cybercrime kill chain vs effec4veness of defense layers
play

Cybercrime Kill Chain vs. Effec4veness of Defense Layers - PowerPoint PPT Presentation

Cybercrime Kill Chain vs. Effec4veness of Defense Layers Dr. Stefan Frei & Francisco Arts @stefan_frei @franklyfranc


  1. Cybercrime ¡Kill ¡Chain ¡vs. ¡ ¡ ¡ ¡Effec4veness ¡of ¡Defense ¡Layers ¡ Dr. ¡Stefan ¡Frei ¡ ¡& ¡ ¡ Francisco ¡Artés ¡ @stefan_frei ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡@franklyfranc ¡ Trusted Advice. Measured.

  2. THE ¡FLIGHT ¡TO ¡ABU ¡DHABI ¡TOOK ¡ LONGER ¡THAN ¡TESTING ¡IPS. ¡

  3. Speaker ¡– ¡Dr. ¡Stefan ¡Frei ¡ § Professional ¡ § Research ¡Director ¡@ ¡NSS ¡Labs ¡ § Research ¡Analyst ¡Director ¡@ ¡Secunia ¡ § Senior ¡Researcher ¡& ¡Pentester ¡ ¡@ ¡ISS ¡X-­‑Force ¡ § Contact ¡ § Email: ¡sfrei@nsslabs.com ¡ § TwiKer: ¡@stefan_frei ¡

  4. Speaker ¡– ¡Mr. ¡Francisco ¡Artés ¡ § Professional ¡ § Research ¡Director ¡@ ¡NSS ¡Labs ¡ § CSO/CISO ¡ ¡ § Trace3 ¡ § Deluxe ¡Entertainment ¡ § Electronic ¡Arts ¡ § Contact ¡ § Email: ¡frank@nsslabs.com ¡ § TwiKer: ¡@franklyfranc ¡

  5. ABSTRACT ¡ Cybercriminals ¡persistently ¡challenge ¡the ¡security ¡of ¡organiza4ons ¡through ¡the ¡ rapid ¡implementa4on ¡of ¡diverse ¡aKack ¡methodologies, ¡state ¡of ¡the ¡art ¡ malware, ¡and ¡innova4ve ¡evasion ¡techniques. ¡In ¡response ¡organiza4ons ¡deploy ¡ and ¡rely ¡on ¡mul4ple ¡layers ¡of ¡diverse ¡security ¡technologies. ¡This ¡talk ¡examines ¡ the ¡aKackers' ¡kill ¡chain ¡and ¡the ¡measured ¡effec4veness ¡of ¡typical ¡defense ¡ technologies ¡such ¡as ¡Next ¡Genera4on ¡Firewalls, ¡Intrusion ¡Preven4on ¡Systems ¡ IPS, ¡An4virus/Malware ¡Detec4on, ¡and ¡browsers ¡internal ¡protec4on. ¡Empirical ¡ data ¡on ¡the ¡effec4veness ¡of ¡security ¡products ¡derived ¡from ¡NSS ¡Labs ¡harsh ¡real ¡ world ¡tes4ng ¡is ¡presented ¡together ¡with ¡a ¡live ¡demonstra4on ¡of ¡successful ¡ evasion ¡of ¡malware ¡detec4on. ¡We ¡find ¡a ¡considerable ¡gap ¡of ¡protec4on ¡levels ¡ within/and ¡across ¡different ¡security ¡product ¡groups. ¡Using ¡Maltego ¡complex ¡ correla4ons ¡between ¡undetected ¡exploits, ¡crimware ¡kits, ¡and ¡affected ¡so^ware ¡ vendor ¡and ¡products ¡are ¡demonstrated. ¡

  6. Agenda ¡ § How ¡we ¡get ¡aKacked ¡ § Layered ¡Defense ¡ § Results ¡from ¡NSS ¡Labs’ ¡tes4ng ¡ § Demonstra4on ¡of ¡Exploit ¡vs. ¡Layered ¡Defense ¡ § Conclusion ¡ ¡

  7. AKack ¡Kill ¡Chain ¡ – ¡AKacker ¡vs. ¡Defender ¡ AKackers ¡View ¡ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection Defenders ¡View ¡

  8. AKack ¡Kill ¡Chain ¡ – ¡Understanding ¡the ¡AKacker ¡ Understand ¡the ¡threat ¡and ¡the ¡ aKackers ¡mo4va4on ¡& ¡methods ¡ ⌃ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection

  9. AKack ¡Kill ¡Chain ¡ – ¡Understanding ¡Evasion ¡ Understand ¡how ¡malware ¡ bypasses ¡detec4on ¡ ⌃ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection ⌃ Assess ¡the ¡effec4veness ¡ of ¡layered ¡defenses ¡

  10. AKack ¡Kill ¡Chain ¡ – ¡If ¡preven4on ¡failed ¡ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection ⌃ Detect ¡& ¡ neutralize ¡

