© 2013 IBM Corporation

Nowe zagrożenia – Nowe wyzwania.

Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems.

© 2013 IBM Corporation2

FireEye – Advanced Threat Report 2012

Tło

© 2013 IBM Corporation3

Co chronimy?

• Według badań Ponemone Institute:– Większość organizacji nie wie:

• Gdzie znajdują się ich krytyczne zasoby?• Gdzie są wrażliwe informacje?• W jaki sposób je chronią?

© 2013 IBM Corporation4

Jak chronić …?

TestDeveloper

Q&A

SensitiveData

DB IPSDAM

Szyfrowanie w czasierzeczywistym

Szyfrowanie

Anonimizacja danych

© 2013 IBM Corporation5

Pomysłowość nie zna granic

© 2013 IBM Corporation6

Rządowy robak

Nowe serwery:SingapurBahrajnTurkmenistanBruneiIndonezjaHolandia

© 2013 IBM Corporation7

Kalendarium

• Q1 2013 – Przynajmniej 6 krytycznych podatności w Java• 2/03/13 – Wyciek danych z Evernote• 12/03/13 – MS13-027 kolejna podatność poprzez USB stick• 12/03/13 – DDoS na Wells Fargo, Bank of America, Chase, Citigroup, HSBC (operacja

Ababil)• 12/03/13 – Wykradzione dane Michele Obama, Joe Biden, Hillary Clinton• 14/03/13 – Ujawnione włamanie do MSZ, MON, KPRM – Alladyn2• 19/03/13 – Zmasowany atak na banki i media w Korei Południowej (disk wipe out)• 25/03/13 – NATO zezwala na zabijanie hackerów podczas konfliktu• 27/03/13 – Największy atak DDoS w historii – Spamhaus (300 Gbps) – CloudFlare w

Londynie padł• 8/04/13 – Zmasowany atak na Izrael – OpIsrael – grupa Anonymous• 14/04/13 – NASK likwiduje botnet oparty o Citadel – 160K komputerów• 15/04/13 – Schnucks ujawnia wyciek danych 2.4 miliona kart kredytowych• 09/05/13 – Pierwsza biblioteka szyfrowania homomorficznego udostępniona przez IBM• Q2’2013 – Snowden, PRISM i NSA• 11/2013 – 150M haseł wyciekło z Adobe Air

© 2013 IBM Corporation8

Nowa era zagrożeń

© 2013 IBM Corporation9

Od U238 do U235

© 2013 IBM Corporation10

Infekcja sieci galwanicznie odseparowanych

• Modyfikacja procedur– Tylko dla Siemens S7-300 i w dodatku tylko dla wirówek

wyprodukowanych przez Vacon w Finlandii i Fararo Paya z Iranu.

– Tylko te których częstotliwość jest w zakresie 807-1210 Hz.

• Analiza zwracanych informacji z wirówek

© 2013 IBM Corporation11

Cel

• Po ~13 dniach – podniesienie częstotliwości do 1410 Hz• Po ~27 dniach – nagła zmiana częstotliwości do 2Hz a

następnie do 1064 Hz• Skutek: mechaniczne uszkodzenie wirówek• Celem wirusa było prawdopodobnie centrum uzdatniania

uranu w Natanz (Iran).• Przynajmniej 10% wirówek uległo uszkodzeniu

© 2013 IBM Corporation12

Efekt

© 2013 IBM Corporation13

Dziwne przypadki imć Krebsa

Czwartek rano

© 2013 IBM Corporation14

Dziwne przypadki imć Krebsa

Czwartek po południu

© 2013 IBM Corporation15

Dziwne przypadki imć Krebsa

Czwartek wieczorem

© 2013 IBM Corporation16

Czy to koniec tej opowieści?

