Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
1 © 2018 Proofpoint, Inc.
IL MONDO AL DI LÀDELLA NETWORK SECURITY: THREAT LANDSCAPE DAL DEVICE ALL’UTENTE
2 © 2018 Proofpoint, Inc.
La Cyber Security OggiUn terreno in continua evoluzione
3 © 2018 Proofpoint, Inc.
Il passato, il presente, e il futuro?
More Boxes and Network
stuffs
Firewall
IPS/IDSNAC
Email / Web security
Nel recente passato la sicurezza informaticaera orientata alla protezione di oggettispecifici in un ambito ristretto:§ Le informazioni erano locali alla rete§ La attenzione era posta sui device e i
protocolli di rete§ I rischi erano considerati tutti interni§ La condivisione era considerata non
necessaria se non addirittura dannosa§ ….
4 © 2018 Proofpoint, Inc.
Moving on …
Mainframe and little more who cares about security need just eventually a password
Perimeter Security, all in a fixed place, data segregated, few legal constrains, all (good and bad) was inside the wall. Bad guys try to breach in mainly for IP stealing or to damage the infrastructure, the hacker become a myth
Perimeter disruption (Mobile Users, Smart working, Smart devices…), data aggregation and correlation … rules and compliance become a needInternal Users become one of the target but all was still IT stuffsBad guys become cybercriminals, warfare between countries arise
No more perimeter – cloud rules allCompliances become a legal obligation (GDPR …)Customer sensibility to data breach growFrom End users, company employees all are targetCybercrime, APT actors, state actors are the “new” kids in town and now people knows about it.
IoT, 5G, AI, Machine Learning, Block Chain, and who knows what else …
© 2018 Proofpoint, Inc. 5
Security Evolution today
Detection systems were boxes to install and
monitor
Detection is a new challenge every day, with attacker tradecraft changing constantly
Targeted systems and data were on premises
Targeted systems and data are on prem, in the cloud, and at third parties
Threats targeted infrastructure via
vulnerabilities
Threats target people via social engineering
6 © 2018 Proofpoint, Inc.
Il presente
7 © 2018 Proofpoint, Inc.
Il rischio nella cyber securityUna “semplice” equazione:
il rischio è uguale all'impatto moltiplicato per la probabilità ponderata rispetto al costo:
Impatto X ProbabilitàRischio = -------------------------------------------------------------
Costo (mitigazione-trasferimento)
§ L'impatto è l'effetto sull'organizzazione in caso di eventi di rischio. § La probabilità è la probabilità che l'evento possa verificarsi entro un determinato periodo di tempo.
Il rischio è una funzione diretta della probabilità e quindi occorre conoscere il threat landscape per poter valutare il rischio e conseguentemente procedere alle opportune azioni di mitigazione e/o trasferimentoIl rischio è una funzione diretta dell’impatto, nel concetto di impatto rientrano molteplici fattori tra cui costi monetari, impatti legali, brand reputation ….
8 © 2018 Proofpoint, Inc.
La “normale” ripartizione delle Spese IT e’ allineata al rischio moderno?
Current IT security
Spending
Source: Gartner Information Security Market* WW End-User spending 2018
NetworkSecurity
Equipment61%
EndpointProtection Platform
19%Secure Web
Gateway12%
Secure Email
Gateway7%
La principale voce di spesarimane la network security con ottre il 60%
9 © 2018 Proofpoint, Inc.
Valutiamo la probabilita’: cosa ci dice il threat landscape corrente§ Data Breach attack vectors:
§ 1st Email§ 2nd Social media§ 3rd Vulnerabilities
§ 93% of breaches started with attacks targeting People
§ 96% of those people targeting attack uses Email
Source: Verizon DBIR
10 © 2018 Proofpoint, Inc.10© 2019 Proofpoint. All rights reserved
DMZ Internal vLANs
File Shares
DatabasesWeb Servers
App and Email Servers
PCs / Printers
InternetInternet
O365?
The Defender’s POV
11 © 2018 Proofpoint, Inc.11© 2019 Proofpoint. All rights reserved
Laurie Bream • 2nd
Financial Advisory at Bank Co500+ connections
Jack Barker • 3rd
Executive at Bank Co500+ connections
Richard Hendricks • 3rd
Senior Systems Administrator55 connections
The Attacker’s POV
12 © 2018 Proofpoint, Inc.
Una dicotomia da re-indirizzare1. Lo spending attuale non sembra seguire
I trend di sviluppo delle attivita’ criminali, rimanendo focalizzato sulla network security
2. I trend attuali indicano che I canali di diffusione degli attacchi sono orientati a colpire in prima istanza gli utenti al fine di crearsi un canale di ingresso “facile”
3. I canali di esposizione piu comuni per gliutenti sono Email, Web, Social Media
4. Gli attacchi sono sempre piumulticanale, utilizzando nelle medesimacampagna di attacco piu strade per arrivare al target
1. Occorre indirizzare le operazioni di copertura al rischio verso le aree dove sisviluppa la attivita’ criminale
2. Nuove aree di diffusione degli attacchinecessitano tecnologie ed approccicoerenti al canale ed al target, il fattoreumano non puo’ essere trascurato.
