© 2013 IBM Corporation
Co w sieci piszczy?!?IBM Security Next Generation Network Intrusion Prevention System
IBM Security Systems
Andrzej Wojtkowiak, Customer Technical Professional – IBM Security Systems.
© 2013 IBM Corporation2
Nowe wyzwania związane z bezpieczeństwem
Bezpieczeństwo infrastrukturyBezpieczeństwo infrastruktury
Wpływ UżytkownikówWpływ Użytkowników
Złożoność technologiiZłożoność technologii1 2 3
• Advanced Persistent Threats
• 0-Day Vulnerabilities
• Phishing
• Botnets
• Malware
• Zmiana charakterystyki pracy
• Nowe typy aplikacji – nowe wektory ataków.
• Współdzielenie informacji
• Niska świadomość zagrożeń
• Podatność na Social Engineering
• Duża rozpiętość „dedykowanych” rozwiązań
• Bring Your Own Device
• Większy dostęp do infrastruktury
• Wzrost liczby aplikacji webowych
© 2013 IBM Corporation3
Typowe wektory ataków…
© 2013 IBM Corporation4
Poszukiwany wektor wejścia
© 2013 IBM Corporation5
Strach przed bronią niekonwencjonalną
© 2013 IBM Corporation6
Advanced Persistent Threats – „niewidoczne” ataki
Advanced Wykorzystują podatności które nie zostały jeszcze upublicznione (zero-day) Zaawansowany malware - „szyty” na miarę i pod konkretne potrzeby Koordynacja wyspecjalizowanych grup hakerów – ataki pozorowane OSINT - Ataki poprzedzone białym wywiadem
Persistent Ataki które trwają miesiące lub lata Ataki mające na celu zdobycie danych… do skutku!
Threat Ataki wycelowane w konkretne osoby lub
grupy osób w danej organizacji Wyselekcjonowane ataki
1
2
3
© 2013 IBM Corporation7
Advanced Threat Protection Platform
Możliwość blokowania zaawansowanych ataków nie tylko po przez identyfikację znanych zagrożeń, ale również w oparciu o identyfikację anomalii zarówno na poziomie charakterystyki ruchu sieciowego jak i na poziomie zawartości pakietów.
X-Force Threat IntelligenceCiągła analiza wszelkich zagrożeń dla infrastruktury informatycznej, wykonywana przez ekspertów z XForce. Eksperci każdego dnia wykrywają nowe podatności, analizują behawiorystkę złośliwego oprogramowania oraz anomalie związane z ich funkcjonowaniem, identyfikują nowe źródła zagrożeń, techniki omijania zabezpieczeń, ukrywania ataków oraz infekcji infrastruktury. Wiedza ta jest wykorzystywana do wyznaczania kierunków rozwoju rozwiązań IBM Security.
Security Intelligence Ścisła integracja pomiędzy rozwiązaniami do proaktywnej ochrony infrastruktury z rozwiązaniami klasy SIEM. Dzięki takiej integracji organizacja ma spójną platformę do wykrywania, śledzenia oraz minimalizacji występowania zagrożeń w przyszłości.
Technologia i wiedza w walce z APT
Log Manager
SIEMNetwork Activity
MonitorRisk Manager
Vulnerability Data Malicious Websites Malware Information IP Reputation
Intrusion Prevention
Content and DataSecurity
Web ApplicationProtection
Network Anomaly Detection IBM Network
Security
SecurityIntelligencePlatform
Threat Intelligenceand Research
Advanced Threat ProtectionPlatform
Application Control
Vulnerability Manager
© 2013 IBM Corporation8
IBM X-Force® Research and Development● Identyfikacja i badanie nowych zagrożeń
● Ochrona przed zidentyfikowanymi zagrożeniami
● Opracowywanie skutecznych mechanizmów w walce z zagrożeniami których jeszcze nie obserwujemy
● Edukacja mediów oraz społeczności
X-Force Research15M przeanalizowanych stron
40M identyfikowanych ataków typu spam & phishing miesięcznie
67K udokumentowanych podatności
13M zidentyfikowanych ataków
Milinony unikalnych próbek złośliwego oprogramowania
Dostarczana szczegółowa analiza: ● Vulnerabilities & exploits
● Botnet command and control
● Malicious/Unwanted WWW
● Spam & phishing
● Malware
● Emerging trends
To też dużo doświadczenia i danych…
Security Intelligence – to nie tylko oprogramowanie…
© 2013 IBM Corporation9
IBM Security Network Protection XGS
Pełna integracja z rozwiązaniami do
całościowego zarządzania bezpieczeństwem.