© 2013 IBM Corporation17

badBIOSbardziej zaawansowany niż Stuxnet i Flame

© 2013 IBM Corporation18

badBIOS – komunikacja z użyciem ultradźwięków

© 2013 IBM Corporation19

Futurologia w bajkach – Drukowanie

© 2013 IBM Corporation20

Pisanie, prepajdy, MAC i Apple, …

© 2013 IBM Corporation21

Struktura ataku

Przynęta

Cel ataku

© 2013 IBM Corporation22

Fishing przykład 1

© 2013 IBM Corporation23

Fishing przykład 1

© 2013 IBM Corporation24

Fishing przykład 2

© 2013 IBM Corporation25

Czy moje dane są bezpieczne?

© 2013 IBM Corporation26

Charakterystyka ataku

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?CMP=DMC-SMB_Z_ZZ_ZZ_Z_TV_N_Z038

© 2013 IBM Corporation27

Różne scenariusze ataku

• Infekcja stacji roboczej poza środowiskiem• Infekcja urządzenia mobilnego• Atak bezpośredni z użyciem podatności• Atak bezpośredni ze wsparciem z wewnątrz instytucji

© 2013 IBM Corporation28

Pochodzenie ataku

Verizon 2012

© 2013 IBM Corporation29

Przynęta

Raport AVTest

© 2013 IBM Corporation30

Wszystko może posłużyć jako przynęta

234 domeny z malware w ciągu 24 godzin

© 2013 IBM Corporation31

Dedykowane oprogramowanie złośliwe (APT)

50% zidentyfikowanego oprogramowania złośliwego zaobserwowano mniej niż 20 razy

75% fragmentów unikalnego kodu wyodrębniono w ramach jednej organizacji

88% oprogramowania złośliwego miało obszar infekcji ograniczony do mniej niż 10 intytucji

Raport Sophos Labs

© 2013 IBM Corporation32

Hackmazon

© 2013 IBM Corporation33

O czasy, o obyczaje …

Arnie Levenhttp://www.condenaststore.com/-sp/I-steal-from-computers-cause-that-s-where-the-money-is-Cartoon-Prints_i8638625_.htm

Zapytany dlaczego rabował banki, odpowiedział:

„Ponieważ tam były pieniądze”

"Because that's where the money is.“

Willie Sutton

mobile devices

© 2013 IBM Corporation34

Twój telefon, tablet - Wartościowy cel

Podwójna korzyść, dostęp do danych prywatnych i firmowych

45Billion

2x

Dostęp nigdy nie był łatwiejszy - 45 miliardów pobranych aplikacji w 2012.

© 2013 IBM Corporation35

Typy aplikacji mobilnych

Aplikacje natywne

Aplikacje hybrydowe

Aplikacje webowe

© 2013 IBM Corporation37

Złośliwe oprogramowanie (Android)

Source: Juniper Mobile Threat Report, 2/12

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-3q-2012-security-roundup-android-under-siege-popularity-comes-at-a-price.pdf

"Of those 293,091 malicious apps, 68,740 were sourced directly from Google Play," writes Rik Ferguson, director of security research and communications at Trend Micro.

© 2013 IBM Corporation38

Jailbreak i inne

Source: Arxan State of Security in the App Economy – 2012

© 2013 IBM Corporation39

Dostęp aplikacji do zasobów

© 2013 IBM Corporation40

Podatności

IBM X-Force

© 2013 IBM Corporation41

Exploits

IBM X-Force

© 2013 IBM Corporation42

Łaty

IBM X-Force

© 2013 IBM Corporation43

Narzędzia hackerskie

IBM X-Force

© 2013 IBM Corporation44

Polimorfizm

5% skuteczność AV w przypadku robaków polimorficznych

© 2013 IBM Corporation45

Jak wykryć nowoczesny Malware?

© 2013 IBM Corporation46

Jak wykryć nowoczesny Malware?

© 2013 IBM Corporation47

Jak wykrywać anomalie?

• Analiza o ruch bazowy• Analiza behawioralna (wzorce użytkownika,

urządzenia, aplikacji i zaawansowane metody statystyczne)

• Analiza pełnego kontekstu ataku (sieć, serwer, middleware, aplikacja, użytkownik)

• Identyfikacja oprogamowania złośliwego• Ochrona urządzeń mobilnych• Identyfikacja podatności i słabości systemu

© 2013 IBM Corporation48

Kilka słów o NSA

• Udowodnili ze implementacja BigData jest możliwa • Używają różnych metod zbierania informacji TelCo,

Bankowość, Przemysł, Internet (AT&T, SWIFT, Petrobras, Goggle), włączjąc monitorowanie lini transoceanicznych)

• Zmuszają do współpracy giganty IT• Wpływają na standardy kryptograficzne, tworzą „backdoor”

w aplikacjach• Posiadają największy zespół hakerski – TAO, malnet –

Quantum, Exploitation Kit – FOXACID• Udało się im zaatakować sieć TOR

© 2013 IBM Corporation

Kim jesteś …?

Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems.

© 2013 IBM Corporation50

IPS

• Działają w oparciu o sygnatury i reguły do warstwy 4• Niewystarczające do identyfikacji APT, fraudów

wycieków danych• Podatne na ataki DDoS• False-Positive vs. False-Negative• Ciągle ważne ale trzeba czegoś więcej

© 2013 IBM Corporation51

NG IPS

© 2013 IBM Corporation52

Ochrona danych

• Identyfikacja danych wrażliwych (włączając migrację)• Monitorowanie dostępu do nich• Używanie szyfrowanie wszędzie gdzie to możliwe

© 2013 IBM Corporation53

Guardium 9.1

Integration with LDAP, IAM, SIEM, TSM, Remedy, …

Big Data Environments

DATA

InfoSphere BigInsight

s

CouchDB

GreenPlum

SAP HANAAmazon RDSCassandraHbase

© 2013 IBM Corporation54

Detekcja anomalii w DAM

Anomaly Hours are marked in Red or Yellow. Click on the bubble

navigates to the Outlier View

© 2013 IBM Corporation55

Szyfrowanie danych

APPLICATIONS

DATABASES

SAN

NASDAS

FILE SYSTEMS

VOLUME MANAGERS

HTTPS

Data Security Manager• FIPS Level 3 Key Management• Centralized, Automated Key Management• High Availability Cluster• Robust role separation

Encryption Expert Agent• File System or Volume Manager • Transparent and agnostic• Supports Linux, Unix, & Windows• Privileged User Control and Separation• Software-based encryption

© 2013 IBM Corporation56

Szyfrowanie danych

Name: J Smith

CCN:60115793892

Exp Date: 04/04

Bal: $5,145,789

SSN: 514-73-8970

Name: Jsmith.doc

Created: 6/4/99

Modified: 8/15/02

Clear Text

File DataFile Data

File SystemFile SystemMetadataMetadata

dfjdNk%(AmgdfjdNk%(Amg

8nGmwlNskd 9f8nGmwlNskd 9f

Nd&9Dm*NddNd&9Dm*Ndd

xIu2Ks0BKsjdxIu2Ks0BKsjd

Nac0&6mKcoSNac0&6mKcoS

qCio9M*sdopFqCio9M*sdopF

Name: Jsmith.docName: Jsmith.doc

Created: 6/4/99Created: 6/4/99

Modified: 8/15/02Modified: 8/15/02

MetaClear

Block-Level

fAiwD7nb$

Nkxchsu^j2

3nSJis*jmSL

dfjdNk%(Amg

8nGmwlNskd 9f

Nd&9Dm*Ndd

xIu2Ks0BKsjd

Nac0&6mKcoS

qCio9M*sdopF

• Protects Sensitive Information Without Disrupting Data Management• High-Performance Encryption• Root Access Control• Data Access as an Intended Privilege

File Data

File Data

File Data

File Data

© 2013 IBM Corporation57

Jakość kodu aplikacji

• Kto programuje Twoje aplikacje?• Jak sprawdzasz jakość kodu?• Jak kontroluje zmiany i poprawki?

© 2013 IBM Corporation58

Pełnowymiarowa analiza aplikacji - AppScan

BrowserBrowser

NativeNativeAppApp

Server Side App

SAST (source code)

DAST (web interfaces)

Client Side App

JavaScript / HTML5 hybrid analysis

Native AppAndroid

iOS

JavaScript

Static AnalysisStatic AnalysisStatic Analysis

© 2013 IBM Corporation59

Jak zarządzasz końcówkami?

• Zarządzanie zasobami• Łaty• Definicja ról i wymuszanie ich stosowania• Monitorowanie dostępu do danych (DLP)• Separacja oprogramowania złośliwego i jego

unieszkodliwianie

© 2013 IBM Corporation60

Pełny cykl życia końcówek - TEM

Windows/Mac Unix / LinuxWindows Mobile

KioskPOS

Android/iOS/Symbian/ Windows Phone

MDMSoftware Usage

OS deploymentRemote Control

Protection

Energy MngtPatch Mngt

InventoryCCM

© 2013 IBM Corporation61

Sites

LICENSE REMOTE

ASSET INSTALL MOBILE

Internet

SW Distrib

PATCH

Jak to działa?

Compliance

Security, DLP

© 2013 IBM Corporation62

Jak to działa?

Przypisanie

TEM SRVTEM Agent

Dane

© 2013 IBM Corporation63

Jak działa exploit?

Exploitation

FileSystem

Legitimate access

WWW

Vulnerability

External Content

Exploit

An exploit is a piece of software that uses an application vulnerability to cause unintended application behavior

© 2013 IBM Corporation64

Weryfikacja stanu aplikacji

Allow application action with a approved state

External Content

FileSystem

Legitimate Access

User initiated

App Update

Application State

© 2013 IBM Corporation65

Weryfikacja stanu aplikacji

Stop application actions with unknown state

FileSystem

ExploitUser Initiated

Application State

App Update

Trusteer Apex Stops

Execution

© 2013 IBM Corporation66

Evasion #1: Compromise

Application Process

Looks Like Legitimate

Communication

Evasion #2: Communicate

Over Legitimate Websites

Direct Communication is Highly Visible

Blokada komunikacji oprogramowania złośliwego

External Network

Information- stealing malware

Block suspicious executables that open malicious communication channels

2Exfiltration Prevention

1Exfiltration Prevention

Direct User Download

Pre-existing Infection

© 2013 IBM Corporation67

KeyLogging

Ochrona przed kradzieżą tożsamości (ATO)

PhishingUsing Corp

PWD on Public Sites

******

WWWWWWGrabbing credentials

from websites

*****

Grabbing credentials from users’

machine

Password Protection

KeystrokesObfuscation

© 2013 IBM Corporation68

Niekończąca się historia

WWW

Phishing and Malware Fraud

Advanced Threats

(Employees)

Online Banking

Wire, ACH, Internal Apps

Account Takeover, New Account Fraud

Mobile Fraud Risk

© 2013 IBM Corporation69

Niekończąca się historia

© 2013 IBM Corporation70

Niekończąca się historia

Global

Hundreds of Customers

100,000,000 Endpoints

Solutions

Financial Fraud Prevention

Advanced Threat Protection

Leader

Intelligence

Technology

Expertise

Leading Global Organizations Put Their TRUST In Us

7/10Top US Banks

9/10Top UK Banks

4/5Top Canadian

Banks

MajorEuropean Banks

© 2013 IBM Corporation71

Oprogramowanie złośliwe

TRX

WWW

Online Banking

4Prevents credential and data theft that enable ATO and cross-channel fraud

• Retail and Commercial• Scale to millions• No end user impact

1• Removes existing infection• Prevents new infection• Secures the browser

2• Alerts user on Phishing sites• Notifies bank for takedown

Trusteer Rapport

Kills the attack before it even startsKills the attack before it even starts

© 2013 IBM Corporation72

Eliminacja oprogramowania złośliwego

TRX

WWW

Online Banking

Malware-generated Fraudulent Transactions

Malware-generated Fraudulent Transactions

Credentials Theft via Malware and PhishingCredentials Theft via

Malware and Phishing

Trusteer RapportTrusteer Rapport

Trusteer PinpointMalware DetectionTrusteer Pinpoint

Malware Detection

© 2013 IBM Corporation73

Identyfikacja anomalii

Logi

n

Online Banking

Trusteer PinpointMalware DetectionTrusteer Pinpoint

Malware Detection

Monitor Account (Re-credential User)

3rd party risk engine

Restrict Web App

(add payee)

Remediate and Immune Customer

3

Trusteer Rapport

Out-of-Band Authentication

Trusteer Mobile OOB

Trusteer Pinpoint ATO,

Mobile Risk Engine

© 2013 IBM Corporation74

Kradzież tożsamości i ATO

LOG

INCredentials

Online Banking

Trusteer PinpointAccount Takeover (ATO) Detection

Trusteer PinpointAccount Takeover (ATO) Detection

2

Trusteer PinpointMalware DetectionTrusteer Pinpoint

Malware Detection

1

LOG

IN

Complex Device Fingerprinting

Device Attributes•New Device•Spoofed Device •Criminal Device

User Attributes•Interaction Patterns•Geo Location•Time of Access

Account Compromise History

Phished Credentials

Malware Infections(stolen credentials)1

2

1 2+Access Denied

© 2013 IBM Corporation75

Phishing i ATO

LOG

INCredentials

Online Banking

Complex Device Fingerprinting

Device Attributes•New Device•Spoofed Device •Criminal Device

User Attributes•Interaction Patterns•Geo Location•Time of Access

Account Compromise History

Phished Credentials

Malware Infections(stolen credentials)

1

2

1 2+Access Denied

Phishing Site

Office Home

Trusteer RapportTrusteer Rapport

Trusteer PinpointAccount Takeover (ATO) Detection

Trusteer PinpointAccount Takeover (ATO) Detection

2

1

© 2013 IBM Corporation76

Kradzież tożsamości

Online Banking

New Account Creation

PII DataTheft

2

1 2/

Tag as Fraudster

Trusteer PinpointMalware DetectionTrusteer Pinpoint

Malware Detection

1 Trusteer PinpointAccount Takeover (ATO) Detection

Trusteer PinpointAccount Takeover (ATO) Detection

Account and Device Risk

Credential PII/Theft via Malware or Phishing

Same Device -> Multiple Trusteer-protected FIs

Same Device -> Multiple Accounts, Single FI

1

2

Trusteer RapportTrusteer Rapport

© 2013 IBM Corporation77

Niezależny kanał uwierzytelnienia

Access DeniedAccess Denied

LOG

IN

Online Banking

Trusteer PinpointATO Detection +

OOB Service

Trusteer PinpointATO Detection +

OOB Service

ATO Risk DetectedATO Risk Detected

Trusteer Mobile APP

Secure OOB Access Authorization:Approve access via registered device

SMS or Data

© 2013 IBM Corporation78

ATO i Fraud Mobilny

Online Banking

Credentials

Restrict AccessRestrict Access

CredentialsTheft

Trusteer PinpointMalware DetectionTrusteer Pinpoint

Malware Detection

LOG

IN Trusteer Mobile Risk Engine

Trusteer Mobile Risk EngineAp

p Lo

gin

Mobile Device Risk Factors

Device Attributes•Jailbroken / Rooted Device•Malware Infection•New device ID•Unpatched OS•Unsecure Wi-Fi connection•Rogue App

Account Compromise History

Phished Credentials

Malware Infections, Phishing Incident(stolen credentials)1 2

The Bank’s Mobile Banking App

The Bank’s Mobile Banking App

Trusteer Mobile SDK

Trusteer Mobile SDK

Trusteer RapportTrusteer Rapport

© 2013 IBM Corporation79

Co dalej? czy Gdzie zacząć?

• Wiele rozwiązań, konsole, mnóstwo danych, ograniczone zasoby

• SIEM – platforma integracji zdarzeń związanych z bezpieczeństwem

• Ile incydentów generuje SIEM?• Incydent kontra Ryzyko• QRadar – Platfoma analizy ryzyka (NG SIEM)

© 2013 IBM Corporation80

QRadar

© 2013 IBM Corporation81

„Nigdy nie lataj samolotami projektowanymi przez optymistów.”

Służy radą pozytywnie pesymistyczny zespółIBM Security Systems