3. I canali di comunicazione sono il veicolopreferenziale per attivita’ di “social engineering” (quali phishing, BEC)
4. Le tecnologie in uso devono essere coordinate per evidenziare le possibili relazioni tra eventi apparentemente slegati, anche al di fuori dell’ambito aziendale.
13 © 2018 Proofpoint, Inc.
Alcuni nuovi paradigmi per la sicurezza
Lear
n C
omm
unic
ate
and
Shar
e
Expa
nd S
ecur
ity N
eeds
New
Ris
k Ba
sed
Anal
isysInternal
Risks• Internal target• External Target
External risks• Internal Target
• External Target
All previous +CompliancePrivacyBrand ReputationSocial Media interactionCustomersUsersSupply Chain…
CERTVulnerability DisclosureRed Team\Blue TeamBreach NotificationThreat IntelligenceTraining and awareness…
14 © 2018 Proofpoint, Inc.
Le persone sono il threat vector principale
§ 99+% of current threats require human interaction to succeed§ URLs- Credential phishing requiring forms to be filled- Links to malware that require the user to save and execute file
§ Attachments- Macros that require user to “enable”- Embedded files that need to be double-clicked & accepted- DDE requires user consent to execute
§ Exploit Kits are in serious decline for the 2nd year in a row§ Use of social engineering instead of exploits
§ Email Fraud attacks are entirely human-focused
§ Even APT actors are increasingly relying on user trickery over 0day exploits
Source Proofpoint threat report
15 © 2018 Proofpoint, Inc.
I nuovi BersagliDalla vulnerabilita’ software a quella umana
16 © 2018 Proofpoint, Inc.
News
17 © 2018 Proofpoint, Inc.
Phishing Finanziario
Poste Italiane
Bnp Paribas
18 © 2018 Proofpoint, Inc.
© 2018 Proofpoint, Inc. 19
Recent attacks on Italian companies
Italian Panda Banker
Gootkit Italy CampaignMessages with URLs linking to zipped Javascript such as nuovo_documento_2018.js" inside "nuovo_documento_2018.zip". The Javascript downloads Gootkit banker.This campaign is targeting Italy. Specifically the emails are crafted in Italian and the payload site allows download from Italian IP addresses.
The attachments are MS Excel documents containing macros which, if enabled, download Panda Banker trojan
20 © 2018 Proofpoint, Inc.
Email Fraud examples - Italia§ Mittenti (IP) in nessuna blacklist§ Spoofing HFrom, display name, account
compromessi, ISPs§ Tipicamente mail da CEO a CFO
§ Messaggi senza allegati o URL§ Richiesta di informazioni, primo
contatto o pagamenti.
21 © 2018 Proofpoint, Inc.
Panda "2.6.1" - Italian targeting§ Descrizione: Malware utilizzato per attacchi mirati con
allegati email. Il malware ruba credenziali bancarie e genera transazioni in background.
§ Minaccia: Gli allegati sono file Excel che, tramite PowerShell, scaricano Zeus Panda, un banking trojan. Successivamente, avviene la fase di injection.
§ Consegna: Messaggi con oggetto come: "documenti gennaio“, "R: Fattura n. 01/2018“ o "RICEVUTA PAGAMENTO"
§ Totale messaggi : 166
22 © 2018 Proofpoint, Inc.22© 2019 Proofpoint. All rights reserved
Attachment
Link Malicious Website
Exploit File Download
MalwareStolen Credentials
Script
23 © 2018 Proofpoint, Inc.23© 2019 Proofpoint. All rights reserved
Attachment
Link Malicious Website
Exploit File Download
MalwareStolen Credentials
Script
24 © 2018 Proofpoint, Inc.24© 2019 Proofpoint. All rights reserved
Attachment
Link Malicious Website
Exploit File Download
MalwareStolen Credentials
Script
25 © 2018 Proofpoint, Inc.25© 2019 Proofpoint. All rights reserved
Attachment
Link Malicious Website
Exploit File Download
MalwareStolen Credentials
Script
26 © 2018 Proofpoint, Inc.26© 2019 Proofpoint. All rights reserved
Attachment
Link Malicious Website
Exploit File Download
MalwareStolen Credentials
Script
27 © 2018 Proofpoint, Inc.27© 2019 Proofpoint. All rights reserved
Attachment
Link Malicious Website
Exploit File Download
MalwareStolen Credentials
Script
28 © 2018 Proofpoint, Inc.28© 2019 Proofpoint. All rights reserved
Attachment
Link Malicious Website
Exploit File Download
MalwareStolen Credentials
Script
29 © 2018 Proofpoint, Inc.29© 2019 Proofpoint. All rights reserved
Attachment
Link Malicious Website
Exploit File Download
MalwareStolen Credentials
Script
30 © 2018 Proofpoint, Inc.
