Posts Tagged ‘IPS’

Are You Ready For The Next Generation IPS?

October 27, 2011 1 comment

Advanced Persistent Threats are changing the information security paradigm and Next Generation IPS will probably be, together with SIEM, the new weapons in the hands of information security professionals for stopping this new category of threats that are proving to be the real nightmares for CISOs in this troubled 2011.

If you have just learned what a Next Generation Firewall is, you will probably be a little disappointed in knowing that it is not the last frontier of information security (as many security firms claim), instead the growing impact and influence of APTs, which are threats acting on different layers (user, network and applications), different timeframes and different portions of the network, are redesigning the network security paradigm, requiring additional intelligence at the perimeter, and shifting the game to a context-aware model in order to grant the holistic view that is necessary to stop them.

Traditional Firewall and IPS Technologies are rapidly shifting towards the Next Generation Firewall model, which is user aware and application aware. Unfortunately a Next-Gen Firewall is not enough to stop an APT, since, although focused on the application control, a NGF remains essentially user oriented, and consequently lacks the global vision necessary to stop a persistent threats acting on different layers besides user and application. At the same time traditional network security technologies (FW and IPS) are not enough since they are anchored to the old model: a Firewall enforces access control at the protocol level, which is useless for threats carried inside legitimate traffic, instead an IPS enforces a security model based on protocols and vulnerabilities, being completely unaware (and in certain sense blind unless complex integrations are put in place) of the context in terms of user activity, and user interaction with applications, directories, etc.

Now let us suppose to make a brand new information security recipe, taking the main features of a NGF (user awareness and application awareness), the main features of a Firewall (access control) and the main features of an IPS (protocol awareness and vulnerability awareness), blend them in a virtual pot and add a little bit of reputation (for instance obtained from a globally distributed network of sensors) and other features such as geo-location, application heuristics and, last but not least, an application anomaly detection engine (which is  completely different from a traditional protocol anomaly engine). You will obtain a new information security dish: the Next Generation IPS, a new class of devices that likely represents the near future of network security.

NG-IPSs are characterized by two main features:

  • They shift the enforcement of security policies from a content-based to a context-based model (where the context is defined by the interaction of user with applications);
  • They leverage new technologies such as reputation and geo-location to provide the holistic view necessary to stop APTs.

So what do we have to expect at the perimeter? The traditional Firewall and IPS (or UTMs) will likely be replaced by NG-IPS, while specific “vertical” security devices, such as Web Application Firewall will remain in place in strategic portion of the netowork (just in front of Web Farms) to protect specifically Web (read HTTP and HTTPS) applications. As you may see from the following table a NG-IPS encompasses all the features of the “old” technologies plus new features allowed by a growing adoption of Reputation and Cloud-Based services.

Since WAF will follow a parallel and co-existing walk, meanwhile I reccomend you to read my Q&A on Next-Gen and Web Application Firewall.

Related articles

Next Generation Firewalls and Web Applications Firewall Q&A

October 7, 2011 4 comments

If I ask to an average skilled information security professional what a firewall is, I am pretty sure that he will be able to answer my question and describe with great detail concepts as packet filter, application proxy and stateful inspection.

I am afraid that the situation would be completely (and dramatically) different in case I would decide to ask him what a Next Generation Firewall (abbreviated as NGF and sometime also referred as Application Firewall) is, and most of all what a Web Application Firewall (abbreviated as WAF) is and how it is different from a traditional UTM or Firewall or also from a Next Generation Girewall.

Although NGF and WAF are becoming quite familiar for information security professionals (their presence is constantly growing in parallel with the growing skill of the average user, more and more aggressive in circumventing the traditional security bastions, and in parallel with the growing sophistication of Web threats and the consequent influence of compliance -think for instance to PCI-DSS– into the design process of a security infrastructure), the confusion reigns and, for my experience, I can state with no fear, that too many professional and end-users confuse and overlap Next Generation and Web Application Firewall.

In case of an Application (AKA Next Generation) and Web Application Firewall, a noun adjective (Web) is a little thing, but it makes a huge difference. I will try to explain why with this quick Q&A

Q: What is a next generation firewall?

A: A Next Generation Firewall (aka Application Firewall) is a security device, evolution of a stateful firewall, that is application aware, i.e. capable to recognize and block applications according to specific patterns and fingerprints peculiar of the application itself. Its security paradigm is to prevent users from bypassing the layer of defense by mean of consolidated methods such as mapping the malicious application on standard ports known to be accepted, or using anonymous proxies (such as the well known TOR). Unlike a traditional firewall, which enforces the access control by mean of the “IP Address – Port/Protocol“ paradigm, a Next Generation Firewall enforces the “user – application” paradigm: in a traditional firewall security model, policies allow or deny specific protocols for specific IP addresses, in an application firewall security model, policies allow or deny specific applications for specific users authenticated in external repositories (Active Directory, LDAP or Radius). Of course Single-Sign-On is also possible (for instance with Active Directory).

Q: What is a web application firewall?

A: A Web Application Firewall is a security device whose main task is to protect web portals and web application by inspecting the XML/SOAP semantics of the flowing traffic and also inspecting HTTP/HTTPS for typical attacks at layer 7 such as SQL Injections, Buffer Overflow, Cross Site Scripting (XSS), File Inclusion, Cookie Poisoning, Schema Poisoning, Defacements, etc. Web application firewalls also provide protection against DDoS but do not enforce access control in the traditional meaning of the term. They only protect the server farm behind them, adopting signature based or anomaly detection algorithms but, unlike a network IPS they focus on HTTP/HTTPS. They act like proxy and, because of their ability to inspect HTTPS traffic (by importing the original certificate of the target server), they may perform also other functions such as SSL offloading and server load balancing. Also important: a web application firewall do not inspect (and should not allow) other traffic than HTTP/HTTPS.

Q: What is the difference between a NGF and a WAF?

A: This is a million dollar question: a NGF is a user and application oriented firewall, a WAF is a server and HTTP/HTTP oriented security equipment (no I cannot call it a firewall). They are very different as far as their role and deployment are concerned: usually the best deployment for a NGF is to protect outgoing traffic from misuse by users; the only deployment for a WAF is in front of the target server farm to protect incoming HTTP/HTTPS traffic. Typical location for a WAF is in a dedicated DMZ and obligatorily behind a traditional traffic that should deny other traffic than HTTP/HTTPS).

Q: I want to deploy a NGF, do I need to deploy it in conjunction with a traditional firewall?

A: It depends, although the original NGFs were conceived as dedicated devices, preferably deployed in conjunction with a “traditional” stateful firewall, the current technology trend is to bring the application control features on top of stateful inspection (and UTM) functions, so definitively nearly all the security vendors are now able to provide application control as native functions or with additional licenses. On the other hand application control corresponds to a stateful inspection brought to layer 7 of the ISO/OSI Model (At this link an interesting comparison of the different implemenations).

Q: I want to deploy a WAF, do I need to deploy it in conjunction with a traditional firewall?

A: Absolutely yes. A WAF does not provide access control neither is capable to check other protocols than HTTP/HTTPS (by default not even to forward them);

Q: I have an IPS, do I need a WAF as well?

A: A traditional Network IPS scans all the traffic on the network so it cannot have the same granularity and depth for HTTP/HTTPS threats than a WAF. An optimal comparison is done in this article by SANS, which states, among the other things: where IPSs interrogate traffic against signatures and anomalies, WAFs interrogate the behavior and logic of what is requested and returned. A WAF acts as a reverse proxy (although, like an IPS, several WAF technologies may also active in passive mode), instead an IPS typically listens to traffic in transparent mode.

Q: So definitively when do I need to deploy a NGF and when do I need to deploy a WAF?

A: Deploy a NGF when you want to protect your network from misuse by users avoiding bandwith hogging and usage of insecure applications which could bring malware inside the organization. Deploy a WAF, in conjunction with traditional Firewall, IPS or UTM, when you have to protect your web applications (and partially also the back-end databases) from HTTP/HTTPS threats.

So, at the end, if you will need to enhance your security level you will not have to chooes between a WAF and NGF, but simply to decide which is the best device according to your needs. In this case the following table may be helpful!

Report Cisco 4Q 2010: Il Malware Web ha fatto il Bot(net)

February 20, 2011 Leave a comment

Dopo i turni di McAfee e Symantec è la volta di Cisco: il gigante dei router e della sicurezza perimetrale ha da poco pubblicato il proprio Cisco 4Q10 Global Threat Report che riflette i trend della sicurezza su scala globale da ottobre a dicembre 2010.

Il report Cisco si differenzia leggermente dai documenti precedentemente citati poiché proviene da un produttore di sicurezza focalizzato su soluzioni di rete, e si basa inoltre su dati di traffico raccolti dalla propria rete di sensori di Intrusion Prevention (IPS), di dispositivi di sicurezza IronPort per la posta e per il traffico Web, dai propri servizi di gestione remota Remote Management Services (RMS), ed infine dai porpri servizi di sicurezza basati sul Cloud ScanSafe.

