Het afgelopen jaar zijn steeds meer grote hacks uitgebreid in het nieuws gekomen, bijvoorbeeld recentelijk LinkedIn, Nu.nl, KPN en anderen. Dit is geen nieuwe trend; hacken gebeurt al jaren. Tegenwoordig gaat dit met veel kosten gepaard. Hackers verdienen geld en slachtoffers verliezen nog meer geld. Veel van deze hacks zijn Advanced Persistent Threats (APT's) of maken gebruik van Modern Malware.
De meest bekende incidenten komen voort uit Advanced Persistent Threats (APT’s). Een hacker of een groep hackers gaat secuur te werk en heeft maar één doelwit en ook de tijd om dit doel te bereiken. Dit in tegenstelling tot de ‘scriptkiddies’ die zonder enige moeite een miljoen ip-adressen scannen en een voor iedereen verkrijgbare tool gebruiken om deze adressen te controleren op vulnerabilities (ongepatchte web servers, mogelijkheden tot SQL injection en andere bekende technieken). Een APT maakt gebruik van ‘zero day exploits’. Dit zijn gaten in de beveiliging waar nog geen ‘signature’ voor bestaat. Ook Modern Malware (zoals Stuxnet of Flame) maakt hier gebruik van.
Signatures worden door vrijwel alle security componenten toegepast die in de hogere lagen van het OSI-model opereren, zoals het scannen van virussen, het gebruik van Intrusion Detection/Prevention (IDP)-systemen en de Next Generation Firewalls. Al deze oplossingen gebruiken signatures om patronen in netwerkverkeer te herkennen. Deze signatures worden door de fabrikanten (bijvoorbeeld Kaspersky, Juniper, McAfee) samengesteld. Voordat een signature echter bestaat moet het virus of de exploit een keer ‘gezien’ zijn, wat vaak niet mogelijk is bij een zero day exploit.
Enterprise omgevingen
In enterprise omgevingen waar web-diensten aangeboden worden, worden deze signatures ook in de Web Application Firewall's (WAF's) gebruikt. Voor deze omgevingen zijn ‘false positives' (verkeer dat onterecht tegengehouden wordt) een risico. Als bijvoorbeeld een potentiële klant de webshop niet meer kan benaderen omdat een Web Application Firewall het (goede) verkeer onterecht blokkeert, loopt de enterprise omzet mis. Vaak worden Web Application Firewalls dan ook niet dicht afgesteld en worden deze vaak ook niet in ‘blocking mode' geconfigureerd. De laatste versie van de PCI compliancy vereist deze blocking mode wel.
Om een enterprise omgeving goed te beschermen (en geen false positives te genereren) zijn oplossingen nodig die werken zonder signatures te gebruiken of oplossingen die zelf signatures kunnen (laten) genereren. Voor de Next Generation Firewalls kan bijvoorbeeld gebruik gemaakt worden van cloud diensten. Verkeer dat verdacht is maar waar geen signature voor bestaat (en waarvan dus niet met zekerheid gezegd kan worden dat het een dreiging betreft), wordt in een sandbox omgeving geanalyseerd. Na deze analyse kan een signature gegenereerd worden die vervolgens naar de firewalls in het veld gestuurd worden.
Web Application Firewall
Een Web Application Firewall doet dit op een andere manier. Aangezien dit component op een andere plaats in de security infrastructuur geplaatst is, namelijk vóór de web applicatie(s), worden hier andere eisen aan gesteld. De Web Application Firewall wordt gebruikt voor verkeer van buiten (het internet) naar binnen (de web applicatie). De nieuwste ontwikkeling op dit gebied is Mykonos, kort geleden door Juniper Networks overgenomen. De oplossing kan gezien worden als de volgende generatie van Web Application Firewalls.
