Security PWNing Conference, 2016
Uwaga: Opinie wyrażone w niniejszej prezentacji są nasze własne i nie stanowią punktu widzenia naszego pracodawcy
dorota & reenz0h Senior Red Teamers 15+ lat w IT 5+ lat w ITSec Trójmiasto 3 11/3/2016
4
Czy można włamać się przez okno vs. Czy można wykraść pieniądze? Pentest: ograniczony zakres, testy kontroli Red Teaming: pełen zakres, koncentracja na celu, określenie typu adwersarza 5
Protect Detect Respond Vulnerability Centric Skany podatności Exploit Centric Klasyczny pentest Black Box/Grey Box Threat Centric Symulacje zagrożeń 6
Działania proaktywne: Wywiad (Cyber Intelligence: Strategic/Tactical) Analiza zagrożeń (Threat Research) Ochrona danych Skany podatności i aktualizacje Edukacja użytkowników Reakcja na incydenty: CIRT Incident Handler (koordynacja) Incident Analyst (analiza powłamaniowa) 7
8
Źródło: red-6.com 9
10
Własne zespoły Czasowa rotacja pracowników między zespołami (np. 3 miesiące) Regularne spotkania Red/Blue Zespół Analizy Zagrożeń ciągła współpraca z Red Team Dzielenie się wiedzą (Uniwersytet IT) Dostęp CIRT do SimApp Kontrakt zewnętrzny Przedstaw możliwości detekcji Twoich działań Faza detekcja Dzielenie się logami Ćwiczenia hands-on po zleceniu Fire drill + Kontrakt zewnętrzny 11
Plusy dla pracownika (z doświadczenia pracownika Red Teamu) Wzbogacenie wiedzy i umiejętności Narzędzia i sygnatury Możliwości detekcji -> rekomendacje Nowe TTP Zredukowanie syndrome wypalenia Współpraca z innymi zespołami Spontaniczne dzielenie się wiedzą Zwiększenie zaufania i współpracy między zespołami 12
Plusy dla firmy Mniejsza rotacja pracowników (rotacja między zespołami odpowiedzią na wypalenie zawodowe / nowe wyzwania) Iterakcja i współpraca w czasie rzeczywistym (współpraca w czasie zlecenia) Szybkie rozróżnienie incydentów Nieformalne dyskusje, nowatorskie pomysły, brainstorming Networking Powiew świeżości inny punkt widzenia, nowe pomysły Zaufanie i współpraca między zespołami / zwiększenie wydajności i komfortu pracy 13
Wymiana informacji Dyskusja nad bieżącymi problemami Analiza (poprawy) zdolności detekcyjnych/reakcyjnych Burza mózgów 14
źródło: pathology.med.uky.edu Informacja o planowanym zleceniu Szukanie możliwości detekcji określonych zachowań 15
Szybka identyfikacja włamywacza (attribution) Priorytetyzacja alertów Nadużycia źródło: dubiousphoto.wordpress.com 16
17
Pełne raporty Szczegółowe informacje (np. kto/gdzie/jak/dlaczego) Dokładne znaczniki czasowe Zrzut linii komend (narzędzie + argumenty + wyjście) źródło: thinkingthroughchristianity.com 18
Faza mini-detect Raportowanie - sugestie dot. możliwości wykrywania określnej aktywności źródło: babylon.com 19
Analiza ryzyk Scenariusze potencjalnych ataków Ataki w kontrolowanym środowisku Wspólne logi Przygotowanie nowych sygnatur Testy na środowisku produkcyjnym źródło: businessinsider.com 20
Macierz technik powłamaniowych Dla Red i Blue! źródło: attack.mitre.org 21
Dopasowanie detekcji do realiów Zrozumienie technik adwersarzy Wiedza cross-domain Budowanie relacji pomiędzy zespołami Łowienie talentów Wzrost umiejętności źródło: bodybuilding.com 22
When Red meets Blue... nowa konferencja związana z IT Sec w Gdyni skoncentrowana wokół Blue / Red Teamingu (obrona / atak) 24-28 kwietnia 2017 Call For Papers/Call For Trainers https://www.x33fcon.com @x33fcon FB/x33fcon
Red Team najlepszy przyjaciel Blue Teamu P. Kaźmierczak, S. Kucharski: https://www.youtube.com/watch?v=otspfc6adr4 Building A Successful Internal Adversarial Simulation Team - C. Gates & C. Nickerson: https://www.youtube.com/watch?v=q5fu6avxi_a Thinking Purple C. Perez: https://www.youtube.com/watch?v=our6lrh6iuk Corporate Red Teaming to Me D. Pearson: http://www.subliminalhacking.net/2016/02/26/corporate-red-teaming-to-me/ http://redteamjournal.com https://www.sixdub.net/ 24