Expanding the Horizons of Payment System Development. Università Luiss «Guido Carli» Sala delle Colonne Viale Pola, 12 Roma

Transcript

1 Expanding the Horizons of Payment System Development Università Luiss «Guido Carli» Sala delle Colonne Viale Pola, 12 Roma

2 Gastone Nencini Senior Technical Manager Trend Micro I servizi di pagamento erogati in ambito Cloud : immaginiamo un quadro di sicurezza intelligente e datacentrico

3 Dove risiedono i nostri dati? Hybrid Cloud Public Cloud BYOPC Server Virtualization Physical Desktops & Servers Desktop Virtualization Mobile Private Cloud 3

4 December 2010 Cyber attack on Iranian nuclear facilities January year-old George Hotz decrypts Sony PS3 root key February 2011 HBGary hacked by Anonymous and resulted data leakage March 2011 Authentication product related information leaked from RSA April million customers data leakage from Sony PSN users May ,000 US City Group customers data leaked June 2011 Major US defense contractor Lockheed Martin attacked July 2011 leakage of personal data of 35 million users of Korean social network site August 2011 Japanese defense related firms suffered from cyber attacks September 2011 Japanese National Personnel Authority and Cabinet Office sites were temporarily unavailable by DDoS attacks October 2011 PCs in Japanese House of representatives infected by virus; possible data leakage

5 Danni causati da Advanced Persistent Attacks Le tecniche utilizzate non sfruttano solo le vulnerabilità dei sistemi ma anche le debolezze umane aper avere accesso alle reti Prima dell attacco, gli agressori verificano che il loro attaco non sia individuato dai più importanti produttori di SW di sicurezza E difficile far fronte alle nuove minacce che vengono create ogni secondo in tempo reale con il solo update del file pattern. Perchè l attaccante l ambiente interno del bersaglio da attaccare, l attacco può esserre in modo molto efficiente. L utilizzo di Back Door facilità la fuoriscita di dati dall interno verso l esterno ed è difficile bloccare questo traffico con soluzioni tradizionali. Quando il traffico è criptato la detection tramite IPS o IDS è difficoltosa

6 Dettaglio del processo di attacco Fase 0 Fase 1 Fase 2 Fase 3 Fase 4 Preparazione dell attacco Fase Iniziale Stabilire una paittaforma di attacco Investigazione sui Sistemi Fase terminale dell attacco In fase di prepazrazione all attacco gli aggressori, gli attaccanti raccolgono il maggior numero di informazioni sull obiettivo oggetto dell attaco. Per questo, essi attaccano organizzazioni che collaborano con il target finale per raccogliere informazioni utili per l intrusione iniziale come lo scambio di tra l organizzazione e l obiettivo finale. Usando queste informazioni, aumentano le possibilità di successo dell intrusione iniziale. Molti metodi sono utilizzati per effettuare le primi fasi di attacco. Sospette (Obiettivo) è uno di questi metodi. Questi metodi vengono utilizzati per distribuire malware in profondità. In questa fase, per l attaccante è sufficente che un SOLO DIPENDENTE aprà l .per aver successo Nella fase iniziale di penetrazione della rete non è necessario distribuire un elevato numero di malware è sufficiente compromettere un solo computer. Si ritiene che i metodi di attacco utilizzati in questa fase potrebbero essere rilevati ed eliminati. Il che significa che sono monouso. Una volta che l attaccante a portato a termine con successo l attaco, può stabile con successo tramite una Backdoor la communicazione con un server esterno precedentemente predisposto Rispetto alle Backdoor tradizionali, queste backdoor utilizzano il protocollo HTTP, utilizzato normalmente all interno dell organizzazione. Questo traffico non può essere bloccato dal firewaal. Utilizzando questa tecnica sarà possibile per l attaccante prendere il controllo della rete dell attaccato Usando la piattaforma di attaco precedemente predisposta, L attacante ricercherà tutte le informazioni utili sui sistemi Usando questa backdoor che comunicano con gli attaccanti sarà possibile prelevare le informazioni necessarie sui sistemi interni per continuare l attacco in modo profondo Essi preleveranno informazioni tramite la Backdoor In alcuni casi, le informazioni precedentemente rubate verranno utilizzate per un altro attacco Un attacco APT riuscito permetterà agli attacanti di rutilizzarlo più volte per compromettere I sistemi e rubare dati Questo attacco potrà essere ripetuto molte volte Source: IPA design/ maintenance guide to aim for the solution against new type of attack. IPA:INFORMATION-TECHNOLOGY PROMOTION AGENCY Japan

