CyberCrime: Come Prevenire e Combattere Le Nuove Minacce. Heros Deidda Technical Specialist Sidin

Transcript

1 CyberCrime: Come Prevenire e Combattere Le Nuove Minacce Heros Deidda Technical Specialist Sidin

2 Cyberattack (R)Evolution Danni generati in Miliardi Milioni Centinaia di migliaia Migliaia Centinaia Cybervandalism Cybercrime Targeted Attacks e Cyberwar Cybercrime Strutturato $$$ Tempo

3 Politica e CyberWarfare Fornitori per la Difesa Infrastrutture Critiche Istituzioni Finanziarie

4 DeepWeb e BlackMarket Vuoi comprare un toolkit per una botnet Zeus o SpyEye?

5 DeepWeb e BlackMarket Disclaimer Dummy Proof!

6 DeepWeb e BlackMarket Se vuoi comprare la guida step-by-step, ha un costo a parte

7 CyberCrime Target: 1916 punti vendita, 40 milioni di carte di credito e dati sensibili rubati Home Depot Stores: 54 milioni di carte di credito e dati sensibili rubati J.P Morgan: Agosto 2014, 150 milioni di account bancari esposti. Un terzo dei conti americani Lezione imparata: Il CyberCrime è un mercato molto redditizio.

8 Attacchi a Firme della Moda in Italia

9 Cosa Hanno In Comune? interno.gov.it, poliziadistato.it Comune di Livorno, ASA SpA, Porto di Livorno Grimaldi Lines, Grandi navi veloci enricoletta.it Regione Piemonte sviluppoeconomico.gov.it ltf-sas.com eni.it, saipem.com Porto di Gioia Tauro e Consiglio Regionale della Calabria Ministero dell Ambiente oltoffshore.it enel.it coisp.it siulp.it mit.gov.it, cortedeiconti.it, cassaddpp.it, sviluppoeconomico.gov.it, (*)Fonte: Rapporto Clusit 2014

10 GLI ATTACCHI

11 Capire gli Attacchi Molti vettori diversi, tattiche, e specifici trucchi Due domande fondamentali da tenere in mente: Fase1: Come entrano gli attaccanti? Fase2: Come raccolgono e portano fuori le informazioni di valore?

12 Attacchi, Exploit e Botnet Fase 1. Infettare la vittima con malware Usare un exploit (codice) che sfrutta una vulnerabilità nota (se l utente non ha tutti gli ultimi aggiornamenti sul sistema) Lanciare uno zero-day exploit, che sfrutta una vulnerabilità non nota al momento dell attacco Lanciare un attacco di social engineering

13 Attirare le Vittime: Social Engineering

14 Attirare le Vittime: SEO

15 Attirare le Vittime: Spear Phishing From: To: Colleghi dell ufficio codici, Date: Monday February 6, :51:24 Attachment: 23 fdp.scr Per cortesia, confermate la ricezione del telegramma No. 23 che trovate in allegato الرموز مكتب في الزمالء السادة Grazie, / Abu 23 Dhabi رقم Ambasciata الخاصة البرقية استالم عن اعالمنا يرجى الشكر مع ظبي أبو / السفارة ---- Msg sent -

16 Attirare le Vittime: Attacco Watering Hole A volte è difficile colpire l obiettivo di un attacco direttamente Una alternativa è compromettere un sito terzo che si ipotizza venga visitato dall obiettivo Council on foreign relations Ufficiali governativi Siti di news cinesi non allineati al regime Dissidenti cinesi Sito di sviluppo per iphone Sviluppatori di Apple, Facebook, Twitter, etc. Sito web della rivista Nation Journal Politici di Washington

17 Attacchi Drive-by-download cattivo.js <iframe> GET /

18 Attacchi, Exploit e Botnet Fase 2. Far filtrare all esterno dati sensibili La macchina dell utente è adesso un bot, completamente sotto il controllo dell attaccante Il malware raccoglie dati interessanti e li manda al server di Command & Control (C&C) Numeri di carte di credito Nomi utente e password Documenti sensibili

19 LA DIFESA

20 SOLUZIONI PER LA PROTEZIONE DA MINACCE APT E ZERO DAY

21 Introduzione Alla FortiSandbox FORTIGUARD ANTIVIRUS SERVICE FORTIGUARD ANTISPAM SECURITY SERVICE FORTIGUARD APPLICATION CONTROL SERVICE FORTIGUARD WEB SECURITY SERVICE ORTIGUARD INTRUSION PREVENTION SERVICE FORTISANDBOX FORTIGUARD WEB FILTERING SERVICE FORTIGUARD DATABASE SECURITY SERVICE FORTIGUARD VULNERABILITY MANAGEMENT SERVICE FORTIGUARD IP REPUTATION SERVICE

22 FortiCloud Sandboxing Call Back Detection Full Virtual Sandbox Output fornito alla rete FortiGuard, realizzazione firma RealTime Full Sandbox per verificare l effettivo comportamento dell artefatto Code Emulation Cloud Query Simulazione veloce del comportamento dell artefatto per trovare meccanismi di evasione Viene effettuata una query nel cloud per capire se l artefatto è conosciuto AV Engine Il motore dell antivirus Fortinet fornisce un layer di primo filtering

23 Standalone Datacenter Sniffer input mode File submission input mode Si integra in ambienti multivendor Input mode supportati Sniffer (con port mirroring/monitoring) File submission (aka ondemand ) HTTP, FTP, POP3, IMAP, SMTP, SMB

24 FortiGate/FortiMail Integrated Latest AV Signature Update Device input mode Headquarters (Enterprise Core) Malicious Analysis Output Integrazione con le soluzioni Fortinet input modes Device Supporta protocolli ed applicazioni criptate. Tutti I protocolli gestiti dal Fortigate

25 Distributed FortiGate Integrated Latest AV Signature Update Devices/Files submission input modes Branch Offices (Distributed Enterprise) Malicious Analysis Output Ambienti Distribuiti FortiGate inseriti nei remote branch office Submit dei files su una FortiSandbox centrallylocated input modes supportati Device File submission (aka on-demand )

26 FortiSandbox Modelli Appliance FortiSandbox FSA-1000D FSA-3000D-Gen2 VM Sandboxing (Files/Hour) AV Scanning (Files/Hour) Number of VMs 8 28 CPU Type 1x Quad Cores 2x 8 Cores RAM Size 32GB 64GB Total Network Interfaces 6x GE RJ45 ports, 2x GbE SFP 4x GE RJ45 ports, 2x GbE SFP Local built-in storage 4TB (max 8TB) 4TB (max 8TB)

27 FortiCloud SandBoxing SandBox in the Cloud Devices/Files submission input modes - Ha come requisito il servizio Forticloud attivo - I log sulle minacce rilevate sono visibili nella relativa sezione del Forticloud FortiSandBox

28 INTRODUZIONE

29 29 Accademici di fama mondiale L h-index è una metrica che misura sia la produttività che l impatto delle pubblicazioni effettuate da un ricercatore. Christopher Kruegel (CSO Lastline) è il più prolifico ricercatore degli ultimi 10 anni per l ambito di Security and Privacy. Giovanni Vigna (CTO) occupa la posizone 12 e Engin Kirda (Chief Architect) il numero 28 all interno della stessa graduatoria.

30 Componenti Tecnologiche Active threat discovery per identificare gli endpoint malevoli con la massima ampiezza e completezza di visione possibile Strumenti di analisi malware ad alta risoluzione, Global in Threat grado di capire Intelligence il comportamento del malware senza cadere nelle tecniche di evasione Analisi big data del traffico di rete ed analisi DNS per identificare le anomalie ed i pattern di dati sospetti scambiati

31 Active Threat Discovery Hot Topic nei motori di ricerca e hashtag più cercati sui social network vengono usati per costruire dei feed malevoli I feed malevoli vengono utilizzati dai browser sintetici di Lastline per scandagliare la rete Internet alla ricerca di minacce Le minacce così individuate aggiungono conoscenza alla Threat Intelligence di Lastline

32 Motore di Analisi La componente di Analisi ad Alta Risoluzione fa uso di emulazione, in alternativa all uso di Sandbox Il primo vantaggio è una minore esposizione alle tecniche di evasione del malware Il secondo fondamentale vantaggio è la visibilità completa dell attività dell artefatto, istruzione per istruzione

