cybercrime kill chain vs effec4veness of defense layers
play

Cybercrime Kill Chain vs. Effec4veness of Defense Layers - PowerPoint PPT Presentation

Sep 05, 2022 •181 likes •787 views

Cybercrime Kill Chain vs. Effec4veness of Defense Layers Dr. Stefan Frei & Francisco Arts @stefan_frei @franklyfranc

  1. Cybercrime ¡Kill ¡Chain ¡vs. ¡ ¡ ¡ ¡Effec4veness ¡of ¡Defense ¡Layers ¡ Dr. ¡Stefan ¡Frei ¡ ¡& ¡ ¡ Francisco ¡Artés ¡ @stefan_frei ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡@franklyfranc ¡ Trusted Advice. Measured.

  2. THE ¡FLIGHT ¡TO ¡ABU ¡DHABI ¡TOOK ¡ LONGER ¡THAN ¡TESTING ¡IPS. ¡

  3. Speaker ¡– ¡Dr. ¡Stefan ¡Frei ¡ § Professional ¡ § Research ¡Director ¡@ ¡NSS ¡Labs ¡ § Research ¡Analyst ¡Director ¡@ ¡Secunia ¡ § Senior ¡Researcher ¡& ¡Pentester ¡ ¡@ ¡ISS ¡X-­‑Force ¡ § Contact ¡ § Email: ¡sfrei@nsslabs.com ¡ § TwiKer: ¡@stefan_frei ¡

  4. Speaker ¡– ¡Mr. ¡Francisco ¡Artés ¡ § Professional ¡ § Research ¡Director ¡@ ¡NSS ¡Labs ¡ § CSO/CISO ¡ ¡ § Trace3 ¡ § Deluxe ¡Entertainment ¡ § Electronic ¡Arts ¡ § Contact ¡ § Email: ¡frank@nsslabs.com ¡ § TwiKer: ¡@franklyfranc ¡

  5. ABSTRACT ¡ Cybercriminals ¡persistently ¡challenge ¡the ¡security ¡of ¡organiza4ons ¡through ¡the ¡ rapid ¡implementa4on ¡of ¡diverse ¡aKack ¡methodologies, ¡state ¡of ¡the ¡art ¡ malware, ¡and ¡innova4ve ¡evasion ¡techniques. ¡In ¡response ¡organiza4ons ¡deploy ¡ and ¡rely ¡on ¡mul4ple ¡layers ¡of ¡diverse ¡security ¡technologies. ¡This ¡talk ¡examines ¡ the ¡aKackers' ¡kill ¡chain ¡and ¡the ¡measured ¡effec4veness ¡of ¡typical ¡defense ¡ technologies ¡such ¡as ¡Next ¡Genera4on ¡Firewalls, ¡Intrusion ¡Preven4on ¡Systems ¡ IPS, ¡An4virus/Malware ¡Detec4on, ¡and ¡browsers ¡internal ¡protec4on. ¡Empirical ¡ data ¡on ¡the ¡effec4veness ¡of ¡security ¡products ¡derived ¡from ¡NSS ¡Labs ¡harsh ¡real ¡ world ¡tes4ng ¡is ¡presented ¡together ¡with ¡a ¡live ¡demonstra4on ¡of ¡successful ¡ evasion ¡of ¡malware ¡detec4on. ¡We ¡find ¡a ¡considerable ¡gap ¡of ¡protec4on ¡levels ¡ within/and ¡across ¡different ¡security ¡product ¡groups. ¡Using ¡Maltego ¡complex ¡ correla4ons ¡between ¡undetected ¡exploits, ¡crimware ¡kits, ¡and ¡affected ¡so^ware ¡ vendor ¡and ¡products ¡are ¡demonstrated. ¡

  6. Agenda ¡ § How ¡we ¡get ¡aKacked ¡ § Layered ¡Defense ¡ § Results ¡from ¡NSS ¡Labs’ ¡tes4ng ¡ § Demonstra4on ¡of ¡Exploit ¡vs. ¡Layered ¡Defense ¡ § Conclusion ¡ ¡

  7. AKack ¡Kill ¡Chain ¡ – ¡AKacker ¡vs. ¡Defender ¡ AKackers ¡View ¡ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection Defenders ¡View ¡

  8. AKack ¡Kill ¡Chain ¡ – ¡Understanding ¡the ¡AKacker ¡ Understand ¡the ¡threat ¡and ¡the ¡ aKackers ¡mo4va4on ¡& ¡methods ¡ ⌃ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection

  9. AKack ¡Kill ¡Chain ¡ – ¡Understanding ¡Evasion ¡ Understand ¡how ¡malware ¡ bypasses ¡detec4on ¡ ⌃ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection ⌃ Assess ¡the ¡effec4veness ¡ of ¡layered ¡defenses ¡

  10. AKack ¡Kill ¡Chain ¡ – ¡If ¡preven4on ¡failed ¡ Prepare(A:ack(( Detec.on( Target( Value( Method/Tools( Evasion( Exploita.on( Extrac.on( attack detection / prevention breach detection ⌃ Detect ¡& ¡ neutralize ¡

  11. The ¡Changing ¡Threat ¡Environment ¡ Fastest ¡growing ¡ ¡ segment ¡ Mo4va4on ¡ Personal ¡ TheD ¡ ¡ Gain ¡ ¡ Author ¡ Tools ¡created ¡by ¡ of ¡ Personal ¡ experts ¡now ¡used ¡ ¡ Fame ¡ Tools ¡ by ¡less-­‑skilled ¡ Vandalism ¡ ¡ criminals, ¡ ¡ for ¡personal ¡gain ¡ Curiosity ¡ Script-­‑ ¡ Hobbyist ¡ Expert ¡ Kiddy ¡ Hacker ¡ AKackers’ ¡Exper4se ¡

  12. Malware ¡Development ¡& ¡Tools ¡ § Cybercriminals ¡developed ¡formidable ¡tools ¡ Easy ¡to ¡use ¡development ¡tools, ¡Q&A, ¡and ¡service ¡ level ¡agreements ¡just ¡as ¡in ¡every ¡mature ¡industry ¡ § Detec4on ¡Evasion ¡and ¡Resilience ¡ By ¡design, ¡malware ¡is ¡developed ¡and ¡deployed ¡with ¡ detec4on ¡evasion ¡in ¡mind ¡

  13. ¡Malware ¡Development ¡Process ¡ 1 ¡ 1. Create ¡malicious ¡tool ¡ Development ¡ 1 ¡x ¡ 2. Obfuscate ¡malware, ¡ 2 ¡ create ¡permuta4ons ¡ 10,000 ¡x ¡ Evasion ¡ 3. Test ¡against ¡detec4on ¡ 3 ¡ engines ¡ 5,000 ¡x ¡ Q ¡& ¡A ¡ 4. Deploy ¡undetected ¡samples ¡ 4 ¡ Deployment ¡

  14. ¡Underground ¡Market ¡ Malware ¡offered ¡for ¡ $249 ¡ with ¡a ¡Service ¡Level ¡ Agreement ¡and ¡ replacement ¡warranty ¡ if ¡the ¡ crea4on ¡ is ¡detected ¡by ¡ any ¡anP-­‑virus ¡within ¡9 ¡ months ¡

  15. ¡The ¡Availability ¡of ¡Malware ¡Tools ¡ Results ¡in ¡a ¡high ¡degree ¡of ¡aTack ¡automaPon ¡ from ¡systema4c ¡iden4fica4on ¡of ¡ ¡ targets ¡to ¡fully ¡automated ¡exploita4on ¡ ¡ Leads ¡to ¡an ¡increase ¡in ¡opportunisPc ¡aTacks ¡ as ¡the ¡a=acker ¡no ¡longer ¡needs ¡exper4se ¡or ¡ special ¡skills ¡ Any ¡enterprise ¡can ¡become ¡a ¡vic1m ¡of ¡a3ack: ¡ ⌃ at ¡any ¡1me, ¡for ¡any ¡reason, ¡and ¡without ¡being ¡ specifically ¡targeted. ¡

  16. Automated ¡vulnerability ¡scanners ¡ and ¡aKack ¡tools ¡cannot ¡ differen4ate ¡if ¡you ¡consider ¡ yourself ¡a ¡high-­‑risk ¡target ¡or ¡not. ¡ ¡

  17. Our ¡Response: ¡Layered ¡Security ¡ We ¡respond ¡and ¡rely ¡on ¡layered ¡security ¡ Key ¡Security ¡Technologies ¡available: ¡ § Network ¡Firewall ¡ ¡ § Next ¡Genera4on ¡Firewall ¡ § Intrusion ¡Preven4on ¡Systems ¡(IPS) ¡ § An4virus ¡/ ¡An4malware ¡ § Browser ¡Protec4on ¡ How ¡effec1ve ¡is ¡the ¡defense ¡? ¡ ⌃ ¡ How ¡do ¡we ¡know? ¡ ¡ ¡ ¡

  18. ¡Layered ¡Defense ¡-­‑ ¡Perimeter ¡ Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ server desktop laptop on premise off premise

  19. ¡Layered ¡Defense ¡– ¡Host ¡Based ¡ Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  20. ¡Layered ¡Defense ¡– ¡Direct ¡AKack ¡ direct attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  21. ¡Layered ¡Defense ¡– ¡Indirect ¡AKack ¡ direct attack indirect attack indirect attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ server desktop laptop on premise on premise off premise off premise

  22. ¡Layered ¡Defense ¡– ¡Side ¡channel ¡AKack ¡ direct attack indirect attack indirect attack Perimeter Firewall ¡ Firewall ¡ IPS ¡ IPS ¡ An4 ¡ An4 ¡ Host based Virus ¡ Virus ¡ Browser ¡ Browser ¡ URL ¡Block ¡ URL ¡Block ¡ sidechannel attack server desktop laptop on premise off premise

  23. Or ¡any ¡of ¡these: ¡

  24. We ¡are ¡doing ¡this: ¡

  25. Wizard-­‑like ¡knowledge… ¡ ¡

  26. ¡Engineering ¡Workflow ¡.. ¡ .. ¡sadly, ¡security ¡tes4ng ¡is ¡not ¡that ¡simple ¡

  27. It’s ¡more ¡like ¡this ¡-­‑ ¡

  28. ¡Where ¡does ¡the ¡data ¡come ¡from? ¡ § Mul4-­‑million ¡dollar ¡research ¡and ¡tes4ng ¡ facility ¡in ¡Aus4n, ¡Texas ¡ § Capable ¡of ¡24 ¡x ¡7 ¡tes4ng ¡ § Global ¡research ¡network ¡captures ¡Internet ¡ threats, ¡zero-­‑days ¡& ¡trends ¡live, ¡as ¡they ¡arise ¡

Recommend

Building Layers of Defense with Spring Security We have to distrust each other. It is our

Building Layers of Defense with Spring Security We have to distrust each other. It is our

Building Layers of Defense with Spring Security We have to distrust each other. It is our only defense against betrayal. Tennessee Williams About Me u Joris Kuipers ( @jkuipers) u Hands-on architect and fly-by-night Spring

709 views • 52 slides
The Cyber Kill Chain The Students of Network Security Why Do We Need It? Since the start of

The Cyber Kill Chain The Students of Network Security Why Do We Need It? Since the start of

The Cyber Kill Chain The Students of Network Security Why Do We Need It? Since the start of the internet age, vulnerabilities have been exploited by ill-meaning users. Important data in military and commercial applications were commonly

1.14k views • 34 slides
Cyber@UC; Meeting 28 Cyber Kill Chain If Youre New! Join our Slack ucyber.slack.com

Cyber@UC; Meeting 28 Cyber Kill Chain If Youre New! Join our Slack ucyber.slack.com

Cyber@UC; Meeting 28 Cyber Kill Chain If Youre New! Join our Slack ucyber.slack.com Follow us on Twitter @UCyb3r and Facebook UC.yber; University of Cincinnati OWASP Chapter Feel free to get involved with one of our committees:

430 views • 23 slides
TECHNICAL PRESENTATION PIPE CONSTRUCTION WHAT ARE THE DIFFERENT LAYERS MADE OF? Polyethylene

TECHNICAL PRESENTATION PIPE CONSTRUCTION WHAT ARE THE DIFFERENT LAYERS MADE OF? Polyethylene

TECHNICAL PRESENTATION PIPE CONSTRUCTION WHAT ARE THE DIFFERENT LAYERS MADE OF? Polyethylene Non-linked long chain carbon based polymer. Essentially a weak intermolecular chain. Lack of heat resistance allows molecules to move

564 views • 42 slides
Cyber Kill Chain Jay Chen, Ruben Ocana, Senna Alsadam, Andrew Shi Modern Security Threats

Cyber Kill Chain Jay Chen, Ruben Ocana, Senna Alsadam, Andrew Shi Modern Security Threats

Cyber Kill Chain Jay Chen, Ruben Ocana, Senna Alsadam, Andrew Shi Modern Security Threats New class of threat actors called Advanced Persistent Threat (APT) Data compromised for economic or military advancement Conventional

