Eső után köpönyeg? avagy Hogyan védekezzek az újfajta kártékony kódok ellen?

Átírás

1 Eső után köpönyeg? avagy Hogyan védekezzek az újfajta kártékony kódok ellen? Ács György IT biztonsági konzultáns, EMEAR CEE április 22.

2 Tartalom A veszélyekről Védelemi módszerek és az új Cisco biztonsági stratégiája Advanced Malware Protection, FireAMP szolgáltatás Demonstráció Architektúra elemek Kérdések és válaszok Cisco Public 2

3 A veszélyekről Cisco Public 3

4 Nincs tökéletes technológia FW/VPN AV PKI IDS / IPS UTM It matches the pattern Block or Allow NAC No key, no access Application Control Self Defending Network No false positives, no false negatives. Fix the Firewall Cisco Public 4

5 És mégis ott van: Malware az eszközön eső után köpönyeg? Perimeter Defense Network Defense Endpoint Defense Device A mélységi védelem ellenére Cisco Public 5

6 Gond: A válaszra eddig kevés figyelmet fordítottunk Prevention megelőzés Eddigi fókusz Based on a forensic analysis going back months, it appears hackers broke into The Times computers on Sept. 13. NY Times, Jan 30, 2013 According to US Cert, the average time from breach to discover is 486 days and normally the person breached finds out from a 3 rd party US CERT Incident Response Több figyelem kell. Cisco Public 6

7 Védelemi módszerek és az új Cisco biztonsági stratégiája Cisco Public 7

8 Ki az a Sourcefire? 2001-ben Martin Roesch alapította, Columbia, MD Új biztonsági megoldások piacvezető (NG) IPS új belépő a NGFW piacra új megközelítésű Advanced Malware Protection megoldás Innovatív 52+ szabadalom IPS, kontextus alapú biztonság, advanced malware Biztonsági kutatás Open Source security projektek : Snort, ClamAV, Razorback október 7. : A Cisco befejezte a Sourcefire akvizícióját, 2.7 milliárd USD befektetés Cisco Public 8

9 Az új biztonsági stratégia Támadási momentum ELŐTT Control Enforce Harden ALATT Detect Block Defend UTÁN Scope Contain Remediate Network Endpoint Mobile Virtual Cloud Point in time Continuous Cisco Public 9

10 Cisco and Sourcefire Better Together Támadási momentum ELŐTT Control Enforce Harden ALATT Detect Block Defend UTÁN Scope Contain Remediate Firewall VPN NGIPS Advanced Malware Protection NGFW UTM Web Security Network Behavior Analysis NAC + Identity Services Security Retrospective Services Visibility and Context Cisco Public 10

11 Mit szeretnénk tudni betörés esetén? Valóban betörés volt? Melyik gépet fertőzte meg elsőként? Mennyire volt kiterjedt a betörés? Mit csinált pontosan? Hogyan tudom helyreállítani? Hogyan tudom megelőzni, hogy más gépeket megfertőzzön? Cisco Public 11

12 Advanced Malware Protection, FireAMP - Áttekintés UTÁN Cisco Public 12

13 Sourcefire Advanced Malware Protection with Retrospective Security Átfogó Folytonos elemzés Integrált válasz Big Data analízis Control & Remediation Collective Security Intelligence Cisco Public 13

14 A mi megközelítésünk az Advanced Malware Protection-ra Hálózat alapú AMP Retrospective Security Continuous File Analytics Reputation Determination Defense Center Sourcefire Sensor # # SaaS Manager Host alapú AMP AMP Malware license Nincs szükség kliens programra Kis kód (printer driver méretű) host, virtual és mobil eszközök Másolást, végrehajtást, mozgatást figyel Traps fingerprint & attributes Queries cloud for file deposition

15 File Retrospection file visszatekintés Az esemény horizonton túl Antivirus Point-in-time Detection Sandboxing Analysis Stops Not 100% Sleep Techniques Unknown Protocols Encryption Polymorphism Blind to scope of compromise Initial Disposition = Clean Actual Disposition = Bad = Too Late!! AMP Retrospective Detection, Analysis Continues Turns back time Visibility and Control are Key Initial Disposition = Clean Actual Disposition = Bad = Blocked Cisco Public 15

16 Retrospective Security visszatekintő elemzés Mindig figyel nem felejt időben visszatekint Folytonos elemzés az esemény horizonton túli malware elemzés Nyomkövetés (Trajectory) Determine scope by tracking malware in motion and activity File Trajectory File alapú nyomkövetés : a szervezeten belüli vizibilitás Device Trajectory Az adott rendszeren mély file aktivitás elemzés és vizibilitás Cisco Public 16

