Evento Xenesys - Security Conference

Lo scenario è cambiato: le dimensioni del cybercrime

Gianandrea Daverio | Security Expert di Xenesys

La «temperatura» del pianeta 3

Le aree “sotto attacco” 4

Il Cybercrime in Italia 5

Il giro d’affari mondiale del cybercrime nel 2012 supera i 100 miliardi di dollari In Italia oltre 200 attacchi registrati verso enti, aziende e associazioni Hacktivismo, sottrazione di denaro e spionaggio: le principali motivazioni

Il Cybercrime in Italia 6

Fonte: rapporto Clusit sul cybercrime in Italia

February 26, 2012 June 5, 2011

March 17, 2011

June 1, 2011

January 25, 2007

February 08, 2000 January 25, 2007

February 10, 2012 February 3, 2012

November 8, 2012

November 15, 2012

June 21, 2012 October 11, 2009

November 28, 2010

Janueary 20, 212 !!! HACKED !!!

7

I casi eclatanti

Le tecniche di attacco 8

Phishing & Online Frauds

ATTACKER USER

1 2

3

4

5

9

Un Attacker sfrutta le tecniche di attacco basate su SQL Injection per inserire un contenuto malevolo all’interno del sito target

Un utente legittimo accede normalmente alla home page del sito attaccato

Il sito risponde alla richiesta dell’utente e, in poche e impercettibili frazioni di secondo, lo reindirizza verso un sito malevolo con il medesimo «look & feel» del sito originale, appositamente predisposto

L’utente, ignaro di operare all’interno del sito malevolo, inserisce le proprie credenziali che vengono salvate

L’Attacker, amministratore del sito malevolo, raccoglie le credenziali ottenute illegalmente dagli ignari utenti del servizio sotto attacco

1

2

3

5

4

SQL Code Injection

ATTACKER

USER

DB

html response

h�p requests

h�ps://sito.it/disponibilita.php?itemid=2 union all select customer.username,customer.password,3,4,5

h�ps://sito.it/disponibilita.php?itemid=2

1

2

10

Un utente del servizio effettua una richiesta regolare per verificare la disponibilità di uno degli oggetti presenti nel catalogo proposto dal sito.

Un Attacker altera con ulteriori istruzioni SQL la richiesta regolare richiedendo la disponibilità di uno degli oggetti presenti nel catalogo proposto dal sito, ma anche l’elenco delle utenze e delle password, ottenendo in questo modo accesso ai privilegi di utenti autorizzati e amministratori del sistema.

1

2

Denial of Service 11

§  All’interno del mercato illegale un «Attacker» può «noleggiare» le infrastrutture necessarie all’esecuzione di attacchi mirati, dai siti di Command & Control con Botnet di migliaia di computer ai siti che mettono a disposizione i codici degli «exploit» necessari all’esecuzione dell’attacco

§  Migliaia di computer «dormienti» appartenenti a utenti inconsapevoli effettuano contemporaneamente attività – lecite e non - nei confronti del siti o delle reti «target» dell’ «Attacker»

§  Sottoposto a tale quantità di traffico, le risorse di sistema, di rete e di connettività vengono portate a esaurimento con un effetto di Denial of Service

ATTACKER

C&C SITE 1 C&C SITE 2

C&C SITE 3

EXPLOIT DB

TARGET SITE

ZOMBIE NET

$$$

Advanced Persistent Threats

ATTACKER USER

1 2

3

4

12

Un Attacker sfrutta le tecniche di attacco basate su SQL Injection per inserire un contenuto malevolo all’interno del sito target

Un utente legittimo accede normalmente alla home page del sito attaccato

Il sito risponde alla richiesta dell’utente trasmettendo la pagina web richiesta e i relativi oggetti, compreso il codice malevolo iniettato dall’Attacker che si installata a bordo del computer remoto

L’Attacker sfrutta il codice malevolo installato sul sistema dell’utente per ottenere accesso non autorizzato a dati, applicazioni e per inviare comandi al sistema infetto e utilizzarlo per propagare codice malevolo all’interno della rete locale

1

2

3

4

Malicious Apps

ATTACKER

1

2

3

USERS

4

5

13

L’Attacker preleva una applicazione (tipicamente un gioco) da un App Store ufficiale (es. Google Play)

L’Attacker ripacchettizza l’applicazione includendo un codice malevolo che consente il controllo remoto delle attività svolte dal dispositivo

L’Attacker pubblica l’applicazione su App Store alternativi di terze parti, che spesso effettuano un controllo meno capillare delle app prima di pubblicarle

L’Attacker pubblicizza la nuova App tramite «spam» attraverso canali quali posta elettronica, siti web e social media

L’utente che preleva la nuova applicazione dal App Store alternativo sta in realtà installando oltre all’applicazione anche il codice malevolo che trasmetterà periodicamente informazioni all’Attacker

1

2

3

4

5

Mobile Exploits

h�p://xenesys.badsite.hk

14

§  All’interno dei siti Mobile (attraverso l’utilizzo di tecniche di SQL Injection per ottenere accesso amministrativo non autorizzato al sistema)

§  All’interno di banner promozionali appositamente creati e diffusi in rete

§  Addirittura sulle locandine pubblicitarie in metropolitana vengono sostituiti i QR Code originali con codici contraffatti che indirizzano l’ignaro utente a siti alternativi indirizzati alla distribuzione di codice malevolo o alla cattura delle credenziali degli utenti

Approfondimento

“I am a Lecturer in the School of Computer Science at the University of Birmingham, UK. I completed my Ph.D. degree in Computer Science at the University of California, Santa Barbara” “My research interests include most aspects of computer security, with an emphasis on web security, vulnerability analysis, electronic vo�ng security, and intrusion detec�on”

Le nuove fron�ere del Malware e dei sistemi di difesa

15

Lastline 16

Radware 17

Blue Coat 18

RSA|EMC 19

Malware Oggi: Le Nuove Fron�ere del Malware e

dei Sistemi di Difesa

Marco Cova

© Copyright – Lastline, Inc. Tu� i diri� riserva�

Ogni diri�o sui contenu� della presentazione è riservato ai sensi della norma�va vigente. La riproduzione, la pubblicazione e la distribuzione, totale o parziale, di tu�o il materiale originale contenuto in questa presentazione (tra cui, a �tolo esemplifica�vo e non esaus�vo, i tes�, le immagini, le elaborazioni grafiche) sono espressamente vietate in assenza di autorizzazione scri�a.

Copyright

Marco Cova

  Interessi di ricerca: rilevamento e analisi di malware, sicurezza web e analisi delle vulnerabilità

  Ha pubblicato oltre 25 lavori sul tema della computer security in conferenze e riviste internazionali

[email protected] [email protected]

Docente presso la School of Computer Science, Università di Birmingham, UK. Membro fondatore di Lastline, Inc.

Targeted A�acks e Cyberwar

!!!

Tempo

Danni genera� in €

Milioni

Cen�naia di migliaia

Migliaia

Cen�naia

Miliardi

Cybercrime

$$$ Cybervandalism

#@!

Cybera�ack (R)Evolu�on

A�acchi ai Media

A�acchi a Fornitori per la Difesa

A�acchi a Security Companies

A�acchi a Compagnie di Manufacturing

A�acchi ai Singoli Individui

GLI ATTACCANTI

C’era una volta..

h�p://www.ted.com/talks/mikko_hypponen_figh�ng_viruses_defending_the_net.html

Oggi

  Proliferazione del cybercrime per profi�o finanziario –  ZeuS

  A�acchi mira� (“targeted a�acks”) – Aurora (Google e altri) –  RSA SecureID

  Sviluppo della cyber warfare –  Stuxnet –  Flame

“Rubare qualsiasi informazione abbia valore”

A�acchi, Exploit e Botnet

Fase 1. Infe�are la vi�ma con malware

  Usare un exploit (codice) che sfru�a una vulnerabilità nota (se l’utente non ha tu� gli ul�mi aggiornamen� sul sistema)

  Lanciare uno “zero-‐day exploit,” che sfru�a una vulnerabilità non nota al momento dell’a�acco

  Lanciare un a�acco di social engineering


Fase 2. Far filtrare all’’esterno da� sensibili

  La macchina dell’utente è adesso un “bot”, completamente so�o il controllo dell’a�accante

  Il malware raccoglie da� “interessan�” e li manda al server di “Command & Control” (C&C)

Numeri di carte di credito Nomi utente e password Documen� sensibili


Fase 3. Ricevere istruzioni dal botmaster   Cominciare ad inviare

spam   Lanciare un a�acco di

denial of service   Cancellare tu� i file sul

disco   …

Istruzioni di a�acco

Trovare gli A�accan�: Una Volta

Trovare gli A�accan�: Oggi

h�p://intelreport.mandiant.com/Mandiant_APT1_Report.pdf

GLI ATTACCHI

Capire gli A�acchi

  Mol� ve�ori diversi, ta�che, e specifici trucchi   Due domande fondamentali da tenere in mente: – Come entrano gli a�accan�? – Come raccolgono e portano fuori le informazioni di valore?

A�acchi Drive-‐by-‐download

  Gli a�accan� preparano un sito web malevolo e vi a�rano traffico   Quando un utente visita il sito web, riceve pagine che contengono codice malevolo (�picamente codice JavaScript)   Il codice malevolo prova a lanciare degli exploit contro il browser o i suoi plugin.   Se ha successo, l’a�accante può eseguire del codice di suo piacimento sulla macchina della vi�ma (�picamente, inizia il download e l’installazione di malware)

A�acchi Drive-‐by-‐download

.js

document.writeln( unescape(”%3c%49%46 %52%41%4d%45%20%6e%61%6d%65%3d%63%38%33%33%36%35%65%35%64%37%61%61%20%73%72%63%3d%27%”);

ca�vo.js

GET /

<iframe>

Codice Malevolo

Exploit

A�rare le Vi�me: Social Engineering

A�rare le Vi�me: SEO

h�p://cseweb.ucsd.edu/users/voelker/pubs/juice-‐ndss13.pdf h�p://faculty.cs.tamu.edu/guofei/paper/PoisonAmplifier-‐RAID12.pdf

A�rare le Vi�me: A�acco Watering Hole

  A volte è difficile colpire l’obie�vo di un a�acco dire�amente –  Una alterna�va è

comprome�ere un sito terzo che si ipo�zza venga visitato

dall’obie�vo   Council on foreign rela�ons → Ufficiali governa�vi

  Si� di news cinesi non allinea� al regime → Dissiden� cinesi

  Sito di sviluppo per iPhone → Sviluppatori di Apple, Facebook, Twi�er, etc.

  Sito web della rivista Na�on Journal → Poli�ci di Washington

A�rare le Vi�me: Spear Phishing

From: [email protected] To: [email protected] Date: Monday February 6, 2012 05:51:24 A�achment: 23 �rcs.pdf االلسسااددةة االلززممللااء ففيي ممككتتبب االلررممووزز 23 ييررججىى ااععللااممنناا ععنن ااسستتللاامم االلببررققييةة االلخخااصصةة ررققمم ممعع االلششككرر أأببوو ظظببيي / االلسسففااررةة -‐-‐-‐-‐ Msg sent via @Mail -‐ h�p://atmail.com/

Colleghi dell’ufficio codici, Per cortesia, confermate la ricezione del telegramma No. 23 che trovate in allegato Grazie, Ambasciata / Abu Dhabi

Dopo l’Infezione Case Study di una Botnet

h�p://cs.bham.ac.uk/~covam/data/papers/ccs09_torpig.pdf

Hijacking di una Botnet

  Abbiamo analizzato il Domain Genera�on Algorithm (DGA) usato in Torpig ed il protocollo usato dal Command & Control –  I domini genera� dal 25/1/2009 al 15/2/2009 non erano registra�

–  Li abbiamo quindi registra� noi   Di conseguenza, abbiamo preso controllo della botnet per 10 giorni –  Visibilità unica del comportamento della botnet –  8.7 GB di log di Apache –  69 GB di traffico di rete ca�urato contenente le informazioni rubate

Dimensione di una Botnet   S�ma del numero delle infezioni

–  Talvolta basata sul numero di indirizzi IP univoci –  Problema�ca: effe� del DHCP e del NAT (vediamo 1.2M di IP unici)

–  Il nostro conteggio si basa sulle informazione nell’header: vis� circa ~180K hosts

Minacce

  Credenziali per 8310 account univoci su 410 is�tuzioni finanziarie –  Top 5: PayPal (1770), Poste Italiane, Capital One, E*Trade, Chase

–  38% delle credenziali rubate dai password manager dei browser

  1660 carte di credito –  Top 3: Visa (1056), Mastercard, American Express, Maestro, Discover

–  US (49%), Italy (12%), Spain (8%) –  Tipicamente una carta di credito per ciascuna vi�ma, ma ci sono eccezioni…

32

Valore delle Informazioni Finanziarie

  Symantec [2008] s�ma –  Valore di una carta di credito tra $.10 e $25.00 –  Valore di un account bancario tra $10.00 e $1,000.00

  Secondo le s�me di Symantec, 10 giorni di da� raccol� da Torpig “valgono” tra gli 83 mila e gli 8.3 milioni di dollari

0

200

400

600

800

1000

1200

1400

01-21 01-23 01-25 01-27 01-29 01-31 02-02 02-04 02-06 10

100

1000

10000

100000

1e+06

1e+07

New

ban

k a

cco

un

ts a

nd

cre

dit

car

ds

(#)

Val

ue

($)

Date

New bank accounts and credit cardsMax valueMin value

Banking Trojans

h�p://edetools.blogspot.it/2012/01/phishing-‐unicredit-‐11-‐gennaio.html

Bypassare mTAN – a la Eurograbber

https://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf

35

Costo per le Vi�me (Oltre al Danno)

  Ponemon Ins�tute -‐ s�ma 2011

–  Costo di ogni record perduto   78 € in Italia (h�p://www.ponemon.org/local/upload/file/2011_IT_CODB_Final_5.pdf)

  194 $ in US (h�p://www.ponemon.org/local/upload/file/2011_US_CODB_FINAL_5.pdf)

LA DIFESA

In un Mondo Ideale

Codice Sicuro   Il So�ware che usiamo non con�ene vulnerabilità

  Le vulnerabilità sono mi�gate applicando principi di sicurezza e corre�a ingegnerizzazione (minimi privilegi, contenimento, etc.)

Sfortunatamente, a�ualmente ci sono pochissimi “programmi sicuri” e spesso in se�ori specializza� (regolamentazione vs. innovazione)

Sensibilizzazione dell’utente

  Gli uten� sono consci delle minacce alla sicurezza a cui si espongono

  Prendono sempre la “giusta” decisione

Sfortunatamente, esperimen� dimostrano che gli uten� non sono assolutamente accor� nel prendere decisioni legate alla sicurezza (social engineering vs. usabilità)

Soluzioni Legali

h�p://www.zdnet.com/blog/bo�/who-‐killed-‐the-‐fake-‐an�virus-‐business/3832

Le autorità russe arrestano il cofondatore di ChronoPay, il più grande provider di pagamen� online

Soluzioni di Buon Senso   Mantenere il so�ware aggiornato

  Sfortunatamente, inu�le contro gli a�acchi 0-‐day

Soluzioni di Buon Senso   Non aprire link/allega� da fon� sconosciute

  Sfortunatamente, inu�le contro a�acchi social/targeted

Soluzioni di Buon Senso

  Limitare l’accesso web a si� fida� o con buona reputazione

  Sfortunatamente, inu�le contro a�acchi “waterhole” e si� web compromessi

  Accesso ai servizi sensibili (e.g., online banking) da macchine dedicate

  Sfortunatamente, poco pra�co

Soluzioni di Buon Senso

Le Soluzioni A�uali non Sono Adeguate

Cara�eris�che del Malware Avanzato

  Evasione “sta�ca”: offuscazione e poliformismo

Fonte: Binary-‐Code Obfusca�ons in Prevalent Packer Tools, Tech Report, University of Wisconsin, 2012

Number of �mes a hash is seen

> 93% dei campioni malware sono unici

Immuni agli an�virus signature-‐based


  Evasione a run-‐�me – controlli sull’ambiente d’esecuzione

Invisibile alle sandbox e alle virtual machines


  Evasione a run-‐�me – stalling loops

Invisibile alle sandbox e alle virtual machines

Idee per una Miglior Difesa

  Analisi degli artefa� in entrata nella rete – Web download, allega� email

  Analisi del traffico in uscita – Dove è dire�o? Cosa esce? Come è inviato?

  Mappatura dell’infrastru�ura malware a livello globale   Mappatura delle cara�eris�che locali per individuare anomalie e pa�ern sospe�   Techniche di analisi di nuova generazione contro il malware evasivo

Lezioni Imparate

  Gli a�acchi sono sempre più di �po mirato   “Gli a�accan� non puntano al firewall. Puntano agli individui”

  Gli a�accan� sono tenaci e pazien�   Necessario un approccio di difesa che preveda un monitoraggio costante

  Gli a�accan� sviluppano tool ad hoc e a�accano dopo che hanno o�enuto l’accesso al target   Una visione globale è ancora importante, ma…   È fondamentale la costruzione di difese specifiche, in base alle cara�eris�che ed alle a�vità del target

  Malware Evasivi   Necessari strumen� di prossima generazione

DOMANDE? [email protected]

Security Conference Xenesys Firenze 11 Giugno 2013

Davide Carlesi Lastline, Inc. -‐ Country Manager Italia, Grecia, Cipro e Malta

[email protected] – 335.82.64.362

Protection Against Advanced Malware

Copyright

© Copyright – Lastline, Inc. Tu� i diri� riserva�

Ogni diri�o sui contenu� della presentazione è riservato ai sensi della norma�va vigente. La riproduzione, la pubblicazione e la distribuzione, totale o parziale, di tu�o il materiale originale contenuto in questa presentazione (tra cui, a �tolo esemplifica�vo e non esaus�vo, i tes�, le immagini, le elaborazioni grafiche) sono espressamente vietate in assenza di autorizzazione scri�a.

“The Problem”

Simple Threats

Opp

ortu

nist

ic A

ttack

s

AAPPTT SSoolluuttiioonnss

AAnnttiivviirruuss SSoolluuttiioonnss

Current solutions fail to protect organizations from sophisticated,

targeted attacks.

SSeeccuurriittyy GGaapp

Targ

eted

Atta

cks

Packing

Sophisticated Threats

Plain Virus

Poly- morphic

C&C

Fluxing

Persistent Threats

Evasive Threats

Queste cose succedono agli altri…

“The Solu�on”

Protection Against Advanced Malware

Presentazione Azienda

La soluzione più avanzata per rilevare, analizzare e mi�gare APTs, a�acchi mira� (targeted a�acks), e 0-‐day threats

  Fondata da un team di ricercatori della Università di California Santa Barbara (UCSB), Technical University di Vienna, e Northeastern University

–  Accademici di fama mondiale –  Tecnologia basata su oltre 8 anni di

ricerca su APT e minacce avanzate

–  Lo stesso team che ha sviluppato Anubis & Wepawet

Accademici di fama mondiale L’h-‐index è una metrica che misura sia la produ�vità che l’impa�o delle pubblicazioni effe�uate da un ricercatore.

Christopher Kruegel (CSO Lastline) è il più prolifico ricercatore degli ul�mi 10 anni per l’ambito di Security and Privacy. Giovanni Vigna (CTO) occupa la posizone 12 e Engin Kirda (Chief Architect) il numero 28 all’interno della stessa graduatoria.

Leadership Tecnologica

Anubis / Wepawet

  Anubis = Malware sandbox   h�p://anubis.cs.ucsb.edu

  Wepawet = Drive-‐by exploit detector   h�p://wepawet.cs.ucsb.edu

  Strumen� “Open Universitari” u�lizza� ogni giorno da decine di migliaia di uten� (incluse società appartenen� alle Fortune 500, is�tuzioni pubbliche e governa�ve, aziende appartenen� al mercato finance, e vendor/produ�ori di soluzioni di sicurezza)

Lastline : Misure contro gli Advanced Malware

  Analisi degli artefa� in ingresso (cosa entra) – Web downloads e allega� eMail (Windows PE, MS/Open Office, PDF, Flash, archivi Zip, Java e Apk)

  Analisi e blocco del traffico in uscita (cosa esce) – Traffico DNS, traffico web (e tu�o il TCP)

  Cosa esce   Dove va (anche se cifrato)   Come viene inviato

  Uso della correlazione per presentare un quadro completo al system administrator   Iden�ficazione dei client infe�

Componen� tecnologiche Lastline

Ac�ve threat discovery per iden�ficare i si� & endpoint malevoli con la massima ampiezza e completezza di visione possibile

Strumen� di analisi malware ad alta risoluzione, in grado di capire il comportamento del malware senza cadere nelle tecniche di evasione Analisi big data del traffico di rete, per iden�ficare le anomalie ed i pa�ern di da� sospe� scambia� come traffico interno

Analisi del malware ad elevata risoluzione

Monitoraggio del traffico (DNS e Ne�low)

Discovery Proa�vo delle Minacce

Emulazione del codice macchina del malware

Monitoraggio passivo del traffico DNS e analisi d e i fl u s s i N e� l ow ““arricchi�””

B r o w s e r s i n t e � c i scansionano Internet al la scoperta del le minacce emergen�

L a s t l i n e c on sen te d i r i levare malware con elevate capacità di evadere le tecnologie tradizionali

L a s t l i ne Consen te d i rilevare in modo euris�co domini di comando e controllo sconosciu� o dinamici (Fast-‐Flux/DGA)

L a s t l i ne consen te d i rilevare le minacce prima che queste si diffondano. Le altre tecnologie hanno un approccio «rea�vo».

Correla�on & Incident Management

Overview Tecnologico

High Resolu�on Malware Analysis

  Dynamic analysis in Lastline Next Genera�on Sandbox –  runs binaries, accesses web pages, opens documents –  monitors and classifies observed behaviors (ac�vi�es)

  Code emula�on instead of virtual machine (VM) or bare metal –  we can see every instruc�on that malware executes, not just the opera�ng system calls that it invokes

–  in other words, we can look inside the malware execu�on –  provides vastly increased visibility

Lastline High-‐Resolu�on Malware Analysis

Visibility without code emula�on

(tradi�onal sandboxing technology)

Important behaviors and evasion happens here

Visibility with code emula�on

Lastline technology

Engine sees every instruction that the malware executes

High Resolu�on Malware Analysis

Lastline -‐ Importance of increased visibility

  More behaviors can be revealed –  data flows and data leakage –  malware checks for specific keywords (targeted a�ack behavior) –  automated detec�on of command and control (C&C) connec�ons

  Strong resistance to evasion –  bypass triggers –  accelerate stalling code

Lastline 0-‐day Detec�on Capabili�es

Opera�on Aurora   Targeted a�ack that compromised Google and other US companies

  Used 0-‐day exploit against Internet Explorer 6

Our system successfully analyzed the a�ack before it became public

Lastline Ac�ve Threat Discovery

  Iden�fica�on of threats and automated genera�on of detec�on models before customer is exposed

  Cloud-‐based crawling and analysis engines –  comprehensive coverage for both malware threats and distribu�on

vectors (drive-‐by exploits) –  precise models through aggressive cleaning of data (to avoid false posi�ves)

I get stuff from my customers, but I am blind related to data from non-customers, so [Lastline] data is great to complement mine -‐ An�virus Vendor

I like the data. Everything I looked at was very likely an infection point … 57% were new infected domains. -‐ UTM Vendor

Lastline Ac�ve Threat Discovery

  Comprehensive coverage –  we use a broad range of input vectors –  we ac�vely search the web for drive-‐by download exploits and download the distributed malware

–  we perform targeted web crawling and search for bad neighborhoods on the Internet

  Precise models –  check reputa�on of des�na�ons of suspicious connec�ons –  con�nuously monitor up�me of malicious loca�ons

Lastline Enterprise Traffic Monitoring

  Checking for anomalous network traffic that reveals presence of malware-‐infected machines

  Analysis of (passive) DNS and NetFlow data to detect –  use of domain name genera�on algorithms –  IP fast-‐flux ac�vity –  suspicious, periodic (command and control) traffic

  Advanced Internal Enterprise Traffic Monitoring Features for Advanced Targeted A�ack –  specific a�acks evade the An�-‐APT Solu�ons

Soluzioni di Advanced Malware Defence   PREVICT™ Web -‐ Hosted

–  Next Genera�on Advanced Malware Protec�on (Web & Binary Analysis)

  PREVICT™ Mail -‐ Hosted –  Next Genera�on Advanced E-‐Mail Malware Protec�on (Binary & URL Analysis)

  PREVICT™ Web & Mail -‐ On Premise –  Lastline Customer’s Private Cloud

  PREVICT™ Analyst PRO –  Next Genera�on Sandbox (Binary/DOCS & URL Analysis) via Web Interface

  GUARDIA™ –  Web Malware Scanning & Protec�on Cloud Service

Soluzione Lastline -‐ Hosted

Sen�nel fa uno scan del traffico alla ricerca di segni ed anomalie che rivelano

connessioni di C&C ed infezioni

Lastline proa�vamente fa scou�ng su Internet alla ricerca di minacce e genera update per la base di conoscenza del Sen�nel Il Manager riceve e correla gli

alert e produce informazioni per sucessive azioni

Il Sen�nel invia gli artefa� sconosciu� (programmi e documen�) per l’analisi

ad alta risoluzione

Soluzione Lastline -‐ On Premise

Lastline proa�vamente fa scou�ng su Internet alla ricerca di minacce e genera updates per la base di conoscenza del Sen�nel

Il Sen�nel invia gli artefa� sconosciu� (programmi e documen�) per l’analisi

ad alta risoluzione

Il Manager riceve e correla gli alerts e produce

informazioni per sucessive azioni

Sen�nel fa uno scan del traffico alla ricerca di segni ed anomalie che rivelano

connessioni di C&C ed infezioni

Corrella�on & Incident Management

C&C Site

Exploit Site

Lastline Hosted Infrastructure

Heterogeneous Clients and Mobile Devices

External DNS

Internal DNS

M a n a g e m e n t Interface used to get updates and send the logs to the cloud

SPAN/Mirror Port listens to traffic and DNS queries from clients

Deployment Scenario – Porte Span

C&C Site

Exploit Site



External DNS

Internal DNS

Management Interface used to get updates and send the logs to the cloud

Deployment Scenario -‐ Inline

Deployment Scenario -‐ Proxy

C&C Site

Exploit Site


DMZ Firewall


External DNS

Internal DNS

Web Proxy SPAN/Mirror Port listens to internal traffic and DNS queries from clients

SPAN/Mirror Port listens to Outgoing traffic from Proxy and DNS queries

M a n a g e m e n t Interface used to get updates and send the logs to the cloud

C&C Site

Exploit Site



External DNS

Email Server

The Mail Server/Mail R e l a y m u s t b e configured so that the incoming emails that must be analyzed are BCC’ed to a Service Mailbox

PREVICT™ Mail -‐ Deployment Scenario

The Previct Sen�nel is configured to poll the service mailbox via IMAP or POP3 and to download the email via a n e n c r y p t e d connec�on. The emai is sent to the cloud to be analyzed

1

2

The same sensor is able to scan inbound h�p and email traffic (provided the needed license is purchased). The load of the email scan can be shared among different sensors.

POP3 or IMAP

Email a�achments are sent to the cloud (Hosted or On-‐Premise – do�ed line) to be analyzed

Customer On-‐Premise Infrastructure

Previct Analyst Previct Manager

Previct Sen�nel

Previct Sen�nel Lastline Hosted Solu�on

PREVICT™ Analyst Deployment Scenario

Ac�ve Threat

Intelligence

Alerts & Ar�facts

Customer On-‐Premise Solu�on

Guardia ™ : Web Malware Scanning & Protec�on Cloud Service

Considerazioni Rela�ve alla Privacy •  Il sensore Lastline PREVICT™ Sen�nel monitorizza il traffico di rete per rilevare e

bloccare tenta�vi di a�acco contro endpoint interni all'organizzazione. •  Per la massima accuratezza, il sensore invia al Data Center alcune informazioni rela�ve

al traffico malevolo rilevato. Le informazioni inviate non hanno impa�o su privacy e profilatura uten�.

•  In de�aglio le informazioni inviate al backend in modalità cifrata sono le seguen�: -‐  Informazioni rela�ve agli allarmi -‐  I nomi dei domini risol� -‐  Il contenuto delle connessioni malevole: Una parte del contenuto delle connessioni malevole

viene inviato per verificare la consistenza e l’impa�o dell'allarme

-‐  Programmi eseguibili e documen� scarica� da Internet: Gli eseguibili scarica� da Internet (e quindi pubblici) sono analizza� all’interno della Sandbox evoluta di Lastline

-‐  Allega� Email: Gli allega� sono analizza� all’interno della sandbox da processi automa�ci ed elimina� una volta analizza�

Tu� i documen� sono elimina� una volta analizza�

Malware (R)evolu�on

Minacce semplici

Atta

cchi

opp

ortu

nist

ici

Soluzioni APT

Soluzioni An�virus

Atta

cchi

Tar

gete

d

Packing

Minacce sofisticate

Plain Virus

Poly-‐ morphic

C&C

Fluxing

Persistent Threats

Evasive Threats

Lezioni Imparate   Gli a�acchi sono sempre più di �po mirato

  “Gli a�accan� non puntano alle difese perimetrali. Puntano agli individui”

  Gli a�accan� sono tenaci e pazien�   Necessario un approccio di difesa che preveda un monitoraggio costante ed evoluto, in grado di correlare le informazioni a�raverso Big Data Analysis

  Gli a�accan� sviluppano tool ad hoc e a�accano dopo che hanno o�enuto l’accesso al target   Una visione globale è ancora importante, ma…   È fondamentale la costruzione di difese specifiche, in base alle cara�eris�che ed alle a�vità del target

  Malware Evasivi   Necessari strumen� di prossima generazione

  Lastline è la soluzione più completa e flessibile

GRAZIE DOMANDE?

[email protected]

Over 10,000 Customers

Global Technology Partners

Company Growth

Recognized Security Vendor

5 14

38 43 44 55

68 78 81

89 95 109

144

167

189

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

2

Financial Services Retail Services

Government, Healthcare & Education Carrier & Technology Services

3

Information Security Triangle

4

�   Set of patented technologies designed to detect and mitigate today’s

availability based threats

�   Deployed on-premise, in the cloud and hybrid

�   AMS mission is to provide the industry’s best solution for DDoS attacks

�   Detect where we can, mitigate where we should

5

6

NBA   Prevent application

resource misuse   Prevent zero-minute

malware spread

DoS Protection   Prevent all type of

network DDoS attacks

IPS   Prevent application

vulnerability exploits

WAF   Mitigating Web

application attacks   PCI compliance

Reputation Engine   Financial fraud

protection   Anti Trojan & Phishing

7

Detect   Patented behavioral detec�on   Network floods   Applica�on a�acks: SSL, HTTP GET / POST, Low & Slow   Intrusions   Web applica�on threats: SQL injec�ons, XSS

Mi�gate   Immediate, Automa�c, no need to divert traffic   Generates real-‐�me signature   Dis�nguish between a�ackers and legi�mate users   Best quality of experience even under a�ack   Powerful using dedicated hardware up to 25M PPS

Report   Real �me correlated report   Historical reports   Forensics   Trend analysis   compliance

�   24x7 Service to customers under attack

�   Neutralize attacks and malware outbreaks

�   Release ERT Threats Alerts

�   Research Lab diagnoses all known attack tools

�   Provides weekly and emergency signature updates

8

AppWall ü  Appliance & VA ü  Web Application Firewall (WAF)

DefensePro ü OnDemand throughput scalability 200Mbps –

40Gbps ü Anti-DoS, NBA, IPS, Rep. Engine

APSolute Vision ü  Appliance & VA ü  Security Event Management (SEM)

9

�   On-premise AMS is the best solution for attack mitigation –  Widest security coverage

  SSL based attacks, Application level attacks, Low & slow attacks, Network flood attacks, Known vulnerabilities, Egress traffic attacks

–  Mitigation starts immediately and automatically –  No need to divert traffic –  Detailed real-time and forensic reports

�   However, 15% of DDoS attacks that are handled by ERT saturate the Internet pipe

�   Internet pipe saturation protection must be offered from the Cloud

�   Hybrid solution is required to fight today’s threats

10

�   DefensePipe is a Cloud based service that protects organizations against Internet pipe saturation

�   DefensePipe is a Cloud extension of DefensePro and it complements the on-premise DefensePro capabilities

�   DefensePipe is activated only when the attack threatens to saturate the Internet pipe

�   On-premise AMS and AMS in the cloud share essential information on the attacks

�   On-premise AMS and DefensePipe creates the industry first integrated hybrid solution

11

On-‐premise AMS mi�gates the a�ack

Protected Online Services

Protected Organization

Defense Messaging

ISP

Volumetric DDoS attack that blocks the Internet pipe

ERT and the customer decide to divert the traffic

Clean traffic

Sharing essential information for

attack mitigation

DefensePro

AppWall

DefensePros

12

Business

Large volume network flood attacks

Application flood attack (Slowloris, Port 443 data flood,…)

Large volume SYN flood

Low & Slow connection DoS attacks 70% of last year a�acks had 3 or more a�ack vectors

�   Radware can mitigate the most of attacks on CE (customer edge) providing protection against SSL attack

�   DefensePipe can cover the pipe saturation attack using traffic diversion, according to attack condition on CE

�   Radware AMS can be deployed in few hours and is able to mitigate attacks immediately.

�   Radware customers can invoke ERT during attacks to tune, if needed the configuration and mitigate new attacks.

�   Radware can guarantee service availabilty without any SLA breach

1 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.

LA MOBILITÀ E SICUREZZA: NUOVE SFIDE ED

OPPORTUNITÀ

ALBERTO DOSSENA Territory Sales Manager Italy, Greece, Malta & Cyprus

E: [email protected]

M: +39 348 1580030

2 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 2 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved.

  15 Years of Technology Leadership

  Approx. $550M in Revenue

  1,000+ Employees in 32 Countries

  15K Customers WW   44% Market Share in

Secure Web Gateway   More than 200 Patents

BLUE COAT SYSTEMS: COMPANY OVERVIEW


BLUE COAT SYSTEMS: EVOLUTION

1996 1997 1998 1999 2000 2001 2002

Incorporated as Cacheflow

Initial Public Offering

Entera Acquisition

Cacheflow becames Blue Coat Systems

2003 2004 2005 2006 2007 2008 2009 2010 2011

Ositis Acquisition

Cerberian Acquisition

NetCache Acquisition

Permeo Acquisition

Packeteer Acquisition

S7 software Acquisition

Blue Coat becames a privately held company

2012 2013

Crossbeam Acquisition

Netronome Acquisition

Solera Acquisition


MARKET EVOLUTION: NEW OPPORTUNITIES


SECURITY MARKETS: IDC 1999


SECURITY MARKETS: IDC 2013


THE WEB FRONT AND CENTRE


SO HOW SHOULD IT WORK?


WHAT’S YOUR APPROACH?

BLOCK. REACT. EXCEPT.


WHAT’S YOUR APPROACH?

SEE. THINK. DO.


EVOLUTION OF THE ENTERPRISE

Multiple Devices Owned by Employee

Single Device Owned by IT

Enterprise Apps Sanctioned by IT

Enterprise & Recreational Apps

Mandated by Users

Private WAN with Secure Perimeter

Internet Connected Extends Perimeter

Always On At the Office

Backhauled over Internal Infrastructure

Direct Internet for Web & Cloud-

delivered Apps

Devices

Applications

Network

Access Access

Delivery


FOLLOWING THE USER

User Context

Employee Devices (Remote & Mobile)

Uncontrolled External Devices

Corporate Devices (Remote & Mobile)

Uncontrolled External Networks

Corporate Devices (At Office)

Controlled Corporate Environment


KEY CHALLENGES IN BYOD

 Governance & Compliance BYOD could cause you to violate rules, regulations, trust, intellectual property and other critical business obligations.  Mobile Device Management

You need to manage growing workforce expectations around mobility. Your employees use many devices and they expect to use any device or application anytime, anywhere.  Security

If left unmanaged, BYOD can lead to loss of control, impact your network availability, and cause data loss. You need the right network access strategies and policies in place to secure your environment.


TAMING THE BYOD PHENOMENON

15 Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 15

BYOD CAUSES NETWORK PAINS WITH……

OS Updates/Upgrades

App Downloads

Photo/video (creation) Upload/Download

Back-up (Cloud / Employer-issued laptop/

desktop)

Facetime / Skype Audio/Video Communication

Recreational Video

‘Guest’ Wireless


5GB

10GB

BYOD OS Updates

 2.0GB iPad iOS  767.5 iPhone iOS  454.7 iTunes iOS

App Downloads and Updates

 2 x 30 App Updates  30 App Downloads @ 20MB/app

Content Uploads

 100 x 2.7MB/photo  10 x 1 min video @ 230 MB/video

Content Downloads

 300 x 2.7MB/photo  30 x 1 min video @ 230 MB/video

Cloud-based Backup

 iCloud  Google Drive  5GB Free

How They Stack Up

20GB

15GB

2.7 Avg iPhone 4s photo MB

30 Avg Downloads Per User in One Year APPS

15X BYOD adoption increase since 2009

1.02 BYOD Devices Projected by end of 2012

BILLION

2.57GB Content Uploads

4.71GB Content

Downloads

5GB Cloud-based

Backup

2GB BYOD OS Updates

1.2GB App Downloads

and Updates

WHERE DID THE BANDWIDTH GO? BYOD BANDWIDTH CONSUMPTION—JUNE 2011 TO JUNE 2012


RECREATIONAL TRAFFIC – IMPACT ON BUSINESS

§ Recreational Video is here to stay  Pulled by laptops / desktops / BYOD – Sporting events

– World news

– Viral Videos


RECREATIONAL VIDEO – IMPACT ON BUSINESS

VIDEO – TYPICAL DESKTOP/LAPTOP ACCESS

# of people in remote office accessing

video Video Size

(Average Resolution) Bandwidth Used % of T1 Connection (1.544Mbps)

% of 6Mbps Connection

1

Desktop PC’s /

Laptops

640 x 360 (500 Kbps)

500 Kbps 33% 8%

2 1000 Kbps 66% 16%

3 1500 Kbps 100% 25%

4 2000 Kbps 33%

5 2500 Kbps 341%

6 3000 Kbps 50%

7 3500 Kbps 58%

8 4000 Kbps 66%

10 4500 Kbps 75%

12 5000 Kbps 83%

15 7500 Kbps 100%+


# of people in remote office accessing

video Video Size

(Average Resolution) Bandwidth Used % of T1 Connection (1.544Mbps)

% of 6Mbps Connection

1

Mobile Devices (iPhone/iPad)

360 x 240

(200 Kbps)

200 Kbps 13% 3%

2 400 Kbps 26% 6%

3 600 Kbps 40% 10%

4 800 Kbps 53% 13%

5 1000 Kbps 66% 16%

6 1200 Kbps 80% 20%

7 1400 Kbps 93% 23%

8 1600 Kbps 26%

10 2000 Kbps 33%

12 2400 Kbps 40%

15 3000 Kbps 50%

Recreational Video – Impact on Business Video – Mobile Devices


BUSINESS ASSURANCE TECHNOLOGY


MOVE BEYOND PREVENTION. CONSIDER NEW POSSIBILITIES

§ These solutions will protect you against web and network-based threats, prevent data loss, and give you flexible business policy control across enterprise, web, social and mobile networks. Security & Policy

Enforcement

§ With Mobility Empowerment Center you can secure all of the devices and applications used for business-regardless of who owns and uses them or where and how they connect to your network. So you can embrace BYOD rather than fight it Mobility

Empowerment

§ The number and diversity of applications out there is staggering: business apps, web-based apps, mobile apps, consumer apps. With Trusted Application Center, your enterprise can safely deploy and consume all apps. Trusted

Applications


FEED THEIR NEED FOR A MORE SATISFYING EXPERIENCE.

§ With the Blue Coat products, you can assess risk management tradeoffs, enforce compliance-related policies, and close the operations feedback loop by integrating retrospective analytics, problem resolution, and continuous learning into your security

Performance

§ Businesses are turning to Performance Center to get visibility into performance, decide how best to allocate bandwidth, and optimize performance via caching..

Resolution


Agenda

� RSA & Security Management � Market and trend – Business & Security

� RSA view and approach – Security Analytics

� High level architecture - Logical

� Q & A


Our Journey To The Cloud/Big Data

EMC Cumulative 8 Year Technology Investment

R&D $10.5B M&A $14B

2003 AND BEFORE

2005

2007

2009

ENTERPRISE STORAGE

INFORMATION LIFECYCLE

MANAGEMENT

INFORMATION & VIRTUAL

INFRASTRUCTURE

JOURNEY TO THE CLOUD

2011 CLOUD & BIG DATA


What’s Different about RSA

Leader Authentication

Leader Data Loss Prevention

Leader Web Fraud Detection

Leader SIEM

Leader GRC

Leader Network

Analysis & Forensics


RSA Security Management

GOVERNANCE

INTELLIGENT CONTROLS

ADVANCED VISIBILITY AND ANALYTICS

Cloud Mobility Network

Rapid Response and Containment

Collect, Retain and Analyze Internal and External Intelligence

Manage Business Risk, Policies and Workflows


RSA Security Management

GOVERNANCE

INTELLIGENT CONTROLS

ADVANCED VISIBILITY AND ANALYTICS

Cloud Mobility Network

  RSA Archer eGRC Suite

  RSA Security Analytics   RSA NetWitness   RSA enVision   RSA DLP Suite

  RSA FraudAction   RSA CCI   RSA eFraud Network   RSA NetWitness Live

  RSA Adaptive Authentication

  RSA Access Manager   RSA SecurID   RSA Transaction

Monitoring

  RSA Federated Identity Manager

  RSA Data Protection   RSA DLP Suite   RSA BSAFE


Market Disruptors

Infrastructure Transformation

Mobile Cloud

Less control over access device and back-end

infrastructure

Threat Landscape Transformation

APTs

Sophisticated Fraud

Fundamentally different tactics, more formidable than ever

Business Transformation

More hyper-extended, more digital

Extended Workforce

Networked Value Chains

Big Data


Traditional Security Is Not Working

Source: Verizon 2012 Data Breach Investigations Report

99% of breaches led to compromise within “days” or less

with 85% leading to data exfiltration in the same time

85% of breaches took “weeks” or more to

discover


Speed Response Time 2 Decrease

Dwell Time 1

TIME

Attack Identified Response

System Intrusion

Attack Begins

Cover-Up Complete

Advanced Threats Are Different

Cover-Up Discovery Leap Frog Attacks

1 TARGETED SPECIFIC OBJECTIVE

STEALTHY LOW AND SLOW 2 3 INTERACTIVE

HUMAN INVOLVEMENT

Dwell Time Response Time


SIEM Needs To Evolve �  Many SIEMs were originally bought for compliance

–  80% of SIEM customers consider compliance reporting to be very important (Forrester 2011)

�  Many organizations are looking to get more out of their SIEM implementations

–  Threat management is of growing in importance for SIEM drivers (Gartner 2012)

�  SIEMs need to evolve to encompass growing scale and diversity of use cases

–  Scale upwards and outwards, but minimize TCO –  Continue best-in-class collection, retention, reporting –  Augment with new ways to access and transform data to support

Security Operations use cases


New Security Model

� Perimeter based � Static/Signature based

� Siloed

Reactive Intelligence Driven

� Risk-based � Dynamic/agile

� Leveragable/Contextual


Adaptive Controls adjusted dynamically based

on risk and threat level

Advanced Analytics provide context and

visibility to detect threats

Intelligence-Driven Security Risk-based, contextual, and agile

Information Sharing actionable intel from trusted sources and COIs

Risk Intelligence thorough understanding

of risk to prioritize activity


Shift In Focus. Shift In Spend

MATURITY

IT Risk Control Compliance Business

Risk

Prevention 80%

Monitoring 15%

Response 5%

Prevention 34%

Monitoring 33%

Response 33%

$


Resource Shift: Budgets and People

Today’s Priorities

Prevention 80%

Monitoring 15%

Response 5%

Prevention 80%

Monitoring 15%

Response 5%

Prevention 33%

Intelligence-Driven Security

Monitoring 33%

Response 33%


Comprehensive Visibility

“See everything happening in my environment and

normalize it”

High Powered Analytics

“Give me the speed and smarts to discover and

investigate potential threats in near real time”

Big Data Infrastructure

“Need a fast and scalable infrastructure to conduct short term and long term

analysis”

Integrated Intelligence

“Help me understand what to look for and what others

have discovered”

Today’s Security Requirements


RSA Security Analytics: Changing The Security Management Status Quo Unified platform for security monitoring, incident investigations and compliance reporting

SIEM Compliance Reports

Device XMLs Log Parsing

Network Security

Monitoring High Powered Analytics Big Data Infrastructure Integrated Intelligence

RSA Security Analytics

Fast & Powerful Analytics

Logs & Packets Unified Interface

Analytics Warehouse

SEE DATA YOU DIDN’T SEE BEFORE, UNDERSTAND DATA YOU DIDN’T EVEN CONSIDER BEFORE


What is RSA Security Analytics?

�  Unified platform for: –  Security monitoring –  Incident investigations –  Compliance reporting

�  Brings together SIEM, Network Security Monitoring, Big Data Management & Analytics

�  RSA Security Analytics is a new approach to combating advanced threats


RSA Security Analytics High Level Architecture


What Makes Security Analytics Different? �  Big Data Infrastructure

–  Fast and scalable –  Security data warehouse plus proven NetWitness infrastructure

�  Comprehensive Visibility –  See everything happening in an environment –  Normalizes diverse data including logs, packets and intelligence

�  High Powered Analytics –  Speed and smarts to detect and investigate advanced threats –  Provides short term and long term analytics plus compliance –  Removes the hay versus digging for needles

�  Integrated Intelligence –  Operationalize intelligence by fusing it with your data –  Understand what to look for and what others have found


Results �  Reduce risk from advanced threats

–  Reduces the threat analysis time from days to minutes –  Compress attacker free time

�  Elevate the security team to another level of effectiveness

–  Increase teams’ collective skill by gaining analytical firepower –  Investigate more rapidly, centralize information, automate

alerts and reports

�  Implement an intelligence driven security strategy –  Operationalize intelligence to defend with confidence –  Adopt a more risk-aware, agile and contextual security model

� Meet compliance reporting requirements


Q & A

Fabrizio Banfi – [email protected] – 340/48.08.660

Evento Xenesys - Security Conference

Technology

Transcript of Evento Xenesys - Security Conference