Nyomokban malware-t tartalmazhat!

Nyomokban malware-t tartalmazhat! Tartalomszűrés e-mailben-, webes forgalomban és más technikák

Segyik István, [email protected] Rendszermérnök – Cisco Global Virtual Engineering

2014. Október 14.

Újra itt!

© 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

2

Tartalom § 

Bevezetés

§ 

Internet biztonsági kérdések általában

§ 

Kis technológia: SPF, DKIM, DMARC

§ 

Cisco E-mail Security Appliance (ESA)

§ 

Cisco Web Security Appliance (WSA)

§ 

Egyéb Cisco Web Security megoldások


Cisco Public

3

Internetes tartalomhoz köthető fenyegetések § 

Hasznos web-es tartalomba ágyazott malware

§ 

E-mail-ben küldött malware

§ 

SPAM: kéretlen e-mail amely lehet szimplán zavaró, de Denial of Service támadás is

§ 

SCAM: olyan e-mail ahol a küldő személyisége hamisított. Gyakran használt phishing-re, malware terjesztésre, stb.

§ 

Hamisított web site-ok, amelyek többnyire adatlopásra használtak

§ 

Phishing SCAM e-mailek, amelyek hamisított vagy kompromittált web oldalakra irányítják a címzettet

§ 

Kontraproduktív webböngészés munkaidőben


Cisco Public

4

SCAM példa – az e-mail


Cisco Public

5

SCAM példa – az állítólagos feladó


Cisco Public

6

SCAM példa – a látszólagos nagy probléma...


Cisco Public

7

SCAM példa – az igazi probléma...


Cisco Public

8

Még egy kis phising § 

Hamisított jelentősebb brand-ek 2013-ban: átlagosan 400 minden hónapban.

§ 

Iparág szerint: § 

Gyártás: 8%

§ 

Egyéb ipar: 8% Tervező és fejlesztő cégek: 8% Energia szektor: 19% Banki szektor 27%

§  §  § 

§ 

Az okozott kár 2012-ben (becsült): 1,5 milliárd USD.


Cisco Public

9

SPF, DKIM, DMARC


Cisco Public

10

DKIM, SPF and DMARC § 

Céljuk a feladó hamisításának megakadályozása.

§ 

A fogadó szerver számára ellenőrizhetővé válik, hogy ténylegesen a feladó domain-jének SMTP relay szervere küldte a mail-t.

DNS Server

ü 

SIGNED

Your Company

SIGNED

Trusted_Partner.com

Verified

Fogadó szerver

Imposter Drop/Quarantine © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Trusted_Partner.com

Cisco Public

11

Sender Policy Framework - SPF § 

RFC7208

§ 

Lehetővé teszi a fogadó szerver számára, hogy ellenőrizze a küldő szerver jogosultságát adott domain-ból származó feladótól történő e-mail küldésre.

§ 

DNS TXT rekordot használ a jogosult SMTP szerverek felsorolására.

§ 

HELO és MAIL FROM azonosítókat ellenőrizhet.

§ 

A küldő utasíthatja a feladót a szabály alkalmazásának módjára.

§ 

Példa:

"v=spf1 ip4:173.37.147.224/27 ip4:173.37.142.64/26 ip4:173.38.212.128/27 ip4:173.38.203.0/24 ip4:64.100.0.0/14 ip4:72.163.7.160/27 ip4:72.163.197.0/24 ip4:144.254.0.0/16 ip4:66.187.208.0/20 ip4:173.37.86.0/24 ip4:64.104.206.0/24 ip4:64.104.15.96/27 ip4:64.102.19.192/26 ip4:144.254.15.96/27 ip4:173.36.137.128/26 ip4:173.36.130.0/24 mx:res.cisco.com mx:sco.cisco.com ~all"


Cisco Public

12

SPF találós kérdés § 

Mire jó ez?

sub-domain.domain.com. IN TXT "v=spf1 -all"


Cisco Public

13

SPF hiányosságok § 

„Intra domain” hamisítás ellen nem véd.

§ 

Nem vizsgál belső fejlécet.

§ 

Nem végez integritás ellenőrzést.


Cisco Public

14

Domain Key Identified e-Mail (DKIM) § 

RFC5585, RFC6376, RFC5863, RFC5617 (ADSP)

§ 

Aszimmetrikus kulcsokat használva a küldő SMTP szerver integritás ellenőrzés (SHA1/SHA256 hash-elés) után digitálisan aláírja az e-mailt.

§ 

A publikus kulcsot a domain DNS zónájában tárolja.

