DDoS után SSL: a támadók a titkosított forgalomban rejtőznek · [email protected] - CISM, FireEye Systems Engineer . Title: 4-Antidotum-2016R2-BV-Fireeye.pptx Created Date:

1Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL

DDoS után SSL: a támadók a titkosított forgalomban rejtőznekBalogh Viktor, TMSI Kft

2Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL

Nincs megpihenés, nincsen leállásÚjabbnál újabb IT biztonsági kihívásoknak kell megfelelni

2016 az elosztott túlterheléses támadások (DDoS) éve volt!?http://www.cert-hungary.hu/node/297

Miközben a DDoS ellen még fel sem készültek a magyar vállalkozások, máris …

… újabb probléma kerül rivaldafénybe: a titkosított hálózati forgalomban (SSL/TLS) rejtőzködő rosszindulatú kódok (malware) térhódítása.

A Gartner Group fontos jelentéseSecurity Leaders Must AddressThreats from Rising SSL Traffic


Az SSL dilemmaA titkosítás védi a magánszférát ... de a kiberbűnözőket is!

Az alkalmazások serkentik a növekedést

Az Internet forgalom egyre nagyobb része titkosított

Az SSL-t használó malwarek száma nő

A titkosítással a feltárás kijátszható

Sources: Sandvine, SSL Blacklist

29% 65%Az Internetes forgalom

29%-a titkosított jelenleg2017-ben az Internetes

forgalom 65% lesz titkosítva

2000+29

97 70 22 19 37 11 32 25

533 534

265 271204

Sep 2014

Oct 2014

Nov 2014

Dec 2014

Jan 2015

Feb 2015

Mar 2015

Apr 2015

May 2015

Jun 2015

Jul 2015

Aug 2015

Sep 2015

Malicious SSL Certificates Reported

olyan ismert malware-család

van, amely az SSLtitkosítást használja

rosszindulatú célra igényelt SSL

tanúsítványt adtak ki egyetlen 1 év alatt


A callback túlnyomó többsége titkosított

Befelé az exploit és a malware,kifelé pedig a C&C hívások titkosítattak

Az SSL malware úgy van kialakítva, hogy megkerülje a ‘Man-in-the-Middle’

megszakításokat

A hálózati védelmi eszközök részben tudják a titkosított forgalmat vizsgálni

Az SSL forgalomba rejtőznekmegkerülő technika a szervezetekbe való beszivárgáshoz és rejtőzéshez

IPSTűzfal

DLP MVX

https://

Mindeközben meg kell felelni a törvényes

előírásoknak

ExploitsMalware

Callbacks

DyreShylockKINS

DridexGootkit24+ others

Az SSL callback malware családok


Van válasz erre a kihívásraA FireEye SSL Interceptor

A FireEye a világ vezető vállalata az újgenerációs malware elleni védelem terén.Van válasza APT, ATA, next-generation threats, blended threats fenyegetésekre.

Az MVX technológiával valós időben tudja kielemezni az ismeretlen támadásokat. Ehhez nincsen szüksége vírus-mintákra, azaz mintaalapú védelemre.

67 országban 2.700 ügyfélA Fortune 500 cégből pedig 157 élvezi az egyedi megoldás előnyeit


FireEye SSL InterceptAz SSL forgalom kiválasztott részébe való ideiglenes betekintés

FireEye SSL Intercept

Trusted Site ID

FireEye NX Series

241

3

Az SSL forgalom megszakításaés ideiglenes visszafejtése (bejövő és kimenő „C&C” forgalom esetén is)A Fireeye NX rendszerébe való továbbítása malware(ismert és ismeretlen) detektálás céljábólA vizsgálat után a forgalom újra-titkosítása és továbbítása az eredeti célhoz

