Co w sieci piszczy Andrzej Wojtkowiak

© 2013 IBM Corporation

Co w sieci piszczy?!?IBM Security Next Generation Network Intrusion Prevention System

IBM Security Systems

Andrzej Wojtkowiak, Customer Technical Professional – IBM Security Systems.

© 2013 IBM Corporation2

Nowe wyzwania związane z bezpieczeństwem

Bezpieczeństwo infrastrukturyBezpieczeństwo infrastruktury

Wpływ UżytkownikówWpływ Użytkowników

Złożoność technologiiZłożoność technologii1 2 3

• Advanced Persistent Threats

• 0-Day Vulnerabilities

• Phishing

• Botnets

• Malware

• Zmiana charakterystyki pracy

• Nowe typy aplikacji – nowe wektory ataków.

• Współdzielenie informacji

• Niska świadomość zagrożeń

• Podatność na Social Engineering

• Duża rozpiętość „dedykowanych” rozwiązań

• Bring Your Own Device

• Większy dostęp do infrastruktury

• Wzrost liczby aplikacji webowych


Typowe wektory ataków…


Poszukiwany wektor wejścia


Strach przed bronią niekonwencjonalną


Advanced Persistent Threats – „niewidoczne” ataki

Advanced Wykorzystują podatności które nie zostały jeszcze upublicznione (zero-day) Zaawansowany malware - „szyty” na miarę i pod konkretne potrzeby Koordynacja wyspecjalizowanych grup hakerów – ataki pozorowane OSINT - Ataki poprzedzone białym wywiadem

Persistent Ataki które trwają miesiące lub lata Ataki mające na celu zdobycie danych… do skutku!

Threat Ataki wycelowane w konkretne osoby lub

grupy osób w danej organizacji Wyselekcjonowane ataki

1

2

3


Advanced Threat Protection Platform

Możliwość blokowania zaawansowanych ataków nie tylko po przez identyfikację znanych zagrożeń, ale również w oparciu o identyfikację anomalii zarówno na poziomie charakterystyki ruchu sieciowego jak i na poziomie zawartości pakietów.

X-Force Threat IntelligenceCiągła analiza wszelkich zagrożeń dla infrastruktury informatycznej, wykonywana przez ekspertów z XForce. Eksperci każdego dnia wykrywają nowe podatności, analizują behawiorystkę złośliwego oprogramowania oraz anomalie związane z ich funkcjonowaniem, identyfikują nowe źródła zagrożeń, techniki omijania zabezpieczeń, ukrywania ataków oraz infekcji infrastruktury. Wiedza ta jest wykorzystywana do wyznaczania kierunków rozwoju rozwiązań IBM Security.

Security Intelligence Ścisła integracja pomiędzy rozwiązaniami do proaktywnej ochrony infrastruktury z rozwiązaniami klasy SIEM. Dzięki takiej integracji organizacja ma spójną platformę do wykrywania, śledzenia oraz minimalizacji występowania zagrożeń w przyszłości.

Technologia i wiedza w walce z APT

Log Manager

SIEMNetwork Activity

MonitorRisk Manager

Vulnerability Data Malicious Websites Malware Information IP Reputation

Intrusion Prevention

Content and DataSecurity

Web ApplicationProtection

Network Anomaly Detection IBM Network

Security

SecurityIntelligencePlatform

Threat Intelligenceand Research

Advanced Threat ProtectionPlatform

Application Control

Vulnerability Manager


IBM X-Force® Research and Development● Identyfikacja i badanie nowych zagrożeń

● Ochrona przed zidentyfikowanymi zagrożeniami

● Opracowywanie skutecznych mechanizmów w walce z zagrożeniami których jeszcze nie obserwujemy

● Edukacja mediów oraz społeczności

X-Force Research15M przeanalizowanych stron

40M identyfikowanych ataków typu spam & phishing miesięcznie

67K udokumentowanych podatności

13M zidentyfikowanych ataków

Milinony unikalnych próbek złośliwego oprogramowania

Dostarczana szczegółowa analiza: ● Vulnerabilities & exploits

● Botnet command and control

● Malicious/Unwanted WWW

● Spam & phishing

● Malware

● Emerging trends

To też dużo doświadczenia i danych…

Security Intelligence – to nie tylko oprogramowanie…


IBM Security Network Protection XGS

Pełna integracja z rozwiązaniami do

całościowego zarządzania bezpieczeństwem.

Umożliwia analizę ruchu sieciowego i wymuszenie

konkretnych polityk dostępu do sieci/aplikacji -

minimalizując tym samym ryzyko infekcji.

Skuteczna ochrona przed wciąż ewoluującymi

zagrożeniami dostarczana przez X-Force®.

ADVANCED THREAT PROTECTION

VISIBILITY & CONTROL INTEGRATION


XForce: W czym tkwi różnica?

Pattern Matching Protocol Awareness

One Vulnerability Many Signatures

Ochrona przed exploit-ami jest reaktywna• Zbyt późna dla wielu ataków

• Każdy wariant ataku wymaga sygnatury

• Typowe podejście jak w antywirusie

Podejście sygnaturowe wymaga unikalnego "wzorca" zagrożenia dla każdego pojawiającego się exploit-a• Sygnatury nie mają nic wspólnego z

podatnościami i ich nie adresują

• Im więcej bedzie wgranych sygnatur tym większy to będzie miało wpływ na wydajność inspekcji

Ochrona skoncentrowana na podatnościach• Algorytmy ochrony podatności chronią przed

exploitami po przez analizę behawioralną

• Algorytmy umożliwiają ochronę zarówno przed znanymi zagrożeniami jak i tymi wariantami które nie zostały jeszcze zidentyfikowane.

• Algorytmy nie wymagają odświeżenia sygnatur aby blokować kolejne warianty exploit-ów.


Co to robi?:Minimalizuje możliwość wykorzystania podatności występujących na infrastrukturze bez względu na to czy vendor dostarczył już poprawkę oraz czy w ogóle można ją zainstalować na danej infrastrukturze

Dlaczego to ważne:W pierwszej połowie 2013 roku około 46% podatności w systemach serwujących treści nie posiadało gotowej poprawki.

Virtual Patch

Co to robi?:Ochrona przed atakami wymierzonymi w aplikacje codziennego użytku takich jak Microsoft Office, Adobe PDF, pliki Video oraz przeglądarki internetowe.

Dlaczego to ważne:Ataki wymierzone w oprogramowanie niezbędne do wykonywania swoich obowiązków służbowych jest jednym z najczęstszych wektorów ataków.

Client-Side Application Protection

Co to robi?:Ochrona aplikacji webowych przed atakami na warstwę aplikacyjną, takimi jak SQL injection, XSS (Cross-site Scripting), PHP File, CSRF (Cross-site Request Forgery), Directory Traversals

Dlaczego to ważne:Ataki na warstwę aplikacyjną są jednymi z najłatwiejszych do wykonania

Web Application Protection

Co to robi?:Wykrywa i chroni przez całymi klasami ataków nie koncentrując się jedynie na identyfikacji konkretnego wzorca zagrożenia ale analizując potencjalne skutki po przez analizę behawioralną.Dlaczego to ważne:Eliminuje konieczność updat-u sygnatur. Zapewnia ochronę po przez algorytmy i moduły, np. Java bytecode exploit Detection, Flash exploit Detection, Shell Code Heuristics (SCH) - zapewniając skuteczną ochronę przed zagrożeniami typu 0-Day.

Threat Detection & Prevention

Co to robi?:Monitoruje, identyfikuje i dostarcza analizę ruchu sieciowego oraz wykrywa zagrożenia związane z wyciekiem danych o konkretnych formatach - np, numery NIP, Numery kart kredytowych.

Dlaczego to ważne:Rozwiązanie może być uzupełnieniem strategi organizacji w celu ochrony przed wyciekiem danych.

Data Security

Co to robi?:Zarządza i kontroluje nieautoryzowane wykorzystanie aplikacji które mogą podnosić poziom ryzyka w organizacji, takich jak P2P czy Instant Messaging.

Dlaczego to ważne:Umożliwia zastosowanie reguł i polityk które wyeliminują zagrożenia wynikające z korzystania aplikacji mogących wpływać na obniżenie poziomu bezpieczeństwa.

Application Control

June 2012

Protocol Analysis Module


Co jeszcze zapewnia Deep Packet Inspection??

Umożliwia odpowiedz na następujące pytania

Jakie aplikacje są wykorzystywane przez naszych użytkowników?

Jaki procent przepustowości łącza jest wykorzystywany przez aplikacje?

Którym użytkownikom ograniczyć dostęp do aplikacji webowych aby poprawić wydajność?

Czy można nadać selektywne uprawnienia dostępu do aplikacji?

Czy mamy możliwość określenia jakie akcje użytkownik może wykonać w konkretnej aplikacji?

Czy mamy informacje które strony użytkownik powinien odwiedzać a których nie powinien?

Jak się bronić przed wyciekiem danych z organizacji?


Kto? Co? Kiedy?

Natychmiastowa identyfikacja które aplikacje oraz strony internetowe są odwiedzane przez użytkowników

Szybka identyfikacja anomalii związanych z aplikacjami, stronami WWW oraz użytkownikami

Identyfikacja kto i co konsumuje przepustowość sieci

Identyfikacja zaawansowanych zagrożeń po przez integrację z QRadar i ocenę w skali całej organizacji zagrożenia

Network flows mogą być przesyłane do QRadar w celu dodatkowej analizy bezpieczeństwa

Kontekst tożsamości mapowanie użytkowników i grup użytkowników z charakterystyką ruchu sieciowego

Kontekst aplikacyjny pełna klasyfikacja ruchu sieciowego, bez względu na wykorzystywany protokół czy port

Wzrost bezpieczeństwa Redukcja kosztów Inowacyjność


Pełna kontrola!!!

Zapewnienie pełnego dostępu do stron typu social networking dla działów HR oraz Marketing

Ograniczenie dla zwykłych użytkowników dostępu tylko do wybranych URLi

Blokowanie dostępu do stron internetowych które mogą wystawić naszą infrastrukturę na potencjalny atak lub obniżych poziom bezpieczeństwa

Kontrola dostępu do sieci w kontekście użytkowników, grup użytkowników, systemów, protokołów, aplikacji oraz akcji które można na nich wykonać.

Blokowanie obecnych i nowo powstających stron internetowych infekujących złośliwym oprogramowaniem

Kompleksowa klasyfikacja i kategoryzacja stron internetowych posiadająca ponad 15 Miliardów przeanalizowanych URLi

Wsparcie dla ponad 1000 różnych aplikacji

Dowolnie modyfikowane polityki


Definiowanie polityki dostępu do sieci


Przykład: blokowanie Facebook-a w godzinach biznesowych


Przykład: blokowanie wymiany plików przez Skype…


Charakterystyka ruchu sieciowego w kontekście aplikacji

• Jakie aplikacje są najczęściej wykorzystywane?

• Jakie aplikacje wysycają przepustowość naszej sieci?

• Wykrywanie anomalii w funkcjonowaniu aplikacji


Charakterystyka ruchu sieciowego w kontekście użytkownika

• Wykrywanie anomalii

• Kopiowanie/wysyłanie dużych ilości danych

• Rozprzestrzenianie się wirusa

• Komunikacja z C&C Botnet

• Sciąganie plików z sieci P2P


Kategoryzacja ruchu sieciowego

Które strony internetowe są odwiedzane przez użytkowników:

• Social Networking

• Streaming Media

• Strony infekujące stacje końcowe złośliwym oprogramowaniem

• Strony z nielegalnym oprogramowaniem


DZIĘKUJĘ ZA UWAGĘ!


BACKUP


Atak przeprowadzony na RSA


X-Force i ich misja

- Identyfikacja i analiza nowych podatności- Opracowywanie mechanizmów ochrony dla produktów IBM- Współpraca i edukacja innych społeczności

• Support content streams

• In-house reverse engineering and malware analysis teams

• Expand current capabilities in research to provide industry knowledge to the greater IBM

• Support content stream needs and capabilities

• Support requirements for engine enhancement

• Maintenance and tool development

• Continue third party testing

• Execute to deliver new content streams for new and existing engines

• Develop new protocol parsers

Research

Engine

Industry/Customer Deliverables

• Blog, Marketing and Industry Speaking Engagements

• X-Force Database Vulnerability Tracking

• Trend Analysis and Security Analytics

IBM X-Force Research and Development

The world’s leading security R&D organization

Co w sieci piszczy Andrzej Wojtkowiak

Technology

Transcript of Co w sieci piszczy Andrzej Wojtkowiak