APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków
•
1 j'aime•828 vues
Security Bsides Warszawa 2015
Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (20)
En vedette
En vedette (13)
Similaire à APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków
Similaire à APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków (20)
Plus de Logicaltrust pl
Plus de Logicaltrust pl (16)
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków
- 1. APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków Borys Łącki 2015.10.10
- 2. Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy usługi z zakresu bezpieczeństwa IT: ● Testy penetracyjne ● Audyty bezpieczeństwa ● Szkolenia ● Konsultacje ● Informatyka śledcza ● Aplikacje mobilne Borys Łącki > 10 lat - testy bezpieczeństwa Edukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
- 3. APT x 3 ●Advanced ●Persistent (< 5 dni) ●Threat
- 5. Carbanak Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na całym świecie
- 7. Zmiana paradygmatu bezpieczeństwa Nie CZY, a KIEDY... Praktyka != Teoria
- 8. IT
- 9. Problemy
- 11. 2015 - Motywacje
- 12. Studium przypadków Klienci: Branża IT Branża finansowa Branża IT ~ 40 pracowników ~ 100 pracowników > 1 000 pracowników
- 13. Threat Dostęp do poufnych informacji IT nie wie o testach penetracyjnych 1.USB 2.Phishing – e-mail + WWW + złośliwe oprogramowanie 3.Infrastruktura serwerowa
- 14. USB - Pendrive Zasady - wykorzystujemy urządzenia USB Pendrive - wymagana interakcja pracownika z plikami Cel Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa
- 15. USB - Pendrive 20 x Pendrive
- 16. Pendrive ● Złośliwe oprogramowanie Klient-Serwer (HTTP/S/ + DNS x 2) Wyświetlanie obrazu/dokumentu Sleep
- 17. Pendrive ● Pliki na Pendrive USB Zmiana ikony -> PDF Lista płac – Zarząd.pdf.exe (...) Inne dokumenty ze strony WWW Różne pliki per Pendrive
- 18. Pendrive Wejście na teren firmy ● Rozmowa o pracę ● Sprzedaż produktu ● Kurier ● Klient ● (...) http://thegrid.soup.io/post/380338752/Secretary-Wanted- Must-be-Flexible
- 20. Podsumowanie działań ● Skuteczność ataku ~40% ● 1 osoba uruchomiła złośliwe oprogramowanie w domu :) ● Kilka osób zaniosło Pendrive do działu IT ● Trening == Dyskusja pracowników Raport per departament, a nie osoba
- 21. Pomysły na poprawę ● Edukacja ● USB WhiteListing ● Application Whitelisting (AppLocker) ● GPO
- 22. Phishing Zasady - znamy tylko nazwę firmy - każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi Cel Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych
- 23. Phishing Rekonesans – lista pracowników ● Wyszukiwarki internetowe ● Grupy dyskusyjne ● LinkedIn/Goldenline ● Metadane z .pdf, .doc, (...)
- 24. Phishing Rekonesans – AntiVirus ● DNS ● Maile kontrolne (sygnatury + nagłówki)
- 25. Phishing Rekonesans – bieżące akcje ● Konkurs ● Rekrutacja pracowników ● Promocja ● Informacje biznesowe ● (...)
- 26. Phishing ● Zakup domen ● Kopia witryny firmowej ● Złośliwe oprogramowanie Klient-Serwer (HTTP/S/ + DNS x 2)
- 27. Phishing Maile z załącznikiem ● Faktura.pdf.exe ● CV Andrzej Kowalski.pdf.exe ● Wniosek.pdf.exe
- 28. Phishing Maile z odnośnikiem do strony WWW
- 29. Podsumowanie działań ● Skuteczność ataku – ~40% (załącznik), ~60% (login) ● Pracownik przesyła załącznik do administratora IT :) ● WebProxy – Token (DNS failover) ● 2 x AV
- 30. Pomysły na poprawę ● WWW, FTP, E-mail, SMTP - Proxy ● Application Whitelisting (AppLocker) ● GPO ● .zip+hasło, .exe, .pif, .cab, .bat, .com, .scr, .vbs http://sanesecurity.com/foxhole-databases/ ● DNS Blackholing ● IP Reputation Services
- 31. Infrastruktura serwerowa Zasady - znamy tylko nazwę firmy - każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi Cel Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych
- 32. Infrastruktura serwerowa ● Plan (VPS) ● Rekonesans ● Atak
- 37. Infrastruktura serwerowa Rekonesans – uzyskujemy: Adresy IP/DNS (Aplikacje WWW)/E-mail Technologie: - ogłoszenia o pracę - github – kody źródłowe - wykorzystywany sprzęt w biurze (wifi, laptop)
- 38. Infrastruktura serwerowa Dane osobowe – CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, (…) Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy e-mail
- 39. Infrastruktura serwerowa ● Aktualne wersje oprogramowania ● Brute force haseł - #fail
- 41. Infrastruktura serwerowa Po dwóch dniach czytania kodu i myślenia... Remote Code Execution
- 42. Infrastruktura serwerowa 1 – RCON Administrator /rcon map e2m3 2 – Shell injection 0-day
- 43. Infrastruktura serwerowa Konto administratora (root) Pierwszy serwer VM wyłącznie na potrzeby Quake Komunikacja pomiędzy serwerami – ACL (!) Usługi sieciowe (!)
- 44. Infrastruktura serwerowa Błąd konfiguracyjny usługi sieciowej == Hasła Crypt MD5 SHA 2 konta (SSH)
- 45. Infrastruktura serwerowa Błąd konfiguracyjny usługi systemowej
- 46. Infrastruktura serwerowa Eskalacja uprawnień Uzyskanie dostępów do kolejnych serwerów i usług ● Błędne uprawnienia plików ● Takie same hasła dla różnych usług ● Brak segmentacji wewnętrznej sieci serwerowej ● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2, database.pgsql.gz, (...)
- 48. Infrastruktura serwerowa Password reuse – dostęp do usług zewnętrznych
- 49. Podsumowanie działań ● Uprawnienia administratora (root) na wszystkich maszynach wirtualnych (VM) ● Dostęp do usług zewnętrznych ● Dostęp VPN ● Dostęp do własności intelektualnej
- 50. Pomysły na poprawę ● uwierzytelnianie – 2FA, password reuse (!) ● hardening serwerów (zbędne zasoby, uprawnienia) ● okresowe testy penetracyjne ● szyfrowanie poufnych danych (mail/serwer) ● pokazaliśmy jedną z (potencjalnie wielu) ścieżek
- 51. Bezpieczeństwo Wczoraj ● Audyt IT - zgodność czy bezpieczeństwo? ● Analiza ryzyka IT – outsourcing, insiders ● Testy bezpieczeństwa - aplikacji, systemów, sieci Dziś i jutro ● Edukacja – zwiększanie świadomości ● Red Team – kontrolowane testy penetracyjne ● Blue Team – zarządzanie incydentami ● (...)
- 52. Blue Team vs. Red Team
- 53. Red Team - Atak ● Kontrolowany atak ● Rozszerzone zasady (APT, DDoS) ● Eksperci nastawieni na Atak
- 54. Red Team ● Rekonesans – Plan, Social media, zbędne usługi, drobne informacje ● Ataki socjotechniczne – Phishing, malware, telefon, smartphone ● Advanced Persistent Threat – Ataki typu 0-day, działanie w ukryciu
- 55. Red Team ● Kradzież informacji – Internet, Insiders ● Publicznie dostępne narzędzia – Szybka weryfikacja, ciągła aktualizacja ● Dowody i skutki ataku – Miary, Time-To-Compromise, Time-To-Detect
- 56. Red Team ● Infekcja złośliwym oprogramowaniem ● Zdalne uruchomienie kodu ● Kradzież danych Klienta ● Atak sieciowy DDoS ● Insider ● Przejęcie usługi ● (...)
- 57. Blue Team - Obrona ● IT ● SOC (Security Operations Center) ● CERT (Computer Emergency Response Team) ● CIRT (Critical Incident Response Team)
- 58. Blue Team ● Wykrywanie problemów – SIEM, IDS, IPS, Korelacja danych, BOK ● Utwardzanie środowisk, spowalnianie atakujących – Rekonfiguracja, reakcja w trakcie incydentu ● Zarządzanie incydentami (komunikacja) – Technologia, ludzie, analiza ryzyka
- 59. Blue Team ● Informatyka śledcza – Materiał dowodowy, analiza złośliwego oprogramowania ● Wdrażanie zmian – Krytyczne aktualizacje, czas życia podatności ● Testowanie procesów odtworzenia – Skracanie czasu odtworzenia ● Miary – Estimated Time To Detection/Recovery
- 60. Blue Team ● Analiza kosztów – Czas reakcji, zasoby ● Realne ataki – Realna ochrona ● Trening i ćwiczenia pracowników – Edukacja poprzez praktykę i case study ● Selekcja zainfekowanych klientów – Indication of Compromise
- 61. Blue Team
- 62. Blue Team vs. Red Team ● Wspólne wnioski (baza wiedzy, zalecenia) ● Testy zerowej wiedzy ● Miary skuteczności ● Specjalizacja danej grupy ● Procesy (nie tylko technologia) ● Dostęp fizyczny Microsoft Enterprise Cloud Red Teaming.pdf
- 63. Edukacja ● Użytkownik, Klient ● Pracownicy (szczególnie spoza działu IT)
- 64. Edukacja - Polska ● 49% - zakupy online ● 57% - bankowość online ● 29% PL - obawia się nadużyć związanych z bankowością (63% EU) ● 57% - brak zainstalowanego oprogramowania antywirusowego ● 71% - otwiera maile od nieznajomych ● 17% - używa różnych haseł do różnych stron WWW Special Eurobarometer 423 – Cyber Security – February 2015
- 65. Edukacja
- 66. 70% sukcesu to zasługa ludzi
- 68. 70% sukcesu to zasługa ludzi 71% of compromised assets involved users and their endpoints Verizon Data Breach Investigations 91% of targeted attacks involve spear-phishing emails Trend Micro According to the “IBM Security Services 2014 Cyber Security Intelligence Index,” 95 percent of information security incidents involve human error.
- 69. Testy penetracyjne - skuteczność USB – 30% PHISHING – 60%
- 70. Tradycyjne szkolenia Wiedzieć != Zrozumieć
- 71. Tradycyjne szkolenia PAMIĘTAJ! Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i wielkie litery, cyfry oraz znaki specjalne.
- 72. Tradycyjne szkolenia ● Koszty ● Zasoby ● Mierzalność ● Częstotliwość ● Forma
- 73. ● Koszty Online ● Zasoby 5 minut ● Mierzalność Raporty ● Częstotliwość Systematycznie ● Forma Film Efektywne zwiększanie świadomości https://securityinside.pl
- 75. Efektywne zwiększanie świadomości Zapytaj Borysa o KOD rabatowy :) https://securityinside.pl
- 76. Podsumowanie ● Edukacja – zwiększanie świadomości ● Red Team – kontrolowane testy penetracyjne ● Blue Team – zarządzanie incydentami APT x 3 - trzy firmy, trzy wektory ataków 3 : 0
- 77. Dziękuję za uwagę Pytania? Borys Łącki b.lacki@logicaltrust.net