Anatomie současných útoků a jak se před nimi chránit

Anatomie současných útoků a jak se před nimi chránit

Petr Lasek, RADWARE 22.11.2012

Agenda • • • • • •

Radware Aktuální rizika Příklady útoků Attack Mitigation System (AMS) Případová studie Shrnutí

Slide 2

APSolute řešení

1

1

3

RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace: - maximální dostupnost (Availability), - maximální výkon (Performance), - bezpečnost (Security)

Slide 3

Radware 10,000+ zákazníků

Stálý růst

144.1

108,9

68,4

77,6 81,4

88,6

94,6

54,8 43,7 38,4 43,3 4,9 1998

Zkušenosti v oblasti bezpečnosti

14,1

2000

2002

2004

2006

2008

2010

Technologické partnerství

Slide 4

Radware – přehled řešení

Web Services and XML Gateway

HTTP Monitor

Partner

Inflight AppXML

Message Queuing System

Router

Intrusion Prevention

Mainframe ESB

LinkProof

Customers

DefensePro

Alteon / AppDirector

Router

Application Delivery Controller Web & Portal Servers

LinkProof

WAN Link Optimizer / Load Balancer

Database servers

AppWall Web Application Firewall Application Servers

Branch Office Data Center

Slide 5

Aktuální bezpečnostní rizika

Kombinované útoky

Large volume network flood attacks Network scan Intrusion Port scan

SYN flood attack “Low & Slow” DoS attacks (e.g., Sockstress) Brute force attack Intrusion, malware High and slow Application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF)

Slide 7

Síťové a aplikační útoky

Slide 8

Kombinované útoky

Large volume network flood attacks Network scan Large volume SYN flood

Shrnutí

Low & Slow connection DoS attacks

Business • Útočníci kombinují více typů útoků Web a stačí aby jeden byl application vulnerability scan úspěšný Applicationútoků flood attack (Slowloris, • DoS & DDoS se stávají standardní součástí Port 443 data flood,…) Web application attacks (e.g. XSS, Injections, CSRF)

Slide 9

Bezpečnostní nástroje x útoky DoS Protection Behavioral Analysis IPS IP Reputation WAF

Large volume network flood attacks Network scan Intrusion

SYN flood “Low & Slow” DoS attacks Port scan

Brute force attack Intrusion, Malware High & Low rate application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF)

Slide 10

Co a před čím chrání?

Protection Purpose Data-At-Rest Protections (Confidentiality) Data-At-Endpoint (Confidentiality) Data-In-Transit (Confidentiality) Network Infrastructure Protection (Integrity) Application Infrastructure Protection (Integrity) Volumetric Attacks (Availability) Non-Volumetric Resource Attacks (Availability)

Firewall

IPS

WAF

Router ACLs

Anti-DoS Next Gen Appliance FW (CPE)

DLP

Cloud Anti-DoS

Anatomie útoku

APT – Advanced Persistent Threat

Hacktivism – příklady

• Duration: 20 Days • More than 7 attack vectors • “Inner cycle” involvement • Attack target: Vatican

Komplexnost útoků

• Duration: 3 Days • 5 attack vectors • Only “inner cycle” involvement • Attack target: HKEX • Duration: 3 Days • 4 attack vectors • Attack target: Visa, MasterCard

• Duration: 6 Days • 5 attack vectors • “Inner cycle” involvement • Attack target: Israeli sites

Slide 14

Časový průběh

7. Březen – I. den

Začátek útoku

~13:30

Day 1 Wed March 7th

20:17

Customer website was taken down by anonymous. Later, Radware Italy is invoked, ERT receive heads-up. DefensePro is deployed, ERT start building configuration.

DefensePro na místě (ODS2)

ERT tým

Slide 16

8. Březen – II. den

Day2

12:45

ERT Continued refining configuration moving the device to an aggressive configuration.

14:00

Attacks begin and mitigated by the DefensePro. ERT monitors and conduct minor fine tuning.

24:00

Attacks ended.

Thurs March 8th

Útok blokován (DefensePro a ERT)

Slide 17

9. Březen – III. den

Směrovač nedokázal obsluhovat množśtví provozu

Day3 Mon March 12th

Vyřešeno ERT

14:00 14:45 15:45 17:00

Attack started ERT was initiated due to outage. ERT concluded the Juniper router (not protected by DefensePro) was the cause. ERT provided blacklist to be used by the router’s ACL. Customer employed blacklist and Juniper improved router’s configuration. This resolved the issue, and the site was up. Attacks continued but mitigated, and there was no need for further ERT support.

Služba funguje

Slide 18

Útok pokračoval déle než týden… Automaticky blokován Bez zásahu ERT

Slide 19

19. březen

Morning Site is down UDP Attack peaking to 2M PPS ODS2 is limit to ~1M PPS

Mon March 19th

Evening

ODS3 is replacing ODS2 Attack is well mitigated .

Slide 20

Útok pokračoval … Automaticky blokován Bez zásahu ERT …

Konec

Slide 21

Vektory útoku

Vektor I.: TCP Garbage Flood

Attack Vector

PSH+ACK Garbage Flood port 80

Description

TCP PSH+ACK packets that contain garbage data No initiation of proper TCP handshake

Mitigation

• Out-of-state • Signature (SUS – for all customers)

Garbage Data

Slide 23

Vektor II.: SYN Flood

Attack Vector

SYN Flood

Description

• Port 80 • 460 attackers

Mitigation

• BDOS • SYN Protection (not activated, threshold were too high)

BDOS Footprint

Slide 24

Vektor III.: IP fragment flood to port 80

Attack Vector

IP fragment

Description

• • • •

Mitigation

BDOS

TCP Protocol port 80 Frag offset = 512 TTL = 244 Same SRC IP (unusual for this attack)

BDOS Mitigation in Action

Slide 25

Vector IV. : UPD Flood to Random Port

Attack Vector

Attack Vector V: UPD Flood to Random Port

Description

• UDP flood • Packet contained Garbage data

Mitigation

BDOS

BDOS Mitigation in Action

Slide 26

Evropská vládní instituce, Červenec 2012

• • • •

Útočník posílal 3.4Mbps složený z 36 B DNS dotazů na 8 DNS serverů Doména s 43 registrovanými DNS záznamy. Odpověd 3991 B, 154 Mbps Navíc odpověd s fragmentovanými pakety Ochrana -DNS odpovědi blokovány pomocí BDoS modulu, fragmentované UDP pakety pomocí DoS-Shield modulu

Slide 28

AMS = Attack Mitigation System

Radware Attack Mitigation System (AMS)

Slide 30

AMS – integrované bezpečnostní řešení DoS Protection • Ochrana před všemi typy DoS/DDoS nastrojů

Reputation Engine • Finanční podovody • Ochrana před phishingem

IPS • Ochrana před známymi útoky

WAF • Aplikační firewall

NBA • Zneužítí aplikací • Ochrana před neznámými útoky (zerominute)

Slide 31

OnDemand Switch: výkonný hardware DoS Mitigation Engine • ASIC • Proti DoS/DDoS utokům • 12 M PPS

IPS & Reputation Engine • ASIC - String Match & RegEx Engine • Deep packet inspection

NBA & WAF

OnDemand Switch Kapacita až 14Gbps

Slide 32

Rozdíl: výkon pod útokem

12 Million PPS

Bez vlivu na ostatní provoz

Útok blokován na úkor bežného provozu

Attack Traffic

Multi-Gbps Capacity Legitimate Traffic

DefensePro

Attack Attack Multi-Gbps Capacity Attack Legitimate Traffic Traffic + Attack

Other Network Security Solutions Slide 33

Mitigation Performance (DME)

Flood Packet Rate (Millions)

12 10 8 6 4 2 0 0

5 10 Legitimate HTTP Traffic (Gbit/s)

15

Slide 34

Radware Security Event Management (SEM) • Correlated reports • Trend analysis • Compliance management • RT monitoring • Advanced alerts • Forensics

3rd SIEM

Slide 35

AMS = synergie

Útok proti webu ze zdroje A

• Advanced configuration • Role-based access control

Black list - A

Scanning aplikací detekován ze zdroje A

Slide 36

Síťové DoS útoky

NBA a RT Signature Technologie Mitigation optimization process Initial Filter

Public Network

Closed feedback

Inbound Traffic Start Traffic characteristics mitigation

Real-Time Signature

0

Initial filter is generated: Filter Optimization: Filter Filter Optimization: Packet IDOptimization:

Packet ID AND Source IPIP Packet PacketID IDAND ANDSource Source IP AND Packet size AND Packet size AND TTL

5

Blocking Rules Filtered Traffic

Outbound Traffic

Protected Network

Up to 10

Final Filter

3

Learning

10+X Time [sec]

Degree of Attack = High Low

1

2

Statistics

Detection Engine Degree Degreeof ofAttack Attack == Low High (Positive Feedback) (Negative Feedback)

Signature parameters Narrowest filtersIP • Source/Destination • Source/Destination Port • Packet ID • Packet size • Source • TTL (TimeIP ToAddress Live) • Packet size • DNS Query • TTL (Time To Live) • Packet ID • TCP sequence number • More … (up to 20)

RT Signatures

4

Slide 39

NBA - Fuzzy logika

Flash crowd Z-axis

Attack Degree axis

Attack area

Decision Engine

X-axis

Suspicious area

Normal adapted area

Normal TCP flags ratio

Attack Degree = 5 (Normal- Suspect)

Y-axis

Abnormal rate of Syn packets

Slide4040 Slide

Behaviorální analýza & generováni signatur DoS & DDoS

Inputs Public Network

- Network - Servers - Clients

Inbound Traffic

Application level threats Zero-Minute malware propagation

Behavioral Analysis

Real-Time Signature Inspection Module

Outbound Traffic Enterprise Network

Closed Feedback

Real-Time Signature Generation

Abnormal Activity Detection

Optimize Signature Remove when attack is over Slide 44

Challenge/Response Botnet is identified (suspicious sources are marked)

Attack Detection

Real-Time “Light” “Strong” Signature Created Challenge Actions Challenge Action

Selective Rate-limit

?

?

X

X

TCP Challenge 302 Redirect Challenge Java Script Challenge RT Signature blocking

Behavioral Real-time Signature Technology

Challenge/Response Technology

Real-time Signature Blocking

Uzavřená smyčka Slide 48

AMS - co nabízí

Detekce útoku

Real-time signatura

Challenge

Druhý challenge

Blokování

• Kombinace více bezpečnostních technologií – Ochrana před síťovými a aplikačními útoky – Ochrana před známými i neznámými (zero-day) útoky

• QoE – Prakticky nulové „false-positive „ – Granulární konfigurace, kombinace více metod blokování, real-time monitroing i dloudobý reporting

• TCO – Automatické generování signatur, bez nutnosti zásahu administrátora

Slide 49

Behavorální analýza DNS provozu DNS dotazy – jejich rozložení

Četnost dotazů DNS QPS

MX records

A records base line A records

MX records base line

TEXT records

PTR records…

PTR records Other records

AAAA records…

AAAA records

Time

DoA per typ dotazu

Fuzzy Logic Inference System

Normal

Attack Suspect

Slide 52

SSL

Ochrana před útoky v šifrovaném provozu Application “cookie” engines

Traffic Anomalies Floods

Network-Based DoS Attacks

Application-Based DoS Attacks (Clear and SSL)

L7 ASIC Regex engine

“Directed” Application DoS Attacks (Clear and SSL)

Clear

Clear

“Authenticated” clients

Behavioral DoS & TCP cookie engines

Client-side termination point

Encrypted

Packet anomalies, Black & white lists

Encrypted

Clear

Encrypted

Alteon’s SSL Acceleration Engine

Slide 54

Další metody ochrany

IP reputation Signatury

Black-white list, ACL Řízení pásma (QoS) Server cracking

Slide 56

WAF

Automatická tvroba pravidel

App Mapping

Threat Analysis

Reservations.com Risk analysis per “ application-path”

/config/ /admin/

SQL Injection

/register/

CCN breach

Spoof identity, steal user information, data tampering

Information leakage

/hotels/ Gain root access control

/info/

Directory Traversal

/reserve/

Buffer Overflow

Unexpected application behavior, system crash, full system compromise

Slide 58

Doporučení ochrany

App Mapping

Threat Analysis

Policy Generation

Reservations.com /config/ /admin/ /register/

Prevent access to sensitive app sections

SQL Injection

CCN breach ***********9459

/hotels/

/info/

Directory Traversal

/reserve/

Buffer Overflow

Mask CCN, SSN, etc. in responses. Traffic normalization & HTTP RFC validation

P

Parameters inspection

Slide 59

Counter Attacks

Mobile LOIC Attack traffic is dropped and connection is reset

Slide 61

Mobile LOIC Attack traffic is dropped and source is suspended

Slide 62

SOC a ERT služby

Radware AMS & ERT/SOC

• Security Operations Center (SOC) – Pravidelné update signatur každý týden a kritické updaty okamžitě – 24 x 7, znalost sdílená celosvětově

• Emergency Response Team (ERT) – 24x7 služba pro zákazníky pod útokem – Eliminace DoS/DDoS útotů, předejití škodám

Slide 64

Reporty - PCI, HIPAA, ... Compliance Reports PCI DSS FISMA GLBA HIPPA

Slide 65

Patenty a certifikace Vlastní patenty v oblasti ochrany

Nově (!): EAL 4+ Slide 66

Radware řešení DefensePro Výkonný hardware AppWall Web Application Firewall (WAF)

APSolute Vision Management, monitoring a reporting

Slide 67

Reference

Příklady: E-Commerce:

2xMoinsCher.com

Online prodej: G-Market Vládní organizace: Turecká vláda ISP: M-Soft (Jihlava)

1000+ instalací – operátoři, ISP, finanční sektor, podniková sféra, vládní organizace

Slide 68

Závěr

Shrnutí • Více vektorů útoků – Uživatele nasazují více řešení – Útočníci využivají „mezer“ mezi neintegrovanými produkty

• Attack Mitigation System (AMS): – Ochrana před APT (Advanced Persistent Threat = dlouhodobé „kampaně“) – Integrované řešení / korelace mezi jednotlivými metodami

• Řešení pro – Online aplikace – Datová centra, hosting, cloud – Poskytovale internetu

Slide 70

Thank You www.radware.com

Dotazy? [email protected]

www.radware.com

Slide 72