Picco di Malware in Ottobre

Gli utenti Enterprise in media hanno registrato, nel periodo in esame, 135 impatti di nuovo malware al mese, con un picco di 250 eventi al mese in ottobre, mese che ha visto anche il più elevato numero di host intercettati ospitanti web malware  che si è attestato a 16.905. In totale nel periodo sono stati rilevati 38.811 eventi web risultanti, in totale, a 127.622 URL.

Il traffico correlato ai motori di ricerca si è attestato a circa l’8% del web malware con la maggior percentuale, pari al 3.84%, proeveniente da Google, in notevole calo rispetto al 7% della stessaa tipologia di traffico rilevata nel terzo quarto. Il traffico di tipo webmail si è invece attestato all’1%.

Il malware Gumblar (caratterizzato del redirigere le ricerche) ha compromesso in media il 2% delle ricerche nel periodo Q4 2010,  anche in questo caso in netto calo rispetto al picco del 17% raggiunto a maggio 2010.

Per quanto concerne gli exploit applicativi, Java l’ha fatta da padrone: la creatura di SUN Oracle ha sbaragliato la concorrenza, posizionandosi al 6.5%, una percentuale quasi quattro volte maggiore rispetto alle vulnerabilità inerenti i file PDF.

I settori verticali più a rischio sono risultati essere il Farmaceutico, Il Chimico, e il settore dell’energia (gas and oil), probabilmente per quest’ultimo ha contribuito anche il malware Night Dragon.

Attività delle BotNET

Le analisi rese possibili dai dati raccolti mediante i sensori IPS e i servizi gestiti hanno consentito di tracciare le attività delle botnet nel periodo preso in esame. I dati hanno evidenziato un leggero aumento del traffico generato dalle Botnet, soprattutto per quanto riguarda Rustock, la rete di macchine compromesse più diffusa, che ha avuto un picco notevole al termine dell’anno.

Per quanto riguarda le signature di attacco maggiormente rilevate, al primo posto spiccano le “Iniezioni SQL” (Generic SQL Injection), a conferma del fatto, indicato da molti produttori, che nel 2011 le vulnerabilità tradizionali verrano utilizzate in modo più strutturato per scopi più ampi (furto di informazioni, hactivisim, etc.).

Interessante notare che ancora nel 2011 sono stati rilevati residuati virali quali Conficker, MyDoom e Slammer. Per contro, a detta del produttore di San Francisco, i virus di tipo più vecchio quali infezioni dei settori di boot e file DOS, sarebbero in via di estinzione (ironia della sorte era appena uscito il report ed è stata rilevata una nuova infezione informatica diretta al Master Boot Record che ha sollevato una certa attenzione nell’ambiente).

Interessante anche l’impatto degli eventi mondiali sulla qualità e quantità del traffico: la rete di sensori Cisco ha difatti rilevato un picco di traffico peer-to-peer (in particolare BitTorrent) nell’ultima parte dell’anno coincidente, temporalmente, con la rivelazione dei “segreti” di Wikilieaks che ha portato gli utenti, viste le misure di arginamento tentate dalle autorità statunitensi, a ricercare vie parallele per avere mano ai documenti.

Meno Spam per tutti!

I produttori di sicurezza raramente vanno d’accordo tra loro, tuttavia, nel caso dello Spam, le indicazioni del gigante di San Jose sono in sostanziale accordo con quelle di McAfee. Il quarto trimestre del 2010 ha registrato un calo considerevole delle mail indesiderate, verosimilmente imputabile alle operazioni di pulizia su vasta scala compiute all’inizio dell’anno passato nei confronti delle grndi botnet: Lethic, Waledac, Mariposa e Zeus; e più avanti nel corso del medesimo anno nei confronti di Pushdo, Bredolab e Koobface.

Il 2011 Secondo Arbor Networks? Me Lo Tolgo DDoS…

February 8, 2011 3 comments

Arbor Networks, il principale produttore di sensori anti-DDoS, oramai da qualche anno tiene sotto controllo, con l’aiuto dei principali operatori, la madre di tutte le reti al fine di studiare l’andamento degli attacchi DDoS ed i relativi trend di diffusione.

Dal lontano 2005 Arbor Networks pubblica annualmente il Worldwide Infrastructure Security Report che riassume i dati raccolti nei 12 mesi che spaziano da ottobre 2009 a settembre 2010, e consente di capire cosa è accaduto dal punto di vista della sicurezza infrastrutturale nel corso dell’anno appena passato, permettendo nel contempo di gettare le basi per tracciare l’evoluzione dei grandi attacchi geografici nel corso del 2011.

Naturalmente il 2010, uno degli anni più “prolifici” per quanto riguarda gli eventi di sicurezza, non ha fatto mancare le sorprese nemmeno per gli attacchi DDoS. I risultati, sintesi di un questionario di 113 domande posto a 111 operatori appartenenti a Stati Uniti, Canada, America Centro-Meridionale, EMEA, Africa e Asia sono riassunti nei punti sottostanti:

Alcuni Dati Preliminari

Il 68% degli intervistati ha indicato che gli attacchi DDoS verso i propri clienti sono stati una minaccia significativa nei 12 mesi oggetto della survey. Il 61% degli intervistati ha anche identificato corresponsabilità nelle configurazioni errate o nei malfunzionamenti degli apparati. Come si nota in questa poco invidiabile classifica anche le Botnet (e gli effetti collaterali derivanti) occupano posizioni di tutto rispetto.

Per quanto riguarda gli attacchi a livello applicativo ai primi posti si classificano HTTP, DNS e SMTP seguiti da SIP/VoIP e HTTPS. All’interno di “Other” ricadono protocolli quali SSH, FTP, Telnet, RDP, SQL, IRC, etc.

Mentre le maggiori preoccupazioni di sicurezza hanno coinvolto attacchi verso i clienti, attacchi verso i servizi accessori degli operatori, attacchi verso gli apparati di rete, botnet e nuove vulnerabilità. Interessanti soprattutto quest’ultime poiché rilevate , in questo caso, da un produttore di sicurezza infrastrutturale analogamente a quanto fatto da alcuni produttori di sicurezza dell’endpoint.

Andando ad Analizzare i risultati della survey nel suo complesso, ecco i punti di maggior interesse:

Lascia e Raddoppia.

Nel corso del 2010 il volume degli attacchi DDoS è drammaticamente aumentato.. Il respiro lasciato agli amministratori di rete negli anni 2008 e 2009 è stato illusorio e quest’anno per la prima volta è stata superata la barriera dei 100 Gbps in un singolo attacco. Questo volume di fuoco è praticamente raddoppiato rispetto all’analogo evento rilevato nel corso del 2009 (aumento del 102%) ed è addirittura aumentato di un fattore 10 (corrispondente ad un iperbolico 1000%) rispetto al 2005, anno di rilevazione della prima survey

Gli attaccanti si “applicano” sempre di più

I data Center e gli operatori mobili e wireless hanno registrato un incremento del livello di sofisticazione e impatto operativo degli attacchi in quanto gli attaccanti si sono rivolti, nel corso del 2010, con maggiore insistenza verso attacchi DDoS al livello applicativo verso i propri servizi o quelli dei propri clienti.

La disponibilità è sempre più cara

Secondo l’analisi di Arbor Networks, gli operatori di infrastrutture mobili e wireless hanno dovuto sudare le proverbiali sette camicie nel 2010 per mantenere la disponibilità dei servizi. Questo si deve alla scarsa visibilità che gli stessi hanno relativamente al traffico che transita dentro le proprie infrastrutture di rete. Nel corso dell’analisi dei possibili proto-botnet di androidi ho ribadito la necessità di un nuovo modello di sicurezza per gli operatori mobili (una botnet all’interno di una rete mobile sarebbe estremamente difficile da identificare e bloccare), questa evidenza di Arbor Networks tende senza dubbio verso questa direzione, con l’ulteriore aggravante che il produttore afferma, forse provocatoriamente, che, seppur con qualche eccezione, molti operatori mobili o wireless hanno un modello di sicurezza confrontabile a quello che gli operatori fissi avevano 8/10 anni orsono.

Quando si parla di DDoS i muri di fuoco fanno acqua da tutte le parti…

… E gli IPS non sono da meno.  Se (a detta del produttore) gli operatori mobili, i Data Center e gli operatori VoIP stanno adottando un modello di sicurezza obsoleto, parte della responsabilità si deve all’adozione di tecnologie del decennio scorso quali firewall di tipo stateful e sistemi IPS (Intrusion Prevention) che abbassano il livello di sicurezza e rendono la rete più suscettibile ad attacchi DDoS. A mio avviso questa osservazione un po’ forzata. Capisco che un DDoS da 100 Gbps si può mitigare solamente redirigendo il traffico, ma quanti sono i DDoS a 100 Gbps?  Un firewall ben configurato (e qui sta il difficile) è in grado di mitigare la maggior parte dei DDoS da comuni mortali. A parte questa distinzione  non ho potuto fare a meno di notare la sottigliezza nel passaggio sottostante:

In light of the growth in application-layer DDoS attacks, such devices (Firewall e IPS ndr) frequently lower the overall security postures of operators by acting as stateful DDoS chokepoints—rendering networks more susceptible to both deliberate and inadvertent DDoS attacks.

