[PPT] - Cybercrime Kill Chain vs. Effec4veness of Defense Layers PowerPoint Presentation

SLIDE 1

Cybercrime ¡Kill ¡Chain ¡vs. ¡ ¡ ¡ ¡Effec4veness ¡of ¡Defense ¡Layers ¡

Dr. ¡Stefan ¡Frei ¡ ¡& ¡ ¡Francisco ¡Artés ¡

@stefan_frei ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡@franklyfranc ¡

Trusted Advice. Measured.

SLIDE 2

THE ¡FLIGHT ¡TO ¡ABU ¡DHABI ¡TOOK ¡ LONGER ¡THAN ¡TESTING ¡IPS. ¡

SLIDE 3

§ Professional ¡

§ Research ¡Director ¡@ ¡NSS ¡Labs ¡ § Research ¡Analyst ¡Director ¡@ ¡Secunia ¡ § Senior ¡Researcher ¡& ¡Pentester ¡ ¡@ ¡ISS ¡X-‑Force ¡

§ Contact ¡

§ Email: ¡sfrei@nsslabs.com ¡ § TwiKer: ¡@stefan_frei ¡

Speaker ¡– ¡Dr. ¡Stefan ¡Frei ¡

SLIDE 4

§ Professional ¡

§ Research ¡Director ¡@ ¡NSS ¡Labs ¡ § CSO/CISO ¡ ¡

§ Trace3 ¡ § Deluxe ¡Entertainment ¡ § Electronic ¡Arts ¡

§ Contact ¡

§ Email: ¡frank@nsslabs.com ¡ § TwiKer: ¡@franklyfranc ¡

Speaker ¡– ¡Mr. ¡Francisco ¡Artés ¡

SLIDE 5

ABSTRACT ¡

Cybercriminals ¡persistently ¡challenge ¡the ¡security ¡of ¡organiza4ons ¡through ¡the ¡ rapid ¡implementa4on ¡of ¡diverse ¡aKack ¡methodologies, ¡state ¡of ¡the ¡art ¡ malware, ¡and ¡innova4ve ¡evasion ¡techniques. ¡In ¡response ¡organiza4ons ¡deploy ¡ and ¡rely ¡on ¡mul4ple ¡layers ¡of ¡diverse ¡security ¡technologies. ¡This ¡talk ¡examines ¡ the ¡aKackers' ¡kill ¡chain ¡and ¡the ¡measured ¡effec4veness ¡of ¡typical ¡defense ¡ technologies ¡such ¡as ¡Next ¡Genera4on ¡Firewalls, ¡Intrusion ¡Preven4on ¡Systems ¡ IPS, ¡An4virus/Malware ¡Detec4on, ¡and ¡browsers ¡internal ¡protec4on. ¡Empirical ¡ data ¡on ¡the ¡effec4veness ¡of ¡security ¡products ¡derived ¡from ¡NSS ¡Labs ¡harsh ¡real ¡ world ¡tes4ng ¡is ¡presented ¡together ¡with ¡a ¡live ¡demonstra4on ¡of ¡successful ¡ evasion ¡of ¡malware ¡detec4on. ¡We ¡find ¡a ¡considerable ¡gap ¡of ¡protec4on ¡levels ¡ within/and ¡across ¡different ¡security ¡product ¡groups. ¡Using ¡Maltego ¡complex ¡ correla4ons ¡between ¡undetected ¡exploits, ¡crimware ¡kits, ¡and ¡affected ¡so^ware ¡ vendor ¡and ¡products ¡are ¡demonstrated. ¡

SLIDE 6

§ How ¡we ¡get ¡aKacked ¡ § Layered ¡Defense ¡ § Results ¡from ¡NSS ¡Labs’ ¡tes4ng ¡ § Demonstra4on ¡of ¡Exploit ¡vs. ¡Layered ¡Defense ¡ § Conclusion ¡ ¡

Agenda ¡

SLIDE 7

AKack ¡Kill ¡Chain ¡ – ¡AKacker ¡vs. ¡Defender ¡

Prepare(A:ack(( Method/Tools( attack detection / prevention Detec.on( Evasion( Target( Exploita.on( Value( Extrac.on( breach detection

