Petr Zemánek BDM Security Bezpečnost v oblacích
Tady měl být vtip ale není není na tom nic vtipného
Cloud dobrý sluha ale zlý pán SaaS IaaS uživatelé data aplikace PaaS HQ Roaming user Branch
Kybernetické výzvy Malware a ransomware Trhliny ve viditelnosti a pokrytí Kompromitované účty a škodící zaměstnanci Narušení bezpečnosti dat a dodržování standardů
Cloud a bezpečnost Security Cloud Cloud Security Security in Cloud X X
Bezpečnostní cloud Úkoly : Centrální sběr a distribuce informací Analýza hrozeb Security Cloud Co by měl mít : Co nejvíce zdrojů Kvalitní analytický team Více geolokací Nepřetržitost služby (7x24) Security Cloud
Talos Intelligence centrální mozek bezpečnosti 1.5 Milionu vzorků malware denně Skenování celého internetu Produktová telemetrie Vulnerability Discovery (interní) Threat Intel 20 miliard zablokovaných hrozeb 600 Miliard emailů denně 16 Miliard webových požadavků denně Honeypoty Open Source komunity 700+ zaměstnanců z toho více jak 250 analytiků Miliony telemetrických agentů 4 Globální datacentra 500 Threat Intelligence partnerů 1100+ Threat pastí
Na velikosti záleží (Cloudu) Nejrychlejší detekce znamená méně času a prostoru pro akce útočníka - uzavře mezeru v bezpečnosti a poskytne efektivnější zabezpečení Blokace 91.8% útoků do < 3 minut Dáno : Obrovskou bází zdrojů dat Velké množství analytických nástrojů Silný analytický tým Čas potřebný k detekci (výsledky testování NSS Labs)
Zabezpečení cloudových aplikací Hlavní otázky : Jaká data jsou v cloudu? Kdo k nim přistupuje? Co s nimi provádí? Cloud Security Cloud Security
Co chceme chránit? Uživatelé / účty Data Aplikace Kdo a co dělá v mých cloudových aplikacích? Jak mohu detekovat kompromitaci účtů? Krade někdo interní má data? Mám nějaká toxická a/nebo regulovaná data v cloudu? Jak mohu zjistit porušování pravidel? Jak mohu zautomatizovat odstranění incidentů? Jak můžu monitorovat využívání aplikací a rizika? Mám připojeny nějaké aplikace třetích stran? Jak mohu odebrat rizikové aplikace?
CASB Security IT Cloud Native CASB SaaS All End - Users
CloudLock : Jak to funguje Security IT Content Classification Apps Firewall Security Analytics Encryption Management Incident Management Central Auditing Policy Automation User Behavior Analytics Configuration Security PaaS and IaaS SaaS IDaaS force.com force.com All End - Users
CloudLock : Jak to funguje Security IT Homegrown Apps Enterprise IT Apps Content Classification Apps Firewall Security Analytics Encryption Management Incident Management ISV Cloud Apps Central Auditing Policy Automation User Behavior Analytics Configuration Security PaaS and IaaS SaaS IDaaS force.com force.com All End - Users
Bezpečnost v cloudu aneb bezpečnost jako služba Security in Cloud Email Security as a Service Web SaaS DNS SaaS SIEMaaS VMaaS SaaS X X CWS CES
Proč používat DNS k blokování hrozeb Většina útočících C&C je iniciováno přes DNS lookupy s nějakými non-web callbacky 15% C&C obchází web porty 80 & 443 Příklady NON-WEB C&C Storm Regin Bifrose Starsypound (APT1) Pushdo/Cutwail DarkComet Gameover Zeus Gh0st Lethic Hesperbot Longrun (APT1) Seasalt (APT1) njrat PoisonIvy Citadel Kelihos Glooxmail (APT1) Zbot Tinba Biscuit (APT1) ZeroAccess Bouncer (APT1) Tinba 91% z C&C může být blokováno na úrovni DNS IP DNS IP Výzkum Lancope (nyní součást Cisco) 1 NON-WEB WEB Výzkum Cisco AMP Threat Grid 2 Miliony unikátních vzorků malware z malých kancelářských sítí za 2 roky miliony unikátních vzorků malware odeslaných do sandboxu během 6ti měsíců NOTE1: Visual Investigations of Botnet Command and Control Behavior (link) malware reached out to 150,000 C2 servers over 100,000 TCP/UDP ports malware often used 866 (TCP) & 1018 (UDP) well known ports, whereas legitimate traffic used 166 (TCP) & 19 (UDP) ports NOTE2: 2016 Cisco Annual Security Report 9% had IP connections only and/or legitimate DNS requests 91% had IP connections, which were preceded by malicious DNS lookups very few had no IP connections
Sběr informací a vynucení bezpečnosti na úrovni DNS Libovolné zařízení Recursive DNS Autoritativní DNS root com. domain.com. Vzorky dotazů Použity k detekci: Kompromitovaných systémů Command & control callbacky Malware & pokusy o phishing Domény generované algoritmem Domain co-occurrences Nově registrované domény Autoritativní logy Použity k detekci: Nově vytvořené infrastruktury Škodlivé domény, IPs, ASNs DNS hijacking Fast flux domény Návazné domény
Statistické modely 1M+ živých událostí za vteřinu Plně automatizováno C-Rank model (co-occurrences) Identifikuje další domény fungující jako prostředník pro útočící doménu Pomocí korelace rozkrývá další domény vztažené k útoku NLP-Rank model (Natural Language Processing & AS Matching) Detekuje doménová jména která napodobují značky a tech. term. v reálném čase Mnoho dalších modelů SP-Rank model (spike rank) Detekuje domény s náhlými výkyvy v provozu Hledá domény aktivně zapojené do útoků Prediktivní monitoring IP rozsahu Analýza hostovaných serverů za účelem detekce budoucích škodlivých domén Indikuje kroky předcházející škodlivým aktivitám Live DGA SecureRank Geo-Diversity Geo-Distance Včasná a nejpřesnější predikce a klasifikace
Proč to řešit na DNS z praxe Bylo provedeno 61 PoC po dobu cca 30 dní 66% narazilo na Ransomware (např. CryptoWall) Ve 100% případů byly odchyceny Plošné útoky (např.typo-squatted domény) U 17% byly Cílené útoky (např. Spear phishing) V 61% byl zachycen Exploit kit (např. Angler) V 39% byl detekován bankovní Trojan (typu Dyre) 1 z 1000 dotazů byl škodlivý (cca 1230 DNS dotazů/den/uživ.)
Únor 2017 Děkuji za pozornost