APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków. Borys Łącki LogicalTrust



Podobne dokumenty
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków. Borys Łącki

z testów penetracyjnych

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Agenda. Quo vadis, security? Artur Maj, Prevenity

Metody ochrony przed zaawansowanymi cyberatakami

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Advanced Persistent Threat

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Bezpieczeństwo danych w sieciach elektroenergetycznych

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Windows Serwer 2008 R2. Moduł x. IIS

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

ANALITYK BEZPIECZEŃSTWA IT

SOC/NOC Efektywne zarządzanie organizacją

Drobne błędy w portalach WWW

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

Kompetencje Asseco Data Systems w obszarze IT Security

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Cyber Threat Intelligence (CTI) nowy trend w dziedzinie cyberbezpieczeństwa

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Marek Pyka,PhD. Paulina Januszkiewicz

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

epolska XX lat później Daniel Grabski Paweł Walczak

n6: otwarta wymiana danych

Malware przegląd zagrożeń i środków zaradczych

Zagadnienia główne: Typy zagrożeń w sieci Ataki typu APT advanced persistent threat Wirusy, konie trojańskie, robaki Sposoby obrony

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Polityka Bezpieczeństwa ochrony danych osobowych

Kompleksowe zarządzanie bezpieczeństwem w Twojej firmie usługi SOC Exatel. Exatel Security Day 21 czerwca 2016 r.

Bezpieczna infrastruktura zależna od świadomych zagrożeń pracowników.

GDPR wdrożenie krok po kroku. Jakub Manikowski Presales Engineer

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Analiza malware Remote Administration Tool (RAT) DarkComet

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Podstawy bezpieczeństwa

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Zdobywanie fortecy bez wyważania drzwi.

Metody zabezpieczania transmisji w sieci Ethernet

POLITYKA E-BEZPIECZEŃSTWA

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

LANDINGI.COM. Case Study. Klient Landingi.com. Branża IT, marketing i PR. Okres realizacji od grudnia 2013 do chwili obecnej.

Szczegółowy opis przedmiotu zamówienia:

Innowacja Technologii ICT vs Człowiek

Łowienie w morzu pakietów czyli jak ukrywają się serwery Comand and Control. Ireneusz Tarnowski czerwca 2017, WROCŁAW

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Agenda. Rys historyczny Mobilne systemy operacyjne

Portal Security - ModSec Enterprise

ArcaVir 2008 System Protection

Agent ds. cyberprzestępczości

Wykrywanie i odpieranie ataków socjotechnicznych oraz cybernetycznych - jak zaatakować napastnika? Grzegorz Wróbel

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

AGENT DS. CYBERPRZESTĘPCZOŚCI. Partner studiów:

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Ochrona biznesu w cyfrowej transformacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Operator telco na pierwszej linii ognia. Obywatele, biznes a cyberbezpieczeństwo

Bezpieczeństwo IT w środowisku uczelni

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Sieci bezprzewodowe WiFi

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

G DATA Client Security Business

Security PWNing Conference, 2016

Axence nvision dla biznesu

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

System Kancelaris. Zdalny dostęp do danych

Czy zarządzać bezpieczeństwem IT w urzędzie?

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Rozwój zagrożeń i ich mitygacja. Seweryn Jodłowski Senior Systems Engineer, CISSP, CNSE

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

ZDALNA IDENTYFIKACJA I TRANSAKCJE ELEKTRONICZNE - KIERUNKI ZMIAN W KLUCZOWYCH PROCESACH CYFROWEJ BANKOWOŚCI. Warszawa,

Pełna specyfikacja usługi Kreator WWW

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

C)IHE - Certified Incident Handling Engineer

G DATA Endpoint Protection Business

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Instrukcja konfiguracji funkcji skanowania

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Transkrypt:

APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków Borys Łącki LogicalTrust

Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy usługi z zakresu bezpieczeństwa IT: Testy penetracyjne Audyty bezpieczeństwa Szkolenia Konsultacje Informatyka śledcza Aplikacje mobilne Borys Łącki > 10 lat - testy bezpieczeństwa Edukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG ( )

APT x 3 Advanced Persistent Threat (< 5 dni)

White vs. Black

Carbanak Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na całym świecie

Zmiana paradygmatu bezpieczeństwa

Zmiana paradygmatu bezpieczeństwa Nie CZY, a KIEDY... Praktyka!= Teoria

IT

Problemy

Asymetrie i motywacje

2015 - Motywacje

Studium przypadków Klienci: Branża IT Branża finansowa Branża IT ~ 40 pracowników ~ 100 pracowników > 1 000 pracowników

Threat Dostęp do poufnych informacji IT nie wie o testach penetracyjnych 1.USB 2.Phishing e-mail + WWW + złośliwe oprogramowanie 3.Infrastruktura serwerowa

USB - Pendrive Zasady - wykorzystujemy urządzenia USB Pendrive - wymagana interakcja pracownika z plikami Cel Weryfikacja przestrzegania przez pracowników zasad polityki bezpieczeństwa

USB - Pendrive 20 x Pendrive

Pendrive Złośliwe oprogramowanie Klient-Serwer (HTTP/S/ + DNS x 2) Wyświetlanie obrazu/dokumentu Sleep

Pendrive Pliki na Pendrive USB Zmiana ikony -> PDF Lista płac Zarząd.pdf.exe (...) Inne dokumenty ze strony WWW Różne pliki per Pendrive

Pendrive Wejście na teren firmy Rozmowa o pracę Sprzedaż produktu Kurier Klient (...) http://thegrid.soup.io/post/380338752/secretary-wantedmust-be-flexible

Pendrive Ciekawostki Dywersyfikować pomieszczenia Nie spamować Primary DNS #fail

Podsumowanie działań Skuteczność ataku ~40% 1 osoba uruchomiła złośliwe oprogramowanie w domu :) Kilka osób zaniosło Pendrive do działu IT Trening == Dyskusja pracowników Raport per departament, a nie osoba

Pomysły na poprawę Edukacja USB WhiteListing Application Whitelisting (AppLocker) GPO

Phishing Zasady - znamy tylko nazwę firmy - każdą wykrytą osobę potwierdzamy z osobami decyzyjnymi Cel Weryfikacja poziomu świadomości pracowników celem zwiększenia świadomości i ograniczenia możliwych strat finansowych

Phishing Rekonesans lista pracowników Wyszukiwarki internetowe Grupy dyskusyjne LinkedIn/Goldenline Metadane z.pdf,.doc, (...)

Phishing Rekonesans AntiVirus DNS Maile kontrolne (sygnatury + nagłówki)

Phishing Rekonesans bieżące akcje Konkurs Rekrutacja pracowników Promocja Informacje biznesowe (...)

Phishing Zakup domen Kopia witryny firmowej Złośliwe oprogramowanie Klient-Serwer (HTTP/S/ + DNS x 2)

Phishing Maile z załącznikiem Faktura.pdf.exe CV Andrzej Kowalski.pdf.exe Wniosek.pdf.exe

Phishing Maile z odnośnikiem do strony WWW

Podsumowanie działań Skuteczność ataku ~40% (załącznik), ~60% (login) Pracownik przesyła załącznik do administratora IT :) WebProxy Token (DNS failover) 2 x AV

Pomysły na poprawę WWW, FTP, E-mail, SMTP - Proxy Application Whitelisting (AppLocker) GPO.zip+hasło,.exe,.pif,.cab,.bat,.com,.scr,.vbs http://sanesecurity.com/foxhole-databases/ DNS Blackholing IP Reputation Services

Infrastruktura serwerowa Zasady - znamy tylko nazwę firmy - każdy wykryty adres IP potwierdzamy z osobami decyzyjnymi Cel Wykrycie błędów bezpieczeństwa celem naprawy i ograniczenia możliwych strat finansowych

Infrastruktura serwerowa Plan (VPS) Rekonesans Atak

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowa

Infrastruktura serwerowa Rekonesans uzyskujemy: Adresy IP/DNS (Aplikacje WWW)/E-mail Technologie: - ogłoszenia o pracę - github kody źródłowe - wykorzystywany sprzęt w biurze (wifi, laptop)

Infrastruktura serwerowa Dane osobowe CEDIG, StackOverflow, LinkedIn, GoldenLine, Fora internetowe, Twitter, Facebook, Instagram, ( ) Adresy domowe, numery rejestracyjne aut, zdjęcia aut, zdjęcia pracowników, telefony prywatne, prywatne adresy e-mail

Infrastruktura serwerowa Aktualne wersje oprogramowania Brute force haseł - #fail

Infrastruktura serwerowa

Infrastruktura serwerowa Po dwóch dniach czytania kodu i myślenia... Remote Code Execution

Infrastruktura serwerowa 1 RCON Administrator /rcon map e2m3 2 Shell injection 0-day

Infrastruktura serwerowa Konto administratora (root) Pierwszy serwer VM wyłącznie na potrzeby Quake Komunikacja pomiędzy serwerami ACL (!) Usługi sieciowe (!)

Infrastruktura serwerowa Błąd konfiguracyjny usługi sieciowej == Hasła Crypt MD5 SHA 2 konta (SSH)

Infrastruktura serwerowa Błąd konfiguracyjny usługi systemowej

Infrastruktura serwerowa Eskalacja uprawnień Uzyskanie dostępów do kolejnych serwerów i usług Błędne uprawnienia plików Takie same hasła dla różnych usług Brak segmentacji wewnętrznej sieci serwerowej Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2, database.pgsql.gz, (...)

Infrastruktura serwerowa

Infrastruktura serwerowa Password reuse dostęp do usług zewnętrznych

Podsumowanie działań Uprawnienia administratora (root) na wszystkich maszynach wirtualnych (VM) Dostęp do usług zewnętrznych Dostęp VPN Dostęp do własności intelektualnej

Pomysły na poprawę uwierzytelnianie 2FA, password reuse (!) hardening serwerów (zbędne zasoby, uprawnienia) okresowe testy penetracyjne szyfrowanie poufnych danych (mail/serwer) pokazaliśmy jedną z (potencjalnie wielu) ścieżek

Bezpieczeństwo Wczoraj Audyt IT - zgodność czy bezpieczeństwo? Analiza ryzyka IT outsourcing, insiders Testy bezpieczeństwa - aplikacji, systemów, sieci Dziś i jutro Edukacja zwiększanie świadomości Red Team kontrolowane testy penetracyjne Blue Team zarządzanie incydentami (...)

Edukacja Użytkownik, Klient Pracownicy (szczególnie spoza działu IT)

Edukacja - Polska 49% - zakupy online 57% - bankowość online 29% PL - obawia się nadużyć związanych z bankowością (63% EU) 57% - brak zainstalowanego oprogramowania antywirusowego 71% - otwiera maile od nieznajomych 17% - używa różnych haseł do różnych stron WWW Special Eurobarometer 423 Cyber Security February 2015

Edukacja

70% sukcesu to zasługa ludzi

Oprogramowanie antywirusowe?

70% sukcesu to zasługa ludzi 71% of compromised assets involved users and their endpoints Verizon Data Breach Investigations 91% of targeted attacks involve spear-phishing emails Trend Micro According to the IBM Security Services 2014 Cyber Security Intelligence Index, 95 percent of information security incidents involve human error.

Testy penetracyjne USB Skuteczność ataku: 20% - 40% PHISHING Skuteczność ataku: 45% - 70%

Tradycyjne szkolenia Wiedzieć!= Zrozumieć

Tradycyjne szkolenia PAMIĘTAJ! Hasło dostępowe musi zawierać minimum 8 znaków, w tym małe i wielkie litery, cyfry oraz znaki specjalne.

Tradycyjne szkolenia Koszty Zasoby Mierzalność Częstotliwość Forma

Efektywne zwiększanie świadomości Koszty Online Zasoby 5 minut Mierzalność Raporty Częstotliwość Systematycznie Forma Film https://securityinside.pl

Efektywne zwiększanie świadomości www.securityinside.pl

Efektywne zwiększanie świadomości https://securityinside.pl Kod Rabatowy: CONFIDENCE2015 Rabat -'0x14'% Ważny do 1435708799

Blue Team vs. Red Team

Red Team - Atak Kontrolowany atak Rozszerzone zasady (APT, DDoS) Eksperci nastawieni na Atak

Red Team Rekonesans Ataki socjotechniczne Plan, Social media, zbędne usługi, drobne informacje Phishing, malware, telefon, smartphone Advanced Persistent Threat Ataki typu 0-day, działanie w ukryciu

Red Team Kradzież informacji Publicznie dostępne narzędzia Internet, Insiders Szybka weryfikacja, ciągła aktualizacja Dowody i skutki ataku Miary, Time-To-Compromise, Time-To-Detect

Red Team Infekcja złośliwym oprogramowaniem Zdalne uruchomienie kodu Kradzież danych Klienta Atak sieciowy DDoS Insider Przejęcie usługi (...)

Blue Team - Obrona IT SOC (Security Operations Center) CERT (Computer Emergency Response Team) CIRT (Critical Incident Response Team)

Blue Team Wykrywanie problemów Utwardzanie środowisk, spowalnianie atakujących SIEM, IDS, IPS, Korelacja danych, BOK Rekonfiguracja, reakcja w trakcie incydentu Zarządzanie incydentami (komunikacja) Technologia, ludzie, analiza ryzyka

Blue Team Informatyka śledcza Wdrażanie zmian Krytyczne aktualizacje, czas życia podatności Testowanie procesów odtworzenia Materiał dowodowy, analiza złośliwego oprogramowania Skracanie czasu odtworzenia Miary Estimated Time To Detection/Recovery

Blue Team Analiza kosztów Realne ataki Realna ochrona Trening i ćwiczenia pracowników Czas reakcji, zasoby Edukacja poprzez praktykę i case study Selekcja zainfekowanych klientów Indication of Compromise

Blue Team

Blue Team vs. Red Team Wspólne wnioski (baza wiedzy, zalecenia) Testy zerowej wiedzy Miary skuteczności Specjalizacja danej grupy Procesy (nie tylko technologia) Dostęp fizyczny Microsoft Enterprise Cloud Red Teaming.pdf

Podsumowanie APT x 3 - trzy firmy, trzy wektory ataków 3:0 Edukacja zwiększanie świadomości Red Team kontrolowane testy penetracyjne Blue Team zarządzanie incydentami

Dziękuję za uwagę Pytania? Borys Łącki b.lacki@logicaltrust.net