Anatomie současných útoků a jak se před nimi chránit

Transkript

1 Anatomie současných útoků a jak se před nimi chránit Petr Lasek, RADWARE

2 Agenda Radware Aktuální rizika Příklady útoků Attack Mitigation System (AMS) Případová studie Shrnutí Slide 2

3 APSolute řešení RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace: - maximální dostupnost (Availability), - maximální výkon (Performance), - bezpečnost (Security) Slide 3

4 Radware 10,000+ zákazníků Stálý růst ,6 77,6 81,4 68,4 54,8 38,4 43,3 43,7 108,9 94,6 4,9 14, Zkušenosti v oblasti bezpečnosti Technologické partnerství Slide 4

5 Radware přehled řešení HTTP Monitor Web Services and XML Gateway Partner Inflight AppXML Message Queuing System Router Intrusion Prevention Mainframe Customers LinkProof DefensePro Alteon / AppDirector ESB Router Application Delivery Controller LinkProof WAN Link Optimizer / Load Balancer AppWall Web & Portal Servers Database servers Web Application Firewall Branch Office Application Servers Data Center Slide 5

6 Aktuální bezpečnostní rizika

7 Kombinované útoky Large volume network flood attacks Network scan Intrusion Port scan SYN flood attack Low & Slow DoS attacks (e.g., Sockstress) Brute force attack Intrusion, malware High and slow Application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF) Slide 7

8 Síťové a aplikační útoky Slide 8

9 Kombinované útoky Large volume network flood attacks Shrnutí Network scan Large volume SYN flood Low & Slow connection DoS attacks Útočníci Business kombinují více typů útoků a stačí aby jeden byl úspěšný Web application vulnerability scan DoS & DDoS se stávají standardní součástí útoků Application flood attack (Slowloris, Port 443 data flood, ) Web application attacks (e.g. XSS, Injections, CSRF) Slide 9

10 Bezpečnostní nástroje x útoky DoS Protection Behavioral Analysis IPS IP Reputation WAF Large volume network flood attacks Network scan Intrusion SYN flood Low & Slow DoS attacks Port scan Brute force attack Intrusion, Malware High & Low rate application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF) Slide 10

11 Co a před čím chrání? Protection Purpose Firewall IPS WAF Router ACLs Next Gen FW Anti-DoS Appliance (CPE) DLP Cloud Anti-DoS Data-At-Rest Protections (Confidentiality) Data-At-Endpoint (Confidentiality) Data-In-Transit (Confidentiality) Network Infrastructure Protection (Integrity) Application Infrastructure Protection (Integrity) Volumetric Attacks (Availability) Non-Volumetric Resource Attacks (Availability)

12 Anatomie útoku

13 APT Advanced Persistent Threat

14 Hacktivism příklady Komplexnost útoků Duration: 20 Days More than 7 attack vectors Inner cycle involvement Attack target: Vatican Duration: 3 Days 4 attack vectors Attack target: Visa, MasterCard Duration: 3 Days 5 attack vectors Only inner cycle involvement Attack target: HKEX Duration: 6 Days 5 attack vectors Inner cycle involvement Attack target: Israeli sites Slide 14

15 Časový průběh

16 7. Březen I. den Začátek útoku Day 1 Wed March 7 th ~13:30 20:17 Customer website was taken down by anonymous. Later, Radware Italy is invoked, ERT receive heads-up. DefensePro is deployed, ERT start building configuration. DefensePro na místě (ODS2) ERT tým Slide 16

17 8. Březen II. den Day2 Thurs March 8 th 12:45 ERT Continued refining configuration moving the device to an aggressive configuration. 14:00 Attacks begin and mitigated by the DefensePro. ERT monitors and conduct minor fine tuning. 24:00 Attacks ended. Útok blokován (DefensePro a ERT) Slide 17

18 9. Březen III. den Day3 Mon March 12 th Vyřešeno ERT 14:00 14:45 15:45 17:00 Směrovač nedokázal obsluhovat množśtví provozu Attack started ERT was initiated due to outage. ERT concluded the Juniper router (not protected by DefensePro) was the cause. ERT provided blacklist to be used by the router s ACL. Customer employed blacklist and Juniper improved router s configuration. This resolved the issue, and the site was up. Attacks continued but mitigated, and there was no need for further ERT support. Služba funguje Slide 18

19 Útok pokračoval déle než týden Automaticky blokován Bez zásahu ERT Slide 19

20 19. březen Mon March 19 th Morning Site is down UDP Attack peaking to 2M PPS ODS2 is limit to ~1M PPS Evening ODS3 is replacing ODS2 Attack is well mitigated. Slide 20

