nowe zagrożenia zbigniew szmigiero
TRANSCRIPT
© 2013 IBM Corporation
Nowe zagrożenia – Nowe wyzwania.
Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems.
© 2013 IBM Corporation2
FireEye – Advanced Threat Report 2012
Tło
© 2013 IBM Corporation3
Co chronimy?
• Według badań Ponemone Institute:– Większość organizacji nie wie:
• Gdzie znajdują się ich krytyczne zasoby?• Gdzie są wrażliwe informacje?• W jaki sposób je chronią?
© 2013 IBM Corporation4
Jak chronić …?
TestDeveloper
Q&A
SensitiveData
DB IPSDAM
Szyfrowanie w czasierzeczywistym
Szyfrowanie
Anonimizacja danych
© 2013 IBM Corporation5
Pomysłowość nie zna granic
© 2013 IBM Corporation6
Rządowy robak
Nowe serwery:SingapurBahrajnTurkmenistanBruneiIndonezjaHolandia
© 2013 IBM Corporation7
Kalendarium
• Q1 2013 – Przynajmniej 6 krytycznych podatności w Java• 2/03/13 – Wyciek danych z Evernote• 12/03/13 – MS13-027 kolejna podatność poprzez USB stick• 12/03/13 – DDoS na Wells Fargo, Bank of America, Chase, Citigroup, HSBC (operacja
Ababil)• 12/03/13 – Wykradzione dane Michele Obama, Joe Biden, Hillary Clinton• 14/03/13 – Ujawnione włamanie do MSZ, MON, KPRM – Alladyn2• 19/03/13 – Zmasowany atak na banki i media w Korei Południowej (disk wipe out)• 25/03/13 – NATO zezwala na zabijanie hackerów podczas konfliktu• 27/03/13 – Największy atak DDoS w historii – Spamhaus (300 Gbps) – CloudFlare w
Londynie padł• 8/04/13 – Zmasowany atak na Izrael – OpIsrael – grupa Anonymous• 14/04/13 – NASK likwiduje botnet oparty o Citadel – 160K komputerów• 15/04/13 – Schnucks ujawnia wyciek danych 2.4 miliona kart kredytowych• 09/05/13 – Pierwsza biblioteka szyfrowania homomorficznego udostępniona przez IBM• Q2’2013 – Snowden, PRISM i NSA• 11/2013 – 150M haseł wyciekło z Adobe Air
© 2013 IBM Corporation8
Nowa era zagrożeń
© 2013 IBM Corporation9
Od U238 do U235
© 2013 IBM Corporation10
Infekcja sieci galwanicznie odseparowanych
• Modyfikacja procedur– Tylko dla Siemens S7-300 i w dodatku tylko dla wirówek
wyprodukowanych przez Vacon w Finlandii i Fararo Paya z Iranu.
– Tylko te których częstotliwość jest w zakresie 807-1210 Hz.
• Analiza zwracanych informacji z wirówek
© 2013 IBM Corporation11
Cel
• Po ~13 dniach – podniesienie częstotliwości do 1410 Hz• Po ~27 dniach – nagła zmiana częstotliwości do 2Hz a
następnie do 1064 Hz• Skutek: mechaniczne uszkodzenie wirówek• Celem wirusa było prawdopodobnie centrum uzdatniania
uranu w Natanz (Iran).• Przynajmniej 10% wirówek uległo uszkodzeniu
© 2013 IBM Corporation12
Efekt
© 2013 IBM Corporation13
Dziwne przypadki imć Krebsa
Czwartek rano
© 2013 IBM Corporation14
Dziwne przypadki imć Krebsa
Czwartek po południu
© 2013 IBM Corporation15
Dziwne przypadki imć Krebsa
Czwartek wieczorem
© 2013 IBM Corporation16
Czy to koniec tej opowieści?
