Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Forum Bezpieczeństwa Banków 2015: Efektywna wymiana informacji

Forum Bezpieczeństwa Banków 2015: Efektywna wymiana informacji

Motywacja do wymiany informacjami nadal jest za mała, nawet jeśli > 90% uczestników ankiet deklaruje chęć wymiany - nie wymieniają się w takiej skali. Prezentacja dodaje oliwy do ognia opisem motywacji, czym i jak się wymieniać by było to efektywne, a także czym wymieniać się nie trzeba w pierwszej kolejności.

98d357c4b232e6365648d3e38e660fa1?s=128

White Cat Security

May 06, 2015
Tweet

Transcript

  1.   Efektywna  wymiana  informacji   Przemysław  Skowron      

  2. Efektywna  wymiana  informacji   •  Agenda:   – Bio   – Motywacja

      – Czym,  jak  i  z  kim  się  dzielić   – Skąd  pozyskiwać  informacje   – Podsumowanie   – Sesja:  Q&A  
  3. Efektywna  wymiana  informacji   •  Bio:   – Założyciel  grupy  White

     Cat  Security:  “znamy   Twojego  wroga”  (2012-­‐)   – Lider  i  architekt  CSIRT  Grupy  Alior  Bank   (2008-­‐2015)   – wcześniej  Grupa  INTERIA.PL,  Fundacja  PROIDEA   – więcej:  h_ps://linkedin.com/in/pskowron    
  4. Efektywna  wymiana  informacji   •  Motywacja  (przestępców):   –  Cel:

     środki  finansowe  klientów  sektora  bankowego   –  Typy  ataków  (2013-­‐):   •  Ataki  uniwersalne  (podmiana  danych  w  schowku,  w  pamięci,   w  oparciu  o  bufor  klawiatury)   •  Ataki  celowane  w  systemy  transakcyjne/CMS*  banków  lub   produkty  jak  bankowość  elektroniczna  niezależnie  od   brandu   •  Ataki  specjalne,  celowane  w  konkretnego  klienta   (indywidualnego  lub  firmę),  niezależne  od  banku,  z  którego   usług  korzysta  
  5. Efektywna  wymiana  informacji   •  Motywacja  (przestępców):   –  Różnice:

      •  Przed  2013  atakowali  pojedyncze  banki,  teraz  kampanie   celowane  są  w  kilka-­‐kilkanaście  banków  jednocześnie   •  Przed  2013  nie  zauważano  ataków  uniwersalnych   (dotykających  nie  tylko  sektor  finansowy)   •  Przed  2013  nie  odnotowano  ataków  z  wykorzystaniem   przejmowanych  domowych  routerów  (DNS),  bez   infekowania  systemu  operacyjnego  
  6. Efektywna  wymiana  informacji   •  Motywacja  (przestępców):      

    Ile  właściwie  jest  do  zebrania  z  rynku?   >  1  MLD  PLN  
  7. Efektywna  wymiana  informacji   •  Motywacja  (przestępców):   Skąd  taki

     potencjał?     –  75%  nie  obawia  się  nadużyć  z  użyciem  ich  danych   –  71%  nie  obawia  się  o  bezpieczeństwo  transakcji   –  57%  nie  ma  AV   –  71%  otwiera  maile  od  nieznanej  osoby       Special  Eurobarometer  423:  Cyber  Security    
  8. Efektywna  wymiana  informacji   •  Motywacja  (obrońców):   – Rekomendacja  EBC:

     bezpieczeństwo  płatności   internetowych   – Reputacja  /  wizerunek  marki  (problemy  kojarzone   są  z  marką)   – Przewaga  konkurencyjna  (nie  pomaga  w  wymianie   informacji)   – Potrzebujemy  “bohaterów”  
  9. Efektywna  wymiana  informacji   •  Czym  się  dzielić:   – 

    Opisem  scenariuszu  ataku  (ubezpieczenie,  antywirus,   zmiana  formatu  rachunku)   –  Cechami  charakterstycznymi  ataku  (nadużywana   funkcjonalność,  dodatkowe  “parametry”)   –  Rachunkami  “mułów”   –  Adresami  IP  z  kontekstem  (z  uwzględnieniem  dat,   czasu,  innych  cech  jak  User-­‐Agent,  Accept-­‐Language,   Cookie)  
  10. Efektywna  wymiana  informacji   •  Czym  się  nie  musimy  dzielić:

      – Wiedzą  o  tym  z  jakich  technik  anty-­‐RE  malware   korzysta,  itp.   – Gdzie  w  rejestrze  systemowym  znaleźć  ślad  po   infekcji  (przyda  się  na  innym  poziomie  dojrzałości   procesów)  
  11. Efektywna  wymiana  informacji   •  Jak  się  dzielić:   – Szybko

     (czas  rzeczywisty)   – W  jednolitym  formacie  pozwalającym   oskryptować  przesłane  dane   – Automatycznie  (nie  ma  czasu  na  ręczne   weryfikacje,  jeśli  ufasz  –  nie  zwlekaj)  
  12. Efektywna  wymiana  informacji   •  Z  kim  się  dzielić:  

    – Im  większe  grono  tym  lepiej  (odsprzedawanie   botnetów/webinjectów:  dzisiaj  atakują  X,  jutro  Y)   – Wychodzić  poza  sektor:   •  Operatorzy  telekomunikacyjni  /  dostawcy  Internetu   •  Zespoły  CERT/CSIRT  w  Polsce  i  za  granicą  (ataki  na   polskich  klientów  najczęściej  łączone  są  z  atakami  na   banki  spoza  Polski  –  szczególnie,  że  w  innych  krajach   takich  zespołów  jest  więcej  i  działają  bardziej  otwarcie)  
  13. Efektywna  wymiana  informacji   •  Jak  pozyskiwać  dane  do  wymiany?

      –  Słuchaj  (ruch,  analiza  malware/infr.  “złych”)   –  Porównuj  /  Analizuj   –  Wyciągaj  wnioski  (IOC/schematy)   –  BONUS:  Poluj  (honeypoty  nie  powinny  już  dziwić,   nawet  w  sektorze  finansowym)     Bądź  proaktywny  
  14. Efektywna  wymiana  informacji   •  Podsumowanie:   –  Choć  trudno

     w  to  czasem  uwierzyć,  “da  się”   –  Zawsze  należy  pamiętać  o  kontekście  informacji,  bez   niego  najczęściej  zostaną  suche  dane  i  może   zabraknąć  nam  odwagi  by  ich  użyć   –  Nie  rezygnuj,  bo  nie  ma  rozwiązanie  klasy  “enterprise”   –  może  nigdy  nie  będzie   –  Rozwiązania  klasy  “enterprise”  bez  istotnych  dla  nich   informacji  dostarczą  najwyżej  danych,  nie  informacji  
  15. Efektywna  wymiana  informacji       Sesja:  Q&A  

  16. Efektywna  wymiana  informacji       Dziękuję!     przemyslaw.skowron@whitecatsec.com