21 Útok pokračoval Automaticky blokován Bez zásahu ERT Konec Slide 21

22 Vektory útoku

23 Vektor I.: TCP Garbage Flood Attack Vector PSH+ACK Garbage Flood port 80 Description Mitigation TCP PSH+ACK packets that contain garbage data No initiation of proper TCP handshake Out-of-state Signature (SUS for all customers) Garbage Data Slide 23

24 Vektor II.: SYN Flood Attack Vector SYN Flood Description Port attackers Mitigation BDOS SYN Protection (not activated, threshold were too high) BDOS Footprint Slide 24

25 Vektor III.: IP fragment flood to port 80 Attack Vector IP fragment Description TCP Protocol port 80 Frag offset = 512 TTL = 244 Same SRC IP (unusual for this attack) Mitigation BDOS BDOS Mitigation in Action Slide 25

26 Vector IV. : UPD Flood to Random Port Attack Vector Description Mitigation Attack Vector V: UPD Flood to Random Port UDP flood Packet contained Garbage data BDOS BDOS Mitigation in Action Slide 26

27 Evropská vládní instituce, Červenec 2012 Útočník posílal 3.4Mbps složený z 36 B DNS dotazů na 8 DNS serverů Doména s 43 registrovanými DNS záznamy. Odpověd 3991 B, 154 Mbps Navíc odpověd s fragmentovanými pakety Ochrana -DNS odpovědi blokovány pomocí BDoS modulu, fragmentované UDP pakety pomocí DoS-Shield modulu Slide 28

28 AMS = Attack Mitigation System

29 Radware Attack Mitigation System (AMS) Slide 30

30 AMS integrované bezpečnostní řešení DoS Protection Ochrana před všemi typy DoS/DDoS nastrojů Reputation Engine Finanční podovody Ochrana před phishingem IPS Ochrana před známymi útoky WAF Aplikační firewall NBA Zneužítí aplikací Ochrana před neznámými útoky (zerominute) Slide 31

31 OnDemand Switch: výkonný hardware DoS Mitigation Engine ASIC Proti DoS/DDoS utokům 12 M PPS IPS & Reputation Engine ASIC - String Match & RegEx Engine Deep packet inspection NBA & WAF OnDemand Switch Kapacita až 14Gbps Slide 32

32 Rozdíl: výkon pod útokem 12 Million PPS Attack Traffic Bez vlivu na ostatní provoz Útok blokován na úkor bežného provozu Multi-Gbps Capacity Legitimate Traffic Attack Attack Multi-Gbps Capacity Attack Legitimate Traffic Traffic + Attack DefensePro Other Network Security Solutions Slide 33

33 Flood Packet Rate (Millions) Mitigation Performance (DME) Legitimate HTTP Traffic (Gbit/s) Slide 34

34 Radware Security Event Management (SEM) 3 rd SIEM Correlated reports Trend analysis Compliance management RT monitoring Advanced alerts Forensics Slide 35

35 AMS = synergie Útok proti webu ze zdroje A Advanced configuration Role-based access control Black list - A Scanning aplikací detekován ze zdroje A Slide 36

36 Síťové DoS útoky

37 NBA a RT Signature Technologie Public Network Mitigation optimization process Initial Filter Closed feedback Inbound Traffic Real-Time Signature Initial filter is generated: Packet Filter ID Optimization: ID ID AND AND IP Packet ID AND Source IP IP AND AND Packet size size AND TTL 5 Blocking Rules Start Traffic mitigation characteristics 1 2 Statistics Final Filter 0 Up to X 3 Learning Time [sec] Detection Engine Degree of Attack = High Low Filtered Traffic Outbound Traffic Protected Network Signature parameters Source/Destination Narrowest filters IP Source/Destination Port Packet Packet size ID TTL Source (Time IP To Address Live) DNS Packet Query size Packet TTL (Time ID To Live) TCP sequence number More (up to 20) RT Signatures 4 Degree of Attack = Low High (Negative (Positive Feedback) Slide 39

38 Attack Degree axis NBA - Fuzzy logika Flash crowd Z-axis Attack area Decision Engine Suspicious area Attack Degree = 5 (Normal- Suspect) X-axis Normal adapted area Y-axis Normal TCP flags ratio Abnormal rate of Syn packets Slide 40 40