AKackers ¡View ¡ Defenders ¡View ¡

SLIDE 8

AKack ¡Kill ¡Chain ¡ – ¡Understanding ¡the ¡AKacker ¡

Prepare(A:ack(( Method/Tools( attack detection / prevention Detec.on( Evasion( Target( Exploita.on( Value( Extrac.on( breach detection

Understand ¡the ¡threat ¡and ¡the ¡ aKackers ¡mo4va4on ¡& ¡methods ¡

⌃

SLIDE 9

AKack ¡Kill ¡Chain ¡ – ¡Understanding ¡Evasion ¡

Prepare(A:ack(( Method/Tools( attack detection / prevention Detec.on( Evasion( Target( Exploita.on( Value( Extrac.on( breach detection

Understand ¡how ¡malware ¡ bypasses ¡detec4on ¡ Assess ¡the ¡effec4veness ¡

f ¡layered ¡defenses ¡

⌃ ⌃

SLIDE 10

AKack ¡Kill ¡Chain ¡ – ¡If ¡preven4on ¡failed ¡

Prepare(A:ack(( Method/Tools( attack detection / prevention Detec.on( Evasion( Target( Exploita.on( Value( Extrac.on( breach detection

Detect ¡& ¡ neutralize ¡

⌃

SLIDE 11

The ¡Changing ¡Threat ¡Environment ¡

Vandalism ¡ Author ¡

f ¡

Tools ¡ TheD ¡ Personal ¡ Gain ¡ Personal ¡ Fame ¡ Curiosity ¡ Script-‑ ¡ Kiddy ¡ Hobbyist ¡ Hacker ¡ Expert ¡ ¡ ¡ ¡ Tools ¡created ¡by ¡ experts ¡now ¡used ¡ by ¡less-‑skilled ¡ criminals, ¡ for ¡personal ¡gain ¡ ¡ ¡ ¡ Fastest ¡growing ¡ segment ¡

Mo4va4on ¡ AKackers’ ¡Exper4se ¡

SLIDE 12

§ Cybercriminals ¡developed ¡formidable ¡tools ¡

Easy ¡to ¡use ¡development ¡tools, ¡Q&A, ¡and ¡service ¡ level ¡agreements ¡just ¡as ¡in ¡every ¡mature ¡industry ¡

§ Detec4on ¡Evasion ¡and ¡Resilience ¡

By ¡design, ¡malware ¡is ¡developed ¡and ¡deployed ¡with ¡ detec4on ¡evasion ¡in ¡mind ¡

Malware ¡Development ¡& ¡Tools ¡

SLIDE 13

1. Create ¡malicious ¡tool ¡
2. Obfuscate ¡malware, ¡

create ¡permuta4ons ¡

3. Test ¡against ¡detec4on ¡

engines ¡

4. Deploy ¡undetected ¡samples ¡

Q ¡& ¡A ¡

3 ¡

Evasion ¡

2 ¡

Development ¡

1 ¡

Deployment ¡

4 ¡

1 ¡x ¡ 10,000 ¡x ¡ 5,000 ¡x ¡

¡Malware ¡Development ¡Process ¡

SLIDE 14

Malware ¡offered ¡for ¡$249 ¡ with ¡a ¡Service ¡Level ¡ Agreement ¡and ¡ replacement ¡warranty ¡if ¡the ¡ crea4on ¡is ¡detected ¡by ¡

any ¡anP-‑virus ¡within ¡9 ¡

months ¡

¡Underground ¡Market ¡

SLIDE 15

Any ¡enterprise ¡can ¡become ¡a ¡vic1m ¡of ¡a3ack: ¡ at ¡any ¡1me, ¡for ¡any ¡reason, ¡and ¡without ¡being ¡ specifically ¡targeted. ¡

Results ¡in ¡a ¡high ¡degree ¡of ¡aTack ¡automaPon ¡ from ¡systema4c ¡iden4fica4on ¡of ¡ ¡ targets ¡to ¡fully ¡automated ¡exploita4on ¡

¡

Leads ¡to ¡an ¡increase ¡in ¡opportunisPc ¡aTacks ¡ as ¡the ¡a=acker ¡no ¡longer ¡needs ¡exper4se ¡or ¡ special ¡skills ¡

