21-22 czerwca 2017, WROCŁAW CTI: Dane czy Mądrość? (TLP: WHITE) Przemysław Skowron, White Cat Security

21-22 czerwca 2017, WROCŁAW Przemysław Skowron • “zawodowo” w IT Security od 2004 • prawie 7 lat w sektorze finansowym - Grupa Alior Bank S.A. (2008-2015) • odpowiedzialny za budowę pierwszego zespołu typu CSIRT w sektorze finansowym w Polsce

21-22 czerwca 2017, WROCŁAW White Cat Security (2015-) • 4 Głównych Konsultantów (Core Team) • Klienci: m.in. ~połowa firm z indeksu WIG20 • Dostarczamy to czego nam brakowało: • Doświadczenie ze zwycięstw i porażek lekcji przy budowaniu SOC/CERT • Wsparcie przy Obsłudze Incydentów • Wywiad na temat zagrożeń (Threat Intelligence) • [WKRÓTCE] Organizujemy Polowania (Hunting) • [Na żądanie] Szkolimy z powyższych tematów • Niezależność względem dostawców rozwiązań bezpieczeństwa

21-22 czerwca 2017, WROCŁAW Agenda • Założenia • Cykl pozyskiwania Threat Intelligence • Podsumowanie • Sesja Q&A

21-22 czerwca 2017, WROCŁAW Założenia (1/10) • Intelligence: Wnioski z Danych = Mądrość • Mądrość ma pozwolić na przygotowanie się do odparcia ataku na bazie: • znanych ataków z przeszłości • aktualnie trwających ataków • przyszłych ataków* * - bez znaczenia czy dowiemy się o nim przed realizacją

21-22 czerwca 2017, WROCŁAW Założenia (2/10) Wymagania (przykładowe): • Chcę wiedzieć o nowej grupie przestępczej • Jakie mają cele i motywacje? (strategia, cele) • Jak działają? (TTP) • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC)

21-22 czerwca 2017, WROCŁAW Założenia (3/10) Wymagania (przykładowe): • Chcę wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> następny slajd • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC)

21-22 czerwca 2017, WROCŁAW Założenia (4/10) • TTP • Taktyki - krok: kontrola zainfekowanej stacji • Techniki - metoda: połączenie do C2 przez powszechnie używane porty • Procedury - implementacja: połączenie na port 443/TCP z szyfrowaniem (TLS)

21-22 czerwca 2017, WROCŁAW Założenia (4/…) Wymagania (przykładowe): • Chcę wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (arefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC) Źródło: https://car.mitre.org/caret/

21-22 czerwca 2017, WROCŁAW Założenia (6/10) Wymagania (przykładowe): • Chcę wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> poprzedni slajd • Z jakich narzędzi korzystają? (możliwości) poprzednia prezentacja • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) j/w • Jak poznać, że zostałem skompromitowany? (IOC) ->

21-22 czerwca 2017, WROCŁAW Założenia (6/…) Wymagania (przykładowe): • Chcę wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> poprzedni slajd • Z jakich narzędzi korzystają? (możliwości) poprzednia prezentacja • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) j/w • Jak poznać, że zostałem skompromitowany? (IOC) ->

21-22 czerwca 2017, WROCŁAW Założenia (8/10) Mądrość ma pozwolić na przygotowanie się do odparcia ataku na bazie: • znanych ataków z przeszłości • aktualnie trwających ataków • przyszłych ataków*

21-22 czerwca 2017, WROCŁAW Założenia (9/10) Threat Intelligence to PROCES, nie PRODUKT czy TECHNOLOGIA

21-22 czerwca 2017, WROCŁAW Założenia (10/10) Kiedy ostatnio dotarły do Ciebie nowe dane/informacje o grupie Bluenoroff? Jakie wnioski płynęły z tej informacji? BRAK WNIOSKÓW = BRAK WARTOŚCI

21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie • Wzbogacanie • Analizowanie • Konsumowanie

21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie • Wejście: • (nie)ustrukturyzowane dane - zazwyczaj IOC (IP, domeny, hashe, URLe) • pozbawione kontekstu (znaczenie, daty w których ma znaczenie) • czasem zawierające literówki • czasem pochopnie ocenione IOC • Wyjście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów

21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie • Źródła danych: • OSINT • grupy KMT (Know, Meet, Trust) i pokrewne • Deep/Dark i inne ciemne miejsca • Obsługa Incydentów bezpieczeństwa (IR) • Inne

21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Wzbogacanie • Wejście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów • nowe źródła danych odnalezione na bazie powiązań z tym co mamy • Wyjście: • więcej IOC, artefakty, opis narzędzi, TTP, Threat Actora

21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Wzbogacanie • Wejście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów • nowe źródła danych odnalezione na bazie powiązań z tym co mamy • Wyjście: • więcej IOC, artefakty, opis narzędzi, TTP, Threat Actora

21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Analizowanie • Wejście: • IOC, artefakty, opis narzędzi, TTP, Threat Actora • Wyjście: • dane nałożone na model danych (np. Kill Chain, Diamond Model)

21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Analizowanie • Wejście: • IOC, artefakty, opis narzędzi, TTP, Threat Actora • Wyjście: • dane nałożone na model danych (np. Kill Chain, Diamond Model)

21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Konsumowanie • Wejście: • dane nałożone na model danych (np. Kill Chain, Diamond Model) • Wyjście (przykłady): • widząc wykryte lub zablokowane: • TTP/Narzędzia/Artefakty/IOC* • wiesz jak jest źle/dobrze (znasz etap kampanii APT i wiesz gdzie są)

21-22 czerwca 2017, WROCŁAW Podsumowanie (1/2) • Wiesz czy ten napastnik jest dla Ciebie groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie)

21-22 czerwca 2017, WROCŁAW Podsumowanie (1/2) • Wiesz czy ten napastnik jest dla Ciebie groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie) ZNASZ SWOJEGO WROGA

21-22 czerwca 2017, WROCŁAW Podsumowanie (2/2) • Uwzględniaj Threat Intelligence podczas RFI/RFP (Narzędzia) • Zbuduj TIT lub pozyskuj go z zew., ale z wymaganiami (Ludzie) • Konsumuj (Proces)

21-22 czerwca 2017, WROCŁAW Sesja Q&A “Not memory for memory’s sake, not accumulation of knowledge, but synthesis and application.” -- Bruce Lee

21-22 czerwca 2017, WROCŁAW Dziękuję za aktywny udział! przemyslaw.skowron {@} whitecatsec.com