§ 

DNS rekord példa: c3po._domainkey.altn.com text = "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCjVRK3kPX17DWAX uYa/66/qgzu/R/7325HXqhG8poaQMn3jzpagh9GDAOCDzxbtNBQKKNoJmkkCzr41Xb4h3U5reinBbQ8G rfYnP3n6S2kz2LWWwpSsAVdgtOTcuXqt+pWEsda7C0z5V2axgG76ygYh8b504Gv+YhAxURQXNbZQwIDA QAB"


Cisco Public

15

DKIM problémák § 

Feldolgozás igényes. Lehet optimalizálni a biztonság rovására: §  § 

„Simple” fejléc és tartalom egyszerűsítés; SHA1 használata SHA-256 helyett.

§ 

Az alá nem írt mail-ek esetén az ellenőrzés nem szükséges.

§ 

Fenti problémára az „Author Domain Signing Practices” (ADSP) eljárás megoldás lett volna, de végül nem terjedt el, mert: §  § 

Csak DKIM-et kezel, SPF-fel nem foglalkozott; Nem biztosított visszajelzési csatornát a legális küldő félnek.

_adsp._domainkey.example.com


IN

TXT

"dkim=unknown|all|discardable"

Cisco Public

16

Domain-based Message Authentication, Reporting & Conformance § 

A DMARC protokol: §  §  §  § 

Egységesíti az SPF és DKIM eljárások vizsgálatát fogadó oldalon. A küldő jelzi a fogadónak, hogy mit tegyen SPF és/vagy DKIM hiba esetén. Hiba esetén lehetséges eljárásokat definiál: none|reject|quarantine . Visszajelzési csatornákat biztosít: egyedi hiba jelentés, aggregált jelentés küldése.

§ 

A DMARC szabályt és a visszajelzési címeket egy DNS rekord írja le.

§ 

On-line DMARC kereső és értelmező eszköz: https://dmarcian.com/dmarc-inspector/

§ 

DNS rekord példa: v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]


Cisco Public

17

DMARC működés DNS Server

DMARC p=reject

SIGNED

Trusted_Partner.com

ü 

SIGNED

Verified

Report

Cisco ESA

Imposter Drop/Quarantine


Trusted_Partner.com

Cisco Public

18

Cisco E-mail Security Appliance


Cisco Public

19

Cisco Ironport E-mail Security Appliance (ESA) áttekintés www.cisco.com/go/esa § 

Virtuális (VMware és Cisco UCS szerver felett) és hardware appliance.

§ 

Funkciók:

§ 

§ 

E-mail forgalom normalizáció;

§ 

SPF, DKIM, DMARC ellenőrzés;

§ 

Sender reputation filtering;

§  § 

Anti-SPAM; Anti-malware motorok (Sophos, McAfee, FireAMP);

§ 

Integrált RSA DLP engine;

§ 

Outbreak Filter automatikusan érvényesített Cisco Talos szabályokkal;

§  § 

Valós idejű URL analízis reputációs szűréssel; Helyi vagy off-box (Management Appliance) e-mail karantén;

§ 

E-mail titkosítás (Cisco secure envelope services).

Menedzselhető az integrált GUI-n vagy Content Security Management Appliance-en keresztül.


Cisco Public

20

Beérkező e-mailek vizsgálata (egyszerűsítve) Normalization, SFP/DKIM/ DMARC, recipient identity checks

Drop/Quarantine

SenderBase Reputation Filtering

Cisco® Talos

Drop

Anti-Spam

Drop/Quarantine

Anti-Virus

Drop/Quarantine

Advanced Malware Protection

AMP

Drop/Quarantine Quarantine/Re-write

Outbreak Filters Real-time URL Analysis

Deliver © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Quarantine

cws

Re-write URLs

Drop Cisco Public

21

Cisco Talos Security Intelligence & Research Group 24x7x365

More than US$100 million

operations

spent on dynamic research and development

40+

600+

engineers, technicians, and researchers

80+

languages

PH.D., CCIE, CISSP, AND MSCE users

Cisco Talos WWW

Devices

Networks

Endpoints

Visibility 1.6 million

35%

global sensors

worldwide email traffic

100 TB

13 billion

of data received per day

web requests

Updates

IPS

Cisco CWS

Web

Information

Email

Cisco AnyConnect® WWW

Cisco ESA Cisco ASA Cisco WSA

Control 3- to 5-

minute updates

5,500+

IPS signatures produced

150 million+

8 million+

deployed endpoints

rules per day


Cisco IPS

200+

parameters tracked

70+

publications produced

Cisco Public

22

Cisco Senderbase reputation filtering § 

Big-big data: §  §  §  § 

Több, mint 1.6 millió szenzor; A világ teljes E-mail forgalmának 35 százalékát elemzi a rendszer; Több, mint 13 milliárd Web-es kérés vizsgálata; Több mint 200 web és e-mail paraméter elemzése.

§ 

Az eredmény egy -10 és +10 közötti reputációs érték SMTP szerverekre és web site-okra.

§ 

Bejövő üzenetekre alkalmazott funkció.

§ 

Az eredmény manuálisan nem írható felül. A magasabb reputációs szintnek technikailag meg kell felelnie az üzemeltetőkek.

§ 

Publikus felület: www.senderbase.org


Cisco Public

23

Anti-SPAM § 

Kétféle SPAM motor. Egyidőben alkalmazhatóak, de egy szabályban csak egy motor használható.

§ 

Kimenő és beérkező üzenetekre egyaránt alkalmazható.

§ 

Lokális- vagy külső (Content Security Management Appliance) karantén lehetőségek.

§ 

Kb. 99% „catch rate”, 1:1 millió „false positive” arány. A lehetséges eredmény kategóriák: §  §  §  § 

§ 

Not SPAM, Unwanted marketing e-mail from a legitimate source, Suspected SPAM, Positively identified SPAM.

A rendszer biztosít visszajelzési lehetőséget a Cisco számára téves osztályozás esetén.


Cisco Public

24

Antivírus vizsgálat § 

Kétféle „klasszikus” A/V motor: Sophos és McAfee.

§ 

Egy- vagy akár mindkettő alkalmazható egyidőben, egyazon üzenetre.

§ 

Mindkét motor képes klasszikus bit minta elemzésre, heurisztikus analízisre, emulációra, tömörített csatolmányok kitömörítésére, stb..

§ 

A fertőzött üzenetek „fertőtleníthetőek”, eldobhatóak vagy karanténba helyezhetőek.

§ 

A nem vizsgálható csatolmánnyal ellátott üzenetek karanténba helyezhetőek vagy tag-gelhetőek.

§ 



Cisco Public

25

FireAMP ESA-n

§ 

„File Reputation Filtering and File Analysis” néven található az ESA-ban.

§ 

Csak bejövő üzenetekre alkalmazott.

§ 

Folyamatos elérést igényel a Sourcefire cloud felé.

§ 

Egyelőre automatikus, de külső Sandbox-ot használ. Az integrált Sandbox tervben van.

§ 

Teljeskörű jelentéskészítés.

§ 

Utólagos malware minősítés esetén „File tracking” jelentés részletes felhasználói információkkal.


Cisco Public

26

FireAMP ESA-n To Content Filters

AMP Cloud

File Reputation Query

Local Cache

Sha256 checksum +SPERO fingerprint for WinPE files Verdict

File Reputation update

Mail Flow Pipeline

AMP Client

Unknown File Upload for Sandboxing

VRT Sandboxing

From Anti-Virus


Cisco Public

27

Jelenlegi (átmeneti) AMP limitációk ESA-n § 

A vizsgált fájlok mérete: 15 Kb – 2 Mb.

§ 

Bizonyos fájlokat - mint például tömörített állományok - nem vizsgál.

§ 

Csak beérkező üzenetkre alkalmazott.


Cisco Public

28

Outbreak Filter § 

Cisco Talos szolgáltatás technikai beavatkozási pontja.

§ 


§ 

Vírus, Malware, Phishing SCAM védelem.

§ 

Beavatkozási módok: §  §  § 

Egyértelműen káros üzenetek karanténba helyezése vagy eldobása. Gyanús üzenetek visszatartása addig, amíg a működő anti-vírus motor egyértelműen tisztának nem ítéli a csatolmányt. Az üzenet módosítása: URL tag-gelése, törlése vagy felülírása (szöveges üzenetre vagy Cisco Cloud Web Security (CWS) proxy-ra átirányítás).

§ 

Minimális konfigurációs lehetőség (egyedi szabályok nem írhatóak).

§ 

Alapbeállításban 5 perces frissítés.


Cisco Public

29

Valósidejű URL analízis § 

A levelekben elhelyezett URL-lek valósidejű ellenőrzése.

§ 

Kimenő és beérkező üzeneteket egyaránt vizsgál.

§ 

Vizsgálható az URL kategória és a cél portál reputációs szintje.

§ 

Az alap beavatkozási módokon (karantén, eldobás, stb.) túl, lehetséges: §  §  § 

§ 

az URL tag-gelése (nem értelmezett automatikus hivatkozásként); az URL cseréje, akár Cisco Cloud Web Security (CWS) proxy-ra is irányítható; az URL egyszerű szöveges üzenetre történő cseréje.

Sok phishing üzenet új, egyelőre neutrális (0) reputációjú web site-ra mutat! A funkció nem mentesít megfelelő web böngészést biztosító eszközök használatától.


