nowe zagrożenia zbigniew szmigiero

© 2013 IBM Corporation

Nowe zagrożenia – Nowe wyzwania.

Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems.

© 2013 IBM Corporation2

FireEye – Advanced Threat Report 2012

Tło


Co chronimy?

• Według badań Ponemone Institute:– Większość organizacji nie wie:

• Gdzie znajdują się ich krytyczne zasoby?• Gdzie są wrażliwe informacje?• W jaki sposób je chronią?


Jak chronić …?

TestDeveloper

Q&A

SensitiveData

DB IPSDAM

Szyfrowanie w czasierzeczywistym

Szyfrowanie

Anonimizacja danych


Pomysłowość nie zna granic


Rządowy robak

Nowe serwery:SingapurBahrajnTurkmenistanBruneiIndonezjaHolandia


Kalendarium

• Q1 2013 – Przynajmniej 6 krytycznych podatności w Java• 2/03/13 – Wyciek danych z Evernote• 12/03/13 – MS13-027 kolejna podatność poprzez USB stick• 12/03/13 – DDoS na Wells Fargo, Bank of America, Chase, Citigroup, HSBC (operacja

Ababil)• 12/03/13 – Wykradzione dane Michele Obama, Joe Biden, Hillary Clinton• 14/03/13 – Ujawnione włamanie do MSZ, MON, KPRM – Alladyn2• 19/03/13 – Zmasowany atak na banki i media w Korei Południowej (disk wipe out)• 25/03/13 – NATO zezwala na zabijanie hackerów podczas konfliktu• 27/03/13 – Największy atak DDoS w historii – Spamhaus (300 Gbps) – CloudFlare w

Londynie padł• 8/04/13 – Zmasowany atak na Izrael – OpIsrael – grupa Anonymous• 14/04/13 – NASK likwiduje botnet oparty o Citadel – 160K komputerów• 15/04/13 – Schnucks ujawnia wyciek danych 2.4 miliona kart kredytowych• 09/05/13 – Pierwsza biblioteka szyfrowania homomorficznego udostępniona przez IBM• Q2’2013 – Snowden, PRISM i NSA• 11/2013 – 150M haseł wyciekło z Adobe Air


Nowa era zagrożeń


Od U238 do U235


Infekcja sieci galwanicznie odseparowanych

• Modyfikacja procedur– Tylko dla Siemens S7-300 i w dodatku tylko dla wirówek

wyprodukowanych przez Vacon w Finlandii i Fararo Paya z Iranu.

– Tylko te których częstotliwość jest w zakresie 807-1210 Hz.

• Analiza zwracanych informacji z wirówek


Cel

• Po ~13 dniach – podniesienie częstotliwości do 1410 Hz• Po ~27 dniach – nagła zmiana częstotliwości do 2Hz a

następnie do 1064 Hz• Skutek: mechaniczne uszkodzenie wirówek• Celem wirusa było prawdopodobnie centrum uzdatniania

uranu w Natanz (Iran).• Przynajmniej 10% wirówek uległo uszkodzeniu


Efekt


Dziwne przypadki imć Krebsa

Czwartek rano



Czwartek po południu



Czwartek wieczorem


Czy to koniec tej opowieści?


badBIOSbardziej zaawansowany niż Stuxnet i Flame


badBIOS – komunikacja z użyciem ultradźwięków


Futurologia w bajkach – Drukowanie


Pisanie, prepajdy, MAC i Apple, …


Struktura ataku

Przynęta

Cel ataku


Fishing przykład 1


Fishing przykład 2


Czy moje dane są bezpieczne?


