IL MONDOAL DI LÀ DELLANETWORK SECURITY: THREAT … mondo al di là della network security: threat... · all (good and bad) was inside the wall. Bad guys try to breach in mainly for

1 © 2018 Proofpoint, Inc.

IL MONDO AL DI LÀDELLA NETWORK SECURITY: THREAT LANDSCAPE DAL DEVICE ALL’UTENTE


La Cyber Security OggiUn terreno in continua evoluzione


Il passato, il presente, e il futuro?

More Boxes and Network

stuffs

Firewall

IPS/IDSNAC

Email / Web security

Nel recente passato la sicurezza informaticaera orientata alla protezione di oggettispecifici in un ambito ristretto:§ Le informazioni erano locali alla rete§ La attenzione era posta sui device e i

protocolli di rete§ I rischi erano considerati tutti interni§ La condivisione era considerata non

necessaria se non addirittura dannosa§ ….


Moving on …

Mainframe and little more who cares about security need just eventually a password

Perimeter Security, all in a fixed place, data segregated, few legal constrains, all (good and bad) was inside the wall. Bad guys try to breach in mainly for IP stealing or to damage the infrastructure, the hacker become a myth

Perimeter disruption (Mobile Users, Smart working, Smart devices…), data aggregation and correlation … rules and compliance become a needInternal Users become one of the target but all was still IT stuffsBad guys become cybercriminals, warfare between countries arise

No more perimeter – cloud rules allCompliances become a legal obligation (GDPR …)Customer sensibility to data breach growFrom End users, company employees all are targetCybercrime, APT actors, state actors are the “new” kids in town and now people knows about it.

IoT, 5G, AI, Machine Learning, Block Chain, and who knows what else …

© 2018 Proofpoint, Inc. 5

Security Evolution today

Detection systems were boxes to install and

monitor

Detection is a new challenge every day, with attacker tradecraft changing constantly

Targeted systems and data were on premises

Targeted systems and data are on prem, in the cloud, and at third parties

Threats targeted infrastructure via

vulnerabilities

Threats target people via social engineering


Il presente


Il rischio nella cyber securityUna “semplice” equazione:

il rischio è uguale all'impatto moltiplicato per la probabilità ponderata rispetto al costo:

Impatto X ProbabilitàRischio = -------------------------------------------------------------

Costo (mitigazione-trasferimento)

§ L'impatto è l'effetto sull'organizzazione in caso di eventi di rischio. § La probabilità è la probabilità che l'evento possa verificarsi entro un determinato periodo di tempo.

Il rischio è una funzione diretta della probabilità e quindi occorre conoscere il threat landscape per poter valutare il rischio e conseguentemente procedere alle opportune azioni di mitigazione e/o trasferimentoIl rischio è una funzione diretta dell’impatto, nel concetto di impatto rientrano molteplici fattori tra cui costi monetari, impatti legali, brand reputation ….


La “normale” ripartizione delle Spese IT e’ allineata al rischio moderno?

Current IT security

Spending

Source: Gartner Information Security Market* WW End-User spending 2018

NetworkSecurity

Equipment61%

EndpointProtection Platform

19%Secure Web

Gateway12%

Secure Email

Gateway7%

La principale voce di spesarimane la network security con ottre il 60%


Valutiamo la probabilita’: cosa ci dice il threat landscape corrente§ Data Breach attack vectors:

§ 1st Email§ 2nd Social media§ 3rd Vulnerabilities

§ 93% of breaches started with attacks targeting People

§ 96% of those people targeting attack uses Email

Source: Verizon DBIR

10 © 2018 Proofpoint, Inc.10© 2019 Proofpoint. All rights reserved

DMZ Internal vLANs

File Shares

DatabasesWeb Servers

App and Email Servers

PCs / Printers

InternetInternet

O365?

The Defender’s POV


Laurie Bream • 2nd

Financial Advisory at Bank Co500+ connections

[email protected]

Jack Barker • 3rd

Executive at Bank Co500+ connections

[email protected]

Richard Hendricks • 3rd

Senior Systems Administrator55 connections

[email protected]

The Attacker’s POV


Una dicotomia da re-indirizzare1. Lo spending attuale non sembra seguire

I trend di sviluppo delle attivita’ criminali, rimanendo focalizzato sulla network security

2. I trend attuali indicano che I canali di diffusione degli attacchi sono orientati a colpire in prima istanza gli utenti al fine di crearsi un canale di ingresso “facile”

3. I canali di esposizione piu comuni per gliutenti sono Email, Web, Social Media

4. Gli attacchi sono sempre piumulticanale, utilizzando nelle medesimacampagna di attacco piu strade per arrivare al target

1. Occorre indirizzare le operazioni di copertura al rischio verso le aree dove sisviluppa la attivita’ criminale

2. Nuove aree di diffusione degli attacchinecessitano tecnologie ed approccicoerenti al canale ed al target, il fattoreumano non puo’ essere trascurato.

3. I canali di comunicazione sono il veicolopreferenziale per attivita’ di “social engineering” (quali phishing, BEC)

4. Le tecnologie in uso devono essere coordinate per evidenziare le possibili relazioni tra eventi apparentemente slegati, anche al di fuori dell’ambito aziendale.


Alcuni nuovi paradigmi per la sicurezza

Lear

n C

omm

unic

ate

and

Shar

e

Expa

nd S

ecur

ity N

eeds

New

Ris

k Ba

sed

Anal

isysInternal

Risks• Internal target• External Target

External risks• Internal Target

• External Target

All previous +CompliancePrivacyBrand ReputationSocial Media interactionCustomersUsersSupply Chain…

CERTVulnerability DisclosureRed Team\Blue TeamBreach NotificationThreat IntelligenceTraining and awareness…


Le persone sono il threat vector principale

§ 99+% of current threats require human interaction to succeed§ URLs- Credential phishing requiring forms to be filled- Links to malware that require the user to save and execute file

§ Attachments- Macros that require user to “enable”- Embedded files that need to be double-clicked & accepted- DDE requires user consent to execute

§ Exploit Kits are in serious decline for the 2nd year in a row§ Use of social engineering instead of exploits

§ Email Fraud attacks are entirely human-focused

§ Even APT actors are increasingly relying on user trickery over 0day exploits

Source Proofpoint threat report


I nuovi BersagliDalla vulnerabilita’ software a quella umana


News


Phishing Finanziario

Poste Italiane

Bnp Paribas



Recent attacks on Italian companies

Italian Panda Banker

Gootkit Italy CampaignMessages with URLs linking to zipped Javascript such as nuovo_documento_2018.js" inside "nuovo_documento_2018.zip". The Javascript downloads Gootkit banker.This campaign is targeting Italy. Specifically the emails are crafted in Italian and the payload site allows download from Italian IP addresses.

The attachments are MS Excel documents containing macros which, if enabled, download Panda Banker trojan


Email Fraud examples - Italia§ Mittenti (IP) in nessuna blacklist§ Spoofing HFrom, display name, account

compromessi, ISPs§ Tipicamente mail da CEO a CFO

§ Messaggi senza allegati o URL§ Richiesta di informazioni, primo

contatto o pagamenti.


Panda "2.6.1" - Italian targeting§ Descrizione: Malware utilizzato per attacchi mirati con

allegati email. Il malware ruba credenziali bancarie e genera transazioni in background.

§ Minaccia: Gli allegati sono file Excel che, tramite PowerShell, scaricano Zeus Panda, un banking trojan. Successivamente, avviene la fase di injection.

§ Consegna: Messaggi con oggetto come: "documenti gennaio“, "R: Fattura n. 01/2018“ o "RICEVUTA PAGAMENTO"

§ Totale messaggi : 166


Email

Attachment

Link Malicious Website

Exploit File Download

MalwareStolen Credentials

Script


Email

Attachment




Script


Email

Attachment




Script


Email

Attachment




Script


Email

Attachment




Script


Email

Attachment




Script


Email

Attachment




Script


Email

Attachment




Script


Non Solo Email

• Abuso di credenziali e accessi compromessi sulle piattaforme SaaS

• Attacchi via social media• Tutto quanto insieme


Social media scam volume

We’ve already seen more than:

• 500 suspicious domains that relate to “tokyo2020,”

• 100 for “beijing2022”

• 200 for “paris2024”


Types of scams seen on social media


Threats in cloud services§ In a recent sample of prospective

customers, about 1% of SaaS credentials were compromised and 24% of all logins to cloud services were suspicious.

