© 2010 IBM Corporation© 2010 IBM Corporation
“За кулисами” исследовательской группы IBM X-Force®.
Роман Андреев, технический специалист по решениям IBM Security Solutions
© 2010 IBM Corporation2
План
Введение и обзор Сбор информации Исследование уязвимостей Разработка контента X-Force Контроль качества X-Force Web & SPAM технологии X-Force
Behind the Scenes of X-Force®
© 2010 IBM Corporation3
Миссия IBM X-ForceBehind the Scenes of X-Force®
Миссия группы исследований и разработки IBM X-Force®
Изучать и оценивать угрозы и проблемы защиты
Разрабатывать новые технологии для защиты от угроз завтрашнего дня
Предоставлять защиту от угроз сегодняшнего дня
Распространять информацию через средства массовых коммуникаций и в пользовательских сообществах
© 2010 IBM Corporation
IBM X-Force web intelligence lifecycle
4
Разработка защиты Предоставление
обновлений
Установка обновлениий Мониторинг браузинга:
- Миллионов пользователей
- Тысяч заказчиков - В сотнях стран
Блокировка вредоносных страниц
Передача ссылок в X-Force
Анализ известных вредоносных сайтов
Анализ новых техник эксплуатации уязвимостей
Разработка указаний по защите
Классификация ссылок Обнаружение вредоносных web-
сайтов (Deep Crawl) Поиск вредоносного ПО Поиск новых вредоносных сайтов Блокировка вредоносных доменов
Behind the Scenes of X-Force®
© 2010 IBM Corporation5
План
Введение и обзор Сбор информации Исследование уязвимостей Разработка контента X-Force Контроль качества X-Force Web & SPAM технологии X-Force
Behind the Scenes of X-Force®
© 2010 IBM Corporation6
Каждый год обнаруживается около 7,000 уязвимостейBehind the Scenes of X-Force®
Blank graphic object5
© 2010 IBM Corporation7
Мы анализируем их все
Наиболее полная БД уязвимостей в мире – Более 51,000 уникальных уязвимостей– Ведется с 90-х годов
Обновляется ежедневно выделенной исследовательской группой
В БД X-Force сейчас...– 11,000 производителей– 23,000 продуктов– 81,000 версий
Behind the Scenes of X-Force®
© 2010 IBM Corporation8
Источники информации
Email lists Информация от
производителей (MAPP) Собственные исследования Blacknets Greynets Honeynets Whiro Crawler Обмен информацией
– ISACS, CERTs, Industry Organizations– Сотрудничество исследователей– Конференции– Online
Behind the Scenes of X-Force®
© 2010 IBM Corporation9
X-ForceProdStat
Все новые уязвимости обсуждаются еженедельно на специальном совещании X-Force
– Возможности вредоносного использования
– Целевая аудитория атаки– Степень интереса со стороны
злоумышленников– Потенциальная опасность
Behind the Scenes of X-Force®
© 2010 IBM Corporation10
Мы определяем какие угрозы несут наибольшую опасность
Экономический фактор продолжает играть основную роль в возможности эксплуатации уязвимости
Уязвимости в Web-браузерах и программах просмотра документов очень выгодны и легки в использовании
Behind the Scenes of X-Force®
Blank graphic object9
© 2010 IBM Corporation11
План
Введение и обзор Сбор информации Исследование уязвимостей Разработка контента X-Force Контроль качества X-Force Web & SPAM технологии X-Force
Behind the Scenes of X-Force®
© 2010 IBM Corporation12
Исследования X-ForceОбнаружение
Собственные исследования– Анализ новых и будущих технологий– Изучение реализаций протоколов и продуктов– Поиск недостатков защиты и уязвимостей
Исследования в “день 0”– Proof-of-concept уязвимостей и анализ вредоносного кода– Реинжиниринг инструментальных средств атак, вредоносного ПО
Раскрытые уязвимости– Анализ уязвимости, раскрытой производителем– От патча или вредоносного кода – к разработке защиты
Behind the Scenes of X-Force®
© 2010 IBM Corporation13
X-ForceЛаборатория уязвимостей
IBM располагает самой большой и всеобъемлющей лабораторией тестирования уязвимостей
Каждая уязвимость, обнаруживаемая Internet Scanner и Enterprise Scanner, установлена в двух состояниях: “узявимость есть” и “ уязвимости нет”
В лаборатории: компьютеры, сетевые устройства, ПО последнего десятилетия
Behind the Scenes of X-Force®
© 2010 IBM Corporation14
Исследования X-ForceПубличные исследования
Behind the Scenes of X-Force®
© 2010 IBM Corporation15
Исследования X-ForceОпубликованные эксплойты
Behind the Scenes of X-Force®
© 2010 IBM Corporation16
Исследования X-ForceПакеты Атаки
Behind the Scenes of X-Force®
© 2010 IBM Corporation17
Исследования X-ForceУязвимость
Behind the Scenes of X-Force®
© 2010 IBM Corporation18
Мы обнаруживаем новые уязвимости
19 CVSS Base 9.3 & Base 10 Vulnerabilities in 2009
Behind the Scenes of X-Force®
© 2010 IBM Corporation19
План
Введение и обзор Сбор информации Исследования уязвимостей Разработка контента X-Force Контроль качества X-Force Web & SPAM технологии X-Force
Behind the Scenes of X-Force®
© 2010 IBM Corporation20
Конвергенция на платформе безопасностиЦелостная архитектура безопасности
Behind the Scenes of X-Force®
© 2010 IBM Corporation21
Результат какого выражения больше?
