Bromium Endpoint Security Webinar 21. & 26. September 2017

Transkript

1 Bromium Beste Malware- Prävention durch Isolation Mike Thurnherr, Security Engineer Dirk Gluch, Senior Security Engineer Christian Schwarzer, Co-CEO Mehrschichtige Enterprise Security 1 Firewall & Netzwerk 2 3 Web-Gateway Mail- Gateway Firewall Traffic-Flow, Segmentierung, IPS Traffic-Analyse Web-Gateway URL-Filter Content-Filter, AV, Sandboxing Mail-Gateway Anti-Spam Content-Filter, AV, Sandboxing 4 5 Endpoint 6 User Server 4 5 Endpoint AV «Next Generation Endoint Security» «Mobile» ist auch ein Endpoint Server Application-Security AV, Advanced Malware Security 6 User Awareness (z.b. Phising) Schulung

2 Dienstleistungsangebot Referenzen

3 Arten von Malware: Ein Klassifizierungsversuch «Klassische» Malware Generische Advanced Malware Gezielte Advanced Malware Viren, Würmer, Spyware, Trojaner und allgemein Malware mit «Signatur» Generisch und weit verbreitet Anti-Virus (AV) Software ist effektiver Schutz Beispiele: Melissa I LOVE YOU Generische Malware, die von AV nicht erkannt wird («signaturlos») Intelligente Features und Evasions-Techniken Zunehmende Verbreitung infolge Exploit-Kits Beispiele: Zero-Day Exploits Bot-Netze Ransomware Hoch-spezifische Malware speziell entwickelt für Angriff auf bestimmtes Ziel (Advanced Persistent Threat: APT) Professionelle Angreifer Entwickelt sich typisch entlang einer «Kill-Chain» Beispiele: Gezielte Angriffe auf Industrien wie Finanz, Energie / Infrastruktur und Behörden Advanced Malware: Einzigartig, intelligent und ohne «Signatur» Threat-Industrie und breit verfügbare Malware-Kits 327 Polymorphe und signaturlose Malware 45% Gezielt entwickelte Malware 70% Neue Threats pro Minute Catch-rate mit Antivirus Malware spezifisch nur in einer Firma Intelligente Malware (Timer, Evasion, Sandbox Detection) 89% Firmen denken, dass sie versteckte Malware haben Quellen: McAfee, WSJ, Sans.org, Avecto

4 Angriffskanäle und Angriffsvektoren Kanäle Vektoren Mail Web USB 87% 12% 1% Phishing Spear-Phishing Drive-By Downloads Watering-Hole Attacks Vulnerabilities Quelle: Unit 42, Bromium Security Prinzipien: Grundsteine der Malware-Bekämpfung 1. Regelmässiges Patching 2. Minimales System (Komplexität vermeiden) 3. «Least privileges» (Keine Admin-Rechte) 4. Mehrschichtige Security 5. Den schwächsten Link absichern 6. Starke Authentisierung 7. Segregation of Duties (Funktionstrennung)

5 Endpoint Security: Schutz über den ganzen Lebenszyklus eines Angriffs Pre-Execution Execution Post-Execution Prevention Detection Response Investigation Remediation Verhinderung der Ausführung von Schadcode basierend auf : (a) Analyse, (b) Prediction oder (c) Isolation Schädlichen Code zu Laufzeit erkennen (z.b. durch Verhaltens- Analyse) Unmittelbar oder nach-gelagert auf eine Bedrohung oder deren Impact reagieren (z.b. befallenen Client isolieren) Identifikation von kompromit-tierten Assets Analyse von Angriffsmustern und Angreifer- Verhalten Wiederherstel-lung des Ursprungszustands und Bereinigung (z.b. Rollback des Clients)

6 Agenda Funktionsweise Wie wird isoliert? Was wird analysiert LAVA? Was wird überwacht inside attacks? Verwaltung Warnungen Infrastruktur Verteilung Funktionsweise der Isolation User Desktop OS Libs / Utils OS Kernel Trusted Hardware Bromium Microvisor Applications Untrusted Each browser tab & document is instantly & invisibly hardware isolated in a microvm, invisible to the user