© 2013 IBM Corporation17
badBIOSbardziej zaawansowany niż Stuxnet i Flame
© 2013 IBM Corporation18
badBIOS – komunikacja z użyciem ultradźwięków
© 2013 IBM Corporation19
Futurologia w bajkach – Drukowanie
© 2013 IBM Corporation20
Pisanie, prepajdy, MAC i Apple, …
© 2013 IBM Corporation21
Struktura ataku
Przynęta
Cel ataku
© 2013 IBM Corporation22
Fishing przykład 1
© 2013 IBM Corporation23
Fishing przykład 1
© 2013 IBM Corporation24
Fishing przykład 2
© 2013 IBM Corporation25
Czy moje dane są bezpieczne?
© 2013 IBM Corporation26
Charakterystyka ataku
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?CMP=DMC-SMB_Z_ZZ_ZZ_Z_TV_N_Z038
© 2013 IBM Corporation27
Różne scenariusze ataku
• Infekcja stacji roboczej poza środowiskiem• Infekcja urządzenia mobilnego• Atak bezpośredni z użyciem podatności• Atak bezpośredni ze wsparciem z wewnątrz instytucji
© 2013 IBM Corporation28
Pochodzenie ataku
Verizon 2012
© 2013 IBM Corporation29
Przynęta
Raport AVTest
© 2013 IBM Corporation30
Wszystko może posłużyć jako przynęta
234 domeny z malware w ciągu 24 godzin
© 2013 IBM Corporation31
Dedykowane oprogramowanie złośliwe (APT)
50% zidentyfikowanego oprogramowania złośliwego zaobserwowano mniej niż 20 razy
75% fragmentów unikalnego kodu wyodrębniono w ramach jednej organizacji
88% oprogramowania złośliwego miało obszar infekcji ograniczony do mniej niż 10 intytucji
Raport Sophos Labs
© 2013 IBM Corporation32
Hackmazon
© 2013 IBM Corporation33
O czasy, o obyczaje …
Arnie Levenhttp://www.condenaststore.com/-sp/I-steal-from-computers-cause-that-s-where-the-money-is-Cartoon-Prints_i8638625_.htm
Zapytany dlaczego rabował banki, odpowiedział:
„Ponieważ tam były pieniądze”
"Because that's where the money is.“
Willie Sutton
mobile devices
© 2013 IBM Corporation34
Twój telefon, tablet - Wartościowy cel
Podwójna korzyść, dostęp do danych prywatnych i firmowych
45Billion
2x
Dostęp nigdy nie był łatwiejszy - 45 miliardów pobranych aplikacji w 2012.
© 2013 IBM Corporation35
Typy aplikacji mobilnych
Aplikacje natywne
Aplikacje hybrydowe
Aplikacje webowe
© 2013 IBM Corporation37
Złośliwe oprogramowanie (Android)
Source: Juniper Mobile Threat Report, 2/12
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-3q-2012-security-roundup-android-under-siege-popularity-comes-at-a-price.pdf
"Of those 293,091 malicious apps, 68,740 were sourced directly from Google Play," writes Rik Ferguson, director of security research and communications at Trend Micro.
© 2013 IBM Corporation38
Jailbreak i inne
Source: Arxan State of Security in the App Economy – 2012
© 2013 IBM Corporation39
Dostęp aplikacji do zasobów
© 2013 IBM Corporation40
Podatności
IBM X-Force
© 2013 IBM Corporation41
Exploits
IBM X-Force
© 2013 IBM Corporation42
Łaty
IBM X-Force
© 2013 IBM Corporation43
Narzędzia hackerskie
IBM X-Force
© 2013 IBM Corporation44
Polimorfizm
5% skuteczność AV w przypadku robaków polimorficznych
© 2013 IBM Corporation45
Jak wykryć nowoczesny Malware?
© 2013 IBM Corporation46
Jak wykryć nowoczesny Malware?
© 2013 IBM Corporation47
Jak wykrywać anomalie?
• Analiza o ruch bazowy• Analiza behawioralna (wzorce użytkownika,
urządzenia, aplikacji i zaawansowane metody statystyczne)
• Analiza pełnego kontekstu ataku (sieć, serwer, middleware, aplikacja, użytkownik)
• Identyfikacja oprogamowania złośliwego• Ochrona urządzeń mobilnych• Identyfikacja podatności i słabości systemu
© 2013 IBM Corporation48
Kilka słów o NSA
• Udowodnili ze implementacja BigData jest możliwa • Używają różnych metod zbierania informacji TelCo,
Bankowość, Przemysł, Internet (AT&T, SWIFT, Petrobras, Goggle), włączjąc monitorowanie lini transoceanicznych)
• Zmuszają do współpracy giganty IT• Wpływają na standardy kryptograficzne, tworzą „backdoor”
w aplikacjach• Posiadają największy zespół hakerski – TAO, malnet –
Quantum, Exploitation Kit – FOXACID• Udało się im zaatakować sieć TOR
© 2013 IBM Corporation
Kim jesteś …?
Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems.
© 2013 IBM Corporation50
IPS
• Działają w oparciu o sygnatury i reguły do warstwy 4• Niewystarczające do identyfikacji APT, fraudów
wycieków danych• Podatne na ataki DDoS• False-Positive vs. False-Negative• Ciągle ważne ale trzeba czegoś więcej
© 2013 IBM Corporation51
NG IPS
© 2013 IBM Corporation52
Ochrona danych
• Identyfikacja danych wrażliwych (włączając migrację)• Monitorowanie dostępu do nich• Używanie szyfrowanie wszędzie gdzie to możliwe
© 2013 IBM Corporation53
Guardium 9.1
Integration with LDAP, IAM, SIEM, TSM, Remedy, …
Big Data Environments
DATA
InfoSphere BigInsight
s
CouchDB
GreenPlum
SAP HANAAmazon RDSCassandraHbase
© 2013 IBM Corporation54
Detekcja anomalii w DAM
Anomaly Hours are marked in Red or Yellow. Click on the bubble
navigates to the Outlier View
© 2013 IBM Corporation55
Szyfrowanie danych
APPLICATIONS
DATABASES
SAN
NASDAS
FILE SYSTEMS
VOLUME MANAGERS
HTTPS
Data Security Manager• FIPS Level 3 Key Management• Centralized, Automated Key Management• High Availability Cluster• Robust role separation
Encryption Expert Agent• File System or Volume Manager • Transparent and agnostic• Supports Linux, Unix, & Windows• Privileged User Control and Separation• Software-based encryption
© 2013 IBM Corporation56
Szyfrowanie danych
Name: J Smith
CCN:60115793892
Exp Date: 04/04
Bal: $5,145,789
SSN: 514-73-8970
Name: Jsmith.doc
Created: 6/4/99
Modified: 8/15/02
Clear Text
File DataFile Data
File SystemFile SystemMetadataMetadata
dfjdNk%(AmgdfjdNk%(Amg
8nGmwlNskd 9f8nGmwlNskd 9f
Nd&9Dm*NddNd&9Dm*Ndd
xIu2Ks0BKsjdxIu2Ks0BKsjd
Nac0&6mKcoSNac0&6mKcoS
qCio9M*sdopFqCio9M*sdopF
Name: Jsmith.docName: Jsmith.doc
Created: 6/4/99Created: 6/4/99
Modified: 8/15/02Modified: 8/15/02
MetaClear
Block-Level
fAiwD7nb$
Nkxchsu^j2
3nSJis*jmSL
dfjdNk%(Amg
8nGmwlNskd 9f
Nd&9Dm*Ndd
xIu2Ks0BKsjd
Nac0&6mKcoS
qCio9M*sdopF
• Protects Sensitive Information Without Disrupting Data Management• High-Performance Encryption• Root Access Control• Data Access as an Intended Privilege
File Data
File Data
File Data
File Data
© 2013 IBM Corporation57
Jakość kodu aplikacji
• Kto programuje Twoje aplikacje?• Jak sprawdzasz jakość kodu?• Jak kontroluje zmiany i poprawki?
© 2013 IBM Corporation58
Pełnowymiarowa analiza aplikacji - AppScan
BrowserBrowser
NativeNativeAppApp
Server Side App
SAST (source code)
DAST (web interfaces)
Client Side App
JavaScript / HTML5 hybrid analysis
Native AppAndroid
iOS
JavaScript
Static AnalysisStatic AnalysisStatic Analysis
© 2013 IBM Corporation59
Jak zarządzasz końcówkami?