7 Tipologia File utilizzati per l attacco Fase 0 Fase 1 Fase 2 Fase 3 Fase 4 Preparazione dell attacco Fase Iniziale Stabilire una paittaforma di attacco Investigazione sui Sistemi Fase terminale dell attacco Investigation of IP, applications, used updated status etc. Direct attack exploiting system vulnerabilities Execution of initial stage virus. Searching for server vulnerabilities and spreading viruses Types of malicious attachments Unauthorized exporting of key data Penetration into affiliated companies, overseas branches etc.. Information about target organization gathered via Facebook or other social media Assuming rules for generating addresses. with malicious PDF attachment sent from attacker which pretend to be come from a superior or a business contact Penetration via USB memory Penetration via PC brought into organization Download and execution of backdoor virus Installing key logger and obtaining sysadmin authority Downloading bots and other new viruses Executables 30% Exporting ID, passwords etc.. Accessing confidential data by exploiting acquired ID and password System falsification Communication with external command server and new malicious activity Document files like PDF, Word and EXCEL 70% Using target as a Source: Trend springboard Micro for attacking other systems

8 La soluzione Sulla base di tale idea l IPA ha studiato una soluzione per affrontare questo nuovo tipo di attacco. Noi abbiamo notato che vengono utilizzate delle tecniche ripetitive e comuni in questo nuovo tipo di attacchi in cui, per esempio I malware utilizzati necessitano di comunicare con gli attaccanti. Abbiamo inoltre verificato che le soluzioni tradizionali Outside-In solution che prevengono gli attacchi tradizionali non sono sufficenti è quindi necessario predisporre soluzioni in grado di controllare e verificare anche tutto il traffico in uscita in modo tale di ridurre il riscihio del furto dei dati anche sensibili. Oggi è importante che le organizzazioni predispongano anche soluzioni per il controllo di tipo Inside-Out.. Soluzione per prevenire attacchi tradizionali Soluzione per prevenire il furto dei dati da attacchi esterni Outside-In solution Can t stop some attacks. Outside-In solution Company A Sensitive information theft. Some cases which cannot be prevented by Outside-In solution. Information theft and system corruption. Inside-Out solution Inside-Out solution Company A Prevent information theft. Can prevent the impact on the organization by Inside-Out solution even though there s an intrusion. Source: IPA design/ maintenance guide to aim for the solution against new type of attack.

9 Come prevenire gli attacchi APT? Fase 0 Fase1 Fase 2 Fase 3 Fase 4 Preparazione dell attacco Fase Iniziale Stabilire una paittaforma di attacco Investigazione sui Sistemi Fase terminale dell attacco Investigation of IP, applications, used updated status etc. Direct attack exploiting system vulnerabilities Execution of initial stage virus. Searching for server vulnerabilities and spreading viruses Unauthorized exporting of key data Penetration into affiliated companies, overseas branches etc.. Information about target organization gathered via Facebook or other social media Assuming rules for generating addresses. with malicious PDF attachment sent from attacker which pretend to be come from a superior or a business contact Penetration via USB memory Penetration via PC brought into organization Download and execution of backdoor virus Installing key logger and obtaining sysadmin authority Downloading bots and other new viruses Exporting ID, passwords etc.. Accessing confidential data by exploiting acquired ID and password System falsification Communication with external command server and new malicious activity Using target as a springboard for attacking other systems

10 Come difenderci dagli attacchi APT e attacchi futuri?

11

12 Modello di sicurezza Datocentrico