Протоколы – это простые языки.Необходимо знать, понимать язык.
Шестьумноженнымсемь Шестьумноженнымшестьплюссемь Шестьумноженнымшестьплюсшесть Семьумноженнымсемьминуссемь Сорокплюсдва
Behind the Scenes of X-Force®
© 2010 IBM Corporation22
А теперь результат какого выражения больше?
Six times seven Six times six plus seven Six times six plus six Seven times seven minus seven Forty plus two
Behind the Scenes of X-Force®
© 2010 IBM Corporation23
ТехнологияСигнатуры эксплойтов
Поиск сигнатур известных эксплойтов
Behind the Scenes of X-Force®
Snortcontent:"|81 F1 03 01 04 9B 81 F1 01|";Symantec Manhuntcontent:"|682E 646C 6C68 656C 3332 686B 6572 6E|";McAfee Intruvert<string-match astring="\x55\x8B\xEC\x68\x18\x10\xAE\x42"/>Netscreen IDP:pattern (".*\x04 41 41 41 41\x.*")
© 2010 IBM Corporation24
ТехнологияIDS/IPS vs. Decodes
IDS/IPS, в основном, ищут эксплойты– Они стараются срабатывать на признаках, характерных для нескольикх эксплойтов,
но все равно основаны на эксплойтах Мы публикуем информацию, основанную на анализе протоколов
– Например, для переполнения буфера мы публикуем пороговую длину значения, при превышении которой происходит переполнение
• Length=612 (buffer was 612 bytes on the wire)• Threshold=96 (after 96 bytes it overflows, according to X-Force research)
Behind the Scenes of X-Force®
© 2010 IBM Corporation25
Анализ протоколов/контента на ВСЕХ уровнях
Нормализация каждого протокола Возможность внедрять новые технологии и оперативно реагировать на угрозы и
требования рынка
Behind the Scenes of X-Force®
© 2010 IBM Corporation26
Преимущество Shellcode Heuristics
X-Force разработал методику Shellcode Heuristics (SCH) для обнаружения attack payload даже без информации об уязвимости
Уникальная технология IBM X-Force Доступна во всех наших продуктах, основанных на IPS/PAM Дает идеальную защиту от атак “нулевого дня”:
– Обнаруживает более 80% атак “нулевого дня” на Microsoft Office– Позволил обнаружить множество уязвимостей Internet Explorer в “день
0” (при помощи MSS)• VML(MS06-055)• XML(MS06-071)
– Исключительно низкий уровень ложных срабатываний – только 2 известных ложных срабатывания на 22 миллиона файлов
Behind the Scenes of X-Force®
© 2010 IBM Corporation27
Приложения, которые защищает Shellcode Heuristics
MIME Types:– application/acrobat– application/pdf– application/msword– application/vnd.ms-excel
Behind the Scenes of X-Force®
xlwwizrtfppafpx
xltwpspwzpotdot
xlsxwbkpubpdfdocx
xlswripptxmsodoc
xlrwpdpptmptcsv
xlkwksppsmppasd
– application/vnd.ms-powerpoint– application/vnd.pdf– application/x-pdf– text/x-pdf– text/pdf
© 2010 IBM Corporation28
Java ObfuscationBehind the Scenes of X-Force®
© 2010 IBM Corporation29
Java ObfuscationBehind the Scenes of X-Force®
© 2010 IBM Corporation30
Уязвимости PDF
Уязвимости PDF вошли в Top 5, наиболее активно эксплуатируемых в 2009.
Behind the Scenes of X-Force®
Rank 2008 H2 2009 H1
1. Microsoft MDAC RDS Dataspace ActiveX (CVE-2006-0003)
Microsoft MDAC RDS Dataspace ActiveX (CVE-2006-0003)
2. Microsoft WebViewFolderIcon ActiveX (CVE-2006-3730)
Microsoft Snapshot Viewer ActiveX (CVE-2008-2463)
3. Internet Explorer "createControlRange" DHTML (CVE-2005-0055)
Adobe Acrobat and Reader Collab.CollectEmailInfo (CVE-2007-5659)
4. RealPlayer IERPCtl ActiveX (CVE-2007-5601)
Microsoft IE7 DHTML Object Reuse (CVE-2009-0075)
5. Apple QuickTime RSTP URL (CVE-2007-0015)
RealPlayer IERPCtl ActiveX (CVE-2007-5601)
Most Popular Exploits
Впервые в Top 5
© 2010 IBM Corporation31
Формат до декомпрессииBehind the Scenes of X-Force®
© 2010 IBM Corporation32
Формат после декомпрессии – JavaScript obfuscationBehind the Scenes of X-Force®
© 2010 IBM Corporation33
Мы обнаруживаем obfuscated attacks лучше, чем кто-либо другой
Уровень использования техники obfuscation растет.
Инструментальные средства хакеров автоматизируют применение этой техники.
Behind the Scenes of X-Force®
Blank graphic object26
© 2010 IBM Corporation34
Наибольшая активность – SQL-injection атаки на Web-приложенияBehind the Scenes of X-Force®
© 2010 IBM Corporation35
Инъекции SQL
SQL Injection attack monitored by IBM ISS Managed Security Services
Behind the Scenes of X-Force®
© 2010 IBM Corporation36
Web Application Protection защищает web-приложения от атак
SQL (Structured Query Language) Injection XSS (Cross-site scripting) PHP (Hypertext Preprocessor)
file-includes CSRF (Cross-site request forgery) Path Traversal HTTP Response Splitting Forceful Browsing Expands security capabilities to
meet both compliance requirements and threat evolution
Behind the Scenes of X-Force®
© 2010 IBM Corporation37
План
Введение и обзор Сбор информации Исследование уязвимостей Разработка контента X-Force Контроль качества X-Force Web & SPAM технологии X-Force
Behind the Scenes of X-Force®
© 2010 IBM Corporation38
Контроль качества X-ForceBehind the Scenes of X-Force®
5. Выпуск XPU с новыми событиями безопасности
4. QA новых событий безопасности
3. Разработка новых событий безопасности
2. QA отчеты по покрытию новейших угроз
1. Исследование новейших угроз
Задачи
• Максимальная защита
• Минимум настроек
• Отсутствие ложных срабатываний
• Пропуск всего легитимного трафика
Life CycleLaunchQualifyDevelop
MSS •Трафик реального мира•Контроль пропусков и ложных срабатываний•Отзывы заказчиков
Research Plan
ProdstatResearchXFDB
QA LabPatchingTesting current coverage
Develop new protection
Announce to customerTrend for reportingEducate & Enable selling teams and customers
Внутреннее сотрудничество X-Force
Исследования – Разработка – MSS – Маркетинг
✟ ✟ ✟ ✟
© 2010 IBM Corporation
X-ForceПрактика обеспечения качества
Все содержимое каждого обновления безопасности (XPU) проходит тщательное тестирование
Тестирование начинается задолго до поступления кода в департамент контроля качества
– Весь код проходит через автоматизированное регрессионное тестирование– Изменение одной любой строки кода означает тестирование с самого начала
39
Behind the Scenes of X-Force®
© 2010 IBM Corporation
Контроль качестваЗадачи
PAM Верификация реузльтатов автоматических
регрессионных тестов Ручной тест каждого декода Тест на устойчивость к техникам обхода
(evasion) Тест производительности Проверка help и readmes
40
IBM Security Network IPS
Behind the Scenes of X-Force®
Атакующий Цель
© 2010 IBM Corporation
PAMБлокирование
Новые декоды проходят тестирование на практике в течение 1 месяца, прежде чем поднимается вопрос о включении режима Block
Любой декод, который может иметь ложные срабатывания, никогда не включается в режим Block по умолчанию
Если у любого декода обнаружены ложные срабатывания, режим Block отключается, пока декод не будет исправлен и не пройдет повторное тестирование в течение 1 месяца
41
Behind the Scenes of X-Force®
© 2010 IBM Corporation
PAMПре-релизы
