Mobile & Internet Banking Security 2015: Wskaźniki kompromitacji, czyli jak nie przegrać wojny, przegrywając bitwę.
O tym jak tworzyć/wymyślać nowe wskaźniki kompromitacji (IOC) o nieco innym charakterze niż te, do których przyzwyczaiły nas firmy sprzedające tego typu dane.
o
White
Cat
Security
• EDUKACJA
-‐
autorskie
szkolenia/warsztaty
–
oparte
o
pragmatykę
i
doświadczenia
z
pierwszych
linii
frontu
• DORADZTWO
-‐
skupione
na
obszarach,
w
których
ma
praktyczne
doświadczenie,
a
przez
środowisko
specjalistów
określany
jako
animator
frontu
walki
przeciwko
zagrożeniom
• Prace
Badawczo-‐Rozwojowe
-‐
Badanie
zagrożeń/problemów,
na
które
nie
ma
oczywistych
rozwiązań.
3
Wskaźniki
kompromitacji
• Artefakt
pozwalający
z
dużym
prawdopodobieństwem
wskazać
sytuację,
w
której
doszło
do
kompromitacji
zasobu
• Artefakt
–
wada,
będąca
skutkiem
ubocznym
zastosowania
poszczególnych
metod
działania
przestępców
• Przykłady:
– Adres
IP,
numer
portu
– Nagłówek
HTTP/SMTP
– Hash
pliku
– itp.
oraz
niepodobne
(!)
5
Ciągły
monitoring
• Monitoring
oparty
o
zgodność
z
regulacjami:
– Rekomendacja
D,
Rekomendacja
M
– Rekomendacja
EBC:
bezpieczeństwo
płatności
elektronicznych
– Polityka
Bezpieczeństwa
(Teleinformatycznego)
wraz
z
całym
zestawem
dokumentów
uzupełniających
– Proces
zarządzania
podatnościami
– Wyniki
testów
bezpieczeństwa
– Wyniki
ćwiczeń
sztabowy
i
praktycznych
– Wnioski
z
obsługi
incydentów
bezpieczeństwa
– …
6
Obsługa
incydentów
bezpieczeństwa
• Wyciągnięcie
wniosków
(podniesienie
poziomu
dojrzałości):
– Jakie
ślady
(wskaźniki
kompromitacji)
zostawił
po
sobie
napastnik?
– Jak
wyjść
na
wyższy
poziom
abstrakcji
by
drobną
zmianą
napastnik
nie
oszukał
monitoringu?
(uwaga
by
nie
wyjść
za
wysoko)
– Zastosować
prewencję
czy
detekcję?
– Na
jakim
etapie
wykryłem
napastnika
i
czy
nie
mogłem
tego
zrobić
wcześniej
(etap)?
7
Wywiad
na
temat
zagrożeń
(threat
intelligence)
• Strategiczny:
coś
będzie
się
działo
lub
dzieje
się
u
sąsiadów
• Taktyczny:
sposób
działania
napastników
• Operacyjny:
szczegóły
organizacji
ataków
• Techniczny:
wskaźniki
kompromitacji
8
Modelowanie
zagrożeń
(threat
modeling)
• Inne
podejście
do
analizy
ryzyka
(przepływy,
scenariusze
użycia,
nieoczywiste
zależności,
granice
zaufania,
…):
– Scenariusze/punkty
zaczepienia
do
testów
bezpieczeństwa
– Punkty
monitorowania
i
prewencji
(wymagające
wzmocnienia)
– Silne
i
słabe
punkty
architektury,
implementowanych
procesów
– Ułatwia
zarządzanie
zmianami:
szybka
ocena
zmian
jednocześnie
uwzględniając
zmieniający
się
model
bezpieczeństwa
9
Podsumowanie
• Defensywnie
usposobieni
specjaliści
ds.
bezpieczeństwa
nie
są
od
wygrywania,
mają
nie
pozwolić
przegrać
• Przegrana
bitwa
nie
oznacza
przegranej
wojny,
chyba,
że
ustawiamy
się
na
ostatnich
etapach
ataku
• Trenujcie
przegrywanie,
wzmocni
to
Was
mentalnie,
ale
również
organizacyjnie
(procesowo-‐proceduralnie)
oraz
technicznie
(narzędzia)
11