Techrisk 2017: (CTI) Dane czy Mądrość?

Transcript

1. 21-22 czerwca 2017, WROCŁAW CTI: Dane czy Mądrość? (TLP: WHITE)

   Przemysław Skowron, White Cat Security

2. 21-22 czerwca 2017, WROCŁAW Przemysław Skowron • “zawodowo” w IT

   Security od 2004 • prawie 7 lat w sektorze finansowym - Grupa Alior Bank S.A. (2008-2015) • odpowiedzialny za budowę pierwszego zespołu typu CSIRT w sektorze finansowym w Polsce

3. 21-22 czerwca 2017, WROCŁAW White Cat Security (2015-) • 4

   Głównych Konsultantów (Core Team) • Klienci: m.in. ~połowa firm z indeksu WIG20 • Dostarczamy to czego nam brakowało: • Doświadczenie ze zwycięstw i porażek lekcji przy budowaniu SOC/CERT • Wsparcie przy Obsłudze Incydentów • Wywiad na temat zagrożeń (Threat Intelligence) • [WKRÓTCE] Organizujemy Polowania (Hunting) • [Na żądanie] Szkolimy z powyższych tematów • Niezależność względem dostawców rozwiązań bezpieczeństwa

4. 21-22 czerwca 2017, WROCŁAW Agenda • Założenia • Cykl pozyskiwania

   Threat Intelligence • Podsumowanie • Sesja Q&A

5. 21-22 czerwca 2017, WROCŁAW Założenia (1/10) • Intelligence: Wnioski z

   Danych = Mądrość • Mądrość ma pozwolić na przygotowanie się do odparcia ataku na bazie: • znanych ataków z przeszłości • aktualnie trwających ataków • przyszłych ataków* * - bez znaczenia czy dowiemy się o nim przed realizacją

6. 21-22 czerwca 2017, WROCŁAW Założenia (2/10) Wymagania (przykładowe): • Chcę

   wiedzieć o nowej grupie przestępczej • Jakie mają cele i motywacje? (strategia, cele) • Jak działają? (TTP) • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC)

7. 21-22 czerwca 2017, WROCŁAW Założenia (3/10) Wymagania (przykładowe): • Chcę

   wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> następny slajd • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC)

8. 21-22 czerwca 2017, WROCŁAW Założenia (4/10) • TTP • Taktyki

   - krok: kontrola zainfekowanej stacji • Techniki - metoda: połączenie do C2 przez powszechnie używane porty • Procedury - implementacja: połączenie na port 443/TCP z szyfrowaniem (TLS)

9. 21-22 czerwca 2017, WROCŁAW Założenia (4/…) Wymagania (przykładowe): • Chcę

   wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (arefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC) Źródło: https://car.mitre.org/caret/

10. 21-22 czerwca 2017, WROCŁAW Założenia (6/10) Wymagania (przykładowe): • Chcę

    wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> poprzedni slajd • Z jakich narzędzi korzystają? (możliwości) poprzednia prezentacja • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) j/w • Jak poznać, że zostałem skompromitowany? (IOC) ->

11. 21-22 czerwca 2017, WROCŁAW Założenia (6/…) Wymagania (przykładowe): • Chcę

    wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> poprzedni slajd • Z jakich narzędzi korzystają? (możliwości) poprzednia prezentacja • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) j/w • Jak poznać, że zostałem skompromitowany? (IOC) ->

12. 21-22 czerwca 2017, WROCŁAW Założenia (8/10) Mądrość ma pozwolić na

    przygotowanie się do odparcia ataku na bazie: • znanych ataków z przeszłości • aktualnie trwających ataków • przyszłych ataków*

13. 21-22 czerwca 2017, WROCŁAW Założenia (9/10) Threat Intelligence to PROCES,

    nie PRODUKT czy TECHNOLOGIA

14. 21-22 czerwca 2017, WROCŁAW Założenia (10/10) Kiedy ostatnio dotarły do

    Ciebie nowe dane/informacje o grupie Bluenoroff? Jakie wnioski płynęły z tej informacji? BRAK WNIOSKÓW = BRAK WARTOŚCI

15. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie

    • Wzbogacanie • Analizowanie • Konsumowanie

16. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie

    • Wejście: • (nie)ustrukturyzowane dane - zazwyczaj IOC (IP, domeny, hashe, URLe) • pozbawione kontekstu (znaczenie, daty w których ma znaczenie) • czasem zawierające literówki • czasem pochopnie ocenione IOC • Wyjście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów

17. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie

    • Źródła danych: • OSINT • grupy KMT (Know, Meet, Trust) i pokrewne • Deep/Dark i inne ciemne miejsca • Obsługa Incydentów bezpieczeństwa (IR) • Inne

18. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Wzbogacanie

    • Wejście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów • nowe źródła danych odnalezione na bazie powiązań z tym co mamy • Wyjście: • więcej IOC, artefakty, opis narzędzi, TTP, Threat Actora

19. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Wzbogacanie

    • Wejście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów • nowe źródła danych odnalezione na bazie powiązań z tym co mamy • Wyjście: • więcej IOC, artefakty, opis narzędzi, TTP, Threat Actora

20. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Analizowanie

    • Wejście: • IOC, artefakty, opis narzędzi, TTP, Threat Actora • Wyjście: • dane nałożone na model danych (np. Kill Chain, Diamond Model)

21. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Analizowanie

    • Wejście: • IOC, artefakty, opis narzędzi, TTP, Threat Actora • Wyjście: • dane nałożone na model danych (np. Kill Chain, Diamond Model)

22. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Konsumowanie

    • Wejście: • dane nałożone na model danych (np. Kill Chain, Diamond Model) • Wyjście (przykłady): • widząc wykryte lub zablokowane: • TTP/Narzędzia/Artefakty/IOC* • wiesz jak jest źle/dobrze (znasz etap kampanii APT i wiesz gdzie są)

23. 21-22 czerwca 2017, WROCŁAW Podsumowanie (1/2) • Wiesz czy ten

    napastnik jest dla Ciebie groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie)

24. 21-22 czerwca 2017, WROCŁAW Podsumowanie (1/2) • Wiesz czy ten

    napastnik jest dla Ciebie groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie) ZNASZ SWOJEGO WROGA

25. 21-22 czerwca 2017, WROCŁAW Podsumowanie (2/2) • Uwzględniaj Threat Intelligence

    podczas RFI/RFP (Narzędzia) • Zbuduj TIT lub pozyskuj go z zew., ale z wymaganiami (Ludzie) • Konsumuj (Proces)

26. 21-22 czerwca 2017, WROCŁAW Sesja Q&A “Not memory for memory’s

    sake, not accumulation of knowledge, but synthesis and application.” -- Bruce Lee

27. 21-22 czerwca 2017, WROCŁAW Dziękuję za aktywny udział! przemyslaw.skowron {@}

    whitecatsec.com