“За кулисами” исследовательской группы ibm x-force®. ·...

© 2010 IBM Corporation© 2010 IBM Corporation

“За кулисами” исследовательской группы IBM X-Force®.

Роман Андреев, технический специалист по решениям IBM Security Solutions

© 2010 IBM Corporation2

План

Введение и обзор Сбор информации Исследование уязвимостей Разработка контента X-Force Контроль качества X-Force Web & SPAM технологии X-Force

Behind the Scenes of X-Force®


Миссия IBM X-ForceBehind the Scenes of X-Force®

Миссия группы исследований и разработки IBM X-Force®

Изучать и оценивать угрозы и проблемы защиты

Разрабатывать новые технологии для защиты от угроз завтрашнего дня

Предоставлять защиту от угроз сегодняшнего дня

Распространять информацию через средства массовых коммуникаций и в пользовательских сообществах

© 2010 IBM Corporation

IBM X-Force web intelligence lifecycle

4

Разработка защиты Предоставление

обновлений

Установка обновлениий Мониторинг браузинга:

- Миллионов пользователей

- Тысяч заказчиков - В сотнях стран

Блокировка вредоносных страниц

Передача ссылок в X-Force

Анализ известных вредоносных сайтов

Анализ новых техник эксплуатации уязвимостей

Разработка указаний по защите

Классификация ссылок Обнаружение вредоносных web-

сайтов (Deep Crawl) Поиск вредоносного ПО Поиск новых вредоносных сайтов Блокировка вредоносных доменов



План




Каждый год обнаруживается около 7,000 уязвимостейBehind the Scenes of X-Force®

Blank graphic object5


Мы анализируем их все

Наиболее полная БД уязвимостей в мире – Более 51,000 уникальных уязвимостей– Ведется с 90-х годов

Обновляется ежедневно выделенной исследовательской группой

В БД X-Force сейчас...– 11,000 производителей– 23,000 продуктов– 81,000 версий



Источники информации

Email lists Информация от

производителей (MAPP) Собственные исследования Blacknets Greynets Honeynets Whiro Crawler Обмен информацией

– ISACS, CERTs, Industry Organizations– Сотрудничество исследователей– Конференции– Online



X-ForceProdStat

Все новые уязвимости обсуждаются еженедельно на специальном совещании X-Force

– Возможности вредоносного использования

– Целевая аудитория атаки– Степень интереса со стороны

злоумышленников– Потенциальная опасность



Мы определяем какие угрозы несут наибольшую опасность

Экономический фактор продолжает играть основную роль в возможности эксплуатации уязвимости

Уязвимости в Web-браузерах и программах просмотра документов очень выгодны и легки в использовании




План




Исследования X-ForceОбнаружение

Собственные исследования– Анализ новых и будущих технологий– Изучение реализаций протоколов и продуктов– Поиск недостатков защиты и уязвимостей

Исследования в “день 0”– Proof-of-concept уязвимостей и анализ вредоносного кода– Реинжиниринг инструментальных средств атак, вредоносного ПО

Раскрытые уязвимости– Анализ уязвимости, раскрытой производителем– От патча или вредоносного кода – к разработке защиты



X-ForceЛаборатория уязвимостей

IBM располагает самой большой и всеобъемлющей лабораторией тестирования уязвимостей

Каждая уязвимость, обнаруживаемая Internet Scanner и Enterprise Scanner, установлена в двух состояниях: “узявимость есть” и “ уязвимости нет”

В лаборатории: компьютеры, сетевые устройства, ПО последнего десятилетия



Исследования X-ForceПубличные исследования



Исследования X-ForceОпубликованные эксплойты



Исследования X-ForceПакеты Атаки



Исследования X-ForceУязвимость



Мы обнаруживаем новые уязвимости

19 CVSS Base 9.3 & Base 10 Vulnerabilities in 2009



План

Введение и обзор Сбор информации Исследования уязвимостей Разработка контента X-Force Контроль качества X-Force Web & SPAM технологии X-Force



Конвергенция на платформе безопасностиЦелостная архитектура безопасности



Результат какого выражения больше?

Протоколы – это простые языки.Необходимо знать, понимать язык.

Шестьумноженнымсемь Шестьумноженнымшестьплюссемь Шестьумноженнымшестьплюсшесть Семьумноженнымсемьминуссемь Сорокплюсдва



А теперь результат какого выражения больше?

Six times seven Six times six plus seven Six times six plus six Seven times seven minus seven Forty plus two



ТехнологияСигнатуры эксплойтов

Поиск сигнатур известных эксплойтов


Snortcontent:"|81 F1 03 01 04 9B 81 F1 01|";Symantec Manhuntcontent:"|682E 646C 6C68 656C 3332 686B 6572 6E|";McAfee Intruvert<string-match astring="\x55\x8B\xEC\x68\x18\x10\xAE\x42"/>Netscreen IDP:pattern (".*\x04 41 41 41 41\x.*")


ТехнологияIDS/IPS vs. Decodes

IDS/IPS, в основном, ищут эксплойты– Они стараются срабатывать на признаках, характерных для нескольикх эксплойтов,

но все равно основаны на эксплойтах Мы публикуем информацию, основанную на анализе протоколов

– Например, для переполнения буфера мы публикуем пороговую длину значения, при превышении которой происходит переполнение

• Length=612 (buffer was 612 bytes on the wire)• Threshold=96 (after 96 bytes it overflows, according to X-Force research)



Анализ протоколов/контента на ВСЕХ уровнях

Нормализация каждого протокола Возможность внедрять новые технологии и оперативно реагировать на угрозы и

требования рынка



Преимущество Shellcode Heuristics

X-Force разработал методику Shellcode Heuristics (SCH) для обнаружения attack payload даже без информации об уязвимости

Уникальная технология IBM X-Force Доступна во всех наших продуктах, основанных на IPS/PAM Дает идеальную защиту от атак “нулевого дня”:

– Обнаруживает более 80% атак “нулевого дня” на Microsoft Office– Позволил обнаружить множество уязвимостей Internet Explorer в “день

0” (при помощи MSS)• VML(MS06-055)• XML(MS06-071)

– Исключительно низкий уровень ложных срабатываний – только 2 известных ложных срабатывания на 22 миллиона файлов



Приложения, которые защищает Shellcode Heuristics

MIME Types:– application/acrobat– application/pdf– application/msword– application/vnd.ms-excel


xlwwizrtfppafpx

xltwpspwzpotdot

xlsxwbkpubpdfdocx

xlswripptxmsodoc

xlrwpdpptmptcsv

xlkwksppsmppasd

– application/vnd.ms-powerpoint– application/vnd.pdf– application/x-pdf– text/x-pdf– text/pdf


Java ObfuscationBehind the Scenes of X-Force®


Уязвимости PDF

Уязвимости PDF вошли в Top 5, наиболее активно эксплуатируемых в 2009.


Rank 2008 H2 2009 H1

1. Microsoft MDAC RDS Dataspace ActiveX (CVE-2006-0003)

Microsoft MDAC RDS Dataspace ActiveX (CVE-2006-0003)

2. Microsoft WebViewFolderIcon ActiveX (CVE-2006-3730)

Microsoft Snapshot Viewer ActiveX (CVE-2008-2463)

3. Internet Explorer "createControlRange" DHTML (CVE-2005-0055)

Adobe Acrobat and Reader Collab.CollectEmailInfo (CVE-2007-5659)

4. RealPlayer IERPCtl ActiveX (CVE-2007-5601)

Microsoft IE7 DHTML Object Reuse (CVE-2009-0075)

5. Apple QuickTime RSTP URL (CVE-2007-0015)

RealPlayer IERPCtl ActiveX (CVE-2007-5601)

Most Popular Exploits

Впервые в Top 5


Формат до декомпрессииBehind the Scenes of X-Force®


Формат после декомпрессии – JavaScript obfuscationBehind the Scenes of X-Force®


Мы обнаруживаем obfuscated attacks лучше, чем кто-либо другой

Уровень использования техники obfuscation растет.

Инструментальные средства хакеров автоматизируют применение этой техники.




Наибольшая активность – SQL-injection атаки на Web-приложенияBehind the Scenes of X-Force®


Инъекции SQL

SQL Injection attack monitored by IBM ISS Managed Security Services



Web Application Protection защищает web-приложения от атак

SQL (Structured Query Language) Injection XSS (Cross-site scripting) PHP (Hypertext Preprocessor)

file-includes CSRF (Cross-site request forgery) Path Traversal HTTP Response Splitting Forceful Browsing Expands security capabilities to

meet both compliance requirements and threat evolution



План




Контроль качества X-ForceBehind the Scenes of X-Force®

5. Выпуск XPU с новыми событиями безопасности

4. QA новых событий безопасности

3. Разработка новых событий безопасности

2. QA отчеты по покрытию новейших угроз

1. Исследование новейших угроз

Задачи

• Максимальная защита

• Минимум настроек

• Отсутствие ложных срабатываний

• Пропуск всего легитимного трафика

Life CycleLaunchQualifyDevelop

MSS •Трафик реального мира•Контроль пропусков и ложных срабатываний•Отзывы заказчиков

Research Plan

ProdstatResearchXFDB

QA LabPatchingTesting current coverage

Develop new protection

Announce to customerTrend for reportingEducate & Enable selling teams and customers

Внутреннее сотрудничество X-Force

Исследования – Разработка – MSS – Маркетинг

✟ ✟ ✟ ✟


X-ForceПрактика обеспечения качества

Все содержимое каждого обновления безопасности (XPU) проходит тщательное тестирование

Тестирование начинается задолго до поступления кода в департамент контроля качества

– Весь код проходит через автоматизированное регрессионное тестирование– Изменение одной любой строки кода означает тестирование с самого начала

39



Контроль качестваЗадачи

PAM Верификация реузльтатов автоматических

регрессионных тестов Ручной тест каждого декода Тест на устойчивость к техникам обхода

(evasion) Тест производительности Проверка help и readmes

40

IBM Security Network IPS


Атакующий Цель


PAMБлокирование

Новые декоды проходят тестирование на практике в течение 1 месяца, прежде чем поднимается вопрос о включении режима Block

Любой декод, который может иметь ложные срабатывания, никогда не включается в режим Block по умолчанию

Если у любого декода обнаружены ложные срабатывания, режим Block отключается, пока декод не будет исправлен и не пройдет повторное тестирование в течение 1 месяца

41



PAMПре-релизы

X-Force устанавливает устройства IBM IPS у заказчиков на основе специального соглашения

– Устройства работают в специальном режиме сбора информации на реальном трафике– Устройства собирают статистику, которая используется X-Force для поиска ложных

срабатываний и атак Заказчики MSS могут подписаться на пре-релизы PAM XPUs

– Заказчики получают пре-релиз (защиту) как минимум за 72 часа до релиза– X-Force использует полученные данные для поиска ложных срабатываний и атак

42



XPUСкорая помощь

Реагируя на экстренные случаи, мы можем выпустить внеочередной XPU Экстренные случаи включают:

– Публичное раскрытие новых критических уязвимостей– Эксплойты “нулевого дня” – 31 экстренный случай в 2009– 12 экстренных случаев к июлю 2010– Декоды для экстренных случаем установлены в Block по умолчанию, если это

допустимо

43



But its really all about security effectiveness

44

Top 61 Vulnerabilities of 2009341 Average days Ahead of the Threat

91 Median days Ahead of the Threat

35 Vulnerabilities Ahead of the Threat

57% Percentage of Top Vulnerabilities – Ahead of the Threat

9 Protection released post announcement

17 same day coverage



Эффективность защиты – Top Vulnerabilities of 1st Half 2010

Top 14 Vulnerabilities

437 Average days Ahead of the Threat

5 Vulnerabilities Ahead of the Threat

2 Protection released post announcement

7 same day coverage


Ahead of the ThreatConficker

46

DEC 2008 JAN 2009 FEB 2009 MAR 2009

Nov 21, 2008Conficker.A discovered

Dec 29, 2008Conficker.B discovered

Feb 20, 2009Conficker.B++/C discovered

Mar 4, 2009Conficker.C/D discovered

Pre-emptive IBM ISS coverage

Network Share Propagation

SMB_Empty_Password_Failed,

SMB_Auth_Failed,

MSRPC_Pipe_SAMR,

and/or Windows_Access_Error since 2002

Conficker-specific IPS coverage

Communications Protocol

Conficker_P2P_Detected

Conficker_P2P_Protection added Mar 26, 2009

Conficker_P2P_Data_Transfer added Apr 20, 2009

Conficker_P2P_Exec_Transfer added May 12, 2009

X-Force reverse engineersConficker communications


MS08-067 Exploitation

MSRPC_Srvsvc_Bo since Aug 8, 2006

MSRPC_Srvsvc_Path_Bo since Oct 27, 2008


MS08-067 Exploitation

MSRPC_Srvsvc_Bo since Aug 8, 2006

MSRPC_Srvsvc_Path_Bo since Oct 27, 2008


APR 2009


Trust X-Force

“Trust X-Force”– Собственные исследования– Лучшая защита в отрасли – Мы постоянно работаем над

совершенствованием процессов контроля качества

47

Процесс выпускаX-Force XPU



План




Самый большая в мире БД веб-фильтрации

Полнота– Crawlers собирают страницы и изображения по всему

Интернету круглосуточно,200 миллионов страниц ежемесячно

– Ежедневно заказчикам пересылается 150,000 изменений

Качество– Самая большая БД URL позволяет удовлетворить

практически любые требования по фильтрации при помощи 68 категорий

Количество– Самая большая в мире БД веб-фильтрации содержит

170 миллионов сайтов– Это 10 миллиардов веб-страниц и изображений

49



Базовые технологии

50

Распознавание лиц

Распознавание объектов

Цифровые отпечатки

Сравнение, обнаружение сходства

Классификация текстов

Обнаружение порнографии



Инфраструктура

51

Интернет

Глобальный ЦОД

Базы данных

Online УслугиСервер БД фильтрации

Crawling Cache Analysis

Crawling• Роботы анализируют Web

параллельно.• Они скачивают страницы и

изображения и помещают в кэш. Информация затем помещается в БД.

Анализ• Кластер серверов

анализирует страницы.• Результаты сохраняются в

БД.



БД спамаБез спама, без ложных срабатываний

Полнота– Распределенные по всему миру коллекторы спама

круглосуточно -> до 1.6 миллиона уникальных спам-писем в день

– 12 обновлений в день распространяется заказчикам Качество

– Примерно 45 миллионов текущих сигнатур спама в БД

– > 99.7+ % обнаружения спама– < 0.01 % ложных срабатываний

Количество– Многочисленные методы распознавания спама

(Байесовский фильтр, проверка URL, Мета-эвристика, FlowControl, Структутрный анализ, Обнаружение фишинга, …)

52



Обработка спама

53



Технологии анализа спама

54


Эвристика

Байесовский фильтр

Анализ изображений

ZLA

Внешний «черный список»

Внутренние «черные списки»

Анализ вложений

Фильтр URL

Цифровые сигнатуры спама

12

3

4

6

5

7

8

9


Спасибо за Ваше времяДополнительная информация: IBM X-Force Page on IBM.com: www.ibm.com/security/x-force IBM X-Force Sales Kit on Software Group Sellers Workplace: http://w3-103.ibm.com/software/xl/portal/content?

synKey=C850820I16680T38#overview IBM X-Force Threat Reports page on IBM.com: http://www-935.ibm.com/services/us/iss/xforce/trendreports IBM X-Force Frequency X Blog: http://blogs.iss.net/index.html Service Management in Action Article on IBM X-Force Annual Trend Report: http://www-01.ibm.com/software/tivoli/

governance/action/04292010.html IBM Security Solutions Main Page on IBM.com: http://www-01.ibm.com/software/tivoli/solutions/threat-mitigation/?

tactic=featuredhome

Контакты:


Name Title Telephone EmailVenkat Raghavan Director Security, Risk and Compliance Tivoli Phone: 1-512-300-6518 [email protected]

Phone: 49-561-57 0 87 15

Mobile: 49-173 541 48 05Phone: 1-404-236-3174 Mobile: 1-404-423-9618Phone: 1-404-236-2779 Mobile: 1-678-521-2312Phone: 1-404-236-2976

Mobile: 1-770-329-8581Phone: 1-404-236-3247

Mobile: 1-678-907-4654Leslie Horacek XF Threat Analysis Manager Mobile: 32-497 41 53 10 [email protected] Moore Team Lead, XF Database Phone: 1-404-236-2988 [email protected] McKelvey XF Product Marketing Phone: 1-404-236-2763 [email protected]

Jamie Licitra XF Product Manager (as of 8/1/10) [email protected]

Jason Brewer XF Engineering Manager [email protected]

Tom Cross Manager, XF Advanced Research [email protected]

Carsten Dietrich XF Product Line Manager, Content Security [email protected]

Clinton McFadden Sr. Operations Manager, XF R&D [email protected]

http://w3-103.ibm.com/software/xl/portal/content?synKey=C850820I16680T38#overview



http://www-935.ibm.com/services/us/iss/xforce/trendreports/

http://blogs.iss.net/index.html

http://www-01.ibm.com/software/tivoli/governance/action/04292010.html

http://www-01.ibm.com/software/tivoli/governance/action/04292010.html

http://www-01.ibm.com/software/tivoli/solutions/threat-mitigation/?tactic=featuredhome

http://www-01.ibm.com/software/tivoli/solutions/threat-mitigation/?tactic=featuredhome

“За кулисами” исследовательской группы ibm x-force®. ·...

Documents