⌃

¡The ¡Availability ¡of ¡Malware ¡Tools ¡

SLIDE 16

Automated ¡vulnerability ¡scanners ¡ and ¡aKack ¡tools ¡cannot ¡ differen4ate ¡if ¡you ¡consider ¡ yourself ¡a ¡high-‑risk ¡target ¡or ¡not. ¡ ¡

SLIDE 17

How ¡effec1ve ¡is ¡the ¡defense ¡? ¡ ¡ ¡ ¡ ¡How ¡do ¡we ¡know? ¡ Key ¡Security ¡Technologies ¡available: ¡

§ Network ¡Firewall ¡ ¡ § Next ¡Genera4on ¡Firewall ¡ § Intrusion ¡Preven4on ¡Systems ¡(IPS) ¡ § An4virus ¡/ ¡An4malware ¡ § Browser ¡Protec4on ¡

Our ¡Response: ¡Layered ¡Security ¡

⌃

We ¡respond ¡and ¡rely ¡on ¡layered ¡security ¡

SLIDE 18

Firewall ¡ IPS ¡ Firewall ¡ IPS ¡

n premise
ff premise

server desktop laptop

Perimeter

¡Layered ¡Defense ¡-‑ ¡Perimeter ¡

SLIDE 19

Firewall ¡ IPS ¡ Firewall ¡ IPS ¡ An4 ¡ Virus ¡ Browser ¡

URL ¡Block ¡

An4 ¡ Virus ¡ Browser ¡

URL ¡Block ¡

n premise
ff premise

server desktop laptop

Perimeter Host based

¡Layered ¡Defense ¡– ¡Host ¡Based ¡

n premise
ff premise

SLIDE 20

Firewall ¡ IPS ¡ An4 ¡ Virus ¡ Browser ¡

URL ¡Block ¡

An4 ¡ Virus ¡ Browser ¡

URL ¡Block ¡

n premise
ff premise

server desktop laptop

Perimeter Host based

¡Layered ¡Defense ¡– ¡Direct ¡AKack ¡

direct attack Firewall ¡ IPS ¡

n premise
ff premise

SLIDE 21

n premise
ff premise

server desktop laptop

Perimeter Host based

¡Layered ¡Defense ¡– ¡Indirect ¡AKack ¡

direct attack Firewall ¡ IPS ¡ indirect attack indirect attack Firewall ¡ IPS ¡ An4 ¡ Virus ¡ Browser ¡

URL ¡Block ¡

An4 ¡ Virus ¡ Browser ¡

URL ¡Block ¡

n premise
ff premise

SLIDE 22

server desktop laptop

Perimeter Host based

¡Layered ¡Defense ¡– ¡Side ¡channel ¡AKack ¡

direct attack Firewall ¡ IPS ¡ indirect attack indirect attack Firewall ¡ IPS ¡ An4 ¡ Virus ¡ Browser ¡

URL ¡Block ¡

An4 ¡ Virus ¡ Browser ¡

URL ¡Block ¡

sidechannel attack

n premise
ff premise

SLIDE 23

Or ¡any ¡of ¡these: ¡

SLIDE 24

We ¡are ¡doing ¡this: ¡

SLIDE 25

Wizard-‑like ¡knowledge… ¡ ¡

SLIDE 26

.. ¡sadly, ¡security ¡tes4ng ¡is ¡not ¡that ¡simple ¡

¡Engineering ¡Workflow ¡.. ¡

SLIDE 27

It’s ¡more ¡like ¡this ¡-‑ ¡

SLIDE 28

§ Mul4-‑million ¡dollar ¡research ¡and ¡tes4ng ¡ facility ¡in ¡Aus4n, ¡Texas ¡ § Capable ¡of ¡24 ¡x ¡7 ¡tes4ng ¡ § Global ¡research ¡network ¡captures ¡Internet ¡ threats, ¡zero-‑days ¡& ¡trends ¡live, ¡as ¡they ¡arise ¡

