Security PWNing Conference, 2016

Transkrypt

1 Security PWNing Conference, 2016

2 Uwaga: Opinie wyrażone w niniejszej prezentacji są nasze własne i nie stanowią punktu widzenia naszego pracodawcy

3 dorota & reenz0h Senior Red Teamers 15+ lat w IT 5+ lat w ITSec Trójmiasto 3 11/3/2016

4 4

5 Czy można włamać się przez okno vs. Czy można wykraść pieniądze? Pentest: ograniczony zakres, testy kontroli Red Teaming: pełen zakres, koncentracja na celu, określenie typu adwersarza 5

6 Protect Detect Respond Vulnerability Centric Skany podatności Exploit Centric Klasyczny pentest Black Box/Grey Box Threat Centric Symulacje zagrożeń 6

7 Działania proaktywne: Wywiad (Cyber Intelligence: Strategic/Tactical) Analiza zagrożeń (Threat Research) Ochrona danych Skany podatności i aktualizacje Edukacja użytkowników Reakcja na incydenty: CIRT Incident Handler (koordynacja) Incident Analyst (analiza powłamaniowa) 7

8 8

9 Źródło: red-6.com 9

10 10

11 Własne zespoły Czasowa rotacja pracowników między zespołami (np. 3 miesiące) Regularne spotkania Red/Blue Zespół Analizy Zagrożeń ciągła współpraca z Red Team Dzielenie się wiedzą (Uniwersytet IT) Dostęp CIRT do SimApp Kontrakt zewnętrzny Przedstaw możliwości detekcji Twoich działań Faza detekcja Dzielenie się logami Ćwiczenia hands-on po zleceniu Fire drill + Kontrakt zewnętrzny 11

12 Plusy dla pracownika (z doświadczenia pracownika Red Teamu) Wzbogacenie wiedzy i umiejętności Narzędzia i sygnatury Możliwości detekcji -> rekomendacje Nowe TTP Zredukowanie syndrome wypalenia Współpraca z innymi zespołami Spontaniczne dzielenie się wiedzą Zwiększenie zaufania i współpracy między zespołami 12

13 Plusy dla firmy Mniejsza rotacja pracowników (rotacja między zespołami odpowiedzią na wypalenie zawodowe / nowe wyzwania) Iterakcja i współpraca w czasie rzeczywistym (współpraca w czasie zlecenia) Szybkie rozróżnienie incydentów Nieformalne dyskusje, nowatorskie pomysły, brainstorming Networking Powiew świeżości inny punkt widzenia, nowe pomysły Zaufanie i współpraca między zespołami / zwiększenie wydajności i komfortu pracy 13

14 Wymiana informacji Dyskusja nad bieżącymi problemami Analiza (poprawy) zdolności detekcyjnych/reakcyjnych Burza mózgów 14

15 źródło: pathology.med.uky.edu Informacja o planowanym zleceniu Szukanie możliwości detekcji określonych zachowań 15

16 Szybka identyfikacja włamywacza (attribution) Priorytetyzacja alertów Nadużycia źródło: dubiousphoto.wordpress.com 16

17 17

18 Pełne raporty Szczegółowe informacje (np. kto/gdzie/jak/dlaczego) Dokładne znaczniki czasowe Zrzut linii komend (narzędzie + argumenty + wyjście) źródło: thinkingthroughchristianity.com 18

19 Faza mini-detect Raportowanie - sugestie dot. możliwości wykrywania określnej aktywności źródło: babylon.com 19

20 Analiza ryzyk Scenariusze potencjalnych ataków Ataki w kontrolowanym środowisku Wspólne logi Przygotowanie nowych sygnatur Testy na środowisku produkcyjnym źródło: businessinsider.com 20

21 Macierz technik powłamaniowych Dla Red i Blue! źródło: attack.mitre.org 21

22 Dopasowanie detekcji do realiów Zrozumienie technik adwersarzy Wiedza cross-domain Budowanie relacji pomiędzy zespołami Łowienie talentów Wzrost umiejętności źródło: bodybuilding.com 22

23 When Red meets Blue... nowa konferencja związana z IT Sec w Gdyni skoncentrowana wokół Blue / Red Teamingu (obrona / atak) kwietnia 2017 Call For Papers/Call For Trainers FB/x33fcon

24 Red Team najlepszy przyjaciel Blue Teamu P. Kaźmierczak, S. Kucharski: Building A Successful Internal Adversarial Simulation Team - C. Gates & C. Nickerson: Thinking Purple C. Perez: Corporate Red Teaming to Me D. Pearson: