Comments
Description
Transcript
symantec
Scenari di Minacce e Contromisure 24 Febbraio 2004 2° INFN Security Workshop Giuseppe Borgonovo Technical Manager Evoluzione delle minacce: codice malizioso Tempo di Contagio Secondi Minuti Classe III Intervento: impossibile Risposta automatica: improbabile Controllo proattivo: possible “Flash” Threats “Warhol” Threats Classe II Intervento: difficile/impossibile Risposta automatica: possibile Blended Threats Ore Classe I Intervento: possibile e-mail Worms Giorni Macro Viruses Mesi File Viruses Inizio 90’ Metà 90’ Fine 90’ 2000 2004 Categorie di minacce alla sicurezza Denial of service – Mettere fuori uso sistemi o reti Intrusion – Accessi non autorizzati a sistemi o reti Information access – Furti o modifiche Software damage – Viruses Metodi comuni di attacco IP address spoofing – Pacchetto IP contiene un indirizzo IP fidato come sorgente SMTP mail – Sfruttare vulnerabilità o intasare sistemi con messaggi TCP session hijacking – La sessione è intercettata e controllata da un terzo Port scanning – Usato per individuare servizi vulnerabili DNS information – Usato per raccogliere informazioni o sovrascrivere le informazioni corrette. Metodi comuni di attacco Ping – Inondare il sistema di richieste ICMP TCP SYN – Grosso numero di SYN requests lanciate da sistemi controllati – Risorse allocate, ma connessioni lasciate a metà Fragmentation – Tentativo di nascondere attacchi mirati Metodi di furto delle Passwords Sniffing – Analizzare il traffico di rete in attesa di eventi – Ricostruzione con tools e dizionari di parole protette Trojan horse – Catturare password usando fasulli logon screen Social engineering – Ingannare un utente per scoprire le sue password Una volta che la password è conosciuta, l’hacker tenta di aggiungere privilegi all’account o ottenere altre passwords. Virus – Worm threats Network-aware infections – Detects mapped drives Mass-mailing – Damages mail servers performance File destruction Data export / Keylogger Backdoor/remote control (Backorifice) Social engineering Hoax Cosa è una Blended Threat ? Qualsiasi minaccia che usa molteplici metodi di propagazione Richiede una Risposta Integrata da più di una Tecnologia Vulnerability Assessment Antivirus Intrusion Detection/Prevention NIMDA, SQL Slammer, Bug Bear, Blaster Firewall “Ma noi abbiamo un firewall…" Worms e Trojan Horses via Posta Elettronica Attacchi che usano ICMP e DNS Numero crescente di attacchi via HTTP Attacchi via accessi Remoti Frodi e Sabotaggi Interni all’azienda Configurazioni errate Minacce & Soluzioni Web Server • Macro Virus (WM32) • Mobile Code (Melissa) • Detect attack • Alert / Log Network IDS Workstations Internet Mail Gateway Mail Server File Server Firewall • Block specific exploits • Direct & inspect traffic AV on gateways, servers, and workstations • Block known exploits via SMTP protocol • Detect & clean files Workstation via email Hacker Cracker • Probing • Back-door attacks • DOS attacks • IP spoofing attacks • Theft, Sabotage • Web defacement Internet Security Threat Report È basato sulla fonte di dati sulla sicurezza più estesa a livello mondiale. – 600 clienti dei Symantec Managed Security Services – 20.000 sensori su scala mondiale impegnati nel monitoraggio delle attività in rete in 180 Paesi Offre una fotografia completa della “situazione sicurezza” in Internet oggi. Fornisce un’analisi delle vulnerabilità “preferite” dagli hacker. Tendenze – gli attacchi vengono lanciati a intervalli sempre più brevi Primo sem. 2003 – gli hacker puntano a nuove vulnerabilità – il 64% delle vulnerabilità attaccate aveva meno di 1 anno – il 66% degli attacchi mirava a vulnerabilità molto gravi Aziende e consumatori devono applicare procedure di gestione degli aggiornamenti 50% Percent of New Attack Targets Blaster è comparso soltanto 26 giorni dopo l’annuncio della relativa vulnerabilità 40% 39% 30% il 64% dei nuovi attacchi puntano a vulnerabilità scoperte da meno di 1 anno 25% 20% 14% 10% 10% 5% 4% 1% 1% 36 to 42 Months 42 to 48 Months 0% 0 to 6 Months 6 to 12 Months 12 to 18 Months 18 to 24 Months 24 to 30 Months 30 to 36 Months Vulnerability Age Range Symantec Internet Security Threat Report 1 semestre 2003 Vulnerabilità \ Exploit DeepSight Threat Management System Benefici Segnalazione tempestiva in caso di attacchi – Primo ed unico Global Early Warning System for Attacks – Configurabile in base ai propri sistemi ed applicazioni Prioritizzare risorse – Creare monitor separati per asset critici Eseguire contromisure – Aumentare la sorveglianza – Implementare strategie di risposta – Difendere le proprie risorse Events over last 7 days Symantec DeepSight Overview Raccolta e Analisi di Informazioni Sensor Data (FW, IDS) Analisi Informazioni Vulnerability Info Threat Info DeepSight Alert Services DeepSight Threat Management System (TMS) DeepSight – Alert Services vs. TMS Alert Services – Ciò che potrebbe essere una minaccia – Segnalazioni personalizzate di vulnerabilità e malicious code – Fornisce informazioni operative per aiutare gli utenti a mitigare le vulnerabilità prima che vengano sfruttate – Permette di risparmiare tempo e migliora la produttività – Unica fonte di tutte le informazioni disponibili Threat Management System – Ciò che è un reale attacco – Monitorizza le minacce globali alla sicurezza – Fornisce preventive informazioni sugli attacchi in essere per aiutare a proteggere le risorse critiche – Aiuta a prevenire gli attacchi prima che colpiscano la rete aziendale – Analisi dettagliate per una efficace risposta – Permette di utilizzare efficientemente risorse limitate – Unica fonte di tutte le informazioni disponibili DeepSight Solutions DeepSight Services in azione Deep Site Threat System – Early Warning Statistiche IDS, FW, AV Tipi di report Symantec DeepSight comunicazioni ai clienti su: W32.Blaster.Worm Symantec DeepSight Alert Services – 16/7/03 Vulnerability Alert Analizzata la vulnerabilità Microsoft Windows DCOM RPC Interface Buffer Overrun – 25/7/03 Vulnerability Alert Confirmata la disponibilità dell’exploit code – 11/8/03 Malicious Code Alert W32.Blaster.Worm Symantec DeepSight comunicazioni ai clienti su: W32.Blaster.Worm Symantec DeepSight Threat Management System – 16/7/03 - Daily Summary Reports Began Fornite informazioni su vulnerabilità e possibili exploits – 25/7/03 - Threat Alert Informazioni dettagliate su exploit code per la vulnerabilità – 7/8/03 - Threat Analysis Avviso che il worm potrebbe propagarsi rapidamente – 11/8/03 - ThreatCon Alert Aumentato al livello 3 a motivo del worm – 11/8/03 - Malicious Code Alert W32.Blaster.Worm – 11/8/03 – Threat Alert Dettagli su Blaster worm Fornite le Snort IDS signatures per la detection Ciclo di protezione dalle minacce Essere informati e aggiornati in real time Symantec DeepSight Early Warning Symantec Security Response AV FW IDS Vulnerability Assessment Patch Management Threat Mitigation Incident Handling Disaster Recovery VA Event Normalisation Event Correlation Incident Management Alerts Advisories Analysis SESA Datastore Gestione delle crisi Crisis Incidents Data Data Security Technology & Awareness Level 1 Compromises & Signatures Correlated Information Alerting Services Compliance Technology Level 2 Correlated & Analysed Information Correlated Information Information Business Impact Control Level 4 Vulnerability & Threat Alerts Security Policy Compliance Correlated Information Information & Data Risk Analysis Systems Analysed & Correlated Information Critical Asset Control Level 3 Intrusion Detection Data Mines Analysed & Correlated Information Assessment Assessment Regulatory & Legal Information Weighted Information Management Systems Level 5 Policy Impact Controls Policy Impact Assessment Direction & Influence Level 6 Long-term Planning Assessments Policy Impact Assessment Legislation & Regulation Strategic Planning Symantec Security Management System Manage Symantec Security Management System Deploy - Configure - Integrate - Aggregate - Analyze - Report Compliance Vulnerabilities Policy Manager (ESM) Correlation Analysis Prioritization Incident Manager Logging Alerting Reporting Event Manager Antivirus Event Manager Firewall Symantec Products Symantec Enterprise Security Architecture Event Manager Intrusion Detection Event Manager Integrated Protection 3rd party products Security Products Network Mgmt Symantec Intrusion Protection Systems Symantec Policy Compliance / Vulnerability Assessment Symantec Enterprise Security Manager Win NT/ 2000/XP Unix/Linux/… WinNT/Win2000 Console UNIX/WinNT/ Win2000 Managers NetWare Firewalls OpenVMS/AS400/… Web Servers Databases Agents Cross Platform and Application Security Modules ISO 17799-based SANS/FBI Top 20 Internet Threats CIS Benchmarks for Sun Solaris Symantec Gateway Security 5400 series: integrazione di funzioni DMZ Network Internet Screening router provides basic packet filtering Screening router DMZ network Firewall system provides final level of security Selected services deployed on DMZ network Also called a “perimeter” network Security Gateway Bastion hosts Protected Network Service Network Internet Also called an “isolated perimeter” network Screening router Firewall system handles all traffic DMZ Service network Security Gateway Protected Network Selected services SMTP, FTP, Web, ... Enclave Network—Internal Firewall Internet Additional firewalls may be deployed within protected network Forms “enclave” networks – Private subnets requiring additional security from internal access – Sensitive research groups, personnel and financial information DMZ Security Gateway Protected Network Internal Security Gateway Enclave network Gestione Gestire la soluzione Gestire le informazioni prodotte dai sensori di sicurezza Risorse dedicate o affidarsi ad un provider di soluzioni di sicurezza gestita Opzioni di gestione Quale approccio seguire Approccio Benefici Criticità In-house •Controllo completo giorno per giorno •Flessibilità ed adattabilità •Affidabilità interna all’organizzazione •Fortemente integrato con le esigenze di Business Interno •Tempi lunghi per la predisposizione •Necessità di avere personale altamente formato •Necessità di coprire 24 x 7 •Non rappresenta il core business aziendale Managed security service (MSS) •Tempi brevi per la predisposizione •Servizio fornito 24 x 7 •L’azienda si concentra sul core business •Perdita di controllo •Fidarsi di provider MSS •Dipendenza dal servizio offerto •Minore integrazione con le esigenze di business interno Managed security monitoring (MSM) •Flessibilità ed adattabilità •Persone preparate e affidabili che effettuano analisi •L’azienda si concentra sul core business •Fidarsi di provider MSM •Dipendenza dal servizio offerto Co-sourced •Buon controllo interno sugli elementi gestiti •Crescita professionale del personale interno •Flessibilità ed adattabilità •Persone preparate e affidabili che effettuano analisi •Perdita di controllo parziale •Fidarsi di provider MSS •Dipendenza parziale dal servizio offerto •Integrazione con le esigenze di business interno Outsourced Symantec Managed Security Services Servizi Monitored and Managed Firewall Servizio Monitored and Managed Integrated Security Servizio Managed Internet Vulnerability Assessment Servizio Monitored and Managed Intrusion Detection Symantec Managed Security Services Servizio Managed Virus Protection Servizio Managed Security Policy Compliance Il punto di vista di Gartner sui MSS Concorrenti ATT Unisys EDS Leader CSC SAIC Capacità di esecuzione IBM Symantec Guardent Sprint Ubizen Internet Security Red Siren Systems WorldCom Counterpane NetSolv Genuity / L3 Schlumberger SecureWorks Netsec Verisign Concorrenti di nicchia Visionari Fonte: Gartner Research Completezza della visione Alla data 1/03 Corporate Security Awareness Program Soluzione applicativa con l’obiettivo di: – Sottolineare l’importanza di proteggere le informazioni aziendali – Formare i dipendenti sui “fondamentali” di sicurezza – Informare sui comportamenti aziendalmente accettabili – Valutare il grado di comprensione dei messaggi – Assicurare un cambiamento di lunga durata nei comportamenti dei dipendenti La piattaforma Symantec SESA Symantec Enterprise Security Architecture Managed/Monitored Security Services Management Symantec Security Management System (Incident Manager) Risk Knowledge Threat Deepsight TMS/AS Education ESM Vulnerability Consulting NetRecon Product Applications Protection and Correction Server AV SYMC MSS SVA Gateway Content Filtering Spam Control IDS Mainframe Patch Management SGS Client Ghost & PcA Firewall SCS Dynamic Priority Risk Vulnerability Threat Response Cost and Value Manpower Symantec Enterprise Security Early Warning – DeepSight™ Alert Decoy Technology – ManTrap® VulnerabilityAssessment – Sym.Vulner.Assess. Protect Proactive Soluzioni Integrate – Client Security – Gateway Security Appliance Soluzioni Tradizionali – IDS (host & network) – AV/CF – FW/VPN Managed Security Services Sistemi – Policy Compliance – NetRecon/ESM Eventi – Incident Manager – Event Managers (AV, FW, IDS, Integrated Security) Control Manage Respond Interna – Ghost Esterna – Security Response (LiveUpdate) – 7x24 customer support – Professional Services W32.Netsky.B@mm Also known as: W32/Netsky.b@MM (McAfee) W32/Netsky.B.worm (Panda) WORM_NETSKY.B (Trend Micro) Moodown.B (F-Secure) I-Worm.Moodown.b (Kaspersky) Threat level: Category 4 - Date discovered: February 18, 2004 - 3:30 AM Pacific What is W32.Netsky.B@mm? W32.Netsky.B@mm is a mass-mailing worm. Impacted customer segments: Home and home office users Corporate users How W32.Netsky.B@mm Works W32.Netsky.B@mm uses its own SMTP engine to send itself to email addresses it finds when scanning the hard drives and mapped drives. It also searches drives C though Z for folder names containing “Share” or “Sharing,” and then copies itself to those folders. Systems affected: – Windows 2000, Windows 95, Windows 98, Windows ME, Windows XP Systems not affected: – Linux, Macintosh, UNIX, Windows 3.x Impacts Triggers a large-scale mailing May degrade network performance How W32.Netsky.B@mm Works Through Mail Propagation UNIX Windows Windows ME 95 E-mail Server Macintosh E-mail Server Mail Server Windows 3.x Employee Windows XP Windows 2000 Linux Windows 98 How W32.Netsky.B@mm Works Through Peer to Peer E-mail Server E-mail Server E-mail Server Hourly Submission of W32.Netsky.B@mm to Scan & Deliver & Digital Immune System™ 500 450 350 Netsky 300 MyDoom 250 BugBear 200 SoBig 150 100 50 Hour 29 27 25 23 21 19 17 15 13 11 9 7 5 3 0 1 Submission 400 Best Practices Mass-mailing worms can often originate from people the user knows. Do not open or execute unexpected message attachments. Download and deploy the most up-to-date virus definitions. Filter attachments not on a list of approved types at the email gateway. Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Isolate infected machines from the network. Symantec Solutions & Responses Symantec provided timely warning & rapid responses to emerging threats. Intelligent Updater Rapid Definitions DeepSight™ Alert 3:30 6:12 February 18, A.M. Removal Tool HIDS 4.1.x LiveUpdate™ 8:40 ITA 3.6 12:34 8:00 10:15 February 18, P.M. (Pacific Standard Time) Symantec Solutions - Alert Alert Symantec DeepSight™ – Symantec Early Warning services, Alert Services and Threat Management System, provide timely notification on malicious codes, in-depth technical analysis and recommendation on mitigation to help organizations take quick actions. – The actual notification went out as follows: 2/18/2004 6:12:36 AM (First notification on Netsky.B@mm) 2/18/2004 7:56:01 AM (technical description added) 2/18/2004 12:55:33 PM (risk rating increased) (Pacific Standard Time) Symantec Solutions - Protect Symantec Antivirus Solutions – Norton AntiVirus™ detects and blocks the spread of Netsky.B by default using worm blocking technology – Multi-layer protection at the gateway, server and client, protect the entire network during and after the attack – Flexible deployment of definition file (LiveUpdate™ and Intelligent Updater) Protect Symantec Solutions - Protect Protect Symantec Intrusion Protection Solutions – Host-based solutions detect the worm within the corporate systems to prevent propagation of Netsky.B and protect critical information assets. – Signatures to detect Netsky.B are already available for Symantec Host IDS Symantec Intruder Alert™ Symantec Gateway Security – Application proxy firewall combined with virus protection and content filtering provides multiple ways to protect against Netsky.B Symantec Solutions - Respond Respond Symantec Security Response Team – – – – – – Wireless alerts (for subscribing and Platinum customers) Rapid release antivirus definitions Certified antivirus definitions Detailed virus write-ups Removal tool available Content update including IPS signatures Symantec Solution - Manage Manage Managed Security Services – Reduce risk of security breaches by worms like W32.Netsky.B@mm by constantly analyzing the new threats and evaluating the impact on the customers Notified customer base via email and through SII (web portal) postings globally Team is monitoring closely on the evolution of worm Internet Security Nerve Center Grazie! Giuseppe Borgonovo