Umożliwia analizę ruchu sieciowego i wymuszenie
konkretnych polityk dostępu do sieci/aplikacji -
minimalizując tym samym ryzyko infekcji.
Skuteczna ochrona przed wciąż ewoluującymi
zagrożeniami dostarczana przez X-Force®.
ADVANCED THREAT PROTECTION
VISIBILITY & CONTROL INTEGRATION
© 2013 IBM Corporation10
© 2013 IBM Corporation11
XForce: W czym tkwi różnica?
Pattern Matching Protocol Awareness
One Vulnerability Many Signatures
Ochrona przed exploit-ami jest reaktywna• Zbyt późna dla wielu ataków
• Każdy wariant ataku wymaga sygnatury
• Typowe podejście jak w antywirusie
Podejście sygnaturowe wymaga unikalnego "wzorca" zagrożenia dla każdego pojawiającego się exploit-a• Sygnatury nie mają nic wspólnego z
podatnościami i ich nie adresują
• Im więcej bedzie wgranych sygnatur tym większy to będzie miało wpływ na wydajność inspekcji
Ochrona skoncentrowana na podatnościach• Algorytmy ochrony podatności chronią przed
exploitami po przez analizę behawioralną
• Algorytmy umożliwiają ochronę zarówno przed znanymi zagrożeniami jak i tymi wariantami które nie zostały jeszcze zidentyfikowane.
• Algorytmy nie wymagają odświeżenia sygnatur aby blokować kolejne warianty exploit-ów.
© 2013 IBM Corporation12
Co to robi?:Minimalizuje możliwość wykorzystania podatności występujących na infrastrukturze bez względu na to czy vendor dostarczył już poprawkę oraz czy w ogóle można ją zainstalować na danej infrastrukturze
Dlaczego to ważne:W pierwszej połowie 2013 roku około 46% podatności w systemach serwujących treści nie posiadało gotowej poprawki.
Virtual Patch
Co to robi?:Ochrona przed atakami wymierzonymi w aplikacje codziennego użytku takich jak Microsoft Office, Adobe PDF, pliki Video oraz przeglądarki internetowe.
Dlaczego to ważne:Ataki wymierzone w oprogramowanie niezbędne do wykonywania swoich obowiązków służbowych jest jednym z najczęstszych wektorów ataków.
Client-Side Application Protection
Co to robi?:Ochrona aplikacji webowych przed atakami na warstwę aplikacyjną, takimi jak SQL injection, XSS (Cross-site Scripting), PHP File, CSRF (Cross-site Request Forgery), Directory Traversals
Dlaczego to ważne:Ataki na warstwę aplikacyjną są jednymi z najłatwiejszych do wykonania
Web Application Protection
Co to robi?:Wykrywa i chroni przez całymi klasami ataków nie koncentrując się jedynie na identyfikacji konkretnego wzorca zagrożenia ale analizując potencjalne skutki po przez analizę behawioralną.Dlaczego to ważne:Eliminuje konieczność updat-u sygnatur. Zapewnia ochronę po przez algorytmy i moduły, np. Java bytecode exploit Detection, Flash exploit Detection, Shell Code Heuristics (SCH) - zapewniając skuteczną ochronę przed zagrożeniami typu 0-Day.
Threat Detection & Prevention
Co to robi?:Monitoruje, identyfikuje i dostarcza analizę ruchu sieciowego oraz wykrywa zagrożenia związane z wyciekiem danych o konkretnych formatach - np, numery NIP, Numery kart kredytowych.
Dlaczego to ważne:Rozwiązanie może być uzupełnieniem strategi organizacji w celu ochrony przed wyciekiem danych.
Data Security
Co to robi?:Zarządza i kontroluje nieautoryzowane wykorzystanie aplikacji które mogą podnosić poziom ryzyka w organizacji, takich jak P2P czy Instant Messaging.
Dlaczego to ważne:Umożliwia zastosowanie reguł i polityk które wyeliminują zagrożenia wynikające z korzystania aplikacji mogących wpływać na obniżenie poziomu bezpieczeństwa.
Application Control
June 2012
Protocol Analysis Module
© 2013 IBM Corporation13
Co jeszcze zapewnia Deep Packet Inspection??
Umożliwia odpowiedz na następujące pytania
Jakie aplikacje są wykorzystywane przez naszych użytkowników?
Jaki procent przepustowości łącza jest wykorzystywany przez aplikacje?
