$30 off During Our Annual Pro Sale. View Details »

Mobile & Internet Banking Security 2015: Wskaźniki kompromitacji, czyli jak nie przegrać wojny, przegrywając bitwę.

Mobile & Internet Banking Security 2015: Wskaźniki kompromitacji, czyli jak nie przegrać wojny, przegrywając bitwę.

O tym jak tworzyć/wymyślać nowe wskaźniki kompromitacji (IOC) o nieco innym charakterze niż te, do których przyzwyczaiły nas firmy sprzedające tego typu dane.

White Cat Security

August 27, 2015
Tweet

More Decks by White Cat Security

Other Decks in Research

Transcript

  1. Wskaźniki  kompromitacji,  czyli  jak  nie  
    przegrać  wojny,  przegrywając  bitwę.  
     
    Mobile  &  Internet  Banking  Security  
    Przemysław  Skowron,  27.08.2015,  Giżycko  

    View Slide

  2. Agenda  
    •  o  White  Cat  Security  
    •  popularne  Scenariusze  ataków  
    •  Wskaźniki  kompromitacji  
    •  Jak  je  wykorzystać:  
    –  Ciągły  monitoring  bezpieczeństwa  
    –  Obsługa  incydentów  bezpieczeństwa  
    –  Wywiad  na  temat  zagrożeń  (threat  intelligence)  
    –  Modelowanie  zagrożeń  (threat  modeling)  
    –  Cyber  Kill  Chain  
    •  Podsumowanie  
    •  Sesja  pytań  
    2  

    View Slide

  3. o  White  Cat  Security  
    •  EDUKACJA  -­‐  autorskie  szkolenia/warsztaty  –  oparte  o  
    pragmatykę  i  doświadczenia  z  pierwszych  linii  frontu    
     
    •  DORADZTWO  -­‐  skupione  na  obszarach,  w  których  ma  
    praktyczne  doświadczenie,  a  przez  środowisko  specjalistów  
    określany  jako  animator  frontu  walki  przeciwko  zagrożeniom    
     
    •  Prace  Badawczo-­‐Rozwojowe  -­‐  Badanie  zagrożeń/problemów,  
    na  które  nie  ma  oczywistych  rozwiązań.  
    3  

    View Slide

  4. popularne  Scenariusze  ataków  
    •  Atakowany  klient  niezależnie  od  banku:  
    –  Złośliwe  oprogramowanie  
    –  Przejęta  infrastruktura  sieciowa  udostępniająca  łącze  internetowe  
    •  Atakowany  klient  zależnie  od  banku:  
    –  Modyfikacja  systemów  banku  udostępnianych  klientowi  
    –  Wykorzystanie  słabości  mechanizmów  autoryzujących  
    •  Atakowany  bank  niezależnie  od  klienta:  
    –  Modyfikacja  głównych  ksiąg  banku  
    –  Modyfikacja  sieci  bankomatów  
    4  

    View Slide

  5. Wskaźniki  kompromitacji  
    •  Artefakt  pozwalający  z  dużym  prawdopodobieństwem  
    wskazać  sytuację,  w  której  doszło  do  kompromitacji  zasobu  
    •  Artefakt  –  wada,  będąca  skutkiem  ubocznym  zastosowania  
    poszczególnych  metod  działania  przestępców  
    •  Przykłady:  
    –  Adres  IP,  numer  portu  
    –  Nagłówek  HTTP/SMTP  
    –  Hash  pliku  
    –  itp.  oraz  niepodobne  (!)  
    5  

    View Slide

  6. Ciągły  monitoring  
    •  Monitoring  oparty  o  zgodność  z  regulacjami:  
    –  Rekomendacja  D,  Rekomendacja  M  
    –  Rekomendacja  EBC:  bezpieczeństwo  płatności  elektronicznych  
    –  Polityka  Bezpieczeństwa  (Teleinformatycznego)  wraz  z  całym  
    zestawem  dokumentów  uzupełniających  
    –  Proces  zarządzania  podatnościami  
    –  Wyniki  testów  bezpieczeństwa  
    –  Wyniki  ćwiczeń  sztabowy  i  praktycznych  
    –  Wnioski  z  obsługi  incydentów  bezpieczeństwa  
    –  …  
    6  

    View Slide

  7. Obsługa  incydentów  
    bezpieczeństwa  
    •  Wyciągnięcie  wniosków  (podniesienie  poziomu  dojrzałości):  
    –  Jakie  ślady  (wskaźniki  kompromitacji)  zostawił  po  sobie  napastnik?  
    –  Jak  wyjść  na  wyższy  poziom  abstrakcji  by  drobną  zmianą  napastnik  nie  
    oszukał  monitoringu?  (uwaga  by  nie  wyjść  za  wysoko)  
    –  Zastosować  prewencję  czy  detekcję?  
    –  Na  jakim  etapie  wykryłem  napastnika  i  czy  nie  mogłem  tego  zrobić  
    wcześniej  (etap)?  
    7  

    View Slide

  8. Wywiad  na  temat  zagrożeń  
    (threat  intelligence)  
    •  Strategiczny:  coś  będzie  się  działo  lub  dzieje  się  u  sąsiadów  
    •  Taktyczny:  sposób  działania  napastników  
     
    •  Operacyjny:  szczegóły  organizacji  ataków  
    •  Techniczny:  wskaźniki  kompromitacji  
    8  

    View Slide

  9. Modelowanie  zagrożeń  
    (threat  modeling)  
    •  Inne  podejście  do  analizy  ryzyka  (przepływy,  scenariusze  
    użycia,  nieoczywiste  zależności,  granice  zaufania,  …):  
    –  Scenariusze/punkty  zaczepienia  do  testów  bezpieczeństwa  
    –  Punkty  monitorowania  i  prewencji  (wymagające  wzmocnienia)  
    –  Silne  i  słabe  punkty  architektury,  implementowanych  procesów  
    –  Ułatwia  zarządzanie  zmianami:  szybka  ocena  zmian  jednocześnie  
    uwzględniając  zmieniający  się  model  bezpieczeństwa  
    9  

    View Slide

  10. Cyber  Kill  Chain  by  Lockheed  Marnn  
     
    •  Recon  (rekonesans  punktów  wejścia  i  jak  ich  użyć)  
    •  Weaponizanon  (przygotowanie  narzędzia  ataku/ładunku)  
    •  Delivery  (dostarczenie:  e-­‐mail,  pendrive,  itp.)  
    •  Exploitanon  (“uruchomienie”  ładunku)  
    •  Installanon  (instalacja  kanału  komunikacyjnego)  
    •  C2  (zestawienie  komunikacji  z  “Command&Control”)  
    •  Acnons  or  Objecnves  (kradzież  danych,  skok  dalej,  itp.)  
    10  

    View Slide

  11. Podsumowanie  
    •  Defensywnie  usposobieni  specjaliści  ds.  bezpieczeństwa          
    nie  są  od  wygrywania,  mają  nie  pozwolić  przegrać  
     
    •  Przegrana  bitwa  nie  oznacza  przegranej  wojny,  chyba,  że  
    ustawiamy  się  na  ostatnich  etapach  ataku  
    •  Trenujcie  przegrywanie,  wzmocni  to  Was  mentalnie,  ale  
    również  organizacyjnie  (procesowo-­‐proceduralnie)  oraz  
    technicznie  (narzędzia)  
    11  

    View Slide

  12. Sesja  pytań  
     
    Dziękuję  za  aktywny  udział!  
     
     
     
    [email protected]  
    12  

    View Slide