cybercrime kill chain vs effec4veness of defense layers
play

Cybercrime Kill Chain vs. Effec4veness of Defense Layers - PowerPoint PPT Presentation

Sep 05, 2022 •181 likes •787 views

Cybercrime Kill Chain vs. Effec4veness of Defense Layers Dr. Stefan Frei & Francisco Arts @stefan_frei @franklyfranc

  1. Cybercrime ¡Kill ¡Chain ¡vs. ¡ ¡ ¡ ¡Effec4veness ¡of ¡Defense ¡Layers ¡ Dr. ¡Stefan ¡Frei ¡ ¡& ¡ ¡ Francisco ¡Artés ¡ @stefan_frei ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡@franklyfranc ¡ Trusted Advice. Measured.

  2. THE ¡FLIGHT ¡TO ¡ABU ¡DHABI ¡TOOK ¡ LONGER ¡THAN ¡TESTING ¡IPS. ¡

  3. Speaker ¡– ¡Dr. ¡Stefan ¡Frei ¡ § Professional ¡ § Research ¡Director ¡@ ¡NSS ¡Labs ¡ § Research ¡Analyst ¡Director ¡@ ¡Secunia ¡ § Senior ¡Researcher ¡& ¡Pentester ¡ ¡@ ¡ISS ¡X-­‑Force ¡ § Contact ¡ § Email: ¡sfrei@nsslabs.com ¡ § TwiKer: ¡@stefan_frei ¡

  4. Speaker ¡– ¡Mr. ¡Francisco ¡Artés ¡ § Professional ¡ § Research ¡Director ¡@ ¡NSS ¡Labs ¡ § CSO/CISO ¡ ¡ § Trace3 ¡ § Deluxe ¡Entertainment ¡ § Electronic ¡Arts ¡ § Contact ¡ § Email: ¡frank@nsslabs.com ¡ § TwiKer: ¡@franklyfranc ¡

  5. ABSTRACT ¡ Cybercriminals ¡persistently ¡challenge ¡the ¡security ¡of ¡organiza4ons ¡through ¡the ¡ rapid ¡implementa4on ¡of ¡diverse ¡aKack ¡methodologies, ¡state ¡of ¡the ¡art ¡ malware, ¡and ¡innova4ve ¡evasion ¡techniques. ¡In ¡response ¡organiza4ons ¡deploy ¡ and ¡rely ¡on ¡mul4ple ¡layers ¡of ¡diverse ¡security ¡technologies. ¡This ¡talk ¡examines ¡ the ¡aKackers' ¡kill ¡chain ¡and ¡the ¡measured ¡effec4veness ¡of ¡typical ¡defense ¡ technologies ¡such ¡as ¡Next ¡Genera4on ¡Firewalls, ¡Intrusion ¡Preven4on ¡Systems ¡ IPS, ¡An4virus/Malware ¡Detec4on, ¡and ¡browsers ¡internal ¡protec4on. ¡Empirical ¡ data ¡on ¡the ¡effec4veness ¡of ¡security ¡products ¡derived ¡from ¡NSS ¡Labs ¡harsh ¡real ¡ world ¡tes4ng ¡is ¡presented ¡together ¡with ¡a ¡live ¡demonstra4on ¡of ¡successful ¡ evasion ¡of ¡malware ¡detec4on. ¡We ¡find ¡a ¡considerable ¡gap ¡of ¡protec4on ¡levels ¡ within/and ¡across ¡different ¡security ¡product ¡groups. ¡Using ¡Maltego ¡complex ¡ correla4ons ¡between ¡undetected ¡exploits, ¡crimware ¡kits, ¡and ¡affected ¡so^ware ¡ vendor ¡and ¡products ¡are ¡demonstrated. ¡

  6. Agenda ¡ § How ¡we ¡get ¡aKacked ¡ § Layered ¡Defense ¡ § Results ¡from ¡NSS ¡Labs’ ¡tes4ng ¡ § Demonstra4on ¡of ¡Exploit ¡vs. ¡Layered ¡Defense ¡ § Conclusion ¡ ¡

  7. AKack ¡Kill ¡Chain ¡ – ¡AKacker ¡vs. ¡Defender ¡ AKackers ¡View ¡ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection Defenders ¡View ¡

  8. AKack ¡Kill ¡Chain ¡ – ¡Understanding ¡the ¡AKacker ¡ Understand ¡the ¡threat ¡and ¡the ¡ aKackers ¡mo4va4on ¡& ¡methods ¡ ⌃ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection

  9. AKack ¡Kill ¡Chain ¡ – ¡Understanding ¡Evasion ¡ Understand ¡how ¡malware ¡ bypasses ¡detec4on ¡ ⌃ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection ⌃ Assess ¡the ¡effec4veness ¡ of ¡layered ¡defenses ¡

  10. AKack ¡Kill ¡Chain ¡ – ¡If ¡preven4on ¡failed ¡ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection ⌃ Detect ¡& ¡ neutralize ¡

  11. The ¡Changing ¡Threat ¡Environment ¡ Fastest ¡growing ¡ ¡ segment ¡ Mo4va4on ¡ Personal ¡ TheD ¡ ¡ Gain ¡ ¡ Author ¡ Tools ¡created ¡by ¡ of ¡ Personal ¡ experts ¡now ¡used ¡ ¡ Fame ¡ Tools ¡ by ¡less-­‑skilled ¡ Vandalism ¡ ¡ criminals, ¡ ¡ for ¡personal ¡gain ¡ Curiosity ¡ Script-­‑ ¡ Hobbyist ¡ Expert ¡ Kiddy ¡ Hacker ¡ AKackers’ ¡Exper4se ¡

  12. Malware ¡Development ¡& ¡Tools ¡ § Cybercriminals ¡developed ¡formidable ¡tools ¡ Easy ¡to ¡use ¡development ¡tools, ¡Q&A, ¡and ¡service ¡ level ¡agreements ¡just ¡as ¡in ¡every ¡mature ¡industry ¡ § Detec4on ¡Evasion ¡and ¡Resilience ¡ By ¡design, ¡malware ¡is ¡developed ¡and ¡deployed ¡with ¡ detec4on ¡evasion ¡in ¡mind ¡

  13. ¡Malware ¡Development ¡Process ¡ 1 ¡ 1. Create ¡malicious ¡tool ¡ Development ¡ 1 ¡x ¡ 2. Obfuscate ¡malware, ¡ 2 ¡ create ¡permuta4ons ¡ 10,000 ¡x ¡ Evasion ¡ 3. Test ¡against ¡detec4on ¡ 3 ¡ engines ¡ 5,000 ¡x ¡ Q ¡& ¡A ¡ 4. Deploy ¡undetected ¡samples ¡ 4 ¡ Deployment ¡

  14. ¡Underground ¡Market ¡ Malware ¡offered ¡for ¡ $249 ¡ with ¡a ¡Service ¡Level ¡ Agreement ¡and ¡ replacement ¡warranty ¡ if ¡the ¡ crea4on ¡ is ¡detected ¡by ¡ any ¡anP-­‑virus ¡within ¡9 ¡ months ¡

  15. ¡The ¡Availability ¡of ¡Malware ¡Tools ¡ Results ¡in ¡a ¡high ¡degree ¡of ¡aTack ¡automaPon ¡ from ¡systema4c ¡iden4fica4on ¡of ¡ ¡ targets ¡to ¡fully ¡automated ¡exploita4on ¡ ¡ Leads ¡to ¡an ¡increase ¡in ¡opportunisPc ¡aTacks ¡ as ¡the ¡a=acker ¡no ¡longer ¡needs ¡exper4se ¡or ¡ special ¡skills ¡ Any ¡enterprise ¡can ¡become ¡a ¡vic1m ¡of ¡a3ack: ¡ ⌃ at ¡any ¡1me, ¡for ¡any ¡reason, ¡and ¡without ¡being ¡ specifically ¡targeted. ¡

  16. Automated ¡vulnerability ¡scanners ¡ and ¡aKack ¡tools ¡cannot ¡ differen4ate ¡if ¡you ¡consider ¡ yourself ¡a ¡high-­‑risk ¡target ¡or ¡not. ¡ ¡

  17. Our ¡Response: ¡Layered ¡Security ¡ We ¡respond ¡and ¡rely ¡on ¡layered ¡security ¡ Key ¡Security ¡Technologies ¡available: ¡ § Network ¡Firewall ¡ ¡ § Next ¡Genera4on ¡Firewall ¡ § Intrusion ¡Preven4on ¡Systems ¡(IPS) ¡ § An4virus ¡/ ¡An4malware ¡ § Browser ¡Protec4on ¡ How ¡effec1ve ¡is ¡the ¡defense ¡? ¡ ⌃ ¡ How ¡do ¡we ¡know? ¡ ¡ ¡ ¡

  18. ¡Layered ¡Defense ¡-­‑ ¡Perimeter ¡ Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ server desktop laptop on premise off premise

  19. ¡Layered ¡Defense ¡– ¡Host ¡Based ¡ Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  20. ¡Layered ¡Defense ¡– ¡Direct ¡AKack ¡ direct attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  21. ¡Layered ¡Defense ¡– ¡Indirect ¡AKack ¡ direct attack indirect attack indirect attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  22. ¡Layered ¡Defense ¡– ¡Side ¡channel ¡AKack ¡ direct attack indirect attack indirect attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ sidechannel attack server desktop laptop on premise off premise

  23. Or ¡any ¡of ¡these: ¡

  24. We ¡are ¡doing ¡this: ¡

  25. Wizard-­‑like ¡knowledge… ¡ ¡

  26. ¡Engineering ¡Workflow ¡.. ¡ .. ¡sadly, ¡security ¡tes4ng ¡is ¡not ¡that ¡simple ¡

  27. It’s ¡more ¡like ¡this ¡-­‑ ¡

  28. ¡Where ¡does ¡the ¡data ¡come ¡from? ¡ § Mul4-­‑million ¡dollar ¡research ¡and ¡tes4ng ¡ facility ¡in ¡Aus4n, ¡Texas ¡ § Capable ¡of ¡24 ¡x ¡7 ¡tes4ng ¡ § Global ¡research ¡network ¡captures ¡Internet ¡ threats, ¡zero-­‑days ¡& ¡trends ¡live, ¡as ¡they ¡arise ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Building Layers of Defense with Spring Security We have to distrust each other. It is our

Building Layers of Defense with Spring Security We have to distrust each other. It is our

Building Layers of Defense with Spring Security We have to distrust each other. It is our only defense against betrayal. Tennessee Williams About Me u Joris Kuipers ( @jkuipers) u Hands-on architect and fly-by-night Spring

709 views • 52 slides
The Cyber Kill Chain The Students of Network Security Why Do We Need It? Since the start of

The Cyber Kill Chain The Students of Network Security Why Do We Need It? Since the start of

The Cyber Kill Chain The Students of Network Security Why Do We Need It? Since the start of the internet age, vulnerabilities have been exploited by ill-meaning users. Important data in military and commercial applications were commonly

1.14k views • 34 slides
Cyber@UC; Meeting 28 Cyber Kill Chain If Youre New! Join our Slack ucyber.slack.com

Cyber@UC; Meeting 28 Cyber Kill Chain If Youre New! Join our Slack ucyber.slack.com

Cyber@UC; Meeting 28 Cyber Kill Chain If Youre New! Join our Slack ucyber.slack.com Follow us on Twitter @UCyb3r and Facebook UC.yber; University of Cincinnati OWASP Chapter Feel free to get involved with one of our committees:

430 views • 23 slides
TECHNICAL PRESENTATION PIPE CONSTRUCTION WHAT ARE THE DIFFERENT LAYERS MADE OF? Polyethylene

TECHNICAL PRESENTATION PIPE CONSTRUCTION WHAT ARE THE DIFFERENT LAYERS MADE OF? Polyethylene

TECHNICAL PRESENTATION PIPE CONSTRUCTION WHAT ARE THE DIFFERENT LAYERS MADE OF? Polyethylene Non-linked long chain carbon based polymer. Essentially a weak intermolecular chain. Lack of heat resistance allows molecules to move

564 views • 42 slides
Cyber Kill Chain Jay Chen, Ruben Ocana, Senna Alsadam, Andrew Shi Modern Security Threats