33 Correlazione Identifica pattern di traffico anomali e crea un network activity profile delle minacce Analisi DNS (*) per valutare attraverso una quindicina di parametri l affidabilità deli domini Correlazione dei dati per aumentare il livello di confidenza

34 Lastline Enterprise Hosted Scouting proattivo su Internet alla ricerca di minacce Feedback per la Global Threat Intelligence Engine Analizza artefatti sconosciuti attraverso CPU emulation analisys Manager Correla gli allarmi e produce Intelligenza Operativa Drive-by Attack Spearphishing Command and control Sensore Analizza il traffico per evidenza di anomalie che rivelino connessioni C&C ed infezioni 34

35 Lastline Enterprise On Premise Scouting proattivo su Internet alla ricerca di minacce Feedback per la Global Threat Intelligence Engine Analizza artefatti sconosciuti attraverso CPU emulation analisys Manager Correla gli allarmi e produce Intelligenza Operativa Drive-by Attack Spearphishing Command and control Sensore Analizza il traffico per evidenza di anomalie che rivelino connessioni C&C ed infezioni 35

36 Actionable Threat Intelligence Le informazioni sugli eventi correlati vengno organizzate in Incidenti La severity degli incidenti APT viene messa in risalto per evidenziare le minacce più gravi /2 2/

37 WATCHGUARD APT BLOCKER

38 APT Blocker APTBlocker Local Cache Remote Cache File uploaded Venduto da WatchGuard come Service Si appoggia alla Threat Intelligence di Lastline Disponibile su tutti i modelli

39 APT Blocker Windows XP and Windows 7 All Windows Executable Files MS Word Excel PowerPoint PDF Android APK

40 APT Blocker 40

41 Visibilità Sul Malware 41

42 ATTACCHI COMBINATI E SOLUZIONI DI MITIGAZIONE DI DDOS

43 Allot Communications Leader nell ottimizzazione del traffico di reti mobili e fisse per oltre 1000 operatori e 1,5 miliardi di utenti Worldwide(*) Permette ad operatori, ISP ed aziende di ottimizzare la delivery delle applicazioni di rete, dello streaming e del VoIP. Da 5Mbps a 160Gbps Oltre 800 applicazioni: qualità di esperienza nella navigazione percepita dagli utenti al centro di tutto (*AllotFactSheet):

44 DDoS Allot ServiceProtector NBAD: Network Behavior Anomaly Detection, identifica DDoS attraverso anomalie statistiche rilevate nei flussi di traffico HBAD: Host Behavior Anomaly Detection identifica host con sintomi di infezione da malware Servizio Integrato con Sigma/Netenforcer, Autogenera le regole di protezione 1-2 minuti

45 Allot ServiceProtector: Casi D uso

46 FortiDDoS Mitigation Appliance FortiDDoS prevents disruption of network, applications or services Virtualization platform support: Physical Appliances to protect the whole physycal and virtual infrastructure License information: IP Reputation FortiGuard Service (optional but recommended) Sizing based on full-duplex throughput, concurrent connections Deployment scenario Force compliance upon new asset deployment

47 FortiDDoS with an ISP In congiunzione con una protezione DDoS L3/L4 bulk fornita dall ISP, I Data Center vengono protetti da attacchi DDoS evoluti portati ai livelli superiori della pila OSI DDoS Attacks Layer 3/4 ISP FortiDDoS Data Center o Customer s CED Layer 7 Good Traffic Bulk Protection ISPs offer bulk DDoS protections at the layer 3 and 4 level and can screen those out to minimize congestion on the links into the data center Application Protection FortiDDoS detects and mitigates smaller layer 7 attacks that are passed by the ISP to the data center and can detect small layer 3 and 4 attacks that may not be detected by the ISP

48 FortiDDoS Current Lineup Sizing based on same criteria as FGT devices Model Throughput (Full Duplex) Simultaneous Connections Sessions Teardown FDD-400B 4 Gbps 1 Mil 100 K/sec FDD-800B 8 Gbps 2 Mil 200 K/sec FDD-1000B 12 Gbps 3 Mil 300 K/sec FDD-1000B 24 Gbps 4 Mil 600 K/sec Available Services IP Reputation Sessions Teardown = How many new sessions/sec

49 DOMANDE? Technical Specialist Sidin