• Zarządzanie zasobami• Łaty• Definicja ról i wymuszanie ich stosowania• Monitorowanie dostępu do danych (DLP)• Separacja oprogramowania złośliwego i jego
unieszkodliwianie
© 2013 IBM Corporation60
Pełny cykl życia końcówek - TEM
Windows/Mac Unix / LinuxWindows Mobile
KioskPOS
Android/iOS/Symbian/ Windows Phone
MDMSoftware Usage
OS deploymentRemote Control
Protection
Energy MngtPatch Mngt
InventoryCCM
© 2013 IBM Corporation61
Sites
LICENSE REMOTE
ASSET INSTALL MOBILE
Internet
SW Distrib
PATCH
Jak to działa?
Compliance
Security, DLP
© 2013 IBM Corporation62
Jak to działa?
Przypisanie
TEM SRVTEM Agent
Dane
© 2013 IBM Corporation63
Jak działa exploit?
Exploitation
FileSystem
Legitimate access
WWW
Vulnerability
External Content
Exploit
An exploit is a piece of software that uses an application vulnerability to cause unintended application behavior
© 2013 IBM Corporation64
Weryfikacja stanu aplikacji
Allow application action with a approved state
External Content
FileSystem
Legitimate Access
User initiated
App Update
Application State
© 2013 IBM Corporation65
Weryfikacja stanu aplikacji
Stop application actions with unknown state
FileSystem
ExploitUser Initiated
Application State
App Update
Trusteer Apex Stops
Execution
© 2013 IBM Corporation66
Evasion #1: Compromise
Application Process
Looks Like Legitimate
Communication
Evasion #2: Communicate
Over Legitimate Websites
Direct Communication is Highly Visible
Blokada komunikacji oprogramowania złośliwego
External Network
Information- stealing malware
Block suspicious executables that open malicious communication channels
2Exfiltration Prevention
1Exfiltration Prevention
Direct User Download
Pre-existing Infection
© 2013 IBM Corporation67
KeyLogging
Ochrona przed kradzieżą tożsamości (ATO)
PhishingUsing Corp
PWD on Public Sites
******
WWWWWWGrabbing credentials
from websites
*****
Grabbing credentials from users’
machine
Password Protection
KeystrokesObfuscation
© 2013 IBM Corporation68
Niekończąca się historia
WWW
Phishing and Malware Fraud
Advanced Threats
(Employees)
Online Banking
Wire, ACH, Internal Apps
Account Takeover, New Account Fraud
Mobile Fraud Risk
© 2013 IBM Corporation69
Niekończąca się historia
© 2013 IBM Corporation70
Niekończąca się historia
Global
Hundreds of Customers
100,000,000 Endpoints
Solutions
Financial Fraud Prevention
Advanced Threat Protection
Leader
Intelligence
Technology
Expertise
Leading Global Organizations Put Their TRUST In Us
7/10Top US Banks
9/10Top UK Banks
4/5Top Canadian
Banks
MajorEuropean Banks
© 2013 IBM Corporation71
Oprogramowanie złośliwe
TRX
WWW
Online Banking
4Prevents credential and data theft that enable ATO and cross-channel fraud
• Retail and Commercial• Scale to millions• No end user impact
1• Removes existing infection• Prevents new infection• Secures the browser
2• Alerts user on Phishing sites• Notifies bank for takedown
Trusteer Rapport
Kills the attack before it even startsKills the attack before it even starts
© 2013 IBM Corporation72
Eliminacja oprogramowania złośliwego
TRX
WWW
Online Banking
Malware-generated Fraudulent Transactions
Malware-generated Fraudulent Transactions
Credentials Theft via Malware and PhishingCredentials Theft via
Malware and Phishing
Trusteer RapportTrusteer Rapport
Trusteer PinpointMalware DetectionTrusteer Pinpoint
Malware Detection
© 2013 IBM Corporation73
Identyfikacja anomalii
Logi
n
Online Banking
Trusteer PinpointMalware DetectionTrusteer Pinpoint
Malware Detection
Monitor Account (Re-credential User)
3rd party risk engine
Restrict Web App
(add payee)
Remediate and Immune Customer
3
Trusteer Rapport
Out-of-Band Authentication
Trusteer Mobile OOB
Trusteer Pinpoint ATO,
Mobile Risk Engine
© 2013 IBM Corporation74
Kradzież tożsamości i ATO
LOG
INCredentials
Online Banking
Trusteer PinpointAccount Takeover (ATO) Detection
Trusteer PinpointAccount Takeover (ATO) Detection
2
Trusteer PinpointMalware DetectionTrusteer Pinpoint
Malware Detection
1
LOG
IN
Complex Device Fingerprinting
Device Attributes•New Device•Spoofed Device •Criminal Device
User Attributes•Interaction Patterns•Geo Location•Time of Access
Account Compromise History
Phished Credentials
Malware Infections(stolen credentials)1
2
1 2+Access Denied
© 2013 IBM Corporation75
Phishing i ATO
LOG
INCredentials
Online Banking
Complex Device Fingerprinting
Device Attributes•New Device•Spoofed Device •Criminal Device
User Attributes•Interaction Patterns•Geo Location•Time of Access
Account Compromise History
Phished Credentials
Malware Infections(stolen credentials)
1
2
1 2+Access Denied
Phishing Site
Office Home
Trusteer RapportTrusteer Rapport
Trusteer PinpointAccount Takeover (ATO) Detection
Trusteer PinpointAccount Takeover (ATO) Detection
2
1
© 2013 IBM Corporation76
Kradzież tożsamości
Online Banking
New Account Creation
PII DataTheft
2
1 2/
Tag as Fraudster
Trusteer PinpointMalware DetectionTrusteer Pinpoint
Malware Detection
1 Trusteer PinpointAccount Takeover (ATO) Detection
Trusteer PinpointAccount Takeover (ATO) Detection
Account and Device Risk
Credential PII/Theft via Malware or Phishing
Same Device -> Multiple Trusteer-protected FIs
Same Device -> Multiple Accounts, Single FI
1
2
Trusteer RapportTrusteer Rapport
© 2013 IBM Corporation77
Niezależny kanał uwierzytelnienia
Access DeniedAccess Denied
LOG
IN
Online Banking
Trusteer PinpointATO Detection +
OOB Service
Trusteer PinpointATO Detection +
OOB Service
ATO Risk DetectedATO Risk Detected
Trusteer Mobile APP
Secure OOB Access Authorization:Approve access via registered device
SMS or Data
© 2013 IBM Corporation78
ATO i Fraud Mobilny
Online Banking
Credentials
Restrict AccessRestrict Access
CredentialsTheft
Trusteer PinpointMalware DetectionTrusteer Pinpoint
Malware Detection
LOG
IN Trusteer Mobile Risk Engine
Trusteer Mobile Risk EngineAp
p Lo
gin
Mobile Device Risk Factors
Device Attributes•Jailbroken / Rooted Device•Malware Infection•New device ID•Unpatched OS•Unsecure Wi-Fi connection•Rogue App
Account Compromise History
Phished Credentials
Malware Infections, Phishing Incident(stolen credentials)1 2
The Bank’s Mobile Banking App
The Bank’s Mobile Banking App
Trusteer Mobile SDK
Trusteer Mobile SDK
Trusteer RapportTrusteer Rapport
© 2013 IBM Corporation79
Co dalej? czy Gdzie zacząć?
• Wiele rozwiązań, konsole, mnóstwo danych, ograniczone zasoby
• SIEM – platforma integracji zdarzeń związanych z bezpieczeństwem
• Ile incydentów generuje SIEM?• Incydent kontra Ryzyko• QRadar – Platfoma analizy ryzyka (NG SIEM)
© 2013 IBM Corporation80
QRadar
© 2013 IBM Corporation81
„Nigdy nie lataj samolotami projektowanymi przez optymistów.”
Służy radą pozytywnie pesymistyczny zespółIBM Security Systems