Anatomie současných útoků a jak se před nimi chránit
Petr Lasek, RADWARE 22.11.2012
Agenda • • • • • •
Radware Aktuální rizika Příklady útoků Attack Mitigation System (AMS) Případová studie Shrnutí
Slide 2
APSolute řešení
1
1
3
RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace: - maximální dostupnost (Availability), - maximální výkon (Performance), - bezpečnost (Security)
Slide 3
Radware 10,000+ zákazníků
Stálý růst
144.1
108,9
68,4
77,6 81,4
88,6
94,6
54,8 43,7 38,4 43,3 4,9 1998
Zkušenosti v oblasti bezpečnosti
14,1
2000
2002
2004
2006
2008
2010
Technologické partnerství
Slide 4
Radware – přehled řešení
Web Services and XML Gateway
HTTP Monitor
Partner
Inflight AppXML
Message Queuing System
Router
Intrusion Prevention
Mainframe ESB
LinkProof
Customers
DefensePro
Alteon / AppDirector
Router
Application Delivery Controller Web & Portal Servers
LinkProof
WAN Link Optimizer / Load Balancer
Database servers
AppWall Web Application Firewall Application Servers
Branch Office Data Center
Slide 5
Aktuální bezpečnostní rizika
Kombinované útoky
Large volume network flood attacks Network scan Intrusion Port scan
SYN flood attack “Low & Slow” DoS attacks (e.g., Sockstress) Brute force attack Intrusion, malware High and slow Application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF)
Slide 7
Síťové a aplikační útoky
Slide 8
Kombinované útoky
Large volume network flood attacks Network scan Large volume SYN flood
Shrnutí
Low & Slow connection DoS attacks
Business • Útočníci kombinují více typů útoků Web a stačí aby jeden byl application vulnerability scan úspěšný Applicationútoků flood attack (Slowloris, • DoS & DDoS se stávají standardní součástí Port 443 data flood,…) Web application attacks (e.g. XSS, Injections, CSRF)
Slide 9
Bezpečnostní nástroje x útoky DoS Protection Behavioral Analysis IPS IP Reputation WAF
Large volume network flood attacks Network scan Intrusion
SYN flood “Low & Slow” DoS attacks Port scan
Brute force attack Intrusion, Malware High & Low rate application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF)
Slide 10
Co a před čím chrání?
Protection Purpose Data-At-Rest Protections (Confidentiality) Data-At-Endpoint (Confidentiality) Data-In-Transit (Confidentiality) Network Infrastructure Protection (Integrity) Application Infrastructure Protection (Integrity) Volumetric Attacks (Availability) Non-Volumetric Resource Attacks (Availability)
Firewall
IPS
WAF
Router ACLs
Anti-DoS Next Gen Appliance FW (CPE)
DLP
Cloud Anti-DoS
Anatomie útoku
APT – Advanced Persistent Threat
Hacktivism – příklady
• Duration: 20 Days • More than 7 attack vectors • “Inner cycle” involvement • Attack target: Vatican
Komplexnost útoků
• Duration: 3 Days • 5 attack vectors • Only “inner cycle” involvement • Attack target: HKEX • Duration: 3 Days • 4 attack vectors • Attack target: Visa, MasterCard
• Duration: 6 Days • 5 attack vectors • “Inner cycle” involvement • Attack target: Israeli sites
Slide 14
Časový průběh
7. Březen – I. den
Začátek útoku
~13:30
Day 1 Wed March 7th
20:17
Customer website was taken down by anonymous. Later, Radware Italy is invoked, ERT receive heads-up. DefensePro is deployed, ERT start building configuration.
DefensePro na místě (ODS2)
ERT tým
Slide 16
8. Březen – II. den
Day2
12:45
ERT Continued refining configuration moving the device to an aggressive configuration.
14:00
Attacks begin and mitigated by the DefensePro. ERT monitors and conduct minor fine tuning.
24:00
Attacks ended.
Thurs March 8th
Útok blokován (DefensePro a ERT)
Slide 17
9. Březen – III. den
Směrovač nedokázal obsluhovat množśtví provozu
Day3 Mon March 12th
Vyřešeno ERT
14:00 14:45 15:45 17:00
Attack started ERT was initiated due to outage. ERT concluded the Juniper router (not protected by DefensePro) was the cause. ERT provided blacklist to be used by the router’s ACL. Customer employed blacklist and Juniper improved router’s configuration. This resolved the issue, and the site was up. Attacks continued but mitigated, and there was no need for further ERT support.
Služba funguje
Slide 18
Útok pokračoval déle než týden… Automaticky blokován Bez zásahu ERT
Slide 19
19. březen
Morning Site is down UDP Attack peaking to 2M PPS ODS2 is limit to ~1M PPS
Mon March 19th
Evening
ODS3 is replacing ODS2 Attack is well mitigated .
Slide 20
Útok pokračoval … Automaticky blokován Bez zásahu ERT …
Konec
Slide 21
Vektory útoku
Vektor I.: TCP Garbage Flood
Attack Vector
PSH+ACK Garbage Flood port 80
Description
TCP PSH+ACK packets that contain garbage data No initiation of proper TCP handshake
Mitigation
• Out-of-state • Signature (SUS – for all customers)
Garbage Data
Slide 23
Vektor II.: SYN Flood
Attack Vector
SYN Flood
Description
• Port 80 • 460 attackers
Mitigation
• BDOS • SYN Protection (not activated, threshold were too high)
BDOS Footprint
Slide 24
Vektor III.: IP fragment flood to port 80
Attack Vector
IP fragment
Description
• • • •
Mitigation
BDOS
TCP Protocol port 80 Frag offset = 512 TTL = 244 Same SRC IP (unusual for this attack)
BDOS Mitigation in Action
Slide 25
Vector IV. : UPD Flood to Random Port
Attack Vector
Attack Vector V: UPD Flood to Random Port
Description
• UDP flood • Packet contained Garbage data
Mitigation
BDOS
BDOS Mitigation in Action
Slide 26
Evropská vládní instituce, Červenec 2012
• • • •
Útočník posílal 3.4Mbps složený z 36 B DNS dotazů na 8 DNS serverů Doména s 43 registrovanými DNS záznamy. Odpověd 3991 B, 154 Mbps Navíc odpověd s fragmentovanými pakety Ochrana -DNS odpovědi blokovány pomocí BDoS modulu, fragmentované UDP pakety pomocí DoS-Shield modulu
Slide 28
AMS = Attack Mitigation System
Radware Attack Mitigation System (AMS)
Slide 30
AMS – integrované bezpečnostní řešení DoS Protection • Ochrana před všemi typy DoS/DDoS nastrojů
Reputation Engine • Finanční podovody • Ochrana před phishingem
IPS • Ochrana před známymi útoky
WAF • Aplikační firewall
NBA • Zneužítí aplikací • Ochrana před neznámými útoky (zerominute)
Slide 31
OnDemand Switch: výkonný hardware DoS Mitigation Engine • ASIC • Proti DoS/DDoS utokům • 12 M PPS
IPS & Reputation Engine • ASIC - String Match & RegEx Engine • Deep packet inspection
NBA & WAF
OnDemand Switch Kapacita až 14Gbps
Slide 32
Rozdíl: výkon pod útokem
12 Million PPS
Bez vlivu na ostatní provoz
Útok blokován na úkor bežného provozu
Attack Traffic
Multi-Gbps Capacity Legitimate Traffic
DefensePro
Attack Attack Multi-Gbps Capacity Attack Legitimate Traffic Traffic + Attack
Other Network Security Solutions Slide 33
Mitigation Performance (DME)
Flood Packet Rate (Millions)
12 10 8 6 4 2 0 0
5 10 Legitimate HTTP Traffic (Gbit/s)
15
Slide 34
Radware Security Event Management (SEM) • Correlated reports • Trend analysis • Compliance management • RT monitoring • Advanced alerts • Forensics
3rd SIEM
Slide 35
AMS = synergie
Útok proti webu ze zdroje A
• Advanced configuration • Role-based access control
Black list - A
Scanning aplikací detekován ze zdroje A
Slide 36
Síťové DoS útoky
NBA a RT Signature Technologie Mitigation optimization process Initial Filter
Public Network
Closed feedback
Inbound Traffic Start Traffic characteristics mitigation
Real-Time Signature
0
Initial filter is generated: Filter Optimization: Filter Filter Optimization: Packet IDOptimization:
Packet ID AND Source IPIP Packet PacketID IDAND ANDSource Source IP AND Packet size AND Packet size AND TTL
5
Blocking Rules Filtered Traffic
Outbound Traffic
Protected Network
Up to 10
Final Filter
3
Learning
10+X Time [sec]
Degree of Attack = High Low
1
2
Statistics
Detection Engine Degree Degreeof ofAttack Attack == Low High (Positive Feedback) (Negative Feedback)
Signature parameters Narrowest filtersIP • Source/Destination • Source/Destination Port • Packet ID • Packet size • Source • TTL (TimeIP ToAddress Live) • Packet size • DNS Query • TTL (Time To Live) • Packet ID • TCP sequence number • More … (up to 20)
RT Signatures
4
Slide 39
NBA - Fuzzy logika
Flash crowd Z-axis
Attack Degree axis
Attack area
Decision Engine
X-axis
Suspicious area
Normal adapted area
Normal TCP flags ratio
Attack Degree = 5 (Normal- Suspect)
Y-axis
Abnormal rate of Syn packets
Slide4040 Slide
Behaviorální analýza & generováni signatur DoS & DDoS
Inputs Public Network
- Network - Servers - Clients
Inbound Traffic
Application level threats Zero-Minute malware propagation
Behavioral Analysis
Real-Time Signature Inspection Module
Outbound Traffic Enterprise Network
Closed Feedback
Real-Time Signature Generation
Abnormal Activity Detection
Optimize Signature Remove when attack is over Slide 44
Challenge/Response Botnet is identified (suspicious sources are marked)
Attack Detection
Real-Time “Light” “Strong” Signature Created Challenge Actions Challenge Action
Selective Rate-limit
?
?
X
X
TCP Challenge 302 Redirect Challenge Java Script Challenge RT Signature blocking
Behavioral Real-time Signature Technology
Challenge/Response Technology
Real-time Signature Blocking
Uzavřená smyčka Slide 48
AMS - co nabízí
Detekce útoku
Real-time signatura
Challenge
Druhý challenge
Blokování
• Kombinace více bezpečnostních technologií – Ochrana před síťovými a aplikačními útoky – Ochrana před známými i neznámými (zero-day) útoky
• QoE – Prakticky nulové „false-positive „ – Granulární konfigurace, kombinace více metod blokování, real-time monitroing i dloudobý reporting
• TCO – Automatické generování signatur, bez nutnosti zásahu administrátora
Slide 49
Behavorální analýza DNS provozu DNS dotazy – jejich rozložení
Četnost dotazů DNS QPS
MX records
A records base line A records
MX records base line
TEXT records
PTR records…
PTR records Other records
AAAA records…
AAAA records
Time
DoA per typ dotazu
Fuzzy Logic Inference System
Normal
Attack Suspect
Slide 52
SSL
Ochrana před útoky v šifrovaném provozu Application “cookie” engines
Traffic Anomalies Floods
Network-Based DoS Attacks
Application-Based DoS Attacks (Clear and SSL)
L7 ASIC Regex engine
“Directed” Application DoS Attacks (Clear and SSL)
Clear
Clear
“Authenticated” clients
Behavioral DoS & TCP cookie engines
Client-side termination point
Encrypted
Packet anomalies, Black & white lists
Encrypted
Clear
Encrypted
Alteon’s SSL Acceleration Engine
Slide 54
Další metody ochrany
IP reputation Signatury
Black-white list, ACL Řízení pásma (QoS) Server cracking
Slide 56
WAF
Automatická tvroba pravidel
App Mapping
Threat Analysis
Reservations.com Risk analysis per “ application-path”
/config/ /admin/
SQL Injection
/register/
CCN breach
Spoof identity, steal user information, data tampering
Information leakage
/hotels/ Gain root access control
/info/
Directory Traversal
/reserve/
Buffer Overflow
Unexpected application behavior, system crash, full system compromise
Slide 58
Doporučení ochrany
App Mapping
Threat Analysis
Policy Generation
Reservations.com /config/ /admin/ /register/
Prevent access to sensitive app sections
SQL Injection
CCN breach ***********9459
/hotels/
/info/
Directory Traversal
/reserve/
Buffer Overflow
Mask CCN, SSN, etc. in responses. Traffic normalization & HTTP RFC validation
P
Parameters inspection
Slide 59
Counter Attacks
Mobile LOIC Attack traffic is dropped and connection is reset
Slide 61
Mobile LOIC Attack traffic is dropped and source is suspended
Slide 62
SOC a ERT služby
Radware AMS & ERT/SOC
• Security Operations Center (SOC) – Pravidelné update signatur každý týden a kritické updaty okamžitě – 24 x 7, znalost sdílená celosvětově
• Emergency Response Team (ERT) – 24x7 služba pro zákazníky pod útokem – Eliminace DoS/DDoS útotů, předejití škodám
Slide 64
Reporty - PCI, HIPAA, ... Compliance Reports PCI DSS FISMA GLBA HIPPA
Slide 65
Patenty a certifikace Vlastní patenty v oblasti ochrany
Nově (!): EAL 4+ Slide 66
Radware řešení DefensePro Výkonný hardware AppWall Web Application Firewall (WAF)
APSolute Vision Management, monitoring a reporting
Slide 67
Reference
Příklady: E-Commerce:
2xMoinsCher.com
Online prodej: G-Market Vládní organizace: Turecká vláda ISP: M-Soft (Jihlava)
1000+ instalací – operátoři, ISP, finanční sektor, podniková sféra, vládní organizace
Slide 68
Závěr
Shrnutí • Více vektorů útoků – Uživatele nasazují více řešení – Útočníci využivají „mezer“ mezi neintegrovanými produkty
• Attack Mitigation System (AMS): – Ochrana před APT (Advanced Persistent Threat = dlouhodobé „kampaně“) – Integrované řešení / korelace mezi jednotlivými metodami
• Řešení pro – Online aplikace – Datová centra, hosting, cloud – Poskytovale internetu
Slide 70
Thank You www.radware.com
Dotazy?
[email protected]
www.radware.com
Slide 72