APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków. Borys Łącki

Transkrypt

1 APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków Borys Łącki

2 Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy usługi z zakresu bezpieczeństwa IT: Testy penetracyjne Audyty bezpieczeństwa Szkolenia Konsultacje Informatyka śledcza Aplikacje mobilne Borys Łącki > 10 lat - testy bezpieczeństwa Edukacja: ~ 7 lat blogowania o cyberprzestępcach Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG ( )

3 APT x 3 Advanced Persistent Threat (< 5 dni)

4 White vs. Black

5 Carbanak Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na całym świecie

6 Zmiana paradygmatu bezpieczeństwa "Fundamentally, if somebody wants to get in, they're getting in. ( ) Accept that," Michael Hayden Former director of the CIA & NSA

7 Zmiana paradygmatu bezpieczeństwa Nie CZY, a KIEDY... Praktyka!= Teoria

8 IT

9 Problemy

10 Asymetrie i motywacje

11 Motywacje

12 Studium przypadków Klienci: Branża IT Branża finansowa Branża IT ~ 40 pracowników ~ 100 pracowników > pracowników

13 Threat Dostęp do poufnych informacji IT nie wie o testach penetracyjnych 1.USB 2.Phishing + WWW + złośliwe oprogramowanie 3.Infrastruktura serwerowa

14 USB - Pendrive Zasady - wykorzystujemy urządzenia USB Pendrive - wymagana interakcja pracownika z plikami Cel Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa

15 USB - Pendrive 20 x Pendrive

16 Pendrive Złośliwe oprogramowanie Klient-Serwer (HTTP/S/ + DNS x 2) Wyświetlanie obrazu/dokumentu Sleep

17 Pendrive Pliki na Pendrive USB Zmiana ikony -> PDF Lista płac Zarząd.pdf.exe (...) Inne dokumenty ze strony WWW Różne pliki per Pendrive

18 Pendrive Wejście na teren firmy Rozmowa o pracę Sprzedaż produktu Kurier Klient (...)

19 Pendrive Ciekawostki Dywersyfikować pomieszczenia Nie spamować Primary DNS #fail

20 Podsumowanie działań Skuteczność ataku ~40% 1 osoba uruchomiła złośliwe oprogramowanie w domu :) Kilka osób zaniosło Pendrive do działu IT Trening == Dyskusja pracowników Raport per departament, a nie osoba

21 Pomysły na poprawę Edukacja USB WhiteListing Application Whitelisting (AppLocker) GPO

22 Phishing Zasady - znamy tylko nazwę firmy - każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi Cel Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych

23 Phishing Rekonesans lista pracowników Wyszukiwarki internetowe Grupy dyskusyjne LinkedIn/Goldenline Metadane z.pdf,.doc, (...)

24 Phishing Rekonesans AntiVirus DNS Maile kontrolne (sygnatury + nagłówki)

25 Phishing Rekonesans bieżące akcje Konkurs Rekrutacja pracowników Promocja Informacje biznesowe (...)

26 Phishing Zakup domen Kopia witryny firmowej Złośliwe oprogramowanie Klient-Serwer (HTTP/S/ + DNS x 2)

27 Phishing Maile z załącznikiem Faktura.pdf.exe CV Andrzej Kowalski.pdf.exe Wniosek.pdf.exe

28 Phishing Maile z odnośnikiem do strony WWW

29 Podsumowanie działań Skuteczność ataku ~40% (załącznik), ~60% (login) Pracownik przesyła załącznik do administratora IT :) WebProxy Token (DNS failover) 2 x AV

30 Pomysły na poprawę WWW, FTP, , SMTP - Proxy Application Whitelisting (AppLocker) GPO.zip+hasło,.exe,.pif,.cab,.bat,.com,.scr,.vbs DNS Blackholing IP Reputation Services

31 Infrastruktura serwerowa Zasady - znamy tylko nazwę firmy - każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi Cel Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych

32 Infrastruktura serwerowa Plan (VPS) Rekonesans Atak

33 Infrastruktura serwerowa

34 Infrastruktura serwerowa

35 Infrastruktura serwerowa

36 Infrastruktura serwerowa

37 Infrastruktura serwerowa Rekonesans uzyskujemy: Adresy IP/DNS (Aplikacje WWW)/ Technologie: - ogłoszenia o pracę - github kody źródłowe - wykorzystywany sprzęt w biurze (wifi, laptop)

38 Infrastruktura serwerowa Dane osobowe CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, ( ) Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy

39 Infrastruktura serwerowa Aktualne wersje oprogramowania Brute force haseł - #fail

40 Infrastruktura serwerowa

41 Infrastruktura serwerowa Po dwóch dniach czytania kodu i myślenia... Remote Code Execution

42 Infrastruktura serwerowa 1 RCON Administrator /rcon map e2m3 2 Shell injection 0-day

43 Infrastruktura serwerowa Konto administratora (root) Pierwszy serwer VM wyłącznie na potrzeby Quake Komunikacja pomiędzy serwerami ACL (!) Usługi sieciowe (!)

44 Infrastruktura serwerowa Błąd konfiguracyjny usługi sieciowej == Hasła Crypt MD5 SHA 2 konta (SSH)

45 Infrastruktura serwerowa Błąd konfiguracyjny usługi systemowej

46 Infrastruktura serwerowa Eskalacja uprawnień Uzyskanie dostępów do kolejnych serwerów i usług Błędne uprawnienia plików Takie same hasła dla różnych usług Brak segmentacji wewnętrznej sieci serwerowej Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2, database.pgsql.gz, (...)

47 Infrastruktura serwerowa

48 Infrastruktura serwerowa Password reuse dostęp do usług zewnętrznych

49 Podsumowanie działań Uprawnienia administratora (root) na wszystkich maszynach wirtualnych (VM) Dostęp do usług zewnętrznych Dostęp VPN Dostęp do własności intelektualnej

50 Pomysły na poprawę uwierzytelnianie 2FA, password reuse (!) hardening serwerów (zbędne zasoby, uprawnienia) okresowe testy penetracyjne szyfrowanie poufnych danych (mail/serwer) pokazaliśmy jedną z (potencjalnie wielu) ścieżek

51 Bezpieczeństwo Wczoraj Audyt IT - zgodność czy bezpieczeństwo? Analiza ryzyka IT outsourcing, insiders Testy bezpieczeństwa - aplikacji, systemów, sieci Dziś i jutro Edukacja zwiększanie świadomości Red Team kontrolowane testy penetracyjne Blue Team zarządzanie incydentami (...)

52 Blue Team vs. Red Team

53 Red Team Eksperci nastawieni na kontrolowany Atak Infekcja złośliwym oprogramowaniem Zdalne uruchomienie kodu Kradzież danych Klienta Atak sieciowy DDoS Insider Przejęcie usługi (...)

54 Red Team Rekonesans Ataki socjotechniczne Internet, Insiders Publicznie dostępne narzędzia Ataki typu 0-day, działanie w ukryciu Kradzież informacji Phishing, malware, telefon, smartphone Advanced Persistent Threat Plan, Social media, zbędne usługi, drobne informacje Szybka weryfikacja, ciągła aktualizacja Dowody i skutki ataku Miary, Time-To-Compromise, Time-To-Detect

55 Blue Team - Obrona IT SOC (Security Operations Center) CERT (Computer Emergency Response Team) CIRT (Critical Incident Response Team)

56 Blue Team Wykrywanie problemów Utwardzanie środowisk, spowalnianie atakujących SIEM, IDS, IPS, Korelacja danych, BOK Rekonfiguracja, reakcja w trakcie incydentu Zarządzanie incydentami (komunikacja) Technologia, ludzie, analiza ryzyka

57 Blue Team Informatyka śledcza Wdrażanie zmian Realna ochrona Trening i ćwiczenia pracowników Czas reakcji, zasoby Realne ataki Estimated Time To Detection/Recovery Analiza kosztów Skracanie czasu odtworzenia Miary Krytyczne aktualizacje, czas życia podatności Testowanie procesów odtworzenia Materiał dowodowy, analiza złośliwego oprogramowania Edukacja poprzez praktykę i case study Selekcja zainfekowanych klientów Indication of Compromise

58 Blue Team vs. Red Team Wspólne wnioski (baza wiedzy, zalecenia) Testy zerowej wiedzy Miary skuteczności Specjalizacja danej grupy Procesy (nie tylko technologia) Dostęp fizyczny Microsoft Enterprise Cloud Red Teaming.pdf

59 Edukacja Użytkownik, Klient Pracownicy (szczególnie spoza działu IT)

60 Edukacja - Polska 49% - zakupy online 57% - bankowość online 29% PL - obawia się nadużyć związanych z bankowością (63% EU) 57% - brak zainstalowanego oprogramowania antywirusowego 71% - otwiera maile od nieznajomych 17% - używa różnych haseł do różnych stron WWW Special Eurobarometer 423 Cyber Security February 2015

61 Edukacja

62 70% sukcesu to zasługa ludzi

63 Oprogramowanie antywirusowe?

64 70% sukcesu to zasługa ludzi 71% of compromised assets involved users and their endpoints Verizon Data Breach Investigations 91% of targeted attacks involve spear-phishing s Trend Micro According to the IBM Security Services 2014 Cyber Security Intelligence Index, 95 percent of information security incidents involve human error.

65 Testy penetracyjne - skuteczność USB 30% PHISHING 60%

66 Tradycyjne szkolenia Wiedzieć!= Zrozumieć

67 Tradycyjne szkolenia PAMIĘTAJ! Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i wielkie litery, cyfry oraz znaki specjalne.

68 Tradycyjne szkolenia Koszty Zasoby Mierzalność Częstotliwość Forma

69 Efektywne zwiększanie świadomości Koszty Online Zasoby 5 minut Mierzalność Raporty Częstotliwość Systematycznie Forma Film

70 Efektywne zwiększanie świadomości

71 Efektywne zwiększanie świadomości Kod Rabatowy: SECURE2015 Rabat - 20% Ważny do

72 Podsumowanie APT x 3 - trzy firmy, trzy wektory ataków 3:0 Edukacja zwiększanie świadomości Red Team kontrolowane testy penetracyjne Blue Team zarządzanie incydentami

73 Dziękuję za uwagę Pytania? Borys Łącki