Non Solo Email
• Abuso di credenziali e accessi compromessi sulle piattaforme SaaS
• Attacchi via social media• Tutto quanto insieme
31 © 2018 Proofpoint, Inc.
Social media scam volume
We’ve already seen more than:
• 500 suspicious domains that relate to “tokyo2020,”
• 100 for “beijing2022”
• 200 for “paris2024”
32 © 2018 Proofpoint, Inc.
Types of scams seen on social media
33 © 2018 Proofpoint, Inc.
Threats in cloud services§ In a recent sample of prospective
customers, about 1% of SaaS credentials were compromised and 24% of all logins to cloud services were suspicious.
§ Suspicious logins included:§ Malicious sources such as bots,
scanning hosts, Tor nodes, and more§ Non-human logins from cloud
infrastructure and third-party services
24% of all suspicious logins
to cloud services were successful
34 © 2018 Proofpoint, Inc.34© 2019 Proofpoint. All rights reserved
Unique Malicious URLs
35 © 2018 Proofpoint, Inc.35© 2019 Proofpoint. All rights reserved
Exploits§ We consider social engineering as an ”exploit”
§ Office Macros are an extension of umbrella “Social Engineering” term
§ Almost all exploits we see are Microsoft Office exploits§ CVE-2017-11882- By far the most popular
§ CVE-2017-0199§ CVE-2017-8570
§ Exploit Builder Kits§ ThreadKit- Supports multiple CVE’s. - Has been found to be using exploit code from researchers
§ LCG Kit- Uses different variations of CVE-2017-11882
36 © 2018 Proofpoint, Inc.36© 2019 Proofpoint. All rights reserved
Malware§ Stealers and Downloaders
§ Dominated 2018§ 2019 not looking any different
§ Top malware 2018§ Emotet§ Pony§ Tordal
§ Top Malware 2019§ Emotet§ Ursnif§ IcedID
37 © 2018 Proofpoint, Inc.
Esplorando nuoviorizzontiIl Vecchio + il Nuovo insieme per un Nuovo approccio
38 © 2018 Proofpoint, Inc.
Come sopravvivere in un thret landscape in evoluzione
§ 1) monitorare l’evoluzione del threat landscape constantemente per poter essere in gradoi di indirizzare correttamente le sue evoluzioni
§ 2) Sviluppare gli elementi di sicurezza non piu in maniera isolate ma armonica e coordinate alle alter funzioni aziendali, in particolare con le aree operation di compliance e GDPR
§ 3) correlare le informazioni provenienti dale diverse fonti per identificare natura e carateristicadi eventuali attacchi
§ 4) monitorare constantemnte la esposizione al rischio anche degl utenti§ 5) considerare formazione e awareness (non sono la stessa cosa) come componenti
fondamentali della security posture.§ 6) testare, provare e verificare che tutte le component funzionino assieme
39 © 2018 Proofpoint, Inc.
Cosa occorre fare (suggerimenti sparsi)?1. correlare le informazioni di sicurezza interne ed esterne diventa fondamentale2. Pensare non solo a quello che noi consideriamo importante ma anche quello che un
attaccante potrebbe considerare importante: noi stessi potremmo essere un vettore di attacco
3. Considerare I canali di attacco con le loro caratteristiche ad esempio:1. Considerare un approccio complete alla email security che comprenda la corretta configurazione
dei protocolli di autenticazione SPF, DKIM e DMARC2. Monitorare registrazione di domini typosquatting o cousin per prevenire eventuali attacchi diretti alla
propia azienda o terzi3. Estendere la protezione dei servizi web con tecnologie che indirizzino specificatamente sicurezza e
privacy come, ad esempio, web isolation o alter tecnologie4. Considerare gli utenti come parte integrante della infrastruttura e principali target di attacco5. Oltre alla prevention considerare la remediation nel disegno ed implementazione di una
soluzione
40 © 2018 Proofpoint, Inc.
Alcuni nuovi paradigmi per la sicurezza
Lear
n C
omm
unic
ate
and
Shar
e
Expa
nd S
ecur
ity N
eeds
New
Ris
k Ba
sed
Anal
isysInternal
Risks• Internal target• External Target
External risks• Internal Target
• External Target
All previous +CompliancePrivacyBrand ReputationSocial Media interactionCustomersUsersSupply Chain…
CERTVulnerability DisclosureRed Team\Blue TeamBreach NotificationThreat IntelligenceTraining and awareness…
41 © 2018 Proofpoint, Inc.41© 2019 Proofpoint. All rights reserved
Call To Action
§ Read the latest Quarterly Threat Report and Human Factor reports.
§https://www.proofpoint.com/us/quarterly-threat-summary
https://www.proofpoint.com/us/quarterly-threat-summary
© 2018 Proofpoint, Inc. 42