Czy 25 milionów USD to dużo? Ile jest warte konto uprzywilejowane? Michał Siemieniuk COMTEGRA Łukasz Kajdan VERACOMP

Podobne dokumenty
CyberArk Software Ltd. Konta uprzywilejowane - klucze do królestwa, których nikt nie pilnuje

NIE$TAKI$WILK$STRASZNY$JAK$GO$MALUJĄ.$ JAK$SKUTECZNIE$WDROŻYĆ$SYSTEM$PAS?

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Zdobywanie fortecy bez wyważania drzwi.

Enterprise SSO IBM Corporation

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

Quest Software, now a part of Dell

Nazwa usługi. Usługa nie obejmuje: Telefonii VOIP telefonii PSTN Stanowiska pracy nie związanego z IT (akcesoria biurowe)

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Zabezpieczanie systemu Windows Server 2016

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Wprowadzenie do Active Directory. Udostępnianie katalogów

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Narzędzia mobilne w służbie IT

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

! Retina. Wyłączny dystrybutor w Polsce

Jak efektywnie i bezpiecznie zarządzać toŝsamością uŝytkowników przy jednoczesnym ułatwieniu korzystania z systemów i aplikacji IBM Corporation

INFORMATOR TECHNICZNY WONDERWARE

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

2 Projektowanie usług domenowych w usłudze Active Directory Przed rozpoczęciem... 77

Ryzyko operacyjne w obszarze infrastruktury informatycznej - perspektywa firmy Oracle

Netwrix Auditor. Deep Dive. Jak wykryć nieprawidłowe zachowania użytkownika zanim wyciekną dane

Włącz autopilota w zabezpieczeniach IT

oprogramowania F-Secure

Krótka instrukcja instalacji

Szkolenie autoryzowane. MS Administracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Szkolenie autoryzowane. MS 6419 Konfiguracja, zarządzanie i utrzymanie systemów Windows Server 2008

Szkolenie autoryzowane. MS 6421 Konfiguracja i rozwiązywanie problemów z infrastrukturą sieci Microsoft Windows Server 2008

Microsoft Exchange Server 2013

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

INFORMATOR TECHNICZNY WONDERWARE

Insider Threat Management - czyli jak skutecznie zapobiegać zagrożeniom wewnętrznym?

Instalacja Active Directory w Windows Server 2003

Rok po RODO. Cyberbezpieczeństwo w sferze ochrony danych

SIŁA PROSTOTY. Business Suite

Bezpieczeństwo 2.0. Synchronizacja narzędzi bezpieczeństwa kluczem do skutecznej ochrony przed zagrożeniami dnia zerowego

Zalecana instalacja i konfiguracja Microsoft SQL Server 2016 Express Edition dla oprogramowania Wonderware

Sieć aktywna. Podział infrastruktury sieciowej na różne sieci wewnętrzne w zależności od potrzeb danego klienta.

Marcin Szeliga Sieć

Windows Server Serwer RADIUS

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Bezpieczna infrastruktura zależna od świadomych zagrożeń pracowników.

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Podstawy bezpieczeństwa

Kompetencje Asseco Data Systems w obszarze IT Security

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Quest Software, now a part of Dell

9:45 Powitanie. 12:30 13:00 Lunch

Metody ochrony przed zaawansowanymi cyberatakami

17-18 listopada, Warszawa

Procedury techniczne modułu Forte Kontroling. Ustawienia IIS

Rozeznanie rynku w zakresie przeprowadzenia kursu Obsługa i administracja Microsoft Windows 2008 serwer Projekt Beskidzka Akademia Samorządowa

Zespól Szkół Ponadgimnazjalnych Nr 17 im. Jana Nowaka - Jeziorańskiego Al. Politechniki 37 Windows Serwer 2003 Instalacja

Szkolenie autoryzowane. MS Instalacja i konfiguracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Palo Alto firewall nowej generacji

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Terminarz szkoleń, II półrocze, 2015 rok Microsoft

Systemy operacyjne. Tworzenie i zarządzanie kontami użytkowników

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Przełączanie i Trasowanie w Sieciach Komputerowych

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

PRAKTYK SYSTEMÓW INFORMATYCZNYCH MICROSOFT

OFFICE ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA

Projekt: Microsoft i CISCO dla Zachodniopomorskich MŚP

Wraz z wersją R2 dla systemu Windows 2008 Server nazewnictwo usług terminalowych uległa zmianie. Poniższa tabela przedstawia nową nomenklaturą:

1. Zakres modernizacji Active Directory

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Wprowadzenie do sieciowych systemów operacyjnych. Moduł 1

Doskonalenie podstaw programowych kluczem do modernizacji kształcenia zawodowego

Samba, Windows NT/2000 i relacje zaufania. Rafał Szcześniak The Samba Team. Prosze pytać w każdej chwili

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Migracja serwera Exchange 2003 do wersji Exchange 2010 poradnik

17-18 listopada, Warszawa

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami.

Axence nvision Nowe możliwości w zarządzaniu sieciami

Kalendarium szkoleo Kwiecieo - Czerwiec 2010

Strona 1 z 6. Warszawa, dnia 8 września 2010 r.

Temat: Windows XP Ustawienia kont użytkowników

Instalacja systemów operacyjnych i tworzenie domeny

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

Nowoczesne narzędzia do ochrony informacji. Paweł Nogowicz

Terminarz szkoleń, I półrocze, 2015 rok Microsoft

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Marek Pyka,PhD. Paulina Januszkiewicz

Serwery WWW. Odpowiednie operacje dla ostatniego elementu są dostępne pod prawym przyciskiem myszki

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

Przewodnik technologii ActivCard

Transkrypt:

Czy 25 milionów USD to dużo? Ile jest warte konto uprzywilejowane? Michał Siemieniuk COMTEGRA Łukasz Kajdan VERACOMP 1

Agenda Anunak /Carbanak - analiza ataku Jak wyglądają hasła i dlaczego Wyzwania stojące za uwierzytelnianiem login/hasłami Zarządzanie kontami uprzywilejowanymi Architektura CyberArk Podsumowanie 2

Wszystkie zaawansowane ataki celują w konta uprzywilejowane 100% włamań używało skradzionych danych logowania. Server Critical Assets Konta uprzywilejowane Jedyny sposób na dostęp do danych Network Device Hakerzy, wykorzystują konta uprzywilejowane tam, gdzie jest to tylko możliwe. Konta Administratorów domeny, konta usług z uprawnieniami do domeny, kont lokalnych administratorów i uprzywilejowanych użytkowników Database 3 Mandiant, M-Trends and APT1 Report

4 Hasła i poziom ich skomplikowania

Hasła Lp. Zestaw znaków Liczba znaków zbiorze w Hasło 8 znaków Hasło 16 znaków Kombinacje Entropia Kombinacje Entropia 1. Cyfry (4 znakowy PIN) 2. Litery bez rozróżnienia na duże i małe 3. Małe i duże litery 4. Małe duże litery i cyfry 5. Małe duże litery, cyfry symble 10 10000 13,28 26 2*10 11 37,54 4*10 22 75,08 52 5*10 13 45,50 3*10 27 91,27 62 2*10 14 47,50 5*10 28 95,33 95 7*10 15 52,63 4*10 31 104,98 5

Człowiek jest słabym RNG Hasło wybierane przez człowieka Hasło losowe 94 znakowy alfabet 10 znakowy alfabet 94 Lp. Długość hasła Bez sprawdzania Metoda słownikowa Metoda słownikowa rozszerzona znakowy alfabet 1. 4 10 14 16 9 13,3 26,3 2. 8 18 24 30 13 16,6 52,7 3. 12 24 28 34 17 40,0 79,0 4. 16 30 32 38 21 53,3 105,4 5. 22 38 38 44 27 73,3 144,7 6. 40 56 56 62 45 133,2 263,4 6

Jak zarządzać jak blokować Poziom entropii Lp. Czas blokady 90 dni 180 dni 1 rok 2 lata 5 lat 1. 1 minuta 33 34 35 36 37 2. 10 minut 29 30 31 32 34 3. 1 godzina 27 28 29 30 31 4. 1 dzień 22 23 24 25 26 7

8 Analiza ataku: Anunak/Carbanak

Anunak podsumowanie ataku Przegląd Ataku Cel ataku Atakujący Motyw Cel: Instytucje finansowe Anunak cybercrime ring Finansowy Kradzież pieniędzy z banków Rezultat >$25M do końca 2H 2014 Co się wydarzyło? Anunak przeprowadziła atak celowany na kilka banków Zdobyć dostęp do kont uprzywilejowanych Transfer pieniędzy na konta zewnętrzne Kradzież gotówki bezpośrednio z bankomatów 9

Tło ataku Anunak? Kto to taki? Członkowie zaczynali w Carberp cybercrime ring, kradzież bezpośrednio od klientów banków Członkowie Anunak łączą się w celu przeprowadzenia bardziej zaawansowanego i przychodowego ataku Anunak atakuje banki, nie ich klientów Odpowiedzialni za atak na kilka banków w Rosji i Europie Wschodniej Ataki zostały również przeprowadzane organizacje obsługujące płatności online i wielu detalistów 10

11 Mapa światowego bogactwa

Od czego się to wszystko zaczęło? Krok 2: Zdobyto ograniczony dostęp administratorski ( tech support) Krok 1: Phishing atak na pracownika Tech support Krok 3: Dostęp do jednego serwera 12

Jak doszło do eskalacji uprawnień? Krok 5: Przejęcie z serwera danych logowania administratora domeny Krok 4: Wykorzystanie możliwości dostępu do serwera Administrator domeny Krok 6: Dostęp do kontrolera domeny i uzyskanie wszystkich kont domenowych Dostęp wykorzystano do: Przejęcie kontroli na ponad 50 bankomatami Uzyskanie rejestrów z bankomatów Wypłata z bankomatów 13

Koniec zabawy? Krok 8: Wykradanie poświadczeń bezpieczeństwa administratorów i kont technicznych Krok 7: Przejmowanie kolejnych serwerów, zbieranie informacji o infrastrukturze banków Banking system admins Krok 9: Instalowanie back door Nawiązywanie i kontrolowanie połączeń z serwerów Upłynnianie środków: Konta bankowe E-waluty Pre-paid cards 14

Rola uprawnień 1 2 3 4 Wykradzenie poświadczeń bezpieczeństwa Użycie haseł administratora w celu uzyskania szerokich uprawnień Wykradzenie wysoko uprzywilejowanych kont: AD Używnie poświadczeń bezpieczeństwa wykradzionych z AD do swobonej penetracji zasobów 15

Jak może pomóc CyberArk Włączenie i umożliwienie zarządzania kontami lokalnymi Bezpieczne przechowywanie kluczowych poświadczeń bezpieczeństwa Kontrola dostępu do kluczowych zasobów KEY TAKEAWAY Wymuszenie dostępu dla kont uprzywilejowanych w zdefiniowany sposób Wykrywanie anomalii w posługiwaniu się kontami o podwyższonych uprawnieniach If there are no domain admin credentials on a local machine, then attackers cannot hijack domain admin credentials from an infected machine. 16

Konta uprzywilejowane są kluczem do królestwa informatycznego Złośliwe działania wewnętrzne Wewnętrzne ataki CyberArk to proaktywna ochrona i wykrywanie 18

19 Czym są konta uprzywilejowane i gdzie je odnajdziemy?

Konta uprzywilejowane w organizacji Zewnętrzna obsługa serwisowa service providers Aplikacje Użytkownicy biznesowi Administratorzy systemów Konta uprzywilejowane Dostęp od strony Social Media Ile kont posiadasz w organizacji?? Czy masz nad nimi kontrolę?? 23

CyberArk DNA - Discovery & Audit Wykrywa konta uprzywilejowane Ułatwia zrozumienie skali zagrożeń Uzasadnienie biznesowe: Wskazuje słabe punkty w organizacji Pomaga w planowaniu projektu zabezpieczenia kont uprzywilejowanych 24 http://www.cyberark.com/discoverwhere-your-privileged-accounts

25 Podatność - Pass-the-Hash

Rozwiązania CyberArk Management Portal/Web Access Enterprise Password Vault Privileged Session Manager Application Identity Manager On-Demand Privileges Manager Privileged Threat Analytics Master Policy Secure Digital Vault OCHRONA WKRYWANIE REAKCJA 26

