Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Techrisk 2017: (CTI) Dane czy Mądrość?

Techrisk 2017: (CTI) Dane czy Mądrość?

Prezentacja z konferencji Techrisk 2017 (Wrocław)

98d357c4b232e6365648d3e38e660fa1?s=128

White Cat Security

June 22, 2017
Tweet

Transcript

  1. 21-22 czerwca 2017, WROCŁAW CTI: Dane czy Mądrość? (TLP: WHITE)

    Przemysław Skowron, White Cat Security
  2. 21-22 czerwca 2017, WROCŁAW Przemysław Skowron • “zawodowo” w IT

    Security od 2004 • prawie 7 lat w sektorze finansowym - Grupa Alior Bank S.A. (2008-2015) • odpowiedzialny za budowę pierwszego zespołu typu CSIRT w sektorze finansowym w Polsce
  3. 21-22 czerwca 2017, WROCŁAW White Cat Security (2015-) • 4

    Głównych Konsultantów (Core Team) • Klienci: m.in. ~połowa firm z indeksu WIG20 • Dostarczamy to czego nam brakowało: • Doświadczenie ze zwycięstw i porażek lekcji przy budowaniu SOC/CERT • Wsparcie przy Obsłudze Incydentów • Wywiad na temat zagrożeń (Threat Intelligence) • [WKRÓTCE] Organizujemy Polowania (Hunting) • [Na żądanie] Szkolimy z powyższych tematów • Niezależność względem dostawców rozwiązań bezpieczeństwa
  4. 21-22 czerwca 2017, WROCŁAW Agenda • Założenia • Cykl pozyskiwania

    Threat Intelligence • Podsumowanie • Sesja Q&A
  5. 21-22 czerwca 2017, WROCŁAW Założenia (1/10) • Intelligence: Wnioski z

    Danych = Mądrość • Mądrość ma pozwolić na przygotowanie się do odparcia ataku na bazie: • znanych ataków z przeszłości • aktualnie trwających ataków • przyszłych ataków* * - bez znaczenia czy dowiemy się o nim przed realizacją
  6. 21-22 czerwca 2017, WROCŁAW Założenia (2/10) Wymagania (przykładowe): • Chcę

    wiedzieć o nowej grupie przestępczej • Jakie mają cele i motywacje? (strategia, cele) • Jak działają? (TTP) • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC)
  7. 21-22 czerwca 2017, WROCŁAW Założenia (3/10) Wymagania (przykładowe): • Chcę

    wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> następny slajd • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC)
  8. 21-22 czerwca 2017, WROCŁAW Założenia (4/10) • TTP • Taktyki

    - krok: kontrola zainfekowanej stacji • Techniki - metoda: połączenie do C2 przez powszechnie używane porty • Procedury - implementacja: połączenie na port 443/TCP z szyfrowaniem (TLS)
  9. 21-22 czerwca 2017, WROCŁAW Założenia (4/…) Wymagania (przykładowe): • Chcę

    wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) • Z jakich narzędzi korzystają? (możliwości) • Czy te narzędzia zostawiają artefakty? (arefakty typu host/net) • Jak poznać, że zostałem skompromitowany? (IOC) Źródło: https://car.mitre.org/caret/
  10. 21-22 czerwca 2017, WROCŁAW Założenia (6/10) Wymagania (przykładowe): • Chcę

    wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> poprzedni slajd • Z jakich narzędzi korzystają? (możliwości) poprzednia prezentacja • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) j/w • Jak poznać, że zostałem skompromitowany? (IOC) ->
  11. 21-22 czerwca 2017, WROCŁAW Założenia (6/…) Wymagania (przykładowe): • Chcę

    wiedzieć o nowej grupie przestępczej Lazarus 2009- • Jakie mają cele i motywacje? (strategia, cele) sektor finansowy 2015- • Jak działają? (TTP) -> poprzedni slajd • Z jakich narzędzi korzystają? (możliwości) poprzednia prezentacja • Czy te narzędzia zostawiają artefakty? (artefakty typu host/net) j/w • Jak poznać, że zostałem skompromitowany? (IOC) ->
  12. 21-22 czerwca 2017, WROCŁAW Założenia (8/10) Mądrość ma pozwolić na

    przygotowanie się do odparcia ataku na bazie: • znanych ataków z przeszłości • aktualnie trwających ataków • przyszłych ataków*
  13. 21-22 czerwca 2017, WROCŁAW Założenia (9/10) Threat Intelligence to PROCES,

    nie PRODUKT czy TECHNOLOGIA
  14. 21-22 czerwca 2017, WROCŁAW Założenia (10/10) Kiedy ostatnio dotarły do

