zabezpečení webových portálů kritických služeb
TRANSCRIPT
![Page 1: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/1.jpg)
| ©2018 F5 NETWORKS1
Zabezpečení Webových portálů kritických služebFILIP KOLÁŘ F5 NETWORKS ČESKÁ REPULIKA [email protected]
![Page 2: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/2.jpg)
© 2018 F5 Networks
ANTI-DDoS
APP INFRASTRUCTURE
ANTI-DDoS
DNSTLS/SSL
ADVANCED WEB APPLICATION FIREWALL
Web Application Attacks
App Infrastructure Attacks
DDoS Attacks
Client-Side Attacks
ANTI-DDoS
BOT DEFENSE
CREDENTIAL PROTECTION
WEB ACCESS MANAGEMENT WAF
IDENTITYACCESS MGMT
IAM
DDoS Hybrid Defender Advanced WAF Access Management
Bezpečnostní koncept aplikační ochrany F5
2
SSL Orchestrator
![Page 3: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/3.jpg)
© F5 Networks, Inc CONFIDENTIAL 3
Zákazníci v ČR – více než 100 instalací
• Finance – Největší banky, nebankovní sektor, platební brány
• Komerční sektor – Sázkové kanceláře, “utility“, …
• Operátoři – Telco, ISP, poskytovatelé „manageovaných“ služeb
• Státní správa a podniky - Ministerstva, kraje, velké státní
podniky
![Page 4: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/4.jpg)
Váš business
Důvodem, proč lidé používají Internet
Gateway k Vašim DATŮM
CÍL
APLIKACE JSOU
![Page 5: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/5.jpg)
© 2018 F5 Networks
xxx
5
![Page 6: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/6.jpg)
Login
Affiliates
Admin
Betablock
Cart
Comments
Exchweb
SQL
PHP 58 %56 %
6 %4 %
3 %2 %2 %1 %1 %
Aplikační útoky Injection ! PHP & SQL
![Page 7: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/7.jpg)
Útoky na webové aplikace analyzuje a reportuje nezávislé združení OWASP
![Page 8: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/8.jpg)
Injection…
![Page 9: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/9.jpg)
© 2018 F5 Networks
Chráníte vaše aplikace proti zranitelnostem OWASP?
9
Aktivní útoky
Zranitelnosti
Compliance
WAF
![Page 10: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/10.jpg)
© F5 Networks, Inc 10
Web Aplikační FW...
Known Web Worms Unknown Web Worms Known Web Vulnerabilities Unknown Web Vulnerabilities Illegal Access to Web-server files Forceful Browsing File/Directory Enumerations Buffer Overflow Cross-Site Scripting SQL/OS Injection Cookie Poisoning Hidden-Field Manipulation Parameter Tampering Layer 7 DoS Attacks Brute Force Login Attacks App. Security and Acceleration Credential Stuffing Password Field obfuscation BotNet protection
✓ ✓ ✓ ✓ ✓✓✓✓✓✓✓ ✓✓ ✓ ✓ ✓ ✓ ✓ ✓
WAF
X
X
XX
XXX
Network/Next Gen Firewall
Limited
Limited
Limited
Limited
Limited
IPS
Limited
Partial
Limited
Limited
Limited
LimitedLimited
XXX
✓
X
XX
X X
Limited
Limited
Limited
Limited
XX
XXXLimited
![Page 11: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/11.jpg)
© 2018 F5 Networks
Tradiční WAF
11
Pokročilá WAF
Ochrana ”Credentials”
Ochrana proti aplikačním DoS útokům
ProaktivníBot ochrana
OWASP Top 10
Skriptování
OWASP Top 10
InspekceSSL/TLS
Skriptování
OWASP Top 10
Inspekce SSL/TLS
![Page 12: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/12.jpg)
AutomatizovanéÚtoky
![Page 13: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/13.jpg)
Rozmach BOTů?
52% Internetového provozu
je automatizováno
98.6M identifikovaných botů
http://bit.ly/2FOtjA6
POVOLENO
![Page 14: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/14.jpg)
| © F5 NETWORKS14
![Page 15: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/15.jpg)
Vzpoura BOTů!
73% Prolomení webových aplikací za pomocí
BOTů
30% are bad
ZAMÍTNUTO
98.6M identifikovaných botů
![Page 16: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/16.jpg)
Expanze zlých botnetů nastala v posledních 3 letech
Affected Devices
2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
7Bots SORA OWARI UPnPProxy OMNI RoamingMantis Wicked VPNFilter
1Bot Brickerbot
2Bots WireX
Reaper
3Bots Mirai
BigBrother Rediation
1Bot Remaiten
1BotMoon
1Bot Aidra
1Bot Hydra
3Bots Satori Fam
Amnesia Persirai
6Bots Masuta
PureMasuta Hide ‘N Seek
JenX OMG
DoubleDoor
1Bot Crash
override
1Bot GafgytFamily
2Bots Darlloz
Marcher
1Bot Psyb0t
4Bots Hajime
Trickbot IRC Telnet
Annie
CCTVDVRs
WAPsSet-Top BoxesMedia Center
Android
Wireless ChipsetsNVR Surveillance
Busybox PlatformsSmart TVs
VoIP DevicesCable Modems
ICS
74% Discoveredin last 2 years
SOHO routersiOS
IP Cameras
![Page 17: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/17.jpg)
© F5 Networks, Inc© 2018 F5 Networks 1718
Client-Side Attacks
Malware Ransomware Man-in-the-browser Session hijacking Cross-site request forgery Cross-site scripting
DDoS Attacks
SYN, UDP, and HTTP floods SSL renegotiation DNS amplification Heavy URL
App Infrastructure Attacks
Man-in-the-middle Key disclosure Eavesdropping DNS cache poisoning DNS spoofing DNS hijacking Protocol abuse Dictionary attacks
Web Application Attacks
API attacks Cross-site scripting Injection Cross-site request forgery Malware Abuse of functionality Man-in-the-middle Credential theft Credential stuffing Phishing Certificate spoofing
Červeně – útočné vektory objevené F5 Labs v
provozu botnetů
MalwareRansomware
Man-in-the-browser
Cross-site scripting
Dictionary attacks
SYN, UDP, and HTTP floods
SSL renegotiationDNS amplicationHeavy URL
API attacksCross-site scriptingInjection
MalwareCryptominig
Credential stuffingPhishing
Útočné vektory nalezené v botnetech
![Page 18: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/18.jpg)
Headless Chrome
Sentry MBA
BOTi, kteří simulují skutečného uživatele
![Page 19: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/19.jpg)
Bot Signatures+ DNS Checks
JS Challenge+ Browser
FingerprintingBrowser
Capabilities Human Detection
Optional CAPTCHA Anomalies
Provoz by se neměl dostat na server
Jak ochranu proti botům řeší F5?
![Page 20: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/20.jpg)
![Page 21: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/21.jpg)
Aplikační Denial-of-Service
![Page 22: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/22.jpg)
L7 DoS není složitá věc!
Application
SSL
DNS
Network
22Mbps
26Gbps
![Page 23: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/23.jpg)
Strojové učení
F5 learns normal traffic baselines
Mitigace útoků
F5 shuns bad traffic automatically
1 2 3 4Stress Monitoring
F5 detects abnormal application stress
Dynamické Signatury
F5 identifies bad traffic and bad actors
Přesná detekce pomocí Behaviorální Analýzy
23
![Page 24: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/24.jpg)
Krádež uživatelských přístupů
![Page 25: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/25.jpg)
![Page 26: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/26.jpg)
© 2018 F5 Networks
Jak funguje útok typu ”Credential Stuffing”
26
USERNAME Credit Card Data
USERNAME Intellectual Property
USERNAME Healthcare Data
USERNAME Passport Data
USERNAME Financial Data
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
USERNAME
![Page 27: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/27.jpg)
© 2018 F5 Networks
WAF
Man-in-the-Browser malware
Online users
Krádež credentials pomocí malwaru: jak se chránit
27
SOLUTION
App-layer encryption
PROBLEM
Malware
![Page 28: Zabezpečení Webových portálů kritických služeb](https://reader033.vdocuments.site/reader033/viewer/2022051804/6281dea455dc777fa363a808/html5/thumbnails/28.jpg)
© F5 Networks
F5 Labs Reports
28