Docstoc

symantec

Document Sample
symantec Powered By Docstoc
					Scenari di Minacce e Contromisure
         24 Febbraio 2004
      2° INFN Security Workshop



                  Giuseppe Borgonovo
                      Technical Manager
                        Evoluzione delle minacce: codice malizioso
                               Classe III
                               Intervento: impossibile
                               Risposta automatica: improbabile                         “Flash” Threats
                    Secondi    Controllo proattivo: possible
Tempo di Contagio




                               Classe II                                           “Warhol” Threats
                     Minuti    Intervento: difficile/impossibile
                               Risposta automatica: possibile
                                                                              Blended Threats
                       Ore     Classe I
                               Intervento: possibile           e-mail Worms
                      Giorni
                                               Macro Viruses
                       Mesi
                                  File Viruses

                                 Inizio 90’      Metà 90’          Fine 90’      2000       2004
Categorie di minacce alla sicurezza


  Denial of service
    – Mettere fuori uso sistemi o reti

  Intrusion
    – Accessi non autorizzati a sistemi o reti

  Information access
    – Furti o modifiche

  Software damage
    – Viruses
Metodi comuni di attacco

 IP address spoofing
   – Pacchetto IP contiene un indirizzo IP fidato come sorgente
 SMTP mail
   – Sfruttare vulnerabilità o intasare sistemi con messaggi
 TCP session hijacking
   – La sessione è intercettata e controllata da un terzo
 Port scanning
   – Usato per individuare servizi vulnerabili
 DNS information
   – Usato per raccogliere informazioni o sovrascrivere le informazioni
     corrette.
Metodi comuni di attacco


  Ping
    – Inondare il sistema di richieste ICMP

  TCP SYN
    – Grosso numero di SYN requests lanciate da sistemi
      controllati
    – Risorse allocate, ma connessioni lasciate a metà

  Fragmentation
    – Tentativo di nascondere attacchi mirati
Metodi di furto delle Passwords


  Sniffing
    – Analizzare il traffico di rete in attesa di eventi
    – Ricostruzione con tools e dizionari di parole protette

  Trojan horse
    – Catturare password usando fasulli logon screen

  Social engineering
    – Ingannare un utente per scoprire le sue password

  Una volta che la password è conosciuta, l’hacker
   tenta di aggiungere privilegi all’account o ottenere
   altre passwords.
Virus – Worm threats


 Network-aware infections
   – Detects mapped drives
 Mass-mailing
   – Damages mail servers performance
 File destruction
 Data export / Keylogger
 Backdoor/remote control (Backorifice)
 Social engineering
 Hoax
Cosa è una Blended Threat ?

 Qualsiasi minaccia che usa molteplici metodi di
  propagazione
 Richiede una Risposta Integrata da più di una
  Tecnologia
                                  Vulnerability Assessment
                                  Antivirus
                                  Intrusion Detection/Prevention
         NIMDA, SQL               Firewall
        Slammer, Bug
        Bear, Blaster
―Ma noi abbiamo un firewall…"

  Worms e Trojan Horses via Posta Elettronica
  Attacchi che usano ICMP e DNS
  Numero crescente di attacchi via HTTP
  Attacchi via accessi Remoti
  Frodi e Sabotaggi Interni all’azienda
  Configurazioni errate
       Minacce & Soluzioni
                                                                     • Macro Virus
                   Web         • Detect attack                         (WM32)
                   Server      • Alert / Log                         • Mobile Code
                                                                       (Melissa)
                        Network IDS


Workstations                                                                     Workstation
                                                                                   via email
                                                              Internet
                                                                                     Hacker
           Mail                                                                      Cracker
                                         Firewall
       Gateway

                                • Block specific exploits
            Mail                • Direct & inspect traffic          • Probing
          Server
                                                                    • Back-door attacks
            File
                                                                    • DOS attacks
          Server      AV on gateways, servers, and workstations     • IP spoofing attacks
                      • Block known exploits via SMTP protocol      • Theft, Sabotage
                      • Detect & clean files                        • Web defacement
Internet Security Threat Report