In cui lo stateful chokepoint (ovvero punto di blocco) richiama molto da vicino lo stateful Checkpoint (ovvero il produttore di firewall israeliano inventore della tecnologia di Stateful Inspection).

Gli Attacchi DDoS sono una cosa seria

I media hanno riportato, nel corso del 2010 numerosi esempi di attacchi di DDoS motivati da dispute politiche o ideologiche, il più famoso dei quali ha sicuramente interessato l’arcinota questione di Wikileaks. Il livello e la diffusione di questa tipologia di attacchi è cresciuta talmente che oramai sono diventati un problema per i livelli esecutivi di un’Organizzazione (e fonte di servizi per le aziende di sicurezza). Che siano diventati una cosa seria lo dimostra anche il recente attacco effettuato al sito del Governo Italiano da parte del Gruppo Anonymous.

Il DNS, questo sconosciuto (per la sicurezza)

Purtroppo la scarsa attenzione prestata da molti provider ai problemi di sicurezza del DNS, ha fatto si che il servizio di risoluzione dei nomi, fondamentale per le usuali operazioni di navigazione e di accesso a qualsiasi servizio, sia diventato suo malgrado protagonista degli attacchi DDoS, che consentono, con relativa facilità, di buttare giù un servizio e renderlo indisponibile in maniera relativamente semplice. La conseguenza è che, nel corso del 2010, il servizio DNS è stato protagonista vittima di numerosi attacchi di tipo DNS Reflection o DNS Amplification.

IPv6 Sicurezzav4

L’analisi ha dimostrato una crescente preoccupazione degli operatori che sono passati a IPv6 nell’applicare le stesse precauzioni e misure di sicurezza adottate per il controllo dell’IPv4. Le preoccupazioni sono anche aumentate dalla necessità di inserire dispositivi per la compatibilità dei due protocolli.

Mancanza Cronica di Team di Gestione Organizzati

Uno dei motivi di maggiore rischio nella gestione degli incidenti (e nella conseguente dilatazione relativistica dei tempi di mitigazione degli stessi) è rappresentato dalla mancanza cronica di risorse con le necessarie competenze, da organizzazioni che adottano processi a compartimenti stagni (o a silo come li definiscono gli anglosassoni) e dalla mancanza di responsabilità e policy chiare e definite. Questo punto evidenza, come il contrasto agli eventi DDoS non sia una questione meramente tecnologica ma passa attraverso l’adozione di ben definite procedure di gestione degli incidenti.

La Legge Non è Uguale Per Tutti

A causa della scarsa fiducia nelle istituzioni competenti che dovrebbero investigare gli incidenti di sicurezza e perseguire gli autori (e anche a causa della mancanza di risorse specializzate), diversi operatori preferiscono non denunciare gli incidenti, soprattutto in contesti in cui dovrebbero passare attraverso molteplici giurisdizioni.

Infrastrutture Critiche (di nome ma non di fatto)

Sebbene molti operatori vedano di buon occhio la formazione di Cyber-eserciti nazionali (o sarebbe meglio dire Computer Emergency Response Team Nazionali), durante la survey hanno manifestato scarsa fiducia nelle misure adottate dai governi per proteggere le infrastrutture critiche, misure che ritengono non adeguate al livello di esposizione delle stesse.

Concludendo… Concludendo…

Il DDoS non abbandonerà questi lidi nemmeno nel corso del 2011, ed è  anzi destinato a incrementare i suoi effetti nefasti. Ponendo l’attenzione su un punto specifico, è evidente che la nuova frontiera degli attacchi DDoS diventeranno purtroppo gli operatori mobili, sia come destinazione che (presumibilmente) come sorgenti. Da un lato dal report si evince che le loro infrastrutture non sono all’altezza dei livelli di sicurezza richiesti, dall’altro le minacce (e quindi le botnet) si stanno spostando sempre di più verso gli endpoint mobili. In questo contesto le preoccupazioni ed i grattacapi per gli operatori dovrebbero essere duplici: da un lato le proprie reti potrebbero essere sorgenti di attacchi DDoS (difficilmente tracciabili se è vero, come indicato dal report, che una delle difficoltà per gli operatori mobili e wireless consiste proprio nel controllo del traffico originato dalle loro infrastrutture), dall’altro i dispositivi compromessi potrebbero essere vittime di Data Leackage (ovvero furto di informazioni).


Get every new post delivered to your Inbox.

Join 3,710 other followers