Anti X ochrana - minulost, současnost a budoucnost - Pohled VAD distributora bezpečnosti IT. Ing. Karim Ifrah COMGUARD a.s.

Transkript

1 Anti X ochrana - minulost, současnost a budoucnost - Pohled VAD distributora bezpečnosti IT Ing. Karim Ifrah COMGUARD a.s.

2 O společnosti COMGUARD Specialista na bezpečnosti IT. Komplexní portfolio pro zabezpečení datových center i sítě organizace od perimetru, přes DMZ až na klientské stanice Nadnárodní distribuční společnost Certifikace ISO (ISMS) Certifikace ISO 9001 a ISO Certifikace NBU Náš tým = 11 let zkušeností v oblasti IT security Value Added Distribuce CZ+SK+UA Akreditované školící středisko McAfee Support centrum pro distribuované řešení 1st level a 2nd level support Presales podpora při testování Expertní poradenství a služby Hotline, HelpDesk, odborné konzultace Vzdálená správa a podpora administrace Outsourcing správy Audity v oblasti bezpečnosti IT Příprava na zavedení ISO Penetrační testování

3 O společnosti COMGUARD Hlavní partneři: McAfee Inc. (včetně divize Secure Computing) Světová jednička v oblasti IT bezpečnosti Gartner MQ Leader v oblasti WEB Gateway (Webwasher) Gartner MQ Leader v oblasti Messaging gateway (IronMail) Gartner MQ Leader v oblasti IPS (IntruShiled) Gartner MQ Leader v oblasti DLP Leader v oblasti aplikačních proxy firewallů pro Enterprise segment Aladdin Knowledge System a SafeNet Inc. SafeWord IAM a generování jednorázových hesel etoken Pro, etoken SmartCard, TMS správa, SSO, WSO, NSO ikey tokeny PGP Corporation STANDARD v oblasti šifrování ( /data/hdd a centrální správy) Infoblox kritické služby infrastruktury DNS, DHCP, IPAM Procera - monitoring a optimalizace síťového provozu na L7 NeoAccel SSL VPN řešení Zeus a Secudos Loadbalancery na L4 a L7 Elitecore - UTM firewally Cyberoam a další

4 Agenda Historie Jaká je realita dnešních dnů? Efektivní technologie pro zabezpečení ICT prostředí?! Co je tedy EFEKTIVNÍ technologie pro bezpečnost Web 2.0 prostředí?!

5 Virus před rokem 1982 Virus (virus = latinsky zlá síla) je struktura nacházející se na hranici mezi živým a neživým (nebuněčný organismus). Ty nejprimitivnější viry obsahují pouze svoji genetickou informaci ve formě DNA nebo RNA,

6 Virus po roce 1982 V roce 1982 Rich Skrenta napsal jeden z prvních počítačových virů, který nesl název Elk Cloner. V roce 1983 Fred Cohen definoval pojem computer virus V roce 1986 bratři Asit a Amjat Farooq Alviovi, první virus určení pro MS DOS nesel název (c)brain V roce 1987 se přiostřilo, objevil se Jeruzalémský virus. V roce 1988 naprogramoval Robert Tappan Morris jeden z prvních virů šířících se po internetu. Nesl název Morris worm

7 Kdo byli otcové zakladatelé? Takoví milí mladíci Takoví podnikaví chlapci Zvědavost měla za následek až 10mil. Škodu

8 Co je motivací dnes? Source: Chat Interview with the Dream Coders Team, the developers of MPack

9 Jaká je realita dnešních dnů?

10 Útoky Spywaru a Trojských koní: podivuhodný nárůst Cyber-crime is Taking Over

11 Dnešní hrozby Více druhu Malware 500% zvýšenímalware code od Seconds Nově detekované nebezpečné weby Web 2.0je katalizátorem! 90% Ze všech hozeb je finančně notivobané 80% Toolkits Malware se snaží zmást ochrany 5m Nověaktivnízombies za měsíc Cíl Uživatel vs. Stroj 11

12 Bezpečnostní situace 24 měsíců přineslo značný posun v působících hrozbách Většina výrobců nestačí reagovat!

13 Bezpečnostní situace v roce tis nových zombie PC každý den ČR na předních místech v počtu web serverů napadených malware! Q2 velel Conficker, v ČR pak Bredolab (trojan downloader pro instalaci škodlivého kódu do napadeného PC) AutoRun Malware přítomen ve více než 27 mil infikovaných souborů za 30 dnů Q2

14 Největší útoky nyní přes Web 2.0 Aplikace Web 2.0 jsou v poslední době často zmiňovány i v souvislosti s bezpečnostními riziky, v rámci prognóz na letošní rok pak zejména útoky na sociální sítě. Facebook (150 mil. uživatelů, 1,7 miliardy fotek, 250 tis. nových uživatelů za den), Flickr, Fre y, MySpace, Libimseti.cz, motorkari.cz aj. Twitter nový fenomén v šíření malware v Q2/2009 (zneužití statusů a po kliknutí přesměrování na malware web) Používají je i vaši uživatelé na pracovních stanicích? V jakém smyslu tedy vlastně Web 2.0 může znamenat riziko?

15 Jaké hrozí riziko? Web 2.0 umožňuje hackerům na straně Browseru cíleně: Zneužít PC pro SPAM PC se stává díky trojanům z napadených webů součástí sítě botnetů Nové hrozby na znalé uživatele Odcizit hesla a jiné citlivé údaje uživatelů Časté mutace, spojení s různými domovskými servery Červ může aktualizovat malware tak aby snáze odolal detekci Nastrčit škodlivý obsah povolením Push technologií Automatizovat rozesílání škodlivého obsahu díky scriptům (uživatelé dokonce nemusí na nic kliknout) Dále šířit nákazu i na infrastrukturu organizace Web 2.0 technologie umožňuje hackerům na straně Serverů Přesměrovat odkaz na škodlivý obsah Vložit škodlivý obsah na zranitelné Web aplikace

16 Malware šířený přes sociální sítě Zneužití se týká MySpace, FaceBook, Twitter i Youtube Napadený počítač za svého uživatele rozešle zprávu typu To musíte vidět přátelům v kontaktech Před shlédnutím videa obdrží informaci, že používáte starou verzi Flash Playeru obdržíte ale červa Červ může zneužít další zranitelnosti vašeho PC a otevřít zadní vrátka a dále přispět ke zneužití PC pro útoky i dovnitř sítě nebo na DATA Genialita je ve schopnosti mutace, dynamické změny linek i obsahu díky pravidelnému spojení s domovským serverem (dokonce i v ČR).

17 Malware šířený přes odkazy na Google Nejlepší ochranou před viry, trojany a adware programy je nestahovat podezřelé soubory! ALE to ví i tvůrce škodlivého programu Malware šířený přes odkazy Google "Kvůli bezpečnostním rizikům ve Flash Player 9 radí společnost Adobe všem uživatelům, aby přešli na Flash Player 10." "flash10_setup.exe A podobně jsou napadnuté/napadnutelné i další odkazy... Zde pomáhají systémy globálních reputací jako je TrustedSource.org

18 Multimedia malware trojan napadající multimediální soubory Malware vloží příkaz do mp3 souboru Při přehrávání WMP otevírá browser, ten přistupuje na hackerské stránky Stránky nabízí stažení chybějícího kodeku Sami uživatelé v rámci p2p sítí se starají o šíření!

19 Malware napadající infrastrukturu DNSchanger trojan napadající routery Získá přístup ke konfiguraci routeru pomocí bruteforce útoku (odhad základních hesel, například pro telnet) Mění nastavení DNS na adresy podvržené útočníky Veškerá komunikace je následně pod kontrolou hackerů

20 iframe útoky na webshopy jeden z největších eshop portálů v UK byl napaden Běžný uživatel nic nepoznal, stránka je napadena a obsahuje neviditelný iframe aby natahoval do browserů uživatelů zákeřné kódy Natažený script cílí na Zero Day zranitelnost v Active X kódu Zranitelnost je zneužita pro instalaci programu pro odcizení hesel

21 Hrozby rostou a jsou více mířeny na aktiva! 97% podniků má firewall 100% podniků má antivirus ALE hrozby se dnes šíří přes web a ZEJMÉNA prostřednictvím aktivních kódů a cílených MALWARE JEN MÁLO organizací má dnes implementovánu proaktivní antimalware ochranu a navíc s kontrolou SSL Běžná ochrana je dnes jen málo dostačující web hrozby jsou podceňovány!

