Visualisierung & Kontrolle aktueller Angriffe: Netzwerksicherheit der nächsten Generation

Transkript

1 Visualisierung & Kontrolle aktueller Angriffe: Netzwerksicherheit der nächsten Generation Achim Kraus Senior Strategic Consultant CE/EE Palo Alto Networks Inc.

2 Agenda Herausforderung - Moderne Malware Datacenter - Deployment - Performance Visualisierung - Modern Malware - Advanced Persistant Threats Kontrolle - Architektur & Deployment - App-ID, Content-ID, User-ID - Wildfire Page Palo Alto Networks. Proprietary and Confidential.

3 Moderne Malware: Mehrstufige Einbrüche Organisiertes Verbrechen Das Unternehmen Infektion "Command & Control" Eskalation Ausschleusung Ausschleusung

4 Der Lebenszyklus moderner Malware Social Engineering Drive-by-Downloads Verschleierter Traffic Unbekannte Malware Gezielter Angriff Infektion Langlebigkeit Rootkit / Bootkits Einspeisen ins OS Stop Endpoint Security Backdoors Command & Control Kommunikation Soziale Medien & P2P Update Konfiguration Download neuen Codes Verschlüsselung Proxies Tunneling Non-standard ports

5 Palo Alto Networks Inc.: Wildfire Ausweichtechniken in Malware Neu entdeckte Malware in Live Netzwerken (April 2012) - Nutzung nicht-standardisierter Ports, Dynamic DNS, Proxies und proprietärer Netzwerkkommunikation waren die am verbreitesten Techniken neu entdeckte Malware Samples 66% 80% 59% Unerkannt von traditionellen AV-Herstellern Samples erzeugten Internet- Kommunikationen dieser Samples erzeugten Kommunikationen mit Ausweichtechniken

6 Verbreitete Ausweichtechnicken in Malware Überraschend wenig Nutzung von IRC samples short h p headers unknown traffic ddns, fas lux domain 1777 fake h p 429 nonstandard h p port 201 irc on regular port 8 irc on nonstandard port 13

7 Unbekannte Netzwerk-Kommunikation am verbreitesten wie auch 'ausweichend' ('Port-Hopping') x x Samples (23%) erzeugten unbekannten oder 'gefälschten' HTTP-Verkehr Unbekannter Verkehr repräsentiert 11% der Malware Sessions x x number of sessions number of samples short h p headers unknown traffic ddns, fas lux domain fake h p x 1.5x nonstandard h p port irc on regular port x irc on nonstandard port 39 13

8 Erkennen Moderner Malware: ein Hütchenspiel?

9 Reaktion mit klassischen Sicherheitsansätzen Page Palo Alto Networks. Proprietary and Confidential.

10 Weiterentwickelte Angriffe erfordern aktuelle Sicherheitsansätze Eine effektive Lösung gegen moderne Malware erfordert: Visualisierung Erkennen von Dateien in Awendungen und Protokollen Auch Dateien innerhalb SSL, Komprimierung, Encoding Visualisierung von mobilen Geräten (BYOD) und Benutzern Erkennung und Reaktion Sandbox-basierte Verhaltensanalyse neuer Dateien Schnelle Alarmierung neu erkannter Malware Umfangreicher Forensik Bericht zur Aktivität der Malware Umsetzung Automatische Updates der Signaturen auf alle Firewalls Tatsächliches Blocken der Dateien im aktiven Datenstrom Stream-based Scanning ohne unnötige Performanceeinbuße Page Palo Alto Networks. Proprietary and Confidential.

11 Traditionell: mehr Sicherheit = geringe Performance Maximale Performance Firewall Traditionelle Security Jede separate Sicherheitslösung oder 'Blade' reduziert die Gesamt- Performance Threat Prevention Technologien sind oft die schlimmsten Angreifer Führt oft zu klassischen Unstimmigkeit zwischen Netzwerk und sicherheit IPS Anti-Malware Page Palo Alto Networks. Proprietary and Confidential.

12 Es wird zunehmend schwieriger Sicherheits- Anforderungen im Datacenter zu erfüllen Historisch: Kompromiss Netzwerk Sicherheit Architektur Performance Betrieb und Administration Sicherheit? Performance ODER Sicherheit? Einfachheit ODER Funktionalität? Effektivität ODER Übersichtlichkeit Datenbanken Anwendungen WWW Seite Palo Alto Networks. Proprietary and Confidential.

13 SequentielleAnwendungvon Sicherheitsfunktionenin Segmenten, separaten, individuellen Lösungen IPS Policy AV Policy URL Filtering Policy IPS Signaturen AV Signaturen Firewall Policy HTTP Decoder IPS Decoder AV Decoder & Proxy Port/Protocol ID Port/Protocol ID Port/Protocol ID Port/Protocol ID L2/L3 Networking, HA, ConfigManagement, Reporting L2/L3 Networking, HA, Config Management, Reporting L2/L3 Networking, HA, Config Management, Reporting L2/L3 Networking, HA, Config Management, Reporting Seite Palo Alto Networks. Proprietary and Confidential

14 Architektur Palo Alto Networks Inc. PAN-OS 1 Regelwerk Inhalte (Content-ID) Daten-Filter (DLP) URL-Filter (Kategorien) Threat Prevention (IPS) Anwendung (App-ID) Protokoll-Decodierung Anwendungserkennung, Decodierung (SSH) und Entschlüsselung (SSL) Anwendungs-Signaturen Heuristiken Benutzer (User-ID) Netzwerkintegration, Hochverfügbarkeit, Konfiguration, Monitoring und Reporting Seite Palo Alto Networks. Proprietary and Confidential

15 Es wird immer schwieriger Anforderungen im Enterprise Datacenter zu erfüllen Palo Alto Networks Inc. PAN-OS Scanne erlaubte Kommunikation Löse Integrationsprobleme Ermögliche Segmentierung Unabhängiger Test NSS Labs Palo Alto Networks Inc. PA-5000 Series Eine einheitliche Security Policy Flexible Integration Hohe Leistungsfähigkeit Datenbanken Anwendungen WWW Seite Palo Alto Networks. Proprietary and Confidential.

16 Flexible Implementierung: 1 Netzwerk-Security Device PAN-OS Visualisierung (TAP) Transparent (Inline) Zentrale Firewall (L2, L3) Seite Palo Alto Networks. Proprietary and Confidential.

17 App-ID TM ermöglicht Visualisierung & Kontrolle App-ID Flexible Anwendungsnutzung: mehr als nur ALLOW oder DENY! Erlauben ohne Einschränkungen aber Anwendungs-funktionen kontrollieren aber nach Angriffen scannen aber Anwendungsnutzer einschränken aber entschlüssele Erlauben aber beschränke Zugriffszeit aber beschränke (QoS) aber nur für interne Anwendung Blocke alle P2P Anwendungen Page Palo Alto Networks. Proprietary and Confidential.

18 Architektur der modernen Threat Prevention Lösung Analyse Sandbox-basierte Analyse auf verdächtige Verhaltensweisen Generiert detaillierten Forensik-Bericht Erzeugt Anti-Virus & C&C Signaturen Schutz an wird auf Firewalls weltweit ausgerollt Regelwerk bestimmt ausleiten (Kopie) zur Analyse Potentielle, verdächte Dateien aus dem Internet Page Palo Alto Networks. Proprietary and Confidential.

19 Forensische Auflistung per From: Sent: Montag, 23. Januar :59 Subject: Your Wildfire analysis report for file "FedEx-Shipment-Notification-Jan exe" is ready The file "FedEx-Shipment-Notification-Jan exe" is uploaded from firewall PA-4050 at :59:08. URL: unknown User: unknown Application: smtp Source IP/Port: /45952 Destination IP/Port: /25 Device S/N: 0001A This sample is malware Here is the summary of the sample's behaviors: - Created or modified files - Spawned new processes - Modified Windows registries - Modified registries or system configuration to enable auto start capablity - Changed security settings of Internet Explorer - Used the POST method in HTTP - Visited a malware domain - Changed the Windows firewall policy - Created a file in the Windows folder - Created an executable file in a user document folder - Started a process from a user document folder -Installed a service - Listened on a specific port (backdoor behavior) - Deleted itself - Injected code into another process - Changed the proxy settings for Internet Explorer - Modified the network connections setting for Internet Explorer - Started or stopped a system service - Registered a file as auto-start from a local directory Page Palo Alto Networks. Proprietary and Confidential.

20 Web-Portal Malware-Analyse Detaillierter Bericht zu festgestellten Aktionen und Verhaltensweisen: Page Palo Alto Networks. Proprietary and Confidential.

