P e r He l l q v i s t S e n i o r S e c u r i t y S p e c i a l i s t No r d i c & B a l t i c r e g i o n
Rädd? Me d v e t e n?
ETT BROTT BEGÅS...
VAR 15e MI NUT I P A RI S.
VAR 3½ MI NUT I NE W Y ORK
VAR 2½ MI NUT I T OK Y O.
V A RA NNA N MI NUT I B E RL I N.
VAR 3 e SEKUND PÅ WE B B E N.
på 1 42. 000. 000
1 2. 600. 000 på
1 300 på
1 31 på
1 5 av KOMMER RÅKA UT FÖR NÄTBROTTSLIGHET
VI ÄR FÖRVÅNANSVÄRT OME DV E T NA
E l a k k o d s p r u t a r ut
Nya virussignaturer År 2000 5 st per dag År 2009 5. 000 st per dag!
Un d e r 2008 s k a p a d e s 60% av ALLA våra s i g n a t u r e r ( 1, 656, 227 st n y a ) Över 90% försöker stjäla k o n f i d e n t i e l l i n f o r ma t i o n 245 mi l j o n e r infektionsförsök varje månad Preliminärt 2, 9 mi l j o n e r under 2009
Spear phishing Extremt riktade attacker Företag, organisationer, besökare till webbplatser, itavdelningen Attackeraren har läst på Mejlen ser ut att komma från kollegor eller kontakter Garden sänks ännu mer Doc, xls, pdf vanliga format Preparerade med trojaner Din information är värdefull
Aurora
Aurora?
Aurora Riktad attack mot +30 stora företag Utnyttjade en nolldagars mot IE 6 Samma hål finns i IE 6, 7, 8 Installerade Trojan.Hydraq Syfte: Informationsstöld
Aurora
Aurora
Aurora Lura ett offer, gärna på ett lokalkontor, att besöka en elak sajt Sajten utnyttjar en sårbarhet i webbläsaren för att infektera offret Trojanen ringer hem till en C&Cserver, oftast med en dynamisk DNS adress
Aurora Elakingen utökar sina rättigheter mha cachade eller lokala admin-rättigheter Försök görs att komma åt en AD-server för att stjäla lösenordsdatabasen Mha stulna rättigheter skaffas VPNaccess, alternativs skapas en falsk användare i VPN-servern
Aurora Sen skiljer sig attackerna beroende på offer: Via admin-rättigheter komma åt produktionssystem Komma åt källkod Stjäla data/ip
Hur skydda sig? Logga och kontrollera DNS-trafik Övervaka och kontrollera speciellt dynamisk DNS Kontrollera enheter som ofta gör skumma förfrågningar, speciellt mot dynamiska DNS namn
Hur skydda sig? Övervaka den interna nätverkstrafiken Installera en IDS Installera en webb-proxy Gör DNS uppslagningar här
Hur skydda sig? Aggregera minst dessa loggar Eventloggar, domänkontrollanter, SSH/UNIX-logins, lokala DNS uppslagningar, IDS, webb proxies, webbaccessloggar från intranät och applikationer
Hur skydda sig? Utöka kontrollen av VPN (Bevisligen arbetade elakingarna med offrens egna VPN-lösningar)
Hur skydda sig? Utöka skyddet på klienterna Ifrågasätt admin-rättigheter Inför SAM - Patcha allt Ofta Fundera på vitlistning Köp Symantec Endpoint Protection ;-)
Långsiktigt: Sätt ihop en SOC Öka säkerheten på lokalkontor Hitta och övervaka känslig data (DLP) Säkra upp AD
Läxor från Aurora Klienter står i fokus Säkra det interna nätverket Endast antivirus fungerar inte Patchning täpper inte till 0-dagars Övervaka trafiken
Läskigast:
Omg...
PDF är osäkert
Jordbävningen i Chile
HELA IDENTITETER: 400 KREDITKORT: 0.40 Source: Symantec, 2009
VANLIG IT-TEKNIKER 350.000 ROCK STAR CYBERSKURK 5 miljoner Source: FBI
DE FÖRSTÖR INTE DE FÖRSTÖR LIV. DATORER.
DU, DIN IDENTITET OCH DINA PENGAR ÄR TILL SALU.
SÅ, VAD SKA VI GÖRA DÅ?
GÖRA DET SVÅRARE FÖR NÄTBROTTSLINGARNA ATT TJÄNA PENGAR
Det gamla problemet # NYA, UNIKA HOT PER ÅR 20,547 18,827 69,107 113,025 140,690 140,690 140,690 140,690 2002 2003 2004 2005 2006 2007 2008 2009 2010 Source: Symantec, 2009
Det nya problemet # NYA, UNIKA HOT PER ÅR 3,000,000 2,400,000 1,656,227 624,267 $ 20,547 18,827 69,107 113,025 140,690 2002 2003 2004 2005 2006 2007 2008 2009 2010 Source: Symantec, 2009
RYKTESBASERAD SÄKERHET
ETT UNIKT OCH NYTT FÖRSVAR
Vi måste tänka om Miljontals filer världen över. De flesta är snälla. Vissa är riktigt elaka.
Förekomst Elakingarnas styrka ligger i deras förmåga att skapa unika filer Elaka Snälla Tyvärr fungerar ingen av teknikerna för de tiotals miljonerna filerna med låg förekomst Svartlistning fungerar bra här Vitlistning fungerar bra här
Ryktesanalys förändrar detta! Helt nya unika hot (Svårast att upptäcka)) Rykte Hot som kan upptäckas antingen genom vad de gör eller via attribut Heuristik Äldre, väl kända hot Signaturer
Tekniken i arbete 1 Samla in data Ryktesservrar (realtid) Filens hash Snäll/elak Pålitlighet Förekomst 3 Insamlande servrar (automatiskt) 2 Datum först sedd Beräkna ryktet (ingen scanning!) 52
Skydd när det är som viktigast
Tekniken är effektiv 20,000 elaka exempelfiler Korrekt identifierade som elaka eller oprövade: 99.82% Source: Symantec
Summering Riktade attacker svåra att skydda emot Information mest intressant Flera lager säkerhet är det enda som gäller Insight är Symantecs nya vapen