22 Efektivní technologie pro zabezpečení ICT prostředí?! Komplexní ochrana všech protokolů Kombinace reaktivní a proaktivní ochrany Mít přehled co se děje v síti

23 Efektivní technologie pro zabezpečení ICT prostředí Compliance Management Data Loss Prevention Auditovací řešení Konkurence IPS řešení IPS a IDS řešení a web ochrana McAfee Desktop řešení Anti-virus Anti-spyware Desktop Firewall Desktop IPS and Risk Management Vulnerability Management Mnohu produktů, Složitá správa Komplexní porfolio pod jednotnou správou

24 McAfee portfolio +

25 Komplexní portfolio McAfee Identifikace útočníků je účinnější než snaha postihnout každý útok (stále více je jasné, že lokální ochrany nestačí, že systémy si musí vyměňovat informace o útočnících a agregovat tak zkušenosti nasbírané po celém světě) McAfee Web Gateway (Webwasher) Už HTTP dávno & HTTPS neplatí Secure co je 7 šifrované Cache proxy je bezpečné (https, ssh, aj) WEB McAfee a Gateway Uživatelé (IronMail) musí mít bezpečný přístup k potřebným zdrojům internetu, Firewall, IPS, organizace Gateway ale musí zůstat chráněna jak před zavlečením nových hrozeb z internetu tak před únikem informací. Účinné už není provoz zkontrolovat a propustit, ale zprostředkovat jeho McAfee předání Enterprise bezpečnostními Firewall (Sidewinder) proxy (K tomu je potřebná schopnost rozumět PROXY provozu Firewall, poskytovaná & IPS, sofistikovanými řešeními typu aplikačních proxy firewallů. Ty totiž jako jediní nepropouští, ale terminují a dále zprostředkují komunikaci ) Datová McAfee centra Network potřebují IPS (Intrushield) nejen dostupnost, ale i propustnost a bezpečnost pro VMware. Intrusion Kritická Prevention je schopnost System detekce a prevence všech narušení při zajištění propustnosti na úrovní gigabitových nebo 10Gbps páteřích a zajištění bezpečnosti pro virtuální prostředí McAfee Vulnerability Manager (Foundstone) Důležitá je i vynutitelnost bezpečnostních politik, zajištění přístupových práv nejen uživatelů ale i systémů Centrální správa musí být skutečně společným bodem co největšího počtu systémů a obsahovat i centrální reporting a monitoring, protože jen tak lze vyhodnocovat bezpečnostní události a upravovat bezpečnostní politiku.

26 Co je tedy EFEKTIVNÍ technologie pro bezpečnost Web 2.0 prostředí?! Globální reputační systém sledující škodlivé servery hostující záludné kódy Anti-Malware technologie, které zkoumají potencionální dopady aktivního kódu na cílový systém (behavioral analýzy) SSL scanning kontrola https

27 Globální inteligence TrustedSource Fyzický Svět Rozmístění agentů Celosvětové pokrytí (Policie, FBI, CIA, Interpol.) Interpol Inteligentní agenti Systém globální inteligence Sdílení informací Například: Kriminální historie, globální systém otisků prstů Výsledek Efektivita: Přesná detekce delikventů Prevence: Zastavit je před vstupem do země Policejní Stanice CIA FBI Policejní Stanice Policejní Stanice Cyber Svět Rozmístění inteligentních zařízení Po celém světě (firewall, gateways, web gateways, honeypots) IntelliCenter Systém globální inteligence Sdílení cyber-informací Například: spammerů, phisherů, hackerů London Inteligentní Zařízení Výsledek Efektivita: Přesná detekce špatných IPs, domén Prevence: Zabránit spojení útočníka do Vaší sítě Portland Atlanta Hong Kong Brazil

28 Globální Inteligence v Reálném čase Rozmístěné Inteligentní sondy Po celém světě (firewall, gateways, web gateways) Globální Systém Inteligence Sdílení kybernetických komunikačních informací Příklad: spameři, phishing, hakeři Cyber World Inteligentní Sondy Portland IntelliCenter London Výsledek Atlanta Hong Kong Efektivita: Přesná detekce závadných IPs, domén Prevence: Zabrání vytvořit spojení pro útočníky do Vaší sítě Brazil Monitoruje 1/3 Internetového provozu!