21 Trojaner Beispiel #1: Individuelles P2P Hochgradig verdächtig Generiert hohe Rate ausweichenden Netzwerkverkehr Untersuchung vieler Samples mit identischen Verhaltensweisen aber unterschiedlichen Quersummen (Hashes)

22 Exemplar #1: Sichtweise von der NGFW Angepasste Malware Kommunikation basierend auf qvod (P2P Protokoll) 'Unknown TCP' auf Port 8080 und zufälligen Ports

23 Exemplar #1: Sichtweise von der NGFW Angepasste Malware Kommunikation basierend auf qvod (P2P Protokoll) 'Unknown TCP' auf Port 8080 und zufälligen Ports NGFW Gegenmaßnahmen 1. WildFire erkennt und blockt neue Malware und Malware- Kommunikationen 2. Blocke P2P Protokolle oder beschränke auf spezifische Protokolle und Benutzer 3. Untersuchen einer sehr hohen Anzahl von unbekannten Sessions und blocke nach Bedarf

24 Trojaner Exemplar #2: Das Unbekannte macht den Unterschied Generiert verdächtige Verhaltensweisen Nutzt nicht-standard HTTP port Generiert unbekannten Verkehr über HTTP Port Erkennungsraten Zu Beginn durch 2 von 6 getesteten AV- Herstellern erkannt Nach 3 Tagen 4 von 6 AV-HErstellern

25 Trojaner Exemplar #2: Sichtweise von der NGFW Wiederholte Muster von DNS, HTTP und unbekanntem Verkehr Das 'Unbekannte' zeigte dass es der interessante Netzverkehr ist Das Unbekannte ist was wirklich interessiert

26 Ein detaillierterer Blick auf den unbekannten Verkehr

27 Trojaner Exemplar #3: Missbrauch von Port/Protokoll Unbekannter Verkehr via Standard Port DNS HTTP nutzt 'kurzzeitige' Ports

28 Trojaner Exemplar #3: Missbrauch von Port/Protokoll Unbekannter Verkehr via Standard Port DNS HTTP nutzt 'kurzzeitige' Ports

29 Trojaner Exemplar #3: High-Port / Non-Standard HTTP-Port

30 Exemplar #3: Gegenmaßnahmen NGFW Beschränke weitläufig mißbrauchte Protokolle (HTTP, SSL, IRC, ) auf Standard-Ports Blocke unbekannten Netzwerk-Verkehr auf Port 53

31 Ergebnisse nach Umsetzung neuer Richtlinien HTTP ist nicht mehr erlaubt über High-Ports so dass der sekundäre Payload geblockt wird Tunneln unbekannten Netzwerkverkehrs über Port 53 wird geblockt

32 Visualisierung am Perimeter, im Datacenter & Mobil: Leistungsfähigkeit, Inhaltsanalyse & Reporting Page Palo Alto Networks. Proprietary and Confidential.

33 PAN-OS Core Firewall Features Visualisierung und Kontrolle von Anwendungen, Benutzern und Inhalten ergänzen Firewall Features PA-5060 Starke Netzwerkfähigkeit - Dynamisches Routing (BGP, OSPF, RIPv2) - Tap Mode: Anschluss an SPAN Port - Virtual Wire ( Layer 1 ) für transparente, Inline Implementierung - L2/L3 Switching - Policy-Based Forwarding VPN - Site-to-site IPSec VPN - SSL VPN QoS Traffic Shaping - Max/garantiert & Priorität - ProBenutzer, Anwendung, Interface, Zone, & mehr - Real-Time Bandbreiten-Monitor Zonen-basierte Architektur - Alle Interfaces in Security Zonen zur Umsetzung der Richtlinien High Availability - Active/Active, Active/Passive - Synchronisierung von Konfiguration Snd Sessions - Path, link, and HA monitoring Virtuelle Systeme - Mehrere, virtuelle Firewalls in einer Maschine Einfaches, flexibles Management - CLI, Web, Panorama, SNMP, Syslog PA-5050 PA-5020 PA-4060 PA-4050 PA-4020 PA-2050 PA-2020 PA-500 PA-200 Page Palo Alto Networks. Proprietary and Confidential.

34 Palo Alto Networks Next-Generation Firewalls PA Gbps FW/10 Gbps Sessions 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 Kupfer Gbps PA Gbps FW/5 Gbps Sessions 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 Kupfer Gbps PA Gbps FW/2 Gbps Sessions 8 SFP, 12 Kupfer Gbps PA Gbps FW/5 Gbps Sessions 4 XFP (10 Gig), 4 SFP (1 Gig) PA Gbps FW/5 Gbps Sessions 8 SFP, 16 Kupfer Gbps PA Gbps FW/2 Gbps Sessions 8 SFP, 16 Kupfer Gbps PA Gbps FW/500 Mbps Sessions 4 SFP, 16 Kupfer Gbps PA Mbps FW/200 Mbps Sessions 2 SFP, 12 Kupfer Gbps PA Mbps FW/100 Mbps Sessions 8 Kupfer Gbps PA Mbps FW/50 Mbps Sessions 4 Kupfer Gbps Page Palo Alto Networks. Proprietary and Confidential

35