  È basato sulla fonte di dati sulla sicurezza più estesa
   a livello mondiale.
    – 600 clienti dei Symantec Managed Security Services
    – 20.000 sensori su scala mondiale impegnati nel
      monitoraggio delle attività in rete in 180 Paesi

  Offre una fotografia completa della “situazione
   sicurezza” in Internet oggi.
  Fornisce un’analisi delle vulnerabilità “preferite” dagli
   hacker.
  Tendenze – gli attacchi vengono lanciati a
  intervalli sempre più brevi
 Blaster è comparso soltanto
  26 giorni dopo l’annuncio                                         50%                 il 64% dei nuovi
  della relativa vulnerabilità




                                    Percent of New Attack Targets
                                                                          39%
                                                                                        attacchi puntano a
 Primo sem. 2003 – gli hacker                                      40%
                                                                                    vulnerabilità scoperte
  puntano a nuove vulnerabilità
   – il 64% delle vulnerabilità                                     30%
                                                                                    25%
                                                                                        da meno di 1 anno
     attaccate aveva meno di 1
     anno                                                           20%
                                                                                              14%
   – il 66% degli attacchi mirava                                                                        10%
     a vulnerabilità molto gravi                                    10%                                                         5%
                                                                                                                     4%
                                                                                                                                           1%         1%
 Aziende e consumatori                                             0%
  devono applicare procedure                                              0 to 6   6 to 12   12 to 18   18 to 24   24 to 30   30 to 36   36 to 42   42 to 48
  di gestione degli                                                       Months   Months     Months     Months    Months     Months     Months     Months

  aggiornamenti                                                                                    Vulnerability Age Range
Symantec Internet Security Threat Report
           1 semestre 2003
Vulnerabilità \ Exploit
DeepSight Threat Management System
Benefici


      Segnalazione tempestiva in caso di attacchi
      – Primo ed unico Global Early Warning System for Attacks
      – Configurabile in base ai propri sistemi ed applicazioni

      Prioritizzare risorse
      – Creare monitor separati per asset critici

      Eseguire contromisure
      – Aumentare la sorveglianza
      – Implementare strategie di risposta
      – Difendere le proprie risorse

                                                    Events over last 7 days
Symantec DeepSight Overview


      Raccolta e Analisi   Sensor Data (FW, IDS)
       di Informazioni      Analisi Informazioni




    Vulnerability Info        Threat Info




                           DeepSight Threat
      DeepSight
                             Management
     Alert Services
                            System (TMS)
DeepSight – Alert Services vs. TMS

Alert Services                        Threat Management System
 – Ciò che potrebbe essere una        – Ciò che è un reale attacco
   minaccia                           – Monitorizza le minacce globali alla
                                        sicurezza
 – Segnalazioni personalizzate
   di vulnerabilità e malicious       – Fornisce preventive informazioni
                                        sugli attacchi in essere per aiutare
   code
                                        a proteggere le risorse critiche
 – Fornisce informazioni              – Aiuta a prevenire gli attacchi prima
   operative per aiutare gli utenti     che colpiscano la rete aziendale
   a mitigare le vulnerabilità        – Analisi dettagliate per una efficace
   prima che vengano sfruttate          risposta
 – Permette di risparmiare tempo      – Permette di utilizzare
   e migliora la produttività           efficientemente risorse limitate
 – Unica fonte di tutte le            – Unica fonte di tutte le informazioni
   informazioni disponibili             disponibili
DeepSight Solutions
DeepSight Services in azione
Deep Site Threat System – Early Warning
Statistiche IDS, FW, AV
Tipi di report
Symantec DeepSight comunicazioni ai clienti
su: W32.Blaster.Worm

  Symantec DeepSight Alert Services
    – 16/7/03 Vulnerability Alert
        Analizzata la vulnerabilità Microsoft Windows DCOM RPC
         Interface Buffer Overrun

    – 25/7/03 Vulnerability Alert
        Confirmata la disponibilità dell’exploit code
    – 11/8/03 Malicious Code Alert
        W32.Blaster.Worm
Symantec DeepSight comunicazioni ai clienti
su: W32.Blaster.Worm
  Symantec DeepSight Threat Management System
    – 16/7/03 - Daily Summary Reports Began
        Fornite informazioni su vulnerabilità e possibili exploits

    – 25/7/03 - Threat Alert
        Informazioni dettagliate su exploit code per la vulnerabilità
    – 7/8/03 - Threat Analysis
        Avviso che il worm potrebbe propagarsi rapidamente
    – 11/8/03 - ThreatCon Alert
        Aumentato al livello 3 a motivo del worm
    – 11/8/03 - Malicious Code Alert
        W32.Blaster.Worm
    – 11/8/03 – Threat Alert
        Dettagli su Blaster worm
        Fornite le Snort IDS signatures per la detection
Ciclo di protezione dalle minacce -
Essere informati e aggiornati in real time
                       Symantec DeepSight Early Warning
                          Symantec Security Response




         Alerts                                       AV




                                                           Incident Management

                                                            Event Normalisation
       Advisories




                                                             Event Correlation
        Analysis
                                                      FW

                                                     IDS                          SESA Datastore


Vulnerability Assessment                              VA
  Patch Management
    Threat Mitigation
   Incident Handling
   Disaster Recovery
Gestione delle crisi
                  Crisis
                Incidents

                                                                                                         Data
                                    Data

                                                                                    Alerting                            Vulnerability &
                Security
              Technology &
                                Level 1          Compromises &     Correlated      Services             Level 2          Threat Alerts
                                                   Signatures     Information     Compliance                            Security Policy
               Awareness
                                                                                  Technology                             Compliance

                                                                                                 Correlated & Analysed
                            Correlated Information
                                                                                                      Information                          Correlated
                                                                                                                                          Information
                                   Information                                                     Information & Data



                                                                    Analysed &                                            Intrusion
                 Business         Level 4         Risk Analysis
                                                                     Correlated
                                                                                  Critical Asset
                                                                                                                          Detection
               Impact Control                       Systems                          Control          Level 3
                                                                    Information                                          Data Mines


                                                                                                 Analysed & Correlated
                                  Assessment
                                                                                                      Information
 Assessment

                                                                                                    Regulatory & Legal
                            Weighted Information
                                                                                                       Information



              Management                          Policy Impact   Policy Impact    Direction &                               Strategic
                                  Level 5
               Systems                              Controls      Assessment        Influence            Level 6             Planning

                                                                                                        Long-term
                                Policy Impact                                                            Planning
                                Assessment                                                             Assessments
                                                                                  Legislation &
                                                                                   Regulation
 Symantec Security Management System
                                                                               Manage



           Symantec Security Management System
            Deploy - Configure - Integrate - Aggregate - Analyze - Report

    Compliance
   Vulnerabilities                   Policy Manager (ESM)
    Correlation
     Analysis                          Incident Manager
   Prioritization
      Logging                                        Event Manager       Event Manager
                     Event Manager   Event Manager
      Alerting                                          Intrusion          Integrated
                        Antivirus       Firewall
     Reporting                                         Detection           Protection


                                                           3rd party products
                         Symantec Products
                                                     Security Products    Network Mgmt

Symantec Enterprise Security Architecture
Symantec Intrusion Protection Systems
Symantec Policy Compliance / Vulnerability Assessment
Symantec Enterprise Security Manager




                                     Win NT/ 2000/XP

                                     Unix/Linux/…

                                     NetWare                  Firewalls

                                     OpenVMS/AS400/…          Web Servers
       WinNT/Win2000   UNIX/WinNT/
                       Win2000                                Databases