X-Force устанавливает устройства IBM IPS у заказчиков на основе специального соглашения
– Устройства работают в специальном режиме сбора информации на реальном трафике– Устройства собирают статистику, которая используется X-Force для поиска ложных
срабатываний и атак Заказчики MSS могут подписаться на пре-релизы PAM XPUs
– Заказчики получают пре-релиз (защиту) как минимум за 72 часа до релиза– X-Force использует полученные данные для поиска ложных срабатываний и атак
42
Behind the Scenes of X-Force®
© 2010 IBM Corporation
XPUСкорая помощь
Реагируя на экстренные случаи, мы можем выпустить внеочередной XPU Экстренные случаи включают:
– Публичное раскрытие новых критических уязвимостей– Эксплойты “нулевого дня” – 31 экстренный случай в 2009– 12 экстренных случаев к июлю 2010– Декоды для экстренных случаем установлены в Block по умолчанию, если это
допустимо
43
Behind the Scenes of X-Force®
© 2010 IBM Corporation
But its really all about security effectiveness
44
Top 61 Vulnerabilities of 2009341 Average days Ahead of the Threat
91 Median days Ahead of the Threat
35 Vulnerabilities Ahead of the Threat
57% Percentage of Top Vulnerabilities – Ahead of the Threat
9 Protection released post announcement
17 same day coverage
Behind the Scenes of X-Force®
© 2010 IBM Corporation
Эффективность защиты – Top Vulnerabilities of 1st Half 2010
Top 14 Vulnerabilities
437 Average days Ahead of the Threat
5 Vulnerabilities Ahead of the Threat
2 Protection released post announcement
7 same day coverage
© 2010 IBM Corporation
Ahead of the ThreatConficker
46
DEC 2008 JAN 2009 FEB 2009 MAR 2009
Nov 21, 2008Conficker.A discovered
Dec 29, 2008Conficker.B discovered
Feb 20, 2009Conficker.B++/C discovered
Mar 4, 2009Conficker.C/D discovered
Pre-emptive IBM ISS coverage
Network Share Propagation
SMB_Empty_Password_Failed,
SMB_Auth_Failed,
MSRPC_Pipe_SAMR,
and/or Windows_Access_Error since 2002
Conficker-specific IPS coverage
Communications Protocol
Conficker_P2P_Detected
Conficker_P2P_Protection added Mar 26, 2009
Conficker_P2P_Data_Transfer added Apr 20, 2009
Conficker_P2P_Exec_Transfer added May 12, 2009
X-Force reverse engineersConficker communications
Pre-emptive IBM ISS coverage
MS08-067 Exploitation
MSRPC_Srvsvc_Bo since Aug 8, 2006
MSRPC_Srvsvc_Path_Bo since Oct 27, 2008
Pre-emptive IBM ISS coverage
MS08-067 Exploitation
MSRPC_Srvsvc_Bo since Aug 8, 2006
MSRPC_Srvsvc_Path_Bo since Oct 27, 2008
Behind the Scenes of X-Force®
APR 2009
© 2010 IBM Corporation
Trust X-Force
“Trust X-Force”– Собственные исследования– Лучшая защита в отрасли – Мы постоянно работаем над
совершенствованием процессов контроля качества
47
Процесс выпускаX-Force XPU
Behind the Scenes of X-Force®
© 2010 IBM Corporation48
План
Введение и обзор Сбор информации Исследование уязвимостей Разработка контента X-Force Контроль качества X-Force Web & SPAM технологии X-Force
Behind the Scenes of X-Force®
© 2010 IBM Corporation
Самый большая в мире БД веб-фильтрации
Полнота– Crawlers собирают страницы и изображения по всему
Интернету круглосуточно,200 миллионов страниц ежемесячно
– Ежедневно заказчикам пересылается 150,000 изменений
Качество– Самая большая БД URL позволяет удовлетворить
практически любые требования по фильтрации при помощи 68 категорий
Количество– Самая большая в мире БД веб-фильтрации содержит
170 миллионов сайтов– Это 10 миллиардов веб-страниц и изображений
49
Behind the Scenes of X-Force®
© 2010 IBM Corporation
Базовые технологии
50
Распознавание лиц
Распознавание объектов
Цифровые отпечатки
Сравнение, обнаружение сходства
Классификация текстов
Обнаружение порнографии
Behind the Scenes of X-Force®
© 2010 IBM Corporation
Инфраструктура
51
Интернет
Глобальный ЦОД
Базы данных
Online УслугиСервер БД фильтрации
Crawling Cache Analysis
Crawling• Роботы анализируют Web
параллельно.• Они скачивают страницы и
изображения и помещают в кэш. Информация затем помещается в БД.