7 Desktop Dramatically reduced attack surface Untrusted Tasks Untrusted Tasks

8 Bromium Endpoint Security Webinar microvms get Least Privilege access microvms execute Copy on Write

9 Malware is automatically discarded Wie findet man einen Hai im Meer?

10 3 Hauptprinzipien Reduzieren der Angriffsfläche Verteidigen wir einen Kanal, nicht den ganzen Ozean Isolation auf Hardware Ebene Minimale Rechte & kontrollierte Zugriffskontrolle In der microvm ist nur was gebraucht wird (statisch zugewiesen) Steuerung weiterer Rechte via Richtlinien (dynamic least privilege) Kopieren beim Schreiben (Copy-on-Write) Template μvm werden nur beim Initialisieren verändert MicroVMs sind flüchtig Angriffe wirken sich nur auf die μvm aus 19 Kleines Fazit 20

11 Bromium Endpoint Protection Isolation Hardware-Level Security Micro-Virtualisation mit höchster Benutzerfreundlichkeit (völligetransparenz) Schutz gegen unbekannte und bekannte Angriffe keine Erkennung nötig / keine Pattern oder Signaturen zentrale Konfiguration über den Management-Server Wiederherstellung / Rollback nicht notwendig LAVA Live Attack Visualization and Analysis BEP schliesst die Lücke für Zero Day Attacks (bekannte und unbekannte) Bromium Universe BEM BTC BEP (ISOLATION & LAVA) BEC

12 Live Attack Visualization and Analysis (LAVA) Zusätzlich zum Schutz durch Isolation: Entdeckung von maliziösem Verhalten in microvm Attack Chain wird im Detail aufgezeigt Erstellen von Reports für weiterführende Analyse STIX, MAEC, malware manifest Threat Analysis Kill Chain verstehen WHAT added to Blacklist WHO Is the Target WHAT was the indicator 24

13 Threat graph showing details WHO Is the Target WHAT Is the Technique WHERE Is the Attacker WHAT Is the Goal Schützt Legacy Applikationen vor Attacken durch Hardware Isolation Legacy Applikationen sind schwer ersetzbar für die meisten Firmen Viele davon wurden in einer Zeit geschrieben, in der die Sicherheit von geringerer Bedeutung war Isolation ist die einzige Lösung um Kernel-Level Exploits und Ausbruch der Malware zu verhinden Detektion ist veraltet, die Zukunft der Cyber Security Verteidigung wurzelt in Virtualisierung

14 Protecting Legacy Applications from Attacks with Hardware Isolation Legacy applications are integral to most businesses and are heavily relied upon in the public sector Many legacy applications were written in a time when security was much less of a concern than today Isolation is the only solution that can absolutely eliminate kernel-level exploits and malware escapes Detection is obsolete and the future of cybersecurity defense is rooted squarely in virtualization Bromium Universe BEM BTC BEP (ISOLATION & LAVA) BEC

15 BEM Bromium Endpoint Monitoring Überwachung der Prozesse auf dem Host Indizierung der Files IOC Search hash value über alle Geräte Quarantäne BEM Filter - ~90 OS Filter 100 speziell für Applikation File hash, write, delete, rename Registry read, write, delete Process termination, creation, injection Network operation LSASS read, changes LSA settings Application, Browser hijacking Bromium Universe BEM BTC BEP (ISOLATION & LAVA) BEC

16 Management Policy Base policy Delta policy Device groups Manuel oder automatisch vom AD OU/Groups Rollenbasiertes Management Windows Integrated Authentication / Smart Card Active Directory Integration Events Dashboard Übersicht Event forwarding Syslog Alerting

17 Infrastructure Client Windows Clients 7 10 Server Windows Server mit IIS Database MS SQL Verteilung Precheck VT-x / EPT enable Scriptable RAM 4GB Application Command line Msiexec /i *.msi SERVERURL= Software Distribution

18 Zusammenfassung Bromium Endpoint Protection BEP Isolation = Protection Hardware-Level Security Micro-Virtualisation mit höchster Benutzerfreundlichkeit (völligetransparenz) Host, intranet, legacy Application on trusted side LAVA Live Attack Visualization and Analysis zentrale Konfiguration über den Management-Server BEM überwacht den Host Durch die BTC kann der Schutz proaktiv durch Informationen ergänzen werden Fragen?