Török Szilárd NKE doktorandusz Kibervédelem aktualizálása a nemzetközi botnet alapú támadások, adatszivárgások alapján 2014. Június 10.
A támadások kikerülhetetlenek Cél a behatoló idejének csökkentése
A hagyományos biztonsági eszközök Tűzfal, Vírusvédelem, IPS, vírus és tartalomszűrők: A hálózati határvédelemre (L2-L4) koncentrálnak Mintaillesztés alapúak (signature based) a korszerű támadások ellen magukban kevesek
STUXNET 2010 DUQU 2011-12 skywiper/flame 2012 MiniDuke (2013.02) TeamSpy (2013.03) Red October (2012-13) APT1 (2013) Nettraveller/TravNet SafeNet (2013.05) Operation Hangover Kimsuky (2013.09) RARSTONE Janicab Ice Fog Hidden Lynx Közelmúlt támadásai
modern támadás folyamata Támadási/fertőzési fázisok 1. PDF beküldése, amely átmeneti futtatható fájl generál 2. Módosítja magát és máshova helyezi el magát (már különbözik az eredetitől) 3. Csatlakozik a C&C szerverekhez és frissíti magát (akár utasításra: tényleges malware-t tölt le) Érdekesség, hogy sok áldozat nem került a 3. fázisba, várakozik utasításra (backdoorként a háttérben)
APT1 2004 óta létező különítmény Kínában 10 hónap 6.5 Terrabyte/egy szervezet HOP-ok: kb 2000 belépést vizsgáltak ki, ahol APT1 HOP infrastruktúrákba lépett be, 832 IP cím (98%) pedig közvetlenül Kínához tartozó tartozik! APT domain-k: 1) Regisztrált (107db), pl. cnndaily.net, reutersnewsonline.com, todayusa.org 2) harmadik fél/dynamic DNS 3) elrabolt domain
Kétféle üzemmód: WebC2 /Standard Backdoor: - Progr. futtat, kreál vagy módosít - Fel és letölt fájlokat - Registry-t módosít - Billentyűzetet figyel - Egér mozgást figyel - Jelszavakat bányászik - Összegyűjti a lokális információkat, pl.: - hálózati konfigurációk, - Felhasználói fiókok, - levelezések - Certificicate-k, - Kiléptet felhasználót, lekapcsolja a rendszert - SSL titkosítással kommunikál a C&C szerverrel - Listáz, elindít vagy megállít processzeket - Felhasználói képernyőt lement - Interaktív shell abalkot nyit - Távoli dekstop elérést készít - RAR fájlokba (darabolva, pl. 200MB) csomagolva küldi ki FTP-n az összegyűjtött adatokat
Jelen problémák, nehézségek nem ismerjük a hálózaton lévő forgalmat és annak tartalmát, hálózati események, incidensek utólagos felderítése és analizálása korlátozott és meglehetősen nehézkes (log feldolgozás), a feldolgozott log-okból az adattartalom nem áll rendelkezésre, pl.: állományok, ártalmas kódok, a tényleges felhasználói viselkedés nem vagy csak korlátozottan azonosítható (titkosított csatornák, log-ban csak állomány nevek) a signature alapú védelem csak a már ismert támadást tudja feltárni, csak az olyan események azonosíthatók utólag, amelyekre felkészítettük a monitorozó eszközt a hálózaton lévő forgalom elemzéshez sok idő és speciális szaktudás szükséges vizuális megjelenítés a legtöbb elemző eszközből hiányzik 8
Azonosított problémák Új típusú támadási minták jelentek meg A 0-day sérülékenységek könnyű kihasználhatósága miatt nagy a kitettség Malware variánsok nagyon gyorsan keletkeznek A mai biztonsági monitorozás és incidenskezelés nem hatékony Nagy adatmennyiség Hosszú ideje aktív kártékonykód, nem tudni milyen adatokhoz fért hozzá Korai figyelmeztetés aktuális problémái
Elvárt eredmények Hatékony megoldás a forgalmi adatok elemzésére Az egyes rendszerekből érkező naplóadatok központi feldolgozása/kiértékelése A behatolás gyanús események hatékonyabb kezelése Célzott támadások felismerése, elemzése A jelenleginél gyorsabb, kompetensebb incidens kezelés Átláthatóbb, teljesebb körű jelentési rendszer
Hálózati forgalom elemzése - célok A forgalom online elemzése és analizálása Vizualizációs réteg használatával egy-egy esetleges behatolási kísérlet azonnal észlelhető. A monitorozott forgalom lemezre írása, és kiegészítése Forensics Riportokat, riasztásokat illetve trendek készítése
Naplóelemzés - célok A jelenlegi syslog-ng rendszer bővítése A naplóadatok folyamatos feldolgozása Az incidensekből felhasználható minták visszavezetése a feldolgozó rendszerekbe A heterogén logelemzés és logfelhordási infrastruktúrák egy keretrendszerbe történő integrációja A különböző szolgáltatások, alkalmazások naplóit egységes szintre hozása
Jelentési, felderítési képesség növelése, riporting A fejlesztések hatására megnövekedett biztonsági esemény észlelése a mainál hatékonyabb jelentése kulcskérdés Ennek megfelelően elvárás, hogy a védelmi rendszer képes legyen az egyes szakmai és vezetői szinteknek megfelelő tartalmú és formájú gyors és trend jelentések előállítására Ehhez szükséges a naplófeldolgozást a korábbiakban bemutatott szintre fejleszteni. Szintén szükséges megfelelő sérülékenység elemző megoldás bevezetése (belső hálózati biztonsági problémák felderítésére illetve konkrét incidensek kapcsán akár intézményi védelmi rendszer tesztelésére is)
Hálózatbiztonsági monitoring
egy megoldás kiemelt képességei A teljes hálózati forgalmat eltárolja, bármilyen esemény utólagosan rekonstruálható, bizonyítható (analógia: videokamera) A hatalmas hálózati adatforgalmat kezelhetővé teszi Kiterjedt vizuális megjelenítési képességgel rendelkezik (pl. dokumentum, email, kép, hang, video) Beszédkommunikációt képes visszajátszani (közben adatvédelmi szempontok érvényesítése) Incidensek felderítése, kontrollok ellenőrzése kevesebb időt és szakértelmet igényel IT szakemberek, auditorok, vállalati vezetők igényeit egyszerre képes kielégíteni
Képességek (folyt.) A forgalmat flat adatbázisban tárolja, meta információk alapján indexeli (hatékony kereshetőség) Egy eszközzel kiterjedt incidens felderítés végezhető Nem támogatott alkalmazás verziók, sérülékeny rendszerek észlelése Együttműködik a létező biztonsági rendszerekkel (SIEM, IPS, DLP) Automatikus malware analízis Még nem ismert támadási technikák felismerése (zero day) Titkosított csatornák kezelése Folyamatos auditálás biztosítása
Megoldás pozícionálása Session alapú rendszer, hálózati analízis és rekonstrukció, szabványos és nem szabványos protokollok NEM antivírus (AV) és nem IPS rendszer, mert nem végez mintaillesztést (signature) nem hálózati viselkedés alapú rendszer NEM tűzfal (FW), mert nem port és protokoll alapú nem blokkolja a hálózati forgalmat NEM egy DLP rendszer, mert nem blokkolja a hálózati forgalmat NEM helyettesíti a létező biztonsági rendszereket (AV, IPS, DLP, SIEM), hanem kiegészíti azokat!
Lehetséges megoldás APPLIANCES APPLICATIONS
APPLIANCES Decoder (SENSOR): Real-time, distributed, full packet capture, session processing, packet storage Concentrator (DATABASE): Aggregates and indexes metadata in real-time across multiple capture locations Broker (QUERY BROKER): Provides a single logical view into Concentrators distributed throughout an enterprise. APPLICATIONS Investigator Interaktív hálózati analízis Informer Automatikus riportok, riasztások Visualize Tartalmak vizuális megjelenítése Spectrum Automatikus malware analízis Live Értesítés az új incidensekről SIEMLink IDS/SIEM konzolon keresztül hozzáférést biztosít az analízishez
Interaktív hálózati analízis»interaktív hálózati session analízis»tartalom alapú elemzés L2-től L7-ig»Interaktív időskála»különböző session nézetek és részletek»session exportálási lehetőségek különböző formátumokba»a session tartalom alapú automatikus dekódolása»session csoportosítás kockázatok alapján»session csoportosítás fenyegetettség alapján»a session tartalmának megjelenítése
Védekezési javaslatok Mai védelem felépítése kormányzati szinten: Naplóelemzés + Hálózati monitoring Malware analízis, Scada Labor, stb. Kormányzati Korai Figyelmeztetési Rendszer felépítése megfelelő monitorozással Forensics támogatása Incidenskezelés kidolgozása KIK megoldás ki kell szolgálja - Gov-CERT elvárásokkal összhangban IT események részletesebb naplózása, professzionális elemzése Proaktív védelem kialakítása (pl. automatizált tesztelések) Szervezeti szinten és a mindennapi működés során az IT biztonság fontossága hangsúlyossá válása