Bizonyos forgalom vizsgálat alóli kizárása kategória v.egyedi URL alapján


A FireEye SSL Intercept 10150 céleszközA céleszköz fontosabb képességei

8x 10GE SFP/SFP+ ports

5.5 Gbps (all SSL) – 20 Gbps (all HTTP)

SSL 3.0, TLS 1.0, 1.1 and 1.2

§ 1G/10G Base SX/SR SFP+ § 1G/10G Base LX/LR SFP+ § 10G Base Cu SFP+ § 1G Base T SFP

RSA, DHE-RSA, ECDHE-RSA, ECDHE-ECDSA with Perfect Forward Secrecy (PFS) support

512, 1024, 2048, 4096 -bit keys

1RU

400K concurrent SSL sessions, 15K SSL handshakes per second

Minden elterjedtSSL/TLS protokollba(http, smtp, stb..) való betekintés képessége

Akár 20 Gbpsteljesítmény

Nyolc db. 10 GE portig skálázható


A FireEye NX sorozat és az SSL Intercept rendszerbeillesztéseSSL megszakítás és terhelés-elosztás a nagyobb teljesítmény céljából

FireEye NX Series

FireEye SSL Intercept

FireEye NX Series

FireEye NX Series

load balancing

10 Gig NX 10150 megoldásSSL Intercept rendszerbeillesztés

Tap, inline mód AFO használatával

Úgy a bejövő, mint a kimenőforgalmat tudja vizsgálni

Akár 3 NX eszköz forgalmának terheléselosztását el tudja végezni

Minden NX 4400 → NX 10450


A törvényi megfelelőségA megbízható címek és domainek kivétele a vizsgálatból

FireEye SSL Intercept 10150

Trusted Site ID460+ millió domain

kategorizálása

A kivételek hozzáadása manuálisan

2,500 URL/sec osztályozása egy fejlett tanuló motor által

83+ web kategória

Éves előfizetési licencFeleljenek meg a compliancekövetelményeknek azáltal, hogy az érzékeny adatokat titkosítottan kezelik


A FireEye SSL Intercept céleszköz által nyújtott előnyökFojtsuk el az adatszivárgást még csírájában

KISEBB KOCKÁZAT ERŐSEBB VÉDELEM A BEFEKTETÉS MAXIMALIZÁLÁSA

A betörés költségei Nagyobb forgalom vizsgálataProaktív védelem

§ Az incidens utólagos eltakarításának költségei

§ Ügyfél- és üzletvesztés§ A presztízs vesztés

(reputáció)

§ A támadás megállítása még a fertőzés megtörténte előtt

§ Állítsuk meg a támadást idejében és tárjuk fel a megfertőzött felhasználót

§ A FireEye NX-be való befek-tetés nagyobb megtérülése

§ Készítsük fel az infrastruktúránkat az SSL forgalom növekedésre

§ Az üzlet növekedésével párhuzamos skálázhatóság


Összegzés

A támadók az SSL forgalomba rejtőznek

FireEye SSL Intercept 10150

Skálázható megoldás a határvédelemben

§ Az alkalmazások SSL-t használnak

§ Az SSL malware-k száma nő§ A hálózati biztonsági megol-

dások képtelenek elvégezni

§ 20 Gbps, 8 port§ URL-ek kategorizálása§ Minden használatos

SSL/TLS protokoll kezelése

§ Közepes és nagy vállalatokhoz§ Akár 3 NX eszköz terhelés-

elosztása§ 10 Gbps-ig skálázható

NEM VÉDEKEZHETÜNK A LÁTHATALAN ELLEN

A FIREEYE SSL MEGOLDÁS Az NX SOROZAT SSL INTERCEPT ESZKÖZZEL

12Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL Copyright © 2014, FireEye, Inc. All rights reserved. CONFIDENTIAL

KÖSZÖNÖM A FIGYELMET!Balogh ViktorA TMSI Kft a FireEye Gold [email protected] - CISM, FireEye Systems Engineerwww.tmsi.hu

Documents

DDoS után SSL: a támadók a titkosított forgalomban rejtőznek · [email protected] - CISM, FireEye Systems Engineer . Title: 4-Antidotum-2016R2-BV-Fireeye.pptx Created Date: