symantec

Scenari di Minacce e Contromisure
24 Febbraio 2004
2° INFN Security Workshop
Giuseppe Borgonovo
Technical Manager
Evoluzione delle minacce: codice malizioso
Tempo di Contagio
Secondi
Minuti
Classe III
Intervento: impossibile
Risposta automatica: improbabile
Controllo proattivo: possible
“Flash” Threats
“Warhol” Threats
Classe II
Intervento: difficile/impossibile
Risposta automatica: possibile
Blended Threats
Ore
Classe I
Intervento: possibile
e-mail Worms
Giorni
Macro Viruses
Mesi
File Viruses
Inizio 90’
Metà 90’
Fine 90’
2000
2004
Categorie di minacce alla sicurezza
 Denial of service
– Mettere fuori uso sistemi o reti
 Intrusion
– Accessi non autorizzati a sistemi o reti
 Information access
– Furti o modifiche
 Software damage
– Viruses
Metodi comuni di attacco
 IP address spoofing
– Pacchetto IP contiene un indirizzo IP fidato come sorgente
 SMTP mail
– Sfruttare vulnerabilità o intasare sistemi con messaggi
 TCP session hijacking
– La sessione è intercettata e controllata da un terzo
 Port scanning
– Usato per individuare servizi vulnerabili
 DNS information
– Usato per raccogliere informazioni o sovrascrivere le informazioni
corrette.
Metodi comuni di attacco
 Ping
– Inondare il sistema di richieste ICMP
 TCP SYN
– Grosso numero di SYN requests lanciate da sistemi
controllati
– Risorse allocate, ma connessioni lasciate a metà
 Fragmentation
– Tentativo di nascondere attacchi mirati
Metodi di furto delle Passwords
 Sniffing
– Analizzare il traffico di rete in attesa di eventi
– Ricostruzione con tools e dizionari di parole protette
 Trojan horse
– Catturare password usando fasulli logon screen
 Social engineering
– Ingannare un utente per scoprire le sue password
 Una volta che la password è conosciuta, l’hacker
tenta di aggiungere privilegi all’account o ottenere
altre passwords.
Virus – Worm threats
 Network-aware infections
– Detects mapped drives
 Mass-mailing
– Damages mail servers performance
 File destruction
 Data export / Keylogger
 Backdoor/remote control (Backorifice)
 Social engineering
 Hoax
Cosa è una Blended Threat ?
 Qualsiasi minaccia che usa molteplici metodi di
propagazione
 Richiede una Risposta Integrata da più di una
Tecnologia
Vulnerability Assessment
Antivirus
Intrusion Detection/Prevention
NIMDA, SQL
Slammer, Bug
Bear, Blaster
Firewall
“Ma noi abbiamo un firewall…"
 Worms e Trojan Horses via Posta Elettronica
 Attacchi che usano ICMP e DNS
 Numero crescente di attacchi via HTTP
 Attacchi via accessi Remoti
 Frodi e Sabotaggi Interni all’azienda
 Configurazioni errate
Minacce & Soluzioni
Web
Server
• Macro Virus
(WM32)
• Mobile Code
(Melissa)
• Detect attack
• Alert / Log
Network IDS
Workstations
Internet
Mail
Gateway
Mail
Server
File
Server
Firewall
• Block specific exploits
• Direct & inspect traffic
AV on gateways, servers, and workstations
• Block known exploits via SMTP protocol
• Detect & clean files
Workstation
via email
Hacker
Cracker
• Probing
• Back-door attacks
• DOS attacks
• IP spoofing attacks
• Theft, Sabotage
• Web defacement
Internet Security Threat Report
 È basato sulla fonte di dati sulla sicurezza più estesa
a livello mondiale.
– 600 clienti dei Symantec Managed Security Services
– 20.000 sensori su scala mondiale impegnati nel
monitoraggio delle attività in rete in 180 Paesi
 Offre una fotografia completa della “situazione
sicurezza” in Internet oggi.
 Fornisce un’analisi delle vulnerabilità “preferite” dagli
hacker.
Tendenze – gli attacchi vengono lanciati a
intervalli sempre più brevi
 Primo sem. 2003 – gli hacker
puntano a nuove vulnerabilità
– il 64% delle vulnerabilità
attaccate aveva meno di 1
anno
– il 66% degli attacchi mirava
a vulnerabilità molto gravi
 Aziende e consumatori
devono applicare procedure
di gestione degli
aggiornamenti
50%
Percent of New Attack Targets
 Blaster è comparso soltanto
26 giorni dopo l’annuncio
della relativa vulnerabilità
40%
39%
30%
il 64% dei nuovi
attacchi puntano a
vulnerabilità scoperte
da meno di 1 anno
25%
20%
14%
10%
10%
5%
4%
1%
1%
36 to 42
Months
42 to 48
Months
0%
0 to 6
Months
6 to 12
Months
12 to 18
Months
18 to 24
Months
24 to 30
Months
30 to 36
Months
Vulnerability Age Range
Symantec Internet Security Threat Report
1 semestre 2003
Vulnerabilità \ Exploit
DeepSight Threat Management System
Benefici

Segnalazione tempestiva in caso di attacchi
– Primo ed unico Global Early Warning System for Attacks
– Configurabile in base ai propri sistemi ed applicazioni

Prioritizzare risorse
– Creare monitor separati per asset critici

Eseguire contromisure
– Aumentare la sorveglianza
– Implementare strategie di risposta
– Difendere le proprie risorse
Events over last 7 days
Symantec DeepSight Overview
Raccolta e Analisi
di Informazioni
Sensor Data (FW, IDS)
Analisi Informazioni
Vulnerability Info
Threat Info
DeepSight
Alert Services
DeepSight Threat
Management
System (TMS)
DeepSight – Alert Services vs. TMS
Alert Services
– Ciò che potrebbe essere una
minaccia
– Segnalazioni personalizzate
di vulnerabilità e malicious
code
– Fornisce informazioni
operative per aiutare gli utenti
a mitigare le vulnerabilità
prima che vengano sfruttate
– Permette di risparmiare tempo
e migliora la produttività
– Unica fonte di tutte le
informazioni disponibili
Threat Management System
– Ciò che è un reale attacco
– Monitorizza le minacce globali alla
sicurezza
– Fornisce preventive informazioni
sugli attacchi in essere per aiutare
a proteggere le risorse critiche
– Aiuta a prevenire gli attacchi prima
che colpiscano la rete aziendale
– Analisi dettagliate per una efficace
risposta
– Permette di utilizzare
efficientemente risorse limitate
– Unica fonte di tutte le informazioni
disponibili
DeepSight Solutions
DeepSight Services in azione
Deep Site Threat System – Early Warning
Statistiche IDS, FW, AV
Tipi di report
Symantec DeepSight comunicazioni ai clienti
su: W32.Blaster.Worm
 Symantec DeepSight Alert Services
– 16/7/03 Vulnerability Alert
 Analizzata la vulnerabilità Microsoft Windows DCOM RPC
Interface Buffer Overrun
– 25/7/03 Vulnerability Alert
 Confirmata la disponibilità dell’exploit code
– 11/8/03 Malicious Code Alert
 W32.Blaster.Worm
Symantec DeepSight comunicazioni ai clienti
su: W32.Blaster.Worm
 Symantec DeepSight Threat Management System
– 16/7/03 - Daily Summary Reports Began
 Fornite informazioni su vulnerabilità e possibili exploits
– 25/7/03 - Threat Alert
 Informazioni dettagliate su exploit code per la vulnerabilità
– 7/8/03 - Threat Analysis
 Avviso che il worm potrebbe propagarsi rapidamente
– 11/8/03 - ThreatCon Alert
 Aumentato al livello 3 a motivo del worm
– 11/8/03 - Malicious Code Alert
 W32.Blaster.Worm
– 11/8/03 – Threat Alert
 Dettagli su Blaster worm
 Fornite le Snort IDS signatures per la detection
Ciclo di protezione dalle minacce Essere informati e aggiornati in real time
Symantec DeepSight Early Warning
Symantec Security Response
AV
FW
IDS
Vulnerability Assessment
Patch Management
Threat Mitigation
Incident Handling
Disaster Recovery
VA
Event Normalisation
Event Correlation
Incident Management
Alerts
Advisories
Analysis
SESA Datastore
Gestione delle crisi
Crisis
Incidents
Data
Data
Security
Technology &
Awareness
Level 1
Compromises &
Signatures
Correlated
Information
Alerting
Services
Compliance
Technology
Level 2
Correlated & Analysed
Information
Correlated Information
Information
Business
Impact Control
Level 4
Vulnerability &
Threat Alerts
Security Policy
Compliance
Correlated
Information
Information & Data
Risk Analysis
Systems
Analysed &
Correlated
Information
Critical Asset
Control
Level 3
Intrusion
Detection
Data Mines
Analysed & Correlated
Information
Assessment
Assessment
Regulatory & Legal
Information
Weighted Information
Management
Systems
Level 5
Policy Impact
Controls
Policy Impact
Assessment
Direction &
Influence
Level 6
Long-term
Planning
Assessments
Policy Impact
Assessment
Legislation &
Regulation
Strategic
Planning
Symantec Security Management System
Manage
Symantec Security Management System
Deploy - Configure - Integrate - Aggregate - Analyze - Report
Compliance
Vulnerabilities
Policy Manager (ESM)
Correlation
Analysis
Prioritization
Incident Manager
Logging
Alerting
Reporting
Event Manager
Antivirus
Event Manager
Firewall
Symantec Products
Symantec Enterprise Security Architecture
Event Manager
Intrusion
Detection
Event Manager
Integrated
Protection
3rd party products
Security Products
Network Mgmt
Symantec Intrusion Protection Systems
Symantec Policy Compliance / Vulnerability Assessment
Symantec Enterprise Security Manager
Win NT/ 2000/XP
Unix/Linux/…
WinNT/Win2000
Console
UNIX/WinNT/
Win2000
Managers
NetWare
Firewalls
OpenVMS/AS400/…
Web Servers
Databases
Agents
Cross Platform and Application Security
Modules
ISO 17799-based
SANS/FBI Top 20 Internet
Threats
CIS Benchmarks for Sun Solaris
Symantec Gateway Security 5400 series:
integrazione di funzioni
DMZ Network
Internet
 Screening router provides
basic packet filtering
Screening
router
DMZ network
 Firewall system provides
final level of security
 Selected services deployed
on DMZ network
 Also called a “perimeter”
network
Security
Gateway
Bastion hosts
Protected
Network
Service Network
Internet
 Also called an “isolated
perimeter” network
Screening
router
 Firewall system handles
all traffic
DMZ
Service network
Security
Gateway
Protected
Network
Selected services
SMTP, FTP, Web, ...
Enclave Network—Internal Firewall
Internet
 Additional firewalls may be
deployed within protected
network
 Forms “enclave” networks
– Private subnets requiring
additional security from internal
access
– Sensitive research groups,
personnel and financial
information
DMZ
Security
Gateway
Protected
Network
Internal
Security
Gateway
Enclave network
Gestione
 Gestire la soluzione
 Gestire le informazioni prodotte dai sensori di
sicurezza
 Risorse dedicate o affidarsi ad un provider di
soluzioni di sicurezza gestita
 Opzioni di gestione
Quale approccio seguire
Approccio
Benefici
Criticità
In-house
•Controllo completo giorno per giorno
•Flessibilità ed adattabilità
•Affidabilità interna all’organizzazione
•Fortemente integrato con le esigenze
di Business Interno
•Tempi lunghi per la predisposizione
•Necessità di avere personale altamente
formato
•Necessità di coprire 24 x 7
•Non rappresenta il core business
aziendale
Managed security
service (MSS)
•Tempi brevi per la predisposizione
•Servizio fornito 24 x 7
•L’azienda si concentra sul core
business
•Perdita di controllo
•Fidarsi di provider MSS
•Dipendenza dal servizio offerto
•Minore integrazione con le esigenze di
business interno
Managed security
monitoring (MSM)
•Flessibilità ed adattabilità
•Persone preparate e affidabili che
effettuano analisi
•L’azienda si concentra sul core
business
•Fidarsi di provider MSM
•Dipendenza dal servizio offerto
Co-sourced
•Buon controllo interno sugli elementi
gestiti
•Crescita professionale del personale
interno
•Flessibilità ed adattabilità
•Persone preparate e affidabili che
effettuano analisi
•Perdita di controllo parziale
•Fidarsi di provider MSS
•Dipendenza parziale dal servizio
offerto
•Integrazione con le esigenze di
business interno
Outsourced
Symantec Managed Security Services
Servizi Monitored and
Managed Firewall
Servizio Monitored
and Managed
Integrated Security
Servizio Managed Internet
Vulnerability Assessment
Servizio Monitored and Managed
Intrusion Detection
Symantec Managed
Security Services
Servizio Managed
Virus Protection
Servizio Managed Security
Policy Compliance
Il punto di vista di Gartner sui MSS
Concorrenti
ATT
Unisys
EDS
Leader
CSC
SAIC
Capacità di
esecuzione
IBM
Symantec
Guardent
Sprint
Ubizen
Internet Security
Red Siren
Systems
WorldCom
Counterpane
NetSolv
Genuity / L3
Schlumberger
SecureWorks
Netsec
Verisign
Concorrenti di nicchia Visionari
Fonte: Gartner Research
Completezza della visione
Alla data 1/03
Corporate Security Awareness Program
Soluzione applicativa con
l’obiettivo di:
– Sottolineare l’importanza di
proteggere le informazioni
aziendali
– Formare i dipendenti sui
“fondamentali” di sicurezza
– Informare sui comportamenti
aziendalmente accettabili
– Valutare il grado di
comprensione dei messaggi
– Assicurare un cambiamento
di lunga durata nei
comportamenti dei dipendenti
La piattaforma Symantec
SESA
Symantec Enterprise Security
Architecture
Managed/Monitored Security Services
Management
Symantec Security Management System
(Incident Manager)
Risk
Knowledge
Threat
Deepsight
TMS/AS
Education ESM
Vulnerability
Consulting
NetRecon
Product
Applications
Protection and Correction
Server
AV
SYMC MSS
SVA
Gateway
Content Filtering
Spam Control
IDS
Mainframe
Patch Management
SGS
Client
Ghost & PcA
Firewall
SCS
Dynamic Priority
Risk
Vulnerability
Threat
Response
Cost and Value
Manpower
Symantec Enterprise Security
Early Warning
– DeepSight™
Alert
Decoy Technology
– ManTrap®
VulnerabilityAssessment
– Sym.Vulner.Assess.
Protect
Proactive
Soluzioni Integrate
– Client Security
– Gateway Security
Appliance
Soluzioni Tradizionali
– IDS (host & network)
– AV/CF
– FW/VPN
Managed Security Services
Sistemi
– Policy Compliance
– NetRecon/ESM
Eventi
– Incident Manager
– Event Managers
(AV, FW, IDS, Integrated
Security)
Control
Manage Respond
Interna
– Ghost
Esterna
– Security Response
(LiveUpdate)
– 7x24 customer support
– Professional Services
W32.Netsky.B@mm
Also known as:

W32/Netsky.b@MM (McAfee)

W32/Netsky.B.worm (Panda)

WORM_NETSKY.B (Trend Micro)

Moodown.B (F-Secure)

I-Worm.Moodown.b (Kaspersky)
Threat level: Category 4 - Date discovered: February 18, 2004 - 3:30 AM Pacific
What is W32.Netsky.B@mm?
W32.Netsky.B@mm is a mass-mailing worm.
Impacted customer segments:
 Home and home office users
 Corporate users
How W32.Netsky.B@mm Works
 W32.Netsky.B@mm uses its own SMTP engine to send itself to
email addresses it finds when scanning the hard drives and
mapped drives. It also searches drives C though Z for folder
names containing “Share” or “Sharing,” and then copies itself to
those folders.
 Systems affected:
– Windows 2000, Windows 95, Windows 98, Windows ME, Windows
XP
 Systems not affected:
– Linux, Macintosh, UNIX, Windows 3.x
 Impacts
Triggers a large-scale mailing
May degrade network performance
How W32.Netsky.B@mm Works Through
Mail Propagation
UNIX
Windows Windows
ME
95
E-mail Server
Macintosh
E-mail Server
Mail
Server
Windows
3.x
Employee
Windows
XP
Windows
2000
Linux
Windows
98
How W32.Netsky.B@mm Works Through
Peer to Peer
E-mail Server
E-mail Server
E-mail Server
Hourly Submission of W32.Netsky.B@mm
to Scan & Deliver & Digital Immune System™
500
450
350
Netsky
300
MyDoom
250
BugBear
200
SoBig
150
100
50
Hour
29
27
25
23
21
19
17
15
13
11
9
7
5
3
0
1
Submission
400
Best Practices
Mass-mailing worms can often originate from people the user
knows. Do not open or execute unexpected message
attachments.
Download and deploy the most up-to-date virus definitions.
Filter attachments not on a list of approved types at the email
gateway.
Turn off file sharing if not needed. If file sharing is required, use
ACLs and password protection to limit access.
Isolate infected machines from the network.
Symantec Solutions & Responses
Symantec provided timely warning & rapid
responses to emerging threats.
Intelligent
Updater
Rapid
Definitions
DeepSight™
Alert
3:30
6:12
February 18, A.M.
Removal
Tool
HIDS 4.1.x
LiveUpdate™
8:40
ITA 3.6
12:34
8:00
10:15
February 18, P.M.
(Pacific Standard Time)
Symantec Solutions - Alert
Alert
 Symantec DeepSight™
– Symantec Early Warning services, Alert Services and
Threat Management System, provide timely notification on
malicious codes, in-depth technical analysis and
recommendation on mitigation to help organizations take
quick actions.
– The actual notification went out as follows:
 2/18/2004 6:12:36 AM (First notification on Netsky.B@mm)
 2/18/2004 7:56:01 AM (technical description added)
 2/18/2004 12:55:33 PM (risk rating increased)
(Pacific Standard Time)
Symantec Solutions - Protect
 Symantec Antivirus Solutions
– Norton AntiVirus™ detects and blocks the spread of
Netsky.B by default using worm blocking technology
– Multi-layer protection at the gateway, server and client,
protect the entire network during and after the attack
– Flexible deployment of definition file
(LiveUpdate™ and Intelligent Updater)
Protect
Symantec Solutions - Protect
Protect
 Symantec Intrusion Protection Solutions
– Host-based solutions detect the worm within the corporate
systems to prevent propagation of Netsky.B and protect
critical information assets.
– Signatures to detect Netsky.B are already available for
 Symantec Host IDS
 Symantec Intruder Alert™
 Symantec Gateway Security
– Application proxy firewall combined with virus protection and
content filtering provides multiple ways to protect against
Netsky.B
Symantec Solutions - Respond
Respond
 Symantec Security Response Team
–
–
–
–
–
–
Wireless alerts (for subscribing and Platinum customers)
Rapid release antivirus definitions
Certified antivirus definitions
Detailed virus write-ups
Removal tool available
Content update including IPS signatures
Symantec Solution - Manage
Manage
 Managed Security Services
– Reduce risk of security breaches
by worms like W32.Netsky.B@mm by
constantly analyzing the new threats
and evaluating the impact on the
customers
 Notified customer base via email
and through SII (web portal)
postings globally
 Team is monitoring closely on the
evolution of worm
Internet Security Nerve Center
Grazie!
Giuseppe Borgonovo