WEBCAST SEP 12.1 – Module - IPS - 1
WEBCAST SEP 12.1 - Module - IPS -
Torsten Knorr
Sr. Business Critical Account Manager
Agenda
IPS - Architekturen 1
SEP 12.1 IPS – Wie arbeitet die Technologie 2
Warum Proaktiver Schutz
3
IPS - Architekturen
• Netzbasierte IPS (NIPS)
• Hostbasierte IPS (HIPS)
• Hybride Arten
WEBCAST SEP 12.1 – Module - IPS - 3
IPS – Architekturen - Host IPS
• Schützen nur das System auf dem sie aktiv sind
• Integration in APIs des Betriebssystems möglich
• Analysieren Systemkritische Bereiche
• Protokollieren System- und Benutzeraktivitäten
• Kann bereits gespeicherte Daten, wie auch aktuell auf dem
System stattfindende Aktionen Korrelieren um Angriffe zu
entdecken und zu verhindern
IPS – Architekturen - Network IPS
• Untersucht sämtlichen dem NIPS zugeleiteten Netzverkehr
• Erkannte Angriffe werden protokolliert und geblockt
• Platzierung der IPS-Module
entsprechend dem Schutzbedarf
WEBCAST SEP 12.1 – Module - IPS - 5
IPS – Architekturen – N+HIDS
Beste Verteidigung dank Kombination von Techniken
(N)IPS Network IPS
(H)IPS Host IPS
Deep packet inspection Attack-facing (Symantec sigs. via LiveUpdate, Custom
sigs, SNORT-like)
Intrusion Prevention
(IPS)
Sonar (vorm.TruScan)TM Behavior-based (Proactive Threat Scan
technology)
Generic Exploit Blocking Vulnerability-facing (Signatures for
vulnerability)
System Lockdown
White listing (tightly control which applications
can run)
Die Bausteine des IPS
WEBCAST SEP 12.1 – Module - IPS - 7
Identifzierung Prüfung
Scan
Die Bausteine des IPS
Identifizierung - IPS
Problem: • verschiedenste zum Teilverschlüsselte Netzwerkprotokolle
• Web, IM und Mulitmedia Inhalte werden alle über das HTTP
Protokoll bereitgestellt Lösung:
• Das Wissen, welche Inhalte
geschützt werden müssen ist der Schlüssel zum Aufbau eines
Schutzes
• Identifizierung und Bennenung von Inhalten ist dabei ein
notwendiger erster Schritt Unterschied:
• Die IPS Engine verfügt über eine Intelligenz, die anhand der Daten die über einen Port laufen bereits ab der Installation über 200
verschiedene Protokolle und Datentypen erkennt.
Identifzierung Prüfung
Scan
Die Bausteine des IPS Prüfung - IPS
WEBCAST SEP 12.1 – Module - IPS - 9
Problem:
• Überprüfung eines gesammten Daten- oder Protokoll Streams erzeugt Latenzen
• Einige wichtige Informationen müssen für eine Überprüfung auf schadhaftes Verhalten aufbewahrt werden
Lösung:
• Die integrierte Prüfung decodiert Daten – oder Protokoll Streams anhand Ihrer Spezifikationen
• Während der Dekodierung werden nur relevante Teile dieser Streams aufbewahrt zur Analyse
Unterschied:
• Diese Technik wirkt sich positiv auf die Performance aus und erhöht gleichzeitig die Erkennungsrate
• Codierte Informationen können überprüft werden (z.B. GZIP, UTF,
…)
Identifizierung Prüfung
Scan
Die Bausteine des IPS Scan - IPS
Problem:
• TCP Ports für die Identifikation der IPS Regel zu benutzen
verschlechtert die Performance und erhöht zugleich die Anzahl der
Fehlalarme
– Prüfung von tausenden von Regeln auf Übereinstimmung
Lösung:
• Symantec’s IPS Lösung nutzt
aufgrund der Protokollidentifikation ein minimales Regelwerk von
Signaturen für die Prüfung
• Informationen die Während der Prüfung zwischengespeichert worden werden für den Scann genutzt
Unterschied:
• Präzise und schnelle IPS Engine die sich minimal auf die Performance auswirkt
• wenige Fehlalarme (False Positives)
Identifizierung Prüfung
Scan
What makes this better?
• Präzision!
• Traditionellen IPS System wie zum Beispiel SNORT fehlt die Funktion der Identifikation und Prüfung von Inhalten.
– als folge scannen diese System alles, was zu folgendem führt:
• Verschlechterung der Systemperformance
• Mehr Fehlalarme
• getunnelte Inhalte können nicht sauber erfasst werden
• mit Identifizierung, Prüfung und Scan
– Symantec kann zielgerichtete Signaturen für eine spezifische Vulnerability zur Verfügung stellen
– Vulnerability können direkt in der Anwendung, der Datei oder dem
Netzwerkprotokoll entdeckt werden, ohne jedes einzelne Netzwerkpaket zu überprüfen.
WEBCAST SEP 12.1 – Module - IPS - 11
Warum Proaktiver Schutz?
Zeitachse Exploit
Anzahl blockierter
Varianten
Einzelne GEB
Signatur Bedrohung
814 MS RPC DCOM BO Blaster
426 MS_RPC_NETDDE_BO W32.Mytob.IM@mm
394 MS LSASS BO Sasser
250 RPC_NETAPI32_BO W97M.Invert.B 121 NetBIOS MS NO (TCP) W32.Gaobot.AAY
Bekanntwerden einer Schwachstelle
Tag 0
6-7 Tage
Virus Signatur
~3 Std.
später
Schwachstelle wird genutzt
< 24 Stunden
Sonar (TruScanTM )
Proaktive Erkennung von Bedrohungen Verhaltens-Analyse
Generic Exploit Blocking
• Gestützt auf die Charakteristika der Schwachstellen
Warum Proaktiver Schutz?
Zeitachse Exploit – Beispiel: Microsoft Security Advisory (2887505)
Vulnerability in Internet Explorer Could Allow Remote Code Execution
WEBCAST SEP 12.1 – Module - IPS - 13
Vulnerability Timeline
Vulnerability entdeckt
Vulnerability öffentlich bekannt
(Public 0 day) 17.09.2013
Patch verfügbar 09.10.2013
Patch ausgerollt
UXP (Un-Authorized Download Protection) Schutz vor 0 Day Lücken IPS Signaturen für Exploit verfügbar (18.09.2013)
Post-infection Detection
(Erstellung von AV-Signaturen)
Schutz via Browser IPS (Canary) vor Exploit
FRAGEN ???
Thank you!
Copyright © 2012 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
WEBCAST SEP 12.1 – Module - IPS - 15