Анализ• Кластер серверов
анализирует страницы.• Результаты сохраняются в
БД.
Behind the Scenes of X-Force®
© 2010 IBM Corporation
БД спамаБез спама, без ложных срабатываний
Полнота– Распределенные по всему миру коллекторы спама
круглосуточно -> до 1.6 миллиона уникальных спам-писем в день
– 12 обновлений в день распространяется заказчикам Качество
– Примерно 45 миллионов текущих сигнатур спама в БД
– > 99.7+ % обнаружения спама– < 0.01 % ложных срабатываний
Количество– Многочисленные методы распознавания спама
(Байесовский фильтр, проверка URL, Мета-эвристика, FlowControl, Структутрный анализ, Обнаружение фишинга, …)
52
Behind the Scenes of X-Force®
© 2010 IBM Corporation
Обработка спама
53
Behind the Scenes of X-Force®
© 2010 IBM Corporation
Технологии анализа спама
54
Behind the Scenes of X-Force®
Эвристика
Байесовский фильтр
Анализ изображений
ZLA
Внешний «черный список»
Внутренние «черные списки»
Анализ вложений
Фильтр URL
Цифровые сигнатуры спама
12
3
4
6
5
7
8
9
© 2010 IBM Corporation55
Спасибо за Ваше времяДополнительная информация: IBM X-Force Page on IBM.com: www.ibm.com/security/x-force IBM X-Force Sales Kit on Software Group Sellers Workplace: http://w3-103.ibm.com/software/xl/portal/content?
synKey=C850820I16680T38#overview IBM X-Force Threat Reports page on IBM.com: http://www-935.ibm.com/services/us/iss/xforce/trendreports IBM X-Force Frequency X Blog: http://blogs.iss.net/index.html Service Management in Action Article on IBM X-Force Annual Trend Report: http://www-01.ibm.com/software/tivoli/
governance/action/04292010.html IBM Security Solutions Main Page on IBM.com: http://www-01.ibm.com/software/tivoli/solutions/threat-mitigation/?
tactic=featuredhome
Контакты:
Behind the Scenes of X-Force®
Name Title Telephone EmailVenkat Raghavan Director Security, Risk and Compliance Tivoli Phone: 1-512-300-6518 [email protected]
Phone: 49-561-57 0 87 15
Mobile: 49-173 541 48 05Phone: 1-404-236-3174 Mobile: 1-404-423-9618Phone: 1-404-236-2779 Mobile: 1-678-521-2312Phone: 1-404-236-2976
Mobile: 1-770-329-8581Phone: 1-404-236-3247
Mobile: 1-678-907-4654Leslie Horacek XF Threat Analysis Manager Mobile: 32-497 41 53 10 [email protected] Moore Team Lead, XF Database Phone: 1-404-236-2988 [email protected] McKelvey XF Product Marketing Phone: 1-404-236-2763 [email protected]
Jamie Licitra XF Product Manager (as of 8/1/10) [email protected]
Jason Brewer XF Engineering Manager [email protected]
Tom Cross Manager, XF Advanced Research [email protected]
Carsten Dietrich XF Product Line Manager, Content Security [email protected]
Clinton McFadden Sr. Operations Manager, XF R&D [email protected]