701 views • 32 slides
Economics of Cybercrime The Influence of Perceived Cybercrime Risk on Online Service Adoption of

Economics of Cybercrime The Influence of Perceived Cybercrime Risk on Online Service Adoption of

W ESTFLISCHE W ILHELMS -U NIVERSITT M NSTER Economics of Cybercrime The Influence of Perceived Cybercrime Risk on Online Service Adoption of European Internet Users living knowledge WWU Mnster Markus Riek, June 23, 2014 Rainer

571 views • 40 slides
Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of

Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of

Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of Computer Science and Technology, University of Cambridge, UK SecHuman 2018 GPG: 5017 A1EC 0B29 08E3 CF64 7CCD 5514 35D5 D749 33D9

479 views • 37 slides
Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of

Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of

Measuring security and cybercrime Daniel R. Thomas Cambridge Cybercrime Centre, Department of Computer Science and Technology, University of Cambridge, UK SecHuman 2018 GPG: 5017 A1EC 0B29 08E3 CF64 7CCD 5514 35D5 D749 33D9

672 views • 40 slides
Computer Systems Lecture 18 Tool Chain and DFAs CS 230 - Spring 2020 4-1 System Layers

Computer Systems Lecture 18 Tool Chain and DFAs CS 230 - Spring 2020 4-1 System Layers

CS 230 Introduction to Computers and Computer Systems Lecture 18 Tool Chain and DFAs CS 230 - Spring 2020 4-1 System Layers Python/C/Racket Code Multiprocessing and Operating Systems Build and Runtime Here now! Environments Memory

981 views • 46 slides
An Analysis of Cybercrime Activity within an Underground Gaming Forum Jack Hughes Cambridge

An Analysis of Cybercrime Activity within an Underground Gaming Forum Jack Hughes Cambridge

An Analysis of Cybercrime Activity within an Underground Gaming Forum Jack Hughes Cambridge Cybercrime Conference joh32@cam.ac.uk 11th July 2019 Background Research into the role of gaming as an entry point into cybercrime is growing

851 views • 29 slides
Cybersecurity Update Its More Than Technology People: Your First Line of Defense Incident

Cybersecurity Update Its More Than Technology People: Your First Line of Defense Incident

Cybersecurity Update Its More Than Technology People: Your First Line of Defense Incident Response Overview Types of data in your environment and why it is important. Trending threats. Minimizing risks through layers of defense:

486 views • 30 slides
STOPPING CYBERCRIME A presentation by the Financial Cybercrime Task Force of Kentucky KY Dept.

STOPPING CYBERCRIME A presentation by the Financial Cybercrime Task Force of Kentucky KY Dept.

STOPPING CYBERCRIME A presentation by the Financial Cybercrime Task Force of Kentucky KY Dept. of Financial Institutions DISCLAIMER The views expressed in this presentation are solely the presenters and are not binding upon any state

773 views • 20 slides
PD Targets for Various Infection Types: Stasis vs. 1-Log Kill vs. 2 Log Kill G.L. Drusano, M.D.

PD Targets for Various Infection Types: Stasis vs. 1-Log Kill vs. 2 Log Kill G.L. Drusano, M.D.

PD Targets for Various Infection Types: Stasis vs. 1-Log Kill vs. 2 Log Kill G.L. Drusano, M.D. Professor and Director Institute for Therapeutic Innovation University of Florida PD Targets Nosocomial Pneumonia To have insight into

238 views • 22 slides
Pace Layers The social economy ecosystem has many layers, all of which change at different

Pace Layers The social economy ecosystem has many layers, all of which change at different

Pace Layers The social economy ecosystem has many layers, all of which change at different rates, the outer layers moving faster than the inner Source: Stewart Brand, The Clock of the Long Now 1 | Confidential & Proprietary 2 |

421 views • 4 slides
The Rule of Law in Cyberspace What it means for business GERONIMO L. SY Assistant Secretary /

The Rule of Law in Cyberspace What it means for business GERONIMO L. SY Assistant Secretary /

The Rule of Law in Cyberspace What it means for business GERONIMO L. SY Assistant Secretary / Head, Office of Cybercrime Department of Justice Outline Legal Framework on Cybercrime Updates on Cybercrime Priorities How we can work

79 views • 6 slides
From behind the keyboard to behind bars: Cybercrime arrests and prosecu6ons in the UK Dr Alice

From behind the keyboard to behind bars: Cybercrime arrests and prosecu6ons in the UK Dr Alice

From behind the keyboard to behind bars: Cybercrime arrests and prosecu6ons in the UK Dr Alice Hutchings Computer Laboratory, University of Cambridge Presenta>on for the Inaugural Cybercrime Conference, 14 July 2016 Cambridge Computer

535 views • 32 slides
The not so Dark Side of the Darknet Dr. Victoria Wang (BSc; PhD) Senior Lecturer on Security and

The not so Dark Side of the Darknet Dr. Victoria Wang (BSc; PhD) Senior Lecturer on Security and

Cambridge Cybercrime Centre: Fourth Annual Cybercrime Conference The not so Dark Side of the Darknet Dr. Victoria Wang (BSc; PhD) Senior Lecturer on Security and Cybercrime Institute for Criminal Justice Studies (ICJS) University of Portsmouth

780 views • 24 slides
How Can We Collect Meaningful, Reliable Cybercrime Statistics? Thomas Holt (Michigan State)

How Can We Collect Meaningful, Reliable Cybercrime Statistics? Thomas Holt (Michigan State)

How Can We Collect Meaningful, Reliable Cybercrime Statistics? Thomas Holt (Michigan State) Tyler Moore (Tulsa) Background and Motivation Cybercrime scholars have called for better reporting mechanisms since 90s There remains no

177 views • 4 slides
Offline and Local: The Hidden Face of Cybercrime Jonathan Lusthaus & Federico Varese

Offline and Local: The Hidden Face of Cybercrime Jonathan Lusthaus & Federico Varese

Offline and Local: The Hidden Face of Cybercrime Jonathan Lusthaus & Federico Varese Jonathan Lusthaus Commonwealth Bank Fellow Director of the Human Cybercriminal Project University of Oxford Background Cybercrime is a largely

698 views • 16 slides
Introductory Training of Trainers Course on Cybercrime and Electronic Evidence for Judges,

Introductory Training of Trainers Course on Cybercrime and Electronic Evidence for Judges,

Introductory Training of Trainers Course on Cybercrime and Electronic Evidence for Judges, Magistrates and Prosecutors of the ASEAN Region Cambodian Cybercrime Legislations Case Study Hacking Facebook Account Case: A Facebook account was

207 views • 9 slides
A voice for cybercrime victims Kristin Judge CEO/President CYBERCRIMESUPPORT.ORG Guiding

A voice for cybercrime victims Kristin Judge CEO/President CYBERCRIMESUPPORT.ORG Guiding

A voice for cybercrime victims Kristin Judge CEO/President CYBERCRIMESUPPORT.ORG Guiding Principles (1) bringing a voice to and serving the victims of cybercrime; (2) ensuring victims are connected to local, state and federal law

802 views • 34 slides
CYBERCRIME 15 Leicestershire Safer Communities Strategy Board 10 th March 2020 Detective Chief

CYBERCRIME 15 Leicestershire Safer Communities Strategy Board 10 th March 2020 Detective Chief

CYBERCRIME 15 Leicestershire Safer Communities Strategy Board 10 th March 2020 Detective Chief Inspector Reme Gibson Leicestershire Police Cybercrime Strategic Lead leics.police.uk Cyber Crime - Why such a fuss? 16 - Tier 1 Government Risk -

325 views • 10 slides
STAR-CCM+ Capabilities for Aerospace & Defense Deryl Snyder, Ph.D. Application Areas (1/3)

STAR-CCM+ Capabilities for Aerospace & Defense Deryl Snyder, Ph.D. Application Areas (1/3)

STAR-CCM+ Capabilities for Aerospace & Defense Deryl Snyder, Ph.D. Application Areas (1/3) Surface Wrapping Aircraft Systems / Thermal Robust Prism Layers Management In-plane Conduction Mechanical Systems (APUs,

533 views • 16 slides
TSUNAMIS TSUNAMIS WHAT ARE THEY? WHAT ARE THEY? and and WHY DO THEY KILL SO WHY DO

TSUNAMIS TSUNAMIS WHAT ARE THEY? WHAT ARE THEY? and and WHY DO THEY KILL SO WHY DO

TSUNAMIS TSUNAMIS WHAT ARE THEY? WHAT ARE THEY? and and WHY DO THEY KILL SO WHY DO THEY KILL SO MANY PEOPLE? MANY PEOPLE? J. David Rogers J. David Rogers Department of Geological Sciences & Engineering University of

589 views • 39 slides

More recommend