Cyber Security 2016 Věčný boj s neznámými útoky Petr Zemánek Senior Sales Specialist - Security
accelerate your ambition
PRACUJEME VE ZRANITELNÉM SVĚTĚ
VY MUSÍTE OCHRÁNIT VŠE… ÚTOČNÍKOVI POSTAČÍ NALÉZT POUZE JEDNU ZRANITELNOST
HACKTIVISM
GHOSTWARE ÚNIKY DAT Copyright © 2015 Check Point Software Technologies Ltd.
APT
RANSOMWARE
BOTNET your ambition SOCIÁLNÍaccelerate INŽENÝRSTVÍ
…
2
Chybovat je lidské
Zdroj : http://www.cvedetails.com
CVE - Common Vulnerabilities and Exposures accelerate your ambition
Průběh nákazy
ZRANITELNOST
Spustí útok skrz neaktualizovaný software nebo zero-day zranitelnost
EXPLOIT
Obejde kontrolu zabezpečení CPU a OS pomocí jedné z exploitačních metod
SHELLCODE
MALWARE
Copyright © 2015 Check Point Software Technologies Ltd.
Aktivuje vložený payload k získání malware
Spuštění škodlivého kódu
A potom?
C&C server Legální server
Payload pull
Nakažený uživatel
@ @ @ @ Útočník
Spam Důvěrné dokumenty
accelerate your ambition
Jak se aktivně bránit ?
Prevence
Známé
Antivirus
Neznámé IPS Sandboxing
URL filtering
Reputation Filtering
File extraction
Reakce
Vulnerability Management
Anti-Bot
IDS
Anomaly detection Retrospective security
První sandbox?
Kdy vznikl první sandbox ?
1847
accelerate your ambition
Sandbox – Základní kámen mnoha bezpečnostních cloudů Definice (Wikipedie): bezpečnostní mechanismus pro separaci spuštěných programů. Je často používán pro spuštění neznámého kódu nebo nedůvěryhodného programu z neověřených zdrojů jako jsou dodavatelé, nedůvěryhodní uživatelé a webové stránky.
Získávání informací z •
MailGW
•
WebGW
•
Cloud
•
UTM
•
Privátní Cloud
•
Koncová stanice
•
In-line
•
Přímo
•
…
Možnost nasazení
Zákon akce a reakce
Kontrola systémových registrů
Detekce virtuálního prostředí
Síťová spojení
Pozdržení útoku
Aktivita souborového systému
Kontrola systémových procesů
…
X
Identifikace živého uživatele
Nové exploitační metody
…
Jak reagují výrobci?
Umožnění editace a virtuálního prostředí (co nejblíže k zákaznickému prostředí)
Vytvoření kontrolního prostředí pro co nejvíce napadnutelných platforem, včetně těch mobilních (např. Android)
Integrace kontrolních nástrojů do koncových zařízení s možností kontroly kdekoliv
Okamžitá integrace s ostatními bezpečnostními nástroji
Sdružování se do aliancí za účelem výměny informací
např. : CTA – Cyber Threat Alliance
Retrospective Security • Souborová retrospektiva • Procesová retrospektiva • Komunikační retrospektiva
Retrospektiva
Vytvoření řetězu útoku
Behaviorální indikace kompromitace
Trajektorie
Záchyt narušení
Zpětný pohled na chování kódu v prostoru a čase od jeho prvního výskytu až do současnosti
Copyright © 2015 Cisco
Return oriented programming ROP - je exploitační technika, ve které útočník používá kontrolu zásobníku volání pro nepřímé vykonání strojových instrukcí bezprostředně před návratovou instrukcí v podprogramu v rámci stávajícího programového kódu. Vzhledem k tomu, že všechny instrukce, které jsou spouštěny jsou ze spustitelných oblastí paměti v rámci původního programu, odstraňuje toto potřebu přímého vkládání kódu a obchází většinu opatření, které se snaží zabránit provádění instrukcí z uživatelem řízené paměti. Zdroj : Wikipedie
DEP (Data Execution Prevention) – označuje všechna místa v paměti jako nespustitelná pokud neobsahují výlučně spustitelný kód ASLR (Address Space Layout Randomization) – umisťuje strojový kód programu, knihovny a data v operační paměti od náhodně zvolené adresy Zdroj: RSA Conference 2015 Exploitation Trends : From Potential Risk to Actual Risk
Jak se bránit ještě lépe?
CPU-level Sandboxing ZRANITELNOST
Spustí útok skrz neaktualizovaný software nebo zero-day zranitelnost
EXPLOIT
Obejde kontrolu zabezpečení CPU a OS pomocí jedné z exploitačních metod
SHELLCODE
MALWARE
Copyright © 2015 Check Point Software Technologies Ltd.
Aktivuje vložený payload k získání malware
Spuštění škodlivého kódu
Pomalá reakce a jak ji obejít?
Řešení : File extraction
Kontrola trvá řádově minuty
Odstranění dynamického obsahu z dokumentu a přepis do nového formátu
www
@
Pomalá reakce a jak ji obejít?
Řešení : File extraction
Kontrola trvá řádově minuty
Odstranění dynamického obsahu z dokumentu a přepis do nového formátu
Potřebuji originál. Zdroj je důvěryhodný www
@
Nespěte !
Útočníci také nespí
Cyber Security 2016 Děkuji za pozornost
[email protected]
accelerate your ambition