1 / 35

tBox : Система Предотвращения Атак Нулевого Дня п ри Рисковой Активности

tBox : Система Предотвращения Атак Нулевого Дня п ри Рисковой Активности. Арнур Тохтабаев , CEO, T&T Security, 201 4 г. План. Технологии Проблемы AV индустрии Проблемы пользователя Наши решения Продукт. Состояние AV индустрии. 140 миллионов вирусов на сегодняшний день .

fox
Download Presentation

tBox : Система Предотвращения Атак Нулевого Дня п ри Рисковой Активности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. tBox : Система ПредотвращенияАтак Нулевого Дня при Рисковой Активности АрнурТохтабаев, CEO,T&T Security, 2014 г.

  2. План • Технологии • Проблемы AV индустрии • Проблемы пользователя • Наши решения • Продукт tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  3. Состояние AV индустрии 140 миллионов вирусовна сегодняшний день tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  4. Состояние AV индустрии 125,000 Вирусов в день (0-day) (15 августа, 2013) До 80%обнаружения на уровне сигнатур, поведения и эвристики (60% в среднем) tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  5. Векторы атакКак к нам попадают зловредные коды? Интернет, почта, IM Зловредные/взломанные сайты Скрипт USB зловредныеpdf, doc Флэшки, phones tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  6. Атакина пользователя • Большинство атак происходит при прямом участии пользователя. • “Соучастие” пользователя значительно упрощает атаку • Используется психологический фактор: • Spear Phishing (направленный phishing) • Загрузка через браузер (drive by download) • Зловредные сайты • Взломанные легитимные сайты • Доверие социальным сетям • Facebook и Twitter черви • Доверие поисковым сервисам • Отравленный SEO (google image search) • Загрузка по воле пользователя • Fake A/V,управление страхом

  7. Проблема пользователя Главная уязвимость систем защиты - пользователь! Человеческий фактор: • Непонимание угрозы • Пренебрежение защитой • Конфликт с вердиктом системы защиты • Жертва мошенничества tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  8. Проблема Ответственность ложиться на пользователя ? Доверять? (Конфликт с вердиктом системы защиты)

  9. Проблема пользователя Доверять? (Непонимание угрозы) tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  10. Решения проблемы пользователя • Обучениеправилам безопасности? • Постоянные расходы (текучка кадров) • Устаревание знаний (новые угрозы) • Ошибочные решения (человеческий фактор) • Блокирование уязвимых ресурсов? • Страдает продуктивность (Internet, USB) • Уязвимость нулевого дня tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  11. Наша методологияЦель: свобода пользователя иизоляция атаки • Трансформировать ВСЕ уязвимые приложения (browser, PDF reader, USB explorer) в детекторы и анализаторы зловредной активности. • Снять ответственность пользователя за принятие решений по безопасности. • Ошибки пользователя больше не влияют на безопасность. • Опасные ресурсы доступны для пользователя без последствий. tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  12. tBox – Изоляция и СамоконтрольОсновной принцип Каждая сессия безопасна Deploy(Развернуть) Detect (Обнаружить) Destroy (Уничтожить) DDD Agent и вбезопасности

  13. Изоляцияи Самоконтроль • Изоляция • Все операции пользователя с уязвимыми приложениями происходят только в текущем, изолированном, одноразовомконтейнере. • По окончании работы пользователя с приложением - контейнер уничтожается. • Одной изоляции не достаточно для решения проблемы уязвимости поскольку зловред может нанести вред и во время одной сессии (например шпионская программа). • Самоконтроль • Непрерывный анализ поведения всех запущенных программ внутри каждого контейнера. • Используется уникальная технология глубокого анализа функциональности программ (может обнаружить сложную или скрытую зловредную активность) • Каждый контейнер имеет свою эксклюзивную систему обнаружения вторжения оптимизированную под приложение обслуживаемым данным контейнером. tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  14. DemoSpyware tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  15. Практические задачи для продукта • Защита от самого большого класса атак (нулевого дня) • Spear Phishing (направленный phishing) • Загрузка через браузер (drive by download) • Доверие социальным сетям • Доверие поисковым сервисам • Загрузка по воле пользователя • Зловредные не исполняемых файлов (PDF, MS office) • Блокирование (изолирование) всех трех главных каналов проникновения зловредов (векторы атаки) • Интернет • Скрипт • USB Предотвращениеутечки данных tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  16. Ценность для пользователя • Для конечного пользователя продукт обеспечит безопасность в тех ситуациях (режимах), когда типичные антивирусыне могут гарантировать безопасную работу • установка неизвестного драйвера, • атака 0-дня через зловредный вебсайт (уязвимость 0-дня). • Система альтернативной (второго уровня) защиты, дополняющая типичные антивирусные программы. • Направлена на предотвращение утечек данных при любых сценариях активности/ошибок пользователя tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  17. Ценность для пользователя • Защита от атак нулевого дня на уровне клиента (уязвимости 0-дня) • Почему так это важно? • Актуальность уязвимости 0-дня? (время выпуска патча) Вечная уязвимость 0-дня

  18. КонкурентыИзоляция (features) Уровень защиты Low High * AV производят изоляцию в виде песочницы для подозрительных программ (внутри песочницы нет детектора)

