Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Mobile & Internet Banking Security 2015: Wskaźniki kompromitacji, czyli jak nie przegrać wojny, przegrywając bitwę.

Mobile & Internet Banking Security 2015: Wskaźniki kompromitacji, czyli jak nie przegrać wojny, przegrywając bitwę.

O tym jak tworzyć/wymyślać nowe wskaźniki kompromitacji (IOC) o nieco innym charakterze niż te, do których przyzwyczaiły nas firmy sprzedające tego typu dane.

98d357c4b232e6365648d3e38e660fa1?s=128

White Cat Security

August 27, 2015
Tweet

Transcript

  1. Wskaźniki  kompromitacji,  czyli  jak  nie   przegrać  wojny,  przegrywając  bitwę.

        Mobile  &  Internet  Banking  Security   Przemysław  Skowron,  27.08.2015,  Giżycko  
  2. Agenda   •  o  White  Cat  Security   •  popularne

     Scenariusze  ataków   •  Wskaźniki  kompromitacji   •  Jak  je  wykorzystać:   –  Ciągły  monitoring  bezpieczeństwa   –  Obsługa  incydentów  bezpieczeństwa   –  Wywiad  na  temat  zagrożeń  (threat  intelligence)   –  Modelowanie  zagrożeń  (threat  modeling)   –  Cyber  Kill  Chain   •  Podsumowanie   •  Sesja  pytań   2  
  3. o  White  Cat  Security   •  EDUKACJA  -­‐  autorskie  szkolenia/warsztaty

     –  oparte  o   pragmatykę  i  doświadczenia  z  pierwszych  linii  frontu       •  DORADZTWO  -­‐  skupione  na  obszarach,  w  których  ma   praktyczne  doświadczenie,  a  przez  środowisko  specjalistów   określany  jako  animator  frontu  walki  przeciwko  zagrożeniom       •  Prace  Badawczo-­‐Rozwojowe  -­‐  Badanie  zagrożeń/problemów,   na  które  nie  ma  oczywistych  rozwiązań.   3  
  4. popularne  Scenariusze  ataków   •  Atakowany  klient  niezależnie  od  banku:

      –  Złośliwe  oprogramowanie   –  Przejęta  infrastruktura  sieciowa  udostępniająca  łącze  internetowe   •  Atakowany  klient  zależnie  od  banku:   –  Modyfikacja  systemów  banku  udostępnianych  klientowi   –  Wykorzystanie  słabości  mechanizmów  autoryzujących   •  Atakowany  bank  niezależnie  od  klienta:   –  Modyfikacja  głównych  ksiąg  banku   –  Modyfikacja  sieci  bankomatów   4  
  5. Wskaźniki  kompromitacji   •  Artefakt  pozwalający  z  dużym  prawdopodobieństwem  

    wskazać  sytuację,  w  której  doszło  do  kompromitacji  zasobu   •  Artefakt  –  wada,  będąca  skutkiem  ubocznym  zastosowania   poszczególnych  metod  działania  przestępców   •  Przykłady:   –  Adres  IP,  numer  portu   –  Nagłówek  HTTP/SMTP   –  Hash  pliku   –  itp.  oraz  niepodobne  (!)   5  
  6. Ciągły  monitoring   •  Monitoring  oparty  o  zgodność  z  regulacjami:

      –  Rekomendacja  D,  Rekomendacja  M   –  Rekomendacja  EBC:  bezpieczeństwo  płatności  elektronicznych   –  Polityka  Bezpieczeństwa  (Teleinformatycznego)  wraz  z  całym   zestawem  dokumentów  uzupełniających   –  Proces  zarządzania  podatnościami   –  Wyniki  testów  bezpieczeństwa   –  Wyniki  ćwiczeń  sztabowy  i  praktycznych   –  Wnioski  z  obsługi  incydentów  bezpieczeństwa   –  …   6  
  7. Obsługa  incydentów   bezpieczeństwa   •  Wyciągnięcie  wniosków  (podniesienie  poziomu

     dojrzałości):   –  Jakie  ślady  (wskaźniki  kompromitacji)  zostawił  po  sobie  napastnik?   –  Jak  wyjść  na  wyższy  poziom  abstrakcji  by  drobną  zmianą  napastnik  nie   oszukał  monitoringu?  (uwaga  by  nie  wyjść  za  wysoko)   –  Zastosować  prewencję  czy  detekcję?   –  Na  jakim  etapie  wykryłem  napastnika  i  czy  nie  mogłem  tego  zrobić   wcześniej  (etap)?   7  
  8. Wywiad  na  temat  zagrożeń   (threat  intelligence)   •  Strategiczny:

     coś  będzie  się  działo  lub  dzieje  się  u  sąsiadów   •  Taktyczny:  sposób  działania  napastników     •  Operacyjny:  szczegóły  organizacji  ataków   •  Techniczny:  wskaźniki  kompromitacji   8  
  9. Modelowanie  zagrożeń   (threat  modeling)   •  Inne  podejście  do

     analizy  ryzyka  (przepływy,  scenariusze   użycia,  nieoczywiste  zależności,  granice  zaufania,  …):   –  Scenariusze/punkty  zaczepienia  do  testów  bezpieczeństwa   –  Punkty  monitorowania  i  prewencji  (wymagające  wzmocnienia)   –  Silne  i  słabe  punkty  architektury,  implementowanych  procesów   –  Ułatwia  zarządzanie  zmianami:  szybka  ocena  zmian  jednocześnie   uwzględniając  zmieniający  się  model  bezpieczeństwa   9  
  10. Cyber  Kill  Chain  by  Lockheed  Marnn     •  Recon

     (rekonesans  punktów  wejścia  i  jak  ich  użyć)   •  Weaponizanon  (przygotowanie  narzędzia  ataku/ładunku)   •  Delivery  (dostarczenie:  e-­‐mail,  pendrive,  itp.)   •  Exploitanon  (“uruchomienie”  ładunku)   •  Installanon  (instalacja  kanału  komunikacyjnego)   •  C2  (zestawienie  komunikacji  z  “Command&Control”)   •  Acnons  or  Objecnves  (kradzież  danych,  skok  dalej,  itp.)   10  
  11. Podsumowanie   •  Defensywnie  usposobieni  specjaliści  ds.  bezpieczeństwa    

          nie  są  od  wygrywania,  mają  nie  pozwolić  przegrać     •  Przegrana  bitwa  nie  oznacza  przegranej  wojny,  chyba,  że   ustawiamy  się  na  ostatnich  etapach  ataku   •  Trenujcie  przegrywanie,  wzmocni  to  Was  mentalnie,  ale   również  organizacyjnie  (procesowo-­‐proceduralnie)  oraz   technicznie  (narzędzia)   11  
  12. Sesja  pytań     Dziękuję  za  aktywny  udział!    

        przemyslaw.skowron@whitecatsec.com   12