  11. The ¡Changing ¡Threat ¡Environment ¡ Fastest ¡growing ¡ ¡ segment ¡ Mo4va4on ¡ Personal ¡ TheD ¡ ¡ Gain ¡ ¡ Author ¡ Tools ¡created ¡by ¡ of ¡ Personal ¡ experts ¡now ¡used ¡ ¡ Fame ¡ Tools ¡ by ¡less-­‑skilled ¡ Vandalism ¡ ¡ criminals, ¡ ¡ for ¡personal ¡gain ¡ Curiosity ¡ Script-­‑ ¡ Hobbyist ¡ Expert ¡ Kiddy ¡ Hacker ¡ AKackers’ ¡Exper4se ¡

  12. Malware ¡Development ¡& ¡Tools ¡ § Cybercriminals ¡developed ¡formidable ¡tools ¡ Easy ¡to ¡use ¡development ¡tools, ¡Q&A, ¡and ¡service ¡ level ¡agreements ¡just ¡as ¡in ¡every ¡mature ¡industry ¡ § Detec4on ¡Evasion ¡and ¡Resilience ¡ By ¡design, ¡malware ¡is ¡developed ¡and ¡deployed ¡with ¡ detec4on ¡evasion ¡in ¡mind ¡

  13. ¡Malware ¡Development ¡Process ¡ 1 ¡ 1. Create ¡malicious ¡tool ¡ Development ¡ 1 ¡x ¡ 2. Obfuscate ¡malware, ¡ 2 ¡ create ¡permuta4ons ¡ 10,000 ¡x ¡ Evasion ¡ 3. Test ¡against ¡detec4on ¡ 3 ¡ engines ¡ 5,000 ¡x ¡ Q ¡& ¡A ¡ 4. Deploy ¡undetected ¡samples ¡ 4 ¡ Deployment ¡

  14. ¡Underground ¡Market ¡ Malware ¡offered ¡for ¡ $249 ¡ with ¡a ¡Service ¡Level ¡ Agreement ¡and ¡ replacement ¡warranty ¡ if ¡the ¡ crea4on ¡ is ¡detected ¡by ¡ any ¡anP-­‑virus ¡within ¡9 ¡ months ¡

  15. ¡The ¡Availability ¡of ¡Malware ¡Tools ¡ Results ¡in ¡a ¡high ¡degree ¡of ¡aTack ¡automaPon ¡ from ¡systema4c ¡iden4fica4on ¡of ¡ ¡ targets ¡to ¡fully ¡automated ¡exploita4on ¡ ¡ Leads ¡to ¡an ¡increase ¡in ¡opportunisPc ¡aTacks ¡ as ¡the ¡a=acker ¡no ¡longer ¡needs ¡exper4se ¡or ¡ special ¡skills ¡ Any ¡enterprise ¡can ¡become ¡a ¡vic1m ¡of ¡a3ack: ¡ ⌃ at ¡any ¡1me, ¡for ¡any ¡reason, ¡and ¡without ¡being ¡ specifically ¡targeted. ¡

  16. Automated ¡vulnerability ¡scanners ¡ and ¡aKack ¡tools ¡cannot ¡ differen4ate ¡if ¡you ¡consider ¡ yourself ¡a ¡high-­‑risk ¡target ¡or ¡not. ¡ ¡

  17. Our ¡Response: ¡Layered ¡Security ¡ We ¡respond ¡and ¡rely ¡on ¡layered ¡security ¡ Key ¡Security ¡Technologies ¡available: ¡ § Network ¡Firewall ¡ ¡ § Next ¡Genera4on ¡Firewall ¡ § Intrusion ¡Preven4on ¡Systems ¡(IPS) ¡ § An4virus ¡/ ¡An4malware ¡ § Browser ¡Protec4on ¡ How ¡effec1ve ¡is ¡the ¡defense ¡? ¡ ⌃ ¡ How ¡do ¡we ¡know? ¡ ¡ ¡ ¡

  18. ¡Layered ¡Defense ¡-­‑ ¡Perimeter ¡ Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ server desktop laptop on premise off premise

  19. ¡Layered ¡Defense ¡– ¡Host ¡Based ¡ Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  20. ¡Layered ¡Defense ¡– ¡Direct ¡AKack ¡ direct attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  21. ¡Layered ¡Defense ¡– ¡Indirect ¡AKack ¡ direct attack indirect attack indirect attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  22. ¡Layered ¡Defense ¡– ¡Side ¡channel ¡AKack ¡ direct attack indirect attack indirect attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ sidechannel attack server desktop laptop on premise off premise

  23. Or ¡any ¡of ¡these: ¡

  24. We ¡are ¡doing ¡this: ¡

  25. Wizard-­‑like ¡knowledge… ¡ ¡

  26. ¡Engineering ¡Workflow ¡.. ¡ .. ¡sadly, ¡security ¡tes4ng ¡is ¡not ¡that ¡simple ¡

  27. It’s ¡more ¡like ¡this ¡-­‑ ¡

  28. ¡Where ¡does ¡the ¡data ¡come ¡from? ¡ § Mul4-­‑million ¡dollar ¡research ¡and ¡tes4ng ¡ facility ¡in ¡Aus4n, ¡Texas ¡ § Capable ¡of ¡24 ¡x ¡7 ¡tes4ng ¡ § Global ¡research ¡network ¡captures ¡Internet ¡ threats, ¡zero-­‑days ¡& ¡trends ¡live, ¡as ¡they ¡arise ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend


More recommend