¡Where ¡does ¡the ¡data ¡come ¡from? ¡

SLIDE 29

To ¡determine ¡the ¡security ¡effec4veness ¡

f ¡devices, ¡the ¡following ¡metrics ¡were ¡ ¡

used: ¡

¡

1. ¡Exploit ¡Block ¡Performance ¡
2. ¡An4 ¡Evasion ¡Performance ¡
3. ¡Performance ¡& ¡Leakage ¡
4. ¡Stability ¡& ¡Reliability ¡

Security ¡Test ¡Metrics ¡

SLIDE 30

§ The ¡same ¡types ¡of ¡aKack ¡as ¡used ¡by ¡modern ¡cyber ¡ criminals ¡ § U4lizing ¡mul4ple ¡commercial, ¡open ¡source ¡and ¡ proprietary ¡tools ¡as ¡appropriate ¡ § More ¡than ¡1,400 ¡exploits, ¡tested ¡such ¡that ¡

§ a ¡reverse ¡shell ¡is ¡returned, ¡allowing ¡the ¡aKacker ¡to ¡ execute ¡arbitrary ¡commands ¡ § a ¡malicious ¡payload ¡is ¡installed ¡ § a ¡system ¡is ¡rendered ¡unresponsive ¡

Metric ¡

1 ¡ Exploit ¡Block ¡Performance ¡

SLIDE 31

§ Providing ¡exploit ¡protec4on ¡without ¡factoring ¡in ¡ evasion/obfusca4on ¡is ¡misleading ¡ § Addi4onal ¡test ¡cases ¡are ¡generated ¡for ¡each ¡ appropriate ¡evasion ¡technique. ¡ ¡

At ¡TCP, ¡IP, ¡and ¡applica4on ¡protocol ¡level ¡
Fragmenta4on, ¡Segmenta4on, ¡ ¡

Obfusca4on, ¡Encoding, ¡Compression ¡ ¡ and ¡all ¡combina4ons ¡thereof ¡

Metric ¡

2 ¡ An4 ¡Evasion ¡Performance ¡

SLIDE 32

§ Trade-‑off ¡between ¡security ¡effec4veness ¡and ¡ performance ¡

Ensure ¡vendors ¡don’t ¡take ¡security ¡shortcuts ¡to ¡maintain ¡or ¡ improve ¡performance ¡ ¡

§ Evaluated ¡based ¡upon ¡three ¡traffic ¡types ¡

Based ¡on ¡hundreds ¡of ¡metrics ¡such ¡as ¡connec4on ¡rates, ¡latency, ¡ delta ¡in ¡performance ¡with ¡different ¡packet ¡sizes ¡and ¡HTTP ¡ response ¡sizes, ¡stateful/connec4on ¡tracking ¡capabili4es, ¡.. ¡ § a ¡mix ¡of ¡perimeter ¡traffic ¡common ¡in ¡enterprises ¡ § a ¡mix ¡of ¡internal ¡traffic ¡common ¡ ¡in ¡enterprises ¡ § 21KB ¡HTTP ¡response ¡traffic ¡

Metric ¡

3 ¡ Performance ¡and ¡Leakage ¡

SLIDE 33

§ Long-‑term ¡stability ¡is ¡par4cularly ¡important ¡for ¡ an ¡in-‑line ¡device ¡

Verify ¡the ¡stability ¡of ¡the ¡device ¡under ¡test ¡

§ Tests ¡the ¡ability ¡to ¡maintain ¡security ¡ effec4veness ¡under ¡normal ¡& ¡malicious ¡traffic ¡ load ¡

Products ¡that ¡are ¡not ¡able ¡to ¡sustain ¡legi4mate ¡traffic ¡ (or ¡which ¡crash) ¡while ¡under ¡hos4le ¡aKack ¡will ¡not ¡pass ¡

Metric ¡

4 ¡ Stability ¡& ¡Reliability ¡

SLIDE 34

§ Security ¡Effec4veness ¡

combines ¡measured ¡cost ¡of ¡ownership, ¡security ¡ protec4on, ¡ ¡performance, ¡leakage, ¡and ¡stability ¡ ¡

§ Security ¡Value ¡Map ¡(SVM) ¡

shows ¡security ¡effec4veness ¡and ¡value ¡(cost ¡per ¡ protected ¡Mbps) ¡of ¡tested ¡product ¡configura4ons ¡

