APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków Borys Łącki 2015.10.14
Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy usługi z zakresu bezpieczeństwa IT: Testy penetracyjne Audyty bezpieczeństwa Szkolenia Konsultacje Informatyka śledcza Aplikacje mobilne Borys Łącki > 10 lat - testy bezpieczeństwa Edukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG ( )
APT x 3 Advanced Persistent Threat (< 5 dni)
White vs. Black
Carbanak Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na całym świecie
Zmiana paradygmatu bezpieczeństwa "Fundamentally, if somebody wants to get in, they're getting in. ( ) Accept that," Michael Hayden Former director of the CIA & NSA
Zmiana paradygmatu bezpieczeństwa Nie CZY, a KIEDY... Praktyka!= Teoria
IT
Problemy
Asymetrie i motywacje
2015 - Motywacje
Studium przypadków Klienci: Branża IT Branża finansowa Branża IT ~ 40 pracowników ~ 100 pracowników > 1 000 pracowników
Threat Dostęp do poufnych informacji IT nie wie o testach penetracyjnych 1.USB 2.Phishing e-mail + WWW + złośliwe oprogramowanie 3.Infrastruktura serwerowa
USB - Pendrive Zasady - wykorzystujemy urządzenia USB Pendrive - wymagana interakcja pracownika z plikami Cel Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa
USB - Pendrive 20 x Pendrive
Pendrive Złośliwe oprogramowanie Klient-Serwer (HTTP/S/ + DNS x 2) Wyświetlanie obrazu/dokumentu Sleep
Pendrive Pliki na Pendrive USB Zmiana ikony -> PDF Lista płac Zarząd.pdf.exe (...) Inne dokumenty ze strony WWW Różne pliki per Pendrive
Pendrive Wejście na teren firmy Rozmowa o pracę Sprzedaż produktu Kurier Klient (...) http://thegrid.soup.io/post/380338752/secretary-wantedmust-be-flexible
Pendrive Ciekawostki Dywersyfikować pomieszczenia Nie spamować Primary DNS #fail
Podsumowanie działań Skuteczność ataku ~40% 1 osoba uruchomiła złośliwe oprogramowanie w domu :) Kilka osób zaniosło Pendrive do działu IT Trening == Dyskusja pracowników Raport per departament, a nie osoba
Pomysły na poprawę Edukacja USB WhiteListing Application Whitelisting (AppLocker) GPO
Phishing Zasady - znamy tylko nazwę firmy - każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi Cel Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych
Phishing Rekonesans lista pracowników Wyszukiwarki internetowe Grupy dyskusyjne LinkedIn/Goldenline Metadane z.pdf,.doc, (...)
Phishing Rekonesans AntiVirus DNS Maile kontrolne (sygnatury + nagłówki)
Phishing Rekonesans bieżące akcje Konkurs Rekrutacja pracowników Promocja Informacje biznesowe (...)
Phishing Zakup domen Kopia witryny firmowej Złośliwe oprogramowanie Klient-Serwer (HTTP/S/ + DNS x 2)
Phishing Maile z załącznikiem Faktura.pdf.exe CV Andrzej Kowalski.pdf.exe Wniosek.pdf.exe
Phishing Maile z odnośnikiem do strony WWW
Podsumowanie działań Skuteczność ataku ~40% (załącznik), ~60% (login) Pracownik przesyła załącznik do administratora IT :) WebProxy Token (DNS failover) 2 x AV
Pomysły na poprawę WWW, FTP, E-mail, SMTP - Proxy Application Whitelisting (AppLocker) GPO.zip+hasło,.exe,.pif,.cab,.bat,.com,.scr,.vbs http://sanesecurity.com/foxhole-databases/ DNS Blackholing IP Reputation Services
Infrastruktura serwerowa Zasady - znamy tylko nazwę firmy - każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi Cel Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych
Infrastruktura serwerowa Plan (VPS) Rekonesans Atak
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowa
Infrastruktura serwerowa Rekonesans uzyskujemy: Adresy IP/DNS (Aplikacje WWW)/E-mail Technologie: - ogłoszenia o pracę - github kody źródłowe - wykorzystywany sprzęt w biurze (wifi, laptop)
Infrastruktura serwerowa Dane osobowe CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, ( ) Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy e-mail
Infrastruktura serwerowa Aktualne wersje oprogramowania Brute force haseł - #fail
Infrastruktura serwerowa
Infrastruktura serwerowa Po dwóch dniach czytania kodu i myślenia... Remote Code Execution
Infrastruktura serwerowa 1 RCON Administrator /rcon map e2m3 2 Shell injection 0-day
Infrastruktura serwerowa Konto administratora (root) Pierwszy serwer VM wyłącznie na potrzeby Quake Komunikacja pomiędzy serwerami ACL (!) Usługi sieciowe (!)
Infrastruktura serwerowa Błąd konfiguracyjny usługi sieciowej == Hasła Crypt MD5 SHA 2 konta (SSH)
Infrastruktura serwerowa Błąd konfiguracyjny usługi systemowej
Infrastruktura serwerowa Eskalacja uprawnień Uzyskanie dostępów do kolejnych serwerów i usług Błędne uprawnienia plików Takie same hasła dla różnych usług Brak segmentacji wewnętrznej sieci serwerowej Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2, database.pgsql.gz, (...)
Infrastruktura serwerowa
Infrastruktura serwerowa Password reuse dostęp do usług zewnętrznych
Podsumowanie działań Uprawnienia administratora (root) na wszystkich maszynach wirtualnych (VM) Dostęp do usług zewnętrznych Dostęp VPN Dostęp do własności intelektualnej
Pomysły na poprawę uwierzytelnianie 2FA, password reuse (!) hardening serwerów (zbędne zasoby, uprawnienia) okresowe testy penetracyjne szyfrowanie poufnych danych (mail/serwer) pokazaliśmy jedną z (potencjalnie wielu) ścieżek
Bezpieczeństwo Wczoraj Audyt IT - zgodność czy bezpieczeństwo? Analiza ryzyka IT outsourcing, insiders Testy bezpieczeństwa - aplikacji, systemów, sieci Dziś i jutro Edukacja zwiększanie świadomości Red Team kontrolowane testy penetracyjne Blue Team zarządzanie incydentami (...)
Blue Team vs. Red Team
Red Team Eksperci nastawieni na kontrolowany Atak Infekcja złośliwym oprogramowaniem Zdalne uruchomienie kodu Kradzież danych Klienta Atak sieciowy DDoS Insider Przejęcie usługi (...)
Red Team Rekonesans Ataki socjotechniczne Internet, Insiders Publicznie dostępne narzędzia Ataki typu 0-day, działanie w ukryciu Kradzież informacji Phishing, malware, telefon, smartphone Advanced Persistent Threat Plan, Social media, zbędne usługi, drobne informacje Szybka weryfikacja, ciągła aktualizacja Dowody i skutki ataku Miary, Time-To-Compromise, Time-To-Detect
Blue Team - Obrona IT SOC (Security Operations Center) CERT (Computer Emergency Response Team) CIRT (Critical Incident Response Team)
Blue Team Wykrywanie problemów Utwardzanie środowisk, spowalnianie atakujących SIEM, IDS, IPS, Korelacja danych, BOK Rekonfiguracja, reakcja w trakcie incydentu Zarządzanie incydentami (komunikacja) Technologia, ludzie, analiza ryzyka
Blue Team Informatyka śledcza Wdrażanie zmian Realna ochrona Trening i ćwiczenia pracowników Czas reakcji, zasoby Realne ataki Estimated Time To Detection/Recovery Analiza kosztów Skracanie czasu odtworzenia Miary Krytyczne aktualizacje, czas życia podatności Testowanie procesów odtworzenia Materiał dowodowy, analiza złośliwego oprogramowania Edukacja poprzez praktykę i case study Selekcja zainfekowanych klientów Indication of Compromise
Blue Team vs. Red Team Wspólne wnioski (baza wiedzy, zalecenia) Testy zerowej wiedzy Miary skuteczności Specjalizacja danej grupy Procesy (nie tylko technologia) Dostęp fizyczny Microsoft Enterprise Cloud Red Teaming.pdf
Edukacja Użytkownik, Klient Pracownicy (szczególnie spoza działu IT)
Edukacja - Polska 49% - zakupy online 57% - bankowość online 29% PL - obawia się nadużyć związanych z bankowością (63% EU) 57% - brak zainstalowanego oprogramowania antywirusowego 71% - otwiera maile od nieznajomych 17% - używa różnych haseł do różnych stron WWW Special Eurobarometer 423 Cyber Security February 2015
Edukacja
70% sukcesu to zasługa ludzi
Oprogramowanie antywirusowe?
70% sukcesu to zasługa ludzi 71% of compromised assets involved users and their endpoints Verizon Data Breach Investigations 91% of targeted attacks involve spear-phishing emails Trend Micro According to the IBM Security Services 2014 Cyber Security Intelligence Index, 95 percent of information security incidents involve human error.
Testy penetracyjne - skuteczność USB 30% PHISHING 60%
Tradycyjne szkolenia Wiedzieć!= Zrozumieć
Tradycyjne szkolenia PAMIĘTAJ! Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i wielkie litery, cyfry oraz znaki specjalne.
Tradycyjne szkolenia Koszty Zasoby Mierzalność Częstotliwość Forma
Efektywne zwiększanie świadomości Koszty Online Zasoby 5 minut Mierzalność Raporty Częstotliwość Systematycznie Forma Film https://securityinside.pl
Efektywne zwiększanie świadomości www.securityinside.pl
Efektywne zwiększanie świadomości https://securityinside.pl Kod Rabatowy: SECURE2015 Rabat - 20% Ważny do 30.11.2015
Podsumowanie APT x 3 - trzy firmy, trzy wektory ataków 3:0 Edukacja zwiększanie świadomości Red Team kontrolowane testy penetracyjne Blue Team zarządzanie incydentami
Dziękuję za uwagę Pytania? Borys Łącki b.lacki@logicaltrust.net