Przestępcze scenariusze

wykorzystania e-mail a sposoby zabezpieczeńWarszawa, 21 czerwca 2017

Tomasz Zawicki CISSP

CIA

1. CIA – Centralna Agencja Wywiadowcza

2. Triada bezpieczeństwa: Confidentiality, Integrity, Availability

E-mail = protokół SMTP

Usługa e-mail

• Pierwszy list wysłano w 1991r

• RFC 821 – 1992r -> RFC 5321 – 2008r

• Brak skutecznych mechanizmów bezpieczeństwa wynika z niedoskonałości protokołu

• Protokół SMTP jest bardzo „wdzięczny” dla atakujących

Dobrze znane scenariusze

SPAM

Rozwiązania antyspamowe bazują na:

▪ listy reputacyjne: Spamhaus, DBL, SURBL, URIBL, …

▪ reguły klasyfikowania wg. tematu, treści listu, nadawcy

▪ informacje wywiadowcze – uzyskiwane z uruchomionych w sieci honeypot’ów

Zagrożenia masowe i stosowane zabezpieczenia

▪ Rozwiązania AV (sygnatury) – ClamAV

▪ Można stosować kilka silników

▪ Analiza statyczna (silniki antimalware)

▪ Sandboxowanie (analiza dynamiczna)

▪ On-site lub chmurowy

▪ Informacje wywiadowcze pozyskane z honeypot’ów wspomagają skuteczną detekcję

Kto ma lepsze TI ?

Scammail – oszustwo bazujące na podszyciu się pod zaufany adres e-mail

Zabezpieczenia globalne:

▪ SPF - Sender Policy Framework

▪ DomainKeys Identified Mail

”Sygnatura DKIM zabezpiecza przed podszywaniem się pod nadawcę

(e-mail spoofing) z innych domen ” – Źródło Wikipedia

▪ DMARC (Domain-based Message Authentication…) -Informational RFC 7489

Prezentacja wysyłki maila na żywo

Identyfikacja złośliwego: załącznika, URL’a

Identyfikacja ataku załącznikiem

▪ e-mail wygenerował cztery zdarzenia

Analiza zdarzenia w systemie Fidelis

▪ Rozwiązanie Csecurity + Network

Identyfikacja ataku – phishing – URL

Identyfikacja ataku - URL

Symantec Advanced Threat Protection: Email

GIN

ATP: Email

Korelacja

Sandbox

Dane Url

IoC

Informacja o poziomie zagrożenia

Kategoryzacja Malware

File Hashes

Informacje o kampaniach ukierunkowanych

Wykorzystanie chmurowego środowiska sandbox

Pozyskane dane wywiadowcze

Wysoka wydajność E-mail security.cloud

Brama szyfrującaEmail

Nośniki przenośne

Szyfrowanie danych przenośnych i całego dysku

Szyfrowanie zasobów współdzielonych

Urządzenia przenośne Klucze indywidualne i

grupowe

Tworzenie polityk szyfrowania

Raportowanie

Zarządzanie

PGP - Ochrona danych w ruchu i w spoczynku

Model wdrożenia

PGP Universal Server

Ochrona przed Malware i SpamSymantec Messaging Gateway (SMG)

Rozdzielanie newsletter’ów,listów marketingowych odlistów z podejrzanymi URL.

Konfigurowalne polityki dostosowane do kategorii otrzymywanych listów

Personalized Protection

Śledzenie ponad 400 milionów nadawców spamu oraz bezpiecznych IP.

Filtrowanie ponad 95% spamu na podstawie danych reputacyjnych

Dane reputacyjne

Wycinanie kodu wykonywalnego z załączników „attachment cleaning”

Wykorzystanie wielu technik antyspamowych

Efektywność antyspamu99%

Anty-spamAnty-malware

Poczta przychodząca kontrolowana przezSecurity.cloud

Poczta wychodząca przez Symantec Messaging Gateway z realizacją DLP

Hybryda

VMware ESX, ESXi, vSphere

Microsoft Hyper-V

Wirtualny Appliance

Trzy wersje wydajnościowe urządzenia dostosowane do skali realizowanej komunikacji e-mail

Sprzęt fizyczny

SMG On-premise

File

URL

Whitelis

t

Bla

cklis

t

Cert

ific

ate

Mach

ine

Learn

ing

182 milionówPowstrzymanych ataków na aplikacje webowe

Rozpoznania:

430 millionówunikalnych próbek malware’u w 2016

12,000+ Zidentyfikowanych i rozpoznanych webaplikacji

100 milionówzablokowanych oszustw wykorzystujących inż. społeczną

1 miliardówzatrzymanych złośliwych listów e-mail

175 Milionówchronionych komputerów

1 Miliardunikalnych zapytań

skanowanych codziennie

2 Miliardyskanowanych listów -

codziennie

Źródła wiedzy

9 centrali identyfikujących zagrożenia

3,000 Inżynierów i researchers

Powiększona triada bezpieczeństwa -PGPConfidentiality, Integrity and Availability

NIEZAPRZECZALNOŚĆPGP

POUFNOŚĆPGP

POŚWIADCZENIE + 2FA Symantec VIP

INTEGRALNOŚĆ PGP/SSL

DOSTĘPNOŚĆ Sprawdzona

technologia + zaufane bazy reputacyjne

@

Zgodność z GDPR także w chmurze

CZAS NA PRZYGOTOWANIE ZGODNOŚCI DO WIOSNY 2018

KARY – DO 4% ROCZNEGO OBROTU

ANONIMIZACJA/PSEUDOANONIMIZACJADANYCH W ŚRODOWISKU CHMUROWYM

Symantec Email Security Solution – także Cloud

Inbound/Outbound

Third-party

Advanced Threat Protection

Anti-Spam

Anti-Malware

Data Protection

Image Control

DLP

FirewallUsers On-premise Email Server

Cloud Email Server

Users