Török Szilárd NKE doktorandusz
Kibervédelem aktualizálása a nemzetközi botnet alapú támadások, adatszivárgások alapján 2014. Június 10.
• A támadások kikerülhetetlenek • Cél a behatoló idejének csökkentése
A hagyományos biztonsági eszközök Tűzfal, Vírusvédelem, IPS, vírus és tartalomszűrők: • A hálózati határvédelemre (L2-L4) koncentrálnak
• Mintaillesztés alapúak (signature based) … a korszerű támadások ellen magukban kevesek
Közelmúlt támadásai • • • • • • • • • • • • • • •
STUXNET 2010 DUQU 2011-12 sKyWIper/FLAME 2012 MiniDuke (2013.02) TeamSpy (2013.03) Red October (2012-13) APT1 (2013) Nettraveller/TravNet SafeNet (2013.05) Operation Hangover Kimsuky (2013.09) RARSTONE Janicab Ice Fog Hidden Lynx
„modern” támadás folyamata Támadási/fertőzési fázisok 1. PDF beküldése, amely átmeneti futtatható fájl generál 2. Módosítja magát és máshova helyezi el magát (már különbözik az eredetitől) 3. Csatlakozik a C&C szerverekhez és frissíti magát (akár utasításra: tényleges malware-t tölt le) Érdekesség, hogy sok áldozat nem került a 3. fázisba, várakozik utasításra (backdoorként a háttérben)
APT1
2004 óta létező különítmény Kínában 10 hónap 6.5 Terrabyte/egy szervezet HOP-ok: kb 2000 belépést vizsgáltak ki, ahol APT1 HOP infrastruktúrákba lépett be, 832 IP cím (98%) pedig közvetlenül Kínához tartozó tartozik! APT domain-k: 1) Regisztrált (107db), pl. cnndaily.net, reutersnewsonline.com, todayusa.org 2) harmadik fél/dynamic DNS 3) elrabolt domain
Kétféle üzemmód: WebC2 /Standard Backdoor: - Progr. futtat, kreál vagy módosít - Fel és letölt fájlokat - Registry-t módosít - Billentyűzetet figyel - Egér mozgást figyel - Jelszavakat bányászik - Összegyűjti a lokális információkat, pl.: - hálózati konfigurációk, - Felhasználói fiókok, - levelezések - Certificicate-k, - Kiléptet felhasználót, lekapcsolja a rendszert - SSL titkosítással kommunikál a C&C szerverrel
Listáz, elindít vagy megállít processzeket Felhasználói képernyőt lement Interaktív shell abalkot nyit Távoli dekstop elérést készít RAR fájlokba (darabolva, pl. 200MB) csomagolva küldi ki FTP-n az összegyűjtött adatokat
Jelen problémák, nehézségek • nem ismerjük a hálózaton lévő forgalmat és annak tartalmát, • hálózati események, incidensek utólagos felderítése és analizálása korlátozott és meglehetősen nehézkes (log feldolgozás), • a feldolgozott log-okból az adattartalom nem áll rendelkezésre, pl.: állományok, ártalmas kódok, • a tényleges felhasználói viselkedés nem vagy csak korlátozottan azonosítható (titkosított csatornák, log-ban csak állomány nevek) • a signature alapú védelem csak a már ismert támadást tudja feltárni, csak az olyan események azonosíthatók utólag, amelyekre felkészítettük a monitorozó eszközt • a hálózaton lévő forgalom elemzéshez sok idő és speciális szaktudás szükséges • vizuális megjelenítés a legtöbb elemző eszközből hiányzik 8
Azonosított problémák
• Új típusú támadási minták jelentek meg • A 0-day sérülékenységek könnyű kihasználhatósága miatt nagy a kitettség • Malware variánsok nagyon gyorsan keletkeznek • A mai biztonsági monitorozás és incidenskezelés nem hatékony • Nagy adatmennyiség • Hosszú ideje aktív kártékonykód, nem tudni milyen adatokhoz fért hozzá • Korai figyelmeztetés aktuális problémái
Elvárt eredmények • Hatékony megoldás a forgalmi adatok elemzésére • Az egyes rendszerekből érkező naplóadatok központi feldolgozása/kiértékelése • A behatolás gyanús események hatékonyabb kezelése • Célzott támadások felismerése, elemzése • A jelenleginél gyorsabb, kompetensebb incidens kezelés • Átláthatóbb, teljesebb körű jelentési rendszer
Hálózati forgalom elemzése - célok • A forgalom online elemzése és analizálása • Vizualizációs réteg használatával egy-egy esetleges behatolási kísérlet azonnal észlelhető. • A monitorozott forgalom lemezre írása, és kiegészítése • Forensics • Riportokat, riasztásokat illetve trendek készítése
Naplóelemzés - célok • A jelenlegi syslog-ng rendszer bővítése • A naplóadatok folyamatos feldolgozása • Az incidensekből felhasználható minták visszavezetése a feldolgozó rendszerekbe • A heterogén logelemzés és logfelhordási infrastruktúrák egy keretrendszerbe történő integrációja • A különböző szolgáltatások, alkalmazások naplóit egységes szintre hozása
Jelentési, felderítési képesség növelése, riporting • A fejlesztések hatására megnövekedett biztonsági esemény észlelése a mainál hatékonyabb jelentése kulcskérdés • Ennek megfelelően elvárás, hogy a védelmi rendszer képes legyen az egyes szakmai és vezetői szinteknek megfelelő tartalmú és formájú gyors és trend jelentések előállítására • Ehhez szükséges a naplófeldolgozást a korábbiakban bemutatott szintre fejleszteni. • Szintén szükséges megfelelő sérülékenység elemző megoldás bevezetése (belső hálózati biztonsági problémák felderítésére illetve konkrét incidensek kapcsán akár intézményi védelmi rendszer tesztelésére is)
Hálózatbiztonsági monitoring
egy megoldás kiemelt képességei • A teljes hálózati forgalmat eltárolja, bármilyen esemény utólagosan rekonstruálható, bizonyítható (analógia: videokamera) • A hatalmas hálózati adatforgalmat kezelhetővé teszi • Kiterjedt vizuális megjelenítési képességgel rendelkezik (pl. dokumentum, email, kép, hang, video) • Beszédkommunikációt képes visszajátszani (közben adatvédelmi szempontok érvényesítése) • Incidensek felderítése, kontrollok ellenőrzése kevesebb időt és szakértelmet igényel • IT szakemberek, auditorok, vállalati vezetők igényeit egyszerre képes kielégíteni
Képességek (folyt.) • A forgalmat flat adatbázisban tárolja, meta információk alapján indexeli (hatékony kereshetőség) • Egy eszközzel kiterjedt incidens felderítés végezhető • Nem támogatott alkalmazás verziók, sérülékeny rendszerek észlelése • Együttműködik a létező biztonsági rendszerekkel (SIEM, IPS, DLP) • Automatikus malware analízis • Még nem ismert támadási technikák felismerése (zero day) • Titkosított csatornák kezelése • Folyamatos auditálás biztosítása
Megoldás pozícionálása Session alapú rendszer, hálózati analízis és rekonstrukció, szabványos és nem szabványos protokollok • NEM antivírus (AV) és nem IPS rendszer, mert – nem végez mintaillesztést (signature) – nem hálózati viselkedés alapú rendszer
• NEM tűzfal (FW), mert – nem port és protokoll alapú – nem blokkolja a hálózati forgalmat
• NEM egy DLP rendszer, mert – nem blokkolja a hálózati forgalmat
NEM helyettesíti a létező biztonsági rendszereket (AV, IPS, DLP, SIEM), hanem kiegészíti azokat!
Lehetséges megoldás APPLIANCES
APPLICATIONS
APPLIANCES Decoder (SENSOR): ‣ Real-time, distributed, full packet capture, session processing, packet storage Concentrator (DATABASE): ‣ Aggregates and indexes metadata in real-time across multiple capture locations Broker (QUERY BROKER): ‣ Provides a single logical view into Concentrators distributed throughout an enterprise.
APPLICATIONS Investigator ‣ Interaktív hálózati analízis Informer ‣ Automatikus riportok, riasztások Visualize ‣ Tartalmak vizuális megjelenítése Spectrum ‣ Automatikus malware analízis Live ‣ Értesítés az új incidensekről SIEMLink ‣ IDS/SIEM konzolon keresztül hozzáférést biztosít az analízishez
Interaktív hálózati analízis » Interaktív hálózati session analízis » Tartalom alapú elemzés L2-től L7-ig » Interaktív időskála » Különböző session nézetek és részletek » Session exportálási lehetőségek különböző formátumokba » A session tartalom alapú automatikus dekódolása » Session csoportosítás kockázatok alapján » Session csoportosítás fenyegetettség alapján » A session tartalmának megjelenítése
Védekezési javaslatok • Mai védelem felépítése kormányzati szinten: – Naplóelemzés + Hálózati monitoring – Malware analízis, Scada Labor, stb. • Kormányzati Korai Figyelmeztetési Rendszer felépítése megfelelő monitorozással • Forensics támogatása • Incidenskezelés kidolgozása • KIK megoldás ki kell szolgálja - Gov-CERT elvárásokkal összhangban • IT események részletesebb naplózása, professzionális elemzése • Proaktív védelem kialakítása (pl. automatizált tesztelések) • Szervezeti szinten és a mindennapi működés során az IT biztonság fontossága hangsúlyossá válása