39 Behaviorální analýza & generováni signatur DoS & DDoS Inbound Traffic Public Network Inputs - Network - Servers - Clients Application level threats Zero-Minute malware propagation Real-Time Signature Behavioral Analysis Inspection Module Closed Feedback Abnormal Activity Detection Outbound Traffic Enterprise Network Real-Time Signature Generation Optimize Signature Remove when attack is over Slide 44

40 Challenge/Response Botnet is identified (suspicious sources are marked) Attack Detection Real-Time Signature Created Light Challenge Actions Strong Challenge Action Selective Rate-limit?? X X TCP Challenge 302 Redirect Challenge Java Script Challenge RT Signature blocking Behavioral Real-time Signature Technology Challenge/Response Technology Uzavřená smyčka Real-time Signature Blocking Slide 48

41 AMS - co nabízí Detekce útoku Real-time signatura Challenge Druhý challenge Blokování Kombinace více bezpečnostních technologií QoE TCO Ochrana před síťovými a aplikačními útoky Ochrana před známými i neznámými (zero-day) útoky Prakticky nulové false-positive Granulární konfigurace, kombinace více metod blokování, real-time monitroing i dloudobý reporting Automatické generování signatur, bez nutnosti zásahu administrátora Slide 49

42 Behavorální analýza DNS provozu DNS dotazy jejich rozložení Četnost dotazů DNS QPS TEXT records MX records Other records A records AAAA records PTR records A records base line MX records base line PTR records AAAA records Time DoA per typ dotazu Fuzzy Logic Inference System Normal Suspect Attack Slide 52

43 SSL

44 Clear Ochrana před útoky v šifrovaném provozu Application cookie engines L7 ASIC Regex engine Traffic Anomalies Floods Network-Based DoS Attacks Application-Based DoS Attacks (Clear and SSL) Directed Application DoS Attacks (Clear and SSL) Clear Clear Encrypted Authenticated clients Encrypted Packet anomalies, Black & white lists Behavioral DoS & TCP cookie engines Client-side termination point Encrypted Alteon s SSL Acceleration Engine Slide 54

45 Další metody ochrany IP reputation Signatury Black-white list, ACL Řízení pásma (QoS) Server cracking Slide 56

46 WAF

47 Automatická tvroba pravidel App Mapping Threat Analysis Reservations.com /config/ /admin/ Risk analysis per application-path SQL Injection Spoof identity, steal user information, data tampering /register/ CCN breach Information leakage /hotels/ /info/ Directory Traversal Gain root access control /reserve/ Buffer Overflow Unexpected application behavior, system crash, full system compromise Slide 58

48 Doporučení ochrany Reservations.com App Mapping Threat Analysis Policy Generation /config/ /admin/ SQL Injection Prevent access to sensitive app sections /register/ CCN breach ***********9459 Mask CCN, SSN, etc. in responses. /hotels/ /info/ Directory Traversal Traffic normalization & HTTP RFC validation /reserve/ Buffer Overflow P Parameters inspection Slide 59

49 Counter Attacks

50 Mobile LOIC Attack traffic is dropped and connection is reset Slide 61

51 Mobile LOIC Attack traffic is dropped and source is suspended Slide 62

52 SOC a ERT služby

53 Radware AMS & ERT/SOC Security Operations Center (SOC) Pravidelné update signatur každý týden a kritické updaty okamžitě 24 x 7, znalost sdílená celosvětově Emergency Response Team (ERT) 24x7 služba pro zákazníky pod útokem Eliminace DoS/DDoS útotů, předejití škodám Slide 64

54 Reporty - PCI, HIPAA,... Compliance Reports PCI DSS FISMA GLBA HIPPA Slide 65

55 Patenty a certifikace Vlastní patenty v oblasti ochrany Nově (!): EAL 4+ Slide 66

56 Radware řešení DefensePro Výkonný hardware AppWall Web Application Firewall (WAF) APSolute Vision Management, monitoring a reporting Slide 67

57 Reference Příklady: E-Commerce: 2xMoinsCher.com Online prodej: G-Market Vládní organizace: Turecká vláda ISP: M-Soft (Jihlava) instalací operátoři, ISP, finanční sektor, podniková sféra, vládní organizace Slide 68

58 Závěr

59 Shrnutí Více vektorů útoků Uživatele nasazují více řešení Útočníci využivají mezer mezi neintegrovanými produkty Attack Mitigation System (AMS): Ochrana před APT (Advanced Persistent Threat = dlouhodobé kampaně ) Integrované řešení / korelace mezi jednotlivými metodami Řešení pro Online aplikace Datová centra, hosting, cloud Poskytovale internetu Slide 70

60 Thank You

61 Dotazy? Slide 72