Cisco Public

30

Valósidejű URL analízis Rewrite

Email Contains URL

Send to Cloud

Cisco Talos

Defang

BLOCKEDwww.playboy.comBLOCKED BLOCKEDwww.proxy.orgBLOCKED

Replace

“This URL is blocked by policy”

URL Categorization © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

31

Kimenő e-mailek vizsgálata § 

A már említett kétirányú funkciók a kimenő e-mail-ekre is érvényesek: §  §  §  §  § 

§ 

Normalizáció; Anti-SPAM; Anti-vírus; Outbreak filter; URL analízis.

A fentieken túl lehetőség van: §  §  § 

RSA DLP motor alkalmazására; E-mail titkosításra Cisco Registered Envelope Service (CRES) segítségével; DKIM/SPF aláírásra/ellenőrzésre.


Cisco Public

32

Cisco Registered Envelope Service (CRES) titkosítás

Cisco Email Security Appliance

Message Key Sender Controls

Recipient

•  Automatikus kulcs menedzsment lokális szerveren vagy cloud-ban. •  Az e-mail tartalmat NEM kezeli cloud-ban, ESA kerül titkosításra. •  Szabályrendszer alapú vezérlés, küldő kliens oldalán teljesen transzparens lehet. •  Alternatíva lehet: TLS-sel titkosított SMTP (szerverek között). Támogatott ESA-n. •  Alternatíva lehet: S/MIME ESA-n (tervezett támogatás egy éven belül). •  GYIK: https://res.cisco.com/websafe/help?topic=FAQ © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Cisco Public

33

ESA egyéb § 

Többféle hardver és virtuális appliance platform vásárolható.

§ 

Az egyes funkciók a felhasználók számával arányosan licenszelhatőek a platformtól függetlenül.

§ 

A méretezés viszonylag összetett, bízza ránk! Amit tudnunk kell: §  § 

E-mail mennyiség csúcsidőben (másodpercenként, percenként, óránként – ahogy éppen mérhető). Az alkalmazni kívánt funkciók.

§ 

A rendszer szolgáltatásai tisztán cloud vagy hibrid formában is igénybe vehetőek.

§ 

Több információ: www.cisco.com/go/esa


Cisco Public

34

Cisco Web Security Appliance


Cisco Public

35

Cisco Web Security Appliance (WSA) § 

Virtuális (VMware felett) és hardware appliance formátumok.

§ 

Funkciók: § 

HTTP(S), FTP(S) proxy cache és TCP optimalizációs funkciókkal;

§  § 

TLS visszafejtés és újra titkosítás (MITM típusú); Dinamikus URL és reputációs szűrés;

§ 

Általános tartalom szűrés (fájl típusok);

§ 

Egyszerű integrált DLP motor és interfész (ICAP) külső DLP rendszerek felé; Fejlett Alkalmazás Kontroll.

§  §  § 

§ 

Anti-malware motorok (Sophos, McAfee, Webroot – egyszerre maximum kettő és FireAMP); Botnet Activity Filtering (L4TM) külön promiscuous vagy in-line interfészen teljes UDP és TCP port tartomány vizsgálatával.

Menedzselhető az integrált GUI-n vagy centralizált Content Security Management Appliance-en keresztül.


Cisco Public

36

Web Security Appliance (WSA) újdonságok § 

FireAMP anti-malware szűrés (elérhető): §  §  §  § 

§ 

Cisco Identity Services Engine (ISE) pxGrid API integráció (hamarosan): §  §  §  § 

§ 

File letöltés blokkolása; Kiterjedt jelentés készítés; Retrospektív analízis funkciók; Kb. 6-16% extra terhelés.

Addícionális passzív- transzparens felhasználó azonosítási metódus. Egyelőre a felhasználó nevét rendeli IP címhez és lekérdezi a számára kijelölt Security Group Tag-et (SGT). Az SGT-t használhatjuk feltételként a szabályrendszerben. Jelenleg nincs mód ISE-n keresztüli beavatkozásra (ISE oldali API lehetővé teszi), de fejlesztés alatt áll.

Idő és adatmennyiség kvóták, VRRP és LDAPS (hamarosan).


Cisco Public

37

Cisco integrált web security megoldások


Cisco Public

38

Cisco integrált web security megoldások (méltatlanul rövidre fogva)

§ 

Stateful Inspection Tűzfal-ba integrált megoldások. A stateful inspection tűzfal még mindig „alapelem”.

§ 

Több megoldás létezik: §  §  §  § 

§ 

Meraki MX (cloud managed); Cisco ASA + NGFW (CX) szoftver vagy hardver modul; Cisco ASA + Sourcefire FirePower; SourceFire NGFW konfiguráció (Protect, Control és FireSight licencekkel).

Átfedő funkcionalitás, eltérő skálázhatóság és komplexitás.


Cisco Public

39

Köszönöm a figyelmet!

Nyomokban malware-t tartalmazhat!

Recommend Documents