Nyomokban malware-t tartalmazhat!

Átírás

1 Nyomokban malware-t tartalmazhat! Tartalomszűrés ben-, webes forgalomban és más technikák Segyik István, Rendszermérnök Cisco Global Virtual Engineering Október 14.

2 Újra itt! Cisco Public 2

3 Tartalom Bevezetés Internet biztonsági kérdések általában Kis technológia: SPF, DKIM, DMARC Cisco Security Appliance (ESA) Cisco Web Security Appliance (WSA) Egyéb Cisco Web Security megoldások Cisco Public 3

4 Internetes tartalomhoz köthető fenyegetések Hasznos web-es tartalomba ágyazott malware -ben küldött malware SPAM: kéretlen amely lehet szimplán zavaró, de Denial of Service támadás is SCAM: olyan ahol a küldő személyisége hamisított. Gyakran használt phishing-re, malware terjesztésre, stb. Hamisított web site-ok, amelyek többnyire adatlopásra használtak Phishing SCAM ek, amelyek hamisított vagy kompromittált web oldalakra irányítják a címzettet Kontraproduktív webböngészés munkaidőben Cisco Public 4

5 SCAM példa az Cisco Public 5

6 SCAM példa az állítólagos feladó Cisco Public 6

7 SCAM példa a látszólagos nagy probléma... Cisco Public 7

8 SCAM példa az igazi probléma... Cisco Public 8

9 Még egy kis phising Hamisított jelentősebb brand-ek 2013-ban: átlagosan 400 minden hónapban. Iparág szerint: Gyártás: 8% Egyéb ipar: 8% Tervező és fejlesztő cégek: 8% Energia szektor: 19% Banki szektor 27% Az okozott kár 2012-ben (becsült): 1,5 milliárd USD. Cisco Public 9

10 SPF, DKIM, DMARC Cisco Public 10

11 DKIM, SPF and DMARC Céljuk a feladó hamisításának megakadályozása. A fogadó szerver számára ellenőrizhetővé válik, hogy ténylegesen a feladó domain-jének SMTP relay szervere küldte a mail-t. ü Verified SIGNED Your Company DNS Server SIGNED Trusted_Partner.com Fogadó szerver Imposter Drop/Quarantine Trusted_Partner.com Cisco Public 11

12 Sender Policy Framework - SPF RFC7208 Lehetővé teszi a fogadó szerver számára, hogy ellenőrizze a küldő szerver jogosultságát adott domain-ból származó feladótól történő küldésre. DNS TXT rekordot használ a jogosult SMTP szerverek felsorolására. HELO és MAIL FROM azonosítókat ellenőrizhet. A küldő utasíthatja a feladót a szabály alkalmazásának módjára. Példa: "v=spf1 ip4: /27 ip4: /26 ip4: /27 ip4: /24 ip4: /14 ip4: /27 ip4: /24 ip4: /16 ip4: /20 ip4: /24 ip4: /24 ip4: /27 ip4: /26 ip4: /27 ip4: /26 ip4: /24 mx:res.cisco.com mx:sco.cisco.com ~all" Cisco Public 12

13 SPF találós kérdés Mire jó ez? sub-domain.domain.com. IN TXT "v=spf1 -all" Cisco Public 13

14 SPF hiányosságok Intra domain hamisítás ellen nem véd. Nem vizsgál belső fejlécet. Nem végez integritás ellenőrzést. Cisco Public 14

15 Domain Key Identified (DKIM) RFC5585, RFC6376, RFC5863, RFC5617 (ADSP) Aszimmetrikus kulcsokat használva a küldő SMTP szerver integritás ellenőrzés (SHA1/SHA256 hash-elés) után digitálisan aláírja az t. A publikus kulcsot a domain DNS zónájában tárolja. DNS rekord példa: c3po._domainkey.altn.com text = "v=dkim1; k=rsa; p=migfma0gcsqgsib3dqebaquaa4gnadcbiqkbgqcjvrk3kpx17dwax uya/66/qgzu/r/7325hxqhg8poaqmn3jzpagh9gdaocdzxbtnbqkknojmkkczr41xb4h3u5reinbbq8g rfynp3n6s2kz2lwwwpssavdgtotcuxqt+pwesda7c0z5v2axgg76ygyh8b504gv+yhaxurqxnbzqwida QAB" Cisco Public 15

16 DKIM problémák Feldolgozás igényes. Lehet optimalizálni a biztonság rovására: Simple fejléc és tartalom egyszerűsítés; SHA1 használata SHA-256 helyett. Az alá nem írt mail-ek esetén az ellenőrzés nem szükséges. Fenti problémára az Author Domain Signing Practices (ADSP) eljárás megoldás lett volna, de végül nem terjedt el, mert: Csak DKIM-et kezel, SPF-fel nem foglalkozott; Nem biztosított visszajelzési csatornát a legális küldő félnek. _adsp._domainkey.example.com IN TXT "dkim=unknown all discardable" Cisco Public 16

17 Domain-based Message Authentication, Reporting & Conformance A DMARC protokol: Egységesíti az SPF és DKIM eljárások vizsgálatát fogadó oldalon. A küldő jelzi a fogadónak, hogy mit tegyen SPF és/vagy DKIM hiba esetén. Hiba esetén lehetséges eljárásokat definiál: none reject quarantine. Visszajelzési csatornákat biztosít: egyedi hiba jelentés, aggregált jelentés küldése. A DMARC szabályt és a visszajelzési címeket egy DNS rekord írja le. On-line DMARC kereső és értelmező eszköz: DNS rekord példa: v=dmarc1; p=quarantine; pct=100; rua=mailto:dmarc-reports@bounces.amazon.com; ruf=mailto:dmarcreports@bounces.amazon.com Cisco Public 17

18 DMARC működés DNS Server DMARC p=reject SIGNED ü Verified SIGNED Trusted_Partner.com Cisco ESA Report Imposter Drop/Quarantine Trusted_Partner.com Cisco Public 18

19 Cisco Security Appliance Cisco Public 19

20 Cisco Ironport Security Appliance (ESA) áttekintés Virtuális (VMware és Cisco UCS szerver felett) és hardware appliance. Funkciók: forgalom normalizáció; SPF, DKIM, DMARC ellenőrzés; Sender reputation filtering; Anti-SPAM; Anti-malware motorok (Sophos, McAfee, FireAMP); Integrált RSA DLP engine; Outbreak Filter automatikusan érvényesített Cisco Talos szabályokkal; Valós idejű URL analízis reputációs szűréssel; Helyi vagy off-box (Management Appliance) karantén; titkosítás (Cisco secure envelope services). Menedzselhető az integrált GUI-n vagy Content Security Management Appliance-en keresztül. Cisco Public 20

21 Beérkező ek vizsgálata (egyszerűsítve) Normalization, SFP/DKIM/ DMARC, recipient identity checks Drop/Quarantine SenderBase Reputation Filtering Drop Anti-Spam Drop/Quarantine Cisco Talos Anti-Virus Drop/Quarantine Advanced Malware Protection AMP Drop/Quarantine Outbreak Filters Quarantine/Re-write Real-time URL Analysis cws Deliver Quarantine Re-write URLs Drop Cisco Public 21

22 Cisco Talos Security Intelligence & Research Group 24x7x365 operations 40+ languages More than US$100 million spent on dynamic research and development 600+ engineers, technicians, and researchers 80+ PH.D., CCIE, CISSP, AND MSCE users Cisco Talos WWW Devices Web Cisco CWS Cisco IPS Cisco AnyConnect IPS 1.6 million global sensors Networks Visibility Endpoints 35% worldwide traffic Information Updates Cisco ESA 3- to 5- minute updates Cisco ASA Control WWW Cisco WSA 200+ parameters tracked 100 TB of data received per day 13 billion web requests 5,500+ IPS signatures produced 70+ publications produced 150 million+ deployed endpoints 8 million+ rules per day Cisco Public 22

23 Cisco Senderbase reputation filtering Big-big data: Több, mint 1.6 millió szenzor; A világ teljes forgalmának 35 százalékát elemzi a rendszer; Több, mint 13 milliárd Web-es kérés vizsgálata; Több mint 200 web és paraméter elemzése. Az eredmény egy -10 és +10 közötti reputációs érték SMTP szerverekre és web site-okra. Bejövő üzenetekre alkalmazott funkció. Az eredmény manuálisan nem írható felül. A magasabb reputációs szintnek technikailag meg kell felelnie az üzemeltetőkek. Publikus felület: Cisco Public 23

24 Anti-SPAM Kétféle SPAM motor. Egyidőben alkalmazhatóak, de egy szabályban csak egy motor használható. Kimenő és beérkező üzenetekre egyaránt alkalmazható. Lokális- vagy külső (Content Security Management Appliance) karantén lehetőségek. Kb. 99% catch rate, 1:1 millió false positive arány. A lehetséges eredmény kategóriák: Not SPAM, Unwanted marketing from a legitimate source, Suspected SPAM, Positively identified SPAM. A rendszer biztosít visszajelzési lehetőséget a Cisco számára téves osztályozás esetén. Cisco Public 24

25 Antivírus vizsgálat Kétféle klasszikus A/V motor: Sophos és McAfee. Egy- vagy akár mindkettő alkalmazható egyidőben, egyazon üzenetre. Mindkét motor képes klasszikus bit minta elemzésre, heurisztikus analízisre, emulációra, tömörített csatolmányok kitömörítésére, stb.. A fertőzött üzenetek fertőtleníthetőek, eldobhatóak vagy karanténba helyezhetőek. A nem vizsgálható csatolmánnyal ellátott üzenetek karanténba helyezhetőek vagy tag-gelhetőek. Kimenő és beérkező üzenetekre egyaránt alkalmazható. Cisco Public 25

26 FireAMP ESA-n File Reputation Filtering and File Analysis néven található az ESA-ban. Csak bejövő üzenetekre alkalmazott. Folyamatos elérést igényel a Sourcefire cloud felé. Egyelőre automatikus, de külső Sandbox-ot használ. Az integrált Sandbox tervben van. Teljeskörű jelentéskészítés. Utólagos malware minősítés esetén File tracking jelentés részletes felhasználói információkkal. Cisco Public 26

27 FireAMP ESA-n To Content Filters AMP Cloud Mail Flow Pipeline AMP Client Local Cache File Reputation Query Sha256 checksum +SPERO fingerprint for WinPE files Verdict File Reputation update Unknown File Upload for Sandboxing VRT Sandboxing From Anti-Virus Cisco Public 27

28 Jelenlegi (átmeneti) AMP limitációk ESA-n A vizsgált fájlok mérete: 15 Kb 2 Mb. Bizonyos fájlokat - mint például tömörített állományok - nem vizsgál. Csak beérkező üzenetkre alkalmazott. Cisco Public 28

29 Outbreak Filter Cisco Talos szolgáltatás technikai beavatkozási pontja. Kimenő és beérkező üzenetekre egyaránt alkalmazható. Vírus, Malware, Phishing SCAM védelem. Beavatkozási módok: Egyértelműen káros üzenetek karanténba helyezése vagy eldobása. Gyanús üzenetek visszatartása addig, amíg a működő anti-vírus motor egyértelműen tisztának nem ítéli a csatolmányt. Az üzenet módosítása: URL tag-gelése, törlése vagy felülírása (szöveges üzenetre vagy Cisco Cloud Web Security (CWS) proxy-ra átirányítás). Minimális konfigurációs lehetőség (egyedi szabályok nem írhatóak). Alapbeállításban 5 perces frissítés. Cisco Public 29

30 Valósidejű URL analízis A levelekben elhelyezett URL-lek valósidejű ellenőrzése. Kimenő és beérkező üzeneteket egyaránt vizsgál. Vizsgálható az URL kategória és a cél portál reputációs szintje. Az alap beavatkozási módokon (karantén, eldobás, stb.) túl, lehetséges: az URL tag-gelése (nem értelmezett automatikus hivatkozásként); az URL cseréje, akár Cisco Cloud Web Security (CWS) proxy-ra is irányítható; az URL egyszerű szöveges üzenetre történő cseréje. Sok phishing üzenet új, egyelőre neutrális (0) reputációjú web site-ra mutat! A funkció nem mentesít megfelelő web böngészést biztosító eszközök használatától. Cisco Public 30

31 Valósidejű URL analízis Contains URL Rewrite Send to Cloud Defang BLOCKEDwww.playboy.comBLOCKED BLOCKEDwww.proxy.orgBLOCKED Cisco Talos Replace This URL is blocked by policy URL Categorization Cisco Public 31

32 Kimenő ek vizsgálata A már említett kétirányú funkciók a kimenő -ekre is érvényesek: Normalizáció; Anti-SPAM; Anti-vírus; Outbreak filter; URL analízis. A fentieken túl lehetőség van: RSA DLP motor alkalmazására; titkosításra Cisco Registered Envelope Service (CRES) segítségével; DKIM/SPF aláírásra/ellenőrzésre. Cisco Public 32

33 Cisco Registered Envelope Service (CRES) titkosítás Cisco Security Appliance Message Key Sender Controls Recipient Automatikus kulcs menedzsment lokális szerveren vagy cloud-ban. Az tartalmat NEM kezeli cloud-ban, ESA kerül titkosításra. Szabályrendszer alapú vezérlés, küldő kliens oldalán teljesen transzparens lehet. Alternatíva lehet: TLS-sel titkosított SMTP (szerverek között). Támogatott ESA-n. Alternatíva lehet: S/MIME ESA-n (tervezett támogatás egy éven belül). GYIK: Cisco Public 33

34 ESA egyéb Többféle hardver és virtuális appliance platform vásárolható. Az egyes funkciók a felhasználók számával arányosan licenszelhatőek a platformtól függetlenül. A méretezés viszonylag összetett, bízza ránk! Amit tudnunk kell: mennyiség csúcsidőben (másodpercenként, percenként, óránként ahogy éppen mérhető). Az alkalmazni kívánt funkciók. A rendszer szolgáltatásai tisztán cloud vagy hibrid formában is igénybe vehetőek. Több információ: Cisco Public 34

35 Cisco Web Security Appliance Cisco Public 35

36 Cisco Web Security Appliance (WSA) Virtuális (VMware felett) és hardware appliance formátumok. Funkciók: HTTP(S), FTP(S) proxy cache és TCP optimalizációs funkciókkal; TLS visszafejtés és újra titkosítás (MITM típusú); Dinamikus URL és reputációs szűrés; Általános tartalom szűrés (fájl típusok); Egyszerű integrált DLP motor és interfész (ICAP) külső DLP rendszerek felé; Fejlett Alkalmazás Kontroll. Anti-malware motorok (Sophos, McAfee, Webroot egyszerre maximum kettő és FireAMP); Botnet Activity Filtering (L4TM) külön promiscuous vagy in-line interfészen teljes UDP és TCP port tartomány vizsgálatával. Menedzselhető az integrált GUI-n vagy centralizált Content Security Management Appliance-en keresztül. Cisco Public 36

37 Web Security Appliance (WSA) újdonságok FireAMP anti-malware szűrés (elérhető): File letöltés blokkolása; Kiterjedt jelentés készítés; Retrospektív analízis funkciók; Kb. 6-16% extra terhelés. Cisco Identity Services Engine (ISE) pxgrid API integráció (hamarosan): Addícionális passzív- transzparens felhasználó azonosítási metódus. Egyelőre a felhasználó nevét rendeli IP címhez és lekérdezi a számára kijelölt Security Group Tag-et (SGT). Az SGT-t használhatjuk feltételként a szabályrendszerben. Jelenleg nincs mód ISE-n keresztüli beavatkozásra (ISE oldali API lehetővé teszi), de fejlesztés alatt áll. Idő és adatmennyiség kvóták, VRRP és LDAPS (hamarosan). Cisco Public 37

38 Cisco integrált web security megoldások Cisco Public 38

39 Cisco integrált web security megoldások (méltatlanul rövidre fogva) Stateful Inspection Tűzfal-ba integrált megoldások. A stateful inspection tűzfal még mindig alapelem. Több megoldás létezik: Meraki MX (cloud managed); Cisco ASA + NGFW (CX) szoftver vagy hardver modul; Cisco ASA + Sourcefire FirePower; SourceFire NGFW konfiguráció (Protect, Control és FireSight licencekkel). Átfedő funkcionalitás, eltérő skálázhatóság és komplexitás. Cisco Public 39

40 Köszönöm a figyelmet!