Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Mobile & Internet Banking Security 2015: Wskaźn...

Mobile & Internet Banking Security 2015: Wskaźniki kompromitacji, czyli jak nie przegrać wojny, przegrywając bitwę.

O tym jak tworzyć/wymyślać nowe wskaźniki kompromitacji (IOC) o nieco innym charakterze niż te, do których przyzwyczaiły nas firmy sprzedające tego typu dane.

White Cat Security

August 27, 2015
Tweet

More Decks by White Cat Security

Other Decks in Research

Transcript

  1. Wskaźniki  kompromitacji,  czyli  jak  nie   przegrać  wojny,  przegrywając  bitwę.

        Mobile  &  Internet  Banking  Security   Przemysław  Skowron,  27.08.2015,  Giżycko  
  2. Agenda   •  o  White  Cat  Security   •  popularne

     Scenariusze  ataków   •  Wskaźniki  kompromitacji   •  Jak  je  wykorzystać:   –  Ciągły  monitoring  bezpieczeństwa   –  Obsługa  incydentów  bezpieczeństwa   –  Wywiad  na  temat  zagrożeń  (threat  intelligence)   –  Modelowanie  zagrożeń  (threat  modeling)   –  Cyber  Kill  Chain   •  Podsumowanie   •  Sesja  pytań   2  
  3. o  White  Cat  Security   •  EDUKACJA  -­‐  autorskie  szkolenia/warsztaty

     –  oparte  o   pragmatykę  i  doświadczenia  z  pierwszych  linii  frontu       •  DORADZTWO  -­‐  skupione  na  obszarach,  w  których  ma   praktyczne  doświadczenie,  a  przez  środowisko  specjalistów   określany  jako  animator  frontu  walki  przeciwko  zagrożeniom       •  Prace  Badawczo-­‐Rozwojowe  -­‐  Badanie  zagrożeń/problemów,   na  które  nie  ma  oczywistych  rozwiązań.   3  
  4. popularne  Scenariusze  ataków   •  Atakowany  klient  niezależnie  od  banku:

      –  Złośliwe  oprogramowanie   –  Przejęta  infrastruktura  sieciowa  udostępniająca  łącze  internetowe   •  Atakowany  klient  zależnie  od  banku:   –  Modyfikacja  systemów  banku  udostępnianych  klientowi   –  Wykorzystanie  słabości  mechanizmów  autoryzujących   •  Atakowany  bank  niezależnie  od  klienta:   –  Modyfikacja  głównych  ksiąg  banku   –  Modyfikacja  sieci  bankomatów   4  
  5. Wskaźniki  kompromitacji   •  Artefakt  pozwalający  z  dużym  prawdopodobieństwem  

    wskazać  sytuację,  w  której  doszło  do  kompromitacji  zasobu   •  Artefakt  –  wada,  będąca  skutkiem  ubocznym  zastosowania   poszczególnych  metod  działania  przestępców   •  Przykłady:   –  Adres  IP,  numer  portu   –  Nagłówek  HTTP/SMTP   –  Hash  pliku   –  itp.  oraz  niepodobne  (!)   5  
  6. Ciągły  monitoring   •  Monitoring  oparty  o  zgodność  z  regulacjami:

      –  Rekomendacja  D,  Rekomendacja  M   –  Rekomendacja  EBC:  bezpieczeństwo  płatności  elektronicznych   –  Polityka  Bezpieczeństwa  (Teleinformatycznego)  wraz  z  całym   zestawem  dokumentów  uzupełniających   –  Proces  zarządzania  podatnościami   –  Wyniki  testów  bezpieczeństwa   –  Wyniki  ćwiczeń  sztabowy  i  praktycznych   –  Wnioski  z  obsługi  incydentów  bezpieczeństwa   –  …   6  
  7. Obsługa  incydentów   bezpieczeństwa   •  Wyciągnięcie  wniosków  (podniesienie  poziomu

     dojrzałości):   –  Jakie  ślady  (wskaźniki  kompromitacji)  zostawił  po  sobie  napastnik?   –  Jak  wyjść  na  wyższy  poziom  abstrakcji  by  drobną  zmianą  napastnik  nie   oszukał  monitoringu?  (uwaga  by  nie  wyjść  za  wysoko)   –  Zastosować  prewencję  czy  detekcję?   –  Na  jakim  etapie  wykryłem  napastnika  i  czy  nie  mogłem  tego  zrobić   wcześniej  (etap)?   7  
  8. Wywiad  na  temat  zagrożeń   (threat  intelligence)   •  Strategiczny:

     coś  będzie  się  działo  lub  dzieje  się  u  sąsiadów   •  Taktyczny:  sposób  działania  napastników     •  Operacyjny:  szczegóły  organizacji  ataków   •  Techniczny:  wskaźniki  kompromitacji   8  
  9. Modelowanie  zagrożeń   (threat  modeling)   •  Inne  podejście  do

     analizy  ryzyka  (przepływy,  scenariusze   użycia,  nieoczywiste  zależności,  granice  zaufania,  …):   –  Scenariusze/punkty  zaczepienia  do  testów  bezpieczeństwa   –  Punkty  monitorowania  i  prewencji  (wymagające  wzmocnienia)   –  Silne  i  słabe  punkty  architektury,  implementowanych  procesów   –  Ułatwia  zarządzanie  zmianami:  szybka  ocena  zmian  jednocześnie   uwzględniając  zmieniający  się  model  bezpieczeństwa   9  
  10. Cyber  Kill  Chain  by  Lockheed  Marnn     •  Recon

     (rekonesans  punktów  wejścia  i  jak  ich  użyć)   •  Weaponizanon  (przygotowanie  narzędzia  ataku/ładunku)   •  Delivery  (dostarczenie:  e-­‐mail,  pendrive,  itp.)   •  Exploitanon  (“uruchomienie”  ładunku)   •  Installanon  (instalacja  kanału  komunikacyjnego)   •  C2  (zestawienie  komunikacji  z  “Command&Control”)   •  Acnons  or  Objecnves  (kradzież  danych,  skok  dalej,  itp.)   10  
  11. Podsumowanie   •  Defensywnie  usposobieni  specjaliści  ds.  bezpieczeństwa    

          nie  są  od  wygrywania,  mają  nie  pozwolić  przegrać     •  Przegrana  bitwa  nie  oznacza  przegranej  wojny,  chyba,  że   ustawiamy  się  na  ostatnich  etapach  ataku   •  Trenujcie  przegrywanie,  wzmocni  to  Was  mentalnie,  ale   również  organizacyjnie  (procesowo-­‐proceduralnie)  oraz   technicznie  (narzędzia)   11