Forum Bezpieczeństwa Banków 2015: Efektywna wymiana informacji

Transcript

1.  
   Efektywna  wymiana  informacji  
   Przemysław  Skowron  
    
    
   

   View Slide

2. Efektywna  wymiana  informacji  
   •  Agenda:  
   – Bio  
   – Motywacja  
   – Czym,  jak  i  z  kim  się  dzielić  
   – Skąd  pozyskiwać  informacje  
   – Podsumowanie  
   – Sesja:  Q&A  
   

   View Slide

3. Efektywna  wymiana  informacji  
   •  Bio:  
   – Założyciel  grupy  White  Cat  Security:  “znamy  
   Twojego  wroga”  (2012-­‐)  
   – Lider  i  architekt  CSIRT  Grupy  Alior  Bank  
   (2008-­‐2015)  
   – wcześniej  Grupa  INTERIA.PL,  Fundacja  PROIDEA  
   – więcej:  h_ps://linkedin.com/in/pskowron    
   

   View Slide

4. Efektywna  wymiana  informacji  
   •  Motywacja  (przestępców):  
   –  Cel:  środki  finansowe  klientów  sektora  bankowego  
   –  Typy  ataków  (2013-­‐):  
   •  Ataki  uniwersalne  (podmiana  danych  w  schowku,  w  pamięci,  
   w  oparciu  o  bufor  klawiatury)  
   •  Ataki  celowane  w  systemy  transakcyjne/CMS*  banków  lub  
   produkty  jak  bankowość  elektroniczna  niezależnie  od  
   brandu  
   •  Ataki  specjalne,  celowane  w  konkretnego  klienta  
   (indywidualnego  lub  firmę),  niezależne  od  banku,  z  którego  
   usług  korzysta  
   

   View Slide

5. Efektywna  wymiana  informacji  
   •  Motywacja  (przestępców):  
   –  Różnice:  
   •  Przed  2013  atakowali  pojedyncze  banki,  teraz  kampanie  
   celowane  są  w  kilka-­‐kilkanaście  banków  jednocześnie  
   •  Przed  2013  nie  zauważano  ataków  uniwersalnych  
   (dotykających  nie  tylko  sektor  finansowy)  
   •  Przed  2013  nie  odnotowano  ataków  z  wykorzystaniem  
   przejmowanych  domowych  routerów  (DNS),  bez  
   infekowania  systemu  operacyjnego  
   

   View Slide

6. Efektywna  wymiana  informacji  
   •  Motywacja  (przestępców):  
    
    
   Ile  właściwie  jest  do  zebrania  z  rynku?  
   >  1  MLD  PLN  
   

   View Slide

7. Efektywna  wymiana  informacji  
   •  Motywacja  (przestępców):  
   Skąd  taki  potencjał?  
    
   –  75%  nie  obawia  się  nadużyć  z  użyciem  ich  danych  
   –  71%  nie  obawia  się  o  bezpieczeństwo  transakcji  
   –  57%  nie  ma  AV  
   –  71%  otwiera  maile  od  nieznanej  osoby    
    
   Special  Eurobarometer  423:  Cyber  Security    
   

   View Slide

8. Efektywna  wymiana  informacji  
   •  Motywacja  (obrońców):  
   – Rekomendacja  EBC:  bezpieczeństwo  płatności  
   internetowych  
   – Reputacja  /  wizerunek  marki  (problemy  kojarzone  
   są  z  marką)  
   – Przewaga  konkurencyjna  (nie  pomaga  w  wymianie  
   informacji)  
   – Potrzebujemy  “bohaterów”  
   

   View Slide

9. Efektywna  wymiana  informacji  
   •  Czym  się  dzielić:  
   –  Opisem  scenariuszu  ataku  (ubezpieczenie,  antywirus,  
   zmiana  formatu  rachunku)  
   –  Cechami  charakterstycznymi  ataku  (nadużywana  
   funkcjonalność,  dodatkowe  “parametry”)  
   –  Rachunkami  “mułów”  
   –  Adresami  IP  z  kontekstem  (z  uwzględnieniem  dat,  
   czasu,  innych  cech  jak  User-­‐Agent,  Accept-­‐Language,  
   Cookie)  
   

   View Slide

10. Efektywna  wymiana  informacji  
    •  Czym  się  nie  musimy  dzielić:  
    – Wiedzą  o  tym  z  jakich  technik  anty-­‐RE  malware  
    korzysta,  itp.  
    – Gdzie  w  rejestrze  systemowym  znaleźć  ślad  po  
    infekcji  (przyda  się  na  innym  poziomie  dojrzałości  
    procesów)  
    

    View Slide

11. Efektywna  wymiana  informacji  
    •  Jak  się  dzielić:  
    – Szybko  (czas  rzeczywisty)  
    – W  jednolitym  formacie  pozwalającym  
    oskryptować  przesłane  dane  
    – Automatycznie  (nie  ma  czasu  na  ręczne  
    weryfikacje,  jeśli  ufasz  –  nie  zwlekaj)  
    

    View Slide

12. Efektywna  wymiana  informacji  
    •  Z  kim  się  dzielić:  
    – Im  większe  grono  tym  lepiej  (odsprzedawanie  
    botnetów/webinjectów:  dzisiaj  atakują  X,  jutro  Y)  
    – Wychodzić  poza  sektor:  
    •  Operatorzy  telekomunikacyjni  /  dostawcy  Internetu  
    •  Zespoły  CERT/CSIRT  w  Polsce  i  za  granicą  (ataki  na  
    polskich  klientów  najczęściej  łączone  są  z  atakami  na  
    banki  spoza  Polski  –  szczególnie,  że  w  innych  krajach  
    takich  zespołów  jest  więcej  i  działają  bardziej  otwarcie)  
    

    View Slide

13. Efektywna  wymiana  informacji  
    •  Jak  pozyskiwać  dane  do  wymiany?  
    –  Słuchaj  (ruch,  analiza  malware/infr.  “złych”)  
    –  Porównuj  /  Analizuj  
    –  Wyciągaj  wnioski  (IOC/schematy)  
    –  BONUS:  Poluj  (honeypoty  nie  powinny  już  dziwić,  
    nawet  w  sektorze  finansowym)  
     
    Bądź  proaktywny  
    

    View Slide

14. Efektywna  wymiana  informacji  
    •  Podsumowanie:  
    –  Choć  trudno  w  to  czasem  uwierzyć,  “da  się”  
    –  Zawsze  należy  pamiętać  o  kontekście  informacji,  bez  
    niego  najczęściej  zostaną  suche  dane  i  może  
    zabraknąć  nam  odwagi  by  ich  użyć  
    –  Nie  rezygnuj,  bo  nie  ma  rozwiązanie  klasy  “enterprise”  
    –  może  nigdy  nie  będzie  
    –  Rozwiązania  klasy  “enterprise”  bez  istotnych  dla  nich  
    informacji  dostarczą  najwyżej  danych,  nie  informacji  
    

    View Slide

15. Efektywna  wymiana  informacji  
     
     
    Sesja:  Q&A  
    

    View Slide

16. Efektywna  wymiana  informacji  
     
     
    Dziękuję!  
     
    [email protected]  
    

    View Slide