17 Outbreak Control kitörés megelőzés Többféle lehetőség veszélyelhárításra és root cause megelőzésre Egyszerű és specifikus szabályzások (tiltások/engedélyezések) vagy Kontextus specifikus szignatúrák (snort-szerű nyelv) Simple Custom Detections Advanced Custom Signatures Application Blocking Lists Custom White Lists Device Flow Correlation / IP Blacklists Cloud & Client Based Fast & Specific Families Of Malware Group Policy Control Trusted Apps & Images Stop Connections to Bad Sites Cisco Public 17

18 A kliens program ~30MB! Akár XP-re is File Operations End Point Connector Capture File Operation Generate Fingerprint(SHA256) Management Operations Host Name Query Cloud for Disposition Send SHA256+Fuzzy Hash to Cloud If Malicious Block Host IP Address Heartbeat Login Name (Opt) Network Operations Capture Network Traffic Send TCP+UDP to Cloud If Malicious Block Cisco Public 18

19 Indicators of Compromise Megfertőzött gépek megtalálása Automated compromise analysis Prioritized list generation Quick links for root cause analysis and remediation Cisco Public 19

20 AMP Context Threat Root Cause Cisco Public 20

21 Mit is ad a sandboxing? Cisco Public 21

22 Cisco Public 22

23 Cisco Public 23

24 Demonstráció Cisco Public 24

25 Advanced Malware Protection architektúra Gateway Network Endpoint Private Cloud Public Cloud Cloud Driven Differentiators: Security Appliance Web Security Appliance Cloud Web Security Dedicated AMP Appliance AMP for Networks Windows Mac s Mobile Virtual ü ü ü ü Collective Intelligence Continuous Analytics Retrospection Control Cisco Public 25

26 Private Cloud ha lokális döntés szükséges (VM) Capability Private Cloud Public Cloud File/Device Trajectory Threat Root Cause IOC and alerting Simple and Custom detection Cloud Lookups/ Retrospective Alerting File Analysis - Cisco Public 26

27 Advanced Malware Protection Network UTÁN Cisco Public 27

28 Új Advanced Malware Protection dedikált eszközök More memory, storage, and CPU capacity for dedicated AMP processing 500 Mbps of Adv. Malware Protection 120G storage AC power only 4 Fixed Copper (Configurable Bypass) 8 Non-bypass SFP ports 2 Gbps of Adv. Malware Protection 400G storage AC and DC power options 3 x Netmod Slots No stacking AMP7150 AMP8150 Cisco Public 28

29 AMP konfiguráció a FirePOWER-ben Cisco Public 29

30 Network File Trajectory nyomkövetés Belépési idő Fertőzött rendszerek Cisco Public 30

31 Network File Trajectory Introduc)on Sent by mail (thunderbird) Cisco Public 31

32 Network File Trajectory Click! View the progression and propagation of advanced malware throughout the environment Cisco Public 32

33 Advanced Malware Protection Mobile UTÁN Cisco Public 33

34 100% 80% Android : a támadók célpontja A Cisco Éves Biztonsági Riportjából 60% 40% 20% Mobil eszközök, mint áldozatok (99% Android) 0 50% Android iphone ipad BlackBerry Nokia Symbian ipod Huawei Windows Phone Motorola Playstation Nook Zune WP Kindle Windows CE 40% 30% 20% A legelterjedtebb mobil rosszindulatú kódok 10% 0 Andr/Qdplugin-A Andr/NewyearL-B Andr/SmsSpy-J Andr/SMSSend-B Andr/Spy-AAH Trojan.AndroidOS. Plangton.a Andr/DroidRt-A Andr/Gmaster-E AndroidOS. Wooboo.a Trojan-SMS.AndroidOS. Agent.ao Andr/DroidRt-C Cisco Cloud Web Security reports Cisco Public 34

35 Android veszélyek <iframe style Sokkal gyanúsabb lehet, mint a PC Sok lehetőség a banki támadásra Két-faktoros azonosítás gyakran mobilon megy Egyszerűbb személyes adatokat keresni, mint PC-n A felhasználók gyakran default alkalmazásokat használnak, mint :"Contacts és "Gallery személyes adatokkal Személyes információt gyakran nem egyszerű változtani Gmail cím a Google Play-hez kötődik Eszköz azonosító (telefonszám, MAC cím, IMEI, IMSI) Sok ingyenes alkalmazás Google Play-ből vagy máshonnan Cisco Public 35

