Anatomie současných útoků a jak se před nimi chránit Petr Lasek, RADWARE 22.11.2012
Agenda Radware Aktuální rizika Příklady útoků Attack Mitigation System (AMS) Případová studie Shrnutí Slide 2
APSolute řešení 1 1 3 RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace: - maximální dostupnost (Availability), - maximální výkon (Performance), - bezpečnost (Security) Slide 3
Radware 10,000+ zákazníků Stálý růst 144.1 88,6 77,6 81,4 68,4 54,8 38,4 43,3 43,7 108,9 94,6 4,9 14,1 1998 2000 2002 2004 2006 2008 2010 Zkušenosti v oblasti bezpečnosti Technologické partnerství Slide 4
Radware přehled řešení HTTP Monitor Web Services and XML Gateway Partner Inflight AppXML Message Queuing System Router Intrusion Prevention Mainframe Customers LinkProof DefensePro Alteon / AppDirector ESB Router Application Delivery Controller LinkProof WAN Link Optimizer / Load Balancer AppWall Web & Portal Servers Database servers Web Application Firewall Branch Office Application Servers Data Center Slide 5
Aktuální bezpečnostní rizika
Kombinované útoky Large volume network flood attacks Network scan Intrusion Port scan SYN flood attack Low & Slow DoS attacks (e.g., Sockstress) Brute force attack Intrusion, malware High and slow Application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF) Slide 7
Síťové a aplikační útoky Slide 8
Kombinované útoky Large volume network flood attacks Shrnutí Network scan Large volume SYN flood Low & Slow connection DoS attacks Útočníci Business kombinují více typů útoků a stačí aby jeden byl úspěšný Web application vulnerability scan DoS & DDoS se stávají standardní součástí útoků Application flood attack (Slowloris, Port 443 data flood, ) Web application attacks (e.g. XSS, Injections, CSRF) Slide 9
Bezpečnostní nástroje x útoky DoS Protection Behavioral Analysis IPS IP Reputation WAF Large volume network flood attacks Network scan Intrusion SYN flood Low & Slow DoS attacks Port scan Brute force attack Intrusion, Malware High & Low rate application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF) Slide 10
Co a před čím chrání? Protection Purpose Firewall IPS WAF Router ACLs Next Gen FW Anti-DoS Appliance (CPE) DLP Cloud Anti-DoS Data-At-Rest Protections (Confidentiality) Data-At-Endpoint (Confidentiality) Data-In-Transit (Confidentiality) Network Infrastructure Protection (Integrity) Application Infrastructure Protection (Integrity) Volumetric Attacks (Availability) Non-Volumetric Resource Attacks (Availability)
Anatomie útoku
APT Advanced Persistent Threat
Hacktivism příklady Komplexnost útoků Duration: 20 Days More than 7 attack vectors Inner cycle involvement Attack target: Vatican Duration: 3 Days 4 attack vectors Attack target: Visa, MasterCard Duration: 3 Days 5 attack vectors Only inner cycle involvement Attack target: HKEX Duration: 6 Days 5 attack vectors Inner cycle involvement Attack target: Israeli sites Slide 14
Časový průběh
7. Březen I. den Začátek útoku Day 1 Wed March 7 th ~13:30 20:17 Customer website was taken down by anonymous. Later, Radware Italy is invoked, ERT receive heads-up. DefensePro is deployed, ERT start building configuration. DefensePro na místě (ODS2) ERT tým Slide 16
8. Březen II. den Day2 Thurs March 8 th 12:45 ERT Continued refining configuration moving the device to an aggressive configuration. 14:00 Attacks begin and mitigated by the DefensePro. ERT monitors and conduct minor fine tuning. 24:00 Attacks ended. Útok blokován (DefensePro a ERT) Slide 17
9. Březen III. den Day3 Mon March 12 th Vyřešeno ERT 14:00 14:45 15:45 17:00 Směrovač nedokázal obsluhovat množśtví provozu Attack started ERT was initiated due to outage. ERT concluded the Juniper router (not protected by DefensePro) was the cause. ERT provided blacklist to be used by the router s ACL. Customer employed blacklist and Juniper improved router s configuration. This resolved the issue, and the site was up. Attacks continued but mitigated, and there was no need for further ERT support. Služba funguje Slide 18
Útok pokračoval déle než týden Automaticky blokován Bez zásahu ERT Slide 19
19. březen Mon March 19 th Morning Site is down UDP Attack peaking to 2M PPS ODS2 is limit to ~1M PPS Evening ODS3 is replacing ODS2 Attack is well mitigated. Slide 20
Útok pokračoval Automaticky blokován Bez zásahu ERT Konec Slide 21
Vektory útoku
Vektor I.: TCP Garbage Flood Attack Vector PSH+ACK Garbage Flood port 80 Description Mitigation TCP PSH+ACK packets that contain garbage data No initiation of proper TCP handshake Out-of-state Signature (SUS for all customers) Garbage Data Slide 23
Vektor II.: SYN Flood Attack Vector SYN Flood Description Port 80 460 attackers Mitigation BDOS SYN Protection (not activated, threshold were too high) BDOS Footprint Slide 24
Vektor III.: IP fragment flood to port 80 Attack Vector IP fragment Description TCP Protocol port 80 Frag offset = 512 TTL = 244 Same SRC IP (unusual for this attack) Mitigation BDOS BDOS Mitigation in Action Slide 25
Vector IV. : UPD Flood to Random Port Attack Vector Description Mitigation Attack Vector V: UPD Flood to Random Port UDP flood Packet contained Garbage data BDOS BDOS Mitigation in Action Slide 26
Evropská vládní instituce, Červenec 2012 Útočník posílal 3.4Mbps složený z 36 B DNS dotazů na 8 DNS serverů Doména s 43 registrovanými DNS záznamy. Odpověd 3991 B, 154 Mbps Navíc odpověd s fragmentovanými pakety Ochrana -DNS odpovědi blokovány pomocí BDoS modulu, fragmentované UDP pakety pomocí DoS-Shield modulu Slide 28
AMS = Attack Mitigation System
Radware Attack Mitigation System (AMS) Slide 30
AMS integrované bezpečnostní řešení DoS Protection Ochrana před všemi typy DoS/DDoS nastrojů Reputation Engine Finanční podovody Ochrana před phishingem IPS Ochrana před známymi útoky WAF Aplikační firewall NBA Zneužítí aplikací Ochrana před neznámými útoky (zerominute) Slide 31
OnDemand Switch: výkonný hardware DoS Mitigation Engine ASIC Proti DoS/DDoS utokům 12 M PPS IPS & Reputation Engine ASIC - String Match & RegEx Engine Deep packet inspection NBA & WAF OnDemand Switch Kapacita až 14Gbps Slide 32
Rozdíl: výkon pod útokem 12 Million PPS Attack Traffic Bez vlivu na ostatní provoz Útok blokován na úkor bežného provozu Multi-Gbps Capacity Legitimate Traffic Attack Attack Multi-Gbps Capacity Attack Legitimate Traffic Traffic + Attack DefensePro Other Network Security Solutions Slide 33
Flood Packet Rate (Millions) Mitigation Performance (DME) 12 10 8 6 4 2 0 0 5 10 15 Legitimate HTTP Traffic (Gbit/s) Slide 34
Radware Security Event Management (SEM) 3 rd SIEM Correlated reports Trend analysis Compliance management RT monitoring Advanced alerts Forensics Slide 35
AMS = synergie Útok proti webu ze zdroje A Advanced configuration Role-based access control Black list - A Scanning aplikací detekován ze zdroje A Slide 36
Síťové DoS útoky
NBA a RT Signature Technologie Public Network Mitigation optimization process Initial Filter Closed feedback Inbound Traffic Real-Time Signature Initial filter is generated: Packet Filter ID Optimization: ID ID AND AND IP Packet ID AND Source IP IP AND AND Packet size size AND TTL 5 Blocking Rules Start Traffic mitigation characteristics 1 2 Statistics Final Filter 0 Up to 10 10+X 3 Learning Time [sec] Detection Engine Degree of Attack = High Low Filtered Traffic Outbound Traffic Protected Network Signature parameters Source/Destination Narrowest filters IP Source/Destination Port Packet Packet size ID TTL Source (Time IP To Address Live) DNS Packet Query size Packet TTL (Time ID To Live) TCP sequence number More (up to 20) RT Signatures 4 Degree of Attack = Low High (Negative (Positive Feedback) Slide 39
Attack Degree axis NBA - Fuzzy logika Flash crowd Z-axis Attack area Decision Engine Suspicious area Attack Degree = 5 (Normal- Suspect) X-axis Normal adapted area Y-axis Normal TCP flags ratio Abnormal rate of Syn packets Slide 40 40
Behaviorální analýza & generováni signatur DoS & DDoS Inbound Traffic Public Network Inputs - Network - Servers - Clients Application level threats Zero-Minute malware propagation Real-Time Signature Behavioral Analysis Inspection Module Closed Feedback Abnormal Activity Detection Outbound Traffic Enterprise Network Real-Time Signature Generation Optimize Signature Remove when attack is over Slide 44
Challenge/Response Botnet is identified (suspicious sources are marked) Attack Detection Real-Time Signature Created Light Challenge Actions Strong Challenge Action Selective Rate-limit?? X X TCP Challenge 302 Redirect Challenge Java Script Challenge RT Signature blocking Behavioral Real-time Signature Technology Challenge/Response Technology Uzavřená smyčka Real-time Signature Blocking Slide 48
AMS - co nabízí Detekce útoku Real-time signatura Challenge Druhý challenge Blokování Kombinace více bezpečnostních technologií QoE TCO Ochrana před síťovými a aplikačními útoky Ochrana před známými i neznámými (zero-day) útoky Prakticky nulové false-positive Granulární konfigurace, kombinace více metod blokování, real-time monitroing i dloudobý reporting Automatické generování signatur, bez nutnosti zásahu administrátora Slide 49
Behavorální analýza DNS provozu DNS dotazy jejich rozložení Četnost dotazů DNS QPS TEXT records MX records Other records A records AAAA records PTR records A records base line MX records base line PTR records AAAA records Time DoA per typ dotazu Fuzzy Logic Inference System Normal Suspect Attack Slide 52
SSL
Clear Ochrana před útoky v šifrovaném provozu Application cookie engines L7 ASIC Regex engine Traffic Anomalies Floods Network-Based DoS Attacks Application-Based DoS Attacks (Clear and SSL) Directed Application DoS Attacks (Clear and SSL) Clear Clear Encrypted Authenticated clients Encrypted Packet anomalies, Black & white lists Behavioral DoS & TCP cookie engines Client-side termination point Encrypted Alteon s SSL Acceleration Engine Slide 54
Další metody ochrany IP reputation Signatury Black-white list, ACL Řízení pásma (QoS) Server cracking Slide 56
WAF
Automatická tvroba pravidel App Mapping Threat Analysis Reservations.com /config/ /admin/ Risk analysis per application-path SQL Injection Spoof identity, steal user information, data tampering /register/ CCN breach Information leakage /hotels/ /info/ Directory Traversal Gain root access control /reserve/ Buffer Overflow Unexpected application behavior, system crash, full system compromise Slide 58
Doporučení ochrany Reservations.com App Mapping Threat Analysis Policy Generation /config/ /admin/ SQL Injection Prevent access to sensitive app sections /register/ CCN breach ***********9459 Mask CCN, SSN, etc. in responses. /hotels/ /info/ Directory Traversal Traffic normalization & HTTP RFC validation /reserve/ Buffer Overflow P Parameters inspection Slide 59
Counter Attacks
Mobile LOIC Attack traffic is dropped and connection is reset Slide 61
Mobile LOIC Attack traffic is dropped and source is suspended Slide 62
SOC a ERT služby
Radware AMS & ERT/SOC Security Operations Center (SOC) Pravidelné update signatur každý týden a kritické updaty okamžitě 24 x 7, znalost sdílená celosvětově Emergency Response Team (ERT) 24x7 služba pro zákazníky pod útokem Eliminace DoS/DDoS útotů, předejití škodám Slide 64
Reporty - PCI, HIPAA,... Compliance Reports PCI DSS FISMA GLBA HIPPA Slide 65
Patenty a certifikace Vlastní patenty v oblasti ochrany Nově (!): EAL 4+ Slide 66
Radware řešení DefensePro Výkonný hardware AppWall Web Application Firewall (WAF) APSolute Vision Management, monitoring a reporting Slide 67
Reference Příklady: E-Commerce: 2xMoinsCher.com Online prodej: G-Market Vládní organizace: Turecká vláda ISP: M-Soft (Jihlava) 1000+ instalací operátoři, ISP, finanční sektor, podniková sféra, vládní organizace Slide 68
Závěr
Shrnutí Více vektorů útoků Uživatele nasazují více řešení Útočníci využivají mezer mezi neintegrovanými produkty Attack Mitigation System (AMS): Ochrana před APT (Advanced Persistent Threat = dlouhodobé kampaně ) Integrované řešení / korelace mezi jednotlivými metodami Řešení pro Online aplikace Datová centra, hosting, cloud Poskytovale internetu Slide 70
Thank You www.radware.com
Dotazy? petrl@radware.com www.radware.com Slide 72