ddos után ssl: a támadók a titkosított forgalomban rejtőznek · [email protected] - cism,...
TRANSCRIPT
1Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
DDoS után SSL: a támadók a titkosított forgalomban rejtőznekBalogh Viktor, TMSI Kft
2Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
Nincs megpihenés, nincsen leállásÚjabbnál újabb IT biztonsági kihívásoknak kell megfelelni
2016 az elosztott túlterheléses támadások (DDoS) éve volt!?http://www.cert-hungary.hu/node/297
Miközben a DDoS ellen még fel sem készültek a magyar vállalkozások, máris …
… újabb probléma kerül rivaldafénybe: a titkosított hálózati forgalomban (SSL/TLS) rejtőzködő rosszindulatú kódok (malware) térhódítása.
A Gartner Group fontos jelentéseSecurity Leaders Must AddressThreats from Rising SSL Traffic
3Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
Az SSL dilemmaA titkosítás védi a magánszférát ... de a kiberbűnözőket is!
Az alkalmazások serkentik a növekedést
Az Internet forgalom egyre nagyobb része titkosított
Az SSL-t használó malwarek száma nő
A titkosítással a feltárás kijátszható
Sources: Sandvine, SSL Blacklist
29% 65%Az Internetes forgalom
29%-a titkosított jelenleg2017-ben az Internetes
forgalom 65% lesz titkosítva
2000+29
97 70 22 19 37 11 32 25
533 534
265 271204
Sep 2014
Oct 2014
Nov 2014
Dec 2014
Jan 2015
Feb 2015
Mar 2015
Apr 2015
May 2015
Jun 2015
Jul 2015
Aug 2015
Sep 2015
Malicious SSL Certificates Reported
olyan ismert malware-család
van, amely az SSLtitkosítást használja
rosszindulatú célra igényelt SSL
tanúsítványt adtak ki egyetlen 1 év alatt
4Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
A callback túlnyomó többsége titkosított
Befelé az exploit és a malware,kifelé pedig a C&C hívások titkosítattak
Az SSL malware úgy van kialakítva, hogy megkerülje a ‘Man-in-the-Middle’
megszakításokat
A hálózati védelmi eszközök részben tudják a titkosított forgalmat vizsgálni
Az SSL forgalomba rejtőznekmegkerülő technika a szervezetekbe való beszivárgáshoz és rejtőzéshez
IPSTűzfal
DLP MVX
https://
Mindeközben meg kell felelni a törvényes
előírásoknak
ExploitsMalware
Callbacks
DyreShylockKINS
DridexGootkit24+ others
Az SSL callback malware családok
5Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
Van válasz erre a kihívásraA FireEye SSL Interceptor
A FireEye a világ vezető vállalata az újgenerációs malware elleni védelem terén.Van válasza APT, ATA, next-generation threats, blended threats fenyegetésekre.
Az MVX technológiával valós időben tudja kielemezni az ismeretlen támadásokat. Ehhez nincsen szüksége vírus-mintákra, azaz mintaalapú védelemre.
67 országban 2.700 ügyfélA Fortune 500 cégből pedig 157 élvezi az egyedi megoldás előnyeit
6Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
FireEye SSL InterceptAz SSL forgalom kiválasztott részébe való ideiglenes betekintés
FireEye SSL Intercept
Trusted Site ID
FireEye NX Series
241
3
Az SSL forgalom megszakításaés ideiglenes visszafejtése (bejövő és kimenő „C&C” forgalom esetén is)A Fireeye NX rendszerébe való továbbítása malware(ismert és ismeretlen) detektálás céljábólA vizsgálat után a forgalom újra-titkosítása és továbbítása az eredeti célhoz
Bizonyos forgalom vizsgálat alóli kizárása kategória v.egyedi URL alapján
7Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
A FireEye SSL Intercept 10150 céleszközA céleszköz fontosabb képességei
8x 10GE SFP/SFP+ ports
5.5 Gbps (all SSL) – 20 Gbps (all HTTP)
SSL 3.0, TLS 1.0, 1.1 and 1.2
§ 1G/10G Base SX/SR SFP+ § 1G/10G Base LX/LR SFP+ § 10G Base Cu SFP+ § 1G Base T SFP
RSA, DHE-RSA, ECDHE-RSA, ECDHE-ECDSA with Perfect Forward Secrecy (PFS) support
512, 1024, 2048, 4096 -bit keys
1RU
400K concurrent SSL sessions, 15K SSL handshakes per second
Minden elterjedtSSL/TLS protokollba(http, smtp, stb..) való betekintés képessége
Akár 20 Gbpsteljesítmény
Nyolc db. 10 GE portig skálázható
8Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
A FireEye NX sorozat és az SSL Intercept rendszerbeillesztéseSSL megszakítás és terhelés-elosztás a nagyobb teljesítmény céljából
FireEye NX Series
FireEye SSL Intercept
FireEye NX Series
FireEye NX Series
load balancing
10 Gig NX 10150 megoldásSSL Intercept rendszerbeillesztés
Tap, inline mód AFO használatával
Úgy a bejövő, mint a kimenőforgalmat tudja vizsgálni
Akár 3 NX eszköz forgalmának terheléselosztását el tudja végezni
Minden NX 4400 → NX 10450
9Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
A törvényi megfelelőségA megbízható címek és domainek kivétele a vizsgálatból
FireEye SSL Intercept 10150
Trusted Site ID460+ millió domain
kategorizálása
A kivételek hozzáadása manuálisan
2,500 URL/sec osztályozása egy fejlett tanuló motor által
83+ web kategória
Éves előfizetési licencFeleljenek meg a compliancekövetelményeknek azáltal, hogy az érzékeny adatokat titkosítottan kezelik
10Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
A FireEye SSL Intercept céleszköz által nyújtott előnyökFojtsuk el az adatszivárgást még csírájában
KISEBB KOCKÁZAT ERŐSEBB VÉDELEM A BEFEKTETÉS MAXIMALIZÁLÁSA
A betörés költségei Nagyobb forgalom vizsgálataProaktív védelem
§ Az incidens utólagos eltakarításának költségei
§ Ügyfél- és üzletvesztés§ A presztízs vesztés
(reputáció)
§ A támadás megállítása még a fertőzés megtörténte előtt
§ Állítsuk meg a támadást idejében és tárjuk fel a megfertőzött felhasználót
§ A FireEye NX-be való befek-tetés nagyobb megtérülése
§ Készítsük fel az infrastruktúránkat az SSL forgalom növekedésre
§ Az üzlet növekedésével párhuzamos skálázhatóság
11Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL
Összegzés
A támadók az SSL forgalomba rejtőznek
FireEye SSL Intercept 10150
Skálázható megoldás a határvédelemben
§ Az alkalmazások SSL-t használnak
§ Az SSL malware-k száma nő§ A hálózati biztonsági megol-
dások képtelenek elvégezni
§ 20 Gbps, 8 port§ URL-ek kategorizálása§ Minden használatos
SSL/TLS protokoll kezelése
§ Közepes és nagy vállalatokhoz§ Akár 3 NX eszköz terhelés-
elosztása§ 10 Gbps-ig skálázható
NEM VÉDEKEZHETÜNK A LÁTHATALAN ELLEN
A FIREEYE SSL MEGOLDÁS Az NX SOROZAT SSL INTERCEPT ESZKÖZZEL
12Copyright © 2015, FireEye, Inc. All rights reserved. CONFIDENTIAL Copyright © 2014, FireEye, Inc. All rights reserved. CONFIDENTIAL
KÖSZÖNÖM A FIGYELMET!Balogh ViktorA TMSI Kft a FireEye Gold [email protected] - CISM, FireEye Systems Engineerwww.tmsi.hu