Czy 25 milionów USD to dużo? Ile jest warte konto uprzywilejowane? Michał Siemieniuk COMTEGRA Łukasz Kajdan VERACOMP

Transkrypt

1 Czy 25 milionów USD to dużo? Ile jest warte konto uprzywilejowane? Michał Siemieniuk COMTEGRA Łukasz Kajdan VERACOMP 1

2 Agenda Anunak /Carbanak - analiza ataku Jak wyglądają hasła i dlaczego Wyzwania stojące za uwierzytelnianiem login/hasłami Zarządzanie kontami uprzywilejowanymi Architektura CyberArk Podsumowanie 2

3 Wszystkie zaawansowane ataki celują w konta uprzywilejowane 100% włamań używało skradzionych danych logowania. Server Critical Assets Konta uprzywilejowane Jedyny sposób na dostęp do danych Network Device Hakerzy, wykorzystują konta uprzywilejowane tam, gdzie jest to tylko możliwe. Konta Administratorów domeny, konta usług z uprawnieniami do domeny, kont lokalnych administratorów i uprzywilejowanych użytkowników Database 3 Mandiant, M-Trends and APT1 Report

4 4 Hasła i poziom ich skomplikowania

5 Hasła Lp. Zestaw znaków Liczba znaków zbiorze w Hasło 8 znaków Hasło 16 znaków Kombinacje Entropia Kombinacje Entropia 1. Cyfry (4 znakowy PIN) 2. Litery bez rozróżnienia na duże i małe 3. Małe i duże litery 4. Małe duże litery i cyfry 5. Małe duże litery, cyfry symble , * ,54 4* , * ,50 3* , * ,50 5* , * ,63 4* ,98 5

6 Człowiek jest słabym RNG Hasło wybierane przez człowieka Hasło losowe 94 znakowy alfabet 10 znakowy alfabet 94 Lp. Długość hasła Bez sprawdzania Metoda słownikowa Metoda słownikowa rozszerzona znakowy alfabet ,3 26, ,6 52, ,0 79, ,3 105, ,3 144, ,2 263,4 6

7 Jak zarządzać jak blokować Poziom entropii Lp. Czas blokady 90 dni 180 dni 1 rok 2 lata 5 lat 1. 1 minuta minut godzina dzień

8 8 Analiza ataku: Anunak/Carbanak

9 Anunak podsumowanie ataku Przegląd Ataku Cel ataku Atakujący Motyw Cel: Instytucje finansowe Anunak cybercrime ring Finansowy Kradzież pieniędzy z banków Rezultat >$25M do końca 2H 2014 Co się wydarzyło? Anunak przeprowadziła atak celowany na kilka banków Zdobyć dostęp do kont uprzywilejowanych Transfer pieniędzy na konta zewnętrzne Kradzież gotówki bezpośrednio z bankomatów 9

10 Tło ataku Anunak? Kto to taki? Członkowie zaczynali w Carberp cybercrime ring, kradzież bezpośrednio od klientów banków Członkowie Anunak łączą się w celu przeprowadzenia bardziej zaawansowanego i przychodowego ataku Anunak atakuje banki, nie ich klientów Odpowiedzialni za atak na kilka banków w Rosji i Europie Wschodniej Ataki zostały również przeprowadzane organizacje obsługujące płatności online i wielu detalistów 10

11 11 Mapa światowego bogactwa

12 Od czego się to wszystko zaczęło? Krok 2: Zdobyto ograniczony dostęp administratorski ( tech support) Krok 1: Phishing atak na pracownika Tech support Krok 3: Dostęp do jednego serwera 12

13 Jak doszło do eskalacji uprawnień? Krok 5: Przejęcie z serwera danych logowania administratora domeny Krok 4: Wykorzystanie możliwości dostępu do serwera Administrator domeny Krok 6: Dostęp do kontrolera domeny i uzyskanie wszystkich kont domenowych Dostęp wykorzystano do: Przejęcie kontroli na ponad 50 bankomatami Uzyskanie rejestrów z bankomatów Wypłata z bankomatów 13

14 Koniec zabawy? Krok 8: Wykradanie poświadczeń bezpieczeństwa administratorów i kont technicznych Krok 7: Przejmowanie kolejnych serwerów, zbieranie informacji o infrastrukturze banków Banking system admins Krok 9: Instalowanie back door Nawiązywanie i kontrolowanie połączeń z serwerów Upłynnianie środków: Konta bankowe E-waluty Pre-paid cards 14

15 Rola uprawnień Wykradzenie poświadczeń bezpieczeństwa Użycie haseł administratora w celu uzyskania szerokich uprawnień Wykradzenie wysoko uprzywilejowanych kont: AD Używnie poświadczeń bezpieczeństwa wykradzionych z AD do swobonej penetracji zasobów 15

16 Jak może pomóc CyberArk Włączenie i umożliwienie zarządzania kontami lokalnymi Bezpieczne przechowywanie kluczowych poświadczeń bezpieczeństwa Kontrola dostępu do kluczowych zasobów KEY TAKEAWAY Wymuszenie dostępu dla kont uprzywilejowanych w zdefiniowany sposób Wykrywanie anomalii w posługiwaniu się kontami o podwyższonych uprawnieniach If there are no domain admin credentials on a local machine, then attackers cannot hijack domain admin credentials from an infected machine. 16

17 Konta uprzywilejowane są kluczem do królestwa informatycznego Złośliwe działania wewnętrzne Wewnętrzne ataki CyberArk to proaktywna ochrona i wykrywanie 18

18 19 Czym są konta uprzywilejowane i gdzie je odnajdziemy?