Charakterystyka ataku

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf?CMP=DMC-SMB_Z_ZZ_ZZ_Z_TV_N_Z038


Różne scenariusze ataku

• Infekcja stacji roboczej poza środowiskiem• Infekcja urządzenia mobilnego• Atak bezpośredni z użyciem podatności• Atak bezpośredni ze wsparciem z wewnątrz instytucji


Pochodzenie ataku

Verizon 2012


Przynęta

Raport AVTest


Wszystko może posłużyć jako przynęta

234 domeny z malware w ciągu 24 godzin


Dedykowane oprogramowanie złośliwe (APT)

50% zidentyfikowanego oprogramowania złośliwego zaobserwowano mniej niż 20 razy

75% fragmentów unikalnego kodu wyodrębniono w ramach jednej organizacji

88% oprogramowania złośliwego miało obszar infekcji ograniczony do mniej niż 10 intytucji

Raport Sophos Labs


Hackmazon


O czasy, o obyczaje …

Arnie Levenhttp://www.condenaststore.com/-sp/I-steal-from-computers-cause-that-s-where-the-money-is-Cartoon-Prints_i8638625_.htm

Zapytany dlaczego rabował banki, odpowiedział:

„Ponieważ tam były pieniądze”

"Because that's where the money is.“

Willie Sutton

mobile devices


Twój telefon, tablet - Wartościowy cel

Podwójna korzyść, dostęp do danych prywatnych i firmowych

45Billion

2x

Dostęp nigdy nie był łatwiejszy - 45 miliardów pobranych aplikacji w 2012.


Typy aplikacji mobilnych

Aplikacje natywne

Aplikacje hybrydowe

Aplikacje webowe


Złośliwe oprogramowanie (Android)

Source: Juniper Mobile Threat Report, 2/12

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-3q-2012-security-roundup-android-under-siege-popularity-comes-at-a-price.pdf

"Of those 293,091 malicious apps, 68,740 were sourced directly from Google Play," writes Rik Ferguson, director of security research and communications at Trend Micro.


Jailbreak i inne

Source: Arxan State of Security in the App Economy – 2012


Dostęp aplikacji do zasobów


Podatności

IBM X-Force


Exploits

IBM X-Force


Łaty

IBM X-Force


Narzędzia hackerskie

IBM X-Force


Polimorfizm

5% skuteczność AV w przypadku robaków polimorficznych


Jak wykryć nowoczesny Malware?


Jak wykrywać anomalie?

• Analiza o ruch bazowy• Analiza behawioralna (wzorce użytkownika,

urządzenia, aplikacji i zaawansowane metody statystyczne)

• Analiza pełnego kontekstu ataku (sieć, serwer, middleware, aplikacja, użytkownik)

• Identyfikacja oprogamowania złośliwego• Ochrona urządzeń mobilnych• Identyfikacja podatności i słabości systemu


Kilka słów o NSA

• Udowodnili ze implementacja BigData jest możliwa • Używają różnych metod zbierania informacji TelCo,

Bankowość, Przemysł, Internet (AT&T, SWIFT, Petrobras, Goggle), włączjąc monitorowanie lini transoceanicznych)

• Zmuszają do współpracy giganty IT• Wpływają na standardy kryptograficzne, tworzą „backdoor”

w aplikacjach• Posiadają największy zespół hakerski – TAO, malnet –

Quantum, Exploitation Kit – FOXACID• Udało się im zaatakować sieć TOR

© 2013 IBM Corporation

Kim jesteś …?

Zbigniew Szmigiero, Customer Technical Professional – IBM Security Systems.


IPS

• Działają w oparciu o sygnatury i reguły do warstwy 4• Niewystarczające do identyfikacji APT, fraudów

wycieków danych• Podatne na ataki DDoS• False-Positive vs. False-Negative• Ciągle ważne ale trzeba czegoś więcej


NG IPS


Ochrona danych

• Identyfikacja danych wrażliwych (włączając migrację)• Monitorowanie dostępu do nich• Używanie szyfrowanie wszędzie gdzie to możliwe


Guardium 9.1

Integration with LDAP, IAM, SIEM, TSM, Remedy, …

Big Data Environments

DATA

InfoSphere BigInsight

s

CouchDB

GreenPlum

SAP HANAAmazon RDSCassandraHbase


Detekcja anomalii w DAM

Anomaly Hours are marked in Red or Yellow. Click on the bubble

navigates to the Outlier View


Szyfrowanie danych

APPLICATIONS

DATABASES

SAN

NASDAS

FILE SYSTEMS

VOLUME MANAGERS

HTTPS

Data Security Manager• FIPS Level 3 Key Management• Centralized, Automated Key Management• High Availability Cluster• Robust role separation

Encryption Expert Agent• File System or Volume Manager • Transparent and agnostic• Supports Linux, Unix, & Windows• Privileged User Control and Separation• Software-based encryption


Szyfrowanie danych

Name: J Smith

CCN:60115793892

Exp Date: 04/04

Bal: $5,145,789

SSN: 514-73-8970

Name: Jsmith.doc

Created: 6/4/99

Modified: 8/15/02

Clear Text

File DataFile Data

File SystemFile SystemMetadataMetadata

dfjdNk%(AmgdfjdNk%(Amg

8nGmwlNskd 9f8nGmwlNskd 9f

Nd&9Dm*NddNd&9Dm*Ndd

xIu2Ks0BKsjdxIu2Ks0BKsjd

Nac0&6mKcoSNac0&6mKcoS

qCio9M*sdopFqCio9M*sdopF

Name: Jsmith.docName: Jsmith.doc

Created: 6/4/99Created: 6/4/99

Modified: 8/15/02Modified: 8/15/02

MetaClear

Block-Level

fAiwD7nb$

Nkxchsu^j2

3nSJis*jmSL

dfjdNk%(Amg

8nGmwlNskd 9f

Nd&9Dm*Ndd

xIu2Ks0BKsjd

Nac0&6mKcoS

qCio9M*sdopF

• Protects Sensitive Information Without Disrupting Data Management• High-Performance Encryption• Root Access Control• Data Access as an Intended Privilege

File Data

File Data

File Data

File Data


Jakość kodu aplikacji

• Kto programuje Twoje aplikacje?• Jak sprawdzasz jakość kodu?• Jak kontroluje zmiany i poprawki?


Pełnowymiarowa analiza aplikacji - AppScan

BrowserBrowser

NativeNativeAppApp

Server Side App

SAST (source code)

DAST (web interfaces)

Client Side App

JavaScript / HTML5 hybrid analysis

Native AppAndroid

iOS

JavaScript

Static AnalysisStatic AnalysisStatic Analysis


Jak zarządzasz końcówkami?

• Zarządzanie zasobami• Łaty• Definicja ról i wymuszanie ich stosowania• Monitorowanie dostępu do danych (DLP)• Separacja oprogramowania złośliwego i jego

unieszkodliwianie


Pełny cykl życia końcówek - TEM

Windows/Mac Unix / LinuxWindows Mobile

KioskPOS

Android/iOS/Symbian/ Windows Phone

MDMSoftware Usage

OS deploymentRemote Control

Protection

Energy MngtPatch Mngt

InventoryCCM


Sites

LICENSE REMOTE

ASSET INSTALL MOBILE

Internet

SW Distrib

PATCH

Jak to działa?

Compliance

Security, DLP


Jak to działa?

Przypisanie

TEM SRVTEM Agent

Dane


Jak działa exploit?

Exploitation

FileSystem

Legitimate access

WWW

Vulnerability

External Content

Exploit

An exploit is a piece of software that uses an application vulnerability to cause unintended application behavior


Weryfikacja stanu aplikacji

Allow application action with a approved state

External Content

FileSystem

Legitimate Access

User initiated

App Update

Application State


Weryfikacja stanu aplikacji

Stop application actions with unknown state

FileSystem

ExploitUser Initiated

Application State

App Update

Trusteer Apex Stops

Execution


Evasion #1: Compromise

Application Process

Looks Like Legitimate

Communication

Evasion #2: Communicate

Over Legitimate Websites

Direct Communication is Highly Visible

Blokada komunikacji oprogramowania złośliwego

External Network

Information- stealing malware

Block suspicious executables that open malicious communication channels

2Exfiltration Prevention

1Exfiltration Prevention

Direct User Download

Pre-existing Infection


KeyLogging

Ochrona przed kradzieżą tożsamości (ATO)

PhishingUsing Corp

PWD on Public Sites

******

WWWWWWGrabbing credentials

from websites

*****

Grabbing credentials from users’

machine

Password Protection

KeystrokesObfuscation


Niekończąca się historia

WWW

Phishing and Malware Fraud

Advanced Threats

(Employees)

Online Banking

Wire, ACH, Internal Apps

Account Takeover, New Account Fraud

Mobile Fraud Risk



Global

Hundreds of Customers

100,000,000 Endpoints

Solutions

Financial Fraud Prevention

Advanced Threat Protection

Leader

Intelligence

Technology

Expertise

Leading Global Organizations Put Their TRUST In Us

7/10Top US Banks

9/10Top UK Banks

4/5Top Canadian

Banks

MajorEuropean Banks


Oprogramowanie złośliwe

TRX

WWW

Online Banking

4Prevents credential and data theft that enable ATO and cross-channel fraud

• Retail and Commercial• Scale to millions• No end user impact

1• Removes existing infection• Prevents new infection• Secures the browser

2• Alerts user on Phishing sites• Notifies bank for takedown

Trusteer Rapport

Kills the attack before it even startsKills the attack before it even starts


Eliminacja oprogramowania złośliwego

TRX

WWW

Online Banking

Malware-generated Fraudulent Transactions

Malware-generated Fraudulent Transactions

Credentials Theft via Malware and PhishingCredentials Theft via

Malware and Phishing

Trusteer RapportTrusteer Rapport

Trusteer PinpointMalware DetectionTrusteer Pinpoint

Malware Detection


Identyfikacja anomalii

Logi

n

Online Banking


Malware Detection

Monitor Account (Re-credential User)

3rd party risk engine

Restrict Web App

(add payee)

Remediate and Immune Customer

3

Trusteer Rapport

Out-of-Band Authentication

Trusteer Mobile OOB

Trusteer Pinpoint ATO,

Mobile Risk Engine


Kradzież tożsamości i ATO

LOG

INCredentials

Online Banking

Trusteer PinpointAccount Takeover (ATO) Detection


2


Malware Detection

1

LOG

IN

Complex Device Fingerprinting

Device Attributes•New Device•Spoofed Device •Criminal Device

User Attributes•Interaction Patterns•Geo Location•Time of Access

Account Compromise History

Phished Credentials

Malware Infections(stolen credentials)1

2

1 2+Access Denied


Phishing i ATO

LOG

INCredentials

Online Banking

Complex Device Fingerprinting

Device Attributes•New Device•Spoofed Device •Criminal Device

User Attributes•Interaction Patterns•Geo Location•Time of Access


Phished Credentials

Malware Infections(stolen credentials)

1

2

1 2+Access Denied

Phishing Site

Office Home




2

1


Kradzież tożsamości

Online Banking

New Account Creation

PII DataTheft

2

1 2/

Tag as Fraudster


Malware Detection

1 Trusteer PinpointAccount Takeover (ATO) Detection


Account and Device Risk

Credential PII/Theft via Malware or Phishing

Same Device -> Multiple Trusteer-protected FIs

Same Device -> Multiple Accounts, Single FI

1

2



Niezależny kanał uwierzytelnienia

Access DeniedAccess Denied

LOG

IN

Online Banking

Trusteer PinpointATO Detection +

OOB Service

Trusteer PinpointATO Detection +

OOB Service

ATO Risk DetectedATO Risk Detected

Trusteer Mobile APP

Secure OOB Access Authorization:Approve access via registered device

SMS or Data


ATO i Fraud Mobilny

Online Banking

Credentials

Restrict AccessRestrict Access

CredentialsTheft


Malware Detection

LOG

IN Trusteer Mobile Risk Engine

Trusteer Mobile Risk EngineAp

p Lo

gin

Mobile Device Risk Factors

Device Attributes•Jailbroken / Rooted Device•Malware Infection•New device ID•Unpatched OS•Unsecure Wi-Fi connection•Rogue App


Phished Credentials

Malware Infections, Phishing Incident(stolen credentials)1 2

The Bank’s Mobile Banking App

The Bank’s Mobile Banking App

Trusteer Mobile SDK

Trusteer Mobile SDK



Co dalej? czy Gdzie zacząć?

• Wiele rozwiązań, konsole, mnóstwo danych, ograniczone zasoby

• SIEM – platforma integracji zdarzeń związanych z bezpieczeństwem

• Ile incydentów generuje SIEM?• Incydent kontra Ryzyko• QRadar – Platfoma analizy ryzyka (NG SIEM)


QRadar


„Nigdy nie lataj samolotami projektowanymi przez optymistów.”

Służy radą pozytywnie pesymistyczny zespółIBM Security Systems