JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Transkrypt

1 JAK DOTRZYMAĆ KROKU HAKEROM Tomasz Zawicki, Passus

2 1. TESTY PENETRACYJNE

3 Metody przeprowadzania testów BlackBox sprawdzenie odporności na atak hakera. Zalety: realna próba odwzorowania ataku Wady: pełne informacje o systemie mogą dostarczyć więcej informacji o podatnościach i lukach WhiteBox test bezpieczeństwa bazujący na informacjach np. o architekturze systemu i kodzie źródłowym aplikacji Zalety: Efektywny sposób zapewnienia bezpieczeństwa, szczególnie w czasie tworzenia oprogramowania Wady: Duży zakres może skutkować wysoką ceną

4 Odcienie szarości GrayBox wersja pośrednia, po ustaleniu zakresu z zespołem pentesterów, opracowywany jest plan testu. Celem jest najkorzystniejsze wykorzystanie czasu i przeprowadzenie efektywnego testu. Wybór doświadczonego zespołu i ustalenie właściwego zakresu zapewnia najlepsze efekty. Ograniczenie zakresu testów wymusza tzw. poszukiwanie nisko wiszących owoców.

5 Dlaczego warto? Zasada ograniczonego zaufania kontrola własnej pracy jest subiektywna. Określenie poziomu zabezpieczeń wymaga obiektywnej oceny. Korzystanie z usług specjalistów dysponujących wiedzą przewyższającą przestępców. Umowa NDA zapewnia poufność i gwarantuje bezpieczeństwo

6 Z socjotechniką czy bez? Pentesterzy zalecają przeprowadzenie testów odtwarzających najczęstsze scenariusze ataku. Unikanie informowania o przeprowadzaniu testów Użytkownicy: 18% otworzy link w mailu phishingowym 8% kliknie w załącznik 8% wypełni formularz Kampania skierowana do 20 osób zwykle kończy się sukcesem Raport Verizon 2014r.

7 2. Automatyzowane testy penetracyjne

8 Wyniki skanerów podatności wymagają weryfikacji Skaner podatności: Narzędzie rozpoznające Wynik działania: raport dla administratorów, specjalistów IT Mogą występować False Positive (FP) Systemy do zarządzania podatnościami to: PLUS Skaner podatności Baza zasobów: serwery, stacje robocze, serwisy WEB owe Weryfikacja zgodności z regulacjami prawnymi System do koordynacji działań, stała analiza podatności

9 Wysoki stopień zagrożenia! Źródło: Raport: 25 Years of Vulnerabilities: CVSS>7 Sourcefire Vulnerability Research Team (VRTTM)

10 Narzędzie przeprowadzające zautomatyzowane testy Weryfikacja raportu skanera podatności i systemów zarządzających podatnościami Definiowanie zakres testu wg potrzeb Brak ograniczeń w ilości przeprowadzanych testów.

11 Weryfikacja podatności przy pomocy exploitów Narzędzie lub system przeprowadzający testy penetracyjne importuje wynik działania skanera podatności Wykluczone występowanie False Positive (FP) Możliwość wykonywania testu na szeroko zdefiniowanym zakresie w dowolnym czasie Możliwość testowania w dni wolne od pracy lub w godz. nocnych

12 Albert Gonzalez Atak na systemy Heartland Payment Systems r. Utrata 40 milionów numerów kart. Strata Banku Heartland 130 million USD. Exploity testowano na 20 programach antywirusowych. 1. Atak SQL Injection. 2. Uzyskanie dostępu do bazy serwer www. 4. Uzyskanie pełnej kontroli systemu. 5.Podsłuch sieci (sniffer). 6. Identyfikacja innych systemów w sieci. 7. Identyfikacja ruchu z informacjami o transakcjach kartowych. 8. Zdobycie dostępu do bazy danych z numerami kart. Obsługa serwisu www 3. Brak cennych danych. Sieć korporacyjna

13 3. Wiele wektorów ataku, wiele systemów ochrony

14 Malware, czy można się przed nim zabezpieczyć? Systemy antymaware: identyfikują komunikację C&C lokalizują fragmenty kodu złośliwego pomagają w identyfikacji poprzez sandboxing Systemy BDS pomagają w wykrywaniu ataków APT i 0-day retencja i dostęp do szczegółowych danych o ruchu umożliwiają wykorzystać informacje w celach dowodowych

15 Braki w zakresie zaawansowanych zabezpieczeń Jeśli jesteśmy celem ataków musimy mieć możliwości się bronić Monitoring z możliwościami forensic umożliwia identyfikacje zdarzeń i przeprowadzanie śledztw. Systemy chroniące przed włamaniami umożliwiają: wykrywanie próby infiltracji identyfikowanie komunikacji C&C zapobieganie wyciekowi danych identyfikowanie malware u

16 Walka z poszukiwaczami podatności Cyberprzestępcy wykorzystują znaną podatność lub bazują na nieznanej podatności 0-day Systemy, które mogą pomóc przed i w czasie ataku: Informacje z systemu zarządzania podatnościami Skanery podatności 0-day (Verisign idefence) Anty-Malware SIEM Szkolenia

17

18 Poziom bezpieczeństwa zależy od decyzji zabezpieczających Testowanie użytkowników: szkolenia i ankiety, a następnie test z wykorzystaniem socjotechnik. Monitoring zmian konfiguracji: Monitoring konfiguracji i logów Rejestracja zmian w ustawieniach firewalli Skanowanie podatności Sieci Lokalne Usługi dostępne publicznie Luki aplikacji www

19 Identyfikacja podatności i zarządzanie nimi Zapewnienie efektywnego mechanizmu wspierającego zarządzanie zmianami i proces naprawczy Działania + ReTest Przetrzymywanie informacji o istnieniu podatności Dalszy monitoring systemu

20 Podsumowanie

21 Proaktywość Aktywnie: uzyskanie wyniku pracy skanerów bezpieczeństwa nie zaczyna ani nie kończy zarządzania podatnościami. Proaktywnie: stosowanie systemu zarządzania podatnościami informacje o 0 day klasyfikacja systemów

22 Ochrona ofensywna Testy penetracyjne wspomagane oprogramowaniem: próba użycia exploitów wobec podatnych systemów wykonanie kampanii z zastosowaniem socjotechnik testowanie bezpieczeństwa webaplikacji Testy manualne: odpowiedniego typu właściwy zakres

23 Nowe rozwiązania bezpieczeństwa > Pełen monitoring logów cały ekosystem Monitoring ruchu i reguł firewalli Antymalware Systemy wykrywania: zdarzeń bezpieczeństwa i wycieku danych anomalii w sieciach lokalnych

24 Q&A Pytania i odpowiedzi