29 Proč Anti-Malware? aktualizace Anti-Virových signatur nechávají organizaci vystavenu ohrožení z aktivních kódů a cílených útoků Funkce volané v aktivním kódu nebo skriptu jsou analyzovány na potencionální nežádoucí aktivity Anti-Malware Odhaluje ve skriptech kódy zneužívající zranitelnosti k zavlečení dalších nežádoucích programů Vícevrstvý pro-aktivní přístup! Reputace napojení na systémy globálních reputací Signatury dalšího engine Antiviru Proaktivní vyhodnocení kódu dle chování Analýzy pro dll, ActiveX, JavaScripty, makra, aj. Velikost nákazy je irelevantní k možnosti a přesnosti detekce Trusted Source Anti-Malware engine Behavioral Malware detection

30 Kontrola HTTPS Co Vám SSL Skener přinese? ELIMINUJE SLEPÉ MÍSTO OCHRANY KONTROLUJE ŠIFROVANÝ HTTPS PROVOZ Umožňuje centralizovat politiky pro akceptování certifikátů na bráně a kontrolovat platnost a vydavatele! Umožňuje definovat whitelist pouhým vybráním kategorie z URL filtrace Zabraňuje: Průniku hackerů a hackerských kódů v https Průniku virů, spyware v souborech přenášených přes https Úniku citlivých informací (web mail portály apod) Https provoz Proxy servery Nedostatečná ochrana Firewall Antivirus Antispam Web Gateway Uživatelé

31 DLP ochrany před únikem citlivých dat Únik citlivých informací z organizace je kritickým faktorem pro reputaci i vznik přímé škody Document Inspector (word, excel, ppt, pdf ) Text classification obsahové kontroly i pro WebMAIL Archive handler (.zip,.gzip,.arj,.tar ) Umožňuje filtrovat odchozí provoz (včetně šifrovaného!) a zabraňovat úniku citlivých dat je nástrojem bezpečnostní politiky organizace v oblasti ochrany citlivých dat, umožňuje řídit shodu se standardy, provézt forenzní analýzu v případě incidentu a poskytuje obsáhlý reporting. Omezuje: Vynesení citlivých informací zaměstnanci Omezuje faktor lidské chyby Open archive TEXT Classification Block CONTENT

32 Secure Cache Integruje Cache + Bezpečnost pro Web 2.0 prostředí HTTP Cache proxy: Podrobuje skladované objekty proaktivní kontrole Odpadá také nutnost znovunačítání cache při aktualizaci Má neporovnatelně menší nároky na kapacitu disku Integrace s bezpečnostními funkcemi (žádný ICAP!) Objekty obsahují informace o verzi kontroly! Po aktualizaci signatur umožňuje zpětně kontrolu Cache! Provázání politiky proxy s AntiMalware a SSL kontrolou. Podrobné black listy a white listy Nastavení cachování dle politik (on/off, max velikost objektu) DNS Cache proxy: radikálně snižuje prodlevy u DNS dotazů, které jsou v cache

33 URL filtrace Web Filter Business Porn Shopping CO PŘINÁŠÍ? Filtering Database Business IM /Chat Gambling řízení využívání zdrojů Internetu posílí kontrolu ochrana před spyware, malware z webových stránek, zamezí phishingu, produktivita práce šetří šířku pásma posílí firemní kulturu Security Security Pornography Hate Sites Gambling Shopping Business IM

34 OBOUSMĚRNÁ KONTROLA! Internet Secure Web (WebWasher) Anti Virus Uživatel/Browser STOP spyware z desktop PC STOP malware z vnější sítě STOP úniku citlivých dat Anti Malware Data Lost Protection (DLP)

35 McAfee Web Gateway (Webwasher) McAfee Web Gateway (Webwasher) Inappropriate use Spyware phoning home Web Filtering Anti-Malware and Anti-Virus SSL Scanning AAA Proxy Secure Cache Data leakage/compliance Comprehensive reporting Leaking data Firewall Gnutella:80 Malicious SQL injection Keylogger

36 Děkuji Vám za pozornost!