Use of operational deceptions to divert cyber attacks

Transcript

1. Omfavn din modstanders angreb omsæt hans aktioner til forretningsværdi Johnny

   Vestergaard Oprustning af kritisk IT infrastruktur 2015

2. Hvem er jeg? • Systemudvikler • Tidl. efterretningsanalytiker • Crow

   Solutions • The Honeynet Project

3. To learn the tools, tactics and motives involved in computer

   and network attacks, and share the lessons learned.

4. Traditionel lagdelt sikkerhed • Blue team • Reaktivt og statisk

   • Baseret på tidligere hændelser • Compliance • Hullet som en si • Skal virke 100%, 24/7/365

5. Traditionel lagdelt sikkerhed • Red team • Målorienteret • Vælger

   tid og sted • Kender standard procedure • Least effort

6. “Thus the expert in battle moves the enemy, and is

   not moved by him.”

7. Spot the deception!

8. Lockheed Martin factory, 1942

9. OODA løkken Observe Orient Decide Act

10. OODA løkken Observe Orient Decide Act Reaktivt forsvar

11. OODA løkken Observe Orient Decide Act Reaktivt forsvar Proaktivt forsvar

12. Honeypots en ressource som giver værdi når den bliver angrebet

    eller kompromitteret

13. Know your enemy • Motiv • Modus operandi • Evne

    og vilje • Detektion ?

14. Know your enemy ? Login Logout

15. 24% Know your enemy Login Logout who echo cd 31%

    7%

16. Krigsspil • M1: Afvis • M2: Vildled • M3: Vildlednings

    infrastruktur

17. M1: Afvis Begrænset forretningsværdi

18. M2: Vildlede Mulighed for at studere Sandbox

19. M3: Vildlednings infrastruktur Deceive, Detect, Respond VPN Honeypot SMTP Honeypot

    AD Honeypot WinCC Honeypot

20. Rule #1 YOU DO NOT TALK ABOUT DECEPTIONS

21. Conpot An Industrial Control System Honeypot

22. CONPOT: Protokoller HTTP SNMP MODBUS S7 KAMSTRUP PROXY

23. None

24. conpot -t kamstrup_382.xml

25. $ python kamstrup.py 10.4.1.254 Energy in 7183.3 kWh Energy in

    hi-res 7183.3212 kWh Voltage p1 228.0 V Voltage p2 229.0 V Current p1 5.11 A Current p2 4.22 A Power p1 1.0 kW Power p2 5.499 kW

26. $ telnet 10.4.1.254 50100 Connected to 10.4.1.254. Escape character is

    '^]'. Welcome... Connected to [00:13:EA:00:00:00] ============================ Service Menu ============================ H: Help [cmd]. !AC: Access control. !GC: Get Config. !GV: Software version. !SA: Set KAP Server IP and port (*1). !RC: Request connect !SC: Set Config (*1). < - CUT -> ============================ Kamstrup (R)

27. Hvem bruger Conpot? • Nuklear sikkerheds organisation • En større

    IDS producent • ICS producenter • Akademiske miljø

28. Spørgsmål? honeynet.org conpot.org Johnny Vestergaard [email protected]