misuse
Prevent zero-minute
malware spread
DoS Protection
Prevent all type of
network DDoS attacks
IPS
Prevent application
vulnerability exploits
WAF
Mitigating Web
application attacks
PCI compliance
Reputation
Engine
Financial fraud
protection
Anti Trojan & Phishing
108. 7
Detect
Patented
behavioral
detec�on
Network
floods
Applica�on
a�acks:
SSL,
HTTP
GET
/
POST,
Low
&
Slow
Intrusions
Web
applica�on
threats:
SQL
injec�ons,
XSS
Mi�gate
Immediate,
Automa�c,
no
need
to
divert
traffic
Generates
real-‐�me
signature
Dis�nguish
between
a�ackers
and
legi�mate
users
Best
quality
of
experience
even
under
a�ack
Powerful
using
dedicated
hardware
up
to
25M
PPS
Report
Real
�me
correlated
report
Historical
reports
Forensics
Trend
analysis
compliance
109. � 24x7 Service to customers under attack
� Neutralize attacks and malware outbreaks
� Release ERT Threats Alerts
� Research Lab diagnoses all known attack tools
� Provides weekly and emergency signature updates
8
111. � On-premise AMS is the best solution for attack mitigation
– Widest security coverage
SSL based attacks, Application level attacks, Low & slow attacks, Network flood
attacks, Known vulnerabilities, Egress traffic attacks
– Mitigation starts immediately and automatically
– No need to divert traffic
– Detailed real-time and forensic reports
� However, 15% of DDoS attacks that are handled by ERT saturate the
Internet pipe
� Internet pipe saturation protection must be offered from the Cloud
� Hybrid solution is required to fight today’s threats
10
112. � DefensePipe is a Cloud based service that protects
organizations against Internet pipe saturation
� DefensePipe is a Cloud extension of DefensePro and it
complements the on-premise DefensePro capabilities
� DefensePipe is activated only when the attack threatens
to saturate the Internet pipe
� On-premise AMS and AMS in the cloud share essential
information on the attacks
� On-premise AMS and DefensePipe creates the industry
first integrated hybrid solution
11
113. On-‐premise
AMS
mi�gates
the
a�ack
Protected Online
Services
Protected Organization
Defense Messaging
ISP
Volumetric DDoS attack that
blocks the Internet pipe
ERT
and
the
customer
decide
to
divert
the
traffic
Clean traffic
Sharing essential
information for
attack mitigation
DefensePro
AppWall
DefensePros
12
115. Slide 14
Business
Large volume network flood attacks
Application flood attack (Slowloris,
Port 443 data flood,…)
Large volume SYN flood
Low & Slow connection DoS attacks70%
of
last
year
a�acks
had
3
or
more
a�ack
vectors
116. Slide 15
� Radware can mitigate the most of attacks on CE (customer edge)
providing protection against SSL attack
� DefensePipe can cover the pipe saturation attack using traffic
diversion, according to attack condition on CE
� Radware AMS can be deployed in few hours and is able to mitigate
attacks immediately.
� Radware customers can invoke ERT during attacks to tune, if
needed the configuration and mitigate new attacks.
� Radware can guarantee service availabilty without any SLA breach