Cyber Kill Chain Jay Chen, Ruben Ocana, Senna Alsadam, Andrew Shi Modern Security Threats

Cyber Kill Chain Jay Chen, Ruben Ocana, Senna Alsadam, Andrew Shi Modern Security Threats New class of threat actors called Advanced Persistent Threat (APT) Data compromised for economic or military advancement Conventional

701 views • 32 slides
Economics of Cybercrime The Influence of Perceived Cybercrime Risk on Online Service Adoption of

Economics of Cybercrime The Influence of Perceived Cybercrime Risk on Online Service Adoption of

W ESTFLISCHE W ILHELMS -U NIVERSITT M NSTER Economics of Cybercrime The Influence of Perceived Cybercrime Risk on Online Service Adoption of European Internet Users living knowledge WWU Mnster Markus Riek, June 23, 2014 Rainer

571 views • 40 slides
Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of

Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of

Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of Computer Science and Technology, University of Cambridge, UK SecHuman 2018 GPG: 5017 A1EC 0B29 08E3 CF64 7CCD 5514 35D5 D749 33D9

479 views • 37 slides
Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of

Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of

Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of Computer Science and Technology, University of Cambridge, UK SecHuman 2018 GPG: 5017 A1EC 0B29 08E3 CF64 7CCD 5514 35D5 D749 33D9

672 views • 40 slides
Computer Systems Lecture 18 Tool Chain and DFAs CS 230 - Spring 2020 4-1 System Layers

Computer Systems Lecture 18 Tool Chain and DFAs CS 230 - Spring 2020 4-1 System Layers

CS 230 Introduction to Computers and Computer Systems Lecture 18 Tool Chain and DFAs CS 230 - Spring 2020 4-1 System Layers Python/C/Racket Code Multiprocessing and Operating Systems Build and Runtime Here now! Environments Memory

981 views • 46 slides
An Analysis of Cybercrime Activity within an Underground Gaming Forum Jack Hughes Cambridge

An Analysis of Cybercrime Activity within an Underground Gaming Forum Jack Hughes Cambridge

An Analysis of Cybercrime Activity within an Underground Gaming Forum Jack Hughes Cambridge Cybercrime Conference joh32@cam.ac.uk 11th July 2019 Background Research into the role of gaming as an entry point into cybercrime is growing

851 views • 29 slides
Cybersecurity Update Its More Than Technology People: Your First Line of Defense Incident

Cybersecurity Update Its More Than Technology People: Your First Line of Defense Incident

Cybersecurity Update Its More Than Technology People: Your First Line of Defense Incident Response Overview Types of data in your environment and why it is important. Trending threats. Minimizing risks through layers of defense:

486 views • 30 slides
STOPPING CYBERCRIME A presentation by the Financial Cybercrime Task Force of Kentucky KY Dept.

STOPPING CYBERCRIME A presentation by the Financial Cybercrime Task Force of Kentucky KY Dept.

STOPPING CYBERCRIME A presentation by the Financial Cybercrime Task Force of Kentucky KY Dept. of Financial Institutions DISCLAIMER The views expressed in this presentation are solely the presenters and are not binding upon any state

773 views • 20 slides
PD Targets for Various Infection Types: Stasis vs. 1-Log Kill vs. 2 Log Kill G.L. Drusano, M.D.

PD Targets for Various Infection Types: Stasis vs. 1-Log Kill vs. 2 Log Kill G.L. Drusano, M.D.

PD Targets for Various Infection Types: Stasis vs. 1-Log Kill vs. 2 Log Kill G.L. Drusano, M.D. Professor and Director Institute for Therapeutic Innovation University of Florida PD Targets Nosocomial Pneumonia To have insight into

237 views • 22 slides
Pace Layers The social economy ecosystem has many layers, all of which change at different

Pace Layers The social economy ecosystem has many layers, all of which change at different

Pace Layers The social economy ecosystem has many layers, all of which change at different rates, the outer layers moving faster than the inner Source: Stewart Brand, The Clock of the Long Now 1 | Confidential & Proprietary 2 |

421 views • 4 slides
The Rule of Law in Cyberspace What it means for business GERONIMO L. SY Assistant Secretary /

The Rule of Law in Cyberspace What it means for business GERONIMO L. SY Assistant Secretary /

The Rule of Law in Cyberspace What it means for business GERONIMO L. SY Assistant Secretary / Head, Office of Cybercrime Department of Justice Outline Legal Framework on Cybercrime Updates on Cybercrime Priorities How we can work

79 views • 6 slides
From behind the keyboard to behind bars: Cybercrime arrests and prosecu6ons in the UK Dr Alice

From behind the keyboard to behind bars: Cybercrime arrests and prosecu6ons in the UK Dr Alice

From behind the keyboard to behind bars: Cybercrime arrests and prosecu6ons in the UK Dr Alice Hutchings Computer Laboratory, University of Cambridge Presenta>on for the Inaugural Cybercrime Conference, 14 July 2016 Cambridge Computer

535 views • 32 slides
Offensive Threat Modeling for Attackers turning threat modeling on its head Rafal M. Los

Offensive Threat Modeling for Attackers turning threat modeling on its head Rafal M. Los

Offensive Threat Modeling for Attackers turning threat modeling on its head Rafal M. Los Chief Security Evangelist HP Software Shane MacDougall Principal Tactical Intelligence Modern threat modeling is a defensive response to

783 views • 52 slides
Adversarial Robustness via Runtime Masking and Cleansing Yi-Hsuan Wu Chia-Hung Yuan Shan-Hung

Adversarial Robustness via Runtime Masking and Cleansing Yi-Hsuan Wu Chia-Hung Yuan Shan-Hung

Adversarial Robustness via Runtime Masking and Cleansing Yi-Hsuan Wu Chia-Hung Yuan Shan-Hung Wu Department of Computer Science, National Tsing Hua University, Taiwan International Conference on Machine Learning, 2020 Y.H. Wu, C.H. Yuan,

1.3k views • 52 slides
Mag Net A Two-Pronged Defense against Adversarial Examples Dongyu Meng Hao Chen ShanghaiTech

Mag Net A Two-Pronged Defense against Adversarial Examples Dongyu Meng Hao Chen ShanghaiTech

Mag Net A Two-Pronged Defense against Adversarial Examples Dongyu Meng Hao Chen ShanghaiTech University, China University of California, Davis, USA Neural networks in real-life applications user authentication autonomous

599 views • 30 slides
Defense Against Adversarial Images using Web-Scale Nearest-Neighbor Search Abhimanyu Dubey,

Defense Against Adversarial Images using Web-Scale Nearest-Neighbor Search Abhimanyu Dubey,

Defense Against Adversarial Images using Web-Scale Nearest-Neighbor Search Abhimanyu Dubey, Laurens van der Maaten, I. Zeki Yalniz, Yixuan Li and Dhruv Mahajan Adversarial Images adversarial swan pelican perturbation

457 views • 8 slides
Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial

Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial

Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial Examples Anish Athalye* 1 , Nicholas Carlini * 2 , and David Wagner 3 1 Massachusetts Institute of Technology 2 University of California, Berkeley (now

1.13k views • 67 slides
Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial

Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial

Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial Examples Anish Athalye* 1 , Nicholas Carlini * 2 , and David Wagner 3 1 Massachusetts Institute of Technology 2 University of California, Berkeley (now

540 views • 50 slides
The case for dynamic defenses against adversarial examples Ian Goodfellow SafeML ICLR Workshop

The case for dynamic defenses against adversarial examples Ian Goodfellow SafeML ICLR Workshop

The case for dynamic defenses against adversarial examples Ian Goodfellow SafeML ICLR Workshop 2019-05-06 New Orleans Based on https://arxiv.org/pdf/1903.06293.pdf Definition Adversarial examples are inputs to machine learning models that

411 views • 22 slides
The material below presents the briefing slide text accompanied by recommended oral comments for

The material below presents the briefing slide text accompanied by recommended oral comments for

The material below presents the briefing slide text accompanied by recommended oral comments for people interested in military reform to give to audiences. While the presentation was created in the 1980s, it is remarkably relevant to the defense

521 views • 22 slides

More recommend