Naast het gebruik van signatures voor de ‘normale' bedreigingen worden zeer geavanceerde technieken gebruikt om ook de APT's tegen te gaan. Door de hacker te voorzien van valse informatie en dus te misleiden, kan een profiel van de hacker gemaakt worden met daarin onder andere het kennis- en dus bedreigingsniveau van de hacker. Afhankelijk van de acties die een hacker doet naar aanleiding van de valse informatie die door de oplossing gegenereerd wordt, wordt dit niveau bepaald. Maakt de hacker bijvoorbeeld gebruik van ‘cross site scripting' of van ‘hidden input fields', die door de oplossing in de html-code geïnjecteerd worden, dan zal het niveau van de hacker een bepaalde waarde krijgen. Wordt daarnaast ook een door Mykonos gegenereerd password file gedownload en gedecodeerd dan zal het niveau verder verhoogd worden.
Blacklist samenstellen
Beschreven oplossingen bieden de mogelijkheid om een blacklist samen te stellen. Dit is geen blacklist op basis van ip-adressen (vaak wordt op al het verkeer van een enterprise een source NAT toegepast zodat maar één ip-adres gebruikt wordt voor meerdere mensen), maar op basis van systemen die door hackers gebruikt worden. In deze database zullen geen false positives bestaan door de gebruikte detectie en blokkerings technieken.
De hiervoor beschreven oplossingen worden gepositioneerd in het enterprise segment. De vraag die een enterprise zichzelf moet stellen is wat de financiële schade is, in de breedste zin van het woord, als een hack plaats vindt. Alleen dan kan bepaald worden of de security infrastructuur naar dit zeer hoge niveau gebracht moet worden. Dit niveau kan bereikt worden door de huidige security infrastructuur onder de loep te nemen en daar waar nodig nieuwe technologieën zoals next-generation firewall oplossingen met de nieuwste functionaliteiten of specifieke point oplossingen te implementeren.
@Martijn
Leuk stuk dat in ieder geval niet de open deuren intrapt maar het laat helaas nog wel wat vragen open, zoals hoe we ons kunnen beschermen tegen 0-day exploits?
Interessant artikel met een goede kijk op de ontwikkelingen. Het wordt steeds intelligenter, door te kijken naar patterns of signatures. Inderdaad roept het vragen op, maar dat doet nieuwe technologie altijd. Dus Mykonos is tegelijk een firewall en een honeypot?
@Ewout de enige manier om 0-day exploits tegen te gaan (mijns inziens) zijn de sandbox omgevingen waarin het verdachte verkeer/URL naar verdachte site geanalyseerd kan worden op OS/memory/registry niveau en aan de hand van de resultaten hiervan een beslissing genomen kan worden.
@Marcel klopt inderdaad, alleen dan wel alleen een webapp firewall en een honeypot puur voor web verkeer.
@Martijn
Hmm, als je al weet welke site/server verdacht is dan is het toch geen 0-day meer, of ben ik nu gek?
@Ewout het probleem met verdacht is dat je het niet zeker weet. Veel firewalls kunnen wel anomalies of onbekende files in verkeer herkennen maar kunnen niet met zekerheid zeggen of het modern malware betreft. Daarnaast wil je ook geen false positive genereren door al het verdachte verkeer te blokkeren. Eén van de oplossingen is dus zoals ik beschreef met de sandbox omgeving. Ik denk niet dat je je compleet kunt beschermen tegen 0-day exploits maar je kunt het security niveau wel zo hoog mogelijk maken.
Heren,
Goed verhaal. Belangrijk is een multi level approach, waarin zaken als user awareness, interne meldplicht en aanscherpen van policies niet mag ontbreken. Wat security controls betreft is naast IDS, NG Firewall, ook een extra laag nodig voor advanced malware detection (fireeye, damballa, RSA netwitness, DLP en security management. Tevens een ge-update incident management proces, om snel analyse te kunnen doen en schade beperkt kan worden.
Ook goed te weten dat er wetgeving aan zit te komen voor organisaties voor het voorkomen van datalekken met een maximale boete van 450.000 EURO per incident. Ik weet zeker dat er een nieuwe golf van security trajecten aan zit te komen.
P.S. groeten aan Marco:-)