§ Suspicious logins included:§ Malicious sources such as bots,

scanning hosts, Tor nodes, and more§ Non-human logins from cloud

infrastructure and third-party services

24% of all suspicious logins

to cloud services were successful


Unique Malicious URLs


Exploits§ We consider social engineering as an ”exploit”

§ Office Macros are an extension of umbrella “Social Engineering” term

§ Almost all exploits we see are Microsoft Office exploits§ CVE-2017-11882- By far the most popular

§ CVE-2017-0199§ CVE-2017-8570

§ Exploit Builder Kits§ ThreadKit- Supports multiple CVE’s. - Has been found to be using exploit code from researchers

§ LCG Kit- Uses different variations of CVE-2017-11882


Malware§ Stealers and Downloaders

§ Dominated 2018§ 2019 not looking any different

§ Top malware 2018§ Emotet§ Pony§ Tordal

§ Top Malware 2019§ Emotet§ Ursnif§ IcedID


Esplorando nuoviorizzontiIl Vecchio + il Nuovo insieme per un Nuovo approccio


Come sopravvivere in un thret landscape in evoluzione

§ 1) monitorare l’evoluzione del threat landscape constantemente per poter essere in gradoi di indirizzare correttamente le sue evoluzioni

§ 2) Sviluppare gli elementi di sicurezza non piu in maniera isolate ma armonica e coordinate alle alter funzioni aziendali, in particolare con le aree operation di compliance e GDPR

§ 3) correlare le informazioni provenienti dale diverse fonti per identificare natura e carateristicadi eventuali attacchi

§ 4) monitorare constantemnte la esposizione al rischio anche degl utenti§ 5) considerare formazione e awareness (non sono la stessa cosa) come componenti

fondamentali della security posture.§ 6) testare, provare e verificare che tutte le component funzionino assieme


Cosa occorre fare (suggerimenti sparsi)?1. correlare le informazioni di sicurezza interne ed esterne diventa fondamentale2. Pensare non solo a quello che noi consideriamo importante ma anche quello che un

attaccante potrebbe considerare importante: noi stessi potremmo essere un vettore di attacco

3. Considerare I canali di attacco con le loro caratteristiche ad esempio:1. Considerare un approccio complete alla email security che comprenda la corretta configurazione

dei protocolli di autenticazione SPF, DKIM e DMARC2. Monitorare registrazione di domini typosquatting o cousin per prevenire eventuali attacchi diretti alla

propia azienda o terzi3. Estendere la protezione dei servizi web con tecnologie che indirizzino specificatamente sicurezza e

privacy come, ad esempio, web isolation o alter tecnologie4. Considerare gli utenti come parte integrante della infrastruttura e principali target di attacco5. Oltre alla prevention considerare la remediation nel disegno ed implementazione di una

soluzione


Alcuni nuovi paradigmi per la sicurezza

Lear

n C

omm

unic

ate

and

Shar

e

Expa

nd S

ecur

ity N

eeds

New

Ris

k Ba

sed

Anal

isysInternal

Risks• Internal target• External Target

External risks• Internal Target

• External Target

All previous +CompliancePrivacyBrand ReputationSocial Media interactionCustomersUsersSupply Chain…

CERTVulnerability DisclosureRed Team\Blue TeamBreach NotificationThreat IntelligenceTraining and awareness…


Call To Action

§ Read the latest Quarterly Threat Report and Human Factor reports.

§https://www.proofpoint.com/us/quarterly-threat-summary

https://www.proofpoint.com/us/quarterly-threat-summary




Documents

IL MONDOAL DI LÀ DELLANETWORK SECURITY: THREAT … mondo al di là della network security: threat... · all (good and bad) was inside the wall. Bad guys try to breach in mainly for