  19. Глубокий поведенческий анализ tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  20. Мотивация Сигнатуры и Функциональность 2010 - 4 500 000 + Количество бинарных сигнатур растет экспоненциально (более 9 миллионов в 2011) Количество зловредных функциональностей не увеличивается

  21. Проблема пользователя 1 Поведенческий анализ: Неуверенность в вердикте Тревога! Обнаружена подозрительная программа (может быть вирус, а может и нет) • Нет достоверности детекта (ложное срабатывание) • Как определить это вирус или нормальная программа? • Низкая/нулевая информативность пользователя • Док-во того, что это именно вирус? • В чем именно заключается зловредность? ? Поведенческий анализ: Уверенность при решении при “тревоге”

  22. Проблема пользователя 2 Поведенческий анализ: необнаруженные вирусы Необнаруженные вирусы (а также pdf, webcodes) Причины: • Вирус не запустился (нет пока условий для запуска). • Вирус не отработал (ждет активности пользователя, например spyware) • Поведение вируса близко к нормальному (скрытая зловредность) • Сработала только часть вирусной активности (например только загрузчик) tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  23. Наши решения для пользователя Проблемы пользователя Наши решения Анализ целей поведения (полная картина) Неуверенность в вердикте Необнаруженные вирусы tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  24. Предлагаемые решения (технологии) Системная активность Проблема: Неуверенность в вердикте (нет достоверности) Решение : Анализ функциональности (обнаружение цели) Поведение (API) Потенциал данной технологии Защищенный код (бинарный уровень) Цель ПО (Вердикт) Функциональность Потенциал нынешних антивирусов tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  25. Анализ целей программыПример Утечка данных (пароля) logger.exe *.txt ? hotkey, cursor monitoring, launch manager (ICQ, Skype, Mail Agent PuntoSwitcher) Обычный AV: Подозрительная программа – logger.exe Перехват клавиатуры. Разрешить? Да/Нет tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  26. Анализ целей программыПример • IDS: Обнаружен Spyware –logger.exe • Утечка данных в файл • Отправка файла в сеть (IP …) • Logger был скрытно загружен с … • Запретить отправку данных? Да/Нет logger.exe downloader.exe *.txt Обычный AV: Подозрительная программа – logger.exe Перехват клавиатуры. Разрешить? Да/Нет tBox–Система предотвращения атак нулевого дня, АрнурТохтабаев, T&T Security

  27. OS Architecture (system view) User mode MSExcel Virus Library Functions (.Net, c++) Open/read Open/write Cmd /c dir h=open(“reg.exe”) API calls API1 API2 API3 API6 API5 API7 h=CreateFile(“reg.exe”) h=NtCreateFile(“reg.exe”) System Calls System Service Executive Memory Sections Process Objects File Objects Handle 1 Handle 2 h= Objects Handle 1 Handle 5 Handle 1 Kernel mode

  28. Functionality Recognition Challenge In natural language: User mode Bernardo: I have seen nothing Virus MSExcel Hamlet: To be or not to be Functionality level To be or not to be I have seen nothing Open/read Open/write Cmd /c dir seen To or to nothing not I be have be API calls API1 API2 API3 API6 API5 API7 System Calls System Service Executive Operations Memory Sections Process Objects File Objects setonToingorothen nhaIbeotvebe Handle 1 Handle 2 Handle 1 Handle 5 Handle 1 Kernel mode

  29. Original and Generalized AD for File Upload

  30. System call domain (kernel level) API domain (user level)

  31. How CPN works Call #11 Call #8 Call #22 Functionality: Chain 5,11 Functionality Call #5

  32. Анализ целей программыМетодология Полная картина активности • Глубокий анализ поведения • “Дело” на каждую программу (профайл активности) • Отслеживание истории поведения • Предыстория • Пост-история • Корреляция поведения разных программ • Анализ поведения программ взаимодействующих с подозрительной Информативность отчета при обнаружении • Наша система выдаст полную картину поведения, укажет где именно зловредность. • Обнаружение не как подозрительного, а как зловредного с доказательный базой – отчет “Минимизация ложных тревог”“Достоверность детекта” “Уверенность пользователя в вердикте” tBox–Система предотвращения атак нулевого дня, Арнур Тохтабаев, T&T Security

  33. Principle of System Operation

  34. КонкурентыПоведенческий анализ (features) Достоверность детекта Цель поведения Low High

  35. References • [1] A. Tokhtabayev, V. Skormin and A Dolgikh, “Expressive, Efficient and Obfuscation Resilient Behavior Based IDS” in Proc. 15th European Symposium on Research in Computer Security (ESORICS 2010), September, 2010 Athens, Greece.*Top computer security conference in Europe • [2] C. Yavvari, A. Tokhtabayev, H. Rangwala, and A. Stavrou, “Malware Characterization using Behavioral Components” in Proc. 6th International Conference on Mathematical Methods, Models, and Architectures for Computer Network Security,  St. Petersburg, Russia, October 17-20, 2012. • [3] D. Fleck, A. Tokhtabayev, T. Nikodym, A. Alarif and A. Stavrou, “PyTrigger: A System to Trigger & Extract User-Activated Malware Behavior” in Proc. 8th International Conference on Availability, Reliability and Security (ARES 2013), September, 2013, Regensburg, Germany

More Related