Zarzadzanie hasłami 1 2 4 Bazy danych Password Vault Web Access 6 Central policy manager 5 DNS/ Active Directory 27 1.Logowanie poprzez PVWA 2.Połączenie do Vaulta z PVWA 3.Ustawienie polityki i konta dostępu 4.Przesłanie informacji do CPM 5.Zmiana haseł na systemach docelowych za pomocą CPM 6.Przesłanie nowych haseł do Vaulta 3 Vault IIS/.NET Rutery przełączniki Linux Windows

Dostęp do systemów docelowych 1 4 2 3 Password Vault Web Access Central policy manager Bazy danych DNS/ Active Directory Vault 1.Logowanie poprzez PVWA 2.Wybranie odpowiedniego konta 3.Przycisk Connect pobranie hasła logowania z Vaulta 4.Otwarcie sesji z komputera do systemu docelowego IIS/.NET Rutery przełaczniki Linux Windows 28

Zarządzanie hasłami dostępu aplikacji 3 Password Vault Web Access Central policy manager 2 Bazy danych 1. Pobranie hasła z Vaulta 2. Użycie hasła do komunikacji z inna aplikacją 3. Zmiana hasła aplikacji zgodnie z polityką bezpieczeństwa Vault UserName = app Password = y7qef$1 Host = 10.10.3.56 ConnectDatabase(Host, UserName, Password) UserName = GetUserName() Password = GetPassword() Host = GetHost() ConnectDatabase(Host, UserName, Password) 1 DNS/ Active Directory AIM IIS/.NET Rutery przełaczniki Linux Windows 29

Monitorowanie zarządzanych i niezarządzanych kont Nagrywanie video Nagrywanie oparte o tekst Audyt z komend dla sesji SQL oraz SSH Monitorowanie osobistych oraz niezarządzanych kont 30

PSM Universal Connector Klienci często pytają o większa liczbę wspieranych klientów Niektóre aplikacje są własnością klientów PSM Universal Connector (lub Generic Client Support) jest obecnie frameworkiem który pozwala: Łatwo tworzyć skrypt, który automatyzuje proces logowania Zintegrowane w środowisku PSM 31

On-Demand Privilege Manager dla Unix i Windows When Who What Where What Monitorowanie i audyt z raportem oraz tekstem Kontrola dostępu do kont uprzywilejowanych (root, oracle, Administrator ) Serwery Windows Unix /Linux Granularna kontrola uprawnień 35

Jak działa Privileged Threat Analytics? Kolekcja Zbiera aktywność kont uprzywilejowanych Monitorowanie Uczenie się wzorców zachowań i dostosowanie ich do działania organizacji Wykrywanie Wykrywanie aktywności niestandardowej dla kont uprzywilejowanych 37

Architektura rozproszona CyberArk Auditors IT IT Environment Vault (HA Cluster) Main Data Center - US Auditors/IT Auditors/IT IT Environment London DR Site IT Environment Hong Kong 38

Privilege Account Security Dane Bezpieczeństwo danych Aplikacje Końcówki Bezpieczeństwo aplikacji Bezpieczeństwo stacji końcowych Zarządzanie kontami Sieć Bezpieczeństwo sieci 39

Kluczowe korzyści Zmniejszenie ilości zagrożeń związanych z zaawansowanymi atakami Osiągnięcie i utrzymanie zaleceń polityk bezpieczeństwa Redukcja kosztów związanych z obsługą helpdesk Podniesienie wydajności pracowników Zmniejszenie ryzyka operacyjnego BEZPIECZEŃSTWO! 40

41 Dziękujemy

Layers of Security in the Digital Vault Hierarchical Encryption Vault Safes Tamper-Proof Auditability Comprehensive Monitoring Segregation of Duties Session Encryption Firewall Authentication 42

43 Kasperky s Analysis of the Carbanak Attack

45 http://www.scmagazineuk.com/2014-sc-awards-europewinners/article/344676/1/

Raporty branżowe W tym Leadership Compass, CyberArk jest na pozycji lidera pod każdym względem. Wynika to przede wszystkim z najlepszego rozumienia potrzeb rynkowych, innowacyjnego podejścia do ich zaspokajania oraz ciągłego doskonalenia funkcjonalnego narzędzi które posiada w ofercie. 46 46

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres