Testy bezpieczeństwa aplikacji WWW – dobre praktyki
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium przypadków
1. APT x 3 - trzy firmy, trzy wektory ataków,
trzy do zera.
Wybrane studium przypadków
Borys Łącki
2015.10.10
2. Naszą misją jest ochrona naszych Klientów przed realnymi stratami
finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy
usługi z zakresu bezpieczeństwa IT:
● Testy penetracyjne
● Audyty bezpieczeństwa
● Szkolenia
● Konsultacje
● Informatyka śledcza
● Aplikacje mobilne
Borys Łącki
> 10 lat - testy bezpieczeństwa
Edukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach
SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet
Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open
Source Security, PLNOG (…)
13. Threat
Dostęp do poufnych informacji
IT nie wie o testach penetracyjnych
1.USB
2.Phishing – e-mail + WWW + złośliwe
oprogramowanie
3.Infrastruktura serwerowa
14. USB - Pendrive
Zasady
- wykorzystujemy urządzenia USB Pendrive
- wymagana interakcja pracownika z plikami
Cel
Weryfikacja przestrzegania przez pracowników
zasad polityki bezpieczeństwa
17. Pendrive
● Pliki na Pendrive USB
Zmiana ikony -> PDF
Lista płac – Zarząd.pdf.exe
(...)
Inne dokumenty ze strony WWW
Różne pliki per Pendrive
18. Pendrive
Wejście na teren firmy
● Rozmowa o pracę
● Sprzedaż produktu
● Kurier
● Klient
● (...) http://thegrid.soup.io/post/380338752/Secretary-Wanted-
Must-be-Flexible
20. Podsumowanie działań
● Skuteczność ataku ~40%
● 1 osoba uruchomiła złośliwe
oprogramowanie w domu :)
● Kilka osób zaniosło Pendrive do działu IT
● Trening == Dyskusja pracowników
Raport per departament, a nie osoba
21. Pomysły na poprawę
● Edukacja
● USB WhiteListing
● Application Whitelisting (AppLocker)
● GPO
22. Phishing
Zasady
- znamy tylko nazwę firmy
- każdą wykrytą osobę potwierdzamy z osobami
decyzyjnymi
Cel
Weryfikacja poziomu świadomości pracowników
celem zwiększenia świadomości i ograniczenia
możliwych strat finansowych
23. Phishing
Rekonesans – lista pracowników
● Wyszukiwarki internetowe
● Grupy dyskusyjne
● LinkedIn/Goldenline
● Metadane z .pdf, .doc, (...)
29. Podsumowanie działań
● Skuteczność ataku – ~40% (załącznik), ~60% (login)
● Pracownik przesyła załącznik do administratora IT :)
● WebProxy – Token (DNS failover)
● 2 x AV
31. Infrastruktura serwerowa
Zasady
- znamy tylko nazwę firmy
- każdy wykryty adres IP potwierdzamy z osobami
decyzyjnymi
Cel
Wykrycie błędów bezpieczeństwa celem naprawy i
ograniczenia możliwych strat finansowych
46. Infrastruktura serwerowa
Eskalacja uprawnień
Uzyskanie dostępów do kolejnych serwerów i
usług
● Błędne uprawnienia plików
● Takie same hasła dla różnych usług
● Brak segmentacji wewnętrznej sieci serwerowej
● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,
database.pgsql.gz, (...)
49. Podsumowanie działań
● Uprawnienia administratora (root) na wszystkich
maszynach wirtualnych (VM)
● Dostęp do usług zewnętrznych
● Dostęp VPN
● Dostęp do własności intelektualnej
50. Pomysły na poprawę
● uwierzytelnianie – 2FA, password reuse (!)
● hardening serwerów (zbędne zasoby, uprawnienia)
● okresowe testy penetracyjne
● szyfrowanie poufnych danych (mail/serwer)
● pokazaliśmy jedną z (potencjalnie wielu) ścieżek
51. Bezpieczeństwo
Wczoraj
● Audyt IT - zgodność czy bezpieczeństwo?
● Analiza ryzyka IT – outsourcing, insiders
● Testy bezpieczeństwa - aplikacji, systemów, sieci
Dziś i jutro
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
● (...)
53. Red Team - Atak
● Kontrolowany atak
● Rozszerzone zasady (APT, DDoS)
● Eksperci nastawieni na Atak
54. Red Team
● Rekonesans
– Plan, Social media, zbędne usługi, drobne informacje
● Ataki socjotechniczne
– Phishing, malware, telefon, smartphone
● Advanced Persistent Threat
– Ataki typu 0-day, działanie w ukryciu
55. Red Team
● Kradzież informacji
– Internet, Insiders
● Publicznie dostępne narzędzia
– Szybka weryfikacja, ciągła aktualizacja
● Dowody i skutki ataku
– Miary, Time-To-Compromise, Time-To-Detect
56. Red Team
● Infekcja złośliwym oprogramowaniem
● Zdalne uruchomienie kodu
● Kradzież danych Klienta
● Atak sieciowy DDoS
● Insider
● Przejęcie usługi
● (...)
57. Blue Team - Obrona
● IT
● SOC
(Security Operations Center)
● CERT
(Computer Emergency Response Team)
● CIRT
(Critical Incident Response Team)
58. Blue Team
● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Utwardzanie środowisk, spowalnianie
atakujących
– Rekonfiguracja, reakcja w trakcie incydentu
● Zarządzanie incydentami (komunikacja)
– Technologia, ludzie, analiza ryzyka
59. Blue Team
● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego
oprogramowania
● Wdrażanie zmian
– Krytyczne aktualizacje, czas życia podatności
● Testowanie procesów odtworzenia
– Skracanie czasu odtworzenia
● Miary
– Estimated Time To Detection/Recovery
60. Blue Team
● Analiza kosztów
– Czas reakcji, zasoby
● Realne ataki
– Realna ochrona
● Trening i ćwiczenia pracowników
– Edukacja poprzez praktykę i case study
● Selekcja zainfekowanych klientów
– Indication of Compromise
62. Blue Team vs. Red Team
● Wspólne wnioski (baza wiedzy, zalecenia)
● Testy zerowej wiedzy
● Miary skuteczności
● Specjalizacja danej grupy
● Procesy (nie tylko technologia)
● Dostęp fizyczny
Microsoft Enterprise Cloud Red Teaming.pdf
64. Edukacja - Polska
● 49% - zakupy online
● 57% - bankowość online
● 29% PL - obawia się nadużyć związanych z bankowością
(63% EU)
● 57% - brak zainstalowanego oprogramowania
antywirusowego
● 71% - otwiera maile od nieznajomych
● 17% - używa różnych haseł do różnych stron WWW
Special Eurobarometer 423 – Cyber Security – February 2015
68. 70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their
endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services 2014 Cyber
Security Intelligence Index,” 95 percent of information
security incidents involve human error.
76. Podsumowanie
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
APT x 3 - trzy firmy, trzy wektory ataków
3 : 0