2. 2
• PragoData je oficiálním členem bezpečnostní platformy KYBEZ
• KYBEZ je platforma pro efektivní spolupráci akademických institucí
a komerčních firem zabývajícími se osvětou, systematickým vzděláváním,
managementem, službami a technologiemi v oblasti bezpečnosti informací,
a to včetně kybernetické bezpečnosti a obrany.
• Bližší informace o platformě KYBEZ naleznete na stránkách
https://www.kybez.cz/
PRAGODATA A KYBEZ
6. 7
Ukázka RaaS - DOT Ransomware
• Relativně nový typ (objeven 2017/02/19)
• Jako první jej popsal FortiGuard team
• Ukázkový příklad aktuální podoby RaaS
• princip dělení zisku mezi autorem a “klientem”
• tj. bez počáteční investice pro “klienta”
• Odkazy (TOR linky) dostupné na různých hacking fórech…
• … vedou na oficiální stránku projektu
• Profesionálně vytvořený a udržovaný ransomware
• Bez problémů prochází klasickou AV kontrolou
• Pravidelně aktualizovaný (včetně release notes)
• Detailní dokumentace
• Dostupný dokonce i ticketovací systém
• Plně customizovatelné řešení (výpalné podle země, typ souboru,
atd.)
8. 10
RaaS: shrnutí
• Profesionální ransomware může dnes šířit kdokoliv
• Nepotřebuje prakticky žádné IT znalosti
• Bez jakékoliv počáteční investice
• S minimálním rizikem
• Díky tomu se z ransomware stala jednoznačně
nejrozšířenější malware hrozba současnosti
• Dramaticky roste jak počet různých rodin ransomware, tak
mutací každého typu
• Jen za Q1/2017 přes 35 nových typů
• … a nic nenaznačuje, že by se na tom mělo něco změnit
9. 11
Aktuální zkušenosti z provozu FortiSandboxu
Za Q1 - nárůst malware v office přílohách pdf, doc
Dříve převažovala infikace převážně spustitelných exe, js atp.
» pdf a doc - před rokem byly minimálně kompromitovány
Objevují se nové techniky
» kompromitované URL v PDF
» Malware umísťovaný na Dropbox
» Na sandboxu kontrola ve všech OS – XP až Win10
Nejvetší šíření ransomware je přes E-maily
» Stále probíhá kombinace technik infikované přílohy a URL
10. 12
Příklad z praxe - zachyceno na FortiSandboxu
Zachycený malware u konkrétního zákazníka - pouze “high risk”
» url 373
» js 367
» vbs 142
» pdf 119
» docm 89
» exe 46
» doc 15
» xls 10
(podobné poměry statistik vidíme i u dalších našich zákazníků)
13. 15
Klasická podoba útoku pomocí malware
Malicious
Email
Malicious
Web Site
Malware
C&C
spam
malicious link
exploit
malware
bot commands
stolen data
14. 16
… a klasická obrana před ním
App Control
IP Reputation
Antispam
Web Filtering
Intrusion
Prevention
Antivirus
Malicious
Email
Malicious
Web Site
Malware
C&C
spam
malicious link
exploit
malware
bot commands
stolen data
16. 18
FortiSandbox je řešení pro ochranu před
pokročilými typy hrozeb, založené na
analýze reálného chování podezřelého kódu
v reálném čase. Díky tomu je FSA schopen
detekovat I zcela nové, pro tradiční AV
systémy zcela neznámé typy malware.
Představení platformy FortiSandbox
Kombinuje řadu různých anti-evasion technik
Podezřelý kód spouští a analyzuje v reálném prostředí
» Vyhodnocuje reálné chování
» Testuje v různých verzích OS a aplikací
Využívá všechny FortiGuard databáze
» URL filtrační DB
» Databáze IP adres
» …
Využívá data z dalších FSA
17. 19
Podporované operační systémy
Široká podpora populárních OS
» Windows XP/7/8/10
» Android
» MacOS (cloud)
» Možnost vytvořit vlastní konfiguraci OS
» Implementována řada technik z kategorie Anti-evasion
» Výsledkem je kromě samotného verdiktu také kompletní log, packet capture,
screenshoty atd.
18. 21
Schopnost detekce malware
» Potvrzeno v nezávislých testech
ICSA (99.6%)
NSS Labs (97.3%)
Možnost integrace do sítě
» celá řada způsobů integrace
» Otevřené API
» Žádné licenční omezení
Výkonnost
» Architektura optimalizovaná pro maximální
výkonnost
» Potvrzeno v nezávislých testech (NSS Labs)
Proč FortiSandbox?
FWB
FGT
FML
FCL
Switch
TAP
API
25. 30
Best Practices ochrany proti ransomware
E-maily - blokovat spustitelné přílohy (exe, js,..)
» Blokovat e-maily obsahující “file share” (Dropbox,..) nebo povolit pouze vyjmenované
servery
» Hloubková kontrola archivů (zip,..)
E-maily - implementace sandboxingu pro přílohy a URL
E-maily - implementace DMARC (SPF a DKIM)
» s politikou reject a monitoringem provozu
Firewall - provádět inspekci SSL komunikace (HTTPS,..)
» většina nežádoucího provozu komunikuje přes SSL
Firewall - blokovat komunikaci se sítěmi typu TOR
Firewall - segmentace sítí pomocí VLAN
Firewall - segmentační firewall provádí security inspekce mezi VLANy
LOCKY: Hollywood Presbyterian paid US$17,000 to decrypt les encrypted by Locky (zašifrovaná všechna dat v nemocnici, včetně zdravotní dokumentace, rentgenových a CT snímků, atd)
PragoData
First off, with all of the other security products that Fortinet (and others) offer why is sandboxing so important these days?
It’s because, for all of the 99% of threats we can block using established methods like signatures, reputation, heuristics and so forth, we have seen that the 1% missed because it was previously unknown can turn into a massive data breach. And analyzing that unknown is where sandboxing comes in.
Vidět a nebýt viděn
The FortiSandbox is the only sandboxing solution on the market to be widely open. There are many standard inputs methods which guarantee future investments are compatible with fortisandbox.
1. Device: Traffic is TCP 514 and is SSL encrypted. This proprietary protocol conveys :
File submission
statistics
verdict
2. FortiTAP and Fortiswitch can be used as well as other third party devices. Rx/Tx flows can be copied to fortisandbox so as it analyses the compatible files to inspection.
3. CIFS or NFS Network shares can be inspected.
On-Demand or Scheduled Inspection
Quarantine Support
Threat Intelligence Sharing
4. Administrator uses the web-based Manager or JSON-RPC API to upload files he wants to submit for inspection. It is possible to skip some security features to test sandboxing:
AV Scan
Cloud File Query
Sandboxing
Admin can track the inspection through the On-Demand page (WebUI).
Notes: A memory hash table prevents the system from accepting the same files several times. Cleared every week or each time there is a DB update.