WEBCAST SEP Module - IPS -

WEBCAST SEP 12.1 – Module - IPS - ¹

WEBCAST SEP 12.1 - Module - IPS -

Torsten Knorr

Sr. Business Critical Account Manager

Agenda

IPS - Architekturen 1

SEP 12.1 IPS – Wie arbeitet die Technologie 2

Warum Proaktiver Schutz

3

IPS - Architekturen

• Netzbasierte IPS (NIPS)

• Hostbasierte IPS (HIPS)

• Hybride Arten

WEBCAST SEP 12.1 – Module - IPS - ³

IPS – Architekturen - Host IPS

• Schützen nur das System auf dem sie aktiv sind

• Integration in APIs des Betriebssystems möglich

• Analysieren Systemkritische Bereiche

• Protokollieren System- und Benutzeraktivitäten

• Kann bereits gespeicherte Daten, wie auch aktuell auf dem

System stattfindende Aktionen Korrelieren um Angriffe zu

entdecken und zu verhindern

IPS – Architekturen - Network IPS

• Untersucht sämtlichen dem NIPS zugeleiteten Netzverkehr

• Erkannte Angriffe werden protokolliert und geblockt

• Platzierung der IPS-Module

entsprechend dem Schutzbedarf

WEBCAST SEP 12.1 – Module - IPS - 5

IPS – Architekturen – N+HIDS

Beste Verteidigung dank Kombination von Techniken

(N)IPS Network IPS

(H)IPS Host IPS

Deep packet inspection Attack-facing (Symantec sigs. via LiveUpdate, Custom

sigs, SNORT-like)

Intrusion Prevention

(IPS)

Sonar (vorm.TruScan)^TM Behavior-based (Proactive Threat Scan

technology)

Generic Exploit Blocking Vulnerability-facing (Signatures for

vulnerability)

System Lockdown

White listing (tightly control which applications

can run)

Die Bausteine des IPS

WEBCAST SEP 12.1 – Module - IPS - ⁷

Identifzierung Prüfung

Scan

Die Bausteine des IPS

Identifizierung - IPS

verschlüsselte Netzwerkprotokolle

• Web, IM und Mulitmedia Inhalte werden alle über das HTTP

Protokoll bereitgestellt Lösung:

• Das Wissen, welche Inhalte

geschützt werden müssen ist der Schlüssel zum Aufbau eines

Schutzes

• Identifizierung und Bennenung von Inhalten ist dabei ein

notwendiger erster Schritt Unterschied:

• Die IPS Engine verfügt über eine Intelligenz, die anhand der Daten die über einen Port laufen bereits ab der Installation über 200

verschiedene Protokolle und Datentypen erkennt.

Identifzierung Prüfung

Scan

Die Bausteine des IPS Prüfung - IPS

WEBCAST SEP 12.1 – Module - IPS - ⁹

Problem:

• Überprüfung eines gesammten Daten- oder Protokoll Streams erzeugt Latenzen

• Einige wichtige Informationen müssen für eine Überprüfung auf schadhaftes Verhalten aufbewahrt werden

Lösung:

• Die integrierte Prüfung decodiert Daten – oder Protokoll Streams anhand Ihrer Spezifikationen

• Während der Dekodierung werden nur relevante Teile dieser Streams aufbewahrt zur Analyse

Unterschied:

• Diese Technik wirkt sich positiv auf die Performance aus und erhöht gleichzeitig die Erkennungsrate

• Codierte Informationen können überprüft werden (z.B. GZIP, UTF,

…)

Identifizierung Prüfung

Scan

Die Bausteine des IPS Scan - IPS

Problem:

• TCP Ports für die Identifikation der IPS Regel zu benutzen

verschlechtert die Performance und erhöht zugleich die Anzahl der

Fehlalarme

– Prüfung von tausenden von Regeln auf Übereinstimmung

Lösung:

• Symantec’s IPS Lösung nutzt

aufgrund der Protokollidentifikation ein minimales Regelwerk von

Signaturen für die Prüfung

• Informationen die Während der Prüfung zwischengespeichert worden werden für den Scann genutzt

Unterschied:

• Präzise und schnelle IPS Engine die sich minimal auf die Performance auswirkt

• wenige Fehlalarme (False Positives)

Identifizierung Prüfung

Scan

What makes this better?

• Präzision!

• Traditionellen IPS System wie zum Beispiel SNORT fehlt die Funktion der Identifikation und Prüfung von Inhalten.

– als folge scannen diese System alles, was zu folgendem führt:

• Verschlechterung der Systemperformance

• Mehr Fehlalarme

• getunnelte Inhalte können nicht sauber erfasst werden

• mit Identifizierung, Prüfung und Scan

– Symantec kann zielgerichtete Signaturen für eine spezifische Vulnerability zur Verfügung stellen

– Vulnerability können direkt in der Anwendung, der Datei oder dem

Netzwerkprotokoll entdeckt werden, ohne jedes einzelne Netzwerkpaket zu überprüfen.

WEBCAST SEP 12.1 – Module - IPS - ¹¹

Warum Proaktiver Schutz?

Zeitachse Exploit

Anzahl blockierter

Varianten

Einzelne GEB

Signatur Bedrohung

814 MS RPC DCOM BO Blaster

426 MS_RPC_NETDDE_BO W32.Mytob.IM@mm

394 MS LSASS BO Sasser

250 RPC_NETAPI32_BO W97M.Invert.B 121 NetBIOS MS NO (TCP) W32.Gaobot.AAY

Bekanntwerden einer Schwachstelle

Tag 0

6-7 Tage

Virus Signatur

~3 Std.

später

Schwachstelle wird genutzt

< 24 Stunden

Sonar (TruScan^TM )

 Proaktive Erkennung von Bedrohungen Verhaltens-Analyse

Generic Exploit Blocking

• Gestützt auf die Charakteristika der Schwachstellen

Warum Proaktiver Schutz?

Zeitachse Exploit – Beispiel: Microsoft Security Advisory (2887505)

Vulnerability in Internet Explorer Could Allow Remote Code Execution

WEBCAST SEP 12.1 – Module - IPS - ¹³

Vulnerability Timeline

Vulnerability entdeckt

Vulnerability öffentlich bekannt

(Public 0 day) 17.09.2013

Patch verfügbar 09.10.2013

Patch ausgerollt

UXP (Un-Authorized Download Protection) Schutz vor 0 Day Lücken IPS Signaturen für Exploit verfügbar (18.09.2013)

Post-infection Detection

(Erstellung von AV-Signaturen)

Schutz via Browser IPS (Canary) vor Exploit

FRAGEN ???

Thank you!

Copyright © 2012 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

WEBCAST SEP 12.1 – Module - IPS - ¹⁵

Torsten Knorr

Torsten_knorr@symantec.com

+49 174 186 8096