19 Konta uprzywilejowane w organizacji Zewnętrzna obsługa serwisowa service providers Aplikacje Użytkownicy biznesowi Administratorzy systemów Konta uprzywilejowane Dostęp od strony Social Media Ile kont posiadasz w organizacji?? Czy masz nad nimi kontrolę?? 23

20 CyberArk DNA - Discovery & Audit Wykrywa konta uprzywilejowane Ułatwia zrozumienie skali zagrożeń Uzasadnienie biznesowe: Wskazuje słabe punkty w organizacji Pomaga w planowaniu projektu zabezpieczenia kont uprzywilejowanych 24

21 25 Podatność - Pass-the-Hash

22 Rozwiązania CyberArk Management Portal/Web Access Enterprise Password Vault Privileged Session Manager Application Identity Manager On-Demand Privileges Manager Privileged Threat Analytics Master Policy Secure Digital Vault OCHRONA WKRYWANIE REAKCJA 26

23 Zarzadzanie hasłami Bazy danych Password Vault Web Access 6 Central policy manager 5 DNS/ Active Directory 27 1.Logowanie poprzez PVWA 2.Połączenie do Vaulta z PVWA 3.Ustawienie polityki i konta dostępu 4.Przesłanie informacji do CPM 5.Zmiana haseł na systemach docelowych za pomocą CPM 6.Przesłanie nowych haseł do Vaulta 3 Vault IIS/.NET Rutery przełączniki Linux Windows

24 Dostęp do systemów docelowych Password Vault Web Access Central policy manager Bazy danych DNS/ Active Directory Vault 1.Logowanie poprzez PVWA 2.Wybranie odpowiedniego konta 3.Przycisk Connect pobranie hasła logowania z Vaulta 4.Otwarcie sesji z komputera do systemu docelowego IIS/.NET Rutery przełaczniki Linux Windows 28

25 Zarządzanie hasłami dostępu aplikacji 3 Password Vault Web Access Central policy manager 2 Bazy danych 1. Pobranie hasła z Vaulta 2. Użycie hasła do komunikacji z inna aplikacją 3. Zmiana hasła aplikacji zgodnie z polityką bezpieczeństwa Vault UserName = app Password = y7qef$1 Host = ConnectDatabase(Host, UserName, Password) UserName = GetUserName() Password = GetPassword() Host = GetHost() ConnectDatabase(Host, UserName, Password) 1 DNS/ Active Directory AIM IIS/.NET Rutery przełaczniki Linux Windows 29

26 Monitorowanie zarządzanych i niezarządzanych kont Nagrywanie video Nagrywanie oparte o tekst Audyt z komend dla sesji SQL oraz SSH Monitorowanie osobistych oraz niezarządzanych kont 30

27 PSM Universal Connector Klienci często pytają o większa liczbę wspieranych klientów Niektóre aplikacje są własnością klientów PSM Universal Connector (lub Generic Client Support) jest obecnie frameworkiem który pozwala: Łatwo tworzyć skrypt, który automatyzuje proces logowania Zintegrowane w środowisku PSM 31

28 On-Demand Privilege Manager dla Unix i Windows When Who What Where What Monitorowanie i audyt z raportem oraz tekstem Kontrola dostępu do kont uprzywilejowanych (root, oracle, Administrator ) Serwery Windows Unix /Linux Granularna kontrola uprawnień 35

29 Jak działa Privileged Threat Analytics? Kolekcja Zbiera aktywność kont uprzywilejowanych Monitorowanie Uczenie się wzorców zachowań i dostosowanie ich do działania organizacji Wykrywanie Wykrywanie aktywności niestandardowej dla kont uprzywilejowanych 37

30 Architektura rozproszona CyberArk Auditors IT IT Environment Vault (HA Cluster) Main Data Center - US Auditors/IT Auditors/IT IT Environment London DR Site IT Environment Hong Kong 38

31 Privilege Account Security Dane Bezpieczeństwo danych Aplikacje Końcówki Bezpieczeństwo aplikacji Bezpieczeństwo stacji końcowych Zarządzanie kontami Sieć Bezpieczeństwo sieci 39

32 Kluczowe korzyści Zmniejszenie ilości zagrożeń związanych z zaawansowanymi atakami Osiągnięcie i utrzymanie zaleceń polityk bezpieczeństwa Redukcja kosztów związanych z obsługą helpdesk Podniesienie wydajności pracowników Zmniejszenie ryzyka operacyjnego BEZPIECZEŃSTWO! 40

33 41 Dziękujemy

34 Layers of Security in the Digital Vault Hierarchical Encryption Vault Safes Tamper-Proof Auditability Comprehensive Monitoring Segregation of Duties Session Encryption Firewall Authentication 42

35 43 Kasperky s Analysis of the Carbanak Attack

36 45

37 Raporty branżowe W tym Leadership Compass, CyberArk jest na pozycji lidera pod każdym względem. Wynika to przede wszystkim z najlepszego rozumienia potrzeb rynkowych, innowacyjnego podejścia do ich zaspokajania oraz ciągłego doskonalenia funkcjonalnego narzędzi które posiada w ofercie