Nyomokban malware-t tartalmazhat! Tartalomszűrés e-mailben-, webes forgalomban és más technikák Segyik István, isegyik@cisco.com Rendszermérnök Cisco Global Virtual Engineering 2014. Október 14.
Újra itt! Cisco Public 2
Tartalom Bevezetés Internet biztonsági kérdések általában Kis technológia: SPF, DKIM, DMARC Cisco E-mail Security Appliance (ESA) Cisco Web Security Appliance (WSA) Egyéb Cisco Web Security megoldások Cisco Public 3
Internetes tartalomhoz köthető fenyegetések Hasznos web-es tartalomba ágyazott malware E-mail-ben küldött malware SPAM: kéretlen e-mail amely lehet szimplán zavaró, de Denial of Service támadás is SCAM: olyan e-mail ahol a küldő személyisége hamisított. Gyakran használt phishing-re, malware terjesztésre, stb. Hamisított web site-ok, amelyek többnyire adatlopásra használtak Phishing SCAM e-mailek, amelyek hamisított vagy kompromittált web oldalakra irányítják a címzettet Kontraproduktív webböngészés munkaidőben Cisco Public 4
SCAM példa az e-mail Cisco Public 5
SCAM példa az állítólagos feladó Cisco Public 6
SCAM példa a látszólagos nagy probléma... Cisco Public 7
SCAM példa az igazi probléma... Cisco Public 8
Még egy kis phising Hamisított jelentősebb brand-ek 2013-ban: átlagosan 400 minden hónapban. Iparág szerint: Gyártás: 8% Egyéb ipar: 8% Tervező és fejlesztő cégek: 8% Energia szektor: 19% Banki szektor 27% Az okozott kár 2012-ben (becsült): 1,5 milliárd USD. Cisco Public 9
SPF, DKIM, DMARC Cisco Public 10
DKIM, SPF and DMARC Céljuk a feladó hamisításának megakadályozása. A fogadó szerver számára ellenőrizhetővé válik, hogy ténylegesen a feladó domain-jének SMTP relay szervere küldte a mail-t. ü Verified SIGNED Your Company DNS Server SIGNED Trusted_Partner.com Fogadó szerver Imposter Drop/Quarantine Trusted_Partner.com Cisco Public 11
Sender Policy Framework - SPF RFC7208 Lehetővé teszi a fogadó szerver számára, hogy ellenőrizze a küldő szerver jogosultságát adott domain-ból származó feladótól történő e-mail küldésre. DNS TXT rekordot használ a jogosult SMTP szerverek felsorolására. HELO és MAIL FROM azonosítókat ellenőrizhet. A küldő utasíthatja a feladót a szabály alkalmazásának módjára. Példa: "v=spf1 ip4:173.37.147.224/27 ip4:173.37.142.64/26 ip4:173.38.212.128/27 ip4:173.38.203.0/24 ip4:64.100.0.0/14 ip4:72.163.7.160/27 ip4:72.163.197.0/24 ip4:144.254.0.0/16 ip4:66.187.208.0/20 ip4:173.37.86.0/24 ip4:64.104.206.0/24 ip4:64.104.15.96/27 ip4:64.102.19.192/26 ip4:144.254.15.96/27 ip4:173.36.137.128/26 ip4:173.36.130.0/24 mx:res.cisco.com mx:sco.cisco.com ~all" Cisco Public 12
SPF találós kérdés Mire jó ez? sub-domain.domain.com. IN TXT "v=spf1 -all" Cisco Public 13
SPF hiányosságok Intra domain hamisítás ellen nem véd. Nem vizsgál belső fejlécet. Nem végez integritás ellenőrzést. Cisco Public 14
Domain Key Identified e-mail (DKIM) RFC5585, RFC6376, RFC5863, RFC5617 (ADSP) Aszimmetrikus kulcsokat használva a küldő SMTP szerver integritás ellenőrzés (SHA1/SHA256 hash-elés) után digitálisan aláírja az e-mailt. A publikus kulcsot a domain DNS zónájában tárolja. DNS rekord példa: c3po._domainkey.altn.com text = "v=dkim1; k=rsa; p=migfma0gcsqgsib3dqebaquaa4gnadcbiqkbgqcjvrk3kpx17dwax uya/66/qgzu/r/7325hxqhg8poaqmn3jzpagh9gdaocdzxbtnbqkknojmkkczr41xb4h3u5reinbbq8g rfynp3n6s2kz2lwwwpssavdgtotcuxqt+pwesda7c0z5v2axgg76ygyh8b504gv+yhaxurqxnbzqwida QAB" Cisco Public 15
DKIM problémák Feldolgozás igényes. Lehet optimalizálni a biztonság rovására: Simple fejléc és tartalom egyszerűsítés; SHA1 használata SHA-256 helyett. Az alá nem írt mail-ek esetén az ellenőrzés nem szükséges. Fenti problémára az Author Domain Signing Practices (ADSP) eljárás megoldás lett volna, de végül nem terjedt el, mert: Csak DKIM-et kezel, SPF-fel nem foglalkozott; Nem biztosított visszajelzési csatornát a legális küldő félnek. _adsp._domainkey.example.com IN TXT "dkim=unknown all discardable" Cisco Public 16
Domain-based Message Authentication, Reporting & Conformance A DMARC protokol: Egységesíti az SPF és DKIM eljárások vizsgálatát fogadó oldalon. A küldő jelzi a fogadónak, hogy mit tegyen SPF és/vagy DKIM hiba esetén. Hiba esetén lehetséges eljárásokat definiál: none reject quarantine. Visszajelzési csatornákat biztosít: egyedi hiba jelentés, aggregált jelentés küldése. A DMARC szabályt és a visszajelzési címeket egy DNS rekord írja le. On-line DMARC kereső és értelmező eszköz: https://dmarcian.com/dmarc-inspector/ DNS rekord példa: v=dmarc1; p=quarantine; pct=100; rua=mailto:dmarc-reports@bounces.amazon.com; ruf=mailto:dmarcreports@bounces.amazon.com Cisco Public 17
DMARC működés DNS Server DMARC p=reject SIGNED ü Verified SIGNED Trusted_Partner.com Cisco ESA Report Imposter Drop/Quarantine Trusted_Partner.com Cisco Public 18
Cisco E-mail Security Appliance Cisco Public 19
Cisco Ironport E-mail Security Appliance (ESA) áttekintés www.cisco.com/go/esa Virtuális (VMware és Cisco UCS szerver felett) és hardware appliance. Funkciók: E-mail forgalom normalizáció; SPF, DKIM, DMARC ellenőrzés; Sender reputation filtering; Anti-SPAM; Anti-malware motorok (Sophos, McAfee, FireAMP); Integrált RSA DLP engine; Outbreak Filter automatikusan érvényesített Cisco Talos szabályokkal; Valós idejű URL analízis reputációs szűréssel; Helyi vagy off-box (Management Appliance) e-mail karantén; E-mail titkosítás (Cisco secure envelope services). Menedzselhető az integrált GUI-n vagy Content Security Management Appliance-en keresztül. Cisco Public 20
Beérkező e-mailek vizsgálata (egyszerűsítve) Normalization, SFP/DKIM/ DMARC, recipient identity checks Drop/Quarantine SenderBase Reputation Filtering Drop Anti-Spam Drop/Quarantine Cisco Talos Anti-Virus Drop/Quarantine Advanced Malware Protection AMP Drop/Quarantine Outbreak Filters Quarantine/Re-write Real-time URL Analysis cws Deliver Quarantine Re-write URLs Drop Cisco Public 21
Cisco Talos Security Intelligence & Research Group 24x7x365 operations 40+ languages More than US$100 million spent on dynamic research and development 600+ engineers, technicians, and researchers 80+ PH.D., CCIE, CISSP, AND MSCE users Cisco Talos WWW Email Devices Web Cisco CWS Cisco IPS Cisco AnyConnect IPS 1.6 million global sensors Networks Visibility Endpoints 35% worldwide email traffic Information Updates Cisco ESA 3- to 5- minute updates Cisco ASA Control WWW Cisco WSA 200+ parameters tracked 100 TB of data received per day 13 billion web requests 5,500+ IPS signatures produced 70+ publications produced 150 million+ deployed endpoints 8 million+ rules per day Cisco Public 22
Cisco Senderbase reputation filtering Big-big data: Több, mint 1.6 millió szenzor; A világ teljes E-mail forgalmának 35 százalékát elemzi a rendszer; Több, mint 13 milliárd Web-es kérés vizsgálata; Több mint 200 web és e-mail paraméter elemzése. Az eredmény egy -10 és +10 közötti reputációs érték SMTP szerverekre és web site-okra. Bejövő üzenetekre alkalmazott funkció. Az eredmény manuálisan nem írható felül. A magasabb reputációs szintnek technikailag meg kell felelnie az üzemeltetőkek. Publikus felület: www.senderbase.org Cisco Public 23
Anti-SPAM Kétféle SPAM motor. Egyidőben alkalmazhatóak, de egy szabályban csak egy motor használható. Kimenő és beérkező üzenetekre egyaránt alkalmazható. Lokális- vagy külső (Content Security Management Appliance) karantén lehetőségek. Kb. 99% catch rate, 1:1 millió false positive arány. A lehetséges eredmény kategóriák: Not SPAM, Unwanted marketing e-mail from a legitimate source, Suspected SPAM, Positively identified SPAM. A rendszer biztosít visszajelzési lehetőséget a Cisco számára téves osztályozás esetén. Cisco Public 24
Antivírus vizsgálat Kétféle klasszikus A/V motor: Sophos és McAfee. Egy- vagy akár mindkettő alkalmazható egyidőben, egyazon üzenetre. Mindkét motor képes klasszikus bit minta elemzésre, heurisztikus analízisre, emulációra, tömörített csatolmányok kitömörítésére, stb.. A fertőzött üzenetek fertőtleníthetőek, eldobhatóak vagy karanténba helyezhetőek. A nem vizsgálható csatolmánnyal ellátott üzenetek karanténba helyezhetőek vagy tag-gelhetőek. Kimenő és beérkező üzenetekre egyaránt alkalmazható. Cisco Public 25
FireAMP ESA-n File Reputation Filtering and File Analysis néven található az ESA-ban. Csak bejövő üzenetekre alkalmazott. Folyamatos elérést igényel a Sourcefire cloud felé. Egyelőre automatikus, de külső Sandbox-ot használ. Az integrált Sandbox tervben van. Teljeskörű jelentéskészítés. Utólagos malware minősítés esetén File tracking jelentés részletes felhasználói információkkal. Cisco Public 26
FireAMP ESA-n To Content Filters AMP Cloud Mail Flow Pipeline AMP Client Local Cache File Reputation Query Sha256 checksum +SPERO fingerprint for WinPE files Verdict File Reputation update Unknown File Upload for Sandboxing VRT Sandboxing From Anti-Virus Cisco Public 27
Jelenlegi (átmeneti) AMP limitációk ESA-n A vizsgált fájlok mérete: 15 Kb 2 Mb. Bizonyos fájlokat - mint például tömörített állományok - nem vizsgál. Csak beérkező üzenetkre alkalmazott. Cisco Public 28
Outbreak Filter Cisco Talos szolgáltatás technikai beavatkozási pontja. Kimenő és beérkező üzenetekre egyaránt alkalmazható. Vírus, Malware, Phishing SCAM védelem. Beavatkozási módok: Egyértelműen káros üzenetek karanténba helyezése vagy eldobása. Gyanús üzenetek visszatartása addig, amíg a működő anti-vírus motor egyértelműen tisztának nem ítéli a csatolmányt. Az üzenet módosítása: URL tag-gelése, törlése vagy felülírása (szöveges üzenetre vagy Cisco Cloud Web Security (CWS) proxy-ra átirányítás). Minimális konfigurációs lehetőség (egyedi szabályok nem írhatóak). Alapbeállításban 5 perces frissítés. Cisco Public 29
Valósidejű URL analízis A levelekben elhelyezett URL-lek valósidejű ellenőrzése. Kimenő és beérkező üzeneteket egyaránt vizsgál. Vizsgálható az URL kategória és a cél portál reputációs szintje. Az alap beavatkozási módokon (karantén, eldobás, stb.) túl, lehetséges: az URL tag-gelése (nem értelmezett automatikus hivatkozásként); az URL cseréje, akár Cisco Cloud Web Security (CWS) proxy-ra is irányítható; az URL egyszerű szöveges üzenetre történő cseréje. Sok phishing üzenet új, egyelőre neutrális (0) reputációjú web site-ra mutat! A funkció nem mentesít megfelelő web böngészést biztosító eszközök használatától. Cisco Public 30
Valósidejű URL analízis Email Contains URL Rewrite Send to Cloud Defang BLOCKEDwww.playboy.comBLOCKED BLOCKEDwww.proxy.orgBLOCKED Cisco Talos Replace This URL is blocked by policy URL Categorization Cisco Public 31
Kimenő e-mailek vizsgálata A már említett kétirányú funkciók a kimenő e-mail-ekre is érvényesek: Normalizáció; Anti-SPAM; Anti-vírus; Outbreak filter; URL analízis. A fentieken túl lehetőség van: RSA DLP motor alkalmazására; E-mail titkosításra Cisco Registered Envelope Service (CRES) segítségével; DKIM/SPF aláírásra/ellenőrzésre. Cisco Public 32
Cisco Registered Envelope Service (CRES) titkosítás Cisco Email Security Appliance Message Key Sender Controls Recipient Automatikus kulcs menedzsment lokális szerveren vagy cloud-ban. Az e-mail tartalmat NEM kezeli cloud-ban, ESA kerül titkosításra. Szabályrendszer alapú vezérlés, küldő kliens oldalán teljesen transzparens lehet. Alternatíva lehet: TLS-sel titkosított SMTP (szerverek között). Támogatott ESA-n. Alternatíva lehet: S/MIME ESA-n (tervezett támogatás egy éven belül). GYIK: https://res.cisco.com/websafe/help?topic=faq Cisco Public 33
ESA egyéb Többféle hardver és virtuális appliance platform vásárolható. Az egyes funkciók a felhasználók számával arányosan licenszelhatőek a platformtól függetlenül. A méretezés viszonylag összetett, bízza ránk! Amit tudnunk kell: E-mail mennyiség csúcsidőben (másodpercenként, percenként, óránként ahogy éppen mérhető). Az alkalmazni kívánt funkciók. A rendszer szolgáltatásai tisztán cloud vagy hibrid formában is igénybe vehetőek. Több információ: www.cisco.com/go/esa Cisco Public 34
Cisco Web Security Appliance Cisco Public 35
Cisco Web Security Appliance (WSA) Virtuális (VMware felett) és hardware appliance formátumok. Funkciók: HTTP(S), FTP(S) proxy cache és TCP optimalizációs funkciókkal; TLS visszafejtés és újra titkosítás (MITM típusú); Dinamikus URL és reputációs szűrés; Általános tartalom szűrés (fájl típusok); Egyszerű integrált DLP motor és interfész (ICAP) külső DLP rendszerek felé; Fejlett Alkalmazás Kontroll. Anti-malware motorok (Sophos, McAfee, Webroot egyszerre maximum kettő és FireAMP); Botnet Activity Filtering (L4TM) külön promiscuous vagy in-line interfészen teljes UDP és TCP port tartomány vizsgálatával. Menedzselhető az integrált GUI-n vagy centralizált Content Security Management Appliance-en keresztül. Cisco Public 36
Web Security Appliance (WSA) újdonságok FireAMP anti-malware szűrés (elérhető): File letöltés blokkolása; Kiterjedt jelentés készítés; Retrospektív analízis funkciók; Kb. 6-16% extra terhelés. Cisco Identity Services Engine (ISE) pxgrid API integráció (hamarosan): Addícionális passzív- transzparens felhasználó azonosítási metódus. Egyelőre a felhasználó nevét rendeli IP címhez és lekérdezi a számára kijelölt Security Group Tag-et (SGT). Az SGT-t használhatjuk feltételként a szabályrendszerben. Jelenleg nincs mód ISE-n keresztüli beavatkozásra (ISE oldali API lehetővé teszi), de fejlesztés alatt áll. Idő és adatmennyiség kvóták, VRRP és LDAPS (hamarosan). Cisco Public 37
Cisco integrált web security megoldások Cisco Public 38
Cisco integrált web security megoldások (méltatlanul rövidre fogva) Stateful Inspection Tűzfal-ba integrált megoldások. A stateful inspection tűzfal még mindig alapelem. Több megoldás létezik: Meraki MX (cloud managed); Cisco ASA + NGFW (CX) szoftver vagy hardver modul; Cisco ASA + Sourcefire FirePower; SourceFire NGFW konfiguráció (Protect, Control és FireSight licencekkel). Átfedő funkcionalitás, eltérő skálázhatóság és komplexitás. Cisco Public 39
Köszönöm a figyelmet!