Upload
proidea
View
481
Download
0
Embed Size (px)
Citation preview
Borys ŁąckiLogicalTrust
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera.
Wybrane studium przypadków
Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy
usługi z zakresu bezpieczeństwa IT:
● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne
Borys Łącki> 10 lat - testy bezpieczeństwaEdukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach
SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
Carbanak
Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na
całym świecie
Studium przypadkówKlienci:
Branża IT
Branża finansowa
Branża IT
~ 40 pracowników
~ 100 pracowników
> 1 000 pracowników
ThreatDostęp do poufnych informacji
IT nie wie o testach penetracyjnych
1.USB
2.Phishing – e-mail + WWW + złośliwe oprogramowanie
3.Infrastruktura serwerowa
USB - PendriveZasady
- wykorzystujemy urządzenia USB Pendrive
- wymagana interakcja pracownika z plikami
Cel
Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa
Pendrive● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)
Wyświetlanie obrazu/dokumentu
Sleep
Pendrive● Pliki na Pendrive USB
Zmiana ikony -> PDF
Lista płac – Zarząd.pdf.exe
(...)
Inne dokumenty ze strony WWW
Różne pliki per Pendrive
PendriveWejście na teren firmy
● Rozmowa o pracę● Sprzedaż produktu● Kurier● Klient● (...)
http://thegrid.soup.io/post/380338752/Secretary-Wanted-Must-be-Flexible
Podsumowanie działań
● Skuteczność ataku ~40%● 1 osoba uruchomiła złośliwe
oprogramowanie w domu :)● Kilka osób zaniosło Pendrive do działu IT● Trening == Dyskusja pracowników
Raport per departament, a nie osoba
PhishingZasady
- znamy tylko nazwę firmy
- każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi
Cel
Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych
PhishingRekonesans – lista pracowników● Wyszukiwarki internetowe● Grupy dyskusyjne● LinkedIn/Goldenline● Metadane z .pdf, .doc, (...)
PhishingRekonesans – bieżące akcje
● Konkurs● Rekrutacja pracowników● Promocja● Informacje biznesowe● (...)
Phishing● Zakup domen● Kopia witryny firmowej● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)
Podsumowanie działań● Skuteczność ataku – ~40% (załącznik), ~60% (login)
● Pracownik przesyła załącznik do administratora IT :)
● WebProxy – Token (DNS failover)
● 2 x AV
Pomysły na poprawę
● WWW, FTP, E-mail, SMTP - Proxy
● Application Whitelisting (AppLocker)
● GPO
● .zip+hasło, .exe, .pif, .cab, .bat, .com, .scr, .vbshttp://sanesecurity.com/foxhole-databases/
● DNS Blackholing
● IP Reputation Services
Infrastruktura serwerowaZasady
- znamy tylko nazwę firmy
- każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi
Cel
Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych
Infrastruktura serwerowaRekonesans – uzyskujemy:
Adresy IP/DNS (Aplikacje WWW)/E-mail
Technologie:
- ogłoszenia o pracę
- github – kody źródłowe
- wykorzystywany sprzęt w biurze (wifi, laptop)
Infrastruktura serwerowa
Dane osobowe – CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, (…)
Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy e-mail
Infrastruktura serwerowa
Konto administratora (root)
Pierwszy serwer
VM wyłącznie na potrzeby Quake
Komunikacja pomiędzy serwerami – ACL (!)
Usługi sieciowe (!)
Infrastruktura serwerowaEskalacja uprawnień
Uzyskanie dostępów do kolejnych serwerów i usług
● Błędne uprawnienia plików● Takie same hasła dla różnych usług● Brak segmentacji wewnętrznej sieci serwerowej● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,
database.pgsql.gz, (...)
Podsumowanie działań● Uprawnienia administratora (root) na wszystkich
maszynach wirtualnych (VM)
● Dostęp do usług zewnętrznych
● Dostęp VPN
● Dostęp do własności intelektualnej
Pomysły na poprawę● uwierzytelnianie – 2FA, password reuse (!)
● hardening serwerów (zbędne zasoby, uprawnienia)
● okresowe testy penetracyjne
● szyfrowanie poufnych danych (mail/serwer)
● pokazaliśmy jedną z (potencjalnie wielu) ścieżek
BezpieczeństwoWczoraj
● Audyt IT - zgodność czy bezpieczeństwo?
● Analiza ryzyka IT – outsourcing, insiders
● Testy bezpieczeństwa - aplikacji, systemów, sieci
Dziś i jutro
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
● (...)
Edukacja - Polska● 49% - zakupy online
● 57% - bankowość online
● 29% PL - obawia się nadużyć związanych z bankowością
(63% EU)
● 57% - brak zainstalowanego oprogramowania antywirusowego
● 71% - otwiera maile od nieznajomych
● 17% - używa różnych haseł do różnych stron WWWSpecial Eurobarometer 423 – Cyber Security – February 2015
70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services 2014 Cyber Security Intelligence Index,” 95 percent of information
security incidents involve human error.
Tradycyjne szkolenia
PAMIĘTAJ!
Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i
wielkie litery, cyfry oraz znaki specjalne.
● Koszty Online● Zasoby 5 minut● Mierzalność Raporty● Częstotliwość Systematycznie● Forma Film
Efektywne zwiększanie świadomości
https://securityinside.pl
Efektywne zwiększanie świadomości
Kod Rabatowy: CONFIDENCE2015Rabat -'0x14'% Ważny do 1435708799
https://securityinside.pl
Red Team● Rekonesans
– Plan, Social media, zbędne usługi, drobne informacje
● Ataki socjotechniczne– Phishing, malware, telefon, smartphone
● Advanced Persistent Threat– Ataki typu 0-day, działanie w ukryciu
Red Team● Kradzież informacji
– Internet, Insiders
● Publicznie dostępne narzędzia– Szybka weryfikacja, ciągła aktualizacja
● Dowody i skutki ataku– Miary, Time-To-Compromise, Time-To-Detect
Red Team● Infekcja złośliwym oprogramowaniem● Zdalne uruchomienie kodu● Kradzież danych Klienta● Atak sieciowy DDoS● Insider● Przejęcie usługi● (...)
Blue Team - Obrona● IT● SOC(Security Operations Center)
● CERT (Computer Emergency Response Team)
● CIRT (Critical Incident Response Team)
Blue Team● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Utwardzanie środowisk, spowalnianie atakujących– Rekonfiguracja, reakcja w trakcie incydentu
● Zarządzanie incydentami (komunikacja)– Technologia, ludzie, analiza ryzyka
Blue Team● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego oprogramowania
● Wdrażanie zmian– Krytyczne aktualizacje, czas życia podatności
● Testowanie procesów odtworzenia– Skracanie czasu odtworzenia
● Miary– Estimated Time To Detection/Recovery
Blue Team● Analiza kosztów
– Czas reakcji, zasoby
● Realne ataki– Realna ochrona
● Trening i ćwiczenia pracowników– Edukacja poprzez praktykę i case study
● Selekcja zainfekowanych klientów– Indication of Compromise
Blue Team vs. Red Team● Wspólne wnioski (baza wiedzy, zalecenia)
● Testy zerowej wiedzy
● Miary skuteczności
● Specjalizacja danej grupy
● Procesy (nie tylko technologia)
● Dostęp fizyczny
Microsoft Enterprise Cloud Red Teaming.pdf
Podsumowanie
● Edukacja – zwiększanie świadomości● Red Team – kontrolowane testy penetracyjne● Blue Team – zarządzanie incydentami
APT x 3 - trzy firmy, trzy wektory ataków 3 : 0