Mobile & Internet Banking Security 2015: Wskaźniki kompromitacji, czyli jak nie przegrać wojny, przegrywając bitwę.

Transcript

1. Wskaźniki  kompromitacji,  czyli  jak  nie  
   przegrać  wojny,  przegrywając  bitwę.  
    
   Mobile  &  Internet  Banking  Security  
   Przemysław  Skowron,  27.08.2015,  Giżycko  
   

   View Slide

2. Agenda  
   •  o  White  Cat  Security  
   •  popularne  Scenariusze  ataków  
   •  Wskaźniki  kompromitacji  
   •  Jak  je  wykorzystać:  
   –  Ciągły  monitoring  bezpieczeństwa  
   –  Obsługa  incydentów  bezpieczeństwa  
   –  Wywiad  na  temat  zagrożeń  (threat  intelligence)  
   –  Modelowanie  zagrożeń  (threat  modeling)  
   –  Cyber  Kill  Chain  
   •  Podsumowanie  
   •  Sesja  pytań  
   2  
   

   View Slide

3. o  White  Cat  Security  
   •  EDUKACJA  -­‐  autorskie  szkolenia/warsztaty  –  oparte  o  
   pragmatykę  i  doświadczenia  z  pierwszych  linii  frontu    
    
   •  DORADZTWO  -­‐  skupione  na  obszarach,  w  których  ma  
   praktyczne  doświadczenie,  a  przez  środowisko  specjalistów  
   określany  jako  animator  frontu  walki  przeciwko  zagrożeniom    
    
   •  Prace  Badawczo-­‐Rozwojowe  -­‐  Badanie  zagrożeń/problemów,  
   na  które  nie  ma  oczywistych  rozwiązań.  
   3  
   

   View Slide

4. popularne  Scenariusze  ataków  
   •  Atakowany  klient  niezależnie  od  banku:  
   –  Złośliwe  oprogramowanie  
   –  Przejęta  infrastruktura  sieciowa  udostępniająca  łącze  internetowe  
   •  Atakowany  klient  zależnie  od  banku:  
   –  Modyfikacja  systemów  banku  udostępnianych  klientowi  
   –  Wykorzystanie  słabości  mechanizmów  autoryzujących  
   •  Atakowany  bank  niezależnie  od  klienta:  
   –  Modyfikacja  głównych  ksiąg  banku  
   –  Modyfikacja  sieci  bankomatów  
   4  
   

   View Slide

5. Wskaźniki  kompromitacji  
   •  Artefakt  pozwalający  z  dużym  prawdopodobieństwem  
   wskazać  sytuację,  w  której  doszło  do  kompromitacji  zasobu  
   •  Artefakt  –  wada,  będąca  skutkiem  ubocznym  zastosowania  
   poszczególnych  metod  działania  przestępców  
   •  Przykłady:  
   –  Adres  IP,  numer  portu  
   –  Nagłówek  HTTP/SMTP  
   –  Hash  pliku  
   –  itp.  oraz  niepodobne  (!)  
   5  
   

   View Slide

6. Ciągły  monitoring  
   •  Monitoring  oparty  o  zgodność  z  regulacjami:  
   –  Rekomendacja  D,  Rekomendacja  M  
   –  Rekomendacja  EBC:  bezpieczeństwo  płatności  elektronicznych  
   –  Polityka  Bezpieczeństwa  (Teleinformatycznego)  wraz  z  całym  
   zestawem  dokumentów  uzupełniających  
   –  Proces  zarządzania  podatnościami  
   –  Wyniki  testów  bezpieczeństwa  
   –  Wyniki  ćwiczeń  sztabowy  i  praktycznych  
   –  Wnioski  z  obsługi  incydentów  bezpieczeństwa  
   –  …  
   6  
   

   View Slide

7. Obsługa  incydentów  
   bezpieczeństwa  
   •  Wyciągnięcie  wniosków  (podniesienie  poziomu  dojrzałości):  
   –  Jakie  ślady  (wskaźniki  kompromitacji)  zostawił  po  sobie  napastnik?  
   –  Jak  wyjść  na  wyższy  poziom  abstrakcji  by  drobną  zmianą  napastnik  nie  
   oszukał  monitoringu?  (uwaga  by  nie  wyjść  za  wysoko)  
   –  Zastosować  prewencję  czy  detekcję?  
   –  Na  jakim  etapie  wykryłem  napastnika  i  czy  nie  mogłem  tego  zrobić  
   wcześniej  (etap)?  
   7  
   

   View Slide

8. Wywiad  na  temat  zagrożeń  
   (threat  intelligence)  
   •  Strategiczny:  coś  będzie  się  działo  lub  dzieje  się  u  sąsiadów  
   •  Taktyczny:  sposób  działania  napastników  
    
   •  Operacyjny:  szczegóły  organizacji  ataków  
   •  Techniczny:  wskaźniki  kompromitacji  
   8  
   

   View Slide

9. Modelowanie  zagrożeń  
   (threat  modeling)  
   •  Inne  podejście  do  analizy  ryzyka  (przepływy,  scenariusze  
   użycia,  nieoczywiste  zależności,  granice  zaufania,  …):  
   –  Scenariusze/punkty  zaczepienia  do  testów  bezpieczeństwa  
   –  Punkty  monitorowania  i  prewencji  (wymagające  wzmocnienia)  
   –  Silne  i  słabe  punkty  architektury,  implementowanych  procesów  
   –  Ułatwia  zarządzanie  zmianami:  szybka  ocena  zmian  jednocześnie  
   uwzględniając  zmieniający  się  model  bezpieczeństwa  
   9  
   

   View Slide

10. Cyber  Kill  Chain  by  Lockheed  Marnn  
     
    •  Recon  (rekonesans  punktów  wejścia  i  jak  ich  użyć)  
    •  Weaponizanon  (przygotowanie  narzędzia  ataku/ładunku)  
    •  Delivery  (dostarczenie:  e-­‐mail,  pendrive,  itp.)  
    •  Exploitanon  (“uruchomienie”  ładunku)  
    •  Installanon  (instalacja  kanału  komunikacyjnego)  
    •  C2  (zestawienie  komunikacji  z  “Command&Control”)  
    •  Acnons  or  Objecnves  (kradzież  danych,  skok  dalej,  itp.)  
    10  
    

    View Slide

11. Podsumowanie  
    •  Defensywnie  usposobieni  specjaliści  ds.  bezpieczeństwa          
    nie  są  od  wygrywania,  mają  nie  pozwolić  przegrać  
     
    •  Przegrana  bitwa  nie  oznacza  przegranej  wojny,  chyba,  że  
    ustawiamy  się  na  ostatnich  etapach  ataku  
    •  Trenujcie  przegrywanie,  wzmocni  to  Was  mentalnie,  ale  
    również  organizacyjnie  (procesowo-­‐proceduralnie)  oraz  
    technicznie  (narzędzia)  
    11  
    

    View Slide

12. Sesja  pytań  
     
    Dziękuję  za  aktywny  udział!  
     
     
     
    [email protected]  
    12  
    

    View Slide