§ Customizable ¡

SVM ¡is ¡customizable ¡to ¡reflect ¡individual ¡weights ¡of ¡the ¡ different ¡factors ¡

Security ¡Effec4veness ¡

SLIDE 35

NSS ¡Labs ¡tested: ¡

Network ¡Firewalls ¡

Q3/2012 ¡

Intrusion ¡Preven4on ¡Systems ¡

Q3/2012 ¡

End-‑point ¡An4virus ¡Suites ¡

Q4/2012 ¡

Browsers ¡

Q3/2012 ¡

Next ¡Genera4on ¡Firewalls ¡

Q4/2012 ¡ ¡ ¡

6 ¡ 15 ¡ 13 ¡ 4 ¡ 6 ¡

SLIDE 36

¡Network ¡Firewalls ¡

§ Three ¡of ¡the ¡six ¡products ¡tested ¡crashed ¡when ¡subjected ¡ to ¡our ¡stability ¡tests ¡

This ¡lack ¡of ¡resilience ¡is ¡alarming ¡and ¡indicates ¡the ¡presence ¡of ¡a ¡vulnerability ¡ that ¡could ¡be ¡exploited ¡

§ Performance ¡claims ¡in ¡vendor ¡datasheets ¡are ¡generally ¡ grossly ¡overstated ¡

Performance ¡based ¡on ¡RFC-‑2544 ¡(UDP) ¡does ¡not ¡reflect ¡real ¡world ¡ environments ¡

§ Five ¡of ¡the ¡six ¡products ¡failed ¡the ¡TCP ¡Split ¡Handshake ¡ test ¡ ¡

Allowing ¡an ¡aKacker ¡to ¡reverse ¡the ¡flow ¡and ¡bypass ¡security. ¡Four ¡vendors ¡ released ¡a ¡patch ¡within ¡a ¡month ¡

¤ ¡

SLIDE 37

§ Longstanding, ¡tried, ¡and ¡field ¡proven ¡technology, ¡such ¡as ¡ firewalls, ¡can ¡s4ll ¡fail ¡on ¡basic ¡networking ¡aKacks ¡ § AKacks ¡never ¡expire ¡– ¡security ¡devices ¡must ¡maintain ¡ protec4on ¡for ¡the ¡complete ¡range ¡of ¡aKacks ¡ § Independent ¡tests ¡are ¡valuable ¡to ¡iden4fy, ¡and ¡have ¡ vendors ¡remediate ¡shortcomings ¡ ¡

¤ ¡

¡Network ¡Firewalls ¡

SLIDE 38 0" 50" 100" 150" 200" 250" 300" 350" 400" IBM"GX"7800" Juniper"SRX"3600" Juniper"IDP"8200" Tipping"Point" PaloAlto"PA"5020" SonicWall" McAfee"M8000" McAfee"M80000" ForFGate"3240C" StonesoI"1302" CheckPoint"12600" Sourcefire"3D8260" Sourcefire"8120" Sourcefire"8250" Sourcefire"Virtual"

Mean"74"exploits"

§ Exploit ¡block ¡rate ¡varies ¡ between ¡77% ¡and ¡98% ¡

¡

§ Tuning ¡of ¡the ¡IPS ¡policy ¡makes ¡ a ¡difference, ¡up ¡to ¡50% ¡less ¡ protec4on ¡with ¡default ¡policy ¡ § Evasion ¡detec4on ¡has ¡ improved ¡considerably, ¡all ¡but ¡

ne ¡vendor ¡tested ¡passed ¡

Undetected ¡Exploits ¡ (0f ¡1,486 ¡tested) ¡

¡Intrusion ¡Preven4on ¡Systems ¡IPS ¡

¤ ¡

SLIDE 39 714$ 244$ 89$ 52$ 29$ 11$ 3$ 0$ 0$ 0$ 0$ 100$ 200$ 300$ 400$ 500$ 600$ 700$ 800$ 1$ 2$ 3$ 4$ 5$ 6$ 7$ 8$ 9$ 10$ Number$of$Exploits$ Number$of$IPS$vendors$

Three$exploits$that$ are$undetected$by$ 7$of$10$vendors$IPSs$

Unique ¡Exploits ¡undetected ¡ by ¡N ¡Vendors ¡IPS ¡

§ Correla4on ¡of ¡undetected ¡ exploits ¡between ¡vendors ¡ products ¡ § Only ¡a ¡small ¡set ¡of ¡exploits ¡is ¡ required ¡to ¡successfully ¡bypass ¡ all ¡IPS ¡products ¡ § Only ¡one ¡combina4on ¡of ¡ different ¡IPS ¡products ¡blocked ¡ all ¡exploits ¡

¡Intrusion ¡Preven4on ¡Systems ¡IPS ¡

¤ ¡

SLIDE 40 0%# 10%# 20%# 30%# 40%# 50%# 60%# 70%# 80%# 90%# 100%# Total#Defense# Panda# Norman# F=Secure# MicrosoC# Avira# McAfee# Trend#Micro# ESET# AVG# Norton# Avast# Kaspersky#

Percent ¡undetected ¡exploits ¡ (of ¡144 ¡exploits ¡tested) ¡

¤ ¡

¡End-‑Point ¡An4virus ¡

§ AV ¡products ¡differ ¡up ¡to ¡58% ¡in ¡ block ¡performance ¡ § Many ¡products ¡failed ¡to ¡detect ¡ exploits ¡over ¡HTTPS ¡that ¡were ¡ detected ¡over ¡HTTP ¡ § Keeping ¡AV ¡up-‑to-‑date ¡does ¡ not ¡yield ¡adequate ¡protec4on, ¡ s4ll ¡many ¡old ¡exploits ¡remain ¡ undetected ¡

SLIDE 41

§ Browsers ¡offer ¡the ¡largest ¡aKack ¡surface ¡in ¡most ¡enterprise ¡ networks ¡ § Browsers ¡are ¡the ¡most ¡common ¡vector ¡for ¡malware ¡ installa4ons ¡

¡

§ NSS ¡Labs ¡con4nuously ¡measures ¡browsers ¡block ¡performance ¡ since ¡2011 ¡

¡

¤ ¡

VM1 ¡

Software Stacks

VM2 ¡ VM3 ¡ VM4 ¡

URL Feeds

¡Browser ¡Block ¡Performance ¡

SLIDE 42

Suspicious ¡URL ¡block ¡performance ¡

¤ ¡

¡Browser ¡Block ¡Performance ¡

SLIDE 43

§ Internet ¡Explorer ¡maintained ¡a ¡malware ¡ block ¡rate ¡of ¡95% ¡ § Firefox ¡and ¡Safari’s ¡block ¡rate ¡was ¡just ¡under ¡6% ¡ § Chrome’s ¡block ¡rate ¡varied ¡from ¡13% ¡to ¡74% ¡

¤ ¡

94%$ 28%$ 5%$ 5%$ 0%$ 20%$ 40%$ 60%$ 80%$ 100%$ Internet$Explorer$ Chrome$ Firefox$ Safari$

Percent$blocked$URLs$

¡Browser ¡Block ¡Performance ¡

SLIDE 44

x ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡x ¡ ¡ ¡

Opportunity ¡for ¡Cybercriminals ¡

exploit ¡ availability ¡ # ¡ targets ¡ # ¡ exploits ¡

= ¡

SLIDE 45

undetected exploits

¡Undetected ¡Exploits ¡

Exploits ¡that ¡bypass ¡

ur ¡defense ¡layers ¡

(IPS, ¡NGFW, ¡ An4virus, ¡..) ¡

Sadly ¡enough, ¡these ¡exploits ¡exist ¡and ¡are ¡ plen4ful ¡.. ¡

SLIDE 46

undetected exploits

¡Exploits ¡for ¡prevalent ¡programs ¡

prevalent & vulnerable programs

Exploits ¡that ¡hit ¡ popular ¡programs ¡ with ¡large ¡market ¡ share ¡

Exploits ¡for ¡popular ¡programs ¡are ¡a ¡dangerous ¡ beast ¡.. ¡

Exploits ¡that ¡bypass ¡

ur ¡defense ¡layers ¡

(IPS, ¡NGFW, ¡ An4virus, ¡..) ¡

SLIDE 47

undetected exploits

¡Proven ¡and ¡readily ¡available ¡exploits ¡

prevalent & vulnerable programs exploits available in crimeware kits

Exploits ¡that ¡hit ¡ popular ¡programs ¡ with ¡large ¡market ¡ share ¡ Exploits ¡that ¡are ¡ readily ¡available ¡in ¡ crimeware ¡kits ¡or ¡ penetra4on ¡tes4ng ¡ tools ¡

Make ¡them ¡readily ¡available ¡for ¡everyone ¡with ¡a ¡ criminal ¡mid ¡calls ¡for ¡disaster! ¡

Exploits ¡that ¡bypass ¡

ur ¡defense ¡layers ¡

(IPS, ¡NGFW, ¡ An4virus, ¡..) ¡

SLIDE 48

undetected exploits

¡Failure ¡of ¡the ¡security ¡industry ¡

prevalent & vulnerable programs exploits available in crimeware kits

Security ¡products ¡failing ¡to ¡detect ¡these ¡ ¡ exploits ¡are ¡hardly ¡acceptable ¡

SLIDE 49

Demonstra4on ¡

SLIDE 50

¡Undetected ¡Exploits ¡vs. ¡Metasploit ¡

Correla4on ¡of ¡exploits ¡not ¡detected ¡by ¡IPS/NGFW ¡with ¡exploits ¡available ¡in ¡Metasploit ¡ Many ¡publicly ¡available ¡and ¡easy ¡to ¡use ¡exploits ¡bypass ¡detec4on ¡ Undetected ¡exploits ¡ available ¡in ¡Metasploit ¡ Undetected ¡ exploits ¡ 26% ¡of ¡866 ¡Metasploit ¡ exploits ¡are ¡not ¡detected ¡ by ¡at ¡least ¡one ¡IPS/NGFW ¡

SLIDE 51

¡Correla4on ¡of ¡undetected ¡Exploits ¡

Exploits ¡available ¡in ¡crimeware ¡kits ¡are ¡s4ll ¡undetected ¡by ¡IPS ¡or ¡NGFW ¡engines. ¡ 43 ¡of ¡117 ¡exploits ¡that ¡could ¡be ¡aKributed ¡to ¡crimeware ¡kits ¡ ¡bypassed ¡detec4on ¡ ¡

f ¡9 ¡of ¡23 ¡detec4on ¡engines ¡

Undetected ¡exploits ¡ from ¡crimeware ¡kits ¡ IPS/NGFW ¡devices ¡ that ¡missed ¡exploits ¡ Crimeware ¡kits ¡ Eleonore ¡ Phoenix ¡

SLIDE 52

¡Undetected ¡Exploits ¡vs. ¡AKacked ¡Vendor ¡

Correla4on ¡of ¡exploits ¡not ¡detected ¡by ¡IPS ¡or ¡NGFW ¡with ¡the ¡so^ware ¡vendors ¡of ¡the ¡ programs ¡targeted ¡by ¡these ¡exploits ¡ Most ¡undetected ¡exploits ¡target ¡Microso^ ¡products ¡– ¡relevant ¡exploits ¡go ¡undetected! ¡ Microso^ ¡ Exploits ¡against ¡ Microso^ ¡products ¡

SLIDE 53

¡Correla4on ¡of ¡undetected ¡Exploits ¡

Many ¡exploits ¡are ¡not ¡detected ¡by ¡several ¡IPS ¡engines ¡ 714 ¡of ¡1,486 ¡exploits ¡tested ¡are ¡not ¡detected ¡by ¡at ¡least ¡one ¡IPS ¡engine, ¡ ¡ 40% ¡or ¡286 ¡by ¡at ¡least ¡two ¡IPS ¡engines ¡ ¡ Undetected ¡by ¡

ne ¡IPS ¡

Undetected ¡by ¡ mul4ple ¡IPS ¡ Bubble ¡size ¡ indicates ¡number ¡ ¡

f ¡IPS ¡engines ¡not ¡ ¡

detec4ng ¡given ¡exploit ¡

SLIDE 54

Combined ¡Failure ¡Rate ¡

Attacker Target Layered Defense

Failure Rate

Device ¡A ¡ Device ¡B ¡

Failure Rate

PA PA¢B

10%

Combined Failure Rate

PB

10%

PA¢B = PA . PB = 1% (?)