36 FireAMP Mobile : Vizibilitás és vezérlés FireAMP Mobile a mobil veszélyek ellen : Detektálja és törli a malware-t Alkalmazás történet cloud recall lehetősége Alkalmazás blacklisting - szűrése policy végrehajtása A veszélyek és trendek megértése : Veszélyes felhasználók kiszűrése Top malwares Policy violations Minimális hatás : Hálózati forgalom, akkumulátor Supports Android 2.1+ Cisco Public 36

37

38

39 Advanced Malware Protection Content Security Appliances UTÁN Cisco Public 39

40 Advanced Malware Protection - mindenhol NGIPS / NGFW a FirePOWER-ben október Mobil június PC január Virtuális gép augusztus Önálló eszköz február április Új területek: Web és Security Appliances SaaS Cloud Web Security és Hosted Note: Immunet entered AMP market in Cisco Public 40

41 AMP szolgáltatások a Content Security megoldásokban File Reputation Ismert és ismeretlen malware file blokkolása Reputáció döntés a felhőből File Sandboxing Nem ismert file viselkedés elemzése Gyanús viselkedés keresése File Retrospection A gateway-en átmenő file folytonos analízise Retrospektív riasztás ( ), ha károsnak ítélte az AMP felhő Cisco Public 41

42 Cisco Public 42

43 Cisco Public 43

44 Cisco Public 44

45 Cisco Public 45

46 Cisco Public 46

47 Cisco Public 47

48 Breach Detection: NSS Labs Report Cisco Public 48

49 NSS Labs Report Comparative Testing on Breach Detection Systems Who is NSS Labs? What was measured? What Cisco-Sourcefire products were tested? What competitor products were evaluated? NSS Labs, one of the best and most thorough independent testing bodies in the industry, performed comparative testing on Breach Detection Systems. Security Effectiveness of Breach Detection Systems HTTP/ Malware, Exploits, Evasions, and False Positive Rate Total Cost of Ownership per protected Mbps AMP Everywhere AMP for Networks and AMP for Endpoints (TCO calculations include this set of FireAMP connectors) FirePOWER 8120 (with AMP subscription)* FireEye, AhnLab, Fortinet, TrendMicro, Fidelis BDS Methodology v1.5 [The methodology] utilizes real threats and attack methods that exist in the wild and are actually being used by cyber-criminals and other threat actors. This is the real thing, not facsimile; systems under test (SUT) are real stacks connected to a live internet feed. --NSS Labs *Dedicated AMP Appliances (AMP8150/AP7150) were not shipping at the time of the test, otherwise one would have been used Cisco Public 49

50 Az eredmény Cisco AMP is a Leader in Security Effectiveness and TCO and offers Best Protection Value NSS Labs Security Value Map (SVM) for Breach Detection Systems Cisco Advanced Malware Protection Best Protection Value 99.0% Breach Detection Rating Security Effectiveness Lowest TCO per Protected-Mbps TCO per Protected-Mbps Cisco Public 50

51 Összefoglaló A bűnözők elszántak és végtelen erőforrással bírnak Malware mégis bejut Point-in-time döntés nem elég Incident Response fókuszt igényel Eső után köpönyeg? Új megoldás az új kártékony kódok ellen Válaszok ad a feltett kérdésekre Visszatekintő (retrospektív) elemzés Minden hálózatra és végponti elemre kiterjedő szolgáltatás: AMP architektúra Cisco Public 51

52 Kérdés? Cisco Public 52

53 Köszönöm.

54 FireAMP Demo Cisco Public 54

55 Demo Outline Architecture [Connector & Cloud] IOC Drill down Trajectory paths File Trajectory to answer prevalence Device Trajectory to determine ancestry and progeny Trajectory Use Cases Trajectory as a workflow Threat Root Cause Realtime & Scheduled report File Analysis Cisco Public 55

56 ZBOT This attack scenario replicates an in the wild infection of ZBot. In addition to being a banking Trojan, ZBot (aka ZeuS, Gameover) has also recently been modified to incorporate a P2P botnet. ZBot is often installed on computers via drive-by download, often from websites that have been compromised with an exploit toolkit. These toolkits attempt to exploit several browser vulnerabilities when a user visits the compromised website. In this scenario we will use FireAMP to discover the malicious activity and find all associated secondary infections. IMPORTANT! In the following scenario the policy for the FireAMP Connector was set to auditonly mode to show the full range of actions malicious files could take and how each action is recorded and displayed by FireAMP. Cisco Public 56