       Console         Managers         Agents                 Modules

                                                    ISO 17799-based
                                                    SANS/FBI Top 20 Internet
        Cross Platform and Application Security      Threats
                                                    CIS Benchmarks for Sun Solaris
Symantec Gateway Security 5400 series:
integrazione di funzioni
 DMZ Network

                                                 Internet

 Screening router provides
  basic packet filtering                              Screening
                                                        router
 Firewall system provides                     DMZ network
  final level of security
                               Security
 Selected services deployed   Gateway
  on DMZ network
                                                      Bastion hosts
 Also called a “perimeter”
  network                                 Protected
                                          Network
 Service Network

                                          Internet

 Also called an “isolated
  perimeter” network                                 Screening
                                                       router
 Firewall system handles
                                         DMZ
  all traffic
                                                       Service network
                             Security
                             Gateway




                                                     Selected services
                                        Protected    SMTP, FTP, Web, ...
                                        Network
 Enclave Network—Internal Firewall
                                                          Internet
 Additional firewalls may be
  deployed within protected
  network                                               DMZ

 Forms “enclave” networks               Security
   – Private subnets requiring           Gateway
     additional security from internal
     access                                         Protected
                                                    Network
   – Sensitive research groups,
     personnel and financial
     information                                                 Internal
                                                                Security
                                                                Gateway

                                         Enclave network
Gestione

  Gestire la soluzione
  Gestire le informazioni prodotte dai sensori di
   sicurezza
  Risorse dedicate o affidarsi ad un provider di
   soluzioni di sicurezza gestita
  Opzioni di gestione
               Quale approccio seguire
Approccio          Benefici                                   Criticità
In-house           •Controllo completo giorno per giorno      •Tempi lunghi per la predisposizione
                   •Flessibilità ed adattabilità              •Necessità di avere personale altamente
                   •Affidabilità interna all’organizzazione   formato
                   •Fortemente integrato con le esigenze      •Necessità di coprire 24 x 7
                   di Business Interno                        •Non rappresenta il core business
                                                              aziendale

Outsourced
Managed security   •Tempi brevi per la predisposizione        •Perdita di controllo
service (MSS)      •Servizio fornito 24 x 7                   •Fidarsi di provider MSS
                   •L’azienda si concentra sul core           •Dipendenza dal servizio offerto
                   business                                   •Minore integrazione con le esigenze di
                                                              business interno



Managed security   •Flessibilità ed adattabilità              •Fidarsi di provider MSM
monitoring (MSM)   •Persone preparate e affidabili che        •Dipendenza dal servizio offerto
                   effettuano analisi
                   •L’azienda si concentra sul core
                   business

Co-sourced         •Buon controllo interno sugli elementi     •Perdita di controllo parziale
                   gestiti                                    •Fidarsi di provider MSS
                   •Crescita professionale del personale      •Dipendenza parziale dal servizio
                   interno                                    offerto
                   •Flessibilità ed adattabilità              •Integrazione con le esigenze di
                   •Persone preparate e affidabili che        business interno
                   effettuano analisi
     Symantec Managed Security Services


                      Servizi Monitored and   Servizio Monitored and Managed
                        Managed Firewall             Intrusion Detection



Servizio Monitored
                                     Symantec Managed                   Servizio Managed
   and Managed                        Security Services                  Virus Protection
Integrated Security




         Servizio Managed Internet                     Servizio Managed Security
         Vulnerability Assessment                          Policy Compliance
Il punto di vista di Gartner sui MSS
                           Concorrenti          Leader


                       CSC        ATT
                              Unisys
                           EDS          IBM
                                                Symantec
                             SAIC
 Capacità di             Sprint                        Guardent
                          Internet Security      Ubizen
 esecuzione
                                  Systems       Red Siren
                    WorldCom                  NetSolv    Counterpane
                            Genuity / L3
                     Schlumberger
                       SecureWorks
                            Netsec       Verisign