?

SLIDE 55

§ Failures ¡are ¡correlated, ¡they ¡are ¡not ¡ independent ¡events ¡ § The ¡combined ¡failure ¡rate ¡ is ¡typically ¡considerably ¡higher ¡

PA¢B ≠ PA . PB

PA¢B > PA PB Correla4on ¡Fallacy ¡

‑ ¡Rethink ¡your ¡risk ¡assessment ¡

SLIDE 56

§ Vendor ¡claims ¡on ¡the ¡effec4veness ¡or ¡ performance ¡of ¡products ¡are ¡frequently ¡

verstated, ¡or ¡based ¡on ¡non-‑realis4c ¡

assump4ons ¡ § Several ¡network ¡firewall ¡products ¡tested ¡crashed ¡ when ¡subjected ¡to ¡our ¡stability ¡tests ¡ § An4virus ¡does ¡not ¡prevent ¡a ¡dedicated ¡aKacker ¡ from ¡compromising ¡a ¡target ¡ § Several ¡products ¡failed ¡detec4on ¡of ¡exploits ¡ when ¡switching ¡from ¡HTTP ¡to ¡HTTPS ¡ ¡

Conclusion ¡& ¡Findings ¡ ¡

SLIDE 57

§ There ¡is ¡no ¡product ¡or ¡combina4on ¡of ¡products ¡ tested ¡by ¡NSS ¡Labs ¡that ¡provide ¡100% ¡protec4on ¡ § Assume ¡that ¡you ¡are ¡already ¡compromised ¡ § Organiza4ons ¡should ¡complement ¡preven4on ¡ with ¡breach ¡detec4on ¡and ¡SIEM ¡to ¡iden4fy ¡and ¡ act ¡on ¡successful ¡security ¡breaches ¡in ¡a ¡4mely ¡ manner ¡ § Access ¡to ¡independent ¡informa4on ¡on ¡security ¡ product ¡effec4veness ¡and ¡performance ¡is ¡ important ¡ ¡

Recommenda4ons ¡

SLIDE 58

§ Technology ¡alone ¡cannot ¡provide ¡the ¡highest ¡ protec4on ¡ § Competent ¡and ¡mo4vated ¡security ¡personal ¡is ¡ key ¡to ¡effec4ve ¡security ¡– ¡and ¡make ¡the ¡best ¡ use ¡of ¡the ¡tools ¡

Complexity ¡

SLIDE 59

Thank ¡you ¡

¡ sfrei@nsslabs.com ¡ frank@nsslabs.com ¡

Trusted Advice. Measured.

SLIDE 60

§ Network ¡Firewall ¡Group ¡Test ¡2011 ¡

hKps://www.nsslabs.com/reports/network-‑firewall-‑group-‑test-‑2011 ¡

r ¡hKp://bit.ly/RzLX3a ¡

§ IPS ¡Compara4ve ¡Analysis ¡2012 ¡

hKps://www.nsslabs.com/reports/ips-‑compara4ve-‑analysis-‑2012 ¡

r ¡hKp://bit.ly/SvHwQ ¡

¡

§ Consumer ¡AV/EPP ¡Compara4ve ¡Analysis ¡-‑ ¡Exploit ¡Protec4on ¡

hKps://www.nsslabs.com/reports/consumer-‑avepp-‑compara4ve-‑analysis-‑exploit-‑protec4on ¡

r ¡hKp://bit.ly/S5Mqs7 ¡

§ Is ¡Your ¡Browser ¡Puyng ¡You ¡At ¡Risk? ¡

hKps://www.nsslabs.com/reports/your-‑browser-‑puyng-‑you-‑risk-‑part-‑1-‑general-‑malware-‑blocking ¡

r ¡hKp://bit.ly/SvGHur ¡

§ Targeted ¡Persistent ¡AKack ¡(TPA) ¡

hKps://www.nsslabs.com/reports/analysis-‑brief-‑targeted-‑persistent-‑aKack-‑tpa-‑misunderstood-‑ security-‑threat-‑every-‑enterprise ¡

r ¡hKp://bit.ly/SvGO99 ¡

Resources ¡