Którym użytkownikom ograniczyć dostęp do aplikacji webowych aby poprawić wydajność?
Czy można nadać selektywne uprawnienia dostępu do aplikacji?
Czy mamy możliwość określenia jakie akcje użytkownik może wykonać w konkretnej aplikacji?
Czy mamy informacje które strony użytkownik powinien odwiedzać a których nie powinien?
Jak się bronić przed wyciekiem danych z organizacji?
© 2013 IBM Corporation14
Kto? Co? Kiedy?
Natychmiastowa identyfikacja które aplikacje oraz strony internetowe są odwiedzane przez użytkowników
Szybka identyfikacja anomalii związanych z aplikacjami, stronami WWW oraz użytkownikami
Identyfikacja kto i co konsumuje przepustowość sieci
Identyfikacja zaawansowanych zagrożeń po przez integrację z QRadar i ocenę w skali całej organizacji zagrożenia
Network flows mogą być przesyłane do QRadar w celu dodatkowej analizy bezpieczeństwa
Kontekst tożsamości mapowanie użytkowników i grup użytkowników z charakterystyką ruchu sieciowego
Kontekst aplikacyjny pełna klasyfikacja ruchu sieciowego, bez względu na wykorzystywany protokół czy port
Wzrost bezpieczeństwa Redukcja kosztów Inowacyjność
© 2013 IBM Corporation15
Pełna kontrola!!!
Zapewnienie pełnego dostępu do stron typu social networking dla działów HR oraz Marketing
Ograniczenie dla zwykłych użytkowników dostępu tylko do wybranych URLi
Blokowanie dostępu do stron internetowych które mogą wystawić naszą infrastrukturę na potencjalny atak lub obniżych poziom bezpieczeństwa
Kontrola dostępu do sieci w kontekście użytkowników, grup użytkowników, systemów, protokołów, aplikacji oraz akcji które można na nich wykonać.
Blokowanie obecnych i nowo powstających stron internetowych infekujących złośliwym oprogramowaniem
Kompleksowa klasyfikacja i kategoryzacja stron internetowych posiadająca ponad 15 Miliardów przeanalizowanych URLi
Wsparcie dla ponad 1000 różnych aplikacji
Dowolnie modyfikowane polityki
© 2013 IBM Corporation16
Definiowanie polityki dostępu do sieci
© 2013 IBM Corporation17
Przykład: blokowanie Facebook-a w godzinach biznesowych
© 2013 IBM Corporation18
Przykład: blokowanie wymiany plików przez Skype…
© 2013 IBM Corporation19
Charakterystyka ruchu sieciowego w kontekście aplikacji
• Jakie aplikacje są najczęściej wykorzystywane?
• Jakie aplikacje wysycają przepustowość naszej sieci?
• Wykrywanie anomalii w funkcjonowaniu aplikacji
© 2013 IBM Corporation20
Charakterystyka ruchu sieciowego w kontekście użytkownika
• Wykrywanie anomalii
• Kopiowanie/wysyłanie dużych ilości danych
• Rozprzestrzenianie się wirusa
• Komunikacja z C&C Botnet
• Sciąganie plików z sieci P2P
© 2013 IBM Corporation21
Kategoryzacja ruchu sieciowego
Które strony internetowe są odwiedzane przez użytkowników:
• Social Networking
• Streaming Media
• Strony infekujące stacje końcowe złośliwym oprogramowaniem
• Strony z nielegalnym oprogramowaniem
© 2013 IBM Corporation22
DZIĘKUJĘ ZA UWAGĘ!
© 2013 IBM Corporation23
BACKUP
© 2013 IBM Corporation24
Atak przeprowadzony na RSA
© 2013 IBM Corporation25
© 2013 IBM Corporation26
X-Force i ich misja
- Identyfikacja i analiza nowych podatności- Opracowywanie mechanizmów ochrony dla produktów IBM- Współpraca i edukacja innych społeczności
• Support content streams
• In-house reverse engineering and malware analysis teams
• Expand current capabilities in research to provide industry knowledge to the greater IBM
• Support content stream needs and capabilities
• Support requirements for engine enhancement
• Maintenance and tool development
• Continue third party testing
• Execute to deliver new content streams for new and existing engines
• Develop new protocol parsers
Research
Engine
Industry/Customer Deliverables
• Blog, Marketing and Industry Speaking Engagements
• X-Force Database Vulnerability Tracking
• Trend Analysis and Security Analytics
IBM X-Force Research and Development
The world’s leading security R&D organization
© 2013 IBM Corporation27