                    Concorrenti di nicchia Visionari

 Fonte: Gartner Research     Completezza della visione             Alla data 1/03
Corporate Security Awareness Program

 Soluzione applicativa con
  l’obiettivo di:
 – Sottolineare l’importanza di
   proteggere le informazioni
   aziendali
 – Formare i dipendenti sui
   “fondamentali” di sicurezza
 – Informare sui comportamenti
   aziendalmente accettabili
 – Valutare il grado di
   comprensione dei messaggi
 – Assicurare un cambiamento
   di lunga durata nei
   comportamenti dei dipendenti
La piattaforma Symantec

                                                                                                                 SESA
                                                       Managed/Monitored Security Services                       Symantec Enterprise Security
                                                                                                                 Architecture

                                Management
                                                          Symantec Security Management System
                                                                    (Incident Manager)
                                              Risk                                                    Threat
             Knowledge                                                                   Deepsight
                                              Education ESM
                                                                                         TMS/AS
                                          Consulting                     Vulnerability
                                                              NetRecon                          SYMC MSS

 Product                                  Applications                      SVA                      Mainframe
 Protection and Correction
                                 Server                                                                                 Gateway
                                                  Content Filtering
                                                  Spam Control                           Patch Management
                                   AV                                                                               SGS
                                                  IDS                       Client          Ghost & PcA
                                                  Firewall

                                                                           SCS




                                                                                              Dynamic Priority

                         Risk     Vulnerability      Threat       Response                    Cost and Value

                                                                                              Manpower
  Symantec Enterprise Security

Early Warning                                      Soluzioni Integrate
– DeepSight™                                       – Client Security
                                                   – Gateway Security
Decoy Technology
                              Alert   Protect        Appliance
– ManTrap®                                         Soluzioni Tradizionali
                                                   – IDS (host & network)
VulnerabilityAssessment                            – AV/CF
– Sym.Vulner.Assess.             Proactive         – FW/VPN
                       Managed Security Services
Sistemi                           Control          Interna
– Policy Compliance                                – Ghost
– NetRecon/ESM
Eventi                                             Esterna
                                                   – Security Response
– Incident Manager           Manage Respond          (LiveUpdate)
– Event Managers
  (AV, FW, IDS, Integrated                         – 7x24 customer support
  Security)                                        – Professional Services
  W32.Netsky.B@mm


                                      Also known as:
                                          W32/Netsky.b@MM (McAfee)
                                          W32/Netsky.B.worm (Panda)
                                          WORM_NETSKY.B (Trend Micro)
                                          Moodown.B (F-Secure)
                                          I-Worm.Moodown.b (Kaspersky)




Threat level: Category 4 - Date discovered: February 18, 2004 - 3:30 AM Pacific
What is W32.Netsky.B@mm?

 W32.Netsky.B@mm is a mass-mailing worm.
 Impacted customer segments:
   Home and home office users
   Corporate users
How W32.Netsky.B@mm Works

 W32.Netsky.B@mm uses its own SMTP engine to send itself to
  email addresses it finds when scanning the hard drives and
  mapped drives. It also searches drives C though Z for folder
  names containing “Share” or “Sharing,” and then copies itself to
  those folders.
 Systems affected:
    – Windows 2000, Windows 95, Windows 98, Windows ME, Windows
      XP
 Systems not affected:
    – Linux, Macintosh, UNIX, Windows 3.x
 Impacts
      Triggers a large-scale mailing
      May degrade network performance
How W32.Netsky.B@mm Works Through
Mail Propagation
                       Windows Windows
             UNIX         95     ME




                                           E-mail Server    Macintosh
                                            E-mail Server



                                                            Windows
                              Mail                            3.x
                             Server
  Employee
                                                            Windows
                                                              XP


             Windows     Linux   Windows
              2000                  98
How W32.Netsky.B@mm Works Through
Peer to Peer



                              E-mail
                      E-mail Server Server
                       E-mail Server
Hourly Submission of W32.Netsky.B@mm
to Scan & Deliver & Digital Immune System™

              500

              450
              400
              350
 Submission




                                                                                          Netsky
              300
                                                                                          MyDoom
              250
                                                                                          BugBear
              200                                                                         SoBig
              150
              100
               50
                0
                    1

                        3

                            5

                                7

                                    9

                                        11

                                             13

                                                  15

                                                       17

                                                            19

                                                                 21

                                                                      23

                                                                           25

                                                                                27

                                                                                     29
                                                  Hour
Best Practices


   Mass-mailing worms can often originate from people the user
   knows. Do not open or execute unexpected message
   attachments.
   Download and deploy the most up-to-date virus definitions.
   Filter attachments not on a list of approved types at the email
   gateway.
   Turn off file sharing if not needed. If file sharing is required, use
   ACLs and password protection to limit access.
   Isolate infected machines from the network.
              Symantec Solutions & Responses

                  Symantec provided timely warning & rapid
                  responses to emerging threats.

                           Intelligent
                             Updater            Removal
                                                  Tool                              ITA 3.6

  Rapid         DeepSight™
                                  LiveUpdate™                         HIDS 4.1.x
Definitions       Alert




   3:30             6:12           8:40          12:34                   8:00       10:15

              February 18, A.M.                              February 18, P.M.

                                                                            (Pacific Standard Time)
Symantec Solutions - Alert
                                                             Alert



  Symantec DeepSight™
    – Symantec Early Warning services, Alert Services and
      Threat Management System, provide timely notification on
      malicious codes, in-depth technical analysis and
      recommendation on mitigation to help organizations take
      quick actions.
    – The actual notification went out as follows:
        2/18/2004 6:12:36 AM (First notification on Netsky.B@mm)
        2/18/2004 7:56:01 AM (technical description added)
        2/18/2004 12:55:33 PM (risk rating increased)
                                                     (Pacific Standard Time)
Symantec Solutions - Protect
                                                                  Protect




  Symantec Antivirus Solutions
    – Norton AntiVirus™ detects and blocks the spread of
      Netsky.B by default using worm blocking technology
    – Multi-layer protection at the gateway, server and client,
      protect the entire network during and after the attack
    – Flexible deployment of definition file
       (LiveUpdate™ and Intelligent Updater)
Symantec Solutions - Protect                                          Protect




  Symantec Intrusion Protection Solutions
    – Host-based solutions detect the worm within the corporate
      systems to prevent propagation of Netsky.B and protect
      critical information assets.
    – Signatures to detect Netsky.B are already available for
         Symantec Host IDS
         Symantec Intruder Alert™
  Symantec Gateway Security
    – Application proxy firewall combined with virus protection and
      content filtering provides multiple ways to protect against
      Netsky.B
Symantec Solutions - Respond
                                                                  Respond

  Symantec Security Response Team
   –   Wireless alerts (for subscribing and Platinum customers)
   –   Rapid release antivirus definitions
   –   Certified antivirus definitions
   –   Detailed virus write-ups
   –   Removal tool available
   –   Content update including IPS signatures
Symantec Solution - Manage

                                                                 Manage

                                  Managed Security Services
                                    – Reduce risk of security breaches
                                      by worms like W32.Netsky.B@mm by
                                      constantly analyzing the new threats
                                      and evaluating the impact on the
                                      customers
                                        Notified customer base via email
                                          and through SII (web portal)
                                          postings globally
                                        Team is monitoring closely on the
                                          evolution of worm

Internet Security Nerve Center
    Grazie!


Giuseppe Borgonovo

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:15
posted:8/5/2011
language:Italian
pages:54