Защита критически важных систем от эксплуатации 0-day уязвимостей Михаил Савушкин

Направление атак хакеров 67% проникновений было на серверах 97% украденной информации хранилось на серверах 2012 Verizon Breach Report Известные атаки Популярное направление атаки - Сервера

Categories of Compromised Assets by Percent of Breaches and Percent of Records (Enterprise Cos.) Основная цель – Сервера – рабочие станции обеспечивают первый шаг атаки 3 Verizon 2012 Data Breach Investigations Report: … More Often Endpoints / User Devices Simply Provide An Initial Foothold Into The Organization, From Which The Intruder Stages The Rest Of Their Attack. Информации было украдено с серверов 97 % Case Studies: Meeting Compliance & Applying Proactive Prevention

Проблемы защиты серверов риски отсутствия обновлений для приложений предотвращение атак нулевого дня и целенаправленных вирусных атак контроль неконтролируемых администраторов неконтролируемые изменения актуальная отчетность и критерии безопасности

Что за продукт нужен для защиты серверов? Host Intrusion Prevention Real-Time Proactive Enforcement Intrusion/Malware Prevention System Hardening Application Control Privileged User access control Vulnerability & Patch Mitigation Host Intrusion Detection Real-time Monitoring & Auditing Host Intrusion Detection File Integrity Monitoring Configuration Monitoring Track and Monitor user access Logging and Event Reporting Безопаснее

Prevention Поведенческий контроль Ограничение приложений и ОС на основе поведения Защита от переполнения буфера Белые списки Защита от атак нулевого дня Защита от эксплойтов Re Контроль файлов настроек Применение политик безопасности Понижение прав пользователей Ограничение внешних носителей Защита vSphere Ограничение доступа приложений в сеть Ограничение исходящего и входящего трафика Блокировка бекдоров (блокировка портов) Мониторинг логов и событий безопасности Объединение логов и передача для хранения и отчетности Мониторинг целостности файлов в режиме реального времени Настройка действий по событиям Основные компоненты SCSP Контроль системы Сетевая защита Аудит Оповещения Detection

Prevention Поведенческий контроль Ограничение приложений и ОС на основе поведения Защита от переполнения буфера Белые списки Защита от атак нулевого дня Защита от эксплойтов Re Контроль файлов настроек Применение политик безопасности Понижение прав пользователей Ограничение внешних носителей Защита vSphere Ограничение доступа приложений в сеть Ограничение исходящего и входящего трафика Блокировка бекдоров (блокировка портов) Мониторинг логов и событий безопасности Объединение логов и передача для хранения и отчетности Мониторинг целостности файлов в режиме реального времени Настройка действий по событиям Основные компоненты SCSP Контроль системы Сетевая защита Аудит Оповещения Detection

8 Использование уязвимости 0 дня для получения доступа LulzSec Компрометация других систем, с помощью полученных паролей Атаки 0 дня позволяют получить доступ к запуску команд и удаленному управлению

Авторизованные и неавторизованные приложения как «мостик» для компрометации системы Сотрудники Злоумышленник 1.Хакеры и Вирусы используя уязвимости получают контроль над системой 2.Уязвимые приложения могут запускаться с высокими правами 3.Приложения, запущенные с правами системы или root, позволяют получить полный доступ к системе 4.Вредоносное ПО устанавливается через доверенное приложение 1.Сотрудник (инсайдер) устанавливает бекдор 2.Из удаленной сети с помощью бекдора злоумышленник(сотрудник) получает доступ к системе

Re Контроль поведения приложений и ОС на основе поведенческих политик Поведение / Политики Блокировка неизвестного Проактивно Эффективно для: – атак 0 дня, – Защищает ОС от приложений и пользователей – Защищает приложения друг от друга Поведенческий анализ и Традиционная защита Поведенческий анализ Re Черные списки вредоносного ПО - сигнатуры (30 миллионов и более в месяц) Сигнатуры Блокировка только того, что знаем Реактивно Не защищает от атак 0 дня Защищает себя от приложений и пользователей Традиционный подход VS

Re Контроль поведения приложений и ОС на основе поведенческих политик Поведение / Политики Блокировка неизвестного Проактивно Эффективно для: – атак 0 дня, – Защищает ОС от приложений и пользователей – Защищает приложения друг от друга Поведенческий анализ и Традиционная защита Поведенческий анализ Re Черные списки вредоносного ПО - сигнатуры (30 миллионов и более в месяц) Сигнатуры Блокировка только того, что знаем Реактивно Не защищает от атак 0 дня Защищает себя от приложений и пользователей Традиционный подход VS

CSP использует «песочницы» для ужесточения настроек серверов Создает «песочницу» для одного или более приложений(процессов) и определяет политику поведения и доступа для данной «песочницы» Files Registry Network Devices Read/Write Data Files Read Only Configuration Information Usage of Selected Ports and Devices … RSH Shell Browser Mail Web … crond RPC LPD Printer Сервисы ОС Приложения Интерактивные приложения Granular Resource Constraints Приложения … Большинство программам достаточно ограниченного доступа к ресурсам и прав НО, большинство программ имеют большие привилегии и права позволяющие атаковать систему

Песочница против атак нулевого дня Основано на базовых принципах безопасности Проактивная защита от вредоносного ПО(известного & неизвестного) Модель удерживания ограничивает риск взлома Применимо для всего окружения и приложений Устраняет необходимость установки «заплат» Защищает ОС от компрометации

Поведенческий контроль CSP блокирует атаки Поведенческий контроль Неавторизованный процесс пресекается Блокируются атаки классов «переполнение буфера» и Thread Injection Вирус Злоумышленник Недоверенная пользовательская активность ATM Мобильный киоск

Prevention Поведенческий контроль Ограничение приложений и ОС на основе поведения Защита от переполнения буфера Белые списки Защита от атак нулевого дня Защита от эксплойтов Контроль файлов настроек Применение политик безопасности Понижение прав пользователей Ограничение внешних носителей Защита vSphere Ограничение доступа приложений в сеть Ограничение исходящего и входящего трафика Блокировка бекдоров (блокировка портов) Мониторинг логов и событий безопасности Объединение логов и передача для хранения и отчетности Мониторинг целостности файлов в режиме реального времени Настройка действий по событиям Основные компоненты SCSP Контроль системы Сетевая защита Аудит Оповещения Detection

16 Ошибки в настройке системы приводят к утечке данных Использование стандартных паролей для предоставления доступа Отсутствие шифрования и полный доступ к серверам

Некорректные права пользователям- помощь злоумышленникам Сотрудники Злоумышленник 1.Злоумышленник или вирус получает доступ к системе 2.Повышаются права пользователя 3.Пользователь с завышенными правами вносит изменения в систему 1.Зараженный сменный носитель подключается к системе сотрудниками обслуживающими систему 2.Вирус (Stuxnet, Flamer, etc) заражает систему

Корректная настройка доступа к системе Контроль системы Ресурсы системы защищены от доступа независимо от прав пользователя Блокировка сменных носителей Сменные носители Злоумышленник Недоверенная пользовательская активность

Prevention Поведенческий контроль Ограничение приложений и ОС на основе поведения Защита от переполнения буфера Белые списки Защита от атак нулевого дня Защита от эксплойтов Re Контроль файлов настроек Применение политик безопасности Понижение прав пользователей Ограничение внешних носителей Защита vSphere Ограничение доступа приложений в сеть Ограничение исходящего и входящего трафика Блокировка бекдоров (блокировка портов) Мониторинг логов и событий безопасности Объединение логов и передача для хранения и отчетности Мониторинг целостности файлов в режиме реального времени Настройка действий по событиям Основные компоненты SCSP Контроль системы Сетевая защита Аудит Оповещения Detection

20 Our goal here is not to come across as master hackers, hence what we're about to reveal: SonyPictures.com was owned by a very simple attack LulzSec Отсутствие или неправильный контроль сетевых подключений помогает злоумышленникам

1.Хакер или Вирус используюя некорректную настройку (простые гостевые пароли, настройки МСЭ итд) получает доступ к системе 2.Устанавливаются Сниферы, Кейлогеры, Бекдоры 3.Вирус используя C&C изменяет код системы и связывается с злоумышленником 4.С помощью FTP или других протоколов нужные данные из системы передаются злоумышленнику Некорректная настройка межсетевого экрана 1.Выполняет некорректную настройку МСЭ, оставляя «дыру» 2.Хакер используя дыру получает доступ к системе Credit card Source Code Злоумышленник Администратор

Корректная настройка правил блокирует атаки Вирус Злоумышленник ATM Мобильный киоск Сетевая защита FTP Credit card Source Code Credit card Source Code Попытка подключения записывается и блокируется Неавторизованная система

Prevention Поведенческий контроль Ограничение приложений и ОС на основе поведения Защита от переполнения буфера Белые списки Защита от атак нулевого дня Защита от эксплойтов Re Контроль файлов настроек Применение политик безопасности Понижение прав пользователей Ограничение внешних носителей Защита vSphere Ограничение доступа приложений в сеть Ограничение исходящего и входящего трафика Блокировка бекдоров (блокировка портов) Мониторинг логов и событий безопасности Объединение логов и передача для хранения и отчетности Мониторинг целостности файлов в режиме реального времени Настройка действий по событиям Основные компоненты SCSP Контроль системы Сетевая защита Аудит Оповещения Detection

CSP Detection - Мониторинг изменений конфигурации 24 File and Registry Change Detection Security Configuration Changes Group Management Changes Active Directory Changes Shares Configuration Changes Domain Trust Changes User/Group Account Modification Fine Grained System Activity Malware/Spyware Detection USB Device Activity Monitors ESXi host configuration and VMX files Отслеживание изменений

PCI Section 11: File Integrity Monitoring Requirements (FIM) SCSP использует мониторинг в режиме реального времени Real-Time File Integrity Monitoring (RTFIM) Без сканирования, включения аудита в ОС не требуется Отслеживаются server/file/user name, timestamp, change type, change content, program that made change Используется SHA256 Мониторинг в реальном времени ФункцияFIMSCSP FIM Отслеживание изменений в режиме реального времени и оповещение Требование включенного аудита в Windows

CSP Detection - мониторинг ключевых событий в системе Мониторинг Входа/ Выхода – Success, Failures, After Hours, Weekends, privileged user, Unusual access methods, password cracking attempts Мониторинг Системы/Сервисов – Service/daemon/driver failures, process tracking (privileged access, unusual usage) C2 Object Level Log Monitoring Web Log Monitoring Мониторинг журналов приложений – журналы Баз данных – журналы серверов приложений (например, Esxi) – журналы утилит безопасности(например, AV) – журналы Unix shell & sudo – журналы vSpehere System/Application Log Monitoring

Symantec Server Protection Un-compromised at Black Hat 2011 and 2012 Challenge: – Flags hidden across un-patched Windows and Linux systems – Main flag protected with CSP and SEP out-of-the box prevention policy – 50+ skillful hackers/pen-testers from DoD, NSA, DISA, Anonymous, etc. Attacks Techniques used: – Backtrack 5 and custom tools used during penetration attempts – Zero day attack used and stopped on protected system – Recompiled version of Flamer stopped by CSP out of the box policy Outcome: – No one was able to capture the flag… now two years in a row… – Hackers said if they would have known that Sandboxing and Whitelisting was used, maybe not worth the time they put into it Proven Security at Capture The Flag Challenges

Сценарии использования

Увеличение срока жизни Windows NT и 2000 с помощью Critical System Protection Контроль Обеспечение безопасности –Запуск только авторизованного кода на защищаемых системах Защита от известных и неизвестных уязвимостей NT –Обеспечение защиты компонентов приложений Снижение стоимости –Нет необходимости устанавливать патчи Снижение рисков связанных с установкой патчей

Безопасность мобильных киосков и ATM С помощью Critical System Protection Контроль Безопасность –Блокировка неавторизованных приложений Защита от вирусов и уязвимостей 0го дня Снижение риска компрометации данных –Эффективно в «закрытых» сетях Операционная эффективность –малое влияние на систему –Отсутствие необходимости обновлять компоненты Снижение затрат –Уменьшение отключений устройств

Защита POS терминалов и платежных систем Payment Processing POS терминалы и платежные системы подвержены атакам –Данные, используемые при покупке могут использоваться злоумышленниками Использование уязвимых систем –Только доверенные приложения должны быть запущенны «Легкий» агент, для снижения влияния на систему

Критичная инфраструктура Нуждается в реальной защите Критичные системы Необходимость защиты от неавторизованного изменения –SCADA системы, медицинское оборудование итд – высокая степень надежности «Легкий» агент, для снижения влияния на систему, отсутствие «лишних» движений –Установка патчей(ОС, приложений) может быть невозможным

Защита серверов DNS и Контролеров домена С помощью Critical System Protection Контроль Безопасность –Блокировка недоверенных приложений –Сохранение систем в состоянии «золотого» образа Доступность –Снижение влияния на системы без обновлений сигнатур

Защита vSphere 5.0 Безопасность –Защита сервера vCenter, Гостевую систему –Контроль сетевого доступа и изменения компонентов vSphere Увеличение видимости –Обеспечение мониторинга ESXi Host, Guest и vCenter Конфигурационные файлы Журналы(логи) vSphere Client vCenter Server vCenter Database

Payment Card Industry (PCI) Безопасность –Protects PCI card data –Protects PCI servers from compromise (Req 5, 11) –Controls network access to PCI devices (Req 1) –Limit access to system components (Req 7) Видимость –Track and monitor user access (Req 10) – Use file integrity monitoring (Req 13)

End of Presentation 36