    Ciebie nowe dane/informacje o grupie Bluenoroff? Jakie wnioski płynęły z tej informacji? BRAK WNIOSKÓW = BRAK WARTOŚCI
  15. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie

    • Wzbogacanie • Analizowanie • Konsumowanie
  16. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie

    • Wejście: • (nie)ustrukturyzowane dane - zazwyczaj IOC (IP, domeny, hashe, URLe) • pozbawione kontekstu (znaczenie, daty w których ma znaczenie) • czasem zawierające literówki • czasem pochopnie ocenione IOC • Wyjście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów
  17. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Kolekcjonowanie

    • Źródła danych: • OSINT • grupy KMT (Know, Meet, Trust) i pokrewne • Deep/Dark i inne ciemne miejsca • Obsługa Incydentów bezpieczeństwa (IR) • Inne
  18. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Wzbogacanie

    • Wejście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów • nowe źródła danych odnalezione na bazie powiązań z tym co mamy • Wyjście: • więcej IOC, artefakty, opis narzędzi, TTP, Threat Actora
  19. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Wzbogacanie

    • Wejście: • ustrukturyzowane dane • wstępnie zweryfikowane pod kątem fałszywych pozytywów • nowe źródła danych odnalezione na bazie powiązań z tym co mamy • Wyjście: • więcej IOC, artefakty, opis narzędzi, TTP, Threat Actora
  20. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Analizowanie

    • Wejście: • IOC, artefakty, opis narzędzi, TTP, Threat Actora • Wyjście: • dane nałożone na model danych (np. Kill Chain, Diamond Model)
  21. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Analizowanie

    • Wejście: • IOC, artefakty, opis narzędzi, TTP, Threat Actora • Wyjście: • dane nałożone na model danych (np. Kill Chain, Diamond Model)
  22. 21-22 czerwca 2017, WROCŁAW Cykl pozyskiwania Threat Intelligence • Konsumowanie

    • Wejście: • dane nałożone na model danych (np. Kill Chain, Diamond Model) • Wyjście (przykłady): • widząc wykryte lub zablokowane: • TTP/Narzędzia/Artefakty/IOC* • wiesz jak jest źle/dobrze (znasz etap kampanii APT i wiesz gdzie są)
  23. 21-22 czerwca 2017, WROCŁAW Podsumowanie (1/2) • Wiesz czy ten

    napastnik jest dla Ciebie groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie)
  24. 21-22 czerwca 2017, WROCŁAW Podsumowanie (1/2) • Wiesz czy ten

    napastnik jest dla Ciebie groźny • Wiesz czego nie zobaczysz (zdarzenia) • Wiesz co chcesz monitorować (wykrywać) • Wiesz co chcesz kontrolować (prewencja/blokowanie) ZNASZ SWOJEGO WROGA
  25. 21-22 czerwca 2017, WROCŁAW Podsumowanie (2/2) • Uwzględniaj Threat Intelligence

    podczas RFI/RFP (Narzędzia) • Zbuduj TIT lub pozyskuj go z zew., ale z wymaganiami (Ludzie) • Konsumuj (Proces)
  26. 21-22 czerwca 2017, WROCŁAW Sesja Q&A “Not memory for memory’s

    sake, not accumulation of knowledge, but synthesis and application.” -- Bruce Lee
  27. 21-22 czerwca 2017, WROCŁAW Dziękuję